Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
- Главная
- Государственный стандарт РФ ГОСТ Р ИСО/МЭК 15408-2-2002 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности" (принят постановлением Госстандарта РФ от 4 апреля 2002 г. N 133-ст) (отменен)
- Приложение К. Приватность (FPR) (справочное)
Приложение К. Приватность (FPR) (справочное)
Приложение К
(справочное)
Приватность (FPR)
Класс FPR описывает требования, которые могут накладываться для удовлетворения потребности пользователя и приватности, допуская максимально возможную гибкость системы, но оставляя в то же время возможной поддержку достаточного управления функционированием системы.
Компоненты этого класса достаточно гибки, чтобы учитывать, распространяется ли действие затребованных функций безопасности на уполномоченных пользователей. Например, автор ПЗ/ЗБ мог бы указать, что не потребуется защита приватности пользователя от пользователей, наделенных специальными полномочиями.
Декомпозиция класса FPR на составляющие его компоненты приведена на рисунке К.1.
Класс FPR вместе с другими классами (содержащими требования аудита, управления доступом, предоставления доверенного маршрута и неотказуемости) обеспечивает гибкость при спецификации желательного режима приватности. В то же время требования этого класса могут налагать ограничения на использование компонентов других классов, таких как FIA или FAU. Например, если уполномоченным пользователям не разрешено знать идентификатор пользователя (например, в семействах "Анонимность" или "Псевдонимность"), то, очевидно, невозможно будет оставить отдельных пользователей ответственными за выполняемые ими относящиеся к безопасности действия, на которые распространяются требования приватности. Тем не менее и в этом случае возможно включение в ПЗ/ЗБ требований аудита, когда само возникновение некоторых событий, связанных с безопасностью, важнее, чем знание того, кто был их инициатором.
| Приватность |
| /----------------------------------\ /---\ /---\
|-| FPR_ANO Анонимность |---| 1 |-| 2 |
| | | \---/ \---/
| \----------------------------------/
| /---\
| /----------------------------------\ /-| 2 |
|-| FPR_PSE Псевдонимность | /---\ | \---/
| | |---| 1 |-| /---\
| \----------------------------------/ \---/ \-| 3 |
| \---/
| /----------------------------------\ /---\
|-| FPR_UNL Невозможность ассоциации |---| 1 |
| | | \---/
| \----------------------------------/
| /---\ /---\
| /-------| 1 |--| 2 |
| /----------------------------------\ | \---/ \---/
\-| FPR_UNO Скрытность | | /---\
| |-+-| 3 |
\----------------------------------/ | \---/
| /---\
\-------| 4 |
\---/
Рисунок К.1 - Декомпозиция класса "Приватность"
Дополнительная информация по этому вопросу представлена в замечаниях по применению класса FAU, где разъясняется, что вместо идентификатора в контексте аудита может применяться псевдоним или другая информация, которая могла бы идентифицировать пользователя.
Этот класс содержит четыре семейства. "Анонимность", "Псевдонимность", "Невозможность ассоциации" и "Скрытность". Три первых семейства имеют сложные взаимосвязи. При выборе семейства для применения следует учитывать выявленные угрозы. Для некоторых типов угроз приватности "Псевдонимность" подойдет больше, чем "Анонимность" (например, при требовании проведения аудита). Кроме того, некоторым видам угроз приватности наилучшим образом противостоит сочетание компонентов из нескольких семейств.
Во всех семействах предполагается, что пользователь не предпринимает прямо никаких действий, раскрывающих его собственный идентификатор. Например, не ожидается, чтобы ФБО скрывали имя пользователя в сообщениях электронной почты или базы данных.
Все семейства этого класса имеют компоненты, область действия которых может быть задана операциями. Эти операции позволяют автору ПЗ/ЗБ указать те действия, общие для пользователей/субъектов, которым необходимо противодействовать с использованием ФБО. Возможный пример отображения анонимности: "ФБО должны обеспечить, чтобы пользователи и/или субъекты были не способны определить идентификатор пользователя, обратившегося за телеконсультацией".
Следует, чтобы ФБО предоставляли защиту от действий не только отдельных пользователей, но и пользователей, объединившихся для получения определенной информации. Стойкость защиты, предоставляемой этим классом, следует описать как стойкость функции согласно Б и В к ГОСТ Р ИСО/МЭК 15408-1.
