Приложение Е. Защита данных пользователя (FDP) (справочное). Государственный стандарт РФ ГОСТ Р ИСО/МЭК 15408-2-2002 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности" (принят постановлением Госстандарта РФ от 04.04.2002 N 133-ст) (отменен)

Приложение Е
(справочное)

Защита данных пользователя (FDP)

Класс FDP содержит семейства, определяющие требования к функциям безопасности ОО и политикам функций безопасности ОО, связанным с защитой данных пользователя. Этот класс отличается от FIA и FPT тем, что определяет компоненты для защиты данных пользователя, тогда как FIA определяет компоненты для защиты атрибутов, ассоциированных с пользователем, а FPT - для защиты информации ФБО.

Этот класс не содержит явного требования "мандатного управления доступом" (Mandatory Access Controls - MAC) или традиционного "дискреционного управления доступом" (Discretionary Access Controls - DAC); тем не менее такие требования могут быть выражены с использованием компонентов этого класса.

Класс FDP не касается явно конфиденциальности, целостности или доступности, чаще всего сочетающихся в политике и механизмах. Тем не менее в ПЗ/ЗБ политику безопасности ОО необходимо адекватно распространить на эти три цели.

Заключительным аспектом этого класса является то, что он специфицирует управление доступом в терминах "операций". "Операция" определяется как специфический тип доступа к конкретному объекту. В зависимости от уровня абстракции описания автором ПЗ/ЗБ этих операций, они могут определяться как "чтение" и/или "запись" или как более сложные операции, например "обновление базы данных".

Политики управления доступом определяют доступ к хранилищам информации. Атрибуты представлены атрибутами места хранения. Как только информация считана из хранилища, лицо, имеющее доступ к ней, может бесконтрольно использовать эту информацию, включая ее запись в различные хранилища с другими атрибутами. Напротив, политики управления информационными потоками контролируют доступ к информации, независимо от места ее хранения. Атрибуты информации, которые могут быть (или не быть, как в случае многоуровневых баз данных) ассоциированы с атрибутами места хранения, остаются с информацией при ее перемещении. Получатель доступа к информации не имеет возможности изменять ее атрибуты без явного разрешения.

Класс FDP не рассматривается как полная таксономия политик управления доступом ИТ, поскольку могут быть предложены иные. Сюда включены те политики, для которых спецификация требований основана на накопленном опыте применения существующих систем. Возможны и другие формы доступа, которые не учтены в имеющихся формулировках.

Так, можно представить себе задачу иметь способы управления информационным потоком, определяемые пользователем (например, реализующие автоматизированную обработку информации "Не для посторонних"). Подобные понятия могли бы быть учтены путем уточнения или расширения компонентов класса FDP.

Наконец, при рассмотрении компонентов класса FDP важно помнить, что эти компоненты содержат требования для функций, которые могут быть реализованы механизмами, которые служат или могли бы служить и для других целей. Например, возможно формирование политики управления доступом (FDP_ACC), которая использует метки (FDP_IFF.1) как основу для механизма управления доступом.

Политика безопасности ОО может содержать несколько политик функций безопасности (ПФБ), каждая из которых будет идентифицирована компонентами двух ориентированных на политики семейств FDP_ACC и FDP_IFC. Эти политики будут, как правило, учитывать аспекты конфиденциальности, целостности и доступности так, как это потребуется для удовлетворения требовании к ОО. Следует побеспокоиться, чтобы на каждый объект обязательно распространялась по меньшей мере одна ПФБ и чтобы при реализации различных ПФБ не возникали конфликты.

Декомпозиция класса FDP на составляющие его компоненты приведена на рисунках E.1 и Е.2.

Защита данных пользователя

    | /----------------------------------\   /---\  /---\

    |-|    FDP_ACC Политика управления   |---| 1 |--| 2 |

    | |              доступом            |   \---/  \---/

    | \----------------------------------/

    | /----------------------------------\   /---\

    |-|    FDP_ACF Функции управления    |---| 1 |

    | |              доступом            |   \---/

    | \----------------------------------/

    | /----------------------------------\   /---\  /---\

    |-|   FDP_DAU Аутентификация данных  |---| 1 |--| 2 |

    | |                                  |   \---/  \---/

    | \----------------------------------/

    |                                        /---\

    | /----------------------------------\ /-| 1 |

    |-| FDP_ETC Экспорт данных за пределы| | \---/

    | |             действия ФБО         |-| /---\

    | \----------------------------------/ \-| 2 |

    |                                        \---/

    | /----------------------------------\   /---\  /---\

    |-|   FDP_IFC Политика управления    |---| 1 |--| 2 |

    | |     информационными потоками     |   \---/  \---/

    | \----------------------------------/

    |                                        /---\  /---\

    |                                      /-| 1 |--| 2 |

    | /----------------------------------\ | \---/  \---/

    \-|   FDP_IFF Функции управления     | |        /---\ /---\ /---\

      |    информационными потоками      |-+--------| 3 |-| 4 |-| 5 |

      \----------------------------------/ | /---\  \---/ \---/ \---/

                                           \-| 6 |

                                             \---/

     Рисунок Е.1 - Декомпозиция класса "Защита данных пользователя"

Во время разработки ПЗ/ЗБ с использованием компонентов класса FDP при их просмотре и выборе необходимо руководствоваться следующим.

Требования класса FDP определены в терминах функций безопасности (ФБ), которые реализуют ПФБ. Поскольку ОО может одновременно следовать нескольким ПФБ, автору ПЗ/ЗБ необходимо дать каждой из ПФБ название, на которое можно ссылаться в других семействах. Это название будет затем использоваться в каждом компоненте, выбранном для определения части требований для соответствующей функции Это позволяет автору легко указать область действия, например охватываемые объекты и операции, уполномоченные пользователи и т.д.

Как правило, каждое отображение компонента может использоваться только для одной ПФБ. Поэтому, если ПФБ специфицирована в компоненте, то она будет применена во всех элементах этого компонента. Эти компоненты могут отображаться в ПЗ/ЗБ несколько раз, если желательно учесть несколько политик.

Ключом к выбору компонентов из этого семейства является наличие полностью определенной политики безопасности ОО, обеспечивающей правильный выбор компонентов из семейств FDP_ACC и FDP_IFC. В FDP_ACC и FDP_IFC присваивают имя соответственно каждой политике управления доступом или информационными потоками. Кроме того, эти компоненты определяют субъекты, объекты и операции, входящие в область действия соответствующей функции безопасности. Предполагается, что имена этих политик будут использоваться повсеместно в тех функциональных компонентах, которые имеют операцию запрашивающую назначение или выбор "ПФБ управления доступом" и/или "ПФБ управления информационными потоками". Правила, которые определяют функциональные возможности именованных ПФБ управления доступом или информационными потоками, будут установлены в семействах FDP_ACF и FDP_IFF соответственно.

Ниже приведена рекомендуемая последовательность применения этого класса при построении ПЗ/ЗБ, для чего необходимо идентифицировать следующее.

а) Осуществляемые политики, применив семейства FDP_ACC и FDP_IFC. Эти семейства определяют область действия каждой политики, уровень детализации управления и могут идентифицировать некоторые правила следования политике.

б) Требуемые компоненты, после чего выполнить все применяемые операции в компонентах, относящихся к политикам. Операции назначения могут выполняться как в обобщенном виде (например, "все файлы"), так и конкретно ("файлы "А", "В" и т.д.) в зависимости от уровня детализации.

Защита данных пользователя

    |                                        /---\

    | /----------------------------------\ /-| 1 |

    |-|    FDP_ITC Импорт данных из-за   | | \---/

    | |       пределов действия ФБО      |-| /---\

    | \----------------------------------/ \-| 2 |

    |                                        \---/

    |                                        /---\  /---\

    | /----------------------------------\ /-| 1 |--| 2 |

    |-|  FDP_ITT Передача в пределах ОО  | | \---/  \---/

    | |                                  |-| /---\  /---\

    | \----------------------------------/ \-| 3 |--| 4 |

    |                                        \---/  \---/

    | /----------------------------------\   /---\  /---\

    |-|     FDP_RIP Защита остаточной    |---| 1 |--| 2 |

    | |            информации            |   \---/  \---/

    | \----------------------------------/

    | /----------------------------------\   /---\  /---\

    |-|           FDP_ROL Откат          |---| 1 |--| 2 |

    | |                                  |   \---/  \---/

    | \----------------------------------/

    | /----------------------------------\   /---\  /---\

    |-|   FDP_SDI Целостность хранимых   |---| 1 |--| 2 |

    | |              данных              |   \---/  \---/

    | \----------------------------------/

    | /----------------------------------\   /---\

    |-|FDP_UCT Защита конфиденциальности |---| 1 |

    | | данных пользователя при передаче |   \---/

    | |           между ФБО              |

    | \----------------------------------/

    |                                        /---\

    | /----------------------------------\ /-| 1 |

    \-|FDP_UIT Защита целостности данных | | \---/

      |     пользователя при передаче    |-| /---\  /---\

      |           между ФБО              | \-| 2 |--| 3 |

      \----------------------------------/   \---/  \---/

     Рисунок Е.2 - Декомпозиция класса "Защита данных пользователя"

                              (продолжение)

в) Все применяемые компоненты, относящиеся к функциям, из семейств FDP_ACF и FDP_IFF, связанные с именованными политиками из семейств FDP_ACC и FDP_IFC. Выполнить операции, чтобы получить компоненты, определяющие правила этих политик. Следует отразить в компонентах требования к выбранным функциям, как полностью сформулированные, так и предполагаемые (которые будут завершены в ЗБ).

