ГОСТ Р ИСО МЭК 15408-2 2007 (1027764), страница 50
Текст из файла (страница 50)
Это семейство важно, потому что начальное состояние ФБОпри запуске или восстановлении определяет защищенность ОО в последующем.Компоненты данного семейства позволяют устанавливать безопасное состояние ФБО илипредотвращать их переход в опасное состояние после сбоев, прерывания функционирования илиперезапуска. В число возможных сбоев обычно включают:a) сбои, которые всегда приводят к аварийным отказам системы (например, устойчивая несогласованность критичных системных таблиц; неуправляемые переходы в коде ФБО, вызванныесбоями аппаратных или программно-аппаратных средств; сбои питания, процессора, связи);b) сбои носителей, приводящие к тому, что часть носителя или весь носитель, представляющий объекты ФБО, становится недоступным или неисправным (например, ошибки четности,неисправность головок дисков, устойчивый сбой чтения/записи, неточная юстировка головок дисков, износ магнитного покрытия, запыленность поверхности диска);c) прерывание функционирования вследствие ошибочных действий администратора или отсутствия его своевременных действий (например, неожиданное прекращение работы из-за неподготовленности к отключению питания, игнорирование перерасхода критичных ресурсов, неадекватная инсталлированная конфигурация).Важно отметить, что восстановление может быть предусмотрено для сценария как частичного, так и полного отказа.
Полный отказ может возникнуть в неразделенной операционной системе,в распределенной среде его вероятность меньше. В такой среде некоторые подсистемы могут отказать, в то время как другие части останутся работающими. Более того, критичные элементы могут иметь избыточность (дублирование дисков, альтернативные маршруты) и точки проверки. Подвосстановлением имеется в виду восстановление безопасного состояния.221ГОСТ Р ИСО/МЭК 15408-2—…(проект, окончательная редакция)При выборе FPT_RCV «Надежное восстановление» необходимо принимать во вниманиеследующие взаимосвязи между FPT_RCV «Надежное восстановление» и FPT_TST «Самотестирование ФБО»:a) На необходимость надежного восстановления могут указывать результаты самостестирования ФБО, когда результаты самотестирования указывают, что ФБО находятся в небезопасномсостоянии, и требуется возврат в безопасное состояние или переход в режим аварийной поддержки.b) Сбой, как было рассмотрено выше, может быть идентифицирован администратором.
Либоадминистратор может выполнить действия для возврата ОО в безопасное состояние и затем прибегнуть к самотестированию ФБО, чтобы подтвердить, что безопасное состояние было достигнуто.Либо самотестирование ФБО может быть применено для завершения процесса восстановления.c) Сочетание пунктов a) и b); когда на необходимость надежного восстановления указываютрезультаты самотестирования ФБО, администратор выполняет действия по возврату ОО в безопасное состояние, а затем прибегает к самотестированию ФБО, чтобы подтвердить, что безопасное состояние было достигнуто.d) Самотестирование направлено на обнаружение сбоев/прерываний обслуживания, за которым следует либо автоматическое восстановление, либо переход в режим аварийной поддержки.Семейство FPT_RCV идентифицирует режим аварийной поддержки. В этом режиме нормальное функционирование может оказаться невозможным или сильно ограниченным из-за возможности перехода в опасное состояние.
В таких случаях обычно доступ разрешается толькоуполномоченным пользователям, а более конкретно, кто может получить доступ в режиме аварийной поддержки, определяется в классе FMT «Управление безопасностью». Если в классе FMT нетникаких указаний о том, кто имеет право доступа в этом режиме, теоретически допускается, чтовосстановить систему может любой пользователь. Однако на практике это нежелательно, поскольку пользователь, восстанавливающий систему, может установить конфигурацию ОО, нарушающуюПБО.Механизмы, предназначенные для обнаружения исключительных состояний при эксплуатации, определяются в FPT_TST «Самотестирование ФБО», FPT_FLS «Безопасность при сбое» и вдругих разделах, относящихся к проблеме "Сохранность программного обеспечения".