К.1 Анонимность (FPR_ANO)
Семейство FPR_ANO обеспечивает, чтобы субъект мог использовать ресурсы или услуги без раскрытия идентификатора его пользователя.
Замечания для пользователя
Данное семейство предназначено для определения, что пользователь или субъект сможет предпринимать действия, не раскрывая идентификатора пользователя другим пользователям, субъектам или объектам. Это семейство предоставляет автору ПЗ/ЗБ способ идентификации совокупности пользователей, которые не смогут узнать идентификатор исполнителя некоторых действий.
Следовательно, если субъект, пользуясь анонимностью, выполняет некоторое действие, другой субъект будет не в состоянии определить ни идентификатор, ни даже ссылку на идентификатор пользователя, использовавшего первый субъект. Анонимность сфокусирована на защите идентификатора пользователя, а не на защите идентификатора субъекта. Поэтому идентификатор субъекта не защищается от раскрытия.
Хотя идентификатор пользователя не разглашается другим субъектам или пользователям, ФБО прямо не запрещено узнавать идентификатор пользователя. Если не допускается, чтобы ФБО был известен идентификатор пользователя, то можно прибегнуть к компоненту FPR_ANО.2. В этом случае ФБО не разрешается запрашивать информацию о пользователе.
Термин "определить" ("determine") следует понимать в самом широком смысле слова. Для конкретизации требований к строгости автор ПЗ/ЗБ может воспользоваться понятием стойкости функций.
В этом компоненте проводится различие между пользователями и уполномоченными пользователями. Уполномоченный пользователь часто не упоминается в компонентах; тогда ему не запрещается знать идентификатор пользователя. Однако нет и явного требования, чтобы уполномоченный пользователь обязательно имел возможность определить идентификатор пользователя. Для достижения максимальной приватности в компоненте необходимо указать, что ни пользователь, ни уполномоченный пользователь не смогут узнать идентификатор кого-либо при выполнении какого-либо действия.
В то время как некоторые системы обеспечат анонимность всех предоставляемых услуг, в других системах она предоставляется только для некоторых субъектов/операций. Для необходимой гибкости включена операция, в которой задается область действия требования. Если автор ПЗ/ЗБ захочет охватить все субъекты/операции, можно воспользоваться выражением "Все субъекты и операции".
Возможные применения анонимности включают в себя запросы конфиденциального характера к общедоступным базам данных, ответы на опросы, проводимые через телекоммуникации, или осуществление анонимных выпла# или пожертвований.
Примерами потенциально враждебных пользователей или субъектов являются провайдеры, системные операторы, абоненты связи и пользователи, скрытно вводящие в систему опасные элементы (например, "троянских коней"). Все они могут изучать образ действий пользователей (например, какие пользователи какие услуги заказывают) и злоупотреблять этой информацией.
FPR_ANО.1 Анонимность
Замечания по применению для пользователя
Компонент FPR_ANO.1 обеспечивает, чтобы идентификатор пользователя был защищен от раскрытия. В некоторых случаях, однако, уполномоченный пользователь может определить, кто произвел определенные действия. Этот компонент дает возможность гибкого подхода, позволяя выбирать политику как ограниченной, так и полной приватности.
Операции
Назначение
В FPR_ANО.1.1 автору ПЗ/ЗБ следует специфицировать совокупность пользователей и/или субъектов, от которых ФБО необходимо предоставить защиту. Например, даже если автор ПЗ/ЗБ специфицирует единственную роль пользователя или субъекта, ФБО необходимо предоставить защиту не только от отдельного пользователя или субъекта, но и от совместно действующих пользователей и/или субъектов. Совокупность пользователей, например, может являться группой пользователей, выступающих в одной и той же роли или использующих один и тот же процесс.
В FPR_ANО.1.1 автору ПЗ/ЗБ следует идентифицировать список субъектов и/или операций, и/или объектов, для которых подлинное имя пользователя данного субъекта следует защитить, например "голосование".
FPR_ANО.2 Анонимность без запроса информации
Замечания по применению для пользователя
Компонент FPR_ANО.2 используется для обеспечения того, что ФБО не будет разрешено знать идентификатор пользователя.
