ГОСТ Р ИСО МЭК 15408-2 2007 (1027764), страница 9
Текст из файла (страница 9)
К ним относятся (но ими не ограничиваются) следующие цели: идентификация и аутентификация, неотказуемость, доверенныймаршрут, доверенный канал, разделение данных. Класс FCS применяют, когда ОО имеет криптографические функции, которые могут быть реализованы аппаратными, программно-аппаратнымии/или программными средствами.Класс FCS «Криптографическая поддержка» состоит из двух семейств: FCS_CKM «Управление криптографическими ключами» и FCS_COP «Криптографические операции».
В семействеFCS_CKM «Управление криптографическими ключами» рассмотрены аспекты управления криптографическими ключами, тогда как в семействе FCS_COP «Криптографические операции» рассмотрено практическое применение этих криптографических ключей.1FCS_CKM Управление криптографическими ключами234FCS_COP Криптографические операции1Рисунок 19 – Декомпозиция класса FCS «Криптографическая поддержка»9.1 Управление криптографическими ключами (FCS_CKM)9.1.1 Характеристика семействаКриптографическими ключами необходимо управлять на протяжении всего их жизненногоцикла. Семейство FCS_CKM предназначено для поддержки жизненного цикла и поэтому определяет требования к следующим действиям с криптографическими ключами: генерация, распределение, доступ к ним и их уничтожение.
Это семейство следует использовать в случаях, когда имеются функциональные требования управления криптографическими ключами.9.1.2 Ранжирование компонентов30ГОСТ Р ИСО/МЭК 15408-2—…(проект, окончательная редакция)1FCS_CKM Управление криптографическими ключами234Рисунок 20 – Ранжирование компонентов семейства FCS_CKMFCS_CKM.1 «Генерация криптографических ключей» содержит требования к их созданиюсогласно определенному алгоритму и длине ключа, которые могут основываться на соответствующем стандарте.FCS_CKM.2 «Распределение криптографических ключей» содержит требование их распределения определенным методом, который может основываться на соответствующем стандарте.FCS_CKM.3 «Доступ к криптографическим ключам» содержит требование осуществлениядоступа к ним согласно определенному методу, который может основываться на соответствующемстандарте.FCS_CKM.4 «Уничтожение криптографических ключей» содержит требование их уничтожения согласно определенному методу, который может основываться на соответствующем стандарте.9.1.3 Управление: FCS_CKM.1, FCS_CKM.2, FCS_CKM.3, FCS_CKM.4Для функций управления из класса FMT могут рассматриваться следующие действия.a) Управление изменениями атрибутов криптографических ключей.
Примерами атрибутовключа являются: идентификатор пользователя, тип ключа (например, открытый, приватный, секретный), период действия ключа, а также возможное использование (например, цифровая подпись, шифрование других ключей, согласование ключей, шифрование данных).9.1.4 Аудит: FCS_CKM.1, FCS_CKM.2, FCS_CKM.3, FCS_CKM.4Если в ПЗ/ЗБ включено семейство FAU_GEN «Генерация данных аудита безопасности», тоследует предусмотреть возможность аудита следующих действий.a) Минимальный: успешный или неуспешный результат действия.b) Базовый: атрибуты объекта и содержание объекта, за исключением любой чувствительной информации (например, секретных или приватных ключей).9.1.5 FCS_CKM.1 Генерация криптографических ключейИерархический для: Нет подчиненных компонентов.Зависимости: [FCS_CKM.2 Распределение криптографических ключей илиFCS_COP.1 Криптографические операции]FCS_CKM.4 Уничтожение криптографических ключейFMT_MSA.2 Безопасные значения атрибутов безопасности9.1.5.1 FCS_CKM.1.1ФБО должны генерировать криптографические ключи в соответствии с определенным алгоритмом [назначение: алгоритм генерации криптографических ключей] и длиной31ГОСТ Р ИСО/МЭК 15408-2—…(проект, окончательная редакция)[назначение: длины криптографических ключей], которые отвечают следующему: [назначение: список стандартов].9.1.6 FCS_CKM.2 Распределение криптографических ключейИерархический для: Нет подчиненных компонентов.Зависимости: [FDP_ITC.1 Импорт данных пользователя без атрибутов безопасности илиFDP_ITC.2 Импорт данных пользователя с атрибутами безопасности, илиFCS_CKM.1 Генерация криптографических ключей]FCS_CKM.4 Уничтожение криптографических ключейFMT_MSA.2 Безопасные значения атрибутов безопасности9.1.6.1 FCS_CKM.2.1ФБО должны распределять криптографические ключи в соответствии с определенным методом [назначение: метод распределения криптографических ключей], которыйотвечает следующему: [назначение: список стандартов].9.1.7 FCS_CKM.3 Доступ к криптографическим ключамИерархический для: Нет подчиненных компонентов.Зависимости: [FDP_ITC.1 Импорт данных пользователя без атрибутов безопасности илиFDP_ITC.2 Импорт данных пользователя с атрибутами безопасности, илиFCS_CKM.1 Генерация криптографических ключей]FCS_CKM.4 Уничтожение криптографических ключейFMT_MSA.2 Безопасные значения атрибутов безопасности9.1.7.1 FCS_CKM.3.1ФБО должны выполнять [назначение: тип доступа к криптографическим ключам] всоответствии с определенным методом доступа [назначение: метод доступа к криптографическим ключам], который отвечает следующему: [назначение: список стандартов].9.1.8 FCS_CKM.4 Уничтожение криптографических ключейИерархический для: Нет подчиненных компонентов.Зависимости: [FDP_ITC.1 Импорт данных пользователя без атрибутов безопасности илиFDP_ITC.2 Импорт данных пользователя с атрибутами безопасности, илиFCS_CKM.1 Генерация криптографических ключей]FMT_MSA.2 Безопасные значения атрибутов безопасности9.1.8.1 FCS_CKM.4.1ФБО должны уничтожать криптографические ключи в соответствии с определеннымметодом [назначение: метод уничтожения криптографических ключей], который отвечаетследующему: [назначение: список стандартов].9.2 Криптографические операции (FCS_COP)9.2.1 Характеристика семействаДля корректного осуществления криптографических операций их необходимо выполнять всоответствии с определенным алгоритмом и с криптографическими ключами определенной длины.Данное семейство следует применять всякий раз, когда необходимо выполнять криптографические операции.К типичным криптографическим операциям относятся: зашифрование и/или расшифрованиеданных, генерация и/или верификация цифровых подписей, генерация криптографических контрольных сумм для обеспечения целостности и/или верификации контрольных сумм, хэширование(вычисление хэш-образа сообщения), зашифрование и/или расшифрование криптографическихключей, согласование криптографических ключей.32ГОСТ Р ИСО/МЭК 15408-2—…(проект, окончательная редакция)9.2.2 Ранжирование компонентовFCS_COP Криптографические операции1Рисунок 21 – Ранжирование компонентов семейства FCS_COPFCS_COP.1 «Криптографические операции» содержит требования их выполнения по определенным алгоритмам с применением криптографических ключей определенной длины.
Алгоритмы и длина криптографических ключей могут основываться на соответствующем стандарте.9.2.3 Управление: FCS_COP.1Действия по управлению не предусмотрены.9.2.4 Аудит: FCS_COP.1Если в ПЗ/ЗБ включено семейство FAU_GEN «Генерация данных аудита безопасности», тоследует предусмотреть возможность аудита следующих действий.a) Минимальный: успешное или неуспешное завершение, а также тип криптографическойоперации.b) Базовый: любые применяемые криптографические режимы операций, атрибуты субъектови объектов.9.2.5 FCS_COP.1 Криптографические операцииИерархический для: Нет подчиненных компонентов.Зависимости: [FDP_ITC.1 Импорт данных пользователя без атрибутов безопасности илиFDP_ITC.2 Импорт данных пользователя с атрибутами безопасности, илиFCS_CKM.1 Генерация криптографических ключей]FCS_CKM.4 Уничтожение криптографических ключейFMT_MSA.2 Безопасные значения атрибутов безопасности9.2.5.1 FCS_COP.1.1ФБО должны выполнять [назначение: список криптографических операций] в соответствии с определенными алгоритмами [назначение: криптографические алгоритмы] и длиной [назначение: длины криптографических ключей], которые отвечают следующему: [назначение: список стандартов].33ГОСТ Р ИСО/МЭК 15408-2—…(проект, окончательная редакция)10Класс FDP: Защита данных пользователяКласс FDP «Защита данных пользователя» содержит семейства, определяющие требованияк функциям безопасности ОО и политикам функций безопасности ОО, связанным с защитой данных пользователя.
Он разбит на четыре группы семейств, перечисленные ниже и применяемые кданным пользователя в пределах ОО при их импорте, экспорте и хранении, а также к атрибутамбезопасности, прямо связанным с данными пользователя.a) Политики функций безопасности для защиты данных пользователя:– FDP_ACC «Политика управления доступом»;– FDP_IFC «Политика управления информационными потоками».Компоненты этих семейств позволяют разработчику ПЗ/ЗБ именовать политики функцийбезопасности для защиты данных пользователя и определять область действия этих политик, которые необходимо соотнести с целями безопасности. Предполагается, что имена этихполитик будут использоваться повсеместно в тех функциональных компонентах, которыеимеют операцию, запрашивающую назначение или выбор "ПФБ управления доступом" и/или"ПФБ управления информационными потоками". Правила, которые определяют функциональные возможности именованных ПФБ управления доступом и управления информационными потоками, будут установлены в семействах FDP_ACF «Функции управления доступом»и FDP_IFF «Функции управления информационными потоками» соответственно.b) Виды защиты данных пользователя:– FDP_ACF «Функции управления доступом»;– FDP_IFF «Функции управления информационными потоками»;– FDP_ITT «Передача в пределах ОО»;– FDP_RIP «Защита остаточной информации»;– FDP_ROL «Откат»;– FDP_SDI «Целостность хранимых данных».c) Автономное хранение, импорт и экспорт данных:– FDP_DAU «Аутентификация данных»;– FDP_ETC «Экспорт данных за пределы действия ФБО»;– FDP_ITC «Импорт данных из-за пределов действия ФБО».Компоненты этих семейств связаны с доверенной передачей данных в или из ОДФ.d) Связь между ФБО:– FDP_UCT «Защита конфиденциальности данных пользователя при передаче между ФБО»;– FDP_UIT «Защита целостности данных пользователя при передаче между ФБО».Компоненты этих семейств определяют взаимодействие между ФБО собственно ОО и другого доверенного продукта ИТ.34ГОСТ Р ИСО/МЭК 15408-2—…(проект, окончательная редакция)FDP_ACC Политика управления доступом1FDP_ACF Функции управления доступом1FDP_DAU Аутентификация данных1221FDP_ETC Экспорт данных за пределыдействия ФБО2FDP_IFC Политика управления информационными потоками121FDP_IFF Функции управления информационными потоками23456Рисунок 22 – Декомпозиция класса FDP «Защита данных пользователя»35ГОСТ Р ИСО/МЭК 15408-2—…(проект, окончательная редакция)1FDP_ITC Импорт данных из-за пределовдействия ФБО21234FDP_RIP Защита остаточной информации12FDP_ROL Откат12FDP_SDI Целостность хранимых данных12FDP_ITT Передача в пределах ООFDP_UCT Защита конфиденциальности данныхпользователя при передаче между ФБО11FDP_UIT Защита целостности данныхпользователя при передаче между ФБО23Рисунок 22 – Декомпозиция класса FDP «Защита данных пользователя» (продолжение)36ГОСТ Р ИСО/МЭК 15408-2—…(проект, окончательная редакция)10.1 Политика управления доступом (FDP_ACC)10.1.1 Характеристика семействаСемейство FDP_ACC идентифицирует ПФБ управления доступом, устанавливая им имена, иопределяет области действия политик, образующих идентифицированную часть управления доступом ПБО.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