Вероятно,что использование одного из этих семейств потребуется при выборе FPT_RCV «Надежное восстановление». Это должно обеспечить, чтобы ОО был в состоянии определить необходимость в восстановлении.В этом семействе применяется выражение "безопасное состояние". Оно относится к состоянию, при котором данные ФБО непротиворечивы и продолжают корректное осуществление ПБО.Это состояние может быть состоянием после загрузки системы или состоянием в некоторой контрольной точке.
Термин "безопасное состояние" определяется в модели ПФБ. Если разработчикпредоставил четкое определение безопасного состояния и разъяснение, когда его следует считатьтаковым, зависимость любого из компонентов из FPT_RCV«Надежное восстановление») отADV_SPM.1 «Неформальная модель политики безопасности ОО» можно не учитывать.После восстановления может потребоваться (через самостестирование ФБО) подтверждение того, что безопасное состояние достигнуто. Однако если восстановление выполняется такимобразом, что только безопасное состояние может быть достигнуто, иначе восстановление не происходит, тогда зависимость от компонента самотестирования ФБО (FPT_TST.1 «ТестированиеФБО») может быть признана ненужной.J.8.2 FPT_RCV.1 Ручное восстановлениеJ.8.2.1 Замечания по применению для пользователяВ иерархии семейства FPT_RCV «Надежное восстановление» восстановление, которое требует только ручного вмешательства, наименее желательно, так как при этом исключается восстановление системы без участия человека.Компонент FPT_RCV.1 предназначен для применения в ОО, которые не требуют автоматического восстановления безопасного состояния.
Требования этого компонента направлены против222ГОСТ Р ИСО/МЭК 15408-2—…(проект, окончательная редакция)угрозы нарушения защиты в результате приведения ОО с участием человека в опасное состояниепри восстановлении после сбоя или другого прерывания.J.8.2.2 Замечания по применению для оценщикаДопускается, чтобы функции уполномоченного администратора по надежному восстановлению были доступны ему только в режиме аварийной поддержки.
Следует предусмотреть средстваограничения доступа в режиме аварийной поддержки, предоставляя его только уполномоченнымпользователям.J.8.2.3 ОперацииJ.8.2.3.1 НазначениеВ FPT_RCV.1.1 автору ПЗ/ЗБ следует специфицировать список сбоев или прерываний обслуживания (сбой электропитания, исчерпание объема памяти для хранения данных аудита, любой сбой или прерывание), после которых ОО перейдет в режим аварийной поддержки.J.8.3 FPT_RCV.2 Автоматическое восстановлениеJ.8.3.1 Замечания по применению для пользователяАвтоматическое восстановление считается более предпочтительным, чем ручное, так каконо позволяет машине продолжать функционирование без участия человека.Компонент FPT_RCV.2 «Автоматическое восстановление» расширяет FPT_RCV.1 «Ручноевосстановление», требуя возможность автоматического восстановления хотя бы после одного типа сбоя/прерывания обслуживания.
Требования этого компонента направлены против угрозы нарушения защиты в результате приведения ОО без участия человека в опасное состояние при восстановлении после сбоя или другого прерывания.J.8.3.2 Замечания по применению для оценщикаДопускается, чтобы функции уполномоченного администратора по надежному восстановлению были доступны ему только в режиме аварийной поддержки.
Следует предусмотреть средстваограничения доступа в режиме аварийной поддержки, предоставляя его только уполномоченнымпользователям.В соответствии с FPT_RCV.2.1 разработчик ФБО отвечает за определение совокупностисбоев и прерываний обслуживания, после которых возможно восстановление.Предполагается, что робастность механизмов автоматического восстановления будет верифицирована.J.8.3.3 ОперацииJ.8.3.3.1 НазначениеВ FPT_RCV.2.1 автору ПЗ/ЗБ следует специфицировать список сбоев или прерываний обслуживания (сбой электропитания, исчерпание объема памяти для хранения данных аудита), после которых ОО перейдет в режим аварийной поддержки.В FPT_RCV.2.2 автору ПЗ/ЗБ следует специфицировать список сбоев или других прерываний обслуживания, для которых автоматическое восстановление должно быть возможно.J.8.4 FPT_RCV.3 Автоматическое восстановление без недопустимой потериJ.8.4.1 Замечания по применению для пользователяАвтоматическое восстановление считается более предпочтительным, чем ручное, но оносвязано с риском потери большого числа объектов.
Предотвращение недопустимых потерь объектов обеспечивается дополнительными средствами восстановления.223ГОСТ Р ИСО/МЭК 15408-2—…(проект, окончательная редакция)Компонент FPT_RCV.3 «Автоматическое восстановление без недопустимой потери» расширяет FPT_RCV.2 «Автоматическое восстановление», требуя, чтобы не было чрезмерных потерьданных или объектов ФБО в ОДФ. В соответствии с FPT_RCV.2 «Автоматическое восстановление»механизм автоматического восстановления мог бы, в предельном случае, произвести восстановление путем уничтожения всех объектов и возвращения ФБО в известное безопасное состояние.Такой тип автоматического восстановления в FPT_RCV.3 «Автоматическое восстановление безнедопустимой потери» запрещается.Требования этого компонента направлены против угрозы нарушения защиты в результатенепредусмотренного перехода ОО в опасное состояние при восстановлении после сбоя или перерывов в функционировании с большой потерей данных или объектов ФБО в ОДФ.J.8.4.2 Замечания для оценщикаДопускается, чтобы функции уполномоченного администратора по надежному восстановлению были доступны ему только в режиме аварийной поддержки.
Следует предусмотреть средстваограничения доступа в режиме аварийной поддержки, предоставляя его только уполномоченнымпользователям.Предполагается, что робастность механизмов автоматического восстановления будет верифицирована оценщиком.J.8.4.3 ОперацииJ.8.4.3.1 НазначениеВ FPT_RCV.3.1 автору ПЗ/ЗБ следует специфицировать список сбоев или прерываний обслуживания (сбой электропитания, исчерпание объема памяти для хранения данных аудита), после которых ОО перейдет в режим аварийной поддержки.В FPT_RCV.3.2 автору ПЗ/ЗБ следует специфицировать список сбоев или других прерываний обслуживания, для которых необходима возможность автоматического восстановления.В FPT_RCV.3.3 автору ПЗ/ЗБ следует предоставить количественную меру приемлемых потерь данных или объектов ФБО.J.8.5 FPT_RCV.4 Восстановление функцииJ.8.5.1 Замечания по применению для пользователяКомпонент FPT_RCV.4 содержит требование, чтобы в случае сбоя ФБО некоторые функциииз числа ФБО либо нормально заканчивали работу, либо возвращались к безопасному состоянию.J.8.5.2 ОперацииJ.8.5.2.1 НазначениеВ FPT_RCV.4.1 автору ПЗ/ЗБ следует специфицировать список функций безопасности исценариев сбоев, для которых нормально заканчивается работа ФБ, указанных в списке, или восстанавливается их устойчивое и безопасное состояние.J.9 Обнаружение повторного использования (FPT_RPL)J.9.1 Замечания для пользователяСемейство FPT_RPL связано с обнаружением повторного использования различных типовсущностей (таких, как сообщения, запросы на обслуживание, ответы на запросы обслуживания) ипоследующими действиями по его устранению.J.9.2 FPT_RPL.1 Обнаружение повторного использованияJ.9.2.1 Замечания по применению для пользователяРассматриваемыми здесь сущностями могут быть, например, сообщения, запросы на обслуживание, ответы на запросы обслуживания или сеансы пользователей.224ГОСТ Р ИСО/МЭК 15408-2—…(проект, окончательная редакция)J.9.2.2 ОперацииJ.9.2.2.1 НазначениеВ FPT_RPL.1.1 автору ПЗ/ЗБ следует представить список идентифицированных сущностей,для которых следует предусмотреть возможность обнаружения повторного использования.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