Операции
Назначение
В FPR_ANО.2.1 автору ПЗ/ЗБ следует специфицировать совокупность пользователей и/или субъектов, от которых ФБО необходимо предоставить защиту. Например, даже если автор ПЗ/ЗБ специфицирует единственную роль пользователя или субъекта, ФБО необходимо предоставить защиту не только от отдельного пользователя или субъекта, но и от совместно действующих пользователей и/или субъектов. Совокупность пользователей, например, может являться группой пользователей, выступающих в одной и той же роли или использующих один и тот же процесс.
В FPR_ANО.2.1 автору ПЗ/ЗБ следует идентифицировать список субъектов и/или операций, и/или объектов, для которых подлинное имя пользователя данного субъекта следует защитить, например "голосование".
В FPR_ANО.2.2 автору ПЗ/ЗБ следует идентифицировать список услуг, на которые распространяется требование анонимности, например "доступ к описанию работ".
Для FPR_ANО.2.2 автору ПЗ/ЗБ следует идентифицировать список субъектов, для которых подлинные имена пользователей следует защитить при предоставлении специфицированных услуг.
К.2 Псевдонимность (FPR_PSE)
Семейство FPR_PSE обеспечивает, чтобы пользователь мог использовать ресурс или услугу без раскрытия своего идентификатора, оставаясь в то же время ответственны# за это использование. Пользователь может быть ответственным, будучи прямо связан со ссылкой (псевдонимом), предоставляемой ФБО, или с псевдонимом, используемым для целей обслуживания, таким как номер банковского счета.
Замечания для пользователя
В некотором отношении псевдонимность походит на анонимность. В обоих случаях защищается идентификатор пользователя, но в псевдонимности поддерживается ссылка на идентификатор пользователя как для сохранения его ответственности, так и для других целей.
Компонент FPR_PSE.1 не специфицирует требований, относящихся к ссылке на идентификатор пользователя. Эти требования имеются в компонентах FPR_PSE.2 и FPR_PSE.3.
Одним из путей использования этой ссылки является возможность получения первоначального идентификатора пользователя. Например, если компьютеризованная касса несколько раз выдает абсолютно одинаковые чеки (т. е. происходит мошенничество), было бы предпочтительно иметь возможность отследить идентификатор пользователя. В общем случае необходимость восстановления идентификаторов пользователей определяется конкретными условиями. Для описания такой услуги автору ПЗ/ЗБ можно воспользоваться компонентом FPR_PSE.2 "Обратимая псевдонимность".
Ссылка может также использоваться в качестве псевдонима пользователя. Например, пользователь, не желающий быть идентифицированным, может предоставить номер счета, с которого следует оплачивать использование ресурсов. В таком случае ссылка на идентификатор пользователя - это его псевдоним, который другие пользователи или субъекты могут использовать для выполнения своих функций, без получения при особых обстоятельствах идентификатора пользователя (например, при сборе статистических данных использования системы). В этом случае для определения правил, которым ссылкам необходимо удовлетворять, автор ПЗ/ЗБ может воспользоваться компонентом FPR_PSE.3 "Альтернативная псевдонимность".
Применяя упомянутые выше конструкции, с помощью FPR_PSE.2 можно ввести электронные деньги, установив требование защиты идентификатора пользователя от наблюдения при условии, что одна и та же электронная сумма не тратится дважды. В последнем случае идентификатор пользователя будет отслеживаться. Следовательно, когда пользователь ведет себя честно, его идентификатор защищается, когда же он пытается мошенничать, его идентификатор может быть отслежен.
Другим видом системы электронных платежей являются электронные кредитные карточки, когда пользователь предоставляет псевдоним, который указывает на счет, с которого могут быть сняты деньги. В подобном случае можно использовать, например, компонент FPR_PSE.3, определив, что идентификатор пользователя будет защищен и что этот пользователь только тогда получит требуемую сумму, когда на его счете есть деньги (если так оговорено в условиях).
Следует иметь в виду, что наиболее строгие компоненты этого семейства могут потенциально не сочетаться с другими возможными требованиями, такими как идентификация и аутентификация или аудит. Выражение "определить идентификатор" следует понимать в широком смысле: ФБО не предоставляют информацию при выполнении операции; нельзя определить создателя субъекта или владельца субъекта, вызвавшего операцию; ФБО не будут записывать такую информацию, доступную пользователям или субъектам, по которой в дальнейшем можно бы было узнать идентификатор пользователя.
Смысл заключается в том, чтобы ФБО не раскрывали без необходимости любую информацию, с помощью которой можно определить идентификатор пользователя, например идентификаторы субъектов, действующих от имени пользователя. Степень сохранности этой информации зависит от усилий, которые потребуются нарушителю для ее раскрытия. Следовательно, в компонентах семейства FPR_PSE необходимо учитывать требования стойкости функций.
Возможные применения включают в себя оплату телефонных услуг по льготному тарифу без раскрытия идентификатора абонента или оплату анонимного использования системы электронных платежей.
Примерами потенциально враждебных пользователей являются провайдеры, системные операторы, абоненты связи и пользователи, скрытно вводящие в систему опасные элементы (например, "троянских коней")#. Все они могут изучать, какие пользователи какие услуги заказывают, и злоупотреблять этой информацией. В дополнение к семейству "Анонимность" услуги предоставляемые семейством "Псевдонимность", содержат методы авторизации без идентификации, особенно при анонимной оплате "(электронные деньги"). Это помогает провайдерам получать платежи безопасным способом, поддерживая при этом анонимность клиентов.
FPR_PSE.1 Псевдонимность
Замечания по применению для пользователя
Компонент FPR_PSE.1 обеспечивает защиту пользователя от раскрытия его идентификатора другими пользователями. При этом пользователь останется ответственным за свои действия.
Операции
Назначение
В FPR_PSE.1.1 автору ПЗ/ЗБ следует специфицировать совокупность пользователей и/или субъектов, от которых ФБО необходимо предоставить защиту. Например, даже если автор ПЗ/ЗБ специфицирует единственную роль пользователя или субъекта, ФБО необходимо предоставить защиту не только от отдельного пользователя или субъекта, но и от совместно действующих пользователей и/или субъектов. Совокупность пользователей, например, может являться группой пользователей, выступающих в одной и той же роли или использующих один и тот же процесс.
В FPR_PSE.1.1 автору ПЗ/ЗБ следует идентифицировать список субъектов и/или операций, и/или объектов, для которых подлинное имя пользователя данного субъекта следует защитить, например "доступ к предложениям трудоустройства". Отметим, что к "объектам" относят любые атрибуты, позволяющие другим пользователям или субъектам раскрыть действительный идентификатор данного пользователя.
В FPR_PSE.1.2 автору ПЗ/ЗБ следует идентифицировать число псевдонимов (один или более), которое ФБО способны предоставить.
FPR_PSF.1.2 автору ПЗ/ЗБ следует идентифицировать список субъектов, которым ФБО способны предоставлять псевдонимы.
Выбор
В FPR_PSE.1.3 автору ПЗ/ЗБ следует специфицировать, создаются псевдонимы функциями безопасности ОО или выбираются самими пользователями.
Назначение
В FPR_PSE.1.3 автору ПЗ/ЗБ следует идентифицировать метрику, которой удовлетворял бы псевдоним, созданный ФБО или выбранный пользователем.
FPR_PSE.2 Обратимая псевдонимность
Замечания по применению для пользователя
В компоненте FPR_PSE.2 ФБО должны обеспечить, чтобы при специфицированных условиях по предоставленной ссылке мог быть определен идентификатор пользователя.
В этом компоненте ФБО должны вместо идентификатора пользователя предоставить его псевдоним. При удовлетворении специфицированных условий идентификатор пользователя, которому принадлежит псевдоним, может быть определен. Для электронных денег примером таких условий может служить: "ФБО должны предоставить нотариусу возможность определить идентификатор пользователя по представленному псевдониму только в том случае, если чек был выдан дважды".
Операции
Назначение
В FPR_PSE.2.1 автору ПЗ/ЗБ следует специфицировать совокупность пользователей и/или субъектов, от которых ФБО необходимо предоставить защиту. Например, даже если автор ПЗ/ЗБ специфицирует единственную роль пользователя или субъекта, ФБО необходимо предоставить защиту не только от отдельного пользователя или субъекта, но и от совместно действующих пользователей и/или субъектов. Совокупность пользователей, например, может являться группой пользователей, выступающих в одной и той же роли или использующих один и тот же процесс.
В FPR_PSE.2.1 автору ПЗ/ЗБ следует идентифицировать список субъектов и/или операций, и/или объектов, для которых подлинное имя пользователя данного субъекта следует защитить, например "доступ к предложениям трудоустройства". Отметим, что к "объектам" относят любые атрибуты, позволяющие другим пользователям или субъектам раскрыть действительный идентификатор данного пользователя.
В FPR_PSE.2.2 автору ПЗ/ЗБ следует идентифицировать число псевдонимов (один или более), которое ФБО способны предоставить.
В FPR_PSE.2.2 автору ПЗ/ЗБ следует идентифицировать список субъектов, которым ФБО способны предоставлять псевдонимы.
Выбор
В FPR_PSE.2.3 автору ПЗ/ЗБ следует специфицировать, создаются псевдонимы функциями безопасности ОО или выбираются самими пользователями.
Назначение
В FPR_PSE.2.3 автору ПЗ/ЗБ следует идентифицировать метрику, которой удовлетворял бы псевдоним, созданный ФБО или выбранный пользователем.
Выбор
В FPR_PSE.2.4 автору ПЗ/ЗБ следует идентифицировать, могут ли уполномоченный пользователь и/или доверенные субъекты определить подлинное имя пользователя.
Назначение
В FPR_PSE.2.4 автору ПЗ/ЗБ следует идентифицировать список доверенных субъектов (например, "нотариус" или "пользователь, имеющий специальное разрешение"), которые могут при определенных условиях узнать подлинное имя пользователя.
В FPR_PSE.2.4 автору ПЗ/ЗБ следует идентифицировать список условий, при которых доверенные субъекты и уполномоченный пользователь могут определить подлинное имя пользователя на основе предоставленной ссылки. Такими условиями может быть "время суток" или же правовое условие, например предъявление судебного постановления.
FPR_PSE.3 Альтернативная псевдонимность
Замечания по применению для пользователя
В компоненте FPR_PSE.3 ФБО должны обеспечивать, чтобы предоставленная ссылка отвечала определенным правилам ее создания и вследствие этого могла использоваться потенциально опасными субъектами без нарушения безопасности.
Если пользователь хочет использовать ресурсы, не раскрывая свой идентификатор, то может применяться псевдонимность. Обычно на всем протяжении доступа к системе пользователь обязан использовать один и тот же псевдоним. Такое условие можно специфицировать в этом компоненте.
Операции
Назначение
В FPR_PSE.3.1 автору ПЗ/ЗБ следует специфицировать совокупность пользователей и/или субъектов, от которых ФБО необходимо предоставить защиту. Например, даже если автор ПЗ/ЗБ специфицирует единственную роль пользователя или субъекта, ФБО необходимо предоставить защиту не только от отдельного пользователя или субъекта, но и от совместно действующих пользователей и/или субъектов. Совокупность пользователей, например, может являться группой пользователей, выступающих в одной и той же роли или использующих один и тот же процесс.
В FPR_PSE.3.1 автору ПЗ/ЗБ следует идентифицировать список субъектов и/или операций, и/или объектов, для которых подлинное имя пользователя данного субъекта следует защитить, например "доступ к предложениям трудоустройства". Отметим, что к "объектам" относят любые атрибуты, позволяющие другим пользователям или субъектам раскрыть действительный идентификатор данного пользователя.
В FPR_PRS.3.2 автору ПЗ/ЗБ следует идентифицировать число псевдонимов (один или более), которое ФБО способны предоставить.
В FPR_PSE.3.2 автору ПЗ/ЗБ следует идентифицировать список субъектов, которым ФБО способны предоставлять псевдонимы.
Выбор
В FPR_PSE.3.3 автору ПЗ/ЗБ следует специфицировать, создаются псевдонимы функциями безопасности ОО или выбираются самими пользователями.
Назначение
В FPR_PSE.3.3 автору ПЗ/ЗБ следует идентифицировать метрику, которой удовлетворял бы псевдоним, созданный ФБО или выбранный пользователем.
В FPR_PSE.3.4 автору ПЗ/ЗБ следует идентифицировать список условий, указывающих, в каких случаях ссылки на подлинное имя пользователя должны быть одинаковы, а в каких должны быть различными, например "когда пользователь осуществляет многократный вход в узел сети, он будет использовать один и то же псевдоним".
К.3 Невозможность ассоциации (FPR_UNL)
Семейство FPR_UNL обеспечивает, чтобы пользователь мог неоднократно использовать ресурсы или услуги, не давая никому возможности связать вместе их использование. Невозможность ассоциации отличается от псевдонимности тем, что хотя при псевдонимности сам пользователь также неизвестен, связи между его различными действиями не скрываются.
Замечания для пользователя
Требования невозможности ассоциации предназначены для защиты идентификатора пользователя от применения профиля операций. Например, телефонная компания может определить поведение пользователя телефонной карты, используемой с единственного номера. Если известны профили использования телефона группой пользователей, то карту можно связать с конкретным пользователем. Сокрытие связи между различными обращениями за услугой или за доступом к ресурсу предотвратит накопление подобной информации.
В результате требования невозможности ассоциации могут означать защиту идентификатора субъекта и пользователя для некоторой операции. В противном случае эта информация может быть использована для связывания операций вместе.
Семейство содержит требование исключить установление связи между различными операциями. Эта связь может приобретать различные формы. Например, с пользователем ассоциируется операция или терминал, с которого инициировано действие, или продолжительность выполнения действия. Автор ПЗ/ЗБ может специфицировать, раскрытию какого типа связей необходимо противодействовать.
Возможные приложения включают в себя возможность многократного использования псевдонима, исключающие создание шаблона использования, по которому можно раскрыть идентификатор пользователя.
Примерами потенциально враждебных субъектов или пользователей являются провайдеры, системные операторы, абоненты связи и пользователи, скрытно вводящие в систему опасные элементы (например, "троянских коней"). Сами они не выполняют операции в системе, но стремятся получить информацию об операциях. Все они могут изучать образ действий пользователей (например, какие пользователи какие услуги заказывают) и злоупотреблять этой информацией. Невозможность ассоциации защищает пользователей от сопоставления, которое может быть произведено между различными действиями потребителя. Например, серия телефонных вызовов, сделанных анонимным потребителем по различным номерам, может дать информацию для раскрытия его идентификатора по сочетанию номеров.
FPR_UNL.1 Невозможность ассоциации
Замечания по применению для пользователя
Компонент FPR_UNL.1 обеспечивает, чтобы пользователи не могли связывать между собой различные операции в системе и таким образом получать информацию.
Операции
Назначение
В FPR_UNL.1.1 автору ПЗ/ЗБ следует специфицировать совокупность пользователей и/или субъектов, от которых ФБО необходимо предоставить защиту. Например, даже если автор ПЗ/ЗБ специфицирует единственную роль пользователя или субъекта, ФБО необходимо предоставить защиту не только от отдельного пользователя или субъекта, но и от совместно действующих пользователей и/или субъектов. Совокупность пользователей, например, может являться группой пользователей, выступающих в одной и той же роли или использующих один и тот же процесс.
В FPR_UNL.1.1 автору ПЗ/ЗБ следует идентифицировать список операций, на которые следует распространить требование невозможности ассоциации, например "отправка электронной почты".
Выбор
В FPR_UNL.1.1 автору ПЗ/ЗБ следует выбрать взаимосвязи, которые следует скрыть. Этот выбор позволяет специфицировать либо идентификатор пользователя, либо операцию назначения списка соотношений.
Назначение
В FPR_UNL.1.1 автору ПЗ/ЗБ следует идентифицировать список соотношений, которые следует защищать, например "посланные с одного и того же терминала".
К.4 Скрытность (FPR_UNO)
Семейство FPR_UNO обеспечивает, чтобы пользователь мог использовать ресурс или услугу без предоставления кому-либо, в особенности третьей стороне, возможности знать об использовании ресурса или услуги.
Замечания для пользователя
Подход к защите идентификатора пользователя в этом семействе отличает его от остальных семейств данного класса. Скрывается факт использования ресурса или услуги, а не идентификатор пользователя.
Для реализации скрытности могут быть применены различные методы. Примеры некоторых из них приведены ниже.
а) Размещение информации, повышающее скрытность. Информацию, которую необходимо скрыть (например, указывающую на выполнение операции), можно разместить в ОО различными способами. Место ее размещения в ОО можно выбирать случайно, так, чтобы нарушитель не знал, какую именно часть ОО следует атаковать. Данную информацию можно распределить таким образом, чтобы ни в одной части ОО ее не было достаточно для нарушения приватности пользователя. Этот способ рассматривается в компоненте FPR_UNO.2.
б) Массовое распространение информации (по локальной сети, по радио). Пользователи не могут определить, кому конкретно послана данная информация и кто в действительности станет ее использовать. Этот метод особенно полезен, когда информацию следует довести до того, кто опасается показывать свою заинтересованность в данной информации (например, чувствительной медицинской информации).
в) Криптографическая защита и дополнение сообщений незначащей информацией. Путем наблюдения за потоком сообщений можно извлечь информацию из самого факта передачи сообщения сообщения и его атрибутов. Защиту передаваемых сообщений и их атрибутов можно обеспечить посредством дополнения графика и самих сообщений незначащей информацией или шифрования.
Иногда пользователей не следует допускать к наблюдению за использованием ресурсов, а уполномоченным пользователям такое наблюдение необходимо для исполнения своих обязанностей. В таком случае может применяться компонент FPR_UNO.4, который предоставляет эту возможность одному или нескольким уполномоченным пользователям.
В этом семействе используется понятие "часть ОО". Под ней подразумевается какая-либо часть ОО, отделенная физически или логически от других частей ОО. В случае логического отделения может быть уместно применение семейства FPT_SEP.
Скрытность связей может быть важным фактором во многих областях, таких как осуществление конституционных прав, политика организации или приложения, связанные с оборонными вопросами.
FPR_UNO.1 Скрытность
Замечания по применению для пользователя
Компонент FPR_UNО.1 содержит требования недопустимости наблюдения неуполномоченными пользователями за использованием услуги или ресурса. Дополнительно к этому компоненту автору ПЗ/ЗБ может потребоваться "Анализ скрытых каналов".
Операции
Назначение
В FPR_UNО.1.1 автору ПЗ/ЗБ следует специфицировать совокупность пользователей и/или субъектов, от которых ФБО необходимо предоставить защиту. Например, даже если автор ПЗ/ЗБ специфицирует единственную роль пользователя или субъекта, ФБО необходимо предоставить защиту не только от отдельного пользователя или субъекта, но и от совместно действующих пользователей и/или субъектов. Совокупность пользователей, например, может являться группой пользователей, выступающих в одной и той же роли или использующих один и тот же процесс.
Для FPR_UNО.1.1 автору ПЗ/ЗБ следует идентифицировать список операций, на которые распространяется требование скрытности. Тогда другие пользователи/субъекты не смогут наблюдать за указанными в списке операциями над специфицированными ниже объектами (например, за чтением и записью на объекте).
Для FPR_UNО.1.1 автору ПЗ/ЗБ следует идентифицировать список объектов, на которые распространяется требование скрытности. Примером может быть конкретный сервер электронной почты или FTP-сайт.
Для FPR_UNО.1.1 автору ПЗ/ЗБ следует идентифицировать совокупность пользователей и/или субъектов, скрытность информации которых будет обеспечиваться.
Примером может быть: "пользователи, получившие доступ к системе через Интернет".
FPR_UNО.2 Распределение информации, влияющее на скрытность
Замечания по применению для пользователя
Компонент FPR_UNО.2 содержит требования недопустимости наблюдения определенными пользователями за использованием услуги или ресурса. Кроме этого, в нем определяется, какая информация, связанная с приватностыо пользователя, распределяется в ОО таким образом, чтобы нарушитель не мог установить, в какой именно части ОО она содержится, или был вынужден атаковать несколько частей ОО.
Примером использования этого компонента является случайный выбор узла для предоставления услуги. В этом случае в компоненте может быть установлено требование, что информация, связанная с приватностью пользователя, должна быть доступна только в одной идентифицированной части ОО, не распространяясь за ее пределы.
Более сложный пример связан с некоторыми "алгоритмами голосования". В предоставлении услуги принимают участие несколько частей ОО, но никакая отдельная часть не сможет нарушить принятую политику. Какое-либо лицо может принять (или не принять) участие в голосовании; при этом невозможно определить результат голосования и его участие в голосовании (если голосование было анонимным).
Дополнительно к этому компоненту автору ПЗ/ЗБ может потребоваться "Анализ скрытых каналов".
Операции
Назначение
В FPR_UNО.2.1 автору ПЗ/ЗБ следует специфицировать совокупность пользователей и/или субъектов, от которых ФБО необходимо предоставить защиту. Например, даже если автор ПЗ/ЗБ специфицирует единственную роль пользователя или субъекта, ФБО необходимо предоставить защиту не только от отдельного пользователя или субъекта, но и от совместно действующих пользователей и/или субъектов. Совокупность пользователей, например, может являться группой пользователей, выступающих в одной и той же роли или использующих один и тот же процесс.
Для FPR_UNО.2.1 автору ПЗ/ЗБ следует идентифицировать список операций, на которые распространяется требование скрытности. Тогда другие пользователи/субъекты не смогут наблюдать за указанными в списке операциями над специфицированными ниже объектами (например, за чтением и записью на объекте).
Для FPR_UNО.2.1 автору ПЗ/ЗБ следует идентифицировать список объектов, на которые распространяется требование скрытности. Примером может быть конкретный сервер электронной почты или FTP-сайт.
В FPR_UNО.2.1 автору ПЗ/ЗБ следует специфицировать совокупность пользователей и/или субъектов, скрытность информации которых будет обеспечиваться, например "пользователи, получившие доступ к системе через Интернет".
В FPR_UNО.2.2 автору ПЗ/ЗБ следует идентифицировать, распределение какой информации, связанной с приватностью, следует контролировать. Примером такой информации являются IP-адрес субъекта, IP-адрес объекта, время, используемые криптографические ключи.
Для FPR_UNО.2.2 автору ПЗ/ЗБ следует специфицировать, каким условиям следует соответствовать распределению указанной информации. Эти условия следует поддерживать все время существования приватной информации пользователя в каждом случае. Примерами таких условий могут быть: "информация должна быть представлена только в одной из разделенных частей ОО и не должна передаваться за ее пределы"; "информация должна пребывать только в одной из разделенных частей ОО, не должна передаваться в другие его части периодически"; "информация должна распределяться между различными частями ОО таким образом, чтобы нарушение защиты любых пяти отдельных частей ОО не приводило к нарушению политики безопасности в целом".
FPR_UNО.3 Скрытность без запроса информации
Замечания по применению для пользователя
Компонент FPR_UNО.3 применяется для требования, чтобы ФБО не стремились получить информацию, которая может нарушить скрытность при предоставлении определенных услуг. Поэтому ФБО не будут запрашивать (т.е. стремиться получить из других источников) информацию, которая может быть использована для нарушения скрытности.
Операции
Назначение
В FPR_UNО.3.1 автору ПЗ/ЗБ следует идентифицировать список услуг, на которые распространяется требование скрытности, например "доступ к описанию работ".
В FPR_UNО.3.1 автору ПЗ/ЗБ следует идентифицировать список субъектов, от которых при получении специфицированных услуг следует защищать информацию, связанную с приватностью.
В FPR_UNО.3.1 автору ПЗ/ЗБ следует специфицировать информацию, связанную с приватностью, которая будет защищена от специфицированных субъектов. Это может быть идентификатор субъекта, получающего услугу, или характеристики полученной услуги, например использованный ресурс памяти.
FPR_UNО.4 Открытость для уполномоченного пользователя
Замечания по применению для пользователя
Компонент FPR_UNО.4 применяется для предоставления права наблюдения за использованием ресурсов одному или нескольким уполномоченным пользователям. Без этого компонента возможность наблюдения допускается, но не является обязательной.
Операции
Назначение
В FPR_UNО.4.1 автору ПЗ/ЗБ следует специфицировать совокупность уполномоченных пользователей, которым ФБО необходимо предоставить возможность наблюдения за использованием ресурсов. Это может быть, например, группа уполномоченных пользователей, исполняющих одну и ту же роль или использующих один и тот же процесс.
В FPR_UNО.4.1 автору ПЗ/ЗБ следует специфицировать список ресурсов и/или услуг, возможность наблюдения за которыми необходима уполномоченному пользователю.