Приложение J (обязательное). Защита ФБО (FPT). Национальный стандарт РФ ГОСТ Р ИСО/МЭК 15408-2-2008 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. "Функциональные требования безопасности" (утв. приказом Федерального агентства по техническому регулированию и метрологии от 18.12.2008 N 520-ст) (отменен)

Приложение J
(обязательное)

Защита ФБО (FPT)

Класс FPT содержит семейства функциональных требований, которые связаны с целостностью и управлением механизмами, реализованными в ФБО, не завися при этом от особенностей ПБО, а также с целостностью данных ФБО, не завися от специфического содержания данных ПБО. В некотором смысле, компоненты семейств этого класса дублируют компоненты из класса FDP "Защита данных пользователя" и могут даже использовать одни и те же механизмы. Однако класс FDP "Защита данных пользователя" нацелен на защиту данных пользователя, в то время как класс FPT "Защита ФБО" - на защиту данных ФБО. Фактически, компоненты из класса FPT "Защита ФБО" необходимы для реализации требований невозможности нарушения и обхода политик ФБ данного ОО.

В рамках данного класса выделяются три важные составные части ФБО:

1) абстрактная машина ФБО, то есть виртуальная или физическая машина, на которой выполняется оцениваемая реализация ФБО;

2) реализация ФБО, которая выполняется на абстрактной машине и реализует механизмы, осуществляющие ПБО;

3) данные ФБО, которые являются административными базами данных, управляющими осуществлением ПБО.

Все семейства в классе FPT "Защита ФБО" можно связать с этими тремя частями и сгруппировать следующим образом:

a) FPT_PHP "Физическая защита ФБО" предоставляет уполномоченному пользователю возможность обнаружения внешних атак на те части ОО, которые реализуют ФБО;

b) FPT_AMT "Тестирование базовой абстрактной машины" и FPT_TST "Самотестирование ФБО" предоставляют уполномоченному пользователю возможность верифицировать правильность операций базовой абстрактной машины и ФБО, а также целостность данных и выполняемого кода ФБО;

c) FPT_SEP "Разделение домена" и FPT_RVM "Посредничество при обращениях" защищают ФБО во время их выполнения и обеспечивают невозможность обхода ФБО. Если соответствующие компоненты этих семейств сочетаются с соответствующими компонентами семейства ADV_INT "Внутренняя структура ФБО", можно говорить о наличии в ОО традиционного "монитора обращений";

d) FPT_RCV "Надежное восстановление", FPT_FLS "Безопасность при сбое" и FPT_TRC "Согласованность данных ФБО при дублировании в пределах ОО" определяют режим выполнения ФБО при возникновении сбоя и непосредственно после него;

e) FPT_ITA "Доступность экспортируемых данных ФБО", FPT_ITC "Конфиденциальность экспортируемых данных ФБО" и FPT_ITI "Целостность экспортируемых данных ФБО" определяют защиту и доступность данных ФБО при их обмене между ФБО и удаленным доверенным продуктом ИТ;

f) FPT_ITT "Передача данных ФБО в пределах ОО" предназначено для защиты данных ФБО при их передаче между физически разделенными частями OO;

g) FPT_RPL "Обнаружение повторного использования" содержит требование защиты от повторного использования различных типов информации и/или операций;

h) FPT_SSP "Протокол синхронизации состояний" определяет синхронизацию состояний между различными частями распределенных ФБО на основе данных ФБО;

i) FPT_STM "Метки времени" предоставляет надежные метки времени;

j) FPT_TDC "Согласованность данных ФБО между ФБО" предназначено для согласования данных между ФБО и удаленным доверенным продуктом ИТ.

Декомпозиция класса FPT "Защита ФБО" на составляющие его компоненты показана на рисунке J.1.

J.1 Тестирование базовой абстрактной машины (FPT_AMT)

J.1.1 Замечания для пользователя

Семейство FPT_AMT определяет требования к выполнению тестирования функциями безопасности ОО предположений безопасности, сделанных относительно базовой абстрактной машины, на которую полагаются ФБО. Данная "абстрактная" машина может быть как платформой аппаратных/программно-аппаратных средств, так и некоторым известным и прошедшим оценку сочетанием аппаратных/программных средств, действующим как виртуальная машина. В качестве примеров такого тестирования можно указать проверку аппаратной защиты, посылку типовых пакетов по сети для проверки получения, верификацию режима функционирования виртуального машинного интерфейса и т.д. Эти тесты могут выполняться при некотором поддерживаемом состоянии, при запуске, по запросу или постоянно. Действия, предпринимаемые с использованием ОО по результатам тестирования, определены в FPT_RCV "Надежное восстановление".

Термин "базовая абстрактная машина" относится главным образом к аппаратным компонентам, на базе которых выполняются ФБО. Однако его можно отнести и к предварительно оцененной базовой комбинации аппаратных средств и программного обеспечения, ведущей себя как виртуальная машина, на которую полагаются ФБО.

Тесты абстрактной машины могут иметь различные формы:

a) тесты при включении, которые проверяют правильность работы платформы. Для аппаратных и программно-аппаратных средств они могут включать в себя тесты таких элементов, как платы памяти, маршруты передачи данных, шины, управляющие элементы, регистры процессора, порты сообщений, интерфейсы консолей, звуковоспроизводящие и периферийные устройства. Для программных элементов (виртуальной машины) они включат в себя верификацию корректности инициализации и режима функционирования;

b) загружаемые тесты, которые могут загружаться и выполняться уполномоченным пользователем или активизироваться при определенных условиях. Они могут включать в себя тесты нагрузки элементов процессора (логических элементов, вычислительных элементов и т.д.) и управляемой памяти.

J.1.2 Замечания для оценщика

Необходимо, чтобы тесты базовой абстрактной машины были достаточны для проверки всех характеристик базовой абстрактной машины, на которой выполняются ФБО.

J.1.3 FPT_AMT.1 Тестирование абстрактной машины

J.1.3.1 Замечания по применению для пользователя

Компонент FPT_AMT.1 поддерживает периодическое тестирование предположений безопасности базовой абстрактной машины, от которых зависит выполнение ФБО, требуя обеспечения возможности периодического запуска тестирования функций.

При желании автор ПЗ/ЗБ может уточнить требование, указав, в каком режиме следует проводить тестирование: автономно, при обычном функционировании системы или в режиме аварийной поддержки.

J.1.3.2 Замечания для оценщика

Допускается, чтобы функции периодического тестирования были доступны только в автономном режиме или режиме аварийной поддержки. Следует иметь средства управления для предоставления доступа в режиме аварийной поддержки только уполномоченным пользователям.

J.1.3.3 Операции

J.1.3.3.1 Выбор

В FPT_AMT.1.1 автору ПЗ/ЗБ следует специфицировать, когда ФБО будут выполнять тестирование абстрактной машины: при запуске, периодически во время нормального функционирования, по запросу уполномоченного пользователя, при других условиях. В последнем случае следует уточнить эти условия. С помощью этой операции выбора автор ПЗ/ЗБ имеет возможность указать также периодичность выполнения самотестирования. Более частое тестирование даст пользователю большую уверенность в правильном функционировании ОО. Однако необходимо выбрать правильное соотношение между предоставлением уверенности и потенциальным уменьшением доступности ОО, поскольку слишком частое тестирование может замедлить нормальное функционирование ОО.

J.1.3.3.2 Назначение

В FPT_AMT.1.1 автору ПЗ/ЗБ следует (если другие условия выбраны) специфицировать частоту, с которой будет проходить самотестирование.

J.2 Безопасность при сбое (FPT_FLS)

J.2.1 Замечания для пользователя

Требования семейства FPT_FLS обеспечивают, чтобы ОО не нарушал свою политику безопасности при сбоях ФБО идентифицированных типов.

J.2.2 FPT_FLS.1 Сбой с сохранением безопасного состояния

J.2.2.1 Замечания по применению для пользователя

Термин "безопасное состояние" относится к состоянию, при котором данные ФБО непротиворечивы и ФБО продолжают корректное осуществление ПБО. "Безопасное состояние" определяют в модели ПБО. Если разработчик предоставил четкое определение безопасного состояния и разъяснение, когда его следует считать таковым, зависимость FPT_FLS.1 "Сбой с сохранением безопасного состояния" от ADV_SPM.1 "Неформальная модель политики безопасности OO" можно не учитывать.

Хотя при сбоях с сохранением безопасного состояния желательно проведение аудита, это возможно не во всех ситуациях. Автору ПЗ/ЗБ следует специфицировать те ситуации, при которых проведение аудита желательно и выполнимо.

Сбои ФБО могут включать в себя аппаратные отказы, которые указывают на нарушение режима работы оборудования и требуют аварийной поддержки или восстановления ФБО. Сбои ФБО могут включать в себя также устранимые программные отказы, после которых требуется только инициализация или повторный запуск ФБО.

J.2.2.2 Операции

J.2.2.2.1 Назначение

В FPT_FLS.1.1 автору ПЗ/ЗБ следует привести список типов сбоев ФБО, при которых должен быть "безопасный сбой" ФБО, то есть ФБО сохранили безопасное состояние и продолжали корректно осуществлять ПБО.

J.3 Доступность экспортируемых данных ФБО (FPT_ITA)

J.3.1 Замечания для пользователя

Семейство FPT_ITA определяет правила предотвращения потери доступности данных ФБО, передаваемых между ФБО и удаленным доверенным продуктом ИТ. Это могут быть, например, критичные данные ФБО, такие как пароли, ключи, данные аудита или выполняемый код ФБО.

Это семейство используют в распределенных системах, если ФБО предоставляют свои данные удаленному доверенному продукту ИТ. ФБО могут предпринять меры безопасности лишь со своей стороны и не могут нести ответственность за ФБО другого доверенного продукта ИТ.

Если имеется несколько различных метрик доступности для разных типов данных ФБО, этот компонент следует повторить для каждой отдельной пары "метрика - тип данных ФБО".

J.3.2 FPT_ITA.1 Доступность экспортируемых данных ФБО в пределах заданной метрики

J.3.2.1 Операции

J.3.2.1.1 Назначение

В FPT_ITA.1.1 автору ПЗ/ЗБ следует специфицировать типы данных ФБО, на которые распространяется метрика доступности.

В FPT_ITA.1.1 автору ПЗ/ЗБ следует специфицировать метрику доступности для соответствующих данных ФБО.

В FPT_ITA.1.1 автору ПЗ/ЗБ следует специфицировать условия, при которых необходимо обеспечить доступность. Это может быть, например наличие связи между ОО и удаленным доверенным продуктом ИТ.

J.4 Конфиденциальность экспортируемых данных ФБО (FPT_ITC)

J.4.1 Замечания для пользователя

Семейство FPT_ITC определяет правила защиты данных ФБО от несанкционированного раскрытия при передаче между ФБО и удаленным доверенным продуктом ИТ. Это могут быть, например критичные данные ФБО, такие как пароли, ключи, данные аудита или выполняемый код ФБО.

Данное семейство используют в распределенных системах, если ФБО предоставляют свои данные удаленному доверенному продукту ИТ. ФБО могут предпринять меры безопасности лишь в своей области действия и не могут нести ответственность за ФБО другого доверенного продукта ИТ.

J.4.2 FPT_ITC.1 Конфиденциальность экспортируемых данных ФБО при передаче

J.4.2.1 Замечания для оценщика

Конфиденциальность данных ФБО во время передачи необходима для их защиты от раскрытия. Возможные способы обеспечения конфиденциальности включают в себя применение криптографии, а также других методов, выбор которых постоянно расширяется.

J.5 Целостность экспортируемых данных ФБО (FPT_ITI)

J.5.1 Замечания для пользователя

Семейство FPT_ITI определяет правила защиты данных ФБО от несанкционированной модификации при передаче между ФБО и удаленным доверенным продуктом ИТ. Это могут быть, например, критичные данные ФБО типа паролей, ключей, данных аудита или выполняемого кода ФБО.

Данное семейство используется в распределенных системах, если ФБО предоставляют свои данные удаленному доверенному продукту ИТ. Отметим, что требования, связанные с модификацией, обнаружением или восстановлением и относящиеся к удаленному доверенному продукту ИТ, невозможно специфицировать, поскольку заранее не известны механизмы, которые будут использованы в удаленном доверенном продукте ИТ. Поэтому эти требования выражены в терминах "предоставления ФБО возможности", которую может использовать удаленный доверенный продукт ИТ.

J.5.2 FPT_ITI.1 Обнаружение модификации экспортируемых данных ФБО

J.5.2.1 Замечания по применению для пользователя

Компонент FPT_ITI.1 следует использовать в ситуациях, когда достаточно обнаружить факт модификации данных. Примером является ситуация, когда у удаленного доверенного продукта ИТ имеется возможность запросить ФБО о повторении передачи данных при обнаружении их модификации или удовлетворить аналогичный запрос.

Желательная стойкость функции обнаружения модификации основана на определенной метрике модификации, которая зависит от используемого алгоритма и может находиться в диапазоне от простых контрольных сумм и проверки на четность, которые не обнаруживают простые комбинации изменений в нескольких разрядах, до более сложных криптографических контрольных сумм.

J.5.2.2 Операции

J.5.2.2.1 Назначение

В FPT_ITI.1.1 автору ПЗ/ЗБ следует специфицировать метрику модификации, удовлетворение которой необходимо для механизма обнаружения. Эта метрика должна определить желательную стойкость функции обнаружения модификации.

В FPT_ITI.1.2 автору ПЗ/ЗБ следует специфицировать действия, предпринимаемые при обнаружении модификации данных ФБО. Примером таких действий может служить: "игнорировать полученные данные ФБО и запросить у доверенного продукта, являющегося отправителем, повторную передачу данных ФБО".

J.5.3 FPT_ITI.2 Обнаружение и исправление модификации экспортируемых данных ФБО

J.5.3.1 Замечания по применению для пользователя

Компонент FPT_ITI.2 следует использовать в ситуациях, когда требуется обнаружить или исправить модификации критичных данных ФБО.

Желательная стойкость функции обнаружения модификации основана на определенной метрике модификаций, которая зависит от используемого алгоритма и может находиться в диапазоне от контрольных сумм и проверки на четность, которые могут не обнаружить простые комбинации изменений в нескольких разрядах, до более сложных криптографических контрольных сумм. Метрику, которую требуется определить, можно связать с отражением атак (например, будет пропускаться только одно из тысячи случайных сообщений) либо с приведенным в открытой литературе механизмом (например, необходимо, чтобы требуемая стойкость соответствовала стойкости алгоритма безопасного хэширования).

Подход к исправлению модификаций может быть основан на использовании некоторых видов контрольных сумм, позволяющих корректировать ошибки.

J.5.3.2 Замечания для оценщика

Возможные способы удовлетворения этих требований состоят в использовании криптографических функций или некоторых видов контрольных сумм.

J.5.3.3 Операции

J.5.3.3.1 Назначение

В FPT_ITI.2.1 автору ПЗ/ЗБ следует специфицировать метрику модификации, удовлетворение которой необходимо для механизма обнаружения. Эта метрика должна определить желательную стойкость функции обнаружения модификации.

В FPT_ITI.2.2 автору ПЗ/ЗБ следует специфицировать действия, предпринимаемые при обнаружении модификации данных ФБО. Примером таких действий может служить: "игнорировать полученные данные ФБО и запросить у доверенного продукта, являющегося отправителем, повторную передачу данных ФБО".

В FPT_ITI.2.3 автору ПЗ/ЗБ следует определить типы модификаций, после которых ФБО следует предоставить возможность восстановления.

J.6 Передача данных ФБО в пределах ОО (FPT_ITT)

J.6.1 Замечания для пользователя

Семейство FPT_ITT содержит требования защиты данных ФБО при их передаче между разделенными частями ОО по внутреннему каналу.

Принятие решения о степени физического или логического разделения, в условиях которого могло бы применяться это семейство, зависит от предполагаемой среды эксплуатации. В неблагоприятной среде могут возникать риски, связанные с передачей между частями ОО, разделенными всего лишь системной шиной. В более благоприятной среде для передачи можно использовать обычные сетевые средства.

J.6.2 Замечания для оценщика

Один из механизмов, практически применяемых для реализации функциями безопасности ОО этого вида защиты, основан на применении криптографических методов.

J.6.3 FPT_ITT.1 Базовая защита внутренней передачи данных ФБО

J.6.3.1 Операции

J.6.3.1.1 Выбор

В FPT_ITT.1.1 автору ПЗ/ЗБ следует специфицировать требуемый тип защиты от раскрытия или модификации.

J.6.4 FPT_ITT.2 Разделение данных ФБО при передаче

J.6.4.1 Замечания по применению для пользователя

Одним из путей выполнения разделения каналов, основанного на атрибутах, относящихся к ПФБ, является использование разделенных логических или физических каналов.

J.6.4.2 Операции

J.6.4.2.1 Выбор

В FPT_ITT.2.1 автору ПЗ/ЗБ следует специфицировать требуемый тип защиты: от раскрытия или от модификации.

J.6.5 FPT_ITT.3 Мониторинг целостности данных ФБО

J.6.5.1 Операции

J.6.5.1.1 Выбор

В FPT_ITT.3.1 автору ПЗ/ЗБ следует специфицировать, какой тип модификации должны быть способны обнаруживать ФБО, выбирая из следующих типов: модификация данных, подмена данных, перестановка данных, удаление данных или какие-либо иные ошибки целостности.

J.6.5.1.2 Назначение

В FPT_ITT.3.1 в случае выбора автором ПЗ/ЗБ последнего варианта из предыдущего абзаца ему следует также специфицировать, какие иные ошибки целостности ФБО следует обнаруживать.

В FPT_ITT.3.2 автору ПЗ/ЗБ следует специфицировать действия, предпринимаемые при обнаружении ошибки целостности.

J.7 Физическая защита ФБО (FPT_PHP)

J.7.1 Замечания для пользователя

Компоненты семейства FPT_PHP "Физическая защита ФБО" дают возможность ограничивать физический доступ к ФБО, а также удерживать от несанкционированной физической модификации или подмены реализации ФБО и противодействовать им.

Требования компонентов в этом семействе обеспечивают защиту ФБО от физического воздействия и вмешательства. Удовлетворение требований этих компонентов позволяет получить реализацию ФБО, компонуемую и используемую способом, предусматривающим обнаружение физического воздействия или противодействие ему. Без этих компонентов защита ФБО теряет свою эффективность в среде, где не может быть предотвращено физическое повреждение. Это семейство также содержит требования к реакции ФБО на попытки физического воздействия на их реализацию.

Примерами сценариев физического воздействия являются нападения с использованием механических средств, радиоактивного излучения, изменения температуры.

Допускается, чтобы функции обнаружения физических нападений были доступны уполномоченному пользователю только в автономном режиме или режиме аварийной поддержки. Следует предусмотреть средства ограничения доступа в этих режимах, предоставляя его только уполномоченным пользователям. Поскольку в этих режимах ФБО могут оказаться "невыполнимыми", это может помешать нормальному осуществлению доступа уполномоченных пользователей. Физически ОО может состоять из устройств различного типа, например, из экранирующего корпуса, плат и микросхем. Необходимо, чтобы эта совокупность "элементов" защищала ФБО от физического воздействия (а также оповещала о нем и противодействовала ему). Это не означает, что эти качества необходимы всем устройствам по отдельности, но следует, чтобы их имело физическое воплощение ОО в целом.

Хотя с компонентами данного семейства ассоциирован только минимальный аудит, это сделано исключительно потому, что потенциально механизмы обнаружения и оповещения могут быть реализованы полностью аппаратно, на уровне взаимодействий более низком, чем управление подсистемой аудита (например, это может быть система обнаружения на аппаратном уровне, реагирующая на разрыв цепи и подающая световой сигнал, если цепь разорвана в момент нажатия кнопки уполномоченным пользователем). Тем не менее, автор ПЗ/ЗБ может определить, что для некоторых угроз, исходящих от среды, требуется аудит физических нападений. В этом случае автору ПЗ/ЗБ следует включить в список событий аудита соответствующие требования. Необходимо иметь в виду, что наличие этих требований может повлиять на конструкцию аппаратуры и ее взаимодействие с программным обеспечением.

J.7.2 FPT_PHP.1 Пассивное обнаружение физического нападения

J.7.2.1 Замечания по применению для пользователя

Компонент FPT_PHP.1 "Пассивное обнаружение физической атаки" следует применять, если угрозам несанкционированного физического воздействия на части ОО не противопоставлены процедурные методы. В этом компоненте рассматривается угроза того, что физическое воздействие на ФБО может и не быть выявлено. Обычно задача верификации того, что нападение имело место, возлагается на уполномоченного пользователя. Как было изложено выше, этот компонент всего лишь представляет способность ФБО обнаруживать физическое воздействие, поэтому требуется зависимость от FMT_MOF.1 "Управление режимом выполнения функций безопасности", чтобы специфицировать, кто и каким образом может воспользоваться этой способностью. Если эта функция реализована с помощью механизма, не связанного с ИТ (например, путем физической проверки), то может быть указано, что зависимость от FMT_MOF.1 не удовлетворяется.

J.7.3 FPT_PHP.2 Оповещение о физическом нападении

J.7.3.1 Замечания по применению для пользователя

Компонент FPT_PHP.2 "Оповещение о физическом нападении" следует применять, если угрозам несанкционированного физического воздействия на части ОО не противопоставлены процедурные методы, и при этом требуется оповещение определенных лиц о физическом нападении. В этом компоненте рассматривается угроза, что физическое воздействие на элементы ФБО может быть хотя и выявлено, но не замечено (то есть о нем никто не оповещен).

J.7.3.2 Операции

J.7.3.2.1 Назначение

В FPT_PHP.2.3 автору ПЗ/ЗБ следует представить список устройств/элементов, реализующих ФБО, для которых требуется активное обнаружение физического воздействия.

В FPT_PHP.2.3 автору ПЗ/ЗБ следует указать пользователя или роль, уведомляемую об обнаружении физического воздействия. Тип пользователя или роли могут меняться на итерациях компонента управления безопасностью FMT_MOF.1 "Управление режимом выполнения функций безопасности", включенного в ПЗ/ЗБ.

J.7.4 FPT_PHP.3 Противодействие физическому нападению

J.7.4 1 Замечания по применению для пользователя

Для некоторых типов воздействия требуется, чтобы ФБО не только обнаруживали воздействие, но и фактически противодействовали ему или задерживали напавшего.

Компонент FPT_PHP.3 следует использовать, если устройства и элементы, реализующие ФБО, предназначены для эксплуатации в среде, где физическое воздействие (например, с целью наблюдения, анализа или модификации) на составляющие устройств, реализующих ФБО, или на элементы, реализующие ФБО, само по себе признано угрозой.

J.7.4.2 Операции

J.7.4.2.1 Назначение

В FPT_PHP.3.1 автору ПЗ/ЗБ следует специфицировать для списка устройств/элементов, реализующих ФБО, сценарии физического проникновения; ФБО следует противодействовать физическому проникновению, выполняемому по этим сценариям. Этот список может относиться к определенному подмножеству физических устройств и элементов, реализующих ФБО, выделенному на основе учета технологических ограничений и физической незащищенности прибора. Выделение такого подмножества следует четко определить и логически обосновать. Кроме того, ФБО следует реагировать на попытки физического проникновения автоматически. При автоматической реакции на физическое проникновение следует сохранять политику безопасности устройства, например, если проводится политика конфиденциальности, то прибор должен быть гарантированно отключен для того, чтобы защищаемая информация не могла быть считана.

В FPT_PHP.3.1 автору ПЗ/ЗБ следует специфицировать список устройств/элементов, реализующих ФБО, для которых ФБО следует противодействовать физическому проникновению согласно идентифицированным сценариям.

J.8 Надежное восстановление (FPT_RCV)

J.8.1 Замечания для пользователя

Требования семейства FPT_RCV "Надежное восстановление" обеспечивают, чтобы ФБО могли определить, не нарушена ли защита ФБО при запуске, и восстанавливаться без нарушения защиты после прерывания операций. Это семейство важно, потому что начальное состояние ФБО при запуске или восстановлении определяет защищенность ОО в последующем.

Компоненты данного семейства позволяют устанавливать безопасное состояние ФБО или предотвращать их переход в опасное состояние после сбоев, прерывания функционирования или перезапуска. В число возможных сбоев обычно включают:

a) сбои, которые всегда приводят к аварийным отказам системы (например устойчивая несогласованность критичных системных таблиц; неуправляемые переходы в коде ФБО, вызванные сбоями аппаратных или программно-аппаратных средств; сбои питания, процессора, связи);

b) сбои носителей, приводящие к тому, что часть носителя или весь носитель, представляющий объекты ФБО, становится недоступным или неисправным (например ошибки четности, неисправность головок дисков, устойчивый сбой чтения/записи, неточная юстировка головок дисков, износ магнитного покрытия, запыленность поверхности диска);

c) прерывание функционирования вследствие ошибочных действий администратора или отсутствия его своевременных действий (например неожиданное прекращение работы из-за неподготовленности к отключению питания, игнорирование перерасхода критичных ресурсов, неадекватная инсталлированная конфигурация).

Важно отметить, что восстановление может быть предусмотрено для