Сертификация: тел. +7 (495) 175-92-77
Стр. 1
 

166 страниц

912.00 ₽

Купить официальный бумажный документ с голограммой и синими печатями. подробнее

Официально распространяем нормативную документацию с 1999 года. Пробиваем чеки, платим налоги, принимаем к оплате все законные формы платежей без дополнительных процентов. Наши клиенты защищены Законом. ООО "ЦНТИ Нормоконтроль".

Наши цены ниже, чем в других местах, потому что мы работаем напрямую с поставщиками документов.

Способы доставки

  • Срочная курьерская доставка (1-3 дня)
  • Курьерская доставка (7 дней)
  • Самовывоз из московского офиса
  • Почта РФ

Распространяется на функциональные компоненты безопасности, являющиеся основой для функциональных требований безопасности информационных технологий (ИТ) объекта оценки (ОО), излагаемых в профиле защиты (ПЗ) или в задании по безопасности (ЗБ). Требования описывают желательный безопасный режим функционирования ОО и предназначены для достижения целей безопасности, установленных в ПЗ или ЗБ. Требования описывают также свойства безопасности, которые пользователи могут обнаружить при непосредственном взаимодействии с ОО (т.е. при входе и выходе) или при реакции ОО на запросы

Данные о замене ГОСТ Р ИСО/МЭК 15408-2-2002 опубликованы в ИУС № 05-2009

Действие завершено 30.09.2009

Оглавление

1 Область применения

   1.1 Расширение и сопровождение функциональных требований

   1.2 Структура

   1.3 Парадигма функциональных требований

2 Функциональные компоненты безопасности

   2.1 Краткий обзор

   2.2 Каталог компонентов

3 Класс FAU. Аудит безопасности

   3.1 Автоматическая реакция аудита безопасности (FAU_АRР)

   3.2 Генерация данных аудита безопасности (FAU_GEN)

   3.3 Анализ аудита безопасности (FAU_SАА)

   3.4 Просмотр аудита безопасности (FAU_SАR)

   3.5 Выбор событий аудита безопасности (FAU_SEL)

   3.6 Хранение данных аудита безопасности (FAU_STG)

4 Класс FСО. Связь

   4.1 Неотказуемость отправления (FСО_NRО)

   4.2 Неотказуемость получения (FСО_NRR)

5 Класс FCS. Криптографическая поддержка

   5.1 Управление криптографическими ключами (FCS_СКМ)

   5.2 Криптографические операции (FCS_CОР)

6 Класс FDР. Защита данных пользователя

   6.1 Политика управления доступом (FDР_АСС)

   6.2 Функции управления доступом (FDР_АСР)

   6.3 Аутентификация данных (FDР_DAU)

   6.4 Экспорт данных за пределы действия ФБО ((FDР_ЕТС)

   6.5 Политика управления информационными потоками (FDР_IFC)

   6.6 Функции управления информационными потоками (FDР_IFF)

   6.7 Импорт данных из-за пределов действия ФБО (FDР_ITC)

   6.8 Передача в пределах ОО (FDР_ITT)

   6.9 Защита остаточной информации (FDР_RIР)

   6.10 Oткат(FDР_ROL)

   6.11 Целостность хранимых данных (FDР_SDD)

   6.12 Защита конфиденциальности данных пользователя при передаче между ФБО (FDP_UСТ)

   6.13 Защита целостности данных пользователя при передаче между ФБО (FDP_UIT)

7 Класс FIА. Идентификация и аутентификация

   7.1 Отказы аутентификации (FIA_АFL)

   7.2 Определение атрибутов пользователя (FIA_АТD)

   7.3 Спецификация секретов (FIA_ SOS)

   7.4 Аутентификация пользователя (FIA_UAU)

   7.5 Идентификация пользователя (FIA_UID)

   7.6 Связывание пользователь-cубъект (FIA_USB)

8 Класс РМТ. Управление безопасностью

   8.1 Управление отдельными функциями ФБО (FМТ_МОF)

   8.2 Управление атрибутами безопасности (FМТ_МSА)

   8.3 Управление данными ФБО (FМТ_МТD)

   8.4 Отмена (FМТ_REV)

   8.5 Срок действия атрибута безопасности (FМТ_SАЕ)

   8.6 Роли управления безопасностью (FМТ_SМR)

9 Класс FРR. Приватность

   9.1 Анонимность (FРR_ANO)

   9.2 Псевдонимность (FРR_PSЕ)

   9.3 Невозможность ассоциации (FРR_UNL)

   9.4 Скрытность (FРR_UNО)

10 Класс РРТ. Защита ФБО

   10.1 Тестирование базовой абстрактной машины (FРТ_АМТ)

   10.2 Безопасность при сбое (FРТ_FLS)

   10.3 Доступность экспортируемых данных ФБО (FРТ_IТА)

   10.4 Конфиденциальность экспортируемых данных ФБО (FРТ_IТС)

   10.5 Целостность экспортируемых данных ФБО (FРТ_IТI)

   10.6 Передача данных ФБО в пределах ОО (FРТ_IТТ)

   10.7 Физическая защита ФБО (FРТ_РНР)

   10.8 Надежное восстановление (FРТ_RCV)

   10.9 Обнаружение повторного использования (FРТ_RPL)

   10.10 Посредничество при обращениях (FРТ_RVМ)

   10.11 Разделение домена (FРТ_SЕР)

   10.12 Протокол синхронизации состояний (FРТ_SSР)

   10.13 Метки времени (FРТ_SТМ)

   10.14 Согласованность данных ФБО между ФБО (FРТ_TDС)

   10.15 Согласованность данных ФБО при дублировании в пределах ОО (FРТ_ТRС)

   10.16 Самотестирование ФБО (FРТ_ТSТ)

11 Класс FRU. Использование ресурсов

   11.1 Отказоустойчивость (FRU_FLT)

   11.2 Приоритет обслуживания (FRU_РRS)

   11.3 Распределение ресурсов (FRU_RSА)

12 Класс FТА. Доступ к ОО

   12.1 Ограничение области выбираемых атрибутов (FТА_LSА)

   12.2 Ограничение на параллельные сеансы (FТА_МСS)

   12.3 Блокирование сеанса (FТА_SSL)

   12.4 Предупреждения перед предоставлением доступа к ОО (FТА_ТАВ)

   12.5 История доступа к ОО (FТА_TАН)

   12.6 Открытие сеанса с ОО (FТА_TSЕ)

13 Класс РТР. Доверенный маршрут/канал

   13.1 Доверенный канал передачи между ФБО (FТР_IТС)

   13.2 Доверенный маршрут (FTP_TRР)

Приложение А Замечания по применению функциональных требований безопасности

   А.1 Структура замечаний

   А.2 Таблица зависимостей

Приложение Б Функциональные классы, семейства и компоненты

Приложение В Аудит безопасности (FAU)

   В.1 Автоматическая реакция аудита безопасности (FAU_АRР)

   В.2 Генерация данных аудита безопасности (FAU_GEN)

   В.3 Анализ аудита безопасности (FAU_SАА)

   В.4 Просмотр аудита безопасности (FAU_SАR)

   В.5 Выбор событий аудита безопасности (FAU_SEL)

   В.6 Хранение данных аудита безопасности (FAU_STG)

Приложение Г Связь (FСО)

   Г.1 Неотказуемость отправления (FСО_NRО)

   Г.2 Неотказуемость получения (FСО_NRR)

Приложение Д Криптографическая поддержка (FCS)

   Д.1 Управление криптографическими ключами (FCS_СКМ)

   Д.2 Криптографические операции (FCS_СОР)

Приложение Е Защита данных пользователя (FDР)

   Е.1 Политика управления доступом (FDP_АСС)

   Е.2 Функции управления доступом (FDP_АСF)

   Е.З Аутентификация данных (FDP_DAU)

   Е.4 Экспорт данных за пределы действия ФБО (FDР_ЕТС)

   Е.5 Политика управления информационными потоками (FDР_IFС)

   Е.6 Функции управления информационными потоками (FDР_IFF)

   Е.7 Импорт данных из-за пределов действия ФБО (FDР_IТС)

   Е.8 Передача в пределах ОО (FDР_IТТ)

   Е.9 Защита остаточной информации (FDР_IRIР)

   Е.10 Откат (FDР_ROL)

   Е.11 Целостность хранимых данных (FDР_SDI)

   Е.12 Защита конфиденциальности данных пользователя при передаче между ФБО (FDР_UCТ)

   Е.13 Защита целостности данных пользователя при передаче между ФБО (FDР_UIТ)

Приложение Ж Идентификация и аутентификация (FIА)

   Ж.1 Отказы аутентификации (FIА_АFL)

   Ж.2 Определение атрибутов пользователя (FIА_АТD)

   Ж.3 Спецификация секретов (FIА_SOS)

   Ж.4 Аутентификация пользователя (FIА_UAU)

   Ж.5 Идентификация пользователя (FIА_UID)

   Ж.6 Связывание пользователь-субъект (FIА_USВ)

Приложение И Управление безопасностью (FМТ)

   И.1 Управление отдельными функциями ФБО (FМТ_MOF)

   И.2 Управление атрибутами безопасности (FМТ_MSА)

   И.3 Управление данными ФБО (FМТ_МТD)

   И.4 0тмена(FМТ_REV)

   И.5 Срок действия атрибутов безопасности (FМТ_SАЕ)

   И.6 Роли управления безопасностью (FМТ_SMR)

Приложение К Приватность (FРR)

   К.1 Анонимность (FРR_АNО)

   К.2 Псевдонимность (FРR_РSЕ)

   К.3 Невозможность ассоциации (FРR_UNL)

   К.4 Скрытность (FРR_UNО)

Приложение Л Защита ФБО (FРТ)

   Л.1 Тестирование базовой абстрактной машины (FРТ_АМТ)

   Л.2 Безопасность при сбое (FРТ_FLS)

   Л.3 Доступность экспортируемых данных ФБО (FРТ_IТА)

   Л.4 Конфиденциальность экспортируемых данных ФБО (FРТ_IТС)

   Л.5 Целостность экспортируемых данных ФБО (FРТ_ITI)

   Л.6  Передача данных ФБО в пределах ОО (FРТ_IТТ)

   Л.7 Физическая защита ФБО (FРТ_РНР)

   Л.8 Надежное восстановление (FРТ_RCV)

   Л.9 Обнаружение повторного использования (FРТ_RPL)

   Л.10 Посредничество при обращениях (FРТ_RVМ)

   Л.11 Разделение домена (FРТ_SЕР)

   Л.12 Протокол синхронизации состояний (FРТ_SSР)

   Л.13 Метки времени (FРТ_SТМ)

   Л.14 Согласованность данных ФБО между ФБО (FРТ_TDС)

   Л.15 Согласованность данных ФБО при дублировании в пределах ОО (FРТ_TRС)

   Л.16 Самотестирование ФБО (FРТ_TSТ)

Приложение М Использование ресурсов (FRU)

   М.1 Отказоустойчивость (FRU_FLТ)

   М.2 Приоритет обслуживания (FRU_PRS)

   М.3 Распределение ресурсов (FRU_RSА)

Приложение Н Доступ к ОО (FTA)

   Н.1 Ограничение области выбираемых атрибутов (FTA_LSА)

   Н.2 Ограничение на параллельные сеансы (FTA_MCS)

   Н.3 Блокирование сеанса (FTA_SSL)

   H.4 Предупреждения перед предоставлением доступа к ОО (FTA_ТАВ)

   Н.5 История доступа к ОО (FTA_TАН)

   Н.6 Открытие сеанса с ОО (FTA_TSЕ)

Приложение П Доверенный маршрут/канал (FТР)

   П.1 Доверенный канал передачи между ФБО (FТР_IТС)

   П.2 Доверенный маршрут (FТР_TRР)

Показать даты введения Admin

Страница 1

ГОСТ Р ИСО/МЭК 15408-2-2002 ГОСУДАРСТВЕННЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Информационная технология

МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ КРИТЕРИИ ОЦЕНКИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ

Часть 2

Функциональные требования безопасности

Издание официальное

ВЗ 6—2001/139


ГОССТАНДАРТ РОССИИ Москва

Страница 2

ГОСТ Р ИСО/МЭК 15408-2-2002

Предисловие

1    РЛЗРЛБОГЛН Центром безопасности информации, 4 ЦНИИ Министерства обороны РФ. Центром «Атомзашитаинформ», ЦНИИАТОМИНФОРМ, ВНИИстандартпричастии экспертов Международной рабочей группы по Обшим критериям

ВНЕСЕН Гостехкомиссией России. Техническими комитетами по стандартизации ТК 362Р «Защита информации» и ТК 22 «Информационные технологии»

2    ПРИНЯТ И ВВЕДЕН В ДЕЙСТВИЕ Постаноапением Госстандарта России от 4 апреля 2(Ю2 г. № 133-ст

3    Настоящий стандарт содержит полный аутентичный текст международного стандарта ИСО/МЭК 15408-2—99 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности*

4    ВВЕДЕН ВПЕРВЫЕ

© ИПК Издательство стандартов, 2002

Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Госстандарта России

Страница 3

ГОСТ Р ИСО/МЭК 15408-2-2002

Содержание

1    Область применения........................................................................1

1.1    Расширение и сопровождение функциональных требований............... I

1.2    Структура..............................................................................2

1.3    Парадигма функциональных требований....................................................2

2    Функииональные компоненты безопасности..................................................6

2.1    Краткий обзор..........................................................................6

2.2    Каталог компо!<ентов......................................................................10

3    Класс FAU. Аудит безопасности..............................................................11

3.1    Автоматическая реакция аудита безопасности (FAU_ARP)................................12

3.2    Генерация данных аудита безопасности (FAUjUEN)......................................13

3.3    Анализ аудита безопасности (FAU_SAA)................................................14

3.4    Просмотр аудита безопасности (FAUJSAR)..............................................16

3.5    Выбор событий аудита безопасности (FAU_SEL)........................................17

3.6    Хранение данных аудита безопасности (FAU_STG)......................................17

4    Класс FCO. Связь........................................................................19

4.1    Неотказуемостьотправления (FCO_NRO)..............................................19

4.2    Неотказуемость получения (FCO_NRR)........................20

5    Класс FCS. Криптографическая поддержка.........................22

5.1    Управление криптографическими ключами (FCS_CKM).................22

5.2    Криптографические операции (FCS_COP)....................... 24

6    Класс FDP. Зашита данных пользователя .........................24

6.1    Политика управления доступом (FDP_ACC)......................26

6.2    Функции управления доступом (FDP„ACF)......................27

6.3    Аутентификация данных (FDP_DAU).........................28

6.4    Экспорт данных за пределы действия ФБО (FDP_ ЕТС).................29

6.5    Политика управления информационными потоками (FDPJFC).............30

6.6    Функции управления информационными потоками (FDP_IFF).............31

6.7    Импорт данных из-за пределов действия ФБО (FDPJTC)..............34

6.8    Передача в пределах ОО (FDP_1TT)..........................35

6.9    Зашита остаточной информации (FDP    R1P)......................37

6.10 Откат (FDP_ROL).........7........................38

6.11    Целостность хранимых данных (FDP.SD1).......................38

6.12    Защита конфиденциальности данных пользователя при передаче между ФБО (FDP_UCT) 40

6.13    Зашита целостности данных пользователя при передаче между ФБО (FDP_U1T).....40

7    Класс F1A. Идентификация и аутентификация.......................42

7.1    Отказы аутентификации (FIA_AFL)..........................43

7.2    Определение атрибутов пользователя (F1AATD)....................43

7.3    Спецификация секретов (FlA_SOS)..........................44

7.4    Аутентификация пользователя (FIA_UAU)........................45

7.5    Идентификация пользователя (F1A_UID)........................47

7.6    Связывание пользователь—субъект (FIA_USB).....................48

8    Класс FMT. Управление безопасностью..........................49

8.1    Управление отдельными функциями ФБО (FMT_MOF).................50

8.2    Управление атрибутами безопасности (FMT_MSA)....................50

8.3    Управление данными ФБО (FMT MTD)........................51

8.4    Отмена (FMT.REV)..................................53

8.5    Срок действия атрибута безопасности (FMT_SAE)....................53

8.6    Роли управления безопасностью (FMTJ5MR).......................54

9    Класс FPR. Приватность..................................55

9.1    Анонимность (FPR..ANO)...............................56

9.2    Псевдонимносгь (FPR_PSE)..............................56

9.3    Невозможность ассоциации (FPR_UNL).........................57

9.4    Скрытность <FPRJJ NO) . . .7...........................58

Страница 4

ГОСТ Р ИСО/МЭК 15408-2-2002

10 Класс FPT. Защита ФБО..................................59

10.1    Тестирование базовой абстрактной машины (FPT_AMT)................61

10.2    Безопасностьпри сбое (FPT.FLS)..........................62

10.3    Доступность экспортируемых данных ФБО (FPTJTA).................62

10.4    Конфиденциальность экспортируемых данных ФБО (FPT_ITC)............63

10.5    Целостность экспортируемых данных ФБО (FPT_ITI).................63

10.6    Передача данных ФБО в пределах OO(FPTJTT)...................64

10.7    Физическая защита ФБО (FPT_PHP).........................65

10.8    Надежное восстановление (FPT_RCV).........................67

10.9    Обнаружение повторного использования (FPT_RPL)..................69

10.10    Посредничество при обращениях (FPT_RVM).....................69

10.11    Разделение домена (FPT_SEP)............................70

10.12    Протокол синхронизации состояний (FPT SSP)....................71

10.13    Метки времени (F1TSTM)......“......................72

10.14    Согласованность данных ФБО между ФБО (FPT_TDC)................72

10.15    Согласованность данных ФБО при дублировании в пределах ОО (FPT TRC)......73

10.16    Самотестирование ФБО (FPTJTST)..........................74

11    Класс FRU. Использование ресурсов............................74

11.1    Отказоустойчивость (FRU_FLT)...........................75

11.2    Приоритет обслуживания (FRU_PRS).........................75

11.3    Распределение ресурсов <FRU_RSA)..........................76

12    Ктасс FrA. Доступ к ОО..................................77

12.1    Ограничение области выбираемых атрибутов (FTA..LSA)................78

12.2    Ограничение на параллельные сеансы (FrA_MCS)...................78

12.3    Блокирование сеанса (FTA_SSL)...........................79

12.4    Предупреждения перед предоставлением доступа к ОО (FTA_TAB)...........80

12.5    История доступа к (X) (FTA_TAH)..........................81

12.6    Открытие сеанса с 00(FTA_TSE)..........................81

13    Класс FTP. Доверенный маршрут/канат....................................................82

13.1    Доверенный канал передачи между ФБО (FTPJTC)..................82

13.2    Доверенный маршрут (FTP_TRP)..........................83

Приложение А Замечания по применению функциональных требований безопасности.......84

А1 Структура замечаний..................................84

Л.2 Таблица зависимостей..................................................................85

Приложение Б Функциональные классы, семейства и компоненты................90

Приложение В Аудит безопасности (FAU)...........................90

В. 1 Автоматическая реакция аудита безопасности (FAll„ARP)................90

В.2 Генерация данных аудита безопасности (FAU_GEN)...................91

В.З Анализ аудита безопасности (FAU_SAA).........................93

В.4 Просмотр аудита безопасности (FAU_SAR).......................95

В.5 Выбор событий аудита безопасности (FAU_SEL).....................96

В.6 Храпение данных аудита безопасности (FAU_STG)...................97

Приложение Г Связь (FCO).................................98

Г.! Неотказуемостьотправления (FCO_NRO)........................98

Г.2 Неотказуемостьполучения (FCO_NRR).........................100

Приложение Д Криптографическая поддержка (FCS)......................101

Д.1 Упраатение криптографическими ктючами (FCS_CKM).................102

Д.2 Криптографические операции (FCS_COP)........................103

Приложение Е Зашита данных пользователя (FDP).......................104

E.I Политика управления доступом (FDP_ACC)......................106

Е.2 Функшш управления доступом (FDP_ACF).......................107

Е.З Аутентификация данных (FDP_DAU)..........................109

Е.4 Экспорт данных за пределы действия ФБО (FDP_ETC) ...............109

Е.5 Политика управления информационными потоками (FDPJFC).............ПО

Е.6 Функции управления информационными потоками (FDPJFF)..............112

IV

Страница 5

ГОСТ Р ИСО/МЭК 15408-2-2002

Е.7 Импорт данных из-за пределов действия ФБО (FDP_ITC)..............115

Е.8 Передача в пределах ОО (FDPJTT).........................116

Е.9 Зашита остаточной информации (FDP R1P) .....................118

Е. 10 Откат (FDP_ROL) .................................119

Е. 11 Целостность хранимых данных (FDP_SDI)......................119

Е. 12 Зашита конфиденциальности данных пользователя при передаче между ФБО (FDP_UCT) 120

Е. 13 Зашита целостности данных пользователя при передаче между ФБО (FDP_U IT).....120

Приложение Ж Идентификация и аутентификация (F1A)....................121

Ж. 1 Отказы аутентификации (FIA_AFL)..........................122

Ж.2 Определение атрибутов пользователя (FIA_ATD)....................123

Ж.З Спецификация секретов (FIA_SOS) ..........................123

Ж.4 Аутентификация пользователя (FIA_UAU).......................124

Ж.5 Идентификация пользователя (F1A_UID).......................126

Ж.6 Связывание пользователь-субъект (FIA_USB).....................126

Приложение И Управление безопасностью (FMT).......................127

И. 1 Управление отдельными функциями ФБО (FMT_MOF)................127

И.2 Управление атрибутами безопасности (FMT_MSA)...................128

И.З Управление данными ФБО (FMT_MTD)........................129

И.4 Отмена (FMT.REV).....Т...........................130

И.5 Срок действия атрибутов безопасности (FMT_SAE)...................130

И.6 Роли управления безопасностью (FMT.SMR).....................130

Приложение К Приватность (FPR)..............................131

К. I Анонимность (FPR_ANO)..............................132

К.2 Псеацонимность (FPR_PSE) .............................133

К.З Невозможность ассоциации (FPR_UNL)........................136

К.4 Скрытность (FPR„UNO) ... Г...........................137

Приложение Л Зашита ФБО (FPT)..............................139

Л.1 Тестирование базовой абстрактной машины (FPT_AMT)................140

Л.2 Безопасность при сбое (FPT_FLS)...........................142

Л.З Доступность экспортируемых данных ФБО (FPTJTA).................142

Л.4 Конфиденциальность экспортируемых данных ФБО (FPTJTC)............142

Л.5 Целостность экспортируемых данных ФБО (FPT_IT1)..................143

Л.6 Передача данных ФБО в пределах 00(FPT_1TT)...................143

Л.7 Физическая зашита ФБО (FPT_PHP).........................144

Л.8 Надежное восстановление (FPT_RCV).........................145

Л.9 Обнаружение повторного использования (FPT_RPL).................147

ЛЛ0 Посредничество при обращениях (FPT_RVM) ....................147

Л. 11 Разделение домена (FPT_SEP)............................148

Л. 12 Протокол синхронизации состояний (FPT SSP)...................149

ЛЛЗ Метки времени (FPT.STM)......".......................149

Л. 14 Согласованность данных ФБО между ФБО (FPT_TDC) ................150

Л. 15 Согласованность данных ФБО при дублировании в пределах ОО (FPT_TRC)......150

Л. 16 Самотестирование ФБО (FPTJTST).........................150

Приложение М Использование ресурсов (FRU)........................151

М.1 Отказоустойчивость (FRU_FLT) ...........................151

М.2 Приоритет обслуживания (FRU_PRS).........................152

М.З Распределение ресурсов (FRU_RSA) ..........................153

Приложение Н Доступ к (X) (FrA) .............................154

Н. 1 Ограничение области выбираемых атрибутов (FTA_LSA)................155

Н.2 Ограничение на параллельные сеансы (FTA_MCS)...................155

Н.З Блокирование сеанса (FTA_SSL) ...........................155

Н.4 Преду преждения перед предоставлением доступа к ОО (FTA TAB)...........156

Н.5 История доступа к ОО (FTAJTAH)...........Т..............157

Н.6 Открытие сеанса с OO(FTAJTSE)..........................157

Приложение П Доверенный маршрут/канал (FTP) ......................158

П. 1 Доверенный канат передачи между ФБО (FTP_1TC) ..................158

П.2 Доверенный маршрут (FTP_TRP) ..........................158

V

Страница 6

ГОСТ Р ИСО/МЭК 15408-2-2002

Введение

Проблема обеспечения безопасности информационных технологий занимает все более значительное место в реализации компьютерных систем и сетей по мере того, как возрастает их роль в информатизации общества. Обеспечение безопасности информационных технологий (И Г) представляет собой комплексную проблему, которая решается в направлениях совершенствования правового регулирования применения ИТ. совершенствования методов и средств их разработки, развития системы сертификации. обеспечения соответствующих организационно-технических условий эксплуатации. Ключевым аспектом решения пробпемы безопасности ИТ является выработка системы требований, критериев и показателей для оценки уровня безопасности ИТ.

ГОСТ Р ИСО/МЭК 15408 содержит общие критерии оценки безопасности информационных технологий.

ГОСТ Р ИСО/МЭК 15408-1 устанавливает общий подход к формированию требований к оценке безопасности (функциональные и доверия), основные конструкции (профиль зашиты, задание по безопасности) представления требований безопасности в интересах потребителей, разработчиков и оценщиков продуктов и систем ИТ. Требования безопасности объекта оценки (ОО) по методологии Общих критериев определяются исходя из целей безопасности, которые, в свою очередь, основываются на анализе назначения ОО и условий среды его использования (угроз, предположений, политики безопасности).

ГОСТ Р ИСО/МЭК 15408-2 содержит универсальный систематизированный каталог функциональных требований безопасности и предусматривает возможность их детализации и расширения по определенным правилам.

ГОСТ Р ИСО/МЭК 15408-3 включает в себя систематизированный каталог требований доверия, определяющих меры, которые должны быть приняты на всех этапах жизненного цикла продукта или системы ИТ для обеспечения уверенности в том. что они удовлетворяют предъявленным к ним функциональным требованиям. Здесь же содержатся оценочные уровни доверия, определяющие шкалу требований. которые позволяют с возрастающей степенью полноты и строгости оценить проектную, тестовую и эксплуатационную документацию, правильность реализации функций безопасности ОО, уязвимости продукта или системы ИТ, стойкость механизмов зашиты и сделать заключение об уровне доверия к безопасности объекта оценки.

VI

Страница 7

ГОСТ Р ИСО/МЭК 15408-2-2002 СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Информационная технология

ГОСУДАРСТВЕНН Ы Й

МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ КРИТЕРИИ ОЦЕНКИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ

Часть 2 Функциональные требования безопасности

Information technology. Security techniques. Evaluation criteria for IT security. Part 2.

Security functional requirements

Дата введения 2004—01—01

1 Область применения

Настоящий стандарт распространяется на функциональные компоненты безопасности, являющиеся основой для функциональных требований безопасности информационных технологий (ИТ) объекта оценки (ОО), излагаемых в профиле защиты (ПЗ) или в задании по безопасности (ЗБ). Требования описывают желательный безопасный режим функционирования ОО и предназначены для достижения целей безопасности, установленных в ПЗ или ЗБ. Требования описывают также свойства безопасности, которые пользователи могут обнаружить при непосредственном взаимодействии с ОО (т. е. при входе и выходе) или при реакции ОО на запросы.

Функциональные компоненты безопасности выражают требования безопасности, направленные на противостояние угрозам в предлагаемой среде эксплуатации ОО и/или охватывающие любую идентифицированную политику безопасности организации и предположения.

Настоящий стандарт предназначен для потребителей, разработчиков, а также оценщиков безопасных систем и продуктов ИТ. Дополнительная информация о потенциальных пользователях ГОСТ Р ИСО/МЭК 15408. а также о применении критериев указанными группами пользователей представлена в разделе 3 ['ОСТ Р ИСО/МЭК 15408-1. Эти группы могут использовать настоящий стандарт следующим образом.

Потребители — при выборе компонентов для выражения функциональных требований, позволяющих удовлетворить цели безопасности, выраженные в Г13 или ЗБ. Более подробная информация о взаимосвязях требований безопасности и целей безопасности приведена в подразделе 4.3 ГОСТ Р ИСО/МЭК 15408-1.

Разработчики, несущие ответственность за выполнение существующих или предполагаемых требований безопасности потребителя при разработке ОО. — для реализации стандартизованного метода понимания этих требований, используя содержание настоящего стандарта как основу для дальнейшего определения функций и механизмов безопасности ОО. которые соответствовали бы этим требованиям.

Оценщики — применяя функциональные требования, определенные в настоящем стандарте, при верификации того, что функциональные требования (К), выраженные в ПЗ или ЗБ, удовлетворяют целям безопасности ИТ, а также для учета зависимостей этих требований и показа удовлетворения этих зависимостей. Кроме того, оценщикам следует использовать настоящий стандарт при определении того, удовлетворяет ли данный ОО предъявленным требованиям.

1.1 Расширение и сопровождение функциональных требований

ГОСТ Р ИСО/МЭК 15408 и соответствующие функциональные требования безопасности, описанные ниже, не предназначены для окончательного решения всех задач безопасности ИТ. Скорее, настоящий стандарт предлагает совокупность хорошо продуманных функциональных требований безопасности, которые могут применяться при создании доверенных продуктов или систем И Г, отвечаю-

Издание официальное

1-2-1523

I

Страница 8

ГОСТ Р ИСО/МЭК 15408-2-2002

ших потребностям рынка. Эти функциональные требования безопасности представляют современный уровень спецификации требований и оценки.

В настоящий стандарт не предполагалось включать все возможные функциональные требования безопасности, а только те из них, которые на дату издания стандарта были известны и одобрены его разработчиками.

Так как знания и потребности пользователей могут изменяться, функциональные требования настоящего стандарта нуждаются в дальнейшем сопровождении. Предполагается, что некоторые разработчики ПЗ/ЗБ могут иметь потребности в безопасности, не охваченные в настоящее время компонентами функциональных требований настоящего стандарта. В этом случае разработчик ПЗ/ЗБ может предпочесть использование нестандартных функциональных требований (так называемую «расширяемость»), как объяснено в приложениях Б и В ГОСТ Р ИСО/МЭК 15408-1.

1.2    Структура

Раздел 1 содержит введение.

Раздел 2 представляет каталог функциональных компонентов.

В разделах 3— 13 приведено описание функциональных классов.

Приложение Л содержит дополнительную информацию, представляющую интерес для потенциальных пользователей функциональных компонентов, включая полную таблицу перекрестных ссылок зависимостей функциональных компонентов.

Приложения Б—П представляют замечания по применению функциональных классов. В них сосредоточены материалы информационной поддержки для пользователей настоящего стандарта, которые помогут им применять только допустимые операции и выбирать необходимую информацию для аудита и документирования.

ГОСТ Р ИСО/МЭК 15408-1 содержит следующую информацию, необходимую разработчикам 113 или ЗБ:

—    термины, используемые в стандарте, определены в разделе 2 ГОСТ Р ИСО/МЭК 15408-1;

—    структура Г13 приведена в приложении Б к ГОСТ Р ИСО/МЭК 15408-1;

—    структура ЗБ приведена в приложении В к ГОСТ Р ИСО/МЭК 15408-1.

1.3    Парадигма функциональных требований

На рисунках 1.1 и 1.2 показаны некоторые ключевые понятия парадигмы. Описаны и другие, не показанные на рисунках, ключевые понятия. Рассматриваемые ключевые понятия

Рисунок 1.1 — Киочсвыс понятия функциональных требований безопасности (слиный ОО)

Страница 9

Локальный логаяэогоопь    Лйк*га»ный {ньугрвнмий дли ОЩдаарЦш» маршрут

выделены полужирным курсивом. Определения терминов, приведенные в словаре в разделе 2 ГОСТ Р ИСО/МЭК 1540S-I, и этом подразделе не изменяются и не переопределяются.

ГОСТ Р ИСО/МЭК 15408-2-2002


Настоящий стандарт содержит каталог функциональных требований безопасности, которые могут быть предъявлены к объекту оценки (ОО). ОО — это продукт или система ИТ (вместе с руководством администратора и пользователя), содержащие ресурсы типа электронных носителей данных (таких, как диски), периферийных устройств (таких, как принтеры) и вычислительных возможностей (таких, как процессорное время), которые могут использоваться для обработки и хранения информации и являются предметом оценки.

Оценка, прежде всего, подтверждает, что в отношении ресурсов ОО осуществляется определенная политика безопасности ОО(ИБО). Г1БО определяет правила, по которым ОО управляет доступом к своим ресурсам и, таким образом, ко всей информации и сервисам, контролируемым ОО.

ИБО. в свою очередь, состоит из различных политик функций безопасности (ПФБ). Каждая ПФБ имеет свою область действия, определяющую субъекты, объекты и операции, на которые распространяется ПФБ. ПФБ реализуется функцией безопасности (ФЬ), чьи механизмы осуществляют политику и предоставляют необходимые возможности.

Совокупность всех функций беюпасиости ОО. которые направлены на осуществление ПБО. определяется как функции безопасности объекта оценки (ФИО). ФБО объединяют функциональные возможности всех аппаратных, программных и программно-аппаратных средств ОО, на которые как непосредственно, так и косвенно возложено обеспечение безопасности.

Монитор обращений — это концепция абстрактной машины, которая осуществляет политику управления доступом ОО. Механихч проверки правомочности обращений — реализация концепции

3

Страница 10

ГОСТ I» ИСО/МЭК 15408-2-2002

монитора обращений, обладающая следующими свойствами: защищенностью от проникновения; постоянной готовностью; простотой, достаточной для проведения исчерпывающего анализа и тестирования. ФБО могут состоять из механизма проверки правомочности обращений и/или других функций безопасности, необходимых для эксплуатации ОО.

ОО может быть единым продуктом, включающим аппаратные, программно-аппаратные и программные средства.

В ином случае ОО может быть распределенным, состоящим из нескольких разделенных частей. Каждая часть ОО обеспечивает выполнение конкретного сервиса для ОО и взаимодействует с другими частями ОО через внутренний канон связи. Этот канат может быть всего лишь шиной процессора, а может являться внутренней сетью для ОО.

Если ОО состоит из нескольких частей, то каждая часть может иметь собственное подмножество ФЬО, которое обменивается данными ФБО и пользователей через внутренние каналы связи с другими подмножествами ФЬО. Это взаимодействие называется внутренней передачей ОО. В этох» случае части ФБО формируют объединенные ФБО. которые осушестатяют ПБО для этою ОО.

Интерфейсы СЮ могут быть л окат и зованы в конкретном ОО или же могут допускать взаимодействие с другими продуктами ИТ по внешним каналам свят. Внешние взаимодействия с другими продуктами ИТ могут принимать две формы;

а)    Политика безопасности «удатенного доверенного продукта ИТ» и ПБО рассматриваемого ОО скоординированы и оценены в административном порядке. Обмен информацией в этом случае назван передачей между ФБО. поскольку он осуществляется между ФБО различных доверенных продуктов.

б)    Удатенный продукт ИТ, обозначенный на рисунке 1.2 как «недоверенный продукт ИТ», не был оценен, поэтому его политики» безопасности неизвестна. Обмен информацией в этом случае назван передачей за пределы области действия ФБО. так как этот удаленный продукт ИТ не имеет ФБО (или характеристики его политики безопасности неизвестны).

Совокупность взаимодействий, которые могут происходить с СЮ или в пределах ОС) и подчинены правилам ИБО, относится к полисти действия функций безопасности (ОДФ). ОДФ включает в себя определенную совокупность взаимодействий между субъектами, объектами и операциями в пределах ОО, но не предполагает охвата всех ресурсов ОО.

Совокупность интерфейсов как интерактивных (человеко-машинный интерфейс), так и программных (интерфейс программных приложений), через которые могут быть получены доступ к ресурсам при посредничестве ФБО или информация от ФБО. называется интерфейсом ФБО (ИФБО). И ФБО определяет Гранины возможностей функций ОС), которые предостаапены для осуществления ПБО.

Пользователи не включаются в состав ОС); поэтому они находятся вне ОДФ. Однако пользователи взаимодействую! с ОС) через ИФБО при запросе услуг, которые будут выполняться ОО. Существует два типа пользователей, учитываемых в функциональных требованиях безопасности настоящего стандарта: человек-польмватель и внешний объект ИТ. Для человека-пользователя различают локального человека-пользователя. взаимодействующего непосредственно с СЮ через устройства ОО (такие, как рабочие станции), и удаленного человека-полыователя. взаимодействующего с ОО через другой продукт ИТ.

Период взаимодействия между пользователем и ФБО называется сеансом пмьзователя. Открытие сеансов пользователей может контролироваться на основе ряда условий, таких как аутентификация пользователя, время суток, метод досту па к ОО, число параллельных сеансов, разрешенных пользователю. и т. д.

В настоящем стандарте используется термин уполномоченный для обозначения пользователя, который обладает правами и/или привилегиями, необходимыми для выполнения операций. Поэтому термин уполномоченный пользователь укатывает, что пользователю разрешается выполнять данную операцию в соответствии с ПБО.

Для выражения требований разделения административных обязанностей соответствующие функциональные компоненты безопасности (из семейства FMT_SMR). приведенные в настоящем стандарте. явно устанаативают обязательность административных ролей. Роль — это заранее определенная совокупность правил, устанавливающих допустимые взаимодействия между пользователем и ОО. ОС) может поддерживать определение произвольного числа ролей. Например, роли, связанные с операциями безопасности ОС), могут включать в себя рази «Администратор аудита» и «Администратор учета пользователей».

4

Страница 11

ГОСТ Р ИСО/МЭК 15408-2-2002

ОО содержит ресурсы, которые могут использоваться для обработки и хранения информации. Основной целью ФБО является полное и правильное осуществление ИБО для ресурсов и информации, которыми управляет ОО.

Ресурсы ОО могут иметь различную структуру и использоваться рахшчными способами. Тем не менее в настоящем стандарте проводится специальное разграничение, позволяющее специфицировать желательные свойства безопасности. Все сущности, которые могут быть созданы на основе ресурсов, характеризуются одним из двух способов. Сущности могут быть активными, т. е. являться причиной действий, которые происходят в пределах ОО. и инициировать операции, выполняемые с информацией. Напротив, сущности могут быть пассивными, т. е. являться источником или местом хранения информации.

Активные сущности названы субъектами. В пределах ОО могут существовать несколько типов Объектов:

в)    действующие от имени уполномоченного пользователя и подчиненные всем правилам ИБО (например, процессы UNIX);

г)    действующие как особый функциональный процесс, который может, в свою очередь, действовать от имени многих пользователей (например, функции, которые характерны для архитектуры клиент/сервер);

д)    действующие как часть собственно ОО (например, доверенные процессы).

В настоящем стандарте рассматривается осуществление ИБО для субъектов всех типов, перечисленных выше.

Пассивные сущности (т. е. хранилища информации) названы объектами в функциональных требованиях безопасности настоящего стандарта. Объекты являются предметом операций, которые могут выполняться субъектами. В случае, когда субъект (активная сущность) сам является предметом операции (например, при устаноапенин связи между процессами), над субъектом могут производиться действия, как над объектом.

Объекты могут содержать информацию. *то понятие требуется, чтобы специфицировать политику управления информационными потоками в соответствии с классом FDP.

Пользователи, субъекты, информация и объекты обладают определенными атрибутами. которые содержат информацию, позволяющую ОО функционировать правильно. Некоторые атрибуты, такие как имена файлов, могут предназначаться только для информирования, в то время как другие, например различные параметры управления доступом. — исключительно для осуществления ПВО. Эти последние обобщенно названы «атрибутами беюпасности*. В дальнейшем слово «атрибут» используется в настоящем стандарте как сокращение для словосочетания «атрибут безопасности*, если иное не оговорено. Вместе с тем, независимо от предназначения информации атрибута, могут потребоваться средства управления этим атрибутом в соответствии с ИБО.

В ОО содержатся данные пользователей и данные ФБО. На рисунке 1.3 показана их взаимосвязь. Данные по,гыовате.1ей — это информация, содержащаяся в ресурсах ОО. которая может применяться пользователями в соответствии с ИБО и не предназначена специально для ФБО. Например, содержание сообщения электронной почты является данными пользователя. Данные ФЬО — это информация.

ДАННЫЕ ОО

Л


данные tea


ДАННЫЕ

ПОЛЬЗОВАТЕЛЕЙ


Адаантнфмс»-

ционньв

АМН»


С


J


Атрибут баяагшмшпи f Атрифты гсагъжияттопвЯ ) [ АцнДуш пДмяш J


Атрибут cyeverro*


г


V

ч

Рисунок U — Связь между данными пользователей и данными ФБО

5

Страница 12

ГОСТ Р ИСО/МЭК 15408-2-2002

используемая ФЬО при осуществлении ИБО. Допустимо воздействие пользователей на данные ФБО, если это предусмотрено ПБО. Примерами данных ФБО являются атрибуты безопасности, аутентификационные данные, списки управления доступом.

Выделяются МФБ. которые применяются при защите данных, такие как ИФЬ управления доступом и 11ФБ управления информационными потоками. Действия механизмов, реализующих Г1ФБ управления доступом, основаны на атрибутах субъектов, объектов и операций в пределах области действия. Эти атрибуты используются в совокупное™ правил, управляющих операциями, которые субъектам разрешено выполнять на объектах.

Функционирование механизмов, реализующих Г1ФБ управления информационными потоками, основано на атрибутах субъектов и информации в пределах области действия и совокупности правил, по которым выполняются операции субъектов над информацией. Атрибуты информации, которые могут быть ассоциированы с атрибутами места хранения (или не ассоциированы с ними, например в случае многоу ровневой базы данных), остаются с информацией при ее перемещении.

Два специфических типа данных ФБО. рассматриваемых в настоящем стандарте, могут, хотя и необязательно, совпадать. Эхо аутентификационные данные и секреты.

Аутентификационные данные используются, чтобы верифицировал, заяатенный идентификатор пользователя, обращающегося к ОО за услугами. Самая распространенная форма аутентификационных данных - пароль, который необходимо хранить в секрете, чтобы механизм безопасности был эффективен. Однако в секрете необходимо хранить не все формы аутентификационных данных. Биометрические опознавательные устройства (такие, как считыватели отпечатка пальца или сканеры сетчатки глаза) основываются не на предположении, что аутентификационные данные хранятся в секрете, а на том. что эти данные являются неотъемлемым свойством пользователя, которое невозможно подделать.

Термин «секрет», использу емый в функциональных требованиях настоящего стандарта по отношению к аутентификационным данным, применим и к данным других типов, которые необходимо хранить в тайне при осуществлении определенной МФБ. Например, стойкость механизма доверенного канала, в котором применена криптография для сохранения конфиденциальности передаваемой через канал информации, зависит от надежности способа сохранения в секрете криптографических ключей от несанкционированного раскрытия.

Следовательно, некоторые, но не все аутентификационные данные необходимо хранить в секрете, и некоторые, но не все секреты используют как аутентификационные данные. Рисунок 1.4 показывает эту взаимосвязь секретов и аутентификационных данных. На этом рисунке указаны типы данных, которые часто относят к аутентификационным данным и секретам.

Бшшвтрия

Кредитные eprww

Рисунок 1.4 — Связь между понятиями «аутентификационные данные» и «секреты»

2 Функциональные компоненты безопасности 2.1 Крат кий обзор

'Этот раздел определяет содержание и форму представления фуикционатьных требований настоящего стандарта и представляет руководство по организации требований для новых компонентов, включаемых в ЗБ. Функционатьные требования объединены в классы, семейства и компоненты.

Страница 13

ГОСТ Р ИСО/МЭК 15408-2-2002

2.1.1 Структура класса

Структура функционального класса приведена на рисунке 2.1. Каждый функциональный класс содержит имя класса, представление класса и одно или несколько функциональных семейств.

Рисунок 2.1 — Структура функционального класса

2.1.1.1    Имя класса

Имя класса содержит информацию, необходимую для идентификации функционального класса и отнесения его к определенной категории. Каждый функциональный класс имеет уникальное имя. Информация о категории предоставлена кратким именем, состоящим из трех букв латинского алфавита. Краткое имя класса используют при задании кратких имен семейства этого класса.

2.1.1.2    Представление класса

Представление класса обобщает участие семейства класса в достижении целей безопасности. Определение функциональных классов не отражает никакую формальную таксономию в спецификации требований.

Представление класса содержит рисунок, показывающий все семейства этого класса и иерархию компонентов в каждом семействе, как указано в 2.2.

2.1.2    Структура семейства

Структура функционального семейства приведена на рисунке 2.2.

2.1.2.1 Имя семейства

Имя семейства содержит описательную информацию. необходимую, чтобы иде1гтифииировать и катего-рировать функциональное семейство. Каждое функциональное семейство имеет уникальное имя. Информация о категории состоит из краткого имени, включающего в себя семь символов.

Рисунок 2.2 — Структур;! функционального семейства

Первые три символа идентичны краткому имени класса, далее следуют символ подчеркивания и краткое имя семейства в виде XXX. YYY.

Уникальная краткая форма имени семейства предоставляет основное имя ссылки для компонентов.

7

Страница 14

ГОСТ Р ИСО/МЭК 15408-2-2002

2.1.2.2    Характеристика семейства

Характеристика семейства — это описание функционального семейства, в котором ихзагаются его цели безопасности и общее описание функциональных требований. Более детально они описаны ниже:

а)    цели безопасности семейства характеризуют задачу безопасности, которая может быть решена с помощью компонентов этого семейства;

б)    описание функциональных требовании обобщает все требования, которые включены в компонентны). Описание ориентировано на разработчиков ГГЗ, ЗБ и функциональных пакетов, которые хотели бы определить, соответствует ли семейство их конкретным требованиям.

2.1.2.3    Ранжирование компонентов

Функциональные семейства содержат один или несколько компонентов, каждый из которых может быть выбран для включения в ПЗ. ЗБ и функциональные пакеты. Цель ранжирования компонентов — предоставить пользователям информацию для выбора подходящего функционального компонента, если семейство идентифицировано пользователем как необходимая или полезная часть требований безопасности.

Далее перечисляются имеющиеся компоненты и приводится их логическое обоснование. Детализация компонентов производится в описании каждого компонента.

Связи между компонентами в пределах функционального семейства могут быть иерархическими и неиерархическими. Компонент иерархичен (т. е. расположен выше по иерархии) по отношению к другому компоненту, если предлагает большую безопасность.

Описания семейств содержат графическое представление иерархии компонентов, рассмотренное

в 2.2.

2.1.2.4    Управление

Требования управления содержат информацию для разработчиков НЗ/ЗБ. учитываемую при определении действий по управлению для данного компонента. Требования управления детализированы в компонентах класса «Управление безопасностью-* (FMT).

Разработчик ПЗ/ЗБ может выбрать какие-либо из имеющихся требований управления или включить новые, не указанные в настоящем стандарте. В последнем случае следует представить необходимую информацию.

2.1.2.5    Аудит

Требования аудита содержат события, потенциально подвергаемые аудиту, для их отбора разработчиками ПЗ/ЗБ при усповии включения в ПЗ/ЗБ требований из класса FAU «Аудит безопасности». Эти требования включают в себя события, относящиеся к безопасности, применительно к различным уровням детализации, поддерживаемым компонентами семейства FAU_GEN «Генерация данных аудита безопасности». Например, запись аудита какого-либо механизма безопасности может включать в себя на разных уровнях детализации действия, которые раскрываются в следующих терминах.

Минимальный - успешное использование механизма безопасности.

Базовый любое использование механизма безопасности, а также информация о текущих значениях атрибутов безопасности.

Детализированный - любые изменения конфигурации механизма безопасности, включая параметры конфигурации до и после изменения.

Следует учесть, что ка-тегорирование событий, потенциально подвергаемых аудиту, всегда иерархично. Например, если выбрана базовая генерация данных аудита, то все события, идентифицированные как потенциально подвергаемые аудиту и поэтому входящие как в минимальную. так и в базовую запись, следует включить в ПЗ/ЗБ с помощью соответствующей операции назначе-

Рисунок 2.3 — Структура функционального компонента

8

Страница 15

ГОСТ Р ИСО/МЭК 15408-2-2002

мня, за исключением случая, когда событие более высокого уровня имеет более высокий уровень детализации, чем событие более низкого уровня, и может просто заменить его. Когда желательна детализированная генерация данных аудита, все идентифицированные события, потенциально подвергаемые аудиту (для минимального, базового и детализированного уровней), следует включить в ПЗ/ЗБ.

Правила управления аудитом более подробно объяснены в классе FAU.

2.1.3 С т р у к т у р а компонента

Структура функционального компонента показана на рисунке 2.3.

2.1.3.1    Идентификация компонента

Идентификация компонента включает в себя описательную информацию, необходимую для идентификации, категорирования, записи и реатзации перекрестных ссылок компонента. Для каждого функционального компонента представляется следующее:

—    уникальное им», отражающее предназначение компонента:

—    краткое имя, применяемое как основное имя ссылки для категорирования. записи и реалнза-ции перекрестных ссылок компонента и уникально отражающее ктасс и семейство, которым компонент принадлежит, а также номер компонента в семействе;

—    список иерархических связей, содержащий имена других компонентов, для которых этот компонент иерархичен и вместо которых может использоваться при удовлетворении зависимостей от перечисленных компонентов.

2.1.3.2    Функциональные элементы

Каждый компонент включает в себя набор элементов. Каждый элемент определяется отдельно и является самодостаточным.

Функциональный элемент — это функциональное требование безопасности, дальнейшее разделение которого не меняет значимо результат оценки. Я&ияется наименьшим функциональным требованием безопасности, идентифицируемым и признаваемым в ГОСТ Р ИСО/МЭК 15408.

При формировании ПЗ, ЗБ и/или пакетов не разрешается выбирать только часть элементов компонента. Для включения в 113. ЗБ или пакет необходимо выбирать всю совокупность элементов компонента.

Вводится уникальная краткая форма имени функционального элемента. Например, имя FDIMFF.4.2 читается следующим образом: F — функциональное требование, DP — класс «Зашита данных пользователя*, _IFF — семейство «Функции управления информационными потоками», .4 — четвертый компонент «Частичное устранение неразрешенных информационных потоков», .2 — второй элемент компонента.

2.1.3.3    Зависимости

Зависимости среди функциональных компонентов вошикают, когда компонент не самодостаточен и нуждается либо в функциональных возможностях другого компонента, либо во взаимодействии с ним для поддержки собственного выполнения.

Каждый функциональный компонент содержит полный список зависимостей от других функциональных компонентов и компонентов доверия. Для некоторых компонентов указано, что зависимости отсутствуют. Компоненты из списка могут, в свою очередь, иметь зависимости от других компонентов. Список, приведенный в компоненте, показывает прямые зависимости, т. е. содержит ссылки только на функциональные компоненты, заведомо необходимые дня обеспечения выполнения рассматриваемого компонента. Косвенные зависимости, определяемые собственными зависимостями компонентов из списка, показаны в приложении Л. В некоторых стучаях зависимость выбирают из нескольких предлагаемых функциональных компонентов, причем каждый из них достаточен для удовлетворения зависимости (см., например. FDP_UIT.I).

Список зависимостей идентифицирует минимум функциональных компонентов или компонентов доверия, необходимых для удовлетворения требований безопасности, ассоциированных с данным компонентом. Компоненты, которые иерархнчны по отношению к компоненту из списка, также могут быть использованы для удовлетворения зависимости.

Зависимости между компонентами, указанные в настоящем стандарте, обязательны. Их необходимо удоачетворить в ПЗ/ЗБ. В некоторых, особых случаях эти зависимости удоатетворить невозможно. Разработчик ПЗ/ЗБ, обязательно обоснован, почему данная зависимость неприменима, может не включать соответствующий компонент в пакет. ПЗ или ЗБ.

9

Страница 16

ГОСТ Р ИСО/МЭК 15408-2-2002

2.1.4 Р а з р е ш е и н ы е операции с функциональными компонентами

При определении требований в ПЗ, ЗБ или функциональном пакете функциональные компоненты могут либо использоваться полностью и соответствии с разделами 3—13 настоящего стандарта, либо быть дополнительно конкретизированы для достижения специфической цели безопасности. Однако отбор и конкретизация этих функциональных компонентов усложнены тем обстоятельством, что необходимо учитывать имеющиеся зависимости между компонентами. Поэтому такая конкретизация строго ограничена принятым набором операций.

К каждому функциональному компоненту могут быть применены разрешенные операции. Не все операции разрешены на всех функциональных компонентах.

К разрешенным операциям относятся:

—    итерация — позволяет несколько раз использовать компонент с различным выполнением операций;

—    назначение — позволяет специфицировать заданный параметр;

—    выбор — позволяет специфицировать один или несколько элементов из списка;

—    уточнение — позволяет добавить детали.

2.1.4.1    Итерация

Гам, где необходимо охватить различные аспекты одного и того же требования (например, идентифицировать несколько типов пользователей), разрешается повторное использование одного и того же функционального компонента, позволяющее охватить каждый аспект.

2.1.4.2    Назначение

Некоторые элементы функциональных компонентов содержат параметры или переменные, которые дают возможность разработчику ПЗ/ЗБ специфицировать политику или совокупность величин для включения в ПЗ/ЗБ, чтобы выполнить специфическую цель безопасности. Эти элементы однозначно идентифицируют каждый такой параметр и ограничения на значения, которые может принимать этот параметр.

Любой аспект элемента, допустимые значения которого могут быть однозначно описаны или перечислены, может быть представлен параметром. Параметр может быть атрибутом или правилом, сводящим требование к определенному значению или диапазону значений. Например, элемент функционального компонента, направленный на достижение определенной цели безопасности, может установить, что некоторую операцию следует выполнять неоднократно. В этом случае назначение установит число возможных повторений (или диапазон для него), которое будет использоваться для данного параметра.

2.1.4.3    Выбор

Операция заключается в ограничении области применения элемента функционального компонента посредством выбора одного или нескольких вариантов из списка, приведенного в элементе.

2.1.4.4    Уточнение

Для всех элементов функционального компонента разработчику ПЗ/ЗБ разрешается ограничить множество допустимых реализаций путем определения дополнительных деталей для достижения целей безопасности. Уточнение элемента заключается в добавлении этих специфических деталей.

Например, если для конкретного ОО требуется объяснение смысла терминов «субъект* и «объект* в рамках ЗБ. то эти термины подвергают операции уточнения.

Подобно другим операциям, уточнение не налагает абсолютно новых требований. Исходя из целей безопасности, уточнение предполагает проработку деталей, интерпретацию или развитие требований, правил, значений или условий. Уточнение должно л ишь ограничивать совокупность возможных функций или механизмов для реализации требования, но никогда не расширять ее. Уточнение не позволяет создать новые требования и поэтому не увеличивает список зависимостей, связанных с компонентом. Разработчику ПЗ/ЗБ необходимо быть внимательным, чтобы существующие зависимости прочих требований от уточняемого требования были по-прежнему удовлетворены.

2.2 Каталог компонентов

Расположение компонентов в настоящем стандарте не отражает какую-либо формальную таксономию.

Настоящий стандарт содержит классы, состоящие из семейств и компонентов, которые приблизительно сгруппированы на основе обшей функции и предназначения. Классы и семейства представле-

10

Страница 17

ГОСТ Р ИСО/МЭК 15408-2-2002

мы и алфавитном (по-латински) порядке. В начале каждого класса имеется рисунок, показывающий таксономию этого класса, перечисляя семейства в этом классе и компоненты в каждом семействе. Рисунок также иллюстрирует иерархию компонентов внутри каждого семейства.

В описании каждого функционального компонента приведены его зависимости от других компонентов.

11ример представления таксономии класса и иерархии компонентов в его семействах приведен на рисунке 2.4. Здесь первое семейство содержит три иерархических компонента, где компоненты 2 и 3 могут быть применены для выполнения зависимостей вместо компонента 1. Компонент 3 иерархичен к компоненту 2 и может применяться для выполнения зависимостей вместо компонента 2.

В семействе 2 имеются три компонента, не все из которых иерархически связаны. Компоненты 1 и 2 не нерархичны к другим компонентам. Компонент 3 иерархичен к компоненту 2 и может применяться для удовлетворения зависимостей вместо компонента 2, но не вместо компонента 1.

В семействе 3 компоненты 2—4 иерархичны к компоненту 1. Компоненты 2 и 3 нерархичны к компоненту 1, но несопоставимы по иерархии между собой. Компонент 4 иерархичен к компонентам 2 и 3.

Подобные рисунки дополняют текст описания семейств и делают проще идентификацию отношений их компонентов. Они не заменяют пункт «Иерархический для» в описании каждого компонента. который устанавливает обязательные утверждения иерархии для каждого компонента.

2.2.1 Выделение изменений в компоненте

Вмимосвязь компонентов в пределах семейства показана с использованием полужирного шрифта. Все новые требования в тексте компонентов выделены полужирным шрифтом. Для иерархически связанных компонентов требования и/или зависимости выделены, когда они расширены или модифицированы по сравнению с требованиями предыдущего компонента. Кроме того, любые новые или расширенные по сравнению с предыдущим компонентом разрешенные операции также выделены полужирным шрифтом.

3 Класс FAU. Аудит безопасности

Лудит безопасности включает в себя распознавание, запись, храпение и анализ информации, связанной с действиями, относящимися к безопасности (например, с действиями, контролируемыми ПВО). Записи аудита, получаемые в результате, могутбытьпроанализированы. чтобы определить, какие действия, относящиеся к безопасности, происходили и кто из пользователей за них отвечает.

II

Страница 18

ГОСТ I» ИСО/МЭК 15408-2-2002

Декомпозиция класса на составляющие его компоненты показана на рисунке 3.1.

Лудит Имспймкп

АдтЛмВтт* ИГ irtn рМвця! яудкте Вееошонооти

FAUjGEN Пммрмря дв*их«дапж битвшоста

-0 -0-0

НЗ-

— FAU_8AA Ажиа цоита бпопасюсти

- 1

FAU_BMR Просмотр вдопа бпсгашосгм

НИ

FAU_8EL Buftp шбьгт*) г#»т

СаэспмнЗДти

FAU_STa Хритш дмт «удотт бШпМнвСт

-В-0

Рисунок 3.1 — Декомпозиция класса «Аудит безопасности»

3.1 Автоматическая реакция аудита безопасности (FAU_ARP)

Характеристика семейства

Семейство FAU_ARP определяет реакцию на обнаружение событий, указывающих на возможное нарушение безопасности.

Ранжирование компонентов

В FAU_ARP.l «Сигналы нарушения безопасности» ФБО должны предпринимать действия в случае обнаружения возможной) нарушения безопасности.

Управление: FAU_ARP.l

Для функций управления из класса FMT может рассматриваться следующее действие, а) Упрааление действиями (добавление, удаление или модификация).

12

Страница 19

ГОСТ Р ИСО/МЭК 15408-2-2002

Аудит: FAU.ARP.I

Если в ПЗ/ЗБ включено семейство FAU_GEN -Генерация данных аудита безопасности», то следует предусмотреть возможность (в зависимости от выбранного уровня) аудита следующих действий (событий) параметров.

а) Минимальный: действия, предпринимаемые в ответ на ожидаемые нарушения безопасности.

FAU_ARP.l Сигналы нарушения безопасности

Иерархический для: Нет подчиненных компонентов.

FAU_ARP. 1.1 ФЬО должны предпринять (назначение: спианс наименее разрушительных действий] при обнаружении возможного нарушения безопасности.

Зависимости: FAU_SAA1 Анализ потенциального нарушения

3.2 Генерация данных аудита безопасности (FAU_GEN)

Характеристика семейства

Семейство FAU_GEN определяет требования по регистрации возникновения событий, относящихся к безопасности, которые подконтрольны ФБО. Это семейство идентифицирует уровень аудита, перечисляет типы событий, которые потенциально должны подвергаться аудиту с использованием ФБО, и определяет минимальный объем связанной с аудитом информации, которую следует предстаатять в записях аудита panичкого типа.

Ранжирование компонентов

FAU_GEN.I «Генерация данных аудита» определяет уровень событий, потенциально подвергаемых аудиту, и состав данных, которые должны быть зарегистрированы в каждой записи.

В FAU_GEN.2 «Ассоциация идентификатора пользователя- ФБО должны ассоциировать события, потенциально подвергаемые аудиту, и личные идентификаторы пользователей.

Управление: FAU_GEN.I, FAU_GEN.2

Действия по управлению не предусмотрены.

Аудит: FAU_GEN.I, FAU_GEN.2

Нет идентифицированных действий/событнй/параметров, для которых следует предусмотреть возможность аудита.

FAU_GEN.I Генерация данных аудита

Иерархический для: Нет подчиненных компонентов.

FAU_GEN.I.I ФБО должны быть способны генерировать запись аудита для следующих событий, потенциально подвергаемых аудиту:

а)    запуск и завершение выполнения функций аудита;

б)    все события, потенциально подвергаемые аудиту, на (выбор: минимальный, базовый, детализированный, неопределенный| уровне аудита;

в)    (назначение: другие специшьио определенные события, потенциально подвергаемые аудиту]. FAU_GEN. 1.2 ФБО должны регистрировать в каждой записи аудита, по меньшей мере, следующую информацию:

а)    лата и время события, тин события, идентификатор субъекта и результат события (успешный или неуспешный);

б)    для каждого типа событий, потенциально подвергаемых аудиту, из числа определенных в функциональных компонентах, которые включены в ПЗ/ЗБ, (назначение: другая относящаяся к аудиту информация J.

Зависимости: FPT_STM.l Надежные метки времени FAU_GEN.2 Ассоциация идентификатора пользователя Иерархический для: Нет подчиненных компонентов.

FAU_GEN.2.1 ФБО должны быть способны ассоциировать каждое событие, потенциально подвергаемое аудиту, с идентификатором пользователя, который был инициатором этого события.

2-1 - IS2J

13

Страница 20

ГОСТ Р ИСО/МЭК 15408-2-2002

Зависимости: FAU_GEN.l Генерация данных аудита

F1A_U1D.1 Выбор момента идентификации

3.3 Анализ аудита безопасности (FAU_SAA)

Характеристика семейства

Семейство FAU_SAA определяет требования для автоматизированных средств, которые анализируют показатели функционирования системы и данные аудита в целях поиска возможных или реальных нарушений безопасности. Этот анализ может использоваться для поддержки как обнаружения проникновения, так и автоматической реакции на ожидаемое нарушение безопасности.

Действия, предпринимаемые при обнаружении нарушений, могут быть при необходимости определены с использованием семейства FAU_ARP.

Ранжирование компонентов

RW_8AA Анапа awra бааопасноош

В FAU_SAA. I «Анализ потенциального нарушения» требуется базовый порог обнаружения на основе установленного набора правил.

В FAU_SAA.2 «Выявление аномалии, основанное на профиле» ФБО поддерживают отдельные профили использования системы, где профиль представляет собой шаблоны предыстории использования, выполнявшиеся участниками целевой группы профиля. Целевая труппа профиля может включать в себя одного или нескольких участников (например, отдельный пользователь; пользователи, совместно использующие общий идентификатор или общие учетные данные; пользователи, которым назначена одна роль; все пользователи системы или сетевого узла), которые взаимодействуют с ФБО. Каждому участнику целевой группы профиля назначается индивидуальный рейтинг подозрительной активности, который показывает, насколько текущие показатели действий участника соответствуют установленным шаблонам использования, представленным в профиле. Этот анализ может выполняться во время функционирования ОО или при анализе данных аудита в пакетном режиме.

В FAU_SAA.3 «Простая эвристика атаки* ФБО должны быть способны обнаружить возникновение характерных событий, которые свидетельствуют о значительной угрозе осуществлению ПБО. Этот поиск характерных событий может происходить в режиме реального времени или при анализе данных аудита в пакетном режиме.

В FAU_SAA.4 «Сложная эвристика атаки» ФБО должны быть способны задать и обнаружить многошаговые сценарии проникновения. Здесь ФБО способны сравнить события в системе (возможно, выполняемые несколькими участниками) с последовательностями событий, известными как полные сценарии проникновения. ФБО должны быть способны указать на обнаружение характерного события или последовательности событий, свидетельствующих о возможном нарушении ПБО.

Управление; FAU_SAA.l

Для функций управления из класса FMT может рассматриваться следующее действие.

а) Сопровождение (добавление, модификация, удаление) правил из набора правил.

Управление; FAU_SAA.2

Для функций управления из класса FMT может рассматриваться следующее действие.

а) Сопровождение (удаление, модификация, добавление) группы пользователей в целевой группе профиля.

Управление: FAU_SAA.3

Для функций управления из класса FMT может рассматриваться следующее действие.

а) Сопровождение (удаление, модификация, добавление) подмножества событий системы.

Управление: FAU_SAA.4

Для функций управления из класса FMT могут рассматриваться следующие действия.

а)    Сопровождение (удаление, модификация, добавление) подмножества событий системы.

б)    Сопровождение (удаление, модификация, добавление) набора последовательностей событий системы.

!4

Страница 21

ГОСТ Р ИСО/МЭК 15408-2-2002

Аудит: FAU_SAA.l, FAU_SAA.2. FAU_SAA.3, FAU_SAA-4

Если и ПЗ/ЗБ включено семейство FAU_GEN «Генерация данных аудита безопасности», то следует предусмотреть возможность (в зависимости от выбранного уровня) аудита следующих дей-ствнй/событий/параметров.

а)    Минимальный: подключение и отключение любого из механизмов анализа.

б)    Минимальный: автоматические реакции, выполняемые инструментальными средствами.

FAUSAA. 1 Диализ потенциального нарушения

Иерархический для: Нет подчиненных компонентов.

FAU_SAA.1.1 ФБО должны быть способны применить набор нравн.1 мониторинга событий, подвергающихся аудиту, и указать на возможное нарушение ИБО, основываясь на этих правилах.

FAU_SAA. 1.2 ФБО должны реализовать следующие правила при мониторинге событий, подвергающихся аудиту:

а)    накопление или объединение известных (назначение: подмножество определенных событий, потенциально подвергаемых аудиту], указывающих на возможное нарушение безопасности;

б)[назначение:    другие правила].

Зависимости: FAU_GEN.l Генерация данных аудита

FAU_SAA.2 Выявление аномалии, основанное на профиле

Иерархический для: FAU_SAA.l

FAU_SAA.2.1 ФБО должны быть способны сонровождатьнрофилн использования системы, где каждый отдельный профиль представляет известные шаблоны предыстории использования, выполнявшиеся участниками [назначение: спецификация целевой группы профиляJ.

FAU_SA\.2.2 ФБО должны быть способны сопровождать рейтинг подозрительной активности для каждого пользователя, чьи действия отражены в профиле, где рейтинг подозрительной активности показывает степень несогласованности действий, выполняемых пользователем, с установленными шаблонами использования, представленными в профиле.

FAU_SAA.2.3 ФБО должны быть способны указать на ожидаемое нарушение ИБО, когда рейтинг подозрительной активности пользователя превышает следующие пороговые условия [назначение: условия, при которых ФБО сообщает об аномальных действиях].

Зависимости: FIA_UID.I Выбор момента идентификации

FAU_SAA.3 Простая эвристика атаки

Иерархический для: FAU_SAA.l

FAU_SAA.3.1 ФБО должны быть способны сопровождать внутреннее представление следующих характерных событий [назначение: подмножество событий системы|, которые могут указывать на нарушение ИБО.

FAU_SAA.3.2 ФБО должны быть способны сравнить характерные события с записью показателей функционирования системы, полученных при обработке [назначение: информация, используемая для определения показателей функционирования системы |.

FAU_SAA.3.3 ФБО должны быть способны указать на ожидаемое нарушение ИБО, когда событие системы соответствует характерному событию, указывающему на возможное нарушение ИБО.

Зависимости: отсутствуют.

FAU_SAA.4 Сложная эвристика атаки

Иерархический для: FAU_SAA.3

FAU_SAA4.1 ФБО должны быть способны сопровождать внутреннее представление следу ющих последовательностей событий известных сценариев проникновения [назначение: список пос1едовательностей событий системы, совпадение которых характерно д.гя известных сценариев проникновения] и следующих характерных событий [назначение: подмножество событий системы], которые могут указывать на возможное нарушение ИБО.

15

Страница 22

ГОСТ Р ИСО/МЭК 15408-2-2002

FAU_SAA.4.2 ФБО должны быть способны сравнить характерные события и последовательности событий с записью показателей функционирования системы, полученных при обработке (назначение: информация, используемая Оля определения показателей функционирования системы |.

FAU_SAA.4.3 ФБО должны быть способны указать на ожидаемое нарушение ИБО, когда показатели функционирования системы соответствуют характерному событию или последовательности событий, указывающим на возможное нарушение ПВО.

Зависимости: отсутствуют.

3.4 Просмотр аудита безопасности (FAU_SAR)

Характеристика семейства

Семейство FAU_SAR определяет требования к средствах» аудита, к которым следует предоставить доступ уполномоченным пользователям для использования при просмотре данных аудита.

Ранжирование компонентов

FAU_SAR.l «Просмотр аудита» предоставляет возможность читать информацию из записей аудита.

FAU. SAR.2 «Ограниченный просмотр аудита» содержит требование отсутствия доступа к информации кому-либо, кроме пользователей, указанных в FAU_SAR.l.

FAU_SAR.3 ^Выборочный просмотр аудита» содержит требование, чтобы средства просмотра аудита отбирали данные аудита на основе критериев просмотра.

Управление: FAU_SAR.l

Для функций управления из класса FMT может рассматриваться следующее действие.

а) Сопровождение (удаление, модификация, добавление) группы пользователей с правом доступа к чтению записей аудита.

Управление: FAU_SAR.2, FAU_SAR.3

Действия по управлению не предусмотрены.

Аудит: FAU SAR. I

Если в ПЗ/ЗБ включено семейство FAU_GEN «Генерация данных аудита безопасности», то следует предусмотреть возможность (в зависимости от выбранного уровня) аудита следующих действий/событий/параметров.

а) Базовый: чтение информации из записей аудита.

Аудит: FAU_SAR.2

Если в ПЗ/ЗБ включено семейство FAU_GEN «Генераиня данных аудита безопасности», то следует предусмотреть возможность (в зависимости or выбранного уровня) аудита следующих действий/событий/параметров.

а) Базовый: неуспешные попытки читать информацию из записей аудита.

Аудит: FAU SAR.3

Если в ПЗ/ЗБ включено семейство FAU_GEN «Генерация данных аудита безопасности*, то следует предусмотреть возможность (в зависимости от выбранного уровня) аудита следующих дей-ствнй/событий/параметров.

а) Детализированный: параметры, используемые при просмотре.

FAU_SAR. I Просмотр аудита

Компонент FAU^SAR.I предоставит уполномоченным пользователям возможность получать и интерпретировать информацию. Дтя человека-пользователя эту информацию требуется представлять в понятном для него виде. Дая внешнего объекта ИТ информацию требуется представлять только в электронном виде.

Иерархический для: Нет подчиненных компонентов.

FAU_SAR.1.1 ФБО должны предоставлять (назначение: уполномоченные пользователи] возможность читать (назначение: список информации аудита] из записей аудита.

16

Страница 23

ГОСТ Р ИСО/МЭК 15408-2-2002

FAU_SAR. 1.2 ФБО должны предоставлять записи аудита в виде, позволяющем пользователю воспринимать содержащуюся в них информацию.

Зависимости: FAU_GEN.l Генерация данных аудита FAU_SAR.2 Ограниченный просмотр аудита

Иерархический для: Нет подчиненных компонентов.

FAU_SAR.2.1 ФБО должны запретить всем пользователям доступ к чтению записей аудита, за исключением пользователей, которым явно предоставлен доступ для чтения.

Зависимости: FAU_SAR.l Просмотр аудита FAU_SAR.3 Выборочный просмотр аудита

Иерархический для: Нет подчиненных компонентов.

FAU_SAR.3.I ФБО должны предоставить возможность выполнить (выбор: поиск, сортировка, упорядочение] данных аудита, основанный на [назначение: критерии с логическими отношениями|.

Зависимости: FAU_SAR.I Просмотр аудита

3.5 Выбор событий аудита безопасности (FAU_SEL)

Характеристика семейства

Семейство FAU_SEL определяет требования для отбора событий, которые будут подвергаться аудиту во время функционирования 00, а также требования для включения или исключения событий из совокупности событий, подвергающихся аудиту.

Раижирован не ком понентов

FAU_SEL.I «Избирательный аудит* содержит требования возможности включения или исключении события из совокупности событий, подвергающихся аудиту, на основе атрибутов, определяемых разработчиком ПЗ/ЗБ.

Управление: FAUJSEL.1

Ятя функций управления из класса FMT может рассматриваться следующее действие.

а) Сопровождение прав просмотра/модификации событий аудита.

Лудит: FAU_SEL. I

Если в ПЗ/ЗБ включено семейство FAU_GEN «Генерация данных аудита безопасности», то следует предусмотреть возможность (в зависимости от выбранного уровня) аудита следующих дей-ствий/событи й/параметров.

а) Минимальный: все модификации конфигу рации аудита, происходящие во время сбора данных аудита.

FAU_SEL.l Избирательный аудит

Иерархический для: Нет подчиненных компонентов.

FAU_SEL. 1.1 ФБО должны быть способны к включению событий, потенциально подвергаемых аудиту, в совокупность событий, подвергающихся аудиту, или к их исключению из этой совокупности но следующим атрибутам:

а)    [выбор: идентификатор объекта, идентификатор полыователя, идентификатор субъекта, идентификатор узла сети, тип события[;

б)    [назначение: список дополнительных атрибутов, на которых основана избирателыюсть аудита).

Зависимости: FAU_GEN.I Генерация данных аудита

FMT_MTD.l Управление данными ФБО

3.6 Хранение данных аудита безопасности (FAU_STG)

Характеристика семейства

Семейство FAU_STG определяет требования, при выполнении которых ФБО способны создавать и сопровождать журнал аудита безопасности.

17

2-2— 1523

Страница 24

В FAU_STG.l «Защищенное хранение журнала аудита» содержатся требования защиты журнала аудита от несанкционированного удаления и/или модификации.

ГОСТ Р ИСО/МЭК 15408-2-2002

Ранжирование компонентов


FAU_STG.2 «Гарантии доступности данных аудита* определяет гарантии, что ФБО поддерживают имеющиеся данные аудита при возникновении нежелательной ситуации.

FAU_STG.3 «Действия в случае возможной потери данных аудита* определяет действия, которые необходимо предпринять, если превышен заданный порог заполнения журнала аудита.

FAU_STG.4 «Предотвращение потери данных аудита» определяет действия при переполнении журнала аудита.

Управление: FAU_STG.I

Действия по управлению не предусмотрены.

Управление: FAU_STG.2

Для функций управления из класса FMT может рассматриваться следующее действие, а) Сопровождение параметров, которые управляют возможностями хранения журнала аудита. Управление: FAU_STG.3

Для функций управления из класса FMT могут рассматриваться следующие действия.

а)    Отслеживание порога заполнения.

б)    Сопровождение (удаление, модификация, добавление) действий, которые нужно предпринять при возможном сбое хранения журнала аудита.

Управление: FAU_STG.4

Ятя функций управления из класса FMT может рассматриваться следующее действие, а) Сопровождение (удаление, модификация, добавление) действий, которые нужно предпринять при сбое хранения журнала аудита.

Аудит: FAU_STG.I. FAU.STG.2

Нет идентифицированных действий/событий/параметров, для которых следует предусмотреть возможности аудита.

Аудит FAU.STG.3

Если в ПЗ/ЗБ включено семейство FAll_GEN «Генерация данных аудита безопасности*, то следует предусмотреть возможность (в зависимости от выбранного уровня) аудита следующих дей-ствий/событий/параметров.

а) Базовый: предпринимаемые действия посте превышения порога заполнения.

Аудит FAU STG.4

Если в ПЗ/ЗБ включено семейство FAU_GEN «Генерация данных аудита безопасности*, то следует предусмотреть возможность (в зависимости от выбранного уровня) аудита следующих дей-ствий/событий/параметров.

а) Базовый: предпринимаемые действия при сбое хранения журнала аудита.

FAU_STG. I Защищенное хранение журнала аудита Иерархический для: Нет подчиненных компонентов.

FAUJSTG.1.1 ФБО должны защищать хранимые записи аудита от несанкционированного удаления.

FAU_STG.1.2 ФБО должны быть способны к | выбор: предотвращение, выявление 1 модификации записей аудита.

Зависимости: FAU_GEN.l Генерация данных аудита FAU_STG.2 Гарантии доступности данных аудита

Иерархический для: FAU_STG.I

FAU_STG.2.1 ФБО должны защищать хранимые записи аудита от несанкционированного удаления.

Страница 25

ГОСТ Р ИСО/МЭК 15408-2-2002

FAU_STG.2.2 ФБО должны быть способны к |выбор: предотвращение, выявлениеJ модификации записей аудита.

FAU_STG.2.3 ФБО должны обеспечить поддержку [назначение: показатель сохранности записей аудита] при наступлении следующих событий: (выбор: переполнение журна.4а аудита, сбой, атака].

Зависимости: FAU_GEN.l Генерация данных аудита

FAU_ST(*.3 Действия в случае вотможной потери данных аудита

Иерархический для: Нет подчиненных компонентов.

FAU_STG.3.1 ФБО должны выполнить [назначение: действия, которые нужно предпринять в случае возможного сбоя хранения журнала аудита], если журнал аудита превышает [назначение: принятое ограничение].

Зависимости: FAU_ST(i.l Защищенное хранение журнала аудита

FAU_STG.4 Предотвращение потерн данных аудита

Иерархический для: FAU_STG.3

FAU_STG.4.1 ФБО должны выполнить [выбор: •игнорирование событий, подвергающихся аудиту», * предотвращение событий, подвергающихся аудиту, исключая предпринимаемые уполномоченным пользователем со специальными правами», * запись поверх самых старых хранимых записей аудита*[ и [назначение: другие действия, которые нужно предпринять в случае возможного сбоя хранения журна.1а аудит*.] при переполнении журнала аудита.

Зависимости: FAU_STG.l Защищенное хранение журнала аудита

4 Класс FCO. Связь

Класс FCO содержит два семейства, связанные с уверенностью в идентичности сторон, участвующих в обмене данными: идентичностью отправителя переданной информации (доказательство отправления) и идентичностью получателя переданной информации (доказательство получения). Эти семейства обеспечивают, что отправитель не сможет отрицать факт отправления сообщения, а получатель не сможет отрицать факт его получения.

Декомпозиция класса на составляющие его компоненты показана на рисунке 4.1.

Cm

Рисунок 4.1 — Декомпозиция класса «Связь»

4.1 Неотказуемостъ отравления (FCO_NRO)

Характеристика семейства

Семейство FCO_NRO обеспечивает невозможность отрицания отправителем информации факта ее отправления. Семейство FCO_N RO содержит требование, чтобы ФБО обеспечили метод предоставления субъекту-получателю свидетельства отправления информации. Это свидетельство может быть затем верифицировано этим субъектом или другими субъектами.

Ран жи рова н не ком noi ie нтов

FCO_NRO Нкптдуиоет» опфявлммя

19

Страница 26

ГОСТ Р ИСО/МЭК 15408-2-2002

FCO_NRO,l «Избирательное доказательство отправления* содержит требование, чтобы ФБО предоставили субъектам возможность запросить свидетельство отправления информации.

FC0_NR0.2 «Принудительное доказательство отправления* содержит требование, чтобы ФЬО всегда генерировали свидетельство отправления передаваемой информации.

Управление: FCO.NRO.l, FCO_NRO,2

Дня функций управления из класса FMT может рассматриваться следующее действие, а) Управление изменениями типов и полей информации, атрибутов отправителей информации и получателей свидетельств.

Аудит: FCO_NRO. I

Если в ПЗ/ЗБ включено семейство FAU_GEN «Генерация данных аудита безопасности*, то следует предусмотреть возможность (в зависимости от выбранного уровня) аудита следующих дей-ствнй/событий/параметров.

а)    Минимальный: идентификатор пользователя, который запросил генерацию свидетельства от -правления.

б)    Минимальный: обращение к функции неогказуемосги.

в)    Базовый: идентификатор информации, получателя и копии предоставляемого свидетельства.

г)    Детализированный: идентификатор пользователя, который запросил верификацию свидетельства.

Аудит: FC0_NR0.2

Если в ПЗ/ЗБ включено семейство FAU_GEN «Генерация данных аудита безопасности*, то следует предусмотреть возможность (в зависимости от выбранного уровня) аудита следующих дей-ствнй/событий/параметров.

а)    Минимальный: обращение к функции неотказуемости.

б)    Базовый: идентификация информации, получателя и копии предоставляемого свидетельства.

в)    Детализированный: идентификатор пользователя, который запросил верификацию свидетельства.

FCO_NR().l Избирательное доказательство отправления

Иерархический для: Нет подчиненных компонентов.

FCO_NRO.I.l ФБО должны быть способны генерировать свидетельство отправления передаваемой [назначение: список типов информации\ при запросе |выбор: отправитель, получатель, /назначение: список третьих лиц/\.

FCO_NRO. 1.2 ФБО должны быть способны связать [назначение: список атрибутов| отправителя информации и [назначение: список информационных полей\ информации, к которой прилагается свидетельство.

FCO_NRO. 1.3 ФБО должны предоставить возможность верифицировать свидетельство отправления информации [выбор: отправитель, получатель, /назначение: список третьих лиц/1 при установленных [назначение: ограничении на свидетельство отправлениях

Зависимости: FIA_U1D.1 Выбор момента и имиифнканни FCO_NRO,2 Принудительное доказательство отправления

Иерархический для: FCO_NRO.!

FC0_NR0.2.1 ФБО должны всегда осуществлять генерацию свидетельства отправления передаваемой [назначение: список типов информации[.

FC0_NR0.2.2 ФБО должны быть способны связать [назначение: список атрибутов] отправителя информации и [назначение: список иш/юрмационных нолей\ информации, к которой прилагается свидетельство.

FC0_NR0.2.3 ФБО должны предостав!гть возможность верифицировать свидетельство отпраате-ния информации |выбор: отправитель, получатель, /назначение:список третьих лиц/1 при установленных [назначение: ограничения на свидетельство отправления!.

Зависимости: FIAUID.I Выбор момента идентификации 4.2 Неотказуемостъ получения (FCO_NRR)

Характеристика семейства

Неотказуемости получения обеспечивает невозможность отрицания получателем информации факта ее получения. Семейство FCO_NRR содержит требование, чтобы ФБО обеспечивали метод предостав-

30

Страница 27

ГОСТ Р ИСО/МЭК 15408-2-2002

FCO_NRR.I «Избирательное доказательство получения» содержит требование, чтобы ФБО предоставили субъектам возможность запросить свидетельство получения информации.

FCO_NRR.2 «Принудительное доказательство получения» содержит требование, чтобы ФБО всегда генерировали свидетельство получения принятой информации.

ления субъекту-отправителю свидетельства получения информации. Это свидетельство может быть затем верифицировано этим субъектом или другими субъектами.

Ранжирование компонентов



Управление: FCO_NRR.l, FCO_NRR.2

Для функций управления из класса FMT может рассматриваться следующее действие.

а) Управление изменениями типов и полей информации, атрибутов отправителей информации и получателей свидетельств.

Аудит: FCO_NRR.I

Если в ПЗ/ЗБ включено семейство FAU_GEN «Генерация данных аудита безопасности», то следует предусмотреть возможность (в зависимости от выбранного уровня) аудита следующих дей-ствий/событи й/параметров.

а)    Минимальный: идентификатор пользователя, который запросил генерацию свидетельства получения.

б)    Минимальный: обращение к функции неотказуемости.

в)    Базовый: идентификация информации, получателя и копии предостаачяемого свидетельства.

г)    Детализированный: идентификатор пользователя, который запросил верификацию свидетельства.

Аудит: FCO_NRR.2

Если в ПЗ/ЗБ включено семейство FAU_GEN «Генерация данных аудита безопасности», то следует предусмотреть возможностъ (в зависимости от выбранного уровня) аудита следующих действий/событий/параметров.

а)    Минимальный: обращение к функции неотказуемости.

б)    Базовый: идентификация информации, получателя и копии предоставляемого свидетельства.

в)    Детализированный: идентификатор пользователя, который запросил верификацию свидетельства.

FCO_NRR.l Избирательное доказательство получения

Иерархический для: Нет подчиненных компонентов.

FCO_NRR.I.l ФБО должны быть способны генерировать свидетельство получения принятой [назначение: список типов информации] при запросе |выбор: отправитель, получатель. [назначение: список третьих лиц/].

FCO_NRR.I.2 ФБО должны быть способны связать [назначение: список атрибутов\ получателя информации и [назначение: список информационных полей\ информации, к которой прилагается свидетельство.

FCO_NRR. 1.3 ФБО должны предоставить возможность верифицировать свидетельство получения информации | выбор: отправитель, получатель, /назначение: список третьих лиц/1 при установленных [ назначение: ограничения на свидетельство отправления|.

Зависимости: FIA_UID.l Выбор момента идентификации

FCO_NRR.2 Принудительное доказательство получения

Иерархический для: FCO_N RR. 1

FCO_NRR.2.1 ФБО должны осуществлять генерацию свидетельства получения принятой {назначение: список типов информации}.

FCO_NRR.2.2 ФБО должны быть способны связать [назначение: список атрибутов\ получателя информации и [назначение: список информационных полей] информации, к которой прилагается свидетельство.

FCO_NRR.2.3 ФБО должны предоставить возможность верифицировать свидетельство получения информации |выбор: о/ппранитель, получате>гь, /назначение: список третьих лиц/1 при установленных (назначение: ограничения на свидетельство отправления].

'Зависимости: FIA_UID.I Выбор момента идентификации

2!

Страница 28

ГОСТ I» ИСО/МЭК 15408-2-2002

5 Класс FCS. Криптографическая поддержка

ФБО могут использовать криптографические функциональные возможности для содействия достижению некоторых, наиболее важных целей безопасности. К ним относятся (но ими не ограничиваются) следующие цели: идентификация и аутентификация, неотказуемость. доверенный маршрут, доверенный канал, разделение данных. Класс FCS применяют, когда ОО имеет криптографические функции, которые могут быть реализованы аппаратными, программно-аппаратными и/или программными средствами.

Класс FCS состоит из двух семейств: FCS_CKM «Управление криптографическими ключами» и FCS_COP «Криптографические операции*. В семействе FCS_CKM рассмотрены аспекты управления криптографическими ключами, тогда как в семействе FCS_COP рассмотрено практическое применение этих криптографических ключей.

Декомпозиция класса FCS на составляющие его компоненты показана па рисунке 5.1.

Рисунок 5.1 — Декомпозиция класса « Криптографическая поддержка»

5.1 Управление криптографическими ключами (FCS_CKM)

Характеристика семейства

Криптографическими ключами необходимо упра&тять на протяжении всего их жизненного цикла. Семейство FCS_CKM предназначено для поддержки жизненного цикла и поэтому определяет требования к следующим действиям с криптографическими ключами: генерация, распределение, доступ к ним и их уничтожение. Это семейство следует использовать в случаях, когда имеются функциональные требования управления криптографическими ключами.

Ранжирование компонентов

FCS_CKM.l «Генерация криптографических ключей* содержит требования к их созданию согласно определенному алгоритму и длине ключа, которые могут основываться на соответствующем стандарте.

FCS_CKM.2 «Распределение криптографических ключей» содержит требование их распределения определенным методом, который может основываться на соответствующем стандарте.

22

Страница 29

ГОСТ Р ИСО/МЭК 15408-3-2002

FCS_CKM.3 «Доступ к криптографическим ключам* содержит требования осуществления доступа к ним согласно определенному методу, который может основываться на соответствующем стандарте.

FCS_CKM.4 «Уничтожение криптографических ключей* содержит требование их уничтожения согласно определенному методу, который может основываться на соответствующем стандарте. Управление: FCS.CKM.l, FCS_CKM.2, FCS_CKM.3. FCS.CKM.4 Для функций управления из класса FMT может рассматриваться следующее действие, а) Управление изменениями атрибутов криптографических ключей. Примерами атрибутов ключа являются: идентификатор пользователя, тип ключа (например, открытый, приватный, секретный), период действия ключа. а также возможное использование (например, цифровая подпись, шифрование других ключей, согласование ключей, шифрование данных).

Аудит: FCS_CKM.l, FCS_CKM.2, FCS..CKM.3, FCS_CKM.4

Если в ПЗ/ЗБ включено семейство FAU/GEN «Генерация данных аудита безопасности*, то следует предусмотреть возможность (в зависимости от выбранного уровня) аудита следующих дей-сгвнй/событий/параметров.

а)    Минимальный: успешный или неуспешный результат действия.

б)    Базовый: атрибуты объекта и содержание объекта, за исключением любой чувствительной информации (например, секретных или приватных ключей).

FCS_CKM.I Генерация криптографических ключей Иерархический для: Нет подчиненных компонентов.

FCS_CKM.1.1 ФБО должны генерировать криптографические ключи в соответствии с определенным алгоритмом (назначение: алгоритм генерации криптографических ключей] и длиной [назначение: длины криптографических ключей), которые отвечают следующему: [назначение: список стандартов].

Зависимости: [FCS_CKM.2 Распределение криптографических ключей или FCS_COP. 1 Криптографические операции |

FCS_CKM.4 Уничтожение криптографических ключей FMT MSA.2 Безопасные значения атрибутов безопасности FCS_CKM.2 Распределение криптографических ключей Иерархический для: Нет подчиненных компонентов.

FCS_CKM.2.1 ФБО должны распределять криптографические ключи в соответствии с определенным методом [назначение: метод распределения криптографических ключей], который отвечает следующему: [назначение: список стандартов[.

Зависимости: [FDP_ITC.l Импорт данных пользователя без атрибутов безопасности или FCS_CKM.l Генерация криптографических ключей|

FCS_CKM.4 Уничтожение криптографических ключей FMT_MSA.2 Безопасные значения атрибутов безопасности FCS_CKM.3 Доступ к криптографическим ключам Иерархический для: Нет подчиненных компонентов.

FCS_CKM.3.1 ФБО должны выполнять [назначение: тип доступа к криптографическим ключам) в соответствии с определенным методом доступа [назначение: метод доступа к криптографическим ключам], который отвечает следующему: [назначение: список стандартов].

Зависимости: |FDP_ITC.l Импорт данных пользователя без атрибутов безопасности иди FCS_CKM.l Генерация криптографических ключей)

FCS_CKM.4 Уничтожение крнпгографических ключей FMT_MSA-2 Безопасные значения атрибутов безопасности FCS_CKM.4 Уничтожение криптофафических ключей Иерархический для: Нет подчиненных компонентов.

FCS_CKM.4.I ФБО должны уничтожать криптографические ключи в соответствии с определенным методом [назначение: метод уничтожения криптографических ключей], который отвечает следующему: [назначение: список стандартов|.

Зависимости: |FDP_ITC.l Импорт данных пользователя без атрибутов безопасности или FCS_CKM.l Генерация криптографических ключей |

FMTJVISA.2 Безопасные значения атрибутов безопасности

23

Страница 30

ГОСТ Р ИСО/МЭК 15408-2-2002

5.2 Криптографические операции (FCS_COP)

Характеристика семейства

Дня корректного осущест&тения криптографических операций их необходимо выполнять в соответствии с определенным алгоритмом и с криптографическими ключами определенной длины. Данное семейство следует применять всякий раз. когда необходимо выполнять криптографические операции.

К типичным криптографических! операциям относятся: зашифрование и/или расшифрование данных, генерация и/или верификация цифровых подписей, генерация криптографических контрольных сумм для обеспечения целостности и/или верификации контрольных сумм, хэширование (вычисление хэш-образа сообщения), зашифрование и/или расшифрование криптографических ключей, согласование криптографических ключей.

Ранжирование компонентов

FCS_COP.l «-Криптографические операции* содержит требования их выполнения по определенным алгоритмам с применением криптографических ключей определенной длины. Алгоритмы и длина криптографических ключей могут основываться на соответствующем стандарте.

Упраатение: FCS_COP.l

Действия по управлению не предусмотрены.

Аудит: FCS_COP. I

Если в ПЗ/ЗБ включено семейство FAU_GEN «Генерация данных аудита безопасности*, то следует предусмотреть возможность (в зависимости от выбранного уровня) аудита следующих дей-ствнй/событий/параметров.

а)    Минимальный: успешное или неуспешное завершение, а также тип криптографической операции.

б)    Базовый: любые применяемые криптографические режимы операций, атрибуты субъектов и объектов.

FCS_COP. 1 Криптографические операции

Иерархический для: Нет подчиненных компонентов.

FCS_COP.I.I ФБО должны выполнять (назначение: список криптографических операций] в соответствии с определенными алгоритмами (назначение: криптографические алгоритмы | и длиной (назначение: длины криптографических ключей], которые отвечают следующему: (назначение: список стандартов].

Зависимости: (FDP_ITC.l Импорт данных пользователя без атрибутов безопасности или FCS_CKM.l Генерация криптографических ключей FCS_CKM,4 Уничтожение криптографических ключей FMT_MSA.2 Безопасные значения атрибутов безопасности

6 Класс FDP. Защита данных пользователя

Класс FDP содержит семейства, определяющие требования к функциям безопасности ОО и политикам функций безопасности ОО, связанным с зашитой данных пользователя. Он разбит на четыре группы семейств, перечисленные ниже и применяемые к данным пользователя в пределах ОО при их импорте, экспорте и хранении, а также к атрибутам безопасности, прямо связанным с данными пользователя.

а) Политики функций безопасности для зашиты данных пользователя:

—    FDP_ACC «Политика управления доступом*;

—    FDP_IFC «Политика управления информационными потоками».

Компоненты этих семейств позволяют разработчику ПЗ/ЗБ именовать политики функций безопасности для зашиты данных пользователя и определять область действия этих политик, которые необходимо соотнести с целями безопасности. Предполагается, что имена этих политик будут использоваться повсеместно в тех функциональных компонентах, которые имеют операцию, запрашиваю-

24

Страница 31

ГОСТ Р ИСО/МЭК 15408-2-2002

щую назначение или выбор «ПФБ управления доступом» и/или «ПФБ управления информационными потоками». Правила, которые определяют функциональные возможности именованных ПФБ управления доступом и управления информационными потоками, будут установлены в семействах FDP_ACF и FDP_IFF соответственно.

б)    Виды защиты данных пользователя:

-    FDP_ACF «Функции управления досту пом»;

-    FDIMFF «Функции управления информационными потоками»;

-    FDPJTT «Передача в пределах ОО»:

-    FDP_R1P «Зашита остаточной информации»;

-    FDP_ROL «Откат»:

-    FDP_SDI «Целостность хранимых данных».

в)    Автономное хранение, импорт и экспорт данных:

-    FDP_DAU «Аутентификация данных»:

-    FDPETC «Экспорт данных за пределы действия ФБО»;

-    FDPJTC «Импорт данных из-за пределов действия ФБО».

Компоненты этих семейств связаны с доверенной передачей данных в или из ОДР.

г)    Связь между ФБО:

-    FDP_UCT «Зашита конфиденциальности данных пользователя при передаче между ФБО»;

-    FDP_IIIT «Защита целостности данных пользователя при передаче между ФБО».

Компоненты этих семейств определяют взаимодействие между ФБО собственно ОО и другого

доверенного продукта ИТ.

Декомпозиция класса FDP на составляющие его компоненты приведена на рисунках 6.1 и 6.2.

ЗЩПЯ ДИШ ПОПаКМСШП

FDP_/СС Папгтжа дошлмшдео-тупм

FDP_fiCF «ринрш упрштнк* део-тупим

— РОР.шиАушлмфисациядишк

FDPJETC Эсслэрт данных ш прмшлы двАатшяФБО

—ш—Ш

FDP_FC Псштж* донгиныи Hwfrop-ыацманнмии патосяни

Рисунок 6.1 — Декомпозиция класса «Зашита данных пользователя»


25

Страница 32

ГОСТ I» ИСО/МЭК 15408-2-2002

ЭшфП димн палью шш

FDPJTC Импорт данных и>м прядало» д*клшяФБО

НЗЧЗ

FDPJTT Передаче в првдвпйг ОО    —

- а

FDPJVP Заакгв осштамной ынфоршцни ]—ш—ы

FDPJTOLOtmt

ГОР 8Ж ЦВПвСТНОСТЪ ЗфСНМИЬК дншх мшз

ни -□

FDPLKJT Э*ж*ггй ген&дмцМшюСги двнньос гюпивввтаг» прм передаче ивидоФ&О

_    FDP_UIT Seijm цвлостгнал* ршнлм    _

гот ьш—тали прм прим иввду ФБО

43—0

Рисунок 6.2 — Декомпозиция класса «Защита данных пользователя» (продолжение)

6.1 Политика управления доступом (FDP_ACC)

Характеристика семейства

Семейство FDP_ACC идентифицирует ПФБ управления доступом, устанавливая им имена, и определяет области действия политик, образующих идентифицированную часть управлении доступом ИБО. Области действия можно характеризовать тремя множествами: субъекты под управлением политики, объекты под управлением политики и операции управляемых субъектов на управляемых объектах, на которые распространяется полит ика. Общие критерии допускают существование нескольких политик, каждая из которых имеет уникальное имя. Это достигается посредством выполнения итераций компонентов рассматриваемого семейства по одному разу для каждой именованной политики управления доступом. Правила, определяющие функциональные возможности ПФБ управления доступом, будут установлены другими семействами, такими как FDP_ACF и FDP_SDI. Предполагается, что имена ПФБ. идентифицированные в семействе FDP ACC, будут использоваться повсеместно в функциональных компонентах, которые имеют операцию, запрашивающую назначение или выбор • ПФБ управления доступом».

Ранжирование компонентов

—□43

FDP./CC Поптам отделения доступом

26

Страница 33

ГОСТ Р ИСО/МЭК 15408-2-2002

FDPACC.I «Ограниченное управление доступом* содержит требование, чтобы каждая идентифицированная ПФБ управления доступом существовала для подмножества возможных операций на подмножестве объектов в ОО.

FDP_ACC.2 ‘■Полное упраатение доступом* содержит требование, чтобы каждая идентифицированная ПФБ упраиления доступом охватывала все операции субъектов на объектах, управляемых этой ПФБ. Кроме этого требуется, чтобы все объекты и операции в ОДФ были охвачены по меньшей мере одной идентифицированной ПФБ управления доступом.

Управление: FDP_ACC.I, FDP_ACC2

Действия по управлению не предусмотрены.

Аудит: FDP_ACC. 1, FDP_ACC.2

Нет идешифииированных действий/событий/параметров, для которых следует предусмотреть возможность аудита.

FDP_ACC.l Ограниченное управления доступом

Иерархический для: Нет подчиненных компонентов.

FDP_ACC.1.1 ФБО должны осуществлять [назначение: ПФБ управления доступом] для (назначение: список субъектов, объектов и операций субъектов на объектах, на которые распространяется 1/ФЬ'\.

Зависимости: FDP_ACF. 1 Управление доступом, основанное па атрибутах безопасности

FDP_ACC.2 Полное управление доступом

Иерархический для: FDP_ACC. 1

FDP_ACC.2.1 ФБО должны осуществлять [назначение: ПФБ упрощения доступом] для [назначение: список субъектов и объектовJ и всех операций субъектов на объектах, на которые распространяется ПФБ.

FDP_ACC.2.2 ФБО должны обеспечить, чтобы на операции любого субъекта из ОДФ иа любом объекте из ОДФ распространялась какая-либо ПФБ управления доступом.

Зависимости: FDP ACF.I Управление доступом, основанное на атрибутах безопасности

6.2 Функции управления доступом (FDP_ACF)

Характеристика семейства

Семейство FDP_ACF описывает правила для конкретных функций, которые могут реализовать политики управления доступом, именованные в FDP_ACC. В FDP_ACC также определяется область действия этих политик.

Ранжирование компонентов

В этом семействе рассмотрены использование атрибутов безопасности и характеристики политик управления доступом. Предполагается, что компонент из этого семейства будет использован, чтобы описать правила для функции, которая реализует ПФБ. ранее идентифицированную в FDP_ACC. Разработчик ПЗ/ЗБ может также выполнять итерации этого компонента, когда в ОО имеются несколько таких политик.

FDP_ACF.I «Управление доступом, основанное на атрибутах безопасности* позволяет ФБО осуществить доступ. основанный на атрибутах и именованных группах атрибутов безопасности. Кроме того, ФБО могут иметь возможность явно разрешать или запрещать доступ к объекту, основываясь на атрибутах безопасности.

Управление: FDP_ACF.l

Для функций управления из класса FMT може рассматриваться следующее действие.

а) Управление атрибутами, используемыми для явного разрешения или запрещения доступа.

Если в ПЗ/ЗБ включено семейство FAV_GEN «Генерация данных аудита безопасности*, то следует предусмотрев возможность (в зависимости от выбранного уровня) аудита следующих дей-ствн й/событн й/параметров.

а)    Минимальный: успешные запросы на выполнение операций на объекте, на который распространяется ПФБ.

б)    Базовый: все запросы на выполнение операций на объекте, на который распространяется ПФБ.

27

Страница 34

ГОСТ I» ИСО/МЭК 15408-2-2002

в) Детализированный: специальные атрибуты безопасности, используемые при проверке правомерности доступа.

FDP_ACF.l Управление доступом, основанное на атрибутах безопасности

Иерархический для: Нет подчиненных компонентов.

FDP_ACF.I.I ФБО должны осуществлять (назначение: ИФБупрощения доступом] к объектам, основываясь на (назначение: атрибуты безопасности, именованные группы атрибутов безопасности].

FDP_ACF. 1.2 ФБО должны реализовать следующие правила определения того, разрешена ли операция управляемого субъекта на управляемом объекте: (назначение: правила управ.гения доступом управляемых субъектов к управляемым объектам с использованием управляемых операций на мы.г|.

FDP_ACF.1.3 ФБО должны явно разрешать доступ субъектов к объектам, основываясь на следующих дополнительных правилах: (назначение: правила, основанные на атрибутах безопасности, которые явно разрешают доступ субъектов к объектам |.

FDP_ACF. 1.4 ФБО должны явно отказывать в доступе субъектов к объектам, основываясь на следующих дополнительных правилах: (назначение: правила, основанные на атрибутах безопасности, которые явно запрещают доступ субъектов к объектам].

Зависимости: FDP_ACC.l Ограниченное управление доступом

FMT_MSA.3 Инициализация статических атрибутов

6.3 Аутентификация данных (FDP_DAU)

Характеристика семейства

Аутентификация данных позволяет сущности принять ответственность за подлинность информации (например, с использованием цифровой подписи). Семейство FDP_DAU содержит метод предоставления гарантии правильности специфического набора данных, который может быть впоследствии использован для верификации того, что содержание информации не было подделано или модифицировано мошенническим путем. В отличие от класса FCO это семейство предназначено дня применения скорее к статическим, чем к перемещаемым данным.

Ранжирование компонентов

FDPJAU Аутштнф!—и w ди#ш

FDP_DAU.l «Базовая аутентификация данных* содержит требование, чтобы ФБО были способны предоставить rapaimno подлинности информации, содержащейся в объектах (например, документах).

FDP_DAU.2 «Аутентификация данных с идентификацией гаранта» содержит дополнительное требование, чтобы ФБО были способны установить идентификатор субъекта, который предоставил гарантию подлинности.

Управление: FDP_DAU.l, FDP„DAU.2

Для функций управления из класса FMT может рассматриваться следующее действие.

а) Настройка в системе назначения или модификации объектов, для которых применяется аутентификация данных.

Аудит: FDP_DAU.l

Если в ПЗ/ЗБ включено семейство FAU_GEN «Генерация данных аудита безопасности*, то следует предусмотреть возможность (в зависимости от выбранного уровня) аудита следующих действий/событий/параметров.

а)    Минимальный: успешная генерация свидетельства правильности.

б)    Базовый: неуспешная генерация свидетельства правильности.

в)    Детализированный: идентификатор субъекта, который запросил свидетельство.

Аудит: FDP_DAU.2

Если в ПЗ/ЗБ включено семейство FAU_GEN «Генерация данных аудита безопасности*, то следует предусмотреть возможность (в зависимости от выбранного уровня) аудита следующих дей-ствий/событий/параметров.

а)    Минимальный: успешная генерация свидетельства правильности.

б)    Базовый: неуспешная генерация свидетельства правильности.

28

Страница 35

ГОСТ Р ИСО/МЭК 15408-2-2002

в)    Детализированный: идентификатор субъекта, который запросил свидетельство.

г)    Детализированный: идентификатор субъекта, который генерировал свидетельство. FDP_DAU.1.I Базовая аутентификация данных

Иерархический для: Нет подчиненных компонентов.

FDP_DAU.1.1 ФЬО должны предоставить возможность генерировать свидетельство, которое может быть использовано как гарантия правильности (назначение: список объектов или типов информации).

FDP_DAU.1.2 ФБО должны предоставить (назначение: список субъектов) возможность верифицировать свидетельство правильности указанной информации.

Зависимости: отсутствуют.

FDP_DAU.2 Аутентификация данных с идентификацией гаранта

Иерархический для: FDP_DAU.I

FDP_DAU.2.1 ФБО должны предоставить возможность генерировать свидетельство, которое может быть использовано как гарантия правильности (назначение: список объектов или типов информации |.

FDP_DAU.2.2 ФЬО должны предоставить (назначение: список субъектов) с возможностью верифицировать свидетельство правильности указанной информации и идентификатор пользователя, который создал свидетельство.

Зависимости: FIA_UID.l Выбор момента идентификации 6.4 Экспорт данных за пределы действия ФБО (FDP_ETC)

Характеристика семейства

Семейство FDP_ETC определяет функции для экспорта данных пользователя из ОО таким образом, что их атрибуты безопасности и защита могут или полностью сохраняться, или игнорироваться при экспорте этих данных. В семействе также рассматриваются ограничения на экспорт и ассоциация атрибутов безопасности с экспортируемыми данными пользователя.

Ранжирование компонентов

FDP_ETC.l «Экспорт данных пользователя без атрибутов безопасности» содержит требование, чтобы ФБО осуществляли соответствующие Г1ФБ при экспорте данных пользователя за пределы действия ФБО. Данные пользователя, которые экспортируются этой функцией, не сопровождаются ассоциированными с ними атрибутами безопасности.

FDP_ETC.2 «Экспорт данных пользователя без атрибутов безопасности» содержит требование, чтобы ФБО осуществляли соответствующие ПФБ. используя функцию, которая точно и однозначно ассоциирует атрибуты безопасности с экспортируемыми данными пользователя.

Управление: FDP_ETC.I

Действия по упрааченню не предусмотрены.

FDP_ETC.2

Для функций управления класса FMT может рассматриваться следующее действие.

а) Изменение дополнительных правил упраатения экспортом информации пользователем с определенной ролью.

Аудит: FDP„ETC.I, FDP_ETC.2

Если в ПЗ/ЗБ включено семейство FAU_GEN «Генерация данных аудита безопасности*, то следует предусмотреть возможность (в зависимости от выбранного уровня) аудита следующих дей-стви й/событи й/п араметров.

а)    Минимальный: успешный экспорт информации.

б)    Базовый: все попытки экспортировать информацию.

29

3-1 -1523

Страница 36

ГОСТ Р ИСО/МЭК 15408-2-2002

FDP_ETC. 1 Экспорт данных пользователя без атрибутов безопасности

Иерархический для: Нет подчиненных компонентов.

FDP_ETC.1.1 ФБО должны осуществлять (назначение: ПФБ управлении доступом и/или ПФБ упрощения информационными потоками| при экспорте данных пользователя, контролируемом ПФБ, за пределы ОДФ.

FDP_ETC. 1.2 ФБО должны экспортировать данные пользователя без атрибутов безопасности, ассоциированных с данными пользователя.

Зависимости: [FDP ACC.1 Ограниченное управление доступом или

FDP_IFC.l Ограниченное управление информационными поюками|

FDP_ETC.2 Экспорт данных пользователя с атрибутами безопасности

Иерархический адя: Нет подчиненных компонентов.

FDP_ETC.2.1 ФБО должны осуществлять [назначение: ПФБ управления доступом и/и.ш ИФЬ упрощения информационными потоками | при экспорте данных пользователя, контролируемом ПФБ, за пределы ОДФ.

FDP_ETC.2.2 ФБО должиы экспортировать данные пользователя с атрибутами безопасности, ассоциированными с данными пользователя.

FDP_ETC.2.3 ФБО должны обеспечить, чтобы при экспорте за пределы ОДФ атрибуты безопасности однозначно ассоциировались с экспортируемыми данными пользователя.

FDP_ETC.2.4 ФБО должны реализовать следующие правила при экспорте данных пользователя из ОДФ: [назначение: дополнительные правила управления экспортом информации].

Зависимости: [FDP_ACC.l Ограниченное управление доступом или

FDP_1FC.I Ограниченное управление информационными потокамн|

6.5 Политика управления информационными потоками (FDP_IFC)

Характеристика семейства

Семейство FDPJFC идентифицирует ПФБ управления информационными потоками, устанавливая им имена, и определяет области действия политик, образующих идентифицированную часть управления информационными потоками ИБО. Эти области действия можно характеризовать тремя множествами: субъекты под управлением политики, информация под управлением политики и операции перемещения управляемой информации к управляемым субъектам и от них. на которые распространяется политика. Общие критерии допускают существование нескольких политик, каждая из которых имеет уникальное имя. Это достигается посредством выполнения итераций компонентов рассматриваемого семейства по одному разу для каждой именованной политики управления информационными потоками. Правила, определяющие функциональные возможности ПФБ управления информационными потоками, будут установлены другими семействами, такими как FDPJFF и FDP_SDI. Имена ПФБ управления информационными потоками, идентифицированные в семействе FDPJFC. в дальнейшем будут использоваться повсеместно в тех функциональных компонентах, которые включают в себя операцию, запрашивающую назначение или выбор «ПФБ управления информационными потоками*.

Механизм ФБО управляет информационными потоками в соответствии с ПФБ управления информационными потоками. Операции, которые изменяли бы атрибуты безопасности информации, в общем случае недопустимы, поскольку это было бы нарушением ПФБ управления информационными потоками. Однако, как исключение, такие операции могут быть разрешены в ПФЬ управления информационными потоками, когда это явно определено.

Ранжирование компонентов

FDP_IFC.l «Ограниченное управление информационными потоками* содержит требование, чтобы каждая идентифицированная ПФБ управления информационными потоками выполнялась для подмножества возможных операций на подмножестве информационных потоков в ОО.

FDPJFC.2 «Полное упраатение информационными потоками» содержиг требование, чтобы каждая идентифицированная ПФБ управления информационными потоками охватывала все операции для субъектов и информацию под управлением этой ПФБ. Также требуется, чтобы все информационные

30

Страница 37

ГОСТ Р ИСО/МЭК 15408-2-2002

потоки и операции в пределах ОДФ были охвачены хотя бы по одной идентифицированной ПФБ управления информационными потоками. Совместно с компонентом FPT. RVM.1 это обеспечивает аспект «постоянная готовность* мониторинга обращений.

Управление: FDPJFC.l, FDPJFC.2

Действия по управлению не предусмотрены.

Аудит: FDPJFC.l, FDPJFC.2

Нет идентифицированных действий/событий/параметров, для которых следует предусмотреть возможность аудита.

FDPJFC.l Ограниченное управление информационными потоками

Иерархический для: Нет подчиненных компонентов.

FDPJFC.1.1 ФБО должны осуществлять |назначение: ПФБ управления информационными потоками] для [назначение: список субъектов, информации и операций перемещения управляемой информации к управляемым субъектам и от них, на которое распространяется 11ФЬ'\.

Зависимости: FDPJFF.1 Простые атрибуты безопасности

FDPJFC.2 Полное управление информационными потоками

Иерархический для: FDPJFC.1

FDPJFC.2.1 ФБО должны осуществлять | назначение: ПФБ упрощения ишрармаи,ионны\ш потоками] для | назначение: список субъектов и информации| и всех операций перемещения управляемой информации к управляемым субъектам и от них, на которые распространяется ПФБ.

FDPJFC.2.2 ФБО должны обеспечить, чтобы в пределах ОДФ на все операции перемещения управляемой информации управляемым субъектам и от них распространялась какая-либо ПФБ управления информационными потоками.

Зависимости: FDPJFF.1 Простые атрибуты безопасности

6.6 Функции управления информационными потоками (FDPJFF)

Характеристика семейства

Семейство FDPJFF описывает правила для конкретных функций, которые могут реализовать ПФБ управления информационными потоками, именованные в FDPJFC, где также определена область действия соответствующей политики. Семейство содержит два типа требований: один связан с обычными информационными потоками, а второй — с неразрешенными информационными потоками (скрытыми канатами). 1->то разделение возникает, потому что проблема неразрешенных информационных потоков в некотором смысле противоречит остальным аспектам ПФБ управления информационными потоками. По существу, скрытые канаты дают возможность обходить ПФБ управления информационными потоками в нарушение политики. Таким образом, возникает потребность в специатьных функциях, которые либо ограничивают, либо предотвращают их возникновение.

Ранжирование компонентов

FDPJFF Фрации домагиния инфср-1ШЦПИ1 мн покичи

-Ш-dIL _ El—ЕН2


в

FDPJFF. 1 «Простые атрибуты безопасности* содержит требование наличия атрибутов безопасности информации и субъектов, которые выступают как инициаторы отправления или как получатели этой информации. В нем также определяются правила, которые необходимо реатизоватъ с использованием функции, и описано, как функция получает атрибуты безопасности.

FDPJFF.2 * Иерархические атрибуты безопасности» расширяет требования предыдущего компонента, требуя, чтобы все ПФБ управления информационными потоками в Г1БО использован и иерархические атрибуты безопасности, которые образуют некотору ю структуру.

FDPJFF.3 «Ограничение неразрешенных информационных потоков» содержит требование, чтобы ПФБ распространялась на неразрешенные информационные потоки, но не обязательно устраняла их.

Страница 38

ГОСТ Р ИСО/МЭК 15408-2-2002

FDPJFF.4 -Частичное устранение неразрешенных информационных потоков» содержит требование, чтобы ПФБ обеспечила устранение некоторых, но не обязательно всех неразрешенных информационных потоков.

FDP IFF.5 «Полное устранение неразрешенных информационных потоков» содержит требование, чтобы ПФБ обеспечила устранение всех неразрешенных информационных потоков.

FDPJFF.6 «Мониторинг неразрешенных информационных потоков» содержит требование, чтобы ПФБ отслеживала неразрешенные информационные потоки, максимальная интенсивность которых превышает заданное пороговое значение.

Управление: FDPJFF.l, FDPJFF.2

Для функций управления из класса FMT может рассматриваться следующее действие.

а) Управление атрибутами, используемыми для явного разрешения и запрещения доступа.

Управление: FDPJFF.3, FDPJFF.4. FDPJFF.5

Действия по управлению для этих компонентов не предусмотрены.

Управление: FDP_IFF.6

Для функций управления из класса FMT могут рассматриваться следующие действия.

а)    Включение или отключение функции мониторинга.

б)    Модификация максимальной интенсивности, которая отслеживается при мониторинге. Аудит: FDPJFF.l, FDPJFF.2. FDPJFF.5

Если в ПЗ/ЗБ включено семейство FAU_GEN «Генерация данных аудита безопасности*, то следует предусмотреть возможность (в зависимости от выбранного уровня) аудита следующих дей-ствн й/событий/параметров.

а)    Минимальный: разрешения на запрашиваемые информационные потоки.

б)    Базовый: все решения по запросам на информационные потоки.

в)    Детализированный: специальные атрибуты безопасности, используемые при принятии решений по осуществлению информационных потоков.

г)    Детализированный: некоторые специфические подмножества информации, передача которой

обусловлена целями политики (например, аудит материалов, для которых гриф секретности был понижен).

Лудит: FDPJFF.3, FDPJFF.4, FDPJFF.6

Если в ПЗ/ЗБ включено семейство FAU_GEN «Генерация данных аудита безопасности-*, то следует предусмотреть возможность (в зависимости от выбранного уровня) аудита следующих дей-стви й/событий/параметров.

а)    Минимальный: разрешения на запрашиваемые информационные потоки.

б)    Базовый: все решения по запросам на информационные потоки.

в)    Базовый: использование выявленных скрытых каналов.

г)    Детализированный: специфические атрибуты безопасности, используемые при принятии ре

шений по осуществлению информационных потоков.

д)    Детализированный: некоторые специфические подмножества информации, передача которой обусловлена целями политики (например, аудит материалов, для которых гриф секретности был понижен).

е)    Детализированный: использование идентифицированных скрытых каналов, для которых оценка

максимальной интенсивности превышает заданное пороговое значение.

FDP_1FF.1 Простые атрибуты безопасности Иерархический для: Нет подчиненных компонентов.

FDP_IFF.1.1 ФБО должны осуществлять [назначение: ПФБ управления информационными потоками], основанную наследующих типах атрибутов безопасности субъектов и информации: |назначеиие: минимальное число и тип атрибутов безопасности]. FDP_1FF.1.2 ФБО должны разрешать информационный ноток между управляемыми субъектом и информацией посредством управляемой операции, если выполняются следующие правила: (назначение: основанные на атрибутах безопасности отношения, которые необходимо поддерживать между атрибутами безопасности субъектов и информации (для каждой операции) |.

FDP_IFF. 1.3 ФБО должны реализовать [назначение: дополнительные правила ПФБ управления информационными потоками\.

FDP_IFF. 1.4 ФБО должны предоставить следующее [назначение: список дополнительных возможностей ПФБ\.

32

Страница 39

ГОСТ Р ИСО/МЭК 15408-2-2002

FDP_1FF.1.5 ФБО должны явно разрешать информационный поток, основываясь на следующих правилах: (назначение: основанные на атрибутах безопасности правила, которые явно разрешают информационные потоки].

FDP_1FF.I.6 ФБО должны явно запрещать информационный поток, основываясь на следующих правилах: [назначение: основанные на атрибутах безопасности правша, которые явно запрещают информационные потоки).

Зависимости: FDP_IFC.I Ограниченное управление информационными потоками FMTMSA.3 Инициализация статических атрибутов

FDP_IFF.2 Иерархические атрибуты безопасности

Иерархический для: FDP_IFF.I

FDP_IFF.2.1 ФБО должны осуществлять (назначение: ПФБ упра&тшя информационными потоками], основанную на следующих типах атрибутов безопасности субъектов и информации: (назначение: минимальное число и тип атрибутов безопасности].

FDP_IFF.2.2 ФБО должны разрешать информационный поток между управляемыми субъектом и информацией посредством управляемой операции, если выполняются следующие правила, основанные на упорядоченных связях между атрибутами безопасности: (назначение: основанные на атрибутах безопасности отношения, которые необходимо поддерживать между атрибутами безопасности субъектов и информации (для каждой операции)].

FDP_IFF.2.3 ФБО должны реализовать (назначение: дополнительные правша ПФБ упрощения информационными потоками ].

FDP_IFF.2.4 ФБО должны предоставить следующее | назначение: список дополнительных возможностей ПФБ].

FDP_IFF.2.5 ФБО должны явно разрешать информационный поток, основываясь на следующих правилах: (назначение: основанные на атрибутах безопасности правила, которые явно разрешают информационные потоки].

FDP_IFF.2.6 ФБО должны явно запрещать информационный поток, основываясь на следующих правилах: (назначение: основанные на атрибутах безопасности правила, которые явно запрещают информационные потоки].

FDP_IFF.2.7 ФБО должны реализовать следующие отношения для любых двух допустимых атрибутов безопасности управления информационными потоками:

а)    существует функция упорядочения, которая определяет для двух допустимых атрибутов безопасности, являются ли они равными или же один из них больше другого, или же они несравнимы;

б)    существует «наименьшая верхняя грань* в совокупности атрибутов безопасности такая, что для любых двух допустимых атрибутов безопасности найдется такой допустимый атрибут безопасности, который больше или равен двум допустимым атрибутам безопасности;

в)    существует «наибольшая нижняя грань» в совокупности атрибутов безопасности такая, что для любых двух допустимых атрибутов безопасности найдется такой допустимый атрибут безопасности, который не больше двух допустимых атрибутов безопасности.

Зависимости: FDP_IFC.I Ограниченное управление информационными потоками FMT_MSA.3 Инициализация статических атрибутов

FDP_1FF.3 Офаннчсние неразрешенных информационных потоков

Иерархический для: Нет подчиненных компонентов.

FDP_IFF.3.1 ФБО должны осуществлять [назначение: ПФБ упрощения информационными по-тока.чи], чтобы ограничить интенсивность (назначение: типы неразрешенных информационных потоков] до [назначение: максимальная интенсивность].

Зависимости: AVA_CCA.l Анализ скрытых каналов

FDP_IFC.l Ограниченное управление информационными потоками

FDP_IFF.4 Частичное устранение неразрешенных информационных потоков

Иерархический для: FDPJFF.3

FDP_IFF.4.1 ФБО должны осуществлять [назначение: ПФБ управления информационными потоками]. чтобы ограничить интенсивность (назначение: типы неразрешенных информационных потоков] до [назначение: максималышя интенсивность].

FDP_IFF.4.2 ФБО должны предотвращать [назначение: типы неразрешенных информационных потоков].

3-2— I 523    33

Страница 40

ГОСТ Р ИСО/МЭК 15408-2-2002

Зависимости: AVA_CCA. 1 Анализ скрытых каналов

FDPJEC.1 Ограниченное управление информационными потоками FDPJFF.5 Отсутствие неразрешенных информационных потоков

Иерархический для: FDPJFF.4

FDP IFF.5.I ФБО должны обеспечин., чтобы не существовало никаких неразрешенных информационных потоков, способных нарушить (назначение: имя ПФБ управления информационными потокамиJ.

Зависимости: AVA_CCA,3 Исчерпывающий анализ скрытых каналов

FDP_1FC.1 Ограниченное управление информационными потоками FDP_IFF.6 Мониторинг неразрешенных информационных потоков

Иерархический для: Нет подчиненных компонентов.

FDP_IFF.6.1 ФБО должны осуществлять [назначение: /1ФБ управления информационными потоками], чтобы отследить (назначение: типы неразрешенных информационных потоков1, когда они превышают (назначение: макасчаяьная интенсивность|. Зависимости: AVA_CCA. I Анализ скрытых каналов

FDP_IFC.l Ограниченное управление информационными потоками 6.7 Импорт данных из-за пределов действия ФБО (FDP_ITC)

Характеристика семейства

Семейство FDPJTC определяет механизмы для передачи данных пользователя в ОО таким образом, чтобы эти данные имели требуемые атрибуты безопасности и защиту. В семействе также рассматриваются ограничения на импорт и определение требуемых атрибутов безопасности, а также интерпретация атрибутов безопасности, ассоциированных сданными пользователя.

Ранжирование компонентов

ГОР_ГГСИмпортдммх <лтгрчяиш девств* «О

'^го семейство содержит два компонента, связанные с сохранением атрибутов безопасности импортируемых данных пользователя Д1Я политик управления доступом и информационными потоками.

Компонент FDPJTC. 1 «Импорт данных пользователя без атрибутов безопасности» содержит требования, чтобы атрибуты безопасности правильно представляли данные пользователя и поставлялись независимо от объекта.

Компонент FDP JTC.2 «Импорт данных пользователя с атрибутами безопасности* содержит требования, чтобы атрибуты безопасности правильно представляли данные пользователя, а также точно и однозначно ассоциировались с данными пользователя, импортируемыми из-за пределов ОДФ.

Управление: FDPJTC.I. FDPJTC.2

Для функций управления из класса FMT может рассматриваться следующее действие.

а) Модификация дополнительных правил управления, используемых для импорта.

Аудит: FDPJTC. 1, FDPJTC.2

Если в ПЗ/ЗБ включено семейство FAU_GEN «Генерация данных аудита безопасности», то следует предусмотреть возможность (в зависимости от выбранного уровня) аудита следующих дей-ствнй/событий/параметров.

а)    Минимальный: успешный импорт данных пользователя, включая любые атрибуты безопасности.

б)    Базовый: все попытки импортировать данные пользователя, включая любые атрибуты безопасности.

в)    Детализированный: спецификация атрибутов безопасности для импортируемых данных пользователя, выполненная уполномоченным пользователем.

34

Страница 41

ГОСТ Р ИСО/МЭК 15408-2-2002

FDP_1TC. 1 Импорт данных пользователя без атрибутов безопасности

Иерархический для: Нет подчиненных компонентов.

FDP_ITC.1.1 ФБО должны осуществлять [назначение: ПФБупрощении доступом и/или ПФБ управления информационными потоками) при импорте данных пользователя, контролируемом ПФБ, из-за пределов ОДФ.

FDP_ITC.1.2 ФБО должны игнорировать любые атрибуты безопасности, ассоциированные с данными пользователя, при импорте из-за пределов ОДФ.

FDP_ITC. 1.3 ФБО должны реализовать следующие правила при импорте данных пользователя, контролируемом НФБ, из-за пределов ОДФ: (назначение: дополнительные правою управления импортом].

Зависимости: [FDP_ACC.l Ограниченное у правление доступом или

FDP_1FC.I Ограниченное управление информационными потоками]

FMT_MSA.3 Инициализация статических атрибутов

FDP_1TC.2 Импорт данных пользователя с атрибутами безопасности

Иерархический для: Нет подчиненных компонентов.

FDP_1TC.2.1 ФБО должны осуществлять [назначение: ИФЬ упрощения доступом и/или ПФБ упрощения информационными потоками\ при импорте данных пользователя, контролируемом ПФБ, из-за пределов ОДФ.

FDP_ITC.2.2 ФБО должны использовать атрибуты безопасности, ассоциированные с импортируемыми данными пользователя.

FDP_1TC.2.3 ФБО должны обеспечить, чтобы используемый протокол предусматривал однозначную ассоциацию между атрибутами безопасности и полученными данными пользователя.

FDP_1TC.2.4 ФБО должны обеспечить, чтобы интерпретация атрибуте безопасности импортируемых данных пользователя была такой, как предусмотрено источником данных пользователя.

FDP1TC.2.5 ФБО должны реализовать следующие правила при импорте данных пользователя, контролируемом НФБ, из-за пределов ОДФ: [назначение: допо.шительные правила упрощения импортом \.

Зависимости: [FDP_ACC.l Ограниченное управление доступом или

FDP_IFC.l Ограниченное управление информационными потоками]

FTPJTTC.l Доверенный канал передачи между ФБО или FrP_TRP.I Доверенный маршрут]

FPT_TDC. 1 Базовая согласованность данных ФБО между ФБО

6.8 Передача в пределах ОО (FDP_1TT)

Характеристика семейства

Семейство FDIMTT содержит требования, связанные с зашитой данных пользователя при их передаче между различными частями ОО по внутреннему каналу. Этим оно отличается от семейств FDP^UCT и FDPUIT, которые обеспечивают защиту данных пользователя при их передаче между различными ФБО по внешнему каналу, а также от семейств FDP_ETC и FDPJTC. которые связаны с передачей данных за пределы или из-за пределов действия ФБО.

Ранжирование компонентов

FDP_ITT.I «Базовая защита внутренней передачи» содержит требование, чтобы данные пользователя были защищены при передаче между частями ОО.

FDPJTT.2 «Разделение передачи по атрибутам» содержит в дополнение к первому компоненту требование разделения данных, основанного на значениях присущих ПФБ атрибутов.


35

Страница 42

ГОСТ Р ИСО/МЭК 15408-2-2002

FDP_1TT.3 «Мониторинг целостности» содержит требование, чтобы ФБ контролирована данные пользователя, передаваемые между частями ОО. на наличие идентифицированных ошибок целостности.

FDPJTT.4 «Мониторинг целостности по атрибутам* расширяет третий компонент, разрешая дополнительную форму мониторинга целостности с разделением, использующим присущие Г1ФБ атрибуты.

Управление: FDPJTT.l, FDPJTT.2

Для функций управления из класса FM Г может рассматриваться следующее действие, а) Если ФБО предоставляют несколько методов зашиты данных пользователя во время передачи между физически разделенными частями ОО. то ФБО могут предусмотреть предопределенную роль с выбором метода, который будет использован.

Управление: FDPJTT.3, FDPJTT.4

Для функций управления из класса FMT может рассматриваться следующее действие, а) Возможность настройки спецификации действий, предпринимаемых после обнаружения ошибки целостности.

Аудит: FDPJTT.l, FDPJTT.2

Если в ПЗ/ЗБ включено семейство FAU_GEN «Генерация данных аудита безопасности», то следует предусмотреть возможность (в зависимости от выбранного уровня) аудита следующих дей-ствий/событий/параметров.

а)    Минимальный: успешные передачи данных пользователя с идентификацией используемого метода защиты.

б)    Базовый: все попытки передать данные пользователя с идентификацией используемого метода защиты и любых произошедших ошибок.

Лудит: FDPJTT.3, FDPJTT.4

Если в ПЗ/ЗБ включено семейство FAU_GEN «Генерация данных аудита безопасности», то следует предусмотреть возможность (в зависимости от выбранного уровня) аудита следующих дей-ствий/событий/параметров.

а)    Минимальный: успешные передачи данных пользователя с идентификацией используемого метода защиты целостности.

б)    Базовый: все попытки передать данные пользователя с идетнфикацией используемого метода защиты целостности и любых произошедших ошибок.

в)    Базовый: несанкционированные попытки изменить метод защиты целостности.

г)    Детализированный: действия, предпринимаемые после обнаружения ошибки целостности. FDPJTT. 1 Базовая защита внутренней передачи

Иерархический для: Нет подчиненных компонентов.

FDP_ITT.I ФБО должны осуществлять [назначение: ПФБ управления доступом и/или ПФБ управления информационными потоками], чтобы предотвратить (выбор: раскрытие, модификация, недоступность] данных пользователя при их передаче между физически разделенными частями ОО.

Зависимости: |FDP_ACC.I Ограниченное управление доступом или

FDP_IFC.I Ограниченное управление информационными потоками|

FDP_ITI\2 Разделение передачи по атрибутам Иерархический для: FDPJTT.l

FDPJTT.2.I ФБО должны осуществлять [назначение: ПФБ управления доступом и/или IIФБ управ.1ения иш/юрмационными штоками], чтобы предотвратить |выбор: раскрытие, модификация, недоступность\ данных пользователя при их передаче между физически разделенными частями ОО.

FDPJTT.2.2 ФБО должны разделять данные, контролируемые ПФБ, при их передаче между' физически разделенными частями ОО. основываясь на значениях следующих атрибутов: [назначение: атрибуты безопасности, которые требуют разделения данных].

Зависимости: [FDP_ACC.l Ограниченное управление доступом или

FDPJFC.I Ограниченное управление информационными потоками)

36

Страница 43

ГОСТ Р ИСО/МЭК 15408-2-2002

FDP ITT.3 Мониторинг целостности

Иерархический для: Нет подчиненных компонентов.

FDP_1TT.3.1 ФБО должны осуществлять [назначение: ИФБ управления доступом и/или ИФБ управления информационными потока.»и\. чтобы контролировать данные пользователя, передаваемые между физически разделенными частями ОО, на наличие следующих ошибок: (назначение: ошибки целостности].

FDP_ITT.3.2 При обнаружении ошибки целостности данных ФБО должны предпринять назначение: (кйствия при ошибке целостности |.

Зависимости: |FDP_ACC.I Ограниченное управление доступом или

FDP_IFC.l Ограниченное управление информационными потоками)

FDP_ITT. I Базовая защита внутренней передачи

FDP_ITT.4 Мониторинг целостности но ат рибутам

Иерархический для: FDP_1TT.3

FDP_ITT.4.1 ФБО должны осуществлять [назначение: ИФБ управления доступом и/или ПФБ управления информационными потоками|, чтобы контролировать данные пользователя, передаваемые между физически разделенными частями ОО. на наличие следующих ошибок: [назначение: ошм<5а:м целостности|, основываясь иа следующих атрибутах: [назначение: атрибуты безопасности. которые требуют разделения кана.юв передачи].

FDP_ITT.4.2 После обнаружения ошибки целостности данных ФБО должны предпринять (назначение: действия при ошибке целостности].

Зависимости: [FDP_ACC.l Ограниченное управление доступом или

FDPJFC.1 Ограниченное управление информационными потоками!

FDP_1TT.2 Разделение передачи по атрибу там

6.9 Зашита остаточной информации (FDP_RIP)

Характеристика семейства

Семейство FDP. R1P связано с необходимостью обеспечения последующей недоступности удаленной информации и отсутствия во вновь созданных объектах информации, которую не следует остаатять доступной. Это семейство содержит требования защиты информации, которая уже логически удалена или исключена из рассмотрения, но физически все еше может присутствовать в пределах ОО.

Ранжирование компонентов

2

ГТЭР_Н1Р ЭДцита tXWtwCfl ынффыацмя НИ

FDP_R1P. 1 «Ограниченная защита остаточной информации* содержит требование, чтобы ФБО обеспечили недоступность содержания всей остаточной информации любых ресурсов для определенного подмножества объектов в ОДФ при распределении или освобождении ресурса.

FDP_RIP.2 «Полная зашита остаточной информации» содержит требование, чтобы ФБО обеспечили недоступность содержания всей остаточной информации любых ресурсов для всех объектов при распределении или освобождении ресурса.

Управление: FDP_RIP.I, FDP_R1P.2

Для функций управления из класса FMT может рассматриваться следующее действие.

а) Возможность настройки, когда выполнять защиту остаточной информации (т. е. при распределении или освобождении) в пределах ОО.

Лудит: FDP_R1P. 1, FDP_RIP.2

Нет идентифицированных действий/событий/параметров, для которых следует предусмотреть возможность аудита.

FDP_R1P.I Ограниченная защита остаточной информации

Иерархический для: Нет подчиненных компонентов.

FDP_RIP.1.1 ФБО должны обеспечить недоступность любого предыду щего информационного содержания ресурсов при [выбор: распределение ресурса, освобождение ресурса] для следующих объектов: (назначение: список объектов|.

Зависимости: отсутствуют.

37

Страница 44

ГОСТ I» ИСО/МЭК 15408-2-2002

FDP_RIP.2 Полная защита остаточной информации

Иерархический для: FDP_RIP.l

FDP_RIP.2.1 ФБО должны обеспечить недоступность любого предыдущего информационного содержания ресурсов при (выбор: распределение ресурса, освобождение ресурса!для всех объектов.

Зависимости: отсутствуют.

6.10 Откат (FDP_ROL)

Характеристика семейства

Операция отката включает в себя отмену последней операции или ряда операций, ограниченных некоторым пределом (например, периодом времени), и возврат к предшествующему известному состоянию. Откат предоставляет возможность отменить результаты операции или ряда операций, чтобы сохранить целостность данных пользователя.

Ранжирование компонентов

FOP ROLOiur

FDP ROL.1 «Базовый откат* связан с необходимостью вернуть обратно или отменить ограниченное число операций в определенных пределах.

FDP_ROL.2 «Расширенный откат» связан с необходимостью вернуть обратно или отменить все операции в определенных пределах.

Управление: FDP.ROL.1, FDP_ROL.2

Для функций управления из класса FMT могут рассматриваться следующие действия.

а)    Возможность настройки предела ограничений, до которого возможен откат в пределах ОО.

б)    Разрешение выполнять операцию отката только вполне определенным ролям.

Аудит: FDP_ROL.l, FDP_ROL.2

Если в ПЗ/ЗБ включено семейство FAU_GEN «Генерация данных аудита безопасности*, то следует предусмотреть возможность (в зависимости от выбранного уровня) аудита следующих действий/событий/параметров.

а)    Минимальный: все успешные операции отката.

б)    Базовый: все попытки выполнить операции отката.

в)    Детализированный: все попытки выполнить операции отката с идентификацией типов операций, отмененных при откате.

FDP_ROL.l Базовый откат

Иерархический для: Нет подчиненных компонентов.

FDP_ROL.l.l ФБО должны осуществлять (назначение: ПФБ управления доступом и/или ПФБ управления информационными потоками], чтобы разрешать откат |нашачение: список операций] на (назначение: список объектов].

FDP_ROL. 1.2 ФБО должны разрешать откат в пределах (назначение: ограничение выполнения отката].

Зависимости: |FDP_ACC.I Ограниченное управление доступом или

FDP_IFC.I Ограниченное управление информационными потоками]

FDP_ROL.2 Расширенный откат

Иерархический для: FDP_ROL. I

FDP_ROL.2.1 ФБО должны осуществлять (назначение: ПФБ управления доступом и/или ПФБ управления иш/юрмационными потоками|, чтобы разрешать откат всех операций на (назначение: список объектов],

FDP_ROL.2.2 ФБО должны разрешать откат в пределах (назначение: ограничение выполнения отката(.

Зависимости: (FDP_ACC.l Ограниченное управление доступом или

FDP_1FC.1 Ограниченное управление информационными потоками]

6.11 Целостность хранимых данных (FDP_SD1)

Характеристика семейства

Семейство FDP^SDI содержит требования, связанные с защитой данных пользователя во время их хранения в пределах ОДФ. Ошибки целостности могут воздействовать на данные пользователя,

Страница 45

ГОСТ Р ИСО/МЭК 15408-2-2002

хранимые как в оперативной памяти, так и на запоминающих устройствах. Это семейство отличается от семейства FDP_ITT «Передача в пределах ОО*. которое защищает данные пользователя от ошибок целостности во время их передачи в пределах ОО.

Ранжирование компонентов

FDP_SDI Цвтстноеть хранимых дан юг

-

Е

Ч

2

FDP_SDI.l «Мониторинг целостности хранимых данных» содержит требование, чтобы ФБ контролировала данные пользователя, хранимые в пределах ОДФ. на наличие идентифицированных ошибок целостности.

FDP_SDI.2 «Мониторинг целостности хранимых данных и предпринимаемые действия» дополняет предыдущий компонент действиями, предпринимаемыми после обнаружения ошибок. Управление: FDP_SD1.I Действия по управлению не предусмотрены.

Управление: FDP_SD1.2

Для функций управления из класса FMT может рассматриваться следующее действие, а) Возможность настройки действий, предпринимаемых после обнаружения ошибки целостности.

Лудит: FDP_SDI.l

Если в ПЗ/ЗБ включено семейство FAU_GEN «Генерация данных аудита безопасности*, то следует предусмотреть возможность (в зависимости от выбранного уровня) аудита следующих действий/событий/параметров.

а)    Минимальный: успешные попытки проверки целостности данных пользователя с индикацией результатов проверки.

б)    Базовый: все попытки проверки целостности данных пользователя с индикацией результатов проверки, если она была выполнена.

в)    Детализированный: тип обнаруженной ошибки целостности.

Аудит: FDP_SDI.2

Если в ПЗ/ЗБ включено семейство FAU_GEN «Генерация данных аудита безопасности», то следует предусмотреть возможность (в зависимости от выбранного уровня) аудита следующих дей-сгвий/событий,/параметров.

а)    Минимальный: успешные попытки проверки целостности данных пользователя с индикацией результатов проверки.

б)    Базовый: все попытки проверки целостности данных пользователя с индикацией результатов проверки, если она была выполнена.

в)    Детализированный: тип обнаруженной ошибки целостности.

г)    Детализированный: действия, предпринимаемые при обнаружении ошибки целостности. FDP_SDI.I Мониторинг целостности хранимых данных

Иерархический для: Нет подчиненных компонентов.

FDP_SDI.1.1 ФБО должны контролировать данные пользователя, хранимые в пределах ОДФ. на наличие (назначение: ошибки целостности] для всех объектов, основываясь на следующих атрибутах: (назначение: атрибуты данных пользователя].

Зависимости: отсутствуют.

FDP_SDI.2 Мониторинг целостности хранимых данных и предпринимаемые действия

Иерархический для: FDl_SDI.l

FDP_SDI.2.1 ФБО должны контролировать данные пользователя, хранимые в пределах ОДФ, на наличие (назначение: ошибки целостности\ для всех объектов, основываясь на следующих атрибутах: (назначение: атрибуты данных пользователя].

FDP_SDJ.2.2 При обнаружении ошибки целостности данных ФБО должны обеспечить (назначение: предпринимаемые действия].

Зависимости: отсутствуют.

Страница 46

ГОСТ Р ИСО/МЭК 15408-2-2002

6.12 Зашита конфиденциальности данных пользователя при передаче между ФБО (FDP_UCT)

Характеристика семейства

Семейство FDP..UCT определяет требования по обеспечению конфиденциальности данных пользователя при их передаче по внешнему каналу между ОО и доверенными внешними объектами И'Г или между пользователями ОО и различных доверенных внешних объектов И'Г.

Ранжирование компонентов

ИЗ

FDPJJCT Защита юфшвнцшаиоотм дтньос ппмипт при гирадм мод 4БО

Цель компонента FDP_UCT.l «Базовая конфиденциальное л, обмена данными* состоит в предо-ставлении зашиты от раскрытия данных пользователя во время их передачи.

Управление: FDP_UCT.I

Действия по управлению не предусмотрены.

Лудит: FDP_UCTJ

Если в ПЗ/ЗБ включено семейство FAU^GEN «Генерация данных аудита безопасности*, то следует предусмотреть возможность (в зависимости от выбранного уровня) аудита следующих действий/событий/параметров.

а)    Минимальный: идентификатор любого пользователя или субъекта, использующего механизмы обмена данными.

б)    Базовый: идентификатор неуполномоченного пользователя или с>бъекта, предпринимающего попытку использовать механизмы обмена данными.

в)    Базовый: ссылка на имена или другую информацию индексации, полезную при идентификации данных пользователя, которые были переданы или получены. Может включать в себя атрибуты безопасности, ассоциированные с информацией.

FDP UCT. 1 Батовая конфиденциальность обмена данными Иерархический для: Нет подчиненных компонентов.

FDP_UCT. 1.1 ФБО должны осуществлять [назначение: ЛФЬ управления доступом и/или 11ФБ управления информационными потоками], предоставляющую возможность |выбор: отправление, получение) данных пользователя способом, ющищенным от несанкционированного раскрытия.

Зависимости: [FTP_ITC.l Доверенный канал передачи между ФБО или FFP TRP.I Доверенный маршрут]

[FDP ACC.1 Ограниченное управление доступом или FDP_1FC.1 Ограниченное управление информационными потоками |

6.13 Зашита целостности данных пользователя при передаче между ФБО (FDP_U1T) Характеристика семейства

Семейство FDUJLUT определяет требования по обеспечению целостности данных пользователя при их передаче между ФБО и другим доверенным продуктом ИТ, а также для их восстановления при обнаружении ошибок. Как минимум, это семейство контролирует целостность данных пользователя на предмет модификации. Кроме того, семейство поддерживает различные способы исправления обнаруженных ошибок целостности.

Ранжирование компонентов

-□

-ш-и

FDPJUIT 3*%ита цяпоСтжагт дйпв пшшнпм ifM (мрммимиогФБО

FDP_lilT.l «Целостность передаваемых данных» связан с обнаружением модификации, удалений, вставок и повторения передаваемых данных пользователя.

•#>

Страница 47

ГОСТ Р ИСО/МЭК 15408-2-2002

FDP_U1T.2 «Восстановление переданных данных источником* связан с восстановлением исходных данных пользователя, полученных ФБО, с помощью источника — доверенного продукта ИТ.

FDP_UIT.3 «Восстановление переданных данных получателем* связан с самостоятельным восстановлением исходных данных пользователя, полученных ФБО, без какой-либо помощи источника — доверенного продукта ИТ.

Управление: FDP.U1T.1, FDP_UIT.2, FDP_U1T.3 Действия по управлению не предусмотрены.

Лудит: FDP_UIT.l

Если в ПЗ/ЗБ включено семейство FAU/GEN «Генерация данных аудита безопасности», то следует предусмотреть возможность (в зависимости от выбранного уровня) аудита следующих дей-стви й/событи Й/параметров.

а)    Минимальный: идентификатор любого пользователя или субъекта, использующего механизмы обмена данными.

б)    Базовый: идентификатор любого пользователя или субъекта, пытающегося использовать механизмы обмена данными пользователя, но не уполномоченного делать это таким образом.

в)    Базовый: ссылка на имена или другую информацию индексации, полезную при идентификации данных пользователя, которые были переданы или получены. Может включать атрибуты безопасности, ассоциированные с данными пользователя.

г)    Базовый: любые идентифицированные попытки блокировать передачу данных пользователя.

д)    Детализированный: типы и/или резульгаты любых обнаруженных модификаций переданных данных пользователя.

Аудит: FDP_UIT.2, FDP_UIT.3

Если в ПЗ/ЗБ включено семейство FAU/GEN «Генерация данных аудита безопасности», то следует предусмотреть возможность (в зависимости от выбранного уровня) аудита следующих дей-ствий/событнй/параметров.

а)    Минимальный: идентификатор любого пользователя или субъекта, использующего механизмы обмена данными.

б)    Минимальный: успешное восстановление после ошибок, включая тип обнаруженной ошибки.

в)    Базовый: идентификатор любого пользователя или субъекта, пытающегося использовать механизмы обмена данными пользователя, но не уполномоченного делать это таким образом.

г)    Базовый: ссылка на имена или другую информацию индексации, полезную при идентификации данных пользователя, которые были переданы или получены. Может включать в себя атрибуты безопасности, ассоциированные с данными пользователя.

д)    Базовый: любые идентифицированные попытки блокировать передачу данных пользователя.

е)    Детализированный: типы и/или результаты любых обнаруженных модификаций переданных данных пользователя.

FDP_UIT. 1 Целостность передаваемых данных Иерархический для: Нет подчиненных компонентов.

FDP_UIT.1.1 ФБО должны осуществлять (назначение: 11ФБ упрощения доступом u/iuu 1/ФБ управления информационными потоками|, предоставляющую возможность (выбор: отправление, получение] данных пользователя способом, защищенным от следующих ошибок: (выбор: мо()ификация. удаление, вставка, повторениеJ.

FDP U1T. 1.2 ФБО должны быть способны определить после получения данных пользователя, произошли ли следующие ошибки: [ выбор: модификация, yda.tenue. вставка. повторение|.

Зависимости: |FDP_ACC.I Ограниченное управление доступом или

FDP_IFC.l Ограниченное управление информационными потоками]

(FTP_ITC. 1 Доверенный канал передачи между ФБО или FTP_TRP. I Доверенный маршрут]

FDP_U1T.2 Восстановление переданных данных источником Иерархический для: Нет подчиненных компонентов.

FDP_UIT.2.I ФБО должны осуществлять (назначение: 1/ФБ управления доступом и/или ПФБ управления информационными потоками|, предоставляющую возможность восстановления после (назначение: список потенциа.шю исправляемых ошибок| с помощью источника — доверенного продукта ИТ.

41

Страница 48

ГОСТ I» ИСО/МЭК 15408-2-2002

Зависимости: [FDР_АСС. 1 Ограниченное управление доступом или

FDP_IFC. 1 Ограниченное у правление информационными потоками |

FTD_UIT. 1 Целостность передаваемых данных FTP_ITC.I Доверенный канал передачи между ФБО

FDP_UIT.3 Восстановление переданных данных полу чателем

Иерархический для: FDP_UIT.2

FDP_UIT.3.I ФБО должны осуществлять [назначение: ПФБ управлении доступом и/или ИФЬ упрощения информационными потоками], предоставляющую возможность восстановления после (назначение: список потенциально исправляемых ошибок| без какой-либо помощи источника — доверенного продукта ИТ.

Зависимости: |FDP_ACC.l Ограниченное управление доступом или

FDPJFC.1 Ограниченное управление информационными потоками]

FDP_UIT. I Целостность передаваемых данных FTP ITC.I Доверенный канал передачи между ФБО

7 Класс FIA. Идентификация и аутентификация

Семейства класса FIA содержат требования к функциям установления и верификации заявленного идентификатора пользователя.

ЦоркмтифмпВцт и Дупйитфмпйцж

НИ

нз

ПА^АЯ. Опшш цпатифмоцю

_ FIAATD Определен© втрфроа

полдаетля

—    Н^_ДОЗ dm щфжиня сцжтчи    —

-0

0-0

-0

0

F1AJUAU Аутлмфишдо попломптя

-0

-043

из

FIAUD Идантафмяфа пшикшм

FIAJJSB Сныти гтыоить-оуОмяг

Рисунок 7.1 — Декомпозиция класса «Идентификация и аутентификация»

42

Страница 49

ГОСТ Р ИСО/МЭК 15408-2-2002

Идентификация и аутентификация требуются для обеспечения ассоциации пользователей с соответствующими атрибутами безопасности (такими, как идентификатор, группы, роли, уровни безопасности или целостности).

Однозначная идентификация уполномоченных пользователей и правильная ассоциация атрибутов безопасности с пользователями и субъектами критичны для осуществления принятых политик безопасности. Семейства этого класса связаны с определением и верификацией идентификаторов пользователей, определением их полномочий на взаимодействие с ОО, а также с правильной ассоциацией атрибутов безопасности с каждым уполномоченным пользователем. Эффективность требований других классов (таких, как «Зашита данных пользователя», «Аудит безопасности*) во многом зависит от правильно проведенных идентификации и аутентификации пользователей.

Декомпозиция класса FDP на составляющие его компоненты приведена на рисунке 7.1.

7.1 Отказы аутентификации (FIA_AFL)

Характеристика семейства

Семейство FIA_AFL содержит требования к определению числа неуспешных попыток аутентификации и к действиям ФБО при превышении ограничений на неуспешные попытки аутентификации. Параметрами, определяющими возможное число попыток аутентификации, среди прочих могут быть количество попыток и допустимый интервал времени.

Ранжирование компонентов

нз

FIA^AFL Опшцпнпфсшн

FIA_AFL.l «Обработка отказов аутентификации» содержит требование, чтобы ФБО были способны прервать процесс открытия сеанса после определенного числа неуспешных попыток ауте»гтифи-кации пользователя. Также требуется, чтобы после прерывания процесса открытия сеанса ФБО были бы способны блокировать учетные данные пользователя или место входа (например, рабочую станцию), с которого выполнялись попытки, до наступления определенного администратором условия.

Управление: F1A_AFL.1

Для функций управления из класса FMT могут рассматриваться следующие действия.

а)    Управление ограничениями для неуспешных попыток аутентификации.

б)    Управление действиями, предпринимаемыми при неуспешной аутентификации.

Аудит: FIAAFL1

Если в ПЗ/ЗБ включено семейство FAU_GEN «Генерация данных аудита безопасности*, то следует предусмотреть возможность (в зависимости от выбранного уровня) аудита следующих дей-ствнй/событий/параметров.

а) Минимальный: достижение ограничения неуспешных попыток аутентификации и предпринятые действия (например, блокирование терминала), а также, при необходимости, последующее восстановление нормального состояния (например, деблокирование терминала).

FIA_AFL. 1 Обработка отказов ауте1гтификаиии

Иерархический для: Нет подчиненных компонентов.

FIA_AFL.1.1 ФБО лолжны обнаруживать, когда произойдет (назначение: число| неуспешных попыток аутентификации, относящихся к (назначение: список событий аутентифика-ции\.

F1A_AFL.1.2 При достижении или превышении определенного числа неу спешных попыток аутентификации ФБО должны выполнить (назначение: список действий|.

Зависимости: FIA_UAU.l Выбор момента аутентификации

7.2 Определение атрибутов пользователя (FIA_ATD)

Характеристика семейства

Все уполномоченные пользователи могут, помимо идентификатора пользователя, иметь другие атрибуты безопасности, применяемые при осуществлении ИБО. Семейство FIA_ATD определяет требования для ассоциации атрибутов безопасности с пользователями в соответствии с необходимостью поддержки ИБО.

43

Страница 50

ГОСТ Р ИСО/МЭК 15408-2-2002

Ранжирование компонентов

FWkjATDOnpeftanetHW итрлОупя пошомтшя

нз

FIA_ATD.I «Определение атрибутов пользователя- позволяет поддерживать атрибуты безопасности пользователя для каждого пользователя индивидуально.

Управление FIA_ATD.l

Для функций управления из класса FMT могут рассматриваться следующие действия,

а) Уполномоченный администратор может быть способен определять дополнительные атрибуты безопасности для пользователей, если это указано в операции назначения.

Аудит: FIA_ATD.l

Нет идентифицированных действий/событий/параметров, для которых следует предусмотреть возможности аудита.

FIA_ATD. 1 Определение атрибутов пользователя Иерархический для: Нет подчиненных компонентов.

FIA_ATD. 1.1 ФБО должны поддерживать для каждого пользователя следующий список атрибутов безопасности: (назначение: список атрибутов безопасности].

Зависимости: отсутствуют.

7.3 Спецификация секретов (FIA_SOS)

Характеристика семейства

Семейство FIA SOS определяет требования к механизмам, которые реализуют определенную метрику качества для предоста&1яемых секретов и генерируют секреты, удовлетворяющие определенной метрике.

Ранжирование компонентов

FIAJSOS.1 «Верификация секретов» содержит требование, чтобы ФБО верифицировали, отвечают ли секреты определенной метрике качества.

FlA_SOS.2 «Генерация секретов ФБО* содержит требование, чтобы ФБО были способны генерировать секреты, отвечающие определенной метрике качества.

Управление: FIA_SOS.l

Для функций управления из класса FMT может рассматриваться следующее действие, а) Управление метрикой, используемой для верификации секретов.

Управление: FIA_SOS.2

Для функций управления из класса FMT может рассматриваться следующее действие, а) Управление метрикой, используемой при генерации секретов.

Аудит: F1A_ SOS.I, FIA.SOS.2

Если в ПЗ/ЗБ включено семейство FAU_GEN «Генерация данных аудита безопасности», то следует предусмотреть возможность (в зависимости от выбранного уровня) аудита следующих дей-ствн й/событий/параметров.

а)    Минимальный: отклонение ФБО любого проверенного секрета.

б)    Базовый: отклонение или принятие ФБО любого проверенного секрета.

в)    Легализированный: идентификация любых изменений заданных метрик качества.

F!A_SOS.l Верификация секретов

Иерархический для: Нет подчиненных компонентов.

FIA_SOS.l.l ФБО должны предоставить механизм для верификации того, чго секреты отвечают (назначение: определенная метрика качества(.

Зависимости: отсутствуют.

44

Страница 51

ГОСТ Р ИСО/МЭК 15408-2-2002

FIA_SOS.2 Генерация секретов ФБО

Иерархический для: Нет подчинелных компонентов.

FIA_SOS.2.1 ФБО должны предоставить механизм генерации секретов, отвечающих (назначение: определенная метрика качества|.

FLA_SOS.2.2 ФБО должны быть способны использовать генерируемые ими секреты для (назначение: список функций ФБО].

Зависимости: отсутствуют.

7.4 Аутентификация пользователя (FIA_UAU)

Характеристика семейства

Семейство F1A_UAU определяет типы механизмов аутентификации пользователя, предостаазяе-мые ФБО. Оно также определяет те атрибуты, на которых необходимо базировать механизмы аутентификации пользователя.

Ранжирован не компонентов

FIA_l)AU.I «Выбор момента аутентификации» позволяет пользователю выполнить некоторые действия до аутентификации пользователя.

FIA_UAU.2 «Аутентификация до любых действий пользователя* содержит требование, чтобы пользователи прошли аутентификацию прежде, чем ФБО даст им возможность предпринимать какие-либо действия.

FIA_UAU.3 «Аутентификация, защищенная от подделок» содержит требование, чтобы механизм аутентификации был способен выявить аутентификационные данные, которые были фальсифицированы или скопированы, и предотвратить их использование.

F1A_UAU.4 «Механизмы одноразовой аутентификации* содержит требование наличия механизма аутентификации, который оперирует аутентификационными данными одноразового использования.

FIA_UAU.5 «Сочетание механизмов аутентификации» содержит требование предоставления и применения различных механизмов аутентификации пользователей в особых случаях.

FIA_UAU.6 «Повторная аутентификация» содержит требование возможности определения событий, при которых необходима повторная аутентификация пользователя.

FIA_UAU.7 «Аутентификация с защищенной обратной связью» содержит требование, чтобы во время аутентификации пользователю предоставлялась строго ограниченная информация о ней.

Управление: FIA_UAU.I

Язя функций управления из класса FMT могут рассматриваться следующие действия.

а)    Упраазение аутентификационными данными администратором.

б)    Упраазение аутентификационными данными пользователем, ассоциированным с этими данными.

в)    Управление списком действий, которые могут быть предприняты до того, как пользошпель аутентифицирован.

Упраааение: FIA_UAU.2

Для фу нкций упраатения из класса FMT могут рассматриваться следующие действия.

а) Упраазение аутентификационными данными адмиписгратором.

45

•1-1 -1523

Страница 52

ГОСТ Р ИСО/МЭК 15408-2-2002

б) Управление аутентификационными данными пользователем, ассоциированным с этими данными.

Управление: F1AJJAU.3. F1A_UAU.4, FIA_UAU.7

Действия по правлению не предусмотрены.

Управление: FIA_UAU.5

Для функций управления из класса FMT могут рассматриваться следующие действия.

а)    Управление механизмами аутентификации.

б)    Управление правилами аутентификации.

Управление: F1A_UAU.6

Для функций управления из класса FMT может рассматриваться следующее действие.

а) Управление запросом на повторную аутентификацию, если для уполномоченного администратора предусмотрена возможность такого запроса.

Аудит: FIA_UAU.1

Если в ПЗ/ЗБ включено семейство FAU_GEN о Генерация данных аудита безопасности*, то следует предусмотреть возможность (в зависимости от выбранного уровня) аудита следующих действий/событий/параметров.

а)    Минимальный: неуспешное использование механизма аутентификации.

б)    Базовый: все случаи использования механизма аутентификации.

в)    Детализированный: все действия при посредничестве ФБО до аутентификации пользователя.

Аудит: FIA_UAU.2

Если в ПЗ/ЗБ включено семейство FAl)_GEN «Генерация данных аудита безопасности», то следует предусмотреть возможность (в зависимости от выбранного уровня) аудита следующих дей-ствий/событий/параметров.

а)    Минимальный: неуспешное использование механизма аутентификации.

б)    Базовый: все случаи использования механизма аутентификации.

Аудит: FIA_UAU.3

Если в ПЗ/ЗБ включено семейство FAU_GEN «Генерация данных аудита безопасности*, то следует предусмотреть возможность (в зависимости от выбранного уровня) аудита следующих дей-ствий/событий/параметров.

а)    Минимальный: обнаружение фальсифицированных аутентификационных данных.

б)    Базовый: все безотлагательно предпринимаемые меры и результаты проверок на фальсифицированные данные.

Аудит: FIA_UAU.4

Если в ПЗ/ЗБ включено семейство FAU^GEN «Генерация данных аудита безопасности*, то следует предусмотреть возможность (в зависимости от выбранного уровня) аудита следующих дей-ствий/событий/параметров.

а) Минимальный: попытки повторного использования аутентификационных данных.

Аудит: FlA_UAU.5

Если в ПЗ/ЗБ включено семейство FAU_GEN «Генерация данных аудита безопасности*, то следует предусмотреть возможность (в зависимости от выбранного уровня) аудита следующих дей-ствий/событий/параметров.

а)    Минимальный: итоговое решение аутентификации.

б)    Базовый: результат действия каждого активизированного механизма вместе с итоговым решением.

Аудит: FIA_UAU.6

Если в ПЗ/ЗБ включено семейство FAU_GEN «Генерация данных аудита безопасности*, то следует предусмотреть возможность (в зависимости от выбранного уровня) аудита следующих дей-ствий/событий/параметров.

а)    Минимальный: неуспешная повторная аутентификация.

б)    Базовый: все попытки повторной аутентификации.

Аудит: F1A_UAU.7

Нет идентифицированных действий/событий/параметров, для которых следует предусмотреть возможность аудита.

46

Страница 53

ГОСТ Р ИСО/МЭК 15408-2-2002

FIAUAU.1 Выбор момента аутентификации

Иерархический для: Нет подчиненных компонентов.

FIA_UAU.I.l ФБО должны допускать выполнение [назначение: список действий, выполняемых при посредничестве ФБО] от имени пользователя прежде, чем пользователь аутентифицирован.

FIA_UAU.1.2 ФБО должны требовать, чтобы каждый пользователь был успешно аутенгифициро-ван до разрешения любого другого действия, выполняемою при посредничестве ФБО от имени этого пользователя.

Зависимости: FIA_UID.l Выбор момента идентификации

FIA_UAU.2 Аутентификация до любых действий пользователя

Иерархический для: FLAJJAU.1

FIA_UAU.2.I ФБО должны требовать, чтобы каждый пользователь был успешно аутентифицирован до разрешения любого действия, выполняемого при посредничестве ФБО от имени этого пользователя.

Зависимости: F1A_UID.I Выбор момента идентификации

FIA_UAU.3 Аутентификация, защищенная от подделок

Иерархический для: Нет подчиненных компонентов.

FIA_UAU.3.1 ФБО должны |выбор: обнаруживать, предотвращать| применение любым пользователем ФБО аутентифицированных данных, которые были подделаны.

FIA_UAU.3.2 ФБО должны |выбор: обнаруживать, предотвращать] применение любым пользователем ФБО аутентифицированных данных, которые были скопированы у какого-либо другого пользователя ФБО.

Зависимости: отсутствуют.

FIA_UAU.4 Механизмы одноразовой аутентификации

Иерархический для: Нет подчиненных компонентов.

FIA_UAU.4.I ФБО должны предотвращать повторное применение аутентификационных ланных, связанных с (назначение: идентифицированный механизм (механизмы) аутентификации].

Зависимости: отсутствуют.

FIA_UAU.5 Сочетание механизмов аутентификации

Иерархический для: Нет подчиненных компонентов.

F1A_UAU.5.1 ФБО должны предоставлять (назначение: список сочетаемых механизмов аутентификации] для поддержки аутентификации пользователя.

FIA_UAU.5.2 ФБО должны аутентифицировать любой представленный идентификатор пользователя согласно | назначение: приви.*а, описывающие, как сочетание механизмов аутентификации обеспечивает аутентификацию].

Зависимости: отсутствуют.

FIA UAU.6 Повторная аутентификация

Иерархический для: Нет подчиненных компонентов.

FI.A_UAU.6.1 ФБО должны повторно аутентифицировать пользователя при (назначение: список условий, при которых требуется повторная аутентификация].

Зависимости: отсутствуют.

FIA_UAU.7 Аутентификация с защищенной обратной связью

Иерархический для: Нет подчиненных компонентов.

FIA_UAU.7.1 ФБО должны предоставлять пользователю только [назначение: список допустимой информации обратной связи] во время выполнения аутентификации.

Зависимости: FIA_UAU.l Выбор момента аутентификации

7.5 Идентификация пользователя (FIA_UID)

Характеристика семейства

Семейство FIA_UID определяет условия, при которых от пользователей должна требоваться собственная идентификация до выполнения при посредничестве ФБО каких-либо других действий, требующих идентификации пользователя.

47

4-1

Страница 54

ГОСТ Р ИСО/МЭК 15408-2-2002

Ранжирование компонентов

FIA_UID.l «Выбор момента идентификации» позволяет пользователю выполнить некоторые действия перед своей идентификацией с использованием ФБО.

FIA U1D.2 «Идентификация до любых действий пользователя» содержит требование, чтобы пользователи идентифицировали себя прежде, чем ФБО позволяет им предпринимать какие-либо действия. Управление: FIA_U1D.I

Для функций управления из класса FMT могут рассматриваться следующие действия.

а)    Управление идентификаторами пользователей.

б)    Управление списком действий, если уполномоченный администратор может изменять действия, разрешенные до идентификации.

Управление: FIA_UID.2

Для функций управления из класса FMT может рассматриваться следующее действие, а) Управление идентификаторами пользователей.

Аудит: F1A.UID.I, FIAJJ1D.2

Если в ПЗ/ЗБ включено семейство FAU_GEN «Генерация данных аудита безопасности», то следует предусмотреть возможность (в зависимости от выбранного уровня) аудита следующих дей-ствий/событий/параметров.

а)    Минимальный: неуспешное использование механизма идентификации пользователя, включая представленный идентификатор пользователя.

б)    Базовый: все случаи использования механизма идентификации пользователя, включая представленный идентификатор пользователя.

FIA_UID. 1 Выбор момента идентификации Иерархический для: Нет подчиненных компонентов.

FIA_UID.1.1 ФБО должны допускать [назначение: перечень действий, выполняемых при посредничестве ФИО] от имени пользователя прежде, чем он идентифицирован.

F1A_UID.I.2 ФБО должны требовать, чтобы каждый пользователь был успешно идентифицирован до разрешения любого другого действия, выполняемого при посредничестве ФБО от имени этого пользователя.

Зависимости: отсутствуют.

FIA_UID.2 Идентификация до любых действий пользователя

Иерархический для: F1A_U ID. I

FIA_UID.2.1 ФБО должны требовать, чтобы каждый пользователь был успешно идентифицирован до разрешения любого действия, выполняемого при посредничестве ФБО от имени этого пользователя.

Зависимости: отсутствуют.

7.6 Связывание пользователь—субъект (FIA_USB)

Характеристика семейства

Для работы с ОО аутентифицированный пользователь обычно активизирует какой-либо субъект. Атрибуты безопасности этого пользователя ассоциируются (полностью или частично) с этим субъектом. Семейство FIA_USB определяет требования по созданию и сопровождению ассоциации атрибутов безопасности пользователя с субъектом, действующим от имени пользователя.

Ранжирование компонентов

FMJJS8 Гия— на пвгиоеетегыздвмкт

FIA,USB.I «Связывание пользователь-субъект» содержит требование сопровождения ассоциации между атрибутами безопасности пользователя и субъектом, действующим от имени пользователя.

Управление: RA_USB.I

Дня функций управления из класса FMT может рассматриваться следующее действие.

а) 11ереопределенне уполномоченным администратором заданных по умолчанию атрибутов безопасности субъекта.

Аудит: FIA_USB. 1

Если в ПЗ/ЗБ включено семейство FAU_GEN «Генерация данных аудита безопасности», то следует предусмотреть возможность (в зависимости от выбранного уровня) аудита следующих дей-сгви й/событи й/парам етров.

Страница 55

ГОСТ Р ИСО/МЭК 15408-2-2002

а)    Минимальный: неуспешное связывание атрибутов безопасности пользователя с субъектом (например, при создании субъекта).

б)    Базовый: успешное или неуспешное связывание атрибутов безопасности пользователя с субъектом (например, успешное или неуспешное создание субъекта).

FIA_USB.l Связывание пользователь—субъект

Иерархический для: Нет подчиненных компонентов.

FIA_USB.1.I ФБО должны ассоциировать соответствующие атрибуты безопасности пользователя с субъектами, действующими от имеии этого пользователя.

Зависимости: FIA_ATD.I Определение атрибутов пользователя

8 Класс FMT. Управление безопасностью

Класс FMT предназначен для спецификации управления некоторыми аспектами ФБО: атрибутами безопасности, данными и отдельными функциями. Могут быть установлены различные роли управления, а также определено их взаимодействие, например распределение обязанностей.

Класс позволяет решать следующие задачи:

а)    Управление данными ФБО, которые включают в себя, например, предупреждающие сообщения.

б)    Управление атрибутами безопасности, которые включают в себя, например, списки управления доступом и перечни возможностей.

в)    Управление функциями из числа ФБО. которое включает в себя, например, выбор функций, а также правил или условий, влияющих на режим выполнения ФБО.

г)    Определение ролей безопасности.

Декомпозиция класса FM Г на составляющие его компоненты приведена на рисунке 8.1.

Vta—папе бмопиносшо

FWT_M0F Vfrp—ПЕН ИР отдщьиьнж —I    —---«во

Авопкииш

НИ


а


—    тЦИП) Сравнимо динши ФБО


_ FMTJSAT С^МДиЬши штр^уги

бнопкности


FVT_R£V Оливии


WTjflMR Доли дожаипшми боапношепл)


-0

ни

н


Рисунок 8.1 — Декомпозиция класса «Управление безопасностью»

4-2— 1523

49

Страница 56

ГОСТ Р ИСО/МЭК 15408-2-2002

8.1 Управление отдельными функциями ФБО (FMT_MOF)

Характеристика семейства

Семейство FMT_MOF позволяет уполномоченным пользователям управлять функциями из числа ФБО. К ним относятся, например, функции аудита и аутентификации.

Ранжирование компонентов

FWTMOF УЦмшяюп ттетмьши «рунщшшнФБО

FMT_ MOF.1 «Управление режимом выполнения функций безопасности» позволяет уполномоченным пользователям (ролям) управлять режимом выполнения функций из числа ФБО. использующих правила или предусматривающих определенные условия, которыми можно управлять.

Управление: FMT_MOF.I

Дня функций у правления из класса FMT может рассматриваться следующее действие.

а) Управление группой ролей, которые мот взаимодействовать с функциями из числа ФБО.

Аудит. FMTMOF.1

Если в ПЗ/ЗБ включено семейство FAU^GEN «Генерация данных аудита безопасности*, то следует предусмотреть возможность (в зависимости от выбранного уровня) аудита следующих дей-сгвий/событий/параметров.

а) Базовый: все модификации режима выполнения функций из числа ФБО.

FMT_MOF.l Управление режимом выполнения функций безопасности

Иерархический для: Нет подчиненных компонентов.

FMT_MOF.l.l ФБО должны ограничить возможность (выбор: определение режима выполнения, отключение, подключение, модификации режима выполнения) определенных функций (назначение: список функции] только (назначение: уполномоченные идентифицированные роли].

Зависимости: FMT_SMR.l Роли безопасности

8.2 Управление атрибутами безопасности (FMT_MSA)

Характеристика семейства

Семейство FMT_MSA допускает уполномоченных пользователей к управлению атрибутами безопасности. Такое управление может включать в себя возможности просмотра и модификации атрибутов безопасности.

Ранжирование компонентов

П!Г_М5ЛУпровпмм» вфмОутшж

6елтееюе™

FMT_MSA.l «Управление атрибутами безопасности» позволяет уполномоченным пользователям (ролям) управлять определенными атрибутами безопасности.

FMT_MSA.2 «Безопасные значения атрибутов безопасности* обеспечивает, чтобы значения, присвоенные атрибутам безопасности, были допустимы по безопасности.

FMT MSA.3 «Инициализация статических атрибутов» обеспечивает, чтобы значения атрибутов безопасности по умолчанию являлись по своей сути либо разрешающими, либо ограничительными. Управление: FMT_MSA.l

Для функций управления из класса FMT может рассматриваться следующее действие, а) Управление группой ролей, которые могут оперировать атрибутами безопасности. Управление: FMT_MSA.2 Действия по управлению не предусмотрены.

Управление: FMT_MSA.3

Для функций управления из класса FMT могут рассматриваться следующие действия.

а)    Управление группой ролей, которые могут определять начальные значения.

б)    Управление установкой разрешающих или ограничительных значений но умолчанию для данной ПФБ упраштення доступом.

Страница 57

ГОСТ Р ИСО/МЭК 15408-2-2002

Аудит: FMT_MSA.I

Если в ПЗ/ЗБ включено семейство FAU_GEN «Генерация данных аудита безопасности*, то следует предусмотреть возможность (в зависимости от выбранного уровня) аудита следующих действий/событий/параметров.

а) Базовый: все модификации значений атрибутов безопасности.

Аудит: FMT_MSA.2

Если в ПЗ/ЗБ включено семейство FAU_GEN •‘Генерация данных аудита безопасности», то следует предусмотреть возможность (в зависимости от выбранного уровня) аудита следующих дей-ствий/событи й/параметров.

а)    Минимальный: все предлагаемые и отклоненные значения атрибутов безопасности.

б)    Детализированный: все предлагаемые и принятые безопасные значения атрибутов безопасности.

Аудит: FMT_MSA.3

Если в ПЗ/ЗБ включено семейство FAU_GEN «Генерация данных аудита безопасности», то следует предусмотреть возможность (в зависимости от выбранного уровня) аудита следующих дей-стви й/событи й/парам етров.

а)    Базовый: модификации настройки по умолчанию разрешающих или ограничительных правил.

б)    Базовый: все модификации начальных значений атрибутов безопасности.

FMT_MSA.l Управление атрибутами безопасности

Иерархический для: Нет подчиненных компонентов.

FMT_MSA.1.I ФБО должны осуществлять [назначение: ИФЬуправления доступом, ИФЬуправлении информационными потоками1, чтобы ограничить возможность [выбор: изменение мачений по умолчанию, janpoc, мм)ификация. удалениеJ, [назначение: другие операции] атрибутов безопасности [назначение: список атрибутов безопасности | только [ на значение: уполномоченные идентифицированные роли |. Зависимости: | FDP_ACC. I Ограниченное управление доступом или

FDP_IFC.I Ограниченное управление информационными потоками]

FMT_SMR.l Роли безопасности FMTJVISA.2 Безопасные значения атрибутов безопасности Иерархический для: Нет подчиненных компонентов.

FMT_MSA.2.1 ФБО должны обеспечить присвоение атрибутам безопасности только безопасных шачений.

Зависимости: ADV_SPM.I Неформальная модель политики безопасности ОО [FDP_ACC.I Ограниченное управление доступом или FDP_IFC.l Ограниченное управление информационными потоками]

FMTJV1SA.1 Управление атрибутами беюпасиости FMT_SMR.I Роли безопасности FMT_MSA.3 Ииипиализацня статических атрибутов Иерархический для: Нет подчиненных компонентов.

FMT_MSA.3.1 ФБО должны осуществлять [назначение: ИФЬ управ.ления доступом. ИФЬ управления информационными потоками], чтобы обеспечить |выбор: ограничительные, разрешающие, с другими свойствами[ значения по умолчанию для атрибутов безопасности, которые используются для осуществления ПФБ.

FMT_MSA.3.2 ФБО должны предоставить возможность [назначение: уполномоченные идентифицированные роли] определять альтернативные начальные значения для отмены значений по умолчанию при создании объекта или информации.

Зависимости: FMT_MSA.I Управление атрибутами безопасности FMT_SM R. 1 Роли безопасности 8.3 Управление данными ФБО (FMT_MTD)

Характеристика семейства

Семейство FMT_MTD допускает уполномоченных пользователей (роли) к управлению данными ФБО. Примеры данных ФБО: информация аудита, текущее значение времени, конфигурация системы, другие параметры конфигурации ФБО.

51

Страница 58

FMT_MTD.l «Упрааление данными ФБО* позволяет уполномоченным пользователям управлять данными ФБО.

ГОСТ Р ИСО/МЭК 15408-2-2002

Ранжирование компонентов


FMT_MTD.2 «Управление ограничениями данных ФБО* определяет действия, предпринимаемые при достижении или превышении ограничений данных ФБО.

FMT_MTD.3 «Безопасные данные ФБО* обеспечивает, чтобы значения, присвоенные данным ФБО, были допустимы по безопасности.

Управление: FMT.MTD.I

Для функций упраатения из класса FMT может рассматриваться следующее действие, а) Управление группой ролей, которые могут оперировать данными ФБО.

Управление: FMT_MTD.2

Для функций управления из класса FMT может рассматриваться следующее действие, а) Упрааление группой ролей, которые могут оперировать ограничениями данных ФБО. Управление: FMT_MTD.3 Действия по управлению не предусмотрены.

Аудит: FMT_MTD.l

Если в ПЗ/ЗБ включено семейство FAU_GEN «Генерация данных аудита безопасности», то следует предусмотреть возможность (в зависимости от выбранного уровня) аудита следующих дей-ствнй/событий/параметров.

а) Базовый: все модификации значений данных ФБО.

Аудит: FMT_MTD.2

Если в ПЗ/ЗБ включено семейство FAU_GEN «Генерация данных аудита безопасности*, то следует предусмотреть возможность (в зависимости от выбранного уровня) аудита следующих дей-ствий/событий/параметров.

а)    Базовый: все модификации ограничений данных ФБО.

б)    Базовый: все модификации действий, предпринимаемых при нарушениях ограничений. Аудит: FMT_MTD.3

Если в ПЗ/ЗБ включено семейство FAU_GEN «Генерация данных аудита безопасности*, то следует предусмотреть возможность (в зависимости от выбранного уровня) аудита следующих дей-егвий/событий/параметров.

а) Минимальный: все отклоненные значения данных ФБО.

FMT_MTD.l Управление данными ФБО Иерархический для: Нет подчиненных компонентов.

FMT_MTD.1.1 ФБО должны ограничить возможность (выбор: илменение шачений по умолчанию, запрос, модификация, удаление, очистка, (назначение: другие операции] | следующих данных (назначение: список данных ФБО] только [назначение: уполномоченные идентифицированные роли].

Зависимости: FMT_SMR.I Роли безопасности FMT_MTD.2 Управление ограничениями даиных ФБО Иерархический для: Нет подчиненных компонентов.

FMT_MTD.2.1 ФБО должны предоставить возможность определения ограничений следующих данных (назначение: список данных ФБО] только (назначение: уполномоченные иденти-фицироваиные роли].

FMT_MTD.2.2 ФБО должны предпринять следующие действия при достижении или превышении данными ФБО установленных выше ограничений: (назначение: предпринимаемые действия].

Зависимости: FMT_MTD.I Управление данными ФБО FMT SMR.1 Роли безопасности

52

Страница 59

ГОСТ Р ИСО/МЭК 15408-2-2002

FMT_MTD.3 Безопасные данные ФБО

Иерархический для: Нет подчиненных компонентов.

FMT_MTD.3.1 ФБО должны обеспечить присвоение данным ФБО только безопасных значений. Зависимости: ADV_SPM.l Неформальная модель политики безопасности 00 FMT_MTD.l Управление данными ФБО

8.4 Отмена (FMT_REV)

Характеристика семейства

Семейство FMT REV связано с отменой атрибутов безопасности различных сущностей в пределах ОО.

Ранжирование компонентов

FMT_REVOrmna    - 1

FMT.REV. I «Отмена® предусматривает отмену атрибутов безопасности, осуществляемую в некоторый момент времени.

Управление: FMT_REV.l

Для функций управления из класса FMT могут рассматриваться следующие действия.

а)    Управление группой ролей, которые могут вызывать отмену атрибутов безопасности.

б)    Управление списками пользователей, субъектов, объектов и других ресурсов, для которых возможна отмена.

в)    Управление правилами отмены.

Аудит: FMT.REV.I

Если в ПЗ/ЗБ включено семейство FAU_GEN «Генерация данных аудита безопасности», то следует предусмотреть возможность (в зависимости от выбранного уровня) аудита следующих дей-ствий/событи й/параметров.

а)    Минимальный: неуспешная отмена атрибутов безопасности.

б)    Базовый: все попытки отменить атрибуты безопасности.

FMT_REV. 1 Отмена

Иерархический для: Нет подчиненных компонентов.

FMT_REV. 1.1 ФБО должны ограничить возможность отмены атрибутов безопасности, ассоциированных с {выбор: пользователи, субъекты, объекты, другие дополнительные ресурсы], в пределах ОДФ только (назначение: уполномоченные идентифицированные роли].

FMT_REV.1.2 ФБО должны реалиюватъ правила (назначение: правила отмены].

Зависимости: FMT_SMR.l Роли безопасности

8.5 Срок действия атрибута безопасности (FMT_SAE)

Характеристика семейства

Семейство FMT_SAE связано с возможностью установления срока действия атрибутов безопасности.

Ранжирование компонентов

FMT_flAE СрОс действии бваапвомоти

FMT_SAE.l «Ограниченная по времени авторизация® предоставляет возможность уполномоченному пользователю устанавливать срок действия определенных атрибутов безопасности.

Управление: FMT_SAE.l

Для функций управления из класса FMT могут рассматриваться следующие действия.

а)    Управление списком атрибутов безопасности с назначенным сроком действия.

б)    Предпринимаемые по истечении назначенного срока действия.

53

Страница 60

ГОСТ Р ИСО/МЭК 15408-2-2002

Лудит: FMT_SAE.I

Если п ПЗ/ЗБ включено семейство FAU_GEN «Генерация данных аудита безопасности», то следует предусмотреть возможность (в зависимости от выбранного уровня) аудита следующих дей-ствий/событий/параметров.

а)    Базовый: назначение срока действия для атрибута.

б)    Базовый: действия, предпринятые по истечении назначенного срока.

FMT_SAE. 1 Ограниченная по времени авторизация Иерархический для: Нет подчиненных компонентов.

F.\1T_SAE. 1.1 ФБО должны ограничить возможность назначать срок действия для (назначение: список атрибутов безопасности, для которых предусмотрено установление срока действия] только [назначение: шкнтифицированныеуполномоченные роли]. FMT_SAE.1.2 Для каждого из этих атрибутов безопасности ФБО должны быть способны к (назначение: список действий, предпринимаемых для каждого атрибута безопасности] по истечении его срока действия.

Зависимости: FMT_SMR.l Роли безопасности

FPT_STM.l Надежные метки времени 8.6 Роли управления безопасностью (FMT_SMR)

Характеристика семейства

Семейство FMT_SMR предназначено для управления назначением различных ролей пользователям. Возможности этих ролей по упрашению безопасностью описаны в других семействах этого класса. Ранжирование компонентов

-ПНИ

FWT_SliR Rm угршлммя бпогашосто

FMT_SMR.l «Роли безопасности» определяет роли, относящиеся к безопасности и распознаваемые ФБО.

FMT_SMR.2 «Ограничения на роли безопасносги» определяет, что в дополнение к определению ролей имеются правила, которые управляют отношениями между ролями.

FMT_SMR.3 «Принятие ролей» содержит требование, чтобы принятие роли производилось только через точный запрос к ФБО.

Управление: FMT.SMR.1

Дня функций управления из класса FMT может рассматриваться следующее действие.

а) Управление группой пользователей — исполнителей роли.

Управление: FMT.SMR.2

Дня функций управления из класса FMT могут рассматриваться следующие действия.

а)    Управление группой пользователей — исполнителей роли.

б)    Управление условиями, которым должны удовлетворять роли.

Управление: FMT.SMR.3

Действия по управлению не предусмогреиы.

Лудит: FMT SMR. I

Если в ПЗ/ЗБ включено семейство FAU_GEN «Генерация данных аудита безопасности», то следует предусмотреть возможность (в зависимости от выбранного уровня) аудита следующих дей-ствнй/событий/параметров.

а)    Минимальный: модификация группы пользователей — исполнителей роли.

б)    Детализированный: каждое использование прав, предоставпенных ролью.

Аудит: FMT_SMR.2

Если в ПЗ/ЗБ включено семейство FAU. CEN «Генерация данных аудита безопасности», то следует предусмотреть возможность (в зависимости от выбранного уровня) аудита следующих дей-ствий/событи й/параметров.

а) Минимальный: модификация в группе пользователей — исполнителей роли.

54

Страница 61

ГОСТ Р ИСО/МЭК 15408-2-2002

б)    Минимальный: неуспешные попытки использовать роль вследствие ограничений, накладываемых на роли.

в)    Детализированный: каждое использование прав, предоставленных ролью.

Аудит: FMT_SMR.3

Если в ПЗ/ЗБ включено семейство FAU_GEN «Генерация данных аудита безопасности», то следует предусмотреть возможность (в зависимости от выбранного уровня) аудита следующих действий/событий/параметров.

а) Минимальный: конкретные запросы на принятие роли.

FMT_SM R. 1 Голи безопасности

Иерархический для: Нет подчиненных компонентов.

FMT_SMR.1.1 ФБО должны поддерживать следующие роли (назначение: уполномоченные идентифицированные роли |.

FMT_SMR. 1.2 ФБО должны быть способны ассоциировать пользователей с ролями. Зависимости: FIA_UID.l Выбор момента идентификации FMT_SMR.2 Ограничения иа роли безопасности Иерархический для: FMT_SM R. I

FMTJSMR.2.1 ФБО должны поддерживать следующие роли (назначение: уполномоченные идентифицированные роли\.

FMT_SMR.2.2 ФБО должны быть способны ассоциировать пользователей с ролями. FMT_SMR.2.3 ФБО должны обеспечить выполнение [назначение: условия дляраыичныхролей]. Зависимости: FIA_UID.l Выбор момента идентификации Fi\lT_SMR.3 Принятие ролей

Иерархический для: Нет подчиненных компонентов.

FMT_SMR.3.1 ФБО должны требовать точный запрос для принятия следующих ролей [назначение: список ролей\.

Зависимости: FMT_SMR.l Голи безопасности

9 Класс FPR. Приватность

Класс FFR содержит требования приватности. Эти требования предоставляют пользователю защиту от раскрытия его идентификатора и злоупотребления этим другими пользователями. Декомпозииия класса FFR на составляющие его компоненты приведена на рисунке 9.1.

55

Страница 62

ГОСТ Р ИСО/МЭК 15408-2-2002

9.1 Лпоииммость (KPR_A.NO)

Характеристика семейства

Семейство FPR_A.NO обеспечивает, чтобы пользователь мог использопать ресурс или услугу ОО без раскрытия своего идентификатора. Требования семейства предоставляют защиту идентификатора пользователя. Семейство не предназначено для защиты идентификаторов субъектов.

Ранжирование компонентов

“□НИ

pm АМОАношшюстъ

FPR_ANO.I «Анонимность» содержит требование, чтобы другие пользователи или субъекты не могли определить идентификатор пользователя, связанного с субъектом или операцией.

FPR_AN0.2 «Анонимность без запроса информации» расширяет требования FPR_ANO,l. обеспечивая. чтобы ФБО не запрашивали идентификатор пользователя.

Управление: FPRJVNO.I, FPR_AN0.2

Действия по управлению для этих компонентов не предусмотрены.

Аудит: FPR.ANO.l, FPR.AN0.2

Если в ПЗ/ЗБ включено семейство FAU_GEN «Генерация данных аудита безопасности», то следует предусмотреть возможность (в зависимости от выбранного уровня) аудита следующих действий/событий/параметров.

а) Минимальный: обращение к механизму анонимности.

FPR_ANO. 1 Анонимность

Иерархический для: Нет подчиненных компонентов.

FPR_AN0.1.1 ФБО должны обеспечить, чтобы (назначение: совокупность пользователей и/или субъектов\ была не способна определить подлинное имя пользователя, связанного с (назначение: список субъектов и/или операций, и/или объектов].

Зависимости: отсутствуют.

FPR ANO.2 Анонимность без запроса информации

Иерархический для: FPR_ANO,l

FPR_AN0.2.1 ФБО должны обеспечить, чтобы (назначение: совокупность пользователей и/или субъектов] была не способна определить подлинное имя пользователя, связанного с (назначение: список субъектов и/или операций, и/или объектов|. FPR_AN0.2.2 ФБО должны предоставить (назначение: список услуг] для (назначение: список субъектов\ без запроса какой-либо ссылки на подлинное имя пользователя. Зависимости: отсутствуют.

9.2 Псевдонимность (FPR_PSE)

Характеристика семейства

Семейство FPR. PSE обеспечивает, чтобы пользователь мог использовать ресурс или услугу без раскрытия своего идентификатора, оставаясь в то же время ответственным за это использование. Ранжирование компонентов

FPR_PSE. I «Псевдонимность» содержит требование, чтобы некоторая совокупность пользователей и/или субъектов была не способна определить идентификатор пользователя, связанного с субъектом или операцией, но в то же время этот пользователь оставался ответственным за свои действия.

FPR_PSE.2 «Обратимая псевдонимность* содержит требование, чтобы ФБО предоставили возможность определить первоначальный идентификатор пользователя, основываясь па представленном псевдониме.

FPR PSE.3 «Альтернативная псевдонимность» содержит требование, чтобы при создании псевдонима для идентификатора пользователя ФБО следовали определенным правилам.

56

Страница 63

ГОСТ Р ИСО/МЭК 15408-2-2002

Управление: FPR_PSE.l, FPR_PSE.2, FPR_PSE.3

Действия по управлению для этих компонентов не предусмотрены.

Аудит: FPR_PSE.I, FPR_PSE.2. FPR_PSE.3

Если в ПЗ/ЗБ включено семейство FAU_GEN «Генерация данных аудита безопасности*, то следует предусмотреть возможность (в зависимости от выбранного уровня) аудита следующих дей-ствий/событий/параметров.

а) Минимальный: идентификатор субъекта/пользователя, который потребовал раскрытия идентификатора пользователя.

FPR_PSE.I Нсевдонимносгь

Иерархический дня: Нет подчиненных компонентов.

FPR_PSE.1.1 ФБО должны обеспечить, чтобы (назначение: совокупность пользователей и/или субъектов| была не способна определить подлинное имя пользователя, связанного с [назначение: список субъектов и/или операций, и/или объектов|.

FPR_PSE.1.2 ФБО должны быть способны предоставить [назначение: количество псев<)онимов\ псевдонимов подлинного имени пользователя для [назначение: список субъектов].

FPR_PSE. 1.3 ФБО должны быть способны [выбор: определить псевдоним пользовате.иг, принять псевдоним от пользователя] и верифицировать его соответствие [назначение: метрика псевдонимов|.

Зависимости: отсутствуют.

FPR_PSE.2 Обратимая псевлонимность

Иерархический для: FPR_PSE.l

FPR_PSE.2.1 ФБО должны обеспечить, чтобы [назначение: совокупность пользователей и/или субъектов] была не способна определить подлинное имя пользователя, связанное с [назначение: список субъектов и/или операций, и/или объектов].

FPR_PSE.2.2 ФБО должны быть способны предоставить (назначение: количество псевдонимов] псевдонимов подлинного имени пользователя для [назначение: список су'бъектов].

FPR_PSE.2.3 ФБО должны быть способны |выбор: определить псевдоним пользователь/, принять псевдоним от пользователю) и верифицировать его соответствие [назначение: метрики псевдонимов].

FPR_PSE.2.4 ФБО должны предоставить [выбор: уполномоченный пользователь, [назначение: список доверенных су'бъектов] возможность определять идентификатор пользователя по представленному псевдониму только при выполнении [назначение: список условий].

Зависимости: FIA_UID.l Выбор момента идентификации

FPR_PSE.3 Альтернативная псевлонимность

Иерархический дпя: FPR PSE.I

FPR_PSE.3.1 ФБО должны обеспечить, чтобы (назначение: совокупность пользователей и/или субъектов] была неспособна определитыюдлинное имя пользователя, связанного с [назначение: список субъектов и/или операций, и/шш объектов].

FPR_PSE.3.2 ФБО должны быть способны предоставить (назначение: количество псевдонимов] псевдонимов подлинного имени пользователя для [назначение: список су'бъектов].

FPR_PSE.3.3 ФБО должны быть способны |выбор: определить псевдоним пользователя, принять псевдоним от пользователя) и верифицировать его соответствие (назначение: метрика псевдонимов].

FPR_PSE.3.4 ФБО должны предоставить псевдоним для подлинного имени пользователя, который должен бып. идентичен псевдониму, предоставленному ранее, при следу ющих условиях [назначение: список условий|; в противном случае предоставляемый псевдоним должен быть ие связан с предоставленными ранее псевдонимами.

Зависимости: отсутствуют.

9.3 Невозможность ассоциации (FPR_UNL)

Характеристика семейства

Семейство FPR_U.NL обеспечивает, чтобы пользователь мог неоднократно использовать ресурсы или услуги, не давая в то же время никому возможности связать вместе их использование.

Ранжиропанне компонентов

FPR_UPt_ Нииилкмиостъ ассоциации _гШ

57

Страница 64

ГОСТ Р ИСО/МЭК 15408-2-2002

FPR_UNL 1 « Невозможность ассоциации* содержит требование, чтобы пользователи и/или субъекты были не способны определить, были ли определенные операции в системе инициированы одним и тем же пользователем.

Управление: FPR_UNLI

Для функций управления из класса FMT может рассматриваться следующее действие.

а) Управление функцией предотвращения ассоциации.

Аудит: FPR JJNL.I

Если в ПЗ/ЗБ включено семейство FAU_GEN «Генерация данных аудита безопасности*, то следует предусмотреть возможность (в зависимости от выбранного уровня) аудита следующих дей-ствий/событий/параметров.

а) Минимальный: обращение к механизму предотвращения ассоциации.

FPR_UNL.l Невозможность ассоциации

Иерархический для: Нет подчиненных компонентов.

FPR_UNL.1.1 ФБО должны обеспечить, чтобы [назначение: совокупность пользователей и/и.* и субъектов | была неспособна определить, что (назначение: список операций] (выбор: 6ы.т инициированы одним и тем же пользователем, связаны следующим образам](назначение: список соотношенийJ.

Зависимости: отсутствуют.

9.4 Скрытность (FPR_UNO)

Характеристика семейства

Семейство FPR_UNO обеспечивает, чтобы пользователь мог использовать ресурс или услугу без предоставления кому-либо, в особенности третьей стороне, информации об использовании ресурса или услуги.

Ранжирование компонентов

1

Сфытиость

4

FPR_UNO. I «Скрытность» содержит требование, чтобы пользователи и/или субъекты не могли определить, выполняется ли операция.

FPR_UNQ.2 «Распределение информации, влияющее на скрытность» содержит требование, чтобы ФБО предоставили специальные механизмы для предотвращения концентрации информации, связанной с приватностью, в пределах ()(). Такая концентрация могла бы повлиять на обеспечение скрытности при нарушениях безопасности.

FPR_UNO,3 «Скрытность без запроса информации» содержит требование, чтобы ФБО не пытались получить информацию, связанную с приватностью, что может использоваться для нарушения скрытности.

FPR UNO.4 «Открытость для уполномоченного пользователя» содержит требование, чтобы ФБО предоставили одному или нескольким уполномоченным пользователям возможность наблюдать за использованием ресурсов и/или услуг.

Управление: FPR_UNO.’l, FPR„UNO,2

Для функций управления из класса FMT может рассматриваться следующее действие.

а) Управление режимом выполнения функции скрытности.

Управление: FPR_UNO,3

Действия по управлению для этого компонента не предусмотрены.

Управление: FPR_UNO,4

Дпя функций управления из класса FMT может рассматриваться следующее действие.

а) Управление совокупностью уполномоченных пользователей, которые способны определить, выполнялись ли операции.

Страница 65

ГОСТ Р ИСО/МЭК 15408-2-2002

Аудит: FPRJJNO.l, FPR.UNO.2

Если в ПЗ/ЗБ включено семейство FAU_GEN «Генерация данных аудита безопасности*, то следует предусмотреть возможность (в зависимости от выбранного уровня) аудита следующих дей-сгвий/событий/параметров.

а) Минимальный: обращение к механизму скрытности.

Аудит: FPR_UN0.3

Нет идетгифициро ванных действий/событнй/параметров, для которых следует предусмотреть возможность аудита.

Аудит: FPR^UNO.4

Если в ПЗ/ЗБ включено семейство FAU_GEN «Генерация данных аудита безопасности», то следует предусмотреть возможность (в зависимости от выбранного уровня) аудита следующих дей-стви й/еобыти Й/параметров.

а) Минимальный: наблюдение за использованием ресурса или услуги пользователем или субъектом.

FPR_UN0.1 Скрытность

Иерархический для: Нет подчиненных компонентов.

FPR_UN0.1.1 ФБО должны обеспечить, чтобы [назначение: совокупность пользователей а/или субъектов] была не способна наблюдать следующие операции [ назначение: список операций] на [назначение: список объектов|, выполняемые [назначение: совокупность шщищаемых пользователей и/или субъектов].

Зависимости: отсутствуют.

FPR_UN0.2 Распрелеление информации, влияющее на скрытность

Иерархический для: FPR UNO.l

FPR_UN().2.I ФБО должны обеспечить, чтобы [назначение: совокупность пользователей и/или субъектов| была не способна наблюдать следующие операции [назначение: список операций| на [назначение: список о6ъектов\, выполняемые [назначение: совокупность защищаемых пользователей и/или субъектов].

FPR_UN0.2.2 ФБО должны распределить [назначение: информация, связанная со скрытностью] среди различных частей ОО так, чтобы во время существования информации выполнялись следующие условия: [назначение: список условий].

Зависимости: отсутствуют.

FPR_UN0.3 Скрытность без запроса информации

Иерархический для: Нет подчиненных компонентов.

FPR_UN0.3.1 ФБО должны предоставить (назначение: список услуг] для [назначение: список субъектов\ без запроса каких-либо ссылок на [назначение: информация, связанная с приватностью].

Зависимости: FPR_UN0.1 Скрытность

FPR U.NO.4 Открытость для уполномоченного пользователя

Иерархический для: Нет подчиненных компонентов.

FPR_UN0.4.1 ФБО должны прелоставигъ [назначение: совокупность уполномоченных полыо-вателей] возможность наблюдать за использованием [назначение: список ресурсов и/или услуг].

Зависимости: отсутствуют.

10 Класс FPT. Защита ФБО

Класс FIT содержит семейства функциональных требований, которые связаны с целостностью и управлением механизмами, реализованными в ФБО, не завися при этом от особенностей ИБО, а также с целостностью данных ФБО. не завися от специфического содержания данных ИБО. В некотором смысле, компоненты семейств этого класса дублиру ют компоненты из класса FDP и могут лаже использовать одни и те же механизмы. Однако класс FDP специализирован на защите данных пользова-

59

Страница 66

ГОСТ Р ИСО/МЭК 15408-2-2002

теля, вто время как класс FPT нацелен на защиту данных ФБО. Фактически, компоненты из класса FIT необходимы для обеспечения требований невозможности нарушения и обхода политик ФБ данного ОО.

В рамках этого класса выделяются три существенные составные части ФБО.

а)    Абстрактная машина ФЬО. т. е. виртуальная или физическая машина, на которой выполняется оцениваемая реализация ФБО.

б)    Реализация ФЬО, которая выполняется на абстрактной машине и реализует механизмы, осуществляющие Г1БО.

в)    Данные ФЬО. которые являются административными базами данных, управляющими осу* шествлением 11БО.

Декомпозиция класса FIT на составляющие его компоненты приведена на рисунках 10.1 и 10.2.

60

Страница 67

ГОСТ Р ИСО/МЭК 15408-2-2002

ашчпвФБО

FFT_RPL Обнфуаенно повторного Ш> nomaaamwi

1

FFT_RVM Посрч**чостю при оврв-щшипс

НИ

РРГ_№Р Рварагимм» даыми

1

2

8

FPTJ18P Протокол омфонммиим состоя мЛ

-ОН*

FPT_£TU Метки фмммм

1

F*TTDC Сотроо^чостъ дрмых ФБО иющуФБО

1

FFT_TRC DpciICo—1юСть дми *БО при дуйшрштм в пределах ОО

1

FPTJTST Сшапатщаынт 450

1

Рисунок 10.2 — Декомпозиции класса «Зашита ФБО» (продолжение)

10.1 Тестирование базовой абстрактной машины (FPTAMT)

Характеристика семейства

Семейство FPT_AMT определяет требования к выполнению тестирования ФБО, демонстрирующего предположения безопасности относительно базовой абстрактной машины, лежащей в основе построения ФБО. «Абстрактная* машина может быть как платформой аппаратных/программно-аппа-ратиых средств, так и некоторым известным и прошедшим оценку сочетанием аппаратных/программных средств, действующим как виртуальная машина.

Ранжи рован ие ком поне) itob

НИ

FPT_|AMT Таслфоюм» бвяяой «5ст-ритнейшит

FPT AMT. 1 «Тестирование абстрактной машины* предоставляет возможность проверки базовой абстрактной машины.

Управление: FPT AMT.I

Для функций управления из класса FMT могут рассматриваться следующие действия.

а)    Управление условиями, при которых происходит тестирование абстрактной машины, например при первоначальном запуске, с постоянным интервалом, при заданных условиях.

б)    Управление временийм интервалом (если такое управление предусмотрено).

Аудит: FPT_AMT. I

Если в ПЗ/ЗБ включено семейство FAU_GEN «Генерация данных аудита безопасности», то следует предусмотреть возможность (в зависимости от выбранного уровня) аудита следующих дей-ствий/событн й/параметров.

а) Базовый: выполнение тестирования базовой машины и результаты тестирования.

VI-1Ш

61

Страница 68

ГОСТ I» ИСО/МЭК 15408-2-2002

FPT_AMT.l Тестирование абстрактной машины

Иерархический для: Нет подчиненных компонентов.

FPT_AMT.I.l ФБО должны выполнять пакет тестовых программ (выбор: при первоначальном запуске, периодически во время нормального функционирования, по запросу уполномоченного пользователя, при других условиях] для демонстрации правильности выполнения предположений безопасности, обеспечиваемых абстрактной машиной, которая положена в основу ФБО.

Зависимости: отсутствуют.

10.2 Безопасность при сбое (FPT_FLS)

Характеристика семейства

Требования семейства FPTFLS обеспечивают, чтобы ОО не нарушал свою политику безопасности при сбоях ФБО идентифицированных типов.

Ранжирование компонентов

Это семейство состоит из одного компонента, FPT_FLS.I «Сбой с сохранением безопасного состояния», содержащего требование, чтобы ФБО сохранили безопасное состояние при идентифицированных сбоях.

Управление: FPT_FLS.l

Действия по управлению не предусмотрены.

Аудит: FPT_FLS.l

Если в ПЗ/ЗБ включено семейство FAU_GEN «Генерация данных аудита безопасности*, то следует предусмотреть возможность (в зависимости от выбранного уровня) аудита следующих дей-ствн й/событий/параметров.

а) Базовый: сбой ФБО.

FPTFLS. 1 Сбой с сохранением безопасного состояния

Иерархический для: Нет подчиненных компонентов.

FPT_FLS. 1.1 ФБО должны сохранить безопасное состояние при следующих типах сбоев: (назначение: список типов сбоев ФБО\.

Зависимости ADV_SPM.l Неформальная модель политики безопасности ОО

10.3 Доступность экспортируемых данных ФБО (FPT_ITA)

Характеристика семейства

Семейство FPT_1TA определяет правила предотвращения потери доступности данных ФБО. передаваемых между ФБО и удаленным доверенным продуктом ИТ. Это могут быть, например, критичные данные ФБО типа паролей, ключей, данных аудита или выполняемого кода ФБО.

Ранжирование компонентов

Это семейство состоит из одного компонента FPTJTA. I «Доступность экспортируемых данных ФБО в пределах заданной метрики», содержащего требование, чтобы ФБО обеспечили с заданной вероятностью доступность данных ФБО. предоставляемых удаленному доверенному продукту ИТ.

Управление: FPTITA. I

Для функций управления из класса FMT может рассматриваться следующее действие.

а) Управление списком типов данных ФБО. для которых необходимо, чтобы они были доступны удаленному доверенному продукту ИТ.

Аудит: FPTJTA. I

Если в ПЗ/ЗБ включено семейство FAU_GEN «Генерация данных аудита безопасности*, то следует предусмотреть возможность (в зависимости от выбранного уровня) аудита следующих дей-ствий/событий/параметров.

а) Минимальный: отсутствие данных ФБО. когда они запрошены ОО.

62

Страница 69

ГОСТ Р ИСО/МЭК 15408-2-2002

FPT_ITA.l Доступность экспортируемых данных ФБО в пределах заданной метрики

Иерархический для: Нет подчиненных компонентов.

FPT_1TA. 1.1 ФБО должны обеспечить доступность [назначение: список типов данных ФБО] для удаленного доверенного продукта ИТ в пределах {ныпачеше: шданнаяметрика доступности| при выполнении следующих условий [назначение: условия обеспечения доступности \.

Зависимости: отсутствуют.

10.4 Конфиденциальность экспортируемых данных ФБО (FPT_ITC)

Характеристика семейств;»

Семейство FPT JTC определяет правила зашиты данных ФБО от несанкционированного раскрытия при передаче между ФБО и удаленным доверенным продуктом ИТ. Это могут быть, например, критичные данные ФБО типа паролей, ключей, данных аудита или выполняемого кода ФБО.

Ранжирование компонентов

Это семейство состоит из одного компонента FPTJTC.1 «Конфиденциальность экспортируемых данных ФБО при передаче*, содержащего требование, чтобы ФБО обеспечили защиту данных, передаваемых между ФБО и удаленным доверенным продуктом ИТ, от раскрытия при передаче.

Управление: FPTJTC.1

Действия по управлению не предусмотрены.

Аудит FPTJTC.1

Нет идешифицированных действий/событий/параметров, для которых следует предусмотреть возможность аудита.

FPT_ITC.l Конфиденциальность экспортируемых данных ФБО при передаче

Иерархический для: Нет подчиненных компонентов.

FPT_ITC.1.1 ФБО должны защищать все данные ФБО, передаваемые от ФБО к удаленному доверенному продукту ИТ, от несанкционированного раскрытия при передаче.

Зависимости: отсутствуют.

10.5 Целостность экспортируемых данных ФБО (FIT ITI)

Характеристика семейства

Семейство FPT1TI определяет правила защиты данных ФБО от несанкционированной модификации при передаче между ФБО и удаленным доверенным продуктом И Г. Это могут быть, например, критичные данные ФБО типа паролей, ключей, данных аудита или выполняемого кода ФБО.

Ранжирование компонентов

FFTJT1 Целостность эмомртмрриых данные 4БО

FPTJT1.I «Обнаружение модификации экспортируемых данных ФБО» позволяет обнаружить модификацию данных ФБО при передаче между ФБО и удаленным доверенным продуктом ИТ, при допущении, что последнему известен используемый механизм передачи.

ррт_1Т1.2 «Обнаружение и исправление модификации экспортируемых данных ФБО» позволяет удаленному доверенному продукту ИТ не только обнаружить модификацию, но и восстановить данные ФБО. модифицированные при передаче от ФБО. при допущении, что последнему известен используемый механизм передачи.

Управление: FPT_ITI.l

Действия по управлению не предусмотрены.

Управление: FPTJT1.2

Для функций управления из класса FMT могут рассматриваться следующие действия, а) Управление типахш данных ФБО. которые ФБО следует пытаться исправить, если они модифицированы при передаче.

63

5-1*

Страница 70

ГОСТ Р ИСО/МЭК 15408-2-2002

б) Управление типами действий, которые ФБО могут предпринять, если данные ФБО модифицированы при передаче.

Аудит: FPTJTI.I

Если в ПЗ/ЗБ включено семейство FAU_GEN «Генерация данных аудита безопасности*, то следует предусмотреть возможность (в зависимости от выбранного уровня) аудита следующих дей-сгвнй/событий/парамстров.

а)    Минимальный: обнаружение модификации передаваемых данных ФБО.

б)    Базовый: действия, предпринятые при обнаружении модификации передаваемых данных ФБО.

Аудит: FPTJTI.2

Если в ПЗ/ЗБ включено семейство FAU..GEN «Генерация данных аудита безопасности*, то следует предусмотреть возможность (в зависимости от выбранного уровня) аудита следующих дей-ствий/событий/параметров.

а)    Минимальный: обнаружение модификации передаваемых данных ФБО.

б)    Базовый: действия, предпринятые при обнаружении модификации передаваемых данных ФБО.

в)    Базовый: использование механизма восстановления.

FPT_ITI.l Обнаружение модификации экспортируемых данных ФБО

Иерархический для: Нет подчиненных компонентов.

FPT_1TI.1.1 ФБО должны предоставить возможность обнаружить модификацию любых данных ФБО при передаче между ФБО и удаленным доверенным продуктом ИТ в пределах следующей метрики: (назначение: метрика модификации].

FPT_ITI.I.2 ФБО должны предоставить возможность верифицировать целостность всех данных ФБО при их передаче между ФБО и удаленным доверенным продуктом ИТ и выполнить | назначение: предприпи.чаемые действия(, если модификация обнаружена.

Зависимости: отсутствуют.

FFT ITI.2 Обнаружение и исправление модификации экспортируемых данных ФБО

Иерархический для: FPTJTI.I

FPT_ITI.2.1 ФБО должны предоставить возможность обнаружить модификацию любых данных ФБО при передаче между ФБО и удаленным доверенным продуктом ИТ в пределах следующей метрики: [назначение: метрика модификации^

FPT_1TI.2.2 ФБО должны предоставить возможность верифицировать целостность всех данных ФБО при их передаче между ФБО и удаленным доверенным продуктом ИТ и выполнить (назначение: предпринимаемые действия], если модификация обнаружена.

FPT_ITI.2.3 ФБО должны предоставить возможность исправить (назначение: тип модификации| все данные ФБО, передаваемые между ФБО и удаленным доверенным продуктом ИТ.

Зависимости: отсутствуют.

10.6 Передача данных ФБО в пределах ОО (FPT_ITT)

Характеристика семейства

Семейство FPT ITT предоставляет требования защиты данных ФБО при их передаче между разделенными частями ОО по внутреннему каналу.

Ранжирование компонентов

FPTJTT.I «Базовая защита внутренней передачи данных ФБО* содержит требование, чтобы данные ФБО были защищены при их передаче между разделенными частями ОО.

FPT_ITT.2 «Разделение данных ФБО при передаче* содержит требование, чтобы при передаче ФБО отделяли данные пользователей отданных ФБО.

Fpt JTT.3 «Мониторинг целостности данных ФБО» содержит требование, чтобы данные ФБО, передаваемые между разделенными частями ОО. контролировались на идентифицированные ошибки целостности.

64

Страница 71

ГОСТ Р ИСО/МЭК 15408-2-2002

Управление: FI’T ITT.I

Для функций управления из класса FMT могут рассматриваться следующие действия.

а)    Управление типами модификации, от которых ФБО следует защищать передаваемые данные.

б)    Управление механизмом, используемым для обеспечения защиты данных при передаче между рахтичными частями ФБО.

Управление: FPTJTT.2

Ятя функций управления из класса FMT могут рассматриваться следующие действия.

а)    Управление типами модификации, от которых ФБО следует защищать передаваемые данные.

б)    Упраатение механизмом, используемым для обеспечения защиты данных при передаче между различными частями ФБО.

в)    Управление механизмом разделения данных.

Управление: FPT_1TT.3

Для функций управления из класса FMT могут рассматриваться следующие действия.

а)    Управление типами модификации, от которых ФБО следует защищать передаваемые данные.

б)    Упраатение механизмом, используемым для обеспечения зашиты данных при передаче между рахтичными частями ФБО.

в)    Упраатение типами модификации данных ФБО. которые ФБО следует пытаться обнаружить.

г)    Упраатение действиями, предпринимаемыми после обнаружения модификации.

Аудит: FPTJTT.I. FPTJTT.2

Нет идентифицированных действий/событий/параметров, для которых следует предусмотреть возможность аудита.

Аудит: FPT_ ITT.3

Если в ПЗ/ЗБ включено семейство FAU_GEN «Генерация данных аудита безопасности*, то следует предусмотреть возможность (в зависимости от выбранного уровня) аудита следующих дей-ствий/событи й/параметров.

а)    Минимальный: обнаружение модификации данных ФБО.

б)    Базовый: действия, предпринятые после обнаружения ошибок целостности.

FPTJTT.I Базовая защита внутренней передачи данных ФБО Иерархический для: Нет подчиненных компонентов.

FpT iTT. 1.1 ФБО должны защитить свои данные от | выбор: раскрытие. модификация| при их передаче между разделенными частями ОО.

Зависимости: отсутствуют.

ррт_пТ.2 Разделение данных ФБО при передаче

Иерархический для: FPTJTT.I

ррт ггт.2.1 ФБО должны защитить свои данные от |выбор: раскрытие, модификаций при их передаче между разделенными частями ОО.

FPT_ITT.2.2 ФБО должны отделить данные пользователя отданных ФБО при их передаче между разделенными частями ОО.

Зависимости: отсутствуют.

FPT_1TT.3 Мониюринг целостности данных ФБО

Иерархический для: Нет подчиненных компонентов.

FPT_ITT.3.I ФБО должны быть способны обнаружить (выбор: модификация данных, подмена данных, перестановка данных, yda-tenue данных, [назначение: другие ошибки целостности]| в данных ФБО, передаваемых между разделенными частями ОО. ГРГ_ГГТ.3.2 При обнаружении ошибки целосшосгн данных ФБО должны предпринять следующие действия: [назначение: выполняемые действия].

Зависимости: FPT_ITT.l Базовая защита внутренней передачи данных ФБО 10.7 Физическая защита ФБО (FPr_PHP)

Характеристика семейства

Компоненты семейства FIT PHI’дают возможность ограничивать физический доступ к ФБО, а также реагировать на несанкционированную физическую модификацию или подмену реализации ФБО и противодействовать им.

65

.1-1— 1J2J

Страница 72

ГОСТ Р ИСО/МЭК 15408-2-2002

Требования компонентов в этом семействе обеспечивают, чтобы ФБО были защищены от физическою воздействия и вмешательства. Удоатетворение требований этих компонентов позволяет получить реализацию ФБО. компонуемую и используемую способом, предусматривающим обнаружение физического воздействия или противодействие ему. Без этих компонентов защита ФБО теряет свою эффективность в среде, где не может быть предотвращено физическое повреждение. Это семейство также содержит требования к реакции ФБО на попытки физического воздействия на их реализацию.

Ранжирование компонентов

FPT_PHP Фимчоавл ащг* *60

FIT PH Р. 1 «Пассивное обнаружение физического нападения» предоставляет возможность известить о нападении на устройства или элементы, реализующие ФБО. Однако оповещение о нападении не действует автоматически: уполномоченному пользователю необходимо вызвать административную функиию безопасности или проверить вручную, произошло ли нападение.

FPT_PHP.2 «Оповещение о физическом нападении® обеспечивает автоматическое оповещение о нападении для установленного подмножества физических проникновений.

FPT PHP.3 «Противодействие физическому нападению* предоставляет возможность предотвращения или противодействия физическому нападению на устройства и элементы, реализующие ФБО.

Управление: FPT..PHP.1, FPT_PHP.3

Действия по управлению не предусмотрены.

Управление: FPT_PHP.2

Для функций управления из класса FMT мот рассматриваться следующие действия.

а)    Управление пользователем или ролью, которые получают информацию о вторжениях.

б)    Управление списком устройств, о вторжении в которые следует оповестить указанного пользователя или роль.

Управление: FPTJ’HP.3

Для функций управления из класса FMT может рассматриваться следующее действие.

а) Управление автоматической реакцией на физическое воздействие.

Лудит: FPT_PHP.I

Если в ПЗ/ЗБ включено семейство FAU_GEN «Генерация данных аудита безопасности*, то следует предусмотреть возможность (в зависимости от выбранного уровня) аудита следующих дей-стви й/событий/параметров.

а) Минимальный: обнаружение вторжения средствами ИТ.

Аудит: FPT_PHP.2

Если в ПЗ/ЗБ включено семейство FAU^GEN «Генерация данных аудита безопасности», то следует предусмотреть возможность (в зависимости от выбранного уровня) аудита следующих дей-ствий/событий/параметров.

а) Минимальный: обнаружение вторжения.

Аудит: FPT_PHP.3

Нет идентифицированных действий/событий/параметров, для которых следует предусмотреть возможность аудита.

FPI'_PHP. 1 Пассивное обнаружение физического нападения

Иерархический для: Нет подчиненных компонентов.

FPT_PHP.1.1 ФБО должны обеспечить однозначное обнаружение физического воздействия, кото-

рое может угрожать выполнению ФБО.

FPT_PHP.1.2 ФБО должны предоставить возможность определить, произошло ли физическое

воздействие на устройства или элементы, реализующие ФБО. Зависимости: FMT_MOF.I Управление режимом выполнения функций безопасности

66

Страница 73

ГОСТ Р ИСО/МЭК 15408-2-2002

FPT_PHP.2 Оповещение о физическом нападении

Иерархический для: FPT_PHP.I

FPT_PHP.2.1 ФБО должны обеспечить однозначное обнаружение физического воздействия, которое может угрожать выполнению ФБО.

FPT_PHP.2.2 ФБО должны предоставить возможность определить, произошло ли физическое воздействие на устройства или элементы, реализующие ФБО.

FPT PHP.2.3 Для (назначение: списокустройств/элементов, реилипющих ФБО, din которых требуется активное обнаружение] ФБО должны носгоянно контролировать устройства, элементы н оповещать [назначение: наточенный пользователь или роль\, что произошло физическое воздействие на устройства или элемеиш, реализующие ФБО.

Зависимости: FMT_MOF.l Управление режимом выполнения функций безопасности

FPT PHP.3 Противодействие физическому нападению

Иерархический для: Нет подчиненных компонентов.

FPT_PHP.3.I ФБО должны противодействовать (назначение: сценарии физического воздействия] на (назначение: список устройств/элементов, реализующих ФБ()\, реагируя автоматически таким образом, чтобы предотвратить нарушение ИБО.

Зависимости: отсутствуют.

10.8 Надежное восстановление (FPT_RCV)

Характеристика семейства

Требования семейства FPT..RCV обеспечивают, чтобы ФБО могли определить, не нарушена ли защита ФБО при запуске, и восстанавливаться без нарушения зашиты после прерывания операций. Это семейство важно, потому что начальное состояние ФБО при запуске или восстановлении определяет защищенность ОО в последующем.

Ранжирование компонентов

FPTJRCV.1 «Ручное восстановление» позволяет ОО предоставить только такие механизмы возврата к безопасному состоянию, которые предполагают вмешательство человека.

FPT_RCV.2 «Автоматическое восстановление* предоставляет, хотя бы для одного типа прерывания обслуживания, восстановление безопасного состояния без вмешательства человека; восстановление после прерываний других типов может потребовать вмешательства человека.

FPT_RCV.3 «Автоматическое восстановление без недопустимой потери» также предусматривает автоматическое восстановление, но повышает уровень требований, препятствуя недопустимой потере защищенных объектов.

FPT.RCV.4 «Восстановление функции» предусматривает восстановление на уровне отдельных ФБ, обеспечивая либо их нормальное завершение после сбоя, либо возврат к безопасному состоянию данных ФБО.

Управление: FPT RCV.1

Для функций управления из класса FMT может рассматриваться следующее действие.

а) Управление списком досту па к средствам восстановления в режиме аварийной поддержки.

Управление: FPT RCV.2, FPT_RCV.3

Для функций управления из класса FMT могут рассматриваться следующие действия.

а)    Управление списком доступа к средствам восстановления в режиме аварийной поддержки.

б)    Управление списком сбоев/прерываний обслуживания, которые будут обрабатываться автоматическими процедурами.

Управление: FPT_RCV.4

Действия по управлению не предусмотрены.

67

5-Г

Страница 74

ГОСТ Р ИСО/МЭК 15408-2-2002

Лудит: FPT_RCV.l, FPT_RCV.2, FPT_RCV.3

Если п ПЗ/ЗБ включено семейство FAU_GEN «Генерация данных аудита безопасности*, то следует предусмотреть возможность (в зависимости от выбранного уровня) аудита следующих действий/событий/параметров.

а)    Минимальный: факт возникновения сбоя или прерывания обслуживания.

б)    Минимальный: возобновление нормальной работы.

в)    Базовый: тип сбоя или прерывания обслуживания.

Лудит: FPT_RCV.4

Если в ПЗ/ЗБ включено семейство FAU_GEN «Генерация данных аудита безопасности*, то следует предусмотреть возможность (в зависимости от выбранного уровня) аудита следующих действий/событий/параметров.

а)    Минимальный: невозможность возврата к безопасному состоянию после сбоя функции безопасности, если аудит возможен.

б)    Базовый: обнаружение сбоя функции безопасности, если аудит возможен.

FPT_RCV.i Ручное восстановление

Иерархический для: Нет подчиненных компонентов.

FPT_RCV.1.1 После сбоя или прерывания обслуживания ФБО должны перейти в режим аварийной поддержки, который предоставляет возможность возврата ОС) к безопасному состоянию.

Зависимости: FPT_TST.I Тестирвание ФБО

AGD_ADM.l Руководство администратора

ADV_SPM.l Неформальная модель политики безопасности ОО

FFFRCV.2 Автоматическое восстановление

Иерархический для: FPT_RCV.I

FPT_RCV.2.I Когда автоматическое восстановление после сбоя или прерывания обслуживания невозможно, ФБО должны перейти в режим аварийной поддержки, который пре-достаатяет возможность возврата ОО к безопасному состоянию.

FPT_RCV.2.2 Для (назначение: список сбоев/прерываний обслуживания] ФБО должны обеспечить возврат ОО к безопасному состоянию с использованием автоматических процедур.

Зависимости: FPT_TST. 1 Тестирование ФБО

AGD_ADM.l Руководство администратора

ADVJ5PM.1 Неформальная модель политики безопасности ОО

FPT_RCV.3 Автоматическое восстановление без недопустимой потери

Иерархический для: FPT_RCV.2

FPr_RCV.3.1 Когда автоматическое восстановление после сбоя или прерывания обслуживания невозможно. ФБО должны перейти в режим аварийной поддержки, который предоставляет возможность возврата ОО к безопасному состоянию.

FP1RCV.3.2 Для (назначение: список сбоев/прерывании обслуживания] ФБО должны обеспечить возврат ОО к безопасному состоянию с использованием автоматических процедур.

FPT_RCV.3.3 Функции из числа ФБО, предназначенные для преодоления последствий сбоя или прерывания обслуживания, должны обеспечить восстановление безопасного начального состояния без превышения (назначение: количественная мера] потери данных ФБО или объектов в пределах ОДФ.

FPT_RCV.3.4 ФБО должны обеспечить способность определения, какие объекты мопгг, а какие не могут быть восстановлены.

Зависимости: FPT_TST.l Тестирование ФБО

AGD_ADM.l Руководство администратора

ADV_SPM.l Неформальная модель политики безопасности ОО

FPT_RCV.4 Восстановление функции

Иерархический для: Нет подчиненных компонентов.

FPT_RCV.4.1 ФБО должны обеспечить следующее свойство для (назначение: список ФБ и с цени-риев сбоев]'. ФБ нормально заканчивает работу или, для предусмотренных сценариев сбоев, восстанавливается ее устойчивое и безопасное состояние.

Зависимости: ADV_SP\1.1 Неформальная модель политики безопасности ОО

68

Страница 75

ГОСТ Р ИСО/МЭК 15408-2-2002

10.9 Обнаружение повторного использования (FPT_RPL)

Характеристика семейства

Семейство FPT RPL связано с обнаружением повторного использования различных типов сущностей (таких, как сообщения, запросы па обслуживание, ответы на запросы обслуживания) и последующими действиями по его устранению. При обнаружении повторного использования выполнение требований семейства эффективно предотвращает его.

Ранжирование компонентов

Семейство состоит из одного компонента FPT RPL. I «Обнаружение повторного использования». который содержит требование, чтобы ФБО были способны обнаружить повторное использование идентифицированных сущностей.

Управление: FPT RPL.1

Для функций управления из класса FMT могут рассматриваться следующие действия.

а)    Управление списком иде>ггифицированиых сущностей, для которых повторное использование должно быть обнаружено.

б)    Управление списком действий, которые необходимо предпринять при повторном использовании.

Аудит: FPT_RPL.I

Если в ПЗ/ЗБ включено семейство FAU_GEN «Генерация данных аудита безопасности*, то следует предусмотреть возможность (в зависимости от выбранного уровня) аудита следующих действий/событий/параметров.

а)    Базовый: обнаружение нападения посредством повторного использования.

б)    Детализированный: предпринятые специальные действия.

FPT_RPL.l Обнаружение повторного использования

Иерархический для: Нет подчиненных компонентов.

FPT_RPL. 1.1 ФБО должны обнаруживать повторное использование для еле,дующих сущностей: (назначение: список идентифицированных сущностей|.

FPT_RPL. 1.2 ФБО должны выполнить [назначение: список специальных действий] при обнаружении повторного использования.

Зависимости: отсутствуют.

10.10 Посредничество при обращениях (FPT_RVM)

Характеристика семейства

Требования семейства FPT RVM связаны с аспектом «постоянная готовность» традиционного монитора обращений. Цель этого семейства состоит в обеспечении для заданной Г1ФБ, чтобы все действия, требующие осуществления политики, проверялись ФБО на соответствие ПФБ. Если помимо этого часть ФБО, осуществляющая МФБ. выполняет требования соответствующих компонентов из семейств FPT_SEP «Разделение домена* и ADVJNT «Внутренняя структура ФБО», то эта часть ФБО обеспечивает «монитор обращений* для этой ПФБ.

ФБО при реализации ПФБ предоставляют эффективную защиту от несанкционированных операций тогда и только тогда, когда правомочность всех действий, предполагаемых для осуществления (например, доступ к объектам) и запрошенных субъектами, недоверенными относительно всех или именно этой ПФБ, проверяется ФБО до выполнения действий. Если действия по проверке, которые должны выполняться ФБО. исполнены неправильно или проигнорированы (обойдены), то осуществление ПФБ в целом может быть поставлено под угрозу (ее можно обойти). Тогда субъекты смогут обходить ПФБ различными способами (такими, как обход проверки доступа для некоторых субъектов и объектов, обход проверки для объектов, чья зашита управляется прикладными программами, сохранение права доступа после истечения установленного срока действия, обход аудита действий, подлежащих аудиту, обход аутентификации). Важно отметить, что некоторым субъектам, так называемым «доверенным субъектам» относительно одной из ПФБ, может быть непосредственно доверено осуществление этой ПФБ. предоставляя тем самым возможность обойтись без ее посредничества.

69

Страница 76

ГОСТ Р ИСО/МЭК 15408-2-2002

Ранжирование компонентов

FFTJWM Посредничество ТОН Обра-

НИ

ЩШИПН

Эго семейство состоит из только компонента. FPTJRVM.I «Невозможность обхода ИБО», который содержит требование предотвращения обхода лая всех ПФБ из Г1БО.

Управление: FPT_RVM.I

Действия по управлению не предусмотрены.

Аудит: FPTRVM.I

Нет идентифицированных действий/событий/параметров, для которых следует предусмотреть возможность аудита.

FPT_RVM.l Невозможность обхода ИБО Иерархический для: Нет подчиненных компонентов.

FPT_RVM.I.l ФБО должны обеспечить, чтобы функции, осуществляющие ИБО, вызывались и успешно выполнялись прежде чем разрешается выполнение любой другой функции в пределах ОДФ.

Зависимости: отсутствуют.

10.11 Разделение домена (FPT_SEP)

Характеристика семейства

Компоненты семейства FPr_SEP обеспечивают, чтобы по меньшей мере один домен безопасности был доступен только для собственного выполнения ФБО, и этим они были защищены от внешнего вмешательства и искажения (например, модификации кода или структур данных ФБО) со стороны недоверенных субъектов. Выполнение требований этого семейства устанавливает такую самозащиту ФБО. что недоверенный субъект не сможет модифицировать или повредить ФБО.

Это семейство содержит следующие требования.

а)    Ресурсы домена безопасности ФБО («защищенного домена») и ресурсы субъектов и активных сущностей, внешних по отношению к этому домену, разделяются так, что сущности, внешние по отношению к защищенному домену, не смогут получить или модифицировать данные или код ФБО в пределах защищенного домена.

б)    Обмен между доменами управляется так, что произвольный вход в защищенный домен или произвольный выход из него невозможны.

в)    Параметры пользователя или прикладной программы, переданные в защищенный домен по адресу, проверяются относительно адресного пространства защищенного домена, а переданные по значению — относительно значений, ожидаемых этим доменом.

г)    Защищенные домены субъектов разделены, за исключением случаев, когда совместное ис

пользование одного домена управляется ФБО.

Ранжирование компонеi лов

№Т_ВВ> Р>ия«лрии» дрмчи

FPT SEP.1 «Отделение домена ФБО» предоставляет отдельный защищенный домен для ФБО и обеспечивает разделение между субъектами в ОДФ.

FPT SEP.2 «Отделение домена ПФБ» содержит требования дальнейшего разбиения защищенного домена ФБО с выделением отдельного(ных) домена(ов) для идентифицированной совокупности ПФБ. которые действуют как мониторы обращений для них, и домена для остальной части ФБО, а также доменов для частей ОО. не связанных с ФБО.

FPTJ5EP.3 «Полный монитор обращений* содержит требования, чтобы имелся отдельный(ные) домен(ны) для осуществления ПБО, домен для остальной части ФБО, а также домены для частей ОО. не связанных с ФБО.

Управление: FPT.SEP.1. FPTSEP.2, FPT„SEP.3

Действия по управлению не предусмотрены.

Аудит: FPT.SEP.I, FPT_SEP.2, FPT_SEP.3

Нет идентифицированных действий/событнй/параметров. для которых следует предусмотреть возможность аудита.

Страница 77

ГОСТ Р ИСО/МЭК 15408-2-2002

FPT_SEP. 1 Отделение домена ФБО

Иерархический для: Нет подчиненных компонентов.

FPT_SEP. 1.1 ФБО должны поддерживать домен безопасности для собственного выполнения, защищающий их от вмешательства и искажения недоверенными субъектами.

FPT_SEP. 1.2 ФБО должны реализовать разделение между доменами безопасности субъектов в ОДФ.

Зависимости: отсутствуют.

FPr_SEP.2 Отделение домена ИФБ

Иерархический для: FPT_SEP.I

FPT_SEP.2.1 Неизолированная часть ФБО должна поддерживать домен безопасности для собственного выполнения, зашишаюший их от вмешательства и искажения недоверенными субъектами.

FPT_SEP.2.2 ФБО должны реализовать разделение между доменами безопасности субъектов в ОДФ.

FPT_SEP.2.3 ФБО должны поддерживать часть ФБО, связанных с [назначение: список ИФБ упрощении доступом ы/или управления информационными потоками], и домене безопасности для их собственного выполнения, защищающем их от вмешательства и искажения остальной части ФБО и субъектами, неловереннымн относительно этих ИФБ.

Зависимости: отсутствуют.

FPI’_SEP.3 Полный монитор обращений

Иерархический для: FPT_SEP.2

FPT_SEP.3.I Неизолированная часть ФБО должна поддерживать домен безопасности для собственного выполнения, защищающий их от вмешательства и искажения недоверенными субъектами.

FPT_SEP.3.2 ФЬО должны реализовать разделение между доменами безопасности субъектов в ОДФ.

FIrr_SEP.3.3 ФБО должны поддерживать ту часть ФБО, которая осу ществляет ПФБ у правления досту пом и/или управления информационными потоками, в домене безопасности для ее собственного выполнения, защищающем их от вмешательства и искажения остальной части ФБО и субъектами, иедоверенными относительно ИБО.

Зависимости: отсутствуют.

10.12 Протокол синхронизации состояний (FPI'_SSP)

Характеристика семейства

Распределенные системы могут иметь большую сложность, чем нераспределенные, из-за многообразия состояний частей системы, а также из-за задержек связи. В большинстве случаев синхронизация состояния между распределенными функциями включает в себя, помимо обычных действий, применение протокола обмена. Когда вереде распределенных систем существуют угрозы безопасности, потребуются более сложные защищенные протоколы.

Семейство Flyr_SSP устанавливает требование использования надежных протоколов некоторыми критичными по безопасности функциями из числа ФБО. Оно обеспечивает, чтобы две распределенные части ОО (например, главные ЭВМ) синхронизировали свои состояния последействий, связанных с безопасностью.

Ранжирование компонентов

FPT_8SP Протесал «мромшцт аоаютмй

FPT_SSP.l «Одностороннее надежное подтверждение* содержит требование подтверждения одним лишь получателем данных.

FPT_SSP.2 «Взаимное надежное подтверждение» содержит требование взаимного подтверждения обмена данными.

Управление: FPT_SSP.l, FPr_SSP.2 Действия по управлению не предусмотрены.

71

Страница 78

ГОСТ I» ИСО/МЭК 15408-2-2002

Лудит: FPT_SSP.I, FPT_SSP.2

Если п ПЗ/ЗБ включено семейство FAU_GEN «Генерация данных аудита безопасности», то следует предусмотреть возможность (в зависимости от выбранного уровня) аудита следующих дей-ствнй/событий/параметров.

а) Минимальный: неполучение ожидаемого подтверждения FPT_SSP. 1 Одностороннее надежное по.пверждение Иерархический для: Нет подчиненных компонентов.

FPT_SSP.1.1 ФБО должны подтвердить после запроса другой части ФБО получение немоднфици-рованных данных ФБО при передаче.

Зависимости: FPT_1TT.1 Базовая защита внутренней передачи данных ФБО FPT_SSP.2 Взаимное надежное подтверждение

Иерархический для: FPT_SSP.l

FPT_SSP.2.1 ФБО должны подтвердить после запроса другой части ФБО получение немодифи-цированных данных ФБО при передаче.

FPT_SSP.2.2 ФБО должны обеспечить, чтобы соответствующие части ФБО извещались, используя подтверждения, о правильном состоянии данных, передаваемых между различными частями ФБО.

Зависимости: FPTJTT.I Базовая зашита внутренней передачи данных ФБО

10.13 Метки времени (FPT_STM)

Характеристика семейства

Семейство FPT_STM содержит требования по предоставлению надежных меток времени в пределах ОО.

Ранжирование компонентов

ЯТ_ЭТ11 Мопм времмш    Ы    1

Это семейство состоит из одного компонента FPT_STM.l «Надежные метки времени», который содержит требование, чтобы ФБО предоставили надежные метки времени для функций из числа ФБО.

Управление: FPT.STM.I

Для функций управления из класса FMT может рассматриваться следующее действие.

а) Управление внутренним представлением времени.

Аудит: FPTSTM.I

Если в ПЗ/ЗБ включено семейство FAU_GEN «Генерация данных аудита безопасности», то следует предусмотреть возможность (в зависимости от выбранного уровня) аудита следующих дей-сг вий/событий/параметров.

а)    Минимальный: изменения внутреннего представления времени.

б)    Детализированный: предоставление меток времени.

FPT_STM.l Надежные метки времени

Иерархический для: Нет подчиненных компонентов.

FPT_STM.1.I ФБО должны быть способны предоставить надежные метки времени для собственного использования.

Зависимости: отсутствуют.

10.14 Согласованность данных ФБО между ФБО (FPT_TDC)

Характеристика семейства

В среде распределенной или сложной системы от ОО может потребоваться произвести обмен данными ФБО (такими, как атрибуты ПФБ, ассоциированные с данными, информация аудита или идентификации) с другим доверенным продуктом ИТ. Семейство FPT_TDC определяет требования для совместного использования и согласованной интерпретации этих атрибутов между ФБО и другим доверенным продуктом ИТ.

Ранжирование компонентов

72

Страница 79

ГОСТ Р ИСО/МЭК 15408-2-2002

FPTTDC.1 «Базовая согласованность данных ФБО между ФБО* содержит требование, чтобы ФБО предоставили возможность обеспечить согласованность атрибутов между' ФБО.

Управление: FPT_TDC.l

Действия по управлению не предусмотрены.

Аудит. FPT TDC.1

Если в ПЗ/ЗБ включено семейство FAU_GEN «Генерация данных аудита безопасности*, то следует предусмотреть возможность (в зависимости от выбранного уровня) аудита следующих дей-ствн й/событи й/параметров.

а)    Минимальный: успешное использование механизмов согласования данных ФБО.

б)    Базовый: использование механизмов согласования данных ФБО.

в)    Базовый: идентификация ФБО, данные которых интерпретируются.

г)    Базовый: обнаружение модифицированных данных ФБО.

FPT_TDC.l Базовая согласованность данных ФБО между ФБО

Иерархический для: Нет подчиненных компонентов.

FPT_TDC.1.1 ФБО должны обеспечить способность согласованно интерпретировать [назначение: список типов данных ФБО\у совместно используемые ФБО и другим доверенным продуктом И'Г.

FPT_TDC. 1.2 ФБО должны использовать | назначение: список правил интерпретации, применяемых ФЬ()\ при интерпретации данных ФБО, полученных от другого доверенного продукта ИТ.

Зависимости: отсутствуют.

10.15 Согласованность данных ФБО при дублировании в пределах ОО (FPT_TRC)

Характеристика семейства

Требования семейства FPT_TRC необходимы, чтобы обеспечить согласованность данных ФБО. когда они дублируются в пределах ОО. Такие данные могут стать несогласованными при нарушении работоспособности внутреннего канала между частями ОО. Если ОО внутренне структурирован как сеть, то это может произойти из-за отключения отдельных частей сети при разрыве сетевых соединений.

Ранжирование компонентов

нз

FPTTRC О0<л*»венность данных *50 прмдЛпирп—ш ■ пр*дап« ОО

Это семейство состоит из одного компонента FPT_TRC.l «Согласованность дублируемых данных ФБО*. содержащего требование, чтобы ФБО обеспечили непротиворечивость данных ФБО, дублируемых в нескольких частях ОО.

Управление: для FPT_TRC.l

Действия по управлению не предусмотрены.

Аудит: для FPT TRC.1

Если в ПЗ/ЗБ включено семейство FAU_GEN «Генерация данных аудита безопасности», то следует предусмотреть возможность (в зависимости от выбранного уровня) аудита следующих действий/событий/параметров.

а)    Минимальный: восстановление согласованности после восстановления соединения.

б)    Базовый: выявление несогласованности между данными ФБО.

FPT_trc.1 Согласованность дублируемых данных ФБО Иерархический для: Нет подчиненных компонентов.

FPT_TRC.1.I ФБО должны обеспечить согласованность данных ФБО при дублировании их в различных частях (К).

FPT_TRC.1.2 Когда части ОО, содержащие дублируемые данные ФБО, разъединены, ФБО должны обеспечить согласованность дублируемых данных ФБО после восстановления соединения перед обработкой любых запросов к (назначение: список ФБ, мвисящих от согласованности дублируемых данных ФБО\.

Зависимости: FPT_1TT. 1 Базовая защита внутренней передачи данных ФБО

73

Страница 80

ГОСТ I» ИСО/МЭК 15408-2-2002

10.16 Самотестирование ФБО (FPT_TST)

Характеристика семейства

Семейство FPTTST определяет требования для самотестирования ФБО в части некоторых типичных операций с известным результатом. Примерами мот служить обращения к интерфейсам реализуемых функций, а также некоторые арифметические операции, выполняемые критичными частями ОО. Эти тесты могут выполняться при запуске, периодически, по запросу уполномоченного пользователя или при удовлетворении других условий. Действия ОО, предпринимаемые по результатам самотестирования, определены в других семействах.

Требования этого семейства также необходимы для обнаружения искажения выполняемого кода ФБО (т. е. программной реализации ФБО) и данных ФБО различными сбоями, которые не всегда приводят к приостановке функционирования ОО (рассмотренной в других семействах). Такие проверки необходимо выполнять, т. к. подобные сбои не всегда можно предотвратить. Они могут происходить либо из-за непредусмотренных типов сбоев или имеющихся неточностей в проекте аппаратных, программно-аппаратных и программных средств, либо вследствие хтонамеренного искажения ФБО, допущенного из-за неадекватной логической и/или физической зашиты.

Ранжирование компонентов

ртт_тЯг Саиакйщнв*—»

FPT TST. 1 «Тестирование ФБО» позволяет проверить правильность выполнения ФБО. Эти тесты могут выполняться при запуске, периодически, по запросу уполномоченного пользователя или при выполнении других заранее оговоренных условий. Этот компонент также предоставляет возможность верифицировать целостность данных и выполняемого кода ФБО.

Управление: для FPT_TST. 1

Для функций управления из класса FMT могут рассматриваться следующие действия.

а)    Управление условиями, при которых происходит самотестирование ФБО (при запуске, с постоянным интервалом или при определенных условиях).

б)    Управление периодичностью выполнения (при необходимости).

Лудит: для FPT _TST. 1

Если в ИЗ/ЗБ включено семейство FAU_GEN «Генерация данных аудита безопасности*, то следует предусмотреть возможность (в зависимости от выбранного уровня) аудита следующих действий/событий/параметров.

а) Базовый: выполнение и результаты самотестирования ФБО.

FPT_TST.l Тестирование ФБО

Иерархический для: Нет подчиненных компонентов.

FPT_TST. 1.1 ФБО должны выполнять пакет программ самотестирования |выбор: при запуске, периодически в процессе нормального функционирования, по запросу уполномоченного пользователя, при условиях [назначение: условия, при которых следует предусмотреть самотестирование) для демонстрации правильного выполнения ФБО.

FPT_TST. 1.2 ФБО должны предоставить уполномоченным пользователям возможность верифицировать целостность данных ФБО.

FPT_TST.I.3 ФБО должны предоставить уполномоченным пользователям возможность верифицировать целостность хранимого выполняемого кода ФБО.

Зависимости: FPT_AMT.l Тестирование абстрактной машины

11 Класс FRU. Использование ресурсов

Класс FRU содержит три семейства, которые поддерживают доступность требуемых ресурсов, таких как вычислительные возможности и/или объем памяти. Семейство FRU_FLT «Отказоустойчивость» предоставляет защиту от недоступности ресу рсов, вызванной сбоем ОО. Семейство FRU_PRS «Приоритет обслуживания® обеспечивает, чтобы ресурсы выделялись наиболее важным или критичным по времени задачам и не могли быть монополизированы задачами с более низким приоритетом. Семейство FRURSA «Распределение ресурсов» устанавливает ограничения использования доступных ресурсов, предотвращая монополизацию ресурсов пользователями.

74

Страница 81

ГОСТ Р ИСО/МЭК 15408-2-2002

Декомпозиция класса FRU на составляющие его компоненты приведена на рисунке 11.1.

Рисунок 11.1 — Декомпозиция класса «Использование ресурсов»

11.1 Отказоустойчивость (FRU_FLT)

Характеристика семейства

Требования семейства FRU_FLT обеспечивают, чтобы ОО продолжил поддерживать правильное функционирование даже в случае сбоев.

Ранжирование компонентов

-Щ—IZ

FMJFLT Опамоуспайчииасп»

FRU_FLT.l «Пониженная отказоустойчивость» содержит требование, чтобы ОО продолжил правильное выполнение указанных возможностей в случае идентифицированных сбоев.

FRU_FLT.2 «Ограниченная отказоустойчивость» содержит требование, чтобы ОО продолжил правильное выполнение всех своих возможностей в случае идентифицированных сбоев.

Управление: FRU_FLT.I, FRU_FLT.2

Действия по управлению не предусмотрены.

Лудит: FRU.FLT.1

Если в ПЗ/ЗБ включено семейство FAU_GEN «Генерация данных аудита безопасности», то следует предусмотреть возможность (в зависимости от выбранного уровня) аудита следующих дей-ствий/событнй/параметров.

а)    Минимальный: любой сбой, обнаруженный ФБО.

б)    Базовый: все операции ОО, прерванные из-за сбоя.

Лудит: FRU_FLT.2

Если в ПЗ/ЗБ включено семейство FAU_GEN «Генерация данных аудита безопасности», то следует предусмотреть возможность (в зависимости от выбранного уровня) аудита следующих дей-ствий/событий/параметров.

а) Минимальный: любой сбой, обнаруженный ФБО.

FRU_FLT.l Пониженная отказоустойчивость

Иерархический для: Нет подчиненных компонентов.

FRU_FLT.I.l ФБО должны обеспечить выполнение [назначение: список вохчожпостей ОО|, когда происходят следующие сбои: [назначение: список типов сбоев].

Зависимости: FPT_FLS.l Сбой с сохранением безопасного состояния

FRU_FLT.2 Ограниченная отказоустойчивость

Иерархический для: FRU_FLT.l

FRU_FLT.2.I ФБО должны обеспечить выполнение всех возможностей ОО. когда происходят следующие сбои: [назначение: список типов сбоев|.

Зависимости: FPT_FLS.I Сбой с сохранением безопасного состояния

11.2 Приоритет обслуживания (FRU_PRS)

Характеристика семейства

Требования семейства FRU_PRS позволяют ФБО управлять использованием ресурсов пользователями и субъектами в пределах своей области действия так, что высокоприоритетные операции в пределах ОДФ всегда будут выполняться без препятствий или задержек со стороны операций с более низким приоритетом.

75

Страница 82

FRU_PRS.I «Ограниченный приоритет обслуживания» предоставляет приоритеты для использования субъектами полмножества ресурсов в пределах ОДФ.

FRU_PRS.2 «Полный приоритет обслуживания* предоставляет приоритеты для использования субъектами всех ресурсов в пределах ОДФ.

ГОСТ Р ИСО/МЭК 15408-2-2002

Ранжирование компонентов



Управление: FRU..PRS.1, FRU_PRS.2

Для функций управления из класса FMT может рассматриваться следующее действие, а) Назначение приоритетов каждому субъекту в ФБО.

Аудит: FRU.PRS.1. FRU_PRS.2

Если в ПЗ/ЗБ включено семейство FAU_GEN «Генерация данных аудита безопасности», то следует предусмотреть возможность (в зависимости от выбранного уровня) аудита следующих действий/событий/параметров.

а)    Минимальный: отклонение операции на основании использования приоритета при распределении ресурса.

б)    Базовый: все попытки использования функции распределения ресурсов с учетом приоритетности обслуживания.

FRU_PRS. 1 Ограниченный приоритет обслуживания

Иерархический для: Нет подчиненных компонентов.

FRU_PRS.1.1 ФБО должны установить приоритет каждому субъекту в ФБО.

FRU_PRS. 1.2 ФБО должны обеспечить доступ к (назначение: управляемыересурсы\ на основе приоритетов, назначенных субъектам.

Зависимости: отсутствуют.

FRU_PRS,2 Полный приоритет обслуживания

Иерархический для: FRU_PRS.I

FRU_PRS.2.1 ФБО должны установить приоритет каждому субъекту и ФБО.

FRll_PRS.2.2 ФБО должны обеспечить доступ ко всем совместно исполыуемым ресурсам на основе приоритетов, назначенных субл^ктам.

Зависимости: отсутствуют.

11.3 Распределение ресурсов (FRU_RSA)

Характеристика семейства

Требования семейства FRU_RSA позволяют ФБО управлять использованием ресурсов пользователями и субъектами таким образом, чтобы не происходило отказов в обслуживании из-за несанкционированной монополизации ресурсов.

Ранжирование компонентов

FRUJ3SA Раафопвжм* paejpoa

FRU_RSA.I «Максимальные квоты» содержит требования к механизмам квотирования, которые обеспечивают, чтобы пользователи и субъекты не монополизировали упрааляемый ресурс.

FRIJ_RSA.2 «Минимальные и максимальные квоты» содержит требования к механизмам квотирования. которые обеспечивают, чтобы пользователи и субъекты всегда имели хотя бы минимум специфицированного ресурса, но при этом не могли бы монополизировать этот ресурс.

Управление: FRU_RSA.I

Для функций управления из класса FMT может рассматриваться следующее действие.

а) Определение администратором максимальных квот ресурса для групп и/или отдельных пользователей и/или субъектов.

Управление: FRIJ_RSA.2

Для функций управления из класса FMT может рассматриваться следующее действие.

а) Определение администратором минимальных и максимальных квот ресурса для групп и/или отдельных пользователей и/или субъектов.

Страница 83

ГОСТ Р ИСО/МЭК 15408-2-2002

Аудит: FRILRSA.I, FRU_RSA.2

Если в ПЗ/ЗБ включено семейство FAU_GEN -Генерация данных аудита безопасности», то следует предусмотреть возможность (в зависимости от выбранного уровня) аудита следующих дей-ствий/событи й/параметров.

а)    Минимальный: отклонение операции распределения ресурса из-за его ограниченности.

б)    Базовый: все обращения к функциям распределения ресурсов, управляемых ФБО.

FRU_RSA.l Максимальные квоты

Иерархический для: Нет подчиненных компонентов.

FRU_RSA.1.1 ФБО должны реализовать максимальные квоты следующих ресурсов: (назначение: управляемые ресурсы], которые [выбор: опнклыше пользователи, определенные группы по.1ьзователей, субъекты| могут использовать | выбор: одновременно, в течение определенного периода времени |.

Зависимости: отсутствуют.

FRU_RSA.2 Минимальные и максимальные квоты

Иерархический для: FRU_ RSA.l

FRU_RSA.2.1 ФБО должны реализовать максимальные квоты следующих ресурсов: [назначение: упраыяемые ресурсы]. которые |выбор: отдел ы/ые пользователи, определенные группы пользователей, субъекты] могут использовать | выбор: одновременно, в течение определенного периода времени].

FRU_RSA.2.2 ФБО должны обеспечить выделение минимального количества каждого из (назначение: управ.гяемыересурсы], которые являются доступными для (выбор: отдельный пользователь, определенная группа пользователей, субъекты|, чтобы использовать (выбор: одновременно, в течение определенного периода времени|

Зависимости: отсутствуют.

12 Класс FTA. Доступ к ОО

Класс FTA определяет функциональные требования к управлению открытием сеанса пользователя.

Декомпозиция класса на составляющие его компоненты приведена на рисунке 12.1.

77

fi-l — 1523

Страница 84

ГОСТ Р ИСО/МЭК 15408-2-2002

12.1 Ограничение области выбираемых атрибутов (FTA_LSA)

Характеристика семейства

Семейство FTA_LSA оп!>еделяет требования по ограничению области атрибутов безопасности сеанса, которые можно выбирать для него пользователь.

Ранжирование компонентов

FT\.L8A0ipaMn*HtM области и flip—mix

втр^упза

FI'A_LSA.l «Ограничение области выбираемых атрибутов» предоставляет требование к ОО по Офаничению области атрибутов безопасности сеанса во время его открытия.

Управление: FTA_LSA.I

Для функций управления из класса FMT может рассматриваться следующее действие, а) Управление администратором областью атрибутов безопасности сеанса.

Аудит: FTALSA. 1

Если в ПЗ/ЗБ включено семейство FAU_GEN «Генерация данных аудита безопасности*, то следует предусмотреть возможность (в зависимости от выбранного уровня) аудита следующих дей-ствий/событий/параметров.

а)    Минимальный: все неуспешные попытки выбора атрибутов безопасности сеанса.

б)    Базовый: все попытки выбора атрибутов безопасности сеанса.

в)    Детализированный: фиксация значений атрибутов безопасности каждого сеанса.

FTA_LSA. 1 Ограничение области выбираемых атрибутов

Иерархический для: Нет подчиненных компонентов.

FTA_LSA.1.1 ФБО должны ограничит» область атрибутов безопасности сеанса (назначение: атрибуты безопасности сеанса\, основываясь на [назначение: атрибуты].

Зависимости: отсутствуют.

12.2 Ограничение на параллельные сеансы (FTA_MCS)

Характеристика семейства

Семейство FTA_MCS определяет требования по ограничению числа паралельных сеансов, предоставляемых одному и тому же пользователю.

Ранжирование компонентов

НА_ис&Офиям«и» на цякнпмм самсы

FTA_MCS.I «Базовое ограничение на паралельные сеансы» предоставляет ограничения, которые применяются ко всем пользователям ФБО.

FI A_MCS.2 «Ограничение на параллельные сеансы по атрибутам пользователя* расширяет FTA MCS.I требованием возможности определил» ограничения на число параллельных сеансов, основываясь на атрибутах безопасности, связанных с пользователем.

Управление: FTA_MCS.l

Для функций у правления из класса FMT может рассматриваться следующее действие.

а) Упраазение администратором максимально допустимым числом параллельных сеансов, предоставляемых пользователю.

Управление: FTA_MCS.2

Для функций управления из класса FMT могут рассматриваться следующие действия.

а) Управление администратором правилами, которые определяют максимально допустимое число параллельных сеансов, предоставляемых пользователю.

Аудит: FTA_MCS.l, FTA_.\1CS.2

Если в ПЗ/ЗБ включено семейство FAU_GEN «Генерация данных аудита безопасности*, то следует предусмотреть возможность (в зависимости от выбранного уровня) аудита следующих дей-ствий/событий/параметров.

а)    Минимальный: отклонение нового сеанса, основанное на ограничении числа паралельных сеансов.

б)    Детализированный: фиксация числа параллельных сеансов пользователя, а также атрибутов безопасности этого пользователя.

7S

Страница 85

ГОСТ Р ИСО/МЭК 15408-2-2002

FTA_MCS.I Базовое ограничение на наралельные сеансы

Иерархический для: Нет подчиненных компонентов.

FTA_MCS.I.l ФБО должны ограничив максимальное число параллельных сеансов, предоставляемых одному и тому же пользователю.

FTA_MCS.1.2 ФБО должны задать по умолчанию ограничение (назначение: задаваемое по умолчанию число| сеансов пользователя.

Зависимости: F1A_UID.1 Выбор момента идентификации

FTA MCS.2 Ограничение на параллельные сеансы по атрибутам пользователя

Иерархический для: FTA_MCS.l

FTA_MCS.2.1 ФБО должны ограничить максимальное число параллельных сеансов, предоставляемых одному и тому же пользователю, согласно иравилам [назначение: npueu.ia определения максимального числа пар&иельних сеансов].

FTA_MCS.2.2 ФБО должны задать по умолчанию ограничение (назначение: задаваемое но ума/-чанию чисю) сеансов пользователя.

Зависимости: F1A_UID.I Выбор момента идентификации

12.3 Блокирование сеанса (FTA_SSL)

Характеристика семейства

Семейство FTA_SSL определяет требования к ФБО по предоставлению возможности как ФБО. так и пользователю блокировать и разблокировать интерактивный сеанс.

Ранжирование компонентов

FTA_SSL. 1 «Блокирование сеанса, инициированное ФБО» включает инициированное системой блокирование интерактивного сеанса после определенного периода бездействия пользователя.

Fr.A_SSL.2 «Блокирование, инициированное пользователем» предоставляет пользователю возможность блокировать и разблокировать свои собственные интерактивные сеансы.

FTA_SSL.3 «Завершение, инициированное ФБО* предоставляет требования к ФБО по завершению сеанса после определенного периода бездействия пользователя.

Управление: FTA_SSL.l

Для функций управления из класса FMT могут рассматриваться следующие действия.

а)    Задание времени бездействия пользователя, после которого происходит блокировка сеанса.

б)    Задание по умолчанию времени бездействия пользователя, после которого происходит блокировка.

в)    Управление событиями, которыми предусматриваются до разблокирования сеанса. Управление: FTA_SSL.2

Для функций управления из класса F.MT может рассматриваться следующее действие, а) Управление событиями, которые предусматриваются до разблокирования сеанса.

Управление: FTA_SSL.3

Дтя функций управления из класса FMT могут рассматриваться следующие действия.

а)    Задание времени бездействия пользователя, после которого происходит завершение интерактивного сеанса.

б)    Задание по умолчанию времени бездействия пользователя, после которого происходит завершение интерактивного сеанса.

Аудит: FTA_SSL.I, FTA_SSL.2

Если в ПЗ/ЗБ включено семейство FAU_GEN «Генерация данных аудита безопасности», то следует предусмотреть возможность (в зависимости от выбранного уровня) аудита следующих дей-ствий/событий/параметров.

а) Минимальный: блокирование интерактивного сеанса механизмом блокирования сеанса.

Страница 86

ГОСТ Р ИСО/МЭК 15408-2-2002

б)    Минимальный: успешное разблокирование интерактивного сеанса.

в)    Базовый: все попытки разблокирования интерактивного сеанса.

Лудит: FTA_SSL.3

Если в ПЗ/ЗБ включено семейство FAU_GEN «Генерация данных аудита безопасности», то следует предусмотреть возможность (в зависимости от выбранного уровня) аудита следующих дей-ствнй/событий/параметров.

а) Минимальный: завершение интерактивного сеанса механизмом блокирования сеанса. FTA_SSL.l Блокирование сеанса, инициированное ФБО Иерархический для: Нет подчиненных компоне1гтов.

FTA_SSL.1.I ФБО должны блокировать интерактивный сеанс после (назначение: интерва.1 времени бездействия пользователя], для чего предпринимаются следующие действия:

а)    очистка или перезапись устройств отображения, придание их текущему содержанию нечитаемого вида;

б)    блокирование любых действий по доступу к данным пользователя/устройствам отображения, кроме необходимых для разблокирования сеанса.

FTA_SSL.l.2 ФБО должны требовать, чтобы до разблокирования сеанса произошли следующие события: (назначение: события, которые будут происходить|.

Зависимости: FIA_UAU.I Выбор момента аутентификации FTA_SSL.2 Блокирование, инициированное пользователем Иерархический для: Нет подчиненных компонентов.

FTA_SSL.2.l ФБО должны допускать инициированное пользователем блокирование своего собственного интерактивного сеанса, для чего предпринимаются следующие действия:

а)    очистка или перезапись устройств отображения, иридаиие их текущему содержанию нечитаемого вида;

б)    блокирование любых действий по доступу к данным пользователя/устройствам отображения, кроме необходимых для разблокирования сеанса.

FTA_SSL.2.2 ФБО должны требовать, чтобы до разблокирования сеанса произошли следующие события: (назначение: события, которые будут происходить].

Зависимости: FIA_UAU.l Выбор момента аутентификации FTA SSL.3 Завершение, инициированное ФБО Иерархический для: Нет подчиненных компонентов.

FTA_SSL.3.1 ФБО должны завершить интерактивный сеанс после (назначение: интервал времени бездействия пользователя|.

Зависимости: отсутствуют.

12.4 Предупреждения перед предоставлением досту па к ОО (FTA_TAB)

Характеристика семейства

Семейство FI A TAB определяет требования к отображению для пользователей предупреждающего сообщения с перестраиваемой конфигурацией относительно характера использования ОО. Ранжирование компонентов

FTATAB Гфадо рыдания    првроо-

1

Т11ЛМММДООТ)ТЖКОО

FTA_TAB. I ‘■Предупреждения по умолчанию перед предоставлением доступа к ОО* предоставляет требования к предупреждающим сообщениям, которые отображаются перед началом диалога в сеансе.

Управление: FTA_TAB.l

Для функций управления из класса FMT может рассматриваться следующее действие.

а) Сопровождение уполномоченным администратором предупреждающих сообщений.

Аудит: FTAJTAB.1

Нет идентифицированных действий/событнй/параметров, для которых следует предусмотреть возможность аудита.

FTA_TAB.l Преду преждения по умолчанию перед предоставлением доступа к ОО

Иерархический для: Нет подчиненных компонентов.

ЬТА_ТАВ. 1.1 Перед открытием сеанса пользователя ФБО должны отобразить предупреждающее сообщение относительно несанкционированного использования (К)

Зависимости: отсутствуют.

Страница 87

ГОСТ Р ИСО/МЭК 15408-2-2002

12.5 Исгория доступа к ОО (FTA_TAH)

Характеристика семейства

Семейство FTA_TAH определяет требования к ФБО по отображению для пользователя, при успешном открытии сеанса, истории успешных и неуспешных попыток получить доступ от имени этого пользователя.

Ранжирование компонентов

FTAJTAH История доступе « ОО

FTA_TAH. I -История доступа к ОО» предоставляет требования к ОО по отображению информации, связанной с предыдущими попытками открыть сеанс.

Управление: FTA_TAH.I

Действия по упраачеиню не предусмотрены.

Аудит: FTA_TAH.l

Нет идентнфицированныхдействий/событий/параметров, для которых следует предусмотреть возможность аудита.

FTA_TAH.l История достуиа к ОО

Иерархический дня: Нет подчиненных компонентов.

FTA_TAH. 1.1 При успешном открытии сеанса ФБО должны отобразить | выбор: дата, время, метод, расположение] последнего успешного открытия сеанса от имени пользователя.

FTА_ТАН. 1.2 При успешном открытии сеанса ФБО должны отобразить |выбор: дати, время, метод, расположение] последней неуспешной попытки открытия сеанса и число неуспешных попыток со времени последнего успешного открытия сеанса.

FTA_TAH. 1.3 ФБО не должны удалять информацию об истории доступа из интерфейса пользователя без предоставления пользователю возможности просмотреть ее.

Зависимости: отсутствуют.

12.6 Открытие сеанса с ОО (FTA_TSE)

Характеристика семейств:»

Семейство FTA_TSE определяет требования по запрещению пользователям открытия сеанса с ОО.

Ранжирование компонентов

FTA..TSE.1 «Открытие сеанса с ОО» предоставляет условия запрещения пользователям доступа к ОО, основанного на атрибутах.

Управление: FTA_TSE.l

Для функций управления из класса FMT может рассматриваться следующее действие, а) Управление уполномоченным администратором условиями открытия сеанса.

Аудит: FTA_TSE.I

Если в ПЗ/ЗБ включено семейство FAU_GEN «Генерация данных аудита безопасности*, то следует предусмотреть возможность (в зависимости от выбранного уровня) аудита следующих дей-ствн й/событий/параметров.

а)    Минимальный: запрещение открытия сеанса механизмом открытия сеанса.

б)    Базовый: все попытки открытия сеанса пользователя.

в)    Детатизированный: фиксация значений выбранных параметров доступа (таких как место доступа или время доступа).

FTA_TSE.l Открытие сеанса с ОО Иерархический для: Нет подчиненных компонентов.

FTA_TSE. 1.1 ФБО должны быть способны отказать в открытии сеанса, основываясь на [назначение: атрибутыJ.

Зависимости: отсутствуют.

6-2- I52J

81

Страница 88

ГОСТ Р ИСО/МЭК 15408-2-2002

13 Класс FTP. Доверенный маршрут/канал

Семейства класса FTP содержат требования как к доверенному маршруту связи между пользователями и ФБО, так и к доверенному каналу связи между ФБО и другими доверенными продуктами ИТ. Доверенные маршруты и каналы имеют следующие общие свойства:

—    маршрут связи создается с использованием внутренних и внешних каналов коммуникаций (в соответствии с компонентом), которые изолируют идентифицированное подмножество данных и команд ФБО от остальной части данных пользователей и ФБО;

—    использование маршрута связи может быть инициировано пользователем и/или ФБО (в соответствии с компонентом);

—    маршрут связи способен обеспечить доверие тому, что пользователь взаимодействует с требуемыми ФБО или ФБО — с требуемым пользователем (в соответствии с компонентом).

Здесь Умеренный капал — это канал связи, который может быть инициирован любой из связывающихся сторон и обеспечивает свойство неотказуемости по отношению к идентичности сторон канала.

Доверенный маршрут предоставляет пользователям средства для выполнения функций путем обеспечения прямого взаимодействия с ФБО. Доверенный маршрут обычно желателен при начальной идентификации и/или аутентификации пользователя, но может быть также применен на протяжении всею сеанса пользователя. Обмены по доверенному маршруту могут быть инициированы пользователем или ФБО. Гарантируется, что ответы пользователя с применением доверенного маршрута будут защищены от модификации или раскрытия недоверенными приложениями.

Декомпозиция класса FTP на составляющие его компоненты приведена на рисунке 13.1.

Класс FTP: Драершшй триjjyrf ммол

FTPJTC Дойра мня кянлг парарячн ммщгФБО

1

FTP_TRP Доверенный маршрут

1

Рисунок 13.1 — Декомпозиции класса «Доверенный маршрут/канал*

13.1 Доверенный канал передачи между ФБО (FTP_ITC)

Характеристика семейства

Семейство FTP_JTC определяет правила создания доверенного канала между ФБО и другими доверенными продуктами И Г для выполнения операций, критичных для безопасности. Это семейство следует использовать всякий раз. когда имеются требования безопасной передачи данных пользователя или ФБО между 00 и другими доверенными продуктами ИТ.

Ранжирование компонентов

FTP ГТС ДонрнмыН канал парадачи

4

иввдФБО

1

FTPJTC1 «Доверенный канал передачи между ФБО» содержит требование, чтобы ФБО предоставили доверенный канал связи между ними самими и другим доверенным продуктом ИТ.

Управление: FTIMTC.I

Для функций у правления из класса FMT может рассматриваться следующее действие.

а) Изменение набора операций, которые требуют доверенного канала (если таковой имеется).

Аудит: FTIMTC.I

Если в ПЗ/ЗБ включено семейство FAU_GEN •Генерация данных аудита безопасности», то следует предусмотреть возможность (в зависимости от выбранного уровня) аудита следующих дей-ствий/событий/параметров.

а)    Минимальный: сбой функций доверенного каната.

б)    Минимальный: идентификация инициатора и адресата отказавших функций доверенного канала.

82

Страница 89

ГОСТ Р ИСО/МЭК 15408-2-2002

в)    Базовый: все попытки использования функций доверенного канала.

г)    Базовый: идентификация инициатора и адресата всех функций доверенного канала.

FTP_ITC. 1 Доверенный канал передачи между ФБО

Иерархический для: Нет подчиненных компонентов.

FTP ITC.1.1 ФБО должны предоставлять канал связи между собой и удаленным доверенным продуктом ИТ, который логически отличим от других каналов связи и обеспечивает уверенную идентификацию его конечных сторон, а также защиту данных канала от модификации или раскрытия.

FTP_ITC.1.2 ФБО должны позволить |выбор: ФБО, удаленный доверенный продукт ИТ] инициировать связь через доверенный канал.

FTP ITC.1.3 ФБО должны инициировал, связь через доверенный канал для выполнения (назначение: список функций, для которых требуется доверенный клмал\.

Зависимости: отсутствуют.

13.2 Доверенный маршрут (FTP_TRP)

Характеристика семейства

Семейство FTP_TRI* определяет требования установки и поддержания доверенной связи между пользователями и ФБО. Доверенный маршрут может потребоваться для любого связанного с безопасностью взаимодействия. Обмен по доверенному маршруту может быть инициирован пользователем при взаимодействии с ФБО или же сами ФБО могут установить связь с пользователем по доверенному маршруту.

Ранжирование компонентов

FTP_TRP.l «Доверенный маршрут» содержит требование, чтобы доверенный маршрут между ФБО и пользователем предоставлялся для совокупности событий, определенных разработчиком ПЗ/ЗБ. Возможность инициировать доверенный маршрут могут иметь пользователь и/или ФБО. Управление: FTPJTRP.I

Дтя функций упраатення из класса FMT может рассматриваться следующее действие, а) Изменение набора операций, которые требуют доверенного маршрута, если он имеется. Аудит: FTP_TRP. I

Если в ПЗ/ЗБ включено семейство FAU_CEN «Генерация данных аудита безопасности», то следует предусмотреть возможность (в зависимости от выбранного уровня) аудита следующих дей-стви й/событий/параметров.

а)    Минимальный: сбой функций доверенного маршрута.

б)    Минимальный: идентификация пользователей, ассоциированных со всеми отказами доверенного маршрута (если это возможно).

в)    Базовый: все попытки использования функций доверенного маршрута.

г)    Базовый: идентификация пользователей, ассоциированных со всеми вызовами доверенного маршрута (если это возможно).

FTP_TRP.l Доверенный маршрут Иерархический для: Нет подчиненных компонентов.

FTP_TRP. 1.1 ФБО должны предоставлять маршрут связи между собой и (выбор: валенный, локальный] пользователем, который логически отличим от других маршрутов связи и обеспечивает уверенную идентификацию его конечных сторон, а также защиту передаваемых данных от модификации или раскрытия.

FTP_TRP.1.2 ФБО должны позволить (выбор: ФБО, локальные польмматели, удаленные пользователи| инициировать связь через доверенный маршрут.

FTP_TRP. 1.3 ФБО должны требовать использования доверенного маршрута для (выбор: нача.1ь-ная аутентификация пользователя, (назначение: другие услуги, для которых требуется доверенный маршрут | J.

Зависимости: отсутствуют.

83

Страница 90

ГОСТ I» И СО/МЭК 15408-2-2002

ПРИЛОЖЕНИЕ А (справочное)

Замечания по применению функциональных требований безопасности

Приложения А — П содержат дополнительную справочную информацию по использованию семейств и компонентов, определенных в нормативных элементах настоящего стандарта, которая может поналобиться потребителям, разработчикам или оценшикам при использовании компонентов. Для упрощения поиска требуемой информации порядок следования классов, семейств и компонентов в приложениях тот же, что и в нормативных элементах настоящего стандарта. Структура представления классов, семейств и компонентов в приложениях отличается от их предшествующего описания, так как приложения содержат только вспомогательную информацию.

А.1 Структура замечаний

Раздел определяет содержание и форму замечаний, относящихся к функциональным требованиям ОК.

А. 1.1 Структура класса

Структура функционального класса в приложениях В — П приведена на рисунке А.1.

Фушчмяшы»* клало

Имнкшоса

Пр«детвалвну# класса

р|-

71

Оумциондльныв сомой епм

J

Рисунок А.1 — Структура функционального класса

А. 1.1.1 Имя класса

Уникальное имя класса, определенное в нормативных элементах настоящего стандарта.

А. 1.1.2 Представление класса

В представлении класса в приложениях В — П приводится информация об использовании семейств и компонентов класса. Эта информация дополняется рисунком, показывающим организацию каждого класса и семейств в каждом классе, а также иерархические связи между компонентами в каждом семействе.

А. 1.2 Структура семейства

Структура функционального семейства в замечаниях по применению приведена на рисунке А.2

Оутвцжяшьноо СВ шйство

№мсем«йегеа

- Зияния дли гплыомтапи

Эмми мм для оцмцжа

У

Котдонты

Рисунок А.2 — Структура функционального семейства в замечаниях по применению

84

Страница 91

ГОСТ Р ИСО/МЭК 15408 2-2002

А. 1.2.1 Имя семейства

Уникальное имя семейства, определенное в нормативных элементах настоящего стандарта.

А. 1.2.2 Замечания для пользователя

Замечания для пользователя содержат дополнительную информацию, которая представляет интерес для потенциальных пользователей семейства, таких как разработчики П3. ЗБ. функциональных пакетов, а также ОО. Эти гах1ечании имеют информативный характер и могут охватывать предупреждения об ограничениях применения и тех аспектах, которые требуют особого внимания при использовании компонентов.

А. 1.2.3 Замечания для оценщика

Замечания для оценщика содержат любую информацию* которая представляет интерес для разработчиков и оценщиков ОО при проверке его на соответствие компонентам семейства. Замечания носят информативный характер и могут относиться к различным областям, когорые требуют особого внимания при оценке. Они могут включать в себя разъяснение назначения и определение возможных пулей интерпретации требовании. а также предостережения и предупреждения, представляющие особый интерес для оценщиков.

Замечания для пользователя и оценшика не обязательны и приводятся только при необходимости.

А. 1.3 Структура компонента

Структура функциональных компонентов в замечаниях по применению показана на рисунке А.З

А. 1.3.1 Идентификация компонента

Уникальное имя компонента, определенное в нормативных элементах настоящего стандарта.

А. 1.3.2 Обоснование компонента и замечания по применению

В этом пункте может содержаться любая относящаяся к компоненту информация.

Обоснование содержит такие детали. которые уточняют общие формулировки применительно к опреде-    Рисунок    А.З    -    Структура    функционального компонента

ленному уровню: его следует использовать только в том случае, если на лом уровне требуется расширенное описание.

Замечания по применению содержат дополнительное уточнение в виде описания, относящегося к определенному компоненту. Эго уточнение может касаться замечаний для пользователя и/или оценшика. как указано в А. 1.2. Это уточнение может использоваться при объяснении природы зависимостей (например, совместно применяемая информация или операция).

Этот раздел не обязателен и вводится при необходимости.

А. 1.3.3 Разрешенные операции

В этой части каждого компонента содержатся рекомендации по выполнению разрешенных в этом компоненте операций.

Этот пункт не обязателен и вводится только при необходимости.

А.2 Таблица зависимостей

В таблице А.I показаны прямые, косвенные и выбираемые зависимости функциональных компонентов. Каждому компоненту, от которого швисят какие-либо функциональные компоненты, огведена графа. Каждому функциональному компоненту отведена строка. Знаки на пересечении строк и граф таблицы указывают характер зависимости соответствующих компонентов: *Х* — прямая зависимость; — косвенная, а «о* — выбираемая.

Выбираемую зависимость рассмотрим на примере компонента FDP_£TC.I, требующего присутствия либо компонента FDP_ACC.I, либо компонента FDP__1FC.I. Так, если выбран компонент FDP_ACC.l. то присутствие FDP_IFC.l необязательно и наоборот. Если пересечение строки и графы таблицы пусто, компонент из строки нс зависит от компонента из графы.

К5

Страница 92

T аблниа Л I - Зависимости функциональных компонентов

5

gn

I

>

a

<

a

<

i

a

W

<

<

u

и

I

<

*4

<

и

и

1

<

<

z

U

о

1

=1

<

L.

<

<

t/i

1

D

<

U

c*

<

«/:

i

Э

<

u

d

H

l/J

i

3

<

u.

u

1

U

u.

rs

*

и

1

U

u

T

*

и

1

i/S

u

u

c*

О

и

I

IA

и

u.

и

и

<

I

a.

a

Urn

L

U

<

i

c.

Q

u

u

L.

I

C*

a

u

u

u.

1

a.

Q

u.

u

H

1

Ctm

Cl

u.

£

1

Си

а

и.

ГЧ

Ё

1

Си

О

и.

н

Б

1

а.

С

и.

С

н

<

1

<

и-

3

<

и

<

[I

d

3

3

и.

L.

о

н'

2

<

ио

7

1

н

2

La

п

<

2

1

н

5

и.

Г*1

<

«/>

1

2

и.

6

н

2

1

н

5

к.

as

2

1

н

V.

и.

О

/L

и

1

с.

и.

н

<

1

н

с.

и.

V3

и

1

н

С-

и

н

н

1

н

й.

н

1

н

и

и

£

н

1

н

Си

н

</s

ь

1

н

CL

и.

и

н

1

а.

н

и.

ей

аг

н

1

с-

Н

L.

ГАU ARP.I

_

X

_

FAUjGEN.I

X

FAU_GEN.2

X

X

FAU_SAA.I

X

FAU_SAA.2

X

FAU SAA3

FAU SAA.4

ГА1) SAR.I

_

FAU SAR.2

X

_

FAU_SAR.3

X

FAU_SEl..l

X

X

FAll_STG.l

X

FAU_STG.2

X

FAU_STG-3

X

FAU STG.4

X

_

ICO NRO.I

X

FCO_NRO,2

X

FCO N RR. 1

X

FCO_N RR.2

X

FCS CKM.l

_

_„

• •

_

_

X

_

_

FCS_C KM .2

0

X

0

-

X

FCS_CKM.3

0

X

О

-

X

FCS _C KM.4

0

0

-

X

FCS.COP.I

:

X

о

_

X

_

FDP ACC.I

_

X

_

_

_

_

FDP ACC . 2

-

X

-

FDP ACF.l

'•

.

_

_

FDP DALI. 1

FDPDAU.2

X

FDP_ETC. I

0

0

FDP_ETC2

о

0

ГОСТ Р ИСО/МЭК 15408-2-2002

Страница 93

L8

>

с

с

KI

>

С

с

Z'

>

1

с

>

Z

>

I

с:

>

<—

O'

Z3

>

1

с

>

с

•л

>

с

>

с

Д*

23

>

с

>

с

•w

1 FIA UAU.2

1 FIA UAU.I

2

>

1

У

С

У

»-»

2

>

I

О

у

•л

>

;

>

-1

О

Z3

>

■>

г

2

С1

.■*

с

н

и>

-п

с

н

1-J

2

w

-

с

й

I FDP UCT.1

т

С

&

з

Г -J

3

У5

3

3

Я

С

г-

к/

| Ff)P_ROl..l

I FDP RIP.2

•л

3

Г

£

у

■Л

о

.■*

■л

w

3

•п

с

.*■

tsJ

т

С

-5

3

3

Н

О

rj

3

£

г-

3

т

э*

3

55

•л

3

£

•Л

•л

•л

3

т

■Л

Ur

■Л

3

-3

71

ij

•л

3

-V

•Л

■л

3

о

г J

3

Я

ADV.SPM.I

AGD.ADM.I

X

X

X

AVA.CCA.I

X

AVA.CCA.3

FAU.GEN.I

FAU_SAR. 1

FAU_STG. 1

FCS.CKM.I

FCSC К М.2

rCS__CKM.4

FCS.COP 1

о

о

о

О

о

О

о

О

О

с

С

С

!

1

1

I

1

I

1

1

FDP^ACC.I

1

1

1

1

1

\

1

1

1

t

1

»

1

1

I

1

1

1

1

1

FDP_AFC.I

о

о

о

о

о

о

о

С

о

с

о

С

х

X

X

X

X

X

1

1

FDP_ ICF. 1

1

1

1

1

1

1

1

1

1

1

1

1

1

1

1

1

1

1

X

X

FDP_ IFF. 1

FDPITC. 1

X

FDPJTT.t

X

FDP1TT.2

X

X

FDP_ U IT. 1

FIA_ATD. 1

X

FIA_UAU.I

1

X

X

1

1

1

1

1

1

1

1

1

1

1

1

1

1

1

1

1

1

1

1

1

FIA_UID.I

FMT. MOF.l

1

1

1

I

1

1

1

1

1

1

1

\

1

1

1

1

1

1

1

\

FMTM SA.I

FMT. MSA.2

1

1

1

1

1

1

1

1

1

1

1

х

1

1

1

I

X

X

\

1

FMT_MSA.3

FMT.MTD 1

1

1

1

1

1

1

1

1

1

1

1

1

1

1

1

1

1

1

1

1

FMTSM R.l

FPR_U NO. 1

FPT_AM T.l

FPTFLS. 1

FPTITT.l

FPT_STM.l

X

FPTTDC.I

FPTTST.I

X

X

о

о

С

FTPJTC.l

о

о

FTP_TRP 1

zoor-z-sot'si мсю/оэи л хэол

l 'у пмтдош эмнэжгор&^ц

Страница 94

g Продолжение таблицы А. t

ГОСТ Р ИСО/МЭК 15408-2-2002

5

1

>

<

с

<

d

О

<

<

и

и

I

<

>

<

и

U

1

2

<

г

и

О

I

<

L.

<

<

1

Э

<

U

ос

<

и

1

<

6

н

un

1

<

U

2

и

и

1

VO

и

u.

и

и

1

U

ц.

*

и

1

и

U

1—

с-

О

и

1

1/5

U

и.

U

и

<

1

Q.

а

U

L-

и

<

1

с

U

и

L.

Си

а

U*

и

L.

1

с.

О

U

и

н

*"|

с.

О

U*

Е

1

£.

2

U.

гч

Ё

1

Си

и

н

Б

1

Q.

О

и

О

н

<

1

<

И

2

<

и

1

<

и!

6

5

I

<

и.

и

О

I

н

Zt

и.

i

2

1

н

2

и.

сч

<

ГА

н'

3

и.

Г1

<

J/J

1

н

и.

с

н

?

1

н

5

и

*

t'

и

О

2

1

££

е~

и

г-

<

1

н

С-

ц.

t/j

-J

и.

1

н

а.

и

н

н

1

н

и

5

н»

«л

1

н

6.

м

и

о

н

1

ь-

С-

и

н

И

h-

1

н

е-

и.

и

н

1

Си

Н

и.

с-

а:

н

1

с-

н

и

FIA USB.I

X

FMT MOF.1

X

FMT MSA.I

о

о

X

FMT MSA.2

X

О

О

X

X

FMT MSA.3

X

X

FMT MTD.1

X

FMT M ID.2

X

X

FMT MTD.3

X

X

FMT REV, 1

X

FMT SAE.I

X

X

FMT SMR.l

X

FMT SMR.2

FMT SMR.3

X

FPR ANO.I

FPR ANO.2

FPR PSE.I

FPR_PSE.2

X

FPR PSE.3

FPR UNL.I

FPR UNO. 1

FPR UNO 2

FPR.UN0.3

X

FPR UNO.4

FPT AMT.I

FPT FLS.I

X

FPT IT A 1

FPT ITC.I

FPT ITI.I

FPT IT 1.2

FPT ITT. 1

FPT ITT 2

FPT ITT.3

X

FPT PH P I

X

FPT PH P.2

X

FPT_PH P.3

Страница 95

Окончание таблицы А /

•£.

C-

УЗ

1

>

<

5

с

<

i

a

'O

<

<

и

и

1

<

$

r-1

<

и

и

1

<

>

<

z

ш

о

1

и

<

и

<

<

УЗ

1

и

<

L.

а:

<

ЕЛ

1

3

<

ц.

О

н

УЗ

I

•—ч

<

L.

5

и

1

УЗ

и

и.

гч

3

*

U

1

Vi

и

U.

*■?

*

U

1

УЗ

U

L.

£.

С

и

1

УЗ

и

U

U

U

<

1

с.

с

и.

L.

и

<

1

а.

С

к.

и

и.

1

а

С

L.

ui

U

1

с.

О

и.

и

н

1

£-

С

U.

н

н

1

и

с

U

гч

н

н

1

S-

G

L.

Н

U

1

С-

С

U.

С

Н

<

1

<

«<

1

<

U

6

Б

1

<

Е

и

С

1

н

2

U.

i

1

г-

к.

Г*4

<

У>

1

н

5

<

2

1

н

Lu

d

н

1

н

5:

и.

а:

S

УЗ

1

н

2

U.

О

Z

3

1

а:

с.

U.

н

<

1

н

с-

L.

УЗ

«J

U.

1

н

&

L.

1

1

£

ь.

2

н

УЗ

1

£

L.

»•

U

с

н

1

н

См

U.

н

У".

н

1

н

&

L.

о

н

I

а.

Е

См

а:

Н

|

Cw

t

FPT RCV.I

X

X

FPTRCV.2

X

X

-

X

FPT RCV.3

X

X

X

FPT RCV.4

X

X

FPT_RPl..l

FPT_RVM.I

FPT_SEP. 1

FPT_SEP.2

FPT_SEP.3

FPF SSP.I

X

FPT SSP.2

X

FPT_STM.I

FPT TDC.I

FPT_TRC.I

X

FPT_TST. 1

X

FRU_FLT.I

X

FRU_FLT.2

X

FRU PRS.I

FRU_PRS.2

FRU RSA.I

FRU RSA.2

FTA LSA.I

FTA.MCS.I

X

FTA_MCS.2

X

FTA_SSL. 1

X

FTA_SSL.2

X

FTA SSL.3

FTA TAB.l

FTA ТАHI

FTA TSL.l

FTPJTC.I

Ftp TRP.I

ГОСТ Р ИСО/МЭК 15408-2-2002

Страница 96

ГОСТ Р ИСО/МЭК 15408-2-2002

ПРИЛОЖЕНИЕЬ (справочное)

Функциональные классы, семейства н компоненгы

Приложения В — П содержат замечания по применению функциональных классов, определенных ранее в настоящем стандарте.

ПРИЛОЖЕНИЕ В

(справочное)

Аудит безопасности (FAU)

Семейства аудита ОК предоставляют авторам ПЗ/ЗБ возможность определить требования для мониторинга действий пользователя и в некоторых случаях обнаружить существующие, возможные или готовящиеся нарушения ПВО. Функции аудита безопасности ОО определены, чтобы помочь осуществлять контроль за относящимися к безопасности событиями, и выступают как сдерживающий фактор нарушений безопасности. Требования семейств аудита используют функции, включающие в себя защиту данных аудита, формат записи, выбор событий, а также инструментальные срсдсгва анализа, сигналы оповещения при нарушении и анализ в реальном масштабе времени. Журнал аудита следует представить в формате, доступном человеку либо явно (например, храня журнал аудита в таком формате), либо неявно (например, применяя инструментальные средства предварительной обработки данных аудита) или же с использованием обоих методов.

При составлении требований аудита безопасносги автору ПЗ/ЗБ следует обращать внимание на взаимосвязь семейств и компонентов аудита. Возможность реализации совокупности требований аудита в соответствии со списками зависимостей компонентов может привести и к некоторым недостаткам функции аудита. Так. при проведении аудита всех событии, относящихся к безопасности, они не сгруппируются по определенному принципу, например по принадлежности к отдельному пользователю или объекту.

Требования аудита в распределенной среде

Реализация требований аудита для сетей и других больших систем может значительно отличаться от реализации таких требований в автономной системе. Для больших и сложных систем требуется более продуманный план сбора и упра&тения данными аудита, поскольку их труднее интерпретировать (и даже хранить). Обычный список, упорядоченный по времени, или же журнал событий, подвергающихся аудиту, не применимы в глобальных, не синхронизированных сетях, где одновременно происходит множество событий.

Кроме того, в распределенном ОО в различных хост-компьютерах и серверах могут быть различные политики назначения имен. Чтобы избежать избыточности и «столкновения» имен, может потребоваться обшесетевое соглашение об их согласованном представлении для аудита.

Для обслуживания распределенной системы может потребоваться хранилище данных аудита из многих объектов, доступное потенциально широкому кругу уполномоченных пользователей.

Наконец, к злоупотреблениям уполномоченных пользователей своими правами следует отнести систематическое уничтожение отдельных областей хранения данных аудита, относящихся к действиям администратора.

Декомпозиция класса FAIJ на составляющие его компоненгы показана на рисунке В.1.

В.1 Автоматическая реакция аудита безопасности (FAU_ARP)

Семейство FAlJ_ARP содержит требования по обработке событий аудита. Конкретное требование может включать в себя требования сигнала тревоги или действий ФБО (автоматическая реакция). Например, ФБО могут обеспечивать подачу сигнала тревоги в реальном времени, прерывание процесса с выявленным нарушением, прекращение обслуживания, блокирование или закрытие учетных данных пользователя.

Замечания по применению

Событие аудита определяется как «возможное нарушение безопасности», если так указано в компонентах семейства FAU_SAA.

FAU_ARP. 1 Сигналы нарушения безопасности

Замечания по применению для пользователя

При сигнале тревоги следует предпринять определенные действия. Они могут включать в себя информирование уполномоченного пользователя, предоставление уполномоченному пользователю перечня возможных мер противодействия или же выполнение корректирующих действий. Автору ПЗ/ЗБ следует быть особенно внимательным при определении последовательности проведения таких действий.

Операции

Назначение

90

Страница 97

ГОСТ Р ИСО/МЭК 15408-2-2002

В элементе FAU_ARP. 1.1 автору 113/31» следует определить действия, предпринимаемые в случае во «можно!» нарушения безопасности. Примером списка таких действий является: «информировать уполномоченной) нолыовятеля, блокировать субъекта. действия которого могут привести к нарушению бе:{онасностн». Можно также укачать, что прелпринимаемые действия могут определяться уполномоченным пользователем.

В.2 Генерация данных аудита безопасности (FAU_GEN)

А*даг безопасности

Семейство FAU_GEN содержит требования но спецификации событий аудита, которые следует генерировать с использованием ФБО для событий, относящихся к безопасности.

НИ

-и -0

RWJ_fiRP Аитшшпниаяп рмкцм цмита Овюласноста

_J    FAUQfcN гонарщня дм мь nr аудита    |_

баюпююоти

Эго семе меню организовано так, чтобы избежать зависимостей or всех компонентов. требующих поддержки аудита. В каждом ком попейтс имеется подготовленная секция «Аудит®, в которой перечислены события, предлагаемые для аудита в его функциональной области. Содержание указанной области аудита используется автором П 3/3 Б при составлении ПЗ/ЗБ для завершения операций этого компонента. Таким образом, спецификация тою. что может подвергаться аудиту в функциональной области, содср-жится в указанной области.

-0

RMJLSAA Анапе 4ДОТА Овмпмноети

1 —

1

FAJ QAR DKCMOTD IWJHTt бПОМСНОСШ

"111

3

RMJ3EL еыбор событий Йррла боаопвсносги

Список событий, потенциально подвергаемых аудиту, полностью зависит от других функциональных семейств в ПЗ/ЗБ. Поэтому в описание каждого семейства следует включать список событий, относящихся к семейству и потенциально подвергаемых аудиту, для каждого компонента семейства. Каждое событие в списке потенциально подвергаемых аудиту событий, специфицированное в функциональном семействе, следует там же отнести к одному из принятых уровней генерации событий аудита (т. с. минимальному, базовому, детализированному). Это предоставляет автору ПЗ/ЗБ информацию, позволяющую обеспечить, чтобы все события, потенциально подвергаемые аудиту, были специфицированы в ПЗ/ЗБ. Следующий пример показывает, как необходимо специфицировать события, потенциально подвергаемые аудиту, в соответствующих функциональных семействах.

РАийта хрвнмм данных вудятв    |_

биопааноош

-инз

Рисунок B.I — Декомпозиция класса «Аудит безопасности»

•Если в ПЗ/ЗБ включено семейство FAU_GEN «Генерация данных аудита безопасности», то следует предусмотреть возможность (в зависимости от выбранного уровня) аудита следующих действия/событий/па-рамстров.

а) Минимальный: успешное использование функций административного управления атрибутами бсюпасности пользователя.

б> Базовый: все попытки использования функций административного управления атрибутами безопасности пользователя.

в)    Базовый: идентификация модифицированных а трибунов безопасности пользователя.

г)    Детализированный: новые значения атрибутов, за исключением чувствительных атрибутов (например. паролей, ключей шифрования)*.

91

Страница 98

ГОСТ Р И СО/М ЭК 15408-2-2002

Для каждого выбранного функционального компонента в общую совокупность событий, потенциально подвергаемых аудиту, следует включить тс указанные в нем события, которые соответствуют уровню, установленному в FAU_GEN. Если, допустим, в приведенном выше примере в FAU_GEN выбран уровень «базовый», события, указанные в подпунктах а), б) и в), следует огнесги к потенциально подвергаемым аудиту.

Обратите внимание, что категорирование событий, потенциально подвергаемых аудиту, иерархично. Например, если желательна «Генерация базового аудита», то все события, потенциально подвергаемые как минимальному, гак и базовому аудиту, следует включить в ПЗ/ЗБ С помощью соответствующей операции назначения, за исключением случая, когда событие более высокого уровня имеет большую легализацию, чем событие более низкого уровня. Если желательна «Генерация детализированного аудита», то в ПЗ/ЗБ следует включить все события, потенциально подвергаемые аудиту (минимальному, базовому и детализированному).

Но усмотрению авторов ПЗ/ЗБ в список событий, потенциально подвергаемых аудиту, могут включаться события помимо требуемых для данного уровня аудита. Например, в ПЗ/ЗБ можно заявить только возможности проведения минимального аудита, несмогря на включение большой части возможностей базового аудита, поскольку некоторые из оставшихся вступают в противоречие с ограничениями ПЗ/ЗБ (например, мот требоват ь сбора недоступных данных).

Замечания по применению

Функциональные возможности, выполнение которых порождает события, потенциально подвергаемые аудиту, следует устанавливать в ПЗ или ЗБ как функциональные требования.

Ниже приведены примеры типов событий, которые следует определить как потенциально подвергаемые аудиту в каждом функциональном компоненте ПЗ/ЗБ:

а)    введение объектов из ОДФ в адресное пространство субъекта:

б)    удаление объектов;

в)    предоставление или отмена прав или возможностей доступа;

г)    изменение атрибутов безопасности субъекта или объекта;

д)    проверки политики, выполняемые ФБО как результат запроса субъекта;

с) использование прав доступа для обхода проверок политики;

ж) использование функций идентификации и аутентификации;

и) действия, предпринимаемые оператором и/или уполномоченным пользователем (например, подавление такого механизма защиты ФБО, как доступные человеку метки);

к) ввод/вывод данных с/на заменяемых носителей (таких, как печатные материалы, ленты, дискеты).

FAU_GEN.l Генерация данных аудита

Замечания по применению для пользователя

Компонент FAU_GEN.I определяет требования по идентификации событий, потенциально подвергаемых аудиту, для которых следует генерировать записи аудта, и состав информации в этих записях.

Если ПБО не предусматривает ассоциации событий аудита с идентификатором пользователя, то достаточно применения только компонента FAU_GEN.l. Это же присмлехш и в случае, когда ПЗ/ЗБ содержит требования приватности. Если же необходимо подключение идентификатора пользователя, можно дополнительно использовать FAU_GEN.2.

Замечания по применению для оценщика

Имеется зависимость от FPT_STM. Если точное значение времени событий для данного 00 несущественно.