г) Тех, кому будет предоставлена возможность управления атрибутами функций безопасности и их изменения, например только администратору безопасности, только владельцу объекта и т.д., после чего выбрать соответствующие компоненты из класса FMT "Управление безопасностью" и выполнить в них операции. Здесь могут быть полезны уточнения для идентификации недостающих свойств, например некоторые или все изменения необходимо выполнять только с использованием доверенного маршрута.

д) Все подходящие компоненты класса FMT, необходимые для спецификации начальных значений новых объектов и субъектов.

е) Все компоненты семейства FDP_ROL, применяемые для отката к предшествующему состоянию.

ж) Все требования из семейства FDP_RIP, применяемые для защиты остаточной информации.

и) Все компоненты из семейств FDP_ITC и FDP_ETC, используемые при импорте или экспорте данных, указав, как следует обращаться при этом с атрибутами безопасности.

к) Все используемые компоненты, относящиеся к внутренним передачам ОО, из семейства FDP_ITT.

л) Требования защиты целостности хранимой информации из FDP_SDI.

м) Все применяемые компоненты, относящиеся к передаче данных между ФБО, из семейств FDP_UCT или FDP_UIT.

Е.1 Политика управления доступом (FDP_ACC)

В основу семейства FDP_ACC положена концепция произвольного управления взаимодействием субъектов и объектов. Область и цель управления определяются атрибутами получателя прав доступа (субъекта), атрибутами хранилища данных, к которому предоставляется доступ (объекта), действиями (операциями) и ассоциированными правилами управления доступом.

Замечания для пользователя

Компоненты этого семейства дают возможность идентификации (по имени) ПФБ управления доступом, в основе которых лежат традиционные механизмы дискреционного управления доступом (DAC). В семействе определяются субъекты, объекты и операции, которые входят в область действия идентифицированных политик управления доступом. Правила, определяющие функциональные возможности ПФБ управления доступом, будут установлены другими семействами, такими как FDP_ACF и FDP_RIP. Предполагается, что имена ПФБ, идентифицированные в семействе FDP_ACC, будут использоваться повсеместно в тех функциональных компонентах, которые имеют операцию, запрашивающую назначение или выбор "ПФБ управления доступом".

В область действия ПФБ управления доступом входит множество триад "субъект, объект, операции". Следовательно, на субъект могут распространяться несколько ПФБ, но только в различных сочетаниях с объектами и операциями. Разумеется, то же относится и к объектам, и к операциям.

Важнейшим аспектом функции управления доступом, осуществляющий ПФБ управления доступом, является предоставление пользователям возможности модифицировать атрибуты управления доступом. Семейство FDP_ACC для этого не предназначено. Часть относящихся к этой проблеме требований не определена, но их можно ввести как уточнение; часть содержится в других семействах и классах, например в классе FMT "Управление безопасностью".

В семействе FDP_ACC нет требований аудита, поскольку он специфицирует только требования ПФБ управления доступом. Требования аудита присутствуют в семействах, специфицирующих функции для удовлетворения ПФБ управления доступом, идентифицированных в этом семействе.

Это семейство предоставляет автору ПЗ/ЗБ возможность спецификации нескольких политик, например жесткую ПФБ управления доступом в одной области действия и гибкую в другой. Для спецификации нескольких политик управления доступом компоненты этого семейства могут использоваться в ПЗ/ЗБ несколько раз для различных подмножеств операций и объектов. Это применимо к ОО, в которых предусмотрено несколько политик для различных подмножеств операций и объектов. Другими словами, автору ПЗ/ЗБ следует специфицировать, применяя компонент АСС, необходимую информацию о каждой из ПФБ, которые будут осуществляться ФБО. Например, ПЗ/ЗБ для ОО, включающего в себя три ПФБ, каждая из которых действует для своей части объектов, субъектов и операций в пределах ОО, будет содержать по одному компоненту FDP_ACC.1 "Ограниченное управление доступом" для каждой из трех ПФБ.

FDP_ACC.1 Ограниченное управление доступом

Замечания по применению для пользователя

Термины "объект" и "субъект" применяют для обобщенного предоставления элементов ОО. Для каждой реализуемой политики необходимо четко идентифицировать сущности этой политики. В ПЗ объекты и операции можно представить с использованием типов, например именованные объекты, хранилища данных, доступ для чтения и т.п. Для конкретной системы необходимо уточнение обобщающих понятий "объект" и "субъект", например файлы, регистры, порты, присоединенные процедуры, запросы на открытие и т.п.

Компонент FDP_ACC.1 определяет, что политика распространяется на некоторое полностью определенное множество операций на каком-либо подмножестве объектов. Он не накладывает никаких ограничений на операции, не входящие в это множество, в том числе и операции на объектах, на которых иные операции управляются.

Операции

Назначение

В FDP_ACC.1.1 автору ПЗ/ЗБ следует специфицировать уникально именованную ПФБ управления доступом, осуществляемую ФБО.

В FDP_ACC.1.1 автору ПЗ/ЗБ следует специфицировать список субъектов, объектов и операций субъектов на объектах, на которые распространяется данная ПФБ.

FDP_ACC.2 Полное управление доступом

Замечания по применению для пользователя

Компонент FDP_ACC.2 содержит требование, чтобы ПФБ управления доступом распространялась на все возможные операции над объектами, включенными в ПФБ.

Автору ПЗ/ЗБ необходимо продемонстрировать, что на любую комбинацию объектов и субъектов распространяется какая-либо ПФБ управления доступом.

Операции

Назначение

В FDP_ACC.2.1 автору ПЗ/ЗБ следует специфицировать уникально именованную ПФБ управления доступом, осуществляемую ФБО.

В FDP_ACC.2.1 автору ПЗ/ЗБ следует специфицировать список субъектов и объектов, на которые распространяется данная ПФБ. ПФБ будет распространяться на все операции между этими субъектами и объектами.

Е.2 Функции управления доступом (FDP_ACF)

Семейство FDP_ACF описывает правила для конкретных функций, которые могут реализовать политики управления доступом, именованные в FDP_ACC. В FDP_ACC также определяется область действия этих политик.

Замечания для пользователя

Это семейство позволяет автору ПЗ/ЗБ описать правила управления доступом. В результате правила доступа к объектам системы не будут изменяться. Примером такого объекта является рубрика "Новости дня", которую читать могут все, а изменять - только уполномоченный администратор. Это семейство также позволяет автору ПЗ/ЗБ устанавливать исключения из общих правил управления доступом. Такие исключения будут явно разрешать или запрещать авторизацию доступа к объекту.

Спецификация других возможных типов функций управления, таких как двойное управление, правила последовательности операций или управление исключениями, явно не предусмотрена. Однако эти механизмы, как и механизм дискреционного управления доступом, можно представить с помощью имеющихся компонентов при внимательном отношении к формулированию правил управления доступом.

В этом семействе можно определить ряд ФБ управления доступом, имеющих в основе:

- списки контроля доступа (матрица доступа);

- спецификации управления доступом па основе времени;

- спецификации управления доступом на основе источника;

- атрибуты управления доступом, управляемые их владельцем.

FDP_ACF.1 Управление доступом, основанное на атрибутах безопасности

Замечания по применению для пользователя

Компонент FDP_ACF.1 предоставляет требования к механизму, посредничающему при управлении доступом, основанному на атрибутах безопасности субъектов и объектов. Каждый объект и субъект имеет совокупность ассоциированных с ним атрибутов, таких как расположение, время создания, права доступа (например, списки контроля доступа). Этот компонент позволяет автору ПЗ/ЗБ специфицировать атрибуты, которые будут использоваться для посредничества при управлении доступом, а также правила управления доступом на основе этих атрибутов.

Примеры атрибутов, которые может назначать автор ПЗ/ЗБ, представлены ниже.

Атрибут "идентификатор" может быть ассоциирован с пользователями, субъектами или объектами для использования при посредничестве. Примерами этого атрибута могут быть имя загрузочного модуля программы, используемой при создании субъекта, или атрибут безопасности, назначенный загрузочному модулю программы.

Атрибут "время" может использоваться для определения, что доступ будет предоставляться только в указанные время суток, дни недели или календарный год.

Атрибут "местоположение" мог бы определять место как формирования запроса на операцию, так и выполнения операции, либо то и другое. Применение таких атрибутов может основываться на внутренних таблицах для сопоставления логических интерфейсов ФБО с местами расположения терминалов, процессоров и т.д.

Атрибут "группирование" позволяет, в целях управления доступом, ассоциировать единую группу пользователей с некоторой операцией. При необходимости, для спецификации максимального числа групп пользователей, пользователей в группе и групп, в которые может одновременно входить пользователь, следует использовать операцию уточнения.

Компонент FDP_ACF.1 содержит также требования, дающие функциям управления доступом возможность явно предоставлять или запрещать доступ к объектам на основании атрибутов безопасности. Его можно использовать для предоставления полномочий, прав доступа или разрешения доступа в пределах ОО. Такие полномочия, права или разрешения можно применять к пользователям, субъектам (представляющим пользователей или приложения) и объектам.

Операции

Назначение

В FDP_ACF.1.1 автору ПЗ/ЗБ следует специфицировать имя ПФБ управления доступом, осуществляемой ФБО. Имя и область действия ПФБ управления доступом определяются в компонентах семейства FDP_ACC.

В FDP_ACF.1.1 автору ПЗ/ЗБ следует специфицировать атрибуты безопасности и/или именованные группы атрибутов безопасности, которые функция будет использовать при спецификации правил. Такими атрибутами безопасности могут быть, например, идентификатор пользователя, идентификатор субъекта, роль, время суток, местоположение, списки контроля доступа, а также любые другие атрибуты, специфицированные автором ПЗ/ЗБ. Для удобства ссылок на атрибуты безопасности неоднократного применения можно ввести именованные группы атрибутов безопасности. Именованные группы могут оказаться полезными при ассоциации "ролей", определенных в семействе FMT_SMR "Роли управления безопасностью", и соответствующих им атрибутов с субъектами. Другими словами, каждую роль можно связать с именованной группой атрибутов.

В FDP_ACF.1.2 автору ПЗ/ЗБ следует специфицировать для данной ПФБ правила управления доступом контролируемых субъектов к контролируемым объектам и к контролируемым операциям на контролируемых объектах. Эти правила определяют, когда доступ предоставляется, а когда в нем отказано. В них могут быть специфицированы функции управления доступом общего характера (использующие, например, обычные биты разрешения) или структурированные функции управления доступом (использующие, например, списки контроля доступа).

В FDP_ACF.1.3 автору ПЗ/ЗБ следует специфицировать основанные на атрибутах безопасности правила, которые будут использоваться для явного разрешения доступа субъектов к объектам и дополняют правила, установленные в FDP_ACF.1.1. Они вынесены в отдельный элемент FDP_ACF.1.3, поскольку описывают исключения из правил, установленных в FDP_ACF.1.1. Например, правила явного разрешения доступа могут быть основаны на векторе полномочий, ассоциированном с субъектом и всегда обеспечивающим ему доступ к объектам, на которые распространяется специфицируемая ПФБ управления доступом. Если подобная возможность нежелательна, то автору ПЗ/ЗБ следует указать "Нет" в данной операции.

В FDP_ACF.1.4 автору ПЗ/ЗБ следует специфицировать основанные на атрибутах безопасности правила, которые будут использоваться для явного отказа в доступе субъектов к объектам и дополняют правила, установленные в FDP_ACF.1.1. Они вынесены в отдельный элемент FDP_ACF.1.4, поскольку описывают исключения из правил, установленных в FDP_ACF.1.1. Например, правила явного отказа в доступе могут быть основаны на векторе полномочий, ассоциированном с субъектом и явно отказывающем ему в доступе к объектам, на которые распространяется специфицируемая ПФБ управления доступом. Если подобная возможность нежелательна, то автору ПЗ/ЗБ следует указать "Нет" в данной операции.

Е.3 Аутентификация данных (FDP_DAU)

Семейство FDP_DAU описывает специальные функции, используемые для аутентификации "статических" данных.

Замечания для пользователя

Компоненты этого семейства используют при наличии требования аутентификации "статических" данных, т.е., когда данные обозначаются, но не передаются. (Заметим, что при передаче данных для обеспечения неотказуемости отправления информации используют семейство FCO_NRO).

FDP_DAU.1 Базовая аутентификация данных

Замечания по применению для пользователя

Компонент FDP_DAU.1 может быть реализован с помощью односторонних хэш-функций (криптографической контрольной суммы, отображения отпечатков пальцев, хэш-образа сообщения) для генерации хэш-значения определяемого документа, которое может использоваться при верификации правильности или подлинности содержащейся в нем информации.

Операции

Назначение

В FDP_DAU.1.1 автору ПЗ/ЗБ следует специфицировать список объектов или типов информации, для которых ФБО должны быть в состоянии генерировать свидетельство аутентификации данных.

В FDP_DAU.1.2 автору ПЗ/ЗБ следует специфицировать список субъектов, которые будут в состоянии верифицировать свидетельства аутентификации данных для объектов, указанных в предыдущем элементе. Список может просто перечислить субъектов, если все они известны, или же описание субъектов в списке может носить более общий характер и ссылаться на "тип" субъекта, например на идентифицированную роль.

FDP_DAU.2 Аутентификация данных с идентификацией гаранта

Замечания по применению для пользователя

Компонент FDP_DAU.2 дополнительно содержит требование наличия возможности верифицировать идентификатор пользователя, предоставляющего гарантию аутентификации (например, доверенного третьего лица).

Операции

Назначение

В FDP_DAU.2.1 автору ПЗ/ЗБ следует специфицировать список объектов или типов информации, для которых ФБО должны быть в состоянии генерировать свидетельство аутентификации данных.

В FDP_DAU.2.2 автору ПЗ/ЗБ следует специфицировать список субъектов, которые будут в состоянии верифицировать свидетельства аутентификации данных для объектов, указанных в предыдущем элементе, а также идентификатор пользователя, который создал свидетельство аутентификации данных.

Е.4 Экспорт данных за пределы действия ФБО (FDP_ETC)

Семейство FDP_ETC определяет функции для экспорта данных пользователя из ОО таким образом, что их атрибуты безопасности могут или полностью сохраняться, или игнорироваться при экспорте этих данных. Согласованность этих атрибутов безопасности обеспечивается семейством FPT_TDC "Согласованность данных ФБО между ФБО".

В семействе FDP_ETC также рассматриваются ограничения на экспорт и ассоциация атрибутов безопасности с экспортируемыми данными пользователя.

Замечания для пользователя

FDP_ETC и соответствующее семейство для импорта данных FDP_ITC определяют, как ОО поступает с данными пользователей, передаваемыми из ОДФ и поступающими в нее. Фактически, семейство FDP_ETC обеспечивает экспорт данных пользователей и связанных с ними атрибутов безопасности.

В этом семействе могут рассматриваться следующие действия:

а) экспорт данных пользователей без каких-либо атрибутов безопасности;

б) экспорт данных пользователей с атрибутами безопасности, ассоциированными с этими данными, причем атрибуты безопасности однозначно представляют экспортируемые данные пользователя.

Если применяются несколько ПФБ управления доступом и/или информационными потоками, то может потребоваться повторить этот компонент отдельно для каждой политики (т.е. применить к нему операцию итерации).

FDP_ETC.1 Экспорт данных пользователя без атрибутов безопасности

Замечания по применению для пользователя

Компонент FDP_ETC.1 используется для спецификации экспорта информации без экспорта атрибутов безопасности.

Операции

Назначение

В FDP_ETC.1.1 автору ПЗ/ЗБ следует специфицировать, какие ПФБ управления доступом и/или информационными потоками будут осуществляться при экспорте данных пользователя. Данные пользователя, которые экспортируются этой функцией, ограничиваются назначением этих ПФБ.

FDP_ETC.2 Экспорт данных пользователя с атрибутами безопасности

Замечания по применению для пользователя

Данные пользователя экспортируются вместе со своими атрибутами безопасности. Эти атрибуты безопасности однозначно ассоцированы с данными пользователя. Ассоциация может устанавливаться различными способами. К способам установления ассоциации относятся совместное физическое размещение данных пользователя и артибутов безопасности (например, на одной дискете) или использование криптографических приемов, таких как цифровые подписи, для ассоциации этих атрибутов и данных пользователя. Для обеспечения получения правильных значении атрибутов другим доверенным продуктом ИТ можно использовать семейство FTP_ITC "Доверенный канал передачи между ФБО", в то время как семейство FPT_TDC "Согласованность данных ФБО между ФБО" может применяться для достижения уверенности в правильной интерпретации этих атрибутов. В свою очередь, семейство FTP_TRP "Доверенный маршрут" может применяться для достижения уверенности в инициации экспорта надлежащим пользователем.

Операции

Назначение

В FDP_ETC.2.1 автору ПЗ/ЗБ следует специфицировать, какие ПФБ управления доступом и/или информационными потоками будут осуществляться при экспорте данных пользователя. Данные пользователя, которые экспортируются этой функцией, ограничиваются назначением этих ПФБ.

В FDP_ETC.2.4 автору ПЗ/ЗБ следует специфицировать все дополнительные правила управления экспортом или указать "Нет" при их отсутствии. Эти правила будут реализованы ФБО в дополнение к ПФБ управления доступом и/или информационными потоками, выбранными в FDP_ETC.2.1.

Е.5 Политика управления информационными потоками (FDP_IFC)

В семействе FDP_IFC идентифицируются ПФБ управления информационными потоками и специфицируются области действия каждой такой политики.

Примерами политик безопасности, которые могут быть применены, являются:

- модель безопасности Белла и Ла Падулы (Bell and La Padula [B&L]);

- модель целостности Биба (Biba [Biba]);

- невмешательство (Non-Interference) [Gogu1, Gogu2].

Замечания для пользователя

Компоненты этого семейства дают возможность идентификации ПФБ управления информационными потоками, осуществляемых традиционными механизмами мандатного управления доступом при их наличии в ОО. Однако их возможности шире традиционных механизмов мандатного управления доступом. Они могут использоваться для определения политик невмешательства и политик, основанных на переходах между состояниями. В этом семействе для каждой из ПФБ управления информационными потоками ОО определяются субъекты, информация и операции перемещения информации к субъектам и от субъектов. Правила, определяющие функциональные возможности ПФБ управления информационными потоками, будут установлены другими семействами, такими как FDP_IFF и FDP_RIP. ПФБ управления информационными потоками, именованные здесь, в дальнейшем будут использоваться повсеместно в тех функциональных компонентах, которые включают в себя операцию, запрашивающую назначение или выбор "ПФБ управления информационными потоками".

Компоненты этого семейства достаточно гибки. Они позволяют специфицировать домен управления потоками, не требуя, чтобы механизм управления был основан на метках. Разные элементы компонентов управления информационными потоками также допускают различную степень исключений из осуществляемой политики.

Каждая ПФБ распространяется на некоторое множество триад: "субъект, информация, операции перемещения информации к субъектам и от субъектов". Некоторые политики управления информационными потоками могут иметь очень подробную детализацию и описывать субъекты непосредственно в терминах процессов операционной системы. Другие политики могут определяться с меньшими подробностями и описывать субъекты в терминах пользователей или каналов ввода/вывода. Если политика управления информационными потоками задана недостаточно подробно, то четкое определение требуемых функций безопасности ИТ может оказаться невыполнимым. В таком случае целесообразнее описывать политики управления информационными потоками как цели безопасности. Тогда требуемые функции безопасности ИТ можно специфицировать, исходя из этих целей.

Во втором компоненте (FDP_IFC.2 "Полное управление информационными потоками") каждая ПФБ управления информационными потоками будет охватывать все возможные операции перемещения информации к субъектам и от субъектов под управлением этой ПФБ. Более того, требуется, чтобы все информационные потоки были охвачены какой-либо ПФБ, поэтому для каждого действия, вызвавшего перемещение информации, будет существовать совокупность правил, определяющих, является ли данное действие допустимым. Если данный информационный поток подчинен нескольким ПФБ, то необходимо его разрешение всеми этими политиками до его начала.

Политика управления информационными потоками охватывает полностью определенное множество операций. Для некоторых информационных потоков этот охват может быть "полным", а для других потоков он может относиться только к некоторым из предусмотренных для них операций.

Политика управления доступом обеспечивает доступ к объектам, содержащим информацию. Политика управления информационными потоками обеспечивает доступ к информации, независимо от места ее хранения. Атрибуты информации, которые могут быть (или не быть, как для многоуровневых баз данных) ассоциированы с атрибутами места хранения, остаются с информацией при ее перемещении. Получатель доступа к информации не имеет возможности без явного разрешения изменять ее атрибуты.

Возможны различные уровни представления информационных потоков и операций. В ЗБ информационные потоки и операции можно специфицировать на уровне конкретной системы, например в терминах пакетов TCP/IP, проходящих через межсетевой экран по известным IP-адресам. В ПЗ информационные потоки и операции можно представить с использованием следующих типов: электронная почта, хранилища данных, доступ для чтения и т.д.

Компоненты семейства FDP_IFC могут неоднократно применяться в ПЗ/ЗБ к различным подмножествам операций и объектов (т.е. к ним может быть применена операция итерации). Это позволит адаптировать данное семейство к ОО, включающим в себя несколько политик, каждая из которых действует на собственное подмножество субъектов, информации и операций.

FDP_IFC.1 Ограниченное управление информационными потоками

Замечания по применению для пользователя

Компонент FDP_IFC.1 содержит требование, чтобы политика управления информационным потоком применялась к подмножеству возможных операций в ОО.

Операции

Назначение

В FDP_IFC.1.1 автору ПЗ/ЗБ следует специфицировать уникально именованную ПФБ управления информационными потоками, осуществляемую ФБО.

В FDP_IFC.1.1 автору ПЗ/ЗБ следует специфицировать список субъектов, информации и операций, вызывающих перемещение управляемой информации к управляемым субъектам и от них, на которые распространяется данная ПФБ. Как указано выше, этот список субъектов может быть задан с различной степенью детализации, определяемой потребностями автора ПЗ/ЗБ. Он может, например, специфицировать пользователей, устройства или процессы. Информация может относиться к таким данным, как электронная почта, сетевые протоколы, или же к более конкретным объектам, аналогичным объектам, специфицированным в политике управления доступом. Если информация содержится в объекте, который подчинен политике управления доступом, то политики управления доступом и информационными потоками необходимо применять совместно, прежде чем начнется перемещение специфицированной информации в объект или из него.

FDP_IFC.2 Полное управление информационными потоками

Замечания по применению для пользователя

Компонент FDP_IFC.2 содержит требование, чтобы ПФБ управления информационными потоками распространялась на все возможные операции, вызывающие информационные потоки к субъектам и от субъектов, включенных в ПФБ.

Автору ПЗ/ЗБ необходимо продемонстрировать, что на любую комбинацию информационных потоков и субъектов распространяется какая-либо ПФБ управления информационным потоком.

Операции

Назначение

В FDP_IFC.2.1 автору ПЗ/ЗБ следует специфицировать уникально именованную ПФБ управления информационными потоками, осуществляемую ФБО.

В FDP_IFC.2.1 автору ПЗ/ЗБ следует специфицировать список субъектов и информации, на которые будет распространяться данная ПФБ. ПФБ будет распространяться на все операции, вызывающие перемещение этой информации к этим субъектам и от них. Как указано выше, этот список субъектов может быть задан с различной степенью детализации, определяемой потребностями автора ПЗ/ЗБ. Он может, например, специфицировать пользователей, устройства или процессы. Информация может относиться к таким данным, как электронная почта, сетевые протоколы, или же к более конкретным объектам, аналогичным объектам, специфицированным в политике управления доступом. Если информация содержится в объекте, который подчинен политике управления доступом, то политики управления доступом и информационными потоками необходимо применять совместно, прежде чем начнется перемещение специфицированной информации в объект или из него.

Е.6 Функции управления информационными потоками (FDP_IFF)

Семейство FDP_IFF описывает правила для конкретных функций, которые могут реализовать ПФБ управления информационными потоками, именованные в FDP_IFC, где также определена область действия соответствующей политики. Семейство содержит два типа требований: один связан с обычными информационными потоками, а второй - с неразрешенными информационными потоками (скрытыми каналами), запрещенными одной или несколькими ПФБ. Это разделение возникает, потому что проблема неразрешенных информационных потоков в некотором смысле противоречит остальным аспектам ПФБ управления информационными потоками. Неразрешенные информационные потоки возникают в нарушение политики, поэтому они не являются результатом применения политики.

Замечания для пользователя

Для реализации надежной защиты от раскрытия или модификации в условиях недоверенного программного обеспечения требуется управлять информационными потоками. Одного управления доступом недостаточно, так как при нем контролируется только доступ к хранилищам, что позволяет информации, содержащейся в них, бесконтрольно распространяться в системе.

В этом семействе употребляется выражение "типы неразрешенных информационных потоков". Это выражение может применяться при ссылке на известные типы классификации потоков такие как "каналы памяти" или "каналы синхронизации временные каналы)", или же на иную классификацию, отражающую потребности автора ПЗ/ЗБ.

Гибкость этих компонентов позволяет специфицировать в FDP_IFF.1 и FDP_IFF.2 политику полномочий, дающую возможность контролируемого обхода ПФБ в целом или частично. Если необходимо заранее предопределить обход ПФБ, автору ПЗ/ЗБ следует предусмотреть применение политики полномочий.

FDP_IFF.1 Простые атрибуты безопасности

Замечания по применению для пользователя

Компонент FDP_IFF.1 содержит требования наличия атрибутов безопасности у информации и субъектов, являющихся отправителями или получателями этой информации. Следует также учитывать атрибуты безопасности мест хранения информации, если требуется их участие в управлении информационными потоками или если на эти атрибуты распространяется политика управления доступом. Этот компонент специфицирует ключевые осуществляемые правила и описывает, как вводятся атрибуты безопасности. Например, компонент следует применять, когда хотя бы одна из ПФБ управления информационными потоками основана на метках, как это определяет модель политики безопасности Белла и Ла Падулы [B&L], но эти атрибуты безопасности не образуют иерархию.

Этот компонент не определяет детали присвоения значений атрибутам безопасности (т.е. пользователем или процессом). Гибкость политики предоставляется операциями назначения, которые позволяют, при необходимости, специфицировать дополнительные требования к политике и функциям.

Компонент FDP_IFF.1 также предоставляет требования к функциям управления информационными потоками, чтобы они могли явно разрешать или запрещать информационный поток на основе атрибутов безопасности. Он может применяться для реализации политики полномочий, предусматривающей исключения из основной политики, определенной в этом компоненте.

Операции

Назначение

В FDP_IFF.1.1 автору ПЗ/ЗБ следует специфицировать ПФБ управления информационными потоками, осуществляемые ФБО. Имя и область действия ПФБ управления информационными потоками определяются в компонентах семейства FDP_IFC.

В FDP_IFF.1.1 автору ПЗ/ЗБ следует специфицировать минимальное число и тип атрибутов безопасности, которые будут использоваться при спецификации правил. Такими атрибутами безопасности могут быть, например, идентификатор субъекта, уровень чувствительности субъекта, уровень допуска субъекта к информации, уровень чувствительности информации и т.д. Следует, чтобы минимальное число атрибутов безопасности каждого типа было достаточным для поддержки потребностей среды.

В FDP_IFF.1.2 автору ПЗ/ЗБ следует специфицировать для каждой операции реализуемые ФБО и основанные на атрибутах безопасности отношения, которые необходимо поддерживать между атрибутами безопасности субъектов и информации.

В FDP_IFF.1.3 автору ПЗ/ЗБ следует специфицировать все дополнительные правила ПФБ управления информационными потоками, которые от ФБО требуется реализовать. Если дополнительные правила не используются, то автору ПЗ/ЗБ следует указать "Нет" при выполнении рассматриваемой операции.

В FDP_IFF.1.4 автору ПЗ/ЗБ следует специфицировать все дополнительные возможности ПФБ, которые от ФБО требуется предоставить. Если дополнительные возможности не предоставляются, то автору ПЗ/ЗБ следует указать "Нет" при выполнении рассматриваемой операции.

В FDP_IFF.1.5 автору ПЗ/ЗБ следует специфицировать основанные на атрибутах безопасности правила, явно разрешающие информационные потоки и дополняющие правила, определенные в предыдущих элементах. Они вынесены в отдельный элемент FDP_IFF.1.5, поскольку описывают исключения из правил в предыдущих элементах. Например, правила явного разрешения информационного потока могут быть основаны на векторе полномочий, ассоциированном с субъектом и всегда обеспечивающим ему возможность инициировать перемещение информации, на которую распространяется специфицированная ПФБ. Если подобная возможность нежелательна, то автору ПЗ/ЗБ следует указать "Нет" в данной операции.

В FDP_IFF.1.6 автору ПЗ/ЗБ следует специфицировать основанные на атрибутах безопасности правила, явно запрещающие информационные потоки и дополняющие правила, определенные в предыдущих элементах. Они вынесены в отдельный элемент FDP_IFF.1.6, поскольку описывают исключения из правил в предыдущих элементах. Например, правила явного запрещения информационного потока могут быть основаны на векторе полномочий, ассоциированном с субъектом и всегда отказывающим ему в возможности инициировать перемещение информации, на которую распространяется специфицированная ПФБ. Если подобная возможность нежелательна, то автору ПЗ/ЗБ следует указать "Нет" в данной операции.

FDP_IFF.2 Иерархические атрибуты безопасности

Замечания по применению для пользователя

Компонент FDP_IFF.2 содержит требование, чтобы все ПФБ управления информационными потоками в ПБО использовали иерархические атрибуты безопасности, которые образуют некоторую структуру.

Например, этот компонент следует применять, когда хотя бы одна из ПФБ управления информационными потоками основана на метках, как это определяет модель политики безопасности Белла и Ла Падулы [B&L], и эти атрибуты безопасности образуют иерархию.

Важно отметить, что требования иерархических отношений, идентифицируемые в FDP_IFF.2.7, применимы только к атрибутам безопасности управления информационными потоками для ПФБ управления информационными потоками, идентифицированным в FDP_IFF.2.1. Этот компонент не применим к другим ПФБ, например к ПФБ управления доступом.

Компонент FDP_IFF.2, как и предыдущий, может использоваться для реализации политики полномочий, содержащей правила, позволяющие явно разрешать или запрещать информационные потоки.

В случае, когда необходимо специфицировать несколько ПФБ управления информационными потоками, каждая из которых будет иметь собственные атрибуты безопасности, не связанные с атрибутами других политик, в ПЗ/ЗБ следует специфицировать этот компонент для каждой из ПФБ (т.е. выполнить для него операцию итерации). Если этого не сделать, то различные части FDP_IFF.2.7 могут противоречить друг другу, поскольку не будут связаны необходимыми соотношениями.

Операции

Назначение

В FDP_IFF.2.1 автору ПЗ/ЗБ следует специфицировать ПФБ управления информационными потоками, осуществляемые ФБО. Имя и область действия ПФБ управления информационными потоками определяются в компонентах семейства FDP_IFC.

В FDP_IFF.2.1 автору ПЗ/ЗБ следует специфицировать минимальное число и тип атрибутов безопасности, которые будут использоваться при спецификации правил. Такими атрибутами безопасности могут быть, например, идентификатор субъекта, уровень чувствительности субъекта, уровень допуска субъекта к информации, уровень чувствительности информации и т.д. Следует, чтобы минимальное число атрибутов безопасности каждого типа было достаточным для поддержки потребностей среды.

В FDP_IFF.2.1 автору ПЗ/ЗБ следует специфицировать для каждой операции реализуемые ФБО и основанные на атрибутах безопасности отношения, которые необходимо поддерживать между атрибутами безопасности субъектов и информации. Эти отношения следует основывать на упорядоченных связях между атрибутами безопасности.

В FDP_IFF.2.3 автору ПЗ/ЗБ следует специфицировать все дополнительные правила ПФБ управления информационными потоками, которые от ФБО требуется реализовать. Если дополнительные правила не используются, то автору ПЗ/ЗБ следует указать "Нет" при выполнении рассматриваемой операции.

В FDP_IFF.2.4 автору ПЗ/ЗБ следует специфицировать все дополнительные возможности ПФБ, которые от ФБО требуется предоставить. Если дополнительные возможности не предоставляются, то автору ПЗ/ЗБ следует указать "Нет" при выполнении рассматриваемой операции.

В FDP_IFF.2.5 автору ПЗ/ЗБ следует специфицировать основанные на атрибутах безопасности правила, явно разрешающие информационные потоки и дополняющие правила, определенные в предыдущих элементах. Они вынесены в отдельный элемент FDP_IFF.2.5, поскольку описывают исключения из правил в предыдущих элементах. Например, правила явного разрешения информационного потока могут быть основаны на векторе полномочий, ассоциированном с субъектом и всегда обеспечивающим ему возможность инициировать перемещение информации, на которую распространяется специфицированная ПФБ. Если подобная возможность нежелательна, то автору ПЗ/ЗБ следует указать "Нет" в данной операции.

В FDP_IFF.2.6 автору ПЗ/ЗБ следует специфицировать основанные на атрибутах безопасности правила, явно запрещающие информационные потоки и дополняющие правила, определенные в предыдущих элементах. Они вынесены в отдельный элемент FDP_IFF.2.6, поскольку описывают исключения из правил в предыдущих элементах. Например, правила явного запрещения информационного потока могут быть основаны на векторе полномочий, ассоциированном с субъектом и всегда отказывающим ему в возможности инициировать перемещение информации, на которую распространяется специфицированная ПФБ. Если подобная возможность нежелательна, то автору ПЗ/ЗБ следует указать "Нет" в данной операции.

FDP_IFF.3 Ограничение неразрешенных информационных потоков

Замечания по применению для пользователя

Компонент FDP_IFF.3 следует использовать, когда одна или несколько ПФБ содержат требования по управлению неразрешенными информационными потоками, но ни одна из них не включает в себя требования их устранения.

Для специфицированных неразрешенных информационных потоков следует установить максимально допустимые интенсивности. Кроме того, автор ПЗ/ЗБ имеет возможность определить, необходимо ли подвергать аудиту неразрешенные информационные потоки.

Операции

Назначение

В FDP_IFF.3.1 автору ПЗ/ЗБ следует специфицировать ПФБ управления информационными потоками, осуществляемые ФБО. Имя и область действия ПФБ управления информационными потоками определяются в компонентах семейства FDP_IFC.

В FDP_IFF.3.1 автору ПЗ/ЗБ следует специфицировать типы неразрешенных информационных потоков, максимальная интенсивность которых ограничивается.

В FDP_IFF.3.1 автору ПЗ/ЗБ следует специфицировать максимальную интенсивность, допустимую для каждого из идентифицированных неразрешенных информационных потоков.

FDP_IFF.4 Частичное устранение неразрешенных информационных потоков

Замечания по применению для пользователя

Компонент FDP_IFF.4 следует использовать, когда одна или несколько ПФБ содержат требования по управлению неразрешенными информационными потоками и при этом хотя бы одна из них включает в себя требования устранения хотя бы одного неразрешенного информационного потока.

Операции

Назначение

В FDP_IFF.4.1 автору ПЗ/ЗБ следует специфицировать ПФБ управления информационными потоками, осуществляемые ФБО. Имя и область действия ПФБ управления информационными потоками определяются в компонентах семейства FDP_IFC.

В FDP_IFF.4.1 автору ПЗ/ЗБ следует специфицировать типы неразрешенных информационных потоков, максимальная интенсивность которых ограничивается.

В FDP_IFF.4.1 автору ПЗ/ЗБ следует специфицировать максимальную интенсивность, допустимую для каждого из идентифицированных неразрешенных информационных потоков.

В FDP_IFF.4.2 автору ПЗ/ЗБ следует специфицировать типы неразрешенных информационных потоков, подлежащих устранению. Список не может быть пустым, поскольку данный компонент содержит требование устранения хотя бы части неразрешенных информационных потоков.

FDP_IFF.5 Отсутствие неразрешенных информационных потоков

Замечания по применению для пользователя

Компонент FDP_IFF.5 следует использовать, когда ПФБ, содержащие требования по управлению неразрешенными информационными потоками, включают в себя требование полного их устранения. Однако автору ПЗ/ЗБ следует внимательно изучить, какое влияние подобное устранение может оказать на нормальное функционирование ОО. Практика показывает возможность опосредованного влияния неразрешенных информационных потоков на работу ОО, поэтойу их полное устранение может привести к нежелательным последствиям.

Операции

Назначение

В FDP_IFF.5.1 автору ПЗ/ЗБ следует специфицировать ПФБ управления информационными потоками, для которой информационные потоки требуется устранить. Имя и область действия ПФБ управления информационными потоками определяются в компонентах семейства FDP_IFC.

FDP_IFF.6 Мониторинг неразрешенных информационных потоков

Замечания по применению для пользователя

Компонент FDP_IFF.6 следует использовать, когда от ФБО требуется проведение мониторинга неразрешенных информационных потоков, интенсивность которых превышает специфицированное пороговое значение. Если такой поток требуется подвергнуть аудиту, то этот компонент может служить источником событий аудита для компонентов семейства FAU_GEN "Генерация данных аудита безопасности".

Операции

Назначение

В FDP_IFF.6.1 автору ПЗ/ЗБ следует специфицировать ПФБ управления информационными потоками, осуществляемые ФБО. Имя и область действия ПФБ управления информационными потоками определяются в компонентах семейства FDP_IFC.

В FDP_IFF.6.1 автору ПЗ/ЗБ следует специфицировать типы неразрешенных информационных потоков, подлежащих мониторингу на превышение максимального значения интенсивности.

В FDP_IFF.6.1 автору ПЗ/ЗБ следует специфицировать максимальную интенсивность, превышение которой неразрешенным информационным потоком будет отслеживаться ФБО.

Е.7 Импорт данных из-за пределов действия ФБО (FDP_ITC)

Семейство FDP_ITC определяет механизмы для импорта данных пользователя в ОО из-за пределов ОДФ таким образом, чтобы атрибуты безопасности данных пользователя при этом сохранялись. Согласованность этих атрибутов безопасности определяется семейством FPT_TDC "Согласованность данных ФБО между ФБО".

В FDP_ITC также рассматриваются ограничения на импорт, спецификация атрибутов безопасности пользователем и ассоциация атрибутов безопасности и данных пользователя.

Замечания для пользователя

FDP_ITC и соответствующее семейство для экспорта данных FDP_ETC определяют, как ОО поступает с данными пользователей, поступающими в ОДФ и передаваемыми из нее. Оно связано с назначением и игнорированием атрибутов безопасности данных пользователя.

В семействе могут рассматриваться следующие действия:

а) импорт данных пользователя с бесформатного (по отношению к безопасности) носителя (такого, как гибкий диск, магнитная лента, сканер, видео- или аудиосигнал) без атрибутов безопасности и физическая маркировка носителя для указания на его содержание;

б) импорт данных пользователя, включая атрибуты безопасности, с носителя и верификация соответствия атрибутов безопасности объекта;

в) импорт данных пользователя, включая атрибуты безопасности, с носителя с использованием криптографических методов для защиты ассоциации данных пользователя с атрибутами безопасности.

Семейство FDP_ITC не имеет отношения к определению возможности импорта данных пользователя. Здесь рассматриваются лишь значения атрибутов безопасности для ассоциации с импортируемыми данными пользователя.

Есть две возможности при импорте данных пользователя: либо они однозначно ассоциируются с достоверными атрибутами безопасности объекта (значения и смысл атрибутов безопасности не меняются), либо никакие достоверные атрибуты безопасности (или вообще какие-либо атрибуты безопасности) не могут быть получены от источника данных. В этом семействе рассмотрены обе возможности.

Если имеются достоверные атрибуты безопасности, их можно ассоциировать с данными пользователя физически (атрибуты безопасности находятся на том же самом носителе) или логически (атрибуты безопасности передаются отдельно, но включают в себя уникальную идентификацию объекта, например криптографическую контрольную сумму).

Семейство связано с импортом данных пользователя и сопровождением их ассоциации с атрибутами безопасности в соответствии с требованиями ПФБ. С аспектами импорта, которые находятся вне области действия этого семейства (например, с непротиворечивостью, доверенными каналами, целостностью), связаны другие семейства. Более того, в семействе FDP_ITC рассматривается только интерфейс для выполнения импорта. Участие в передаче с другой стороны (как источника) рассматривается в семействе FDP_ETC.

Хорошо известны следующие требования импорта:

г) импорт данных пользователя без каких-либо атрибутов безопасности;

д) импорт данных пользователя, включая ассоциированные с ними атрибуты безопасности, причем атрибуты безопасности однозначно представляют импортируемую информацию.

Эти требования импорта могут быть реализованы ФБО при участии или без участия человека в соответствии с ограничениями ИТ и политикой безопасности организации. Например, если данные пользователя получены по "конфиденциальному" каналу, атрибуты безопасности объекта будут установлены как "конфиденциальные".

Если применяются несколько ПФБ управления доступом и/или информационными потоками, то может потребоваться повторить этот компонент отдельно для каждой политики (т.е. применить к нему операцию итерации).

FDP_ITC.1 Импорт данных пользователя без атрибутов безопасности

Замечания по применению для пользователя

Компонент FDP_ITC.1 используется для спецификации импорта данных пользователя, не имеющих достоверных (или вообще никаких) атрибутов безопасности. Эта функция требует, чтобы атрибуты безопасности данных пользователя инициировались ФБО. Правила импорта может специфицировать и автор ПЗ/ЗБ. В некоторых средах может потребоваться использование для передачи этих атрибутов механизма доверенного маршрута или канала.

Операции

Назначение

В FDP_ITC.1.1 автору ПЗ/ЗБ следует специфицировать, какие ПФБ управления доступом и/или информационными потоками будут осуществляться при импорте данных пользователя в ОДФ. Данные пользователя, которые импортируются этой функцией, ограничиваются назначением этих ПФБ.

В FDP_ITC.1.3 автору ПЗ/ЗБ следует специфицировать все дополнительные правила управления импортом или указать "Нет" при отсутствии таковых. Эти правила будут реализованы ФБО в дополнение к ПФБ управления доступом и/или информационными потоками, выбранным в FDP_ITC.1.1.

FDP_ITC.2 Импорт данных пользователя с атрибутами безопасности

Замечания по применению для пользователя

Компонент FDP_ITC.2 используется для спецификации импорта данных пользователя, имеющих достоверные атрибуты безопасности, ассоциированные с ними. Эта функция использует атрибуты безопасности, точно и однозначно связанные с объектами на носителе импортируемых данных. После завершения импорта такие объекты будут иметь те же атрибуты безопасности. При этом требуется привлечение семейства FPT_TDC для обеспечения непротиворечивости данных. Правила импорта может специфицировать и автор ПЗ/ЗБ.

Операции

Назначение

В FDP_ITC.2.1 автору ПЗ/ЗБ следует специфицировать, какие ПФБ управления доступом и/или информационными потоками будут осуществляться при импорте данных пользователя в ОДФ. Данные пользователя, которые импортируются этой функцией, ограничиваются назначением ПФБ.

В FDP_ITC.2.5 автору ПЗ/ЗБ следует специфицировать все дополнительные правила управления импортом или указать "Нет" при их отсутствии. Эти правила будут реализованы ФБО в дополнение к ПФБ управления доступом и/или информационными потоками, выбранным в FDP_ITC.2.1.

Е.8 Передача в пределах ОО (FDP_ITT)

Семейство FDP_ITT содержит требования, связанные с защитой данных пользователя при их передаче между различными частями ОО по внутреннему каналу. Этим оно отличается от семейств FDP_UCT и FDP_UIT, которые обеспечивают защиту данных пользователя при их передаче между различными ФБО по внешнему каналу, а также от семейств FDP_ETC и EDP_ITC, которые связаны с передачей данных за пределы или из-за пределов действия ФБО.

Замечания для пользователя

Требования этого семейства позволяют автору ПЗ/ЗБ специфицировать желательный способ защиты данных пользователя во время их передачи в пределах ОО. Это может быть защита от раскрытия, модификации или нарушения доступности.

Принятие решения о степени физического разделения, в условиях которого следует использовать это семейство, зависит от предполагаемой среды эксплуатации. В неблагоприятной среде могут возникать риски, связанные с передачей между частями ОО, разделенными всего лишь системной шиной. В более благоприятной среде для передачи можно использовать обычные сетевые средства.

Если применяются несколько ПФБ управления доступом и/или информационными потоками, то может потребоваться повторить этот компонент отдельно для каждой именованной политики (т.е. применить к нему операцию итерации).

FDP_ITT.1 Базовая защита внутренней передачи

Операции

Назначение

В FDP_ITT.1.1 автору ПЗ/ЗБ следует специфицировать ПФБ управления доступом и/или информационными потоками, распространяющиеся на передаваемую информацию.

Выбор

В FDP_ITT.1.1 автору ПЗ/ЗБ следует специфицировать типы ошибок передачи, от которых следует защищать, используя ФБО, данные пользователя при их передаче. Варианты: раскрытие, модификация, недоступность.

FDP_ITT.2 Разделение передачи по атрибутам

Замечания по применению для пользователя

Компонент FDP_ITT.2 может быть использован, например, для обеспечения различных видов защиты информации в соответствии с различными уровнями критичности.

Одним из способов разделения данных при передаче является использование разделенных логических или физических каналов.

Операции

Назначение

В FDP_ITT.2.1 автору ПЗ/ЗБ следует специфицировать ПФБ управления доступом и/или информационными потоками, распространяющиеся на передаваемую информацию.

Выбор

В FDP_ITT.2.1 автору ПЗ/ЗБ следует специфицировать типы ошибок передачи, от которых следует защищать, используя ФБО, данные пользователя при их передаче. Варианты: раскрытие, модификация, недоступность.

Назначение

В FDP_ITT.2.2 автору ПЗ/ЗБ следует специфицировать атрибуты безопасности, по значениям которых ФБО будут определять, когда данные, пересылаемые между физически разделенными частями ОО, требуют разделения. Например, данные пользователя, ассоциированные с идентификатором одного владельца, передаются отдельно от данных, ассоциированных с идентификаторами других владельцев. Тогда для определения необходимости разделения данных при передаче используется значение идентификатора их владельца.

FDP_ITT.3 Мониторинг целостности

Замечания по применению для пользователя

Компонент FDP_ITT.3 используется в сочетании с FDP_ITT.1 или FDP_ITT.2. Он обеспечивает, чтобы ФБО проверяли целостность полученных данных пользователя (и их атрибутов). Компоненты FDP_ITT.1 или FDP_ITT.2 предоставят данные способом, защищающим данные от модификации, a FDP_ITT.3 позволит обнаружить некоторые из модификаций.

Автор ПЗ/ЗБ должен специфицировать виды ошибок, подлежащих обнаружению. Автору ПЗ/ЗБ следует рассмотреть, помимо прочих нарушений целостности, следующие виды ошибок данных: модификация, подмена, невосстанавливаемое изменение последовательности, повторное использование, неполнота.

Автору ПЗ/ЗБ необходимо специфицировать, какие действия следует предпринять ФБО при обнаружении ошибки, например игнорировать данные пользователя, запросить данные повторно, сообщить уполномоченному администратору, направить трафик по другим каналам.

Операции

Назначение

В FDP_ITT.3.1 автору ПЗ/ЗБ следует специфицировать, какие ПФБ управления доступом и/или информационными потоками распространяются на передаваемую и проверяемую на ошибки целостности информацию.

В FDP_ITT.3.1 автору ПЗ/ЗБ следует специфицировать типы возможных ошибок целостности, отслеживаемых во время передачи данных пользователя.

В FDP_ITT.3.2 автору ПЗ/ЗБ следует специфицировать действия, предпринимаемые ФБО в случае обнаружения ошибки целостности. ФБО, например, могут запросить повторную передачу данных пользователя. ПФБ, специфицированные в FDP_ITT.3.1, будут осуществляться как действия, предпринимаемые ФБО.

FDP_ITT.4 Мониторинг целостности по атрибутам

Компонент FDP_ITT.4 используется в сочетании с FDP_ITT.2. Он обеспечивает, чтобы ФБО проверяли целостность полученных данных пользователя, переданных по разделенным каналам (в соответствии со значениями специфицированных атрибутов безопасности). Компонент позволяет автору ПЗ/ЗБ специфицировать действия, предпринимаемые в случае обнаружения ошибки целостности.

Компонент, например, может использоваться для обеспечения как обнаружения различных ошибок целостности, так и действий над информацией на различных уровнях целостности.

Автор ПЗ/ЗБ должен специфицировать виды ошибок, подлежащих обнаружению. Автору ПЗ/ЗБ следует рассмотреть, помимо прочих нарушений целостности, следующие виды ошибок данных: модификация, подмена, невосстанавливаемое изменение последовательности, повторное использование, неполнота.

Автору ПЗ/ЗБ следует специфицировать атрибуты (и ассоциированные с ними каналы передачи), требующие мониторинга ошибок целостности.

Автору ПЗ/ЗБ необходимо специфицировать, какие действия следует предпринять ФБО при обнаружении ошибки, например игнорировать данные пользователя, запросить данные повторно, сообщить уполномоченному администратору, направить трафик по другим каналам.

Операции

Назначение

В FDP_ITT.4.1 автору ПЗ/ЗБ следует специфицировать, какие ПФБ управления доступом и/или информационными потоками распространяются на передаваемую и проверяемую на ошибки целостности информацию.

В FDP_ITT.4.1 автору ПЗ/ЗБ следует специфицировать типы возможных ошибок целостности, отслеживаемых во время передачи данных пользователя.

В FDP_ITT.4.1 автору ПЗ/ЗБ следует специфицировать список атрибутов безопасности, требующих разделения каналов передачи. Этот список используется для определения того, какие данные пользователя будут отслеживаться на ошибки целостности на основе атрибутов безопасности данных и каналов передачи данных. Этот элемент прямо зависит от компонента FDP_ITT.2 "Разделение передачи по атрибутам".

В FDP_ITT.4.2 автору ПЗ/ЗБ следует специфицировать действия, предпринимаемые ФБО в случае обнаружения ошибки целостности. ФБО, например, могут запросить повторную передачу данных пользователя. ПФБ, специфицированные в FDP_ITT.4.1, будут осуществляться как действия, предпринимаемые ФБО.

Е.9 Защита остаточной информации (FDP_RIP)

Семейство FDP_RIP связано с необходимостью обеспечения последующей недоступности удаленной информации и отсутствия во вновь созданных объектах информации из объектов, ранее использовавшихся в ОО. Это семейство не применяется к объектам, хранимым автономно.

Замечания для пользователя

Это семейство содержит требования защиты информации, которая уже логически удалена или освобождена (недоступна для пользователя, но все еще находится в пределах системы и может быть восстановлена). В частности, это относится к информации, которая содержится в объекте как часть ресурсов ФБО многократного использования, когда уничтожение объекта необязательно эквивалентно уничтожению ресурса или какой-либо части ресурса.

Семейство применимо также при попеременном использовании различными субъектами ресурсов в системе. Например, в большинстве операционных систем для поддержки системных процессов обычно используются аппаратные регистры (в качестве ресурсов). Поскольку процессы постоянно переходят из активного состояния в состояние ожидания и обратно, эти регистры попеременно используются различными субъектами. Хотя подобные действия "подкачки" можно не считать занятием или освобождением ресурса, к таким событиям и ресурсам может быть применено семейство FDP_RIP.

Семейство FDP_RIP обычно связано с доступом к информации, не являющейся частью объекта, который определен в данный момент или к которому осуществляется доступ; однако это правило не всегда соблюдается. Пусть, например, объект А является файлом, а объект В - диском, на котором размещается этот файл. Когда объект А удален, доступ к его остаточной информации определяется семейством FDP_RIP, хотя она все еще остается частью объекта В.

Важно иметь в виду, что FDP_RIP применяется только к объектам типа on-line, а не off-line (т.е. не к автономным объектам, таким как резервные копии объектов на магнитных лентах). Например, если в ОО удаляется файл, в FDP_RIP может быть отображено требование отсутствия любой остаточной информации при освобождении ресурса; тем не менее ФБО не могут распространить осуществление этого требования на тот же самый файл, существующий в виде автономной резервной копии. Следовательно, этот файл по-прежнему доступен. Если важно обеспечить недоступность, то автору ПЗ/ЗБ следует удостовериться, что соответствующая цель безопасности для среды отражена в руководстве администратора применительно к автономным объектам.

Семейства FDP_RIP и FDP_ROL могут вступать в конфликт, когда в первом отображено требование уничтожения остаточной информации во время передачи объекта от приложения к функциям безопасности (т.е. при освобождении объекта). Поэтому результат выполнения операции выбора "недоступность при освобождении ресурса" в FDP_RIP нельзя совместить с использованием FDP_ROL из-за возможного отсутствия информации, необходимой для отката в предыдущее состояние. В этом случае в FDP_RIP следует выбрать "недоступность при распределении ресурса", что позволяет использовать FDP_ROL, хотя имеется риск, что ресурс, содержавший информацию, распределен новому объекту до выполнения отката. Если это произойдет, то откат будет невозможен.

В FDP_RIP нет требований аудита из-за того, что в нем не отражены функции, вызываемые пользователем. Аудит распределенных или освобожденных ресурсов будет возможен как часть операций ПФБ управления доступом или информационными потоками.

Это семейство следует применять к объектам, специфицированным в ПФБ управления доступом или информационными потоками автором ПЗ/ЗБ.

FDP_RIP.1 Ограниченная защита остаточной информации

Замечания по применению для пользователя

Компонент FDP_RIP.1 содержит требование, что ФБО будут обеспечивать для подмножества объектов ОО отсутствие в распределенном этим объектам или освобожденном ими ресурсе доступной остаточной информации.

Операции

Выбор

В FDP_RIP.1.1 автору ПЗ/ЗБ следует специфицировать, в каком именно случае, при распределении или освобождении ресурсов, вызывается функция защиты остаточной информации.

Назначение

В FDP_RIP.1.1 автору ПЗ/ЗБ следует привести список объектов, для которых выполняется защита остаточной информации.

FDP_RIP.2 Полная защита остаточной информации

Замечания по применению для пользователя

Компонент FDP_RIP.2 содержит требование, что ФБО будут обеспечивать для всех объектов ОО отсутствие в распределенном этим объектам или освобожденном ими ресурсе доступной остаточной информации.

Операции

Выбор

В FDP_RIP.2.1 автору ПЗ/ЗБ следует специфицировать, в каком именно случае, при распределении или освобождении ресурсов, вызывается функция защиты остаточной информации.

Е.10 Откат (FDP_ROL)

Семейство FDP_ROL связано с необходимостью возврата в полностью определенное допустимое состояние, например, когда пользователю требуется отменить модификацию файла или отменить транзакции при незаконченной серии транзакций применительно к базе данных.

Это семейство предназначено для содействия пользователю в возвращении в полностью определенное допустимое состояние после того, как он решил отменить некоторую совокупность последних действий или, для распределенной базы данных, вернуть все распределенные копии базы данных к состоянию перед выполнением отмененной операции.

Семейства FDP_RIP и FDP_ROL вступает в конфликт, когдва# FDP_RIP устанавливает, что содержание ресурса становится недоступным при освобождении ресурса объектом. Тогда FDP_RIP нельзя использовать совместно с FDP_ROL из-за отсутствия необходимой для отката информации. FDP_RIP можно использовать совместно с FDP_ROL, если FDP_RIP устанавливает, что при распределении ресурса объекту предыдущее содержание ресурса будет недоступно. Это возможно потому, что для успешного отката механизм FDP_ROL получит доступ к предыдущей информации, которая все еще может находиться в ОО.

На требование отката накладываются некоторые ограничения. Например, текстовый редактор обычно позволяет откат только на определенное число команд. Другой пример связан с резервными копиями. Если лента для резервного копирования перематывалась, а затем на нее производилась новая запись, то первоначальная информация не может более быть восстановлена. Это также ограничивает возможности отката.

FDP_ROL.1 Базовый откат

Замечания по применению для пользователя

Компонент FDP_ROL.1 позволяет пользователю или субъекту отменять некоторую совокупность операций над предопределенным множеством объектов. Отмена возможна только в некоторых пределах, например на некоторое число символов или в определенном интервале времени.

Операции

Назначение

В FDP_ROL.1.1 автору ПЗ/ЗБ следует специфицировать ПФБ управления доступом и/или информационными потоками, которые будут осуществляться при выполнении операций отката. Необходимо удостовериться, что откат не используется для обхода специфицированных ПФБ.

В FDP_ROL.1.1 автору ПЗ/ЗБ следует специфицировать список операций, допускающих откат.

В FDP_ROL.1.1 автору ПЗ/ЗБ следует специфицировать список объектов, к которым применима политика отката.

В FDP_ROL.1.2 автору ПЗ/ЗБ следует специфицировать ограничение, в рамках которого могут выполняться операции отката. Это может быть интервал времени; например могут быть отменены операции, выполненные в течение последних 2 мин. Другими возможными ограничениями могут быть максимальное количество отменяемых операций или размер буфера.

FDP_ROL.2 Расширенный откат

Замечания по применению для пользователя

Компонент FDP_ROL.2 содержит требование, чтобы ФБО предоставляли возможность отката всех операций, однако пользователь может выбрать для отката только часть из них.

Операции

Назначение

В FDP_ROL.2.1 автору ПЗ/ЗБ следует специфицировать ПФБ управления доступом и/или ПФБ управления информационными потоками, которые будут осуществляться при выполнении операций отката. Необходимо удостовериться, что откат не используется для обхода специфицированных ПФБ.

В FDP_ROL.2.1 автору ПЗ/ЗБ следует специфицировать список объектов, к которым применима политика отката.

В FDP_ROL.2.2 автору ПЗ/ЗБ следует специфицировать ограничение, в рамках которого могут выполняться операции отката. Это может быть интервал времени; например могут быть отменены операции, выполненные в течение последних 2 мин. Другими возможными ограничениями могут быть максимальное количество отменяемых операций или размер буфера.

Е.11 Целостность хранимых данных (FDP_SDI)

Семейство FDP_SDI содержит требования, связанные с защитой данных пользователя во время охранения в пределах ОДФ.

Замечания для пользователя

Аппаратные сбои и ошибки могут воздействовать на данные, хранимые в памяти. Семейство содержит требования по обнаружению таких непреднамеренных ошибок. В этом семействе также рассматривается целостность данных во время их хранения в запоминающих устройствах в пределах ОДФ.

Для предотвращения модификации данных субъектом требуется вместо этого семейства использовать семейства FDP_IFF или FDP_ACF.

FDP_SDI отличается от семейства FDP_ITT "Передача в пределах ОО", которое защищает данные пользователя от ошибок целостности во время их передачи в пределах ОО.

FDP_SDI.1 Мониторинг целостности хранимых данных

Замечания по применению для пользователя

Компонент FDP_SDI.1 контролирует появление ошибок целостности данных, хранимых на носителе. Автор П3/ЗБ может специфицировать различные типы атрибутов данных пользователя, на которых будет основан мониторинг.

Операции

Назначение

В FDP_SDI.1.1 автору ПЗ/ЗБ следует специфицировать ошибки целостности, которые будут выявлять ФБО.

В FDP_SDI.1.1 автору ПЗ/ЗБ следует специфицировать атрибуты данных пользователя, которые будут использоваться как основа для мониторинга.

FDP_SDI.2 Мониторинг целостности хранимых данных и предпринимаемые действия

Замечания по применению для пользователя

Компонент FDP_SDI.2 контролирует появление ошибок целостности данных, хранимых на носителе. Автор ПЗ/ЗБ может специфицировать, какие действия следует предпринять при обнаружении ошибок целостности.

Операции

Назначение

В FDP_SDI.2.1 автору ПЗ/ЗБ следует специфицировать ошибки целостности, которые будут выявлять ФБО.

В FDP_SDI.2.1 автору ПЗ/ЗБ следует специфицировать атрибуты данных пользователя, которые будут использоваться как основа для мониторинга.

В FDP_SDI.2.2 автору ПЗ/ЗБ следует специфицировать действия, предпринимаемые при обнаружении ошибки целостности.

Е.12 Защита конфиденциальности данных пользователя при передаче между ФБО (FDP_UCT)

Семейство FDP_UCT определяет требования по обеспечению конфиденциальности данных пользователя при их передаче по внешнему каналу между ОО и другим доверенным продуктом ИТ. Конфиденциальность осуществляется путем предотвращения несанкционированного раскрытия данных при их передаче между двумя оконечными точками. Оконечными точками могут быть ФБО или пользователь.

Замечания для пользователя

Это семейство предоставляет требование защиты данных пользователя при передаче. Семейство FPT_ITC, напротив, имеет дело с данными ФБО.

FDP_UCT.1 Базовая конфиденциальность обмена данными

Замечания по применению для пользователя:

ФБО имеют возможность защитить от раскрытия некоторые данные пользователя во время обмена.

Операции

Назначение

В FDP_UCT.1.1 автору ПЗ/ЗБ следует специфицировать ПФБ управления доступом и/или информационными потоками, которые будут осуществляться при обмене данными пользователя. Указанные политики будут осуществляться для принятия решений о том, кто и какими данными может обмениваться.

Выбор

В FDP_UCT.1.1 автору ПЗ/ЗБ следует определить, применяется этот элемент к механизму отправления или получения данных пользователя.

Е.13 Защита целостности данных пользователя при передаче между ФБО (FDP_UIT)

Семейство FDP_UIT определяет требования по обеспечению целостности данных пользователя при их передаче между ФБО и другим доверенным продуктом ИТ, а также для их восстановления при обнаруживаемых ошибках. Как минимум, это семейство контролирует целостность данных пользователя на предмет модификации. Кроме того, это семейство поддерживает различные способы исправления обнаруженных ошибок целостности.

Замечания для пользователя

Это семейство определяет требования по обеспечению целостности данных пользователя при передаче, тогда как семейство FPT_ITI имеет дело с данными ФБО.

Семейства FDP_UIT и FDP_UCT сходны между собой, поскольку FDP_UCT связано с конфиденциальностью данных пользователя. Поэтому тот же самый механизм, который реализует FDP_UIT, мог бы использоваться и для реализации других семейств, таких как FDP_UCT или FDP_ITC.

FDP_UIT.1 Целостность передаваемых данных

Замечания по применению для пользователя

ФБО имеют базовую способность отправлять и получать данные пользователя способом, позволяющим обнаружить модификацию. От ФБО не требуется попыток восстановления модифицированных данных.

Операции

Назначение

В FDP_UIT.1.1 автору ПЗ/ЗБ следует специфицировать ПФБ управления доступом и/или информационными потоками, которые будут осуществляться при обмене данными пользователя. Указанные политики будут осуществляться для принятия решений о том, кто может отправлять или получать данные и какие именно данные могут быть отправлены или получены.

Выбор

В FDP_UIT.1.1 автору ПЗ/ЗБ следует определить, применять ли этот элемент к ФБО при отправлении или получении объектов.

В FDP_UIT.1.1 автору ПЗ/ЗБ следует определить, защищать ли данные от модификации, удаления, вставки или повторения.

В FDP_UIT.1.1 автору ПЗ/ЗБ следует определить, обнаруживать ли ошибки типа модификации, удаления, вставки или повторения.

В FDP_UIT.1.2 автору ПЗ/ЗБ следует определить, обнаруживать ли ошибки типа модификации, удаления, вставки или повторения.

FDP_UIT.2 Восстановление переданных данных источником

Замечания по применению для пользователя

Компонент FDP_UIT.2 предоставляет возможность исправления совокупности идентифицированных ошибок передачи, если требуется - то с помощью другого доверенного продукта ИТ. Поскольку другой доверенный продукт ИТ находится за пределами ОДФ, ФБО не могут управлять режимом его функционирования. Тем не менее в целях восстановления возможно предоставление функций, обладающих способностью выполняться координировано с другим доверенным продуктом ИТ. ФБО, например, могут включать в себя функции, способные побудить доверенный продукт ИТ, являющийся источником, повторить передачу данных после обнаружения ошибки. Этот компонент связан с возможностью ФБО реализовать такое восстановление при ошибках.

Операции

Назначение

В FDP_UIT.2.1 автору ПЗ/ЗБ следует специфицировать ПФБ управления доступом и/или информационными потоками, которые будут осуществляться при обмене данными пользователя. Указанные политики будут осуществляться для принятия решений о том, какие данные и каким образом могут восстанавливаться

В FDP_UIT.2.1 автору ПЗ/ЗБ следует привести список ошибок целостности, после которых ФБО с помощью доверенного продукта ИТ, являющегося источником, в состоянии восстановить первоначальное содержание данных пользователя.

FDP_UIT.3 Восстановление переданных данных получателем

Замечания по применению для пользователя

Компонент FDP_UIT.3 предоставляет возможность исправления совокупности идентифицированных ошибок передачи. Исправление выполняется без помощи доверенного продукта ИТ, являющего источником. Например, если обнаружены определенные ошибки, то необходима достаточная устойчивость протокола передачи, чтобы дать возможность ФБО выполнить восстановление на основании контрольных сумм и другой предусмотренной протоколом информации.

Операции

Назначение

В FDP_UIT.3.1 автору ПЗ/ЗБ следует специфицировать ПФБ управления доступом и/или информационными потоками, которые будут осуществляться при обмене данными пользователя. Указанные политики будут осуществляться для принятия решений о том, какие данные и каким образом могут восстанавливаться.

В FDP_UIT.3.1 автору ПЗ/ЗБ следует привести список ошибок целостности, после которых ФБО, получающие данные, в состоянии самостоятельно восстановить первоначальное содержание данных пользователя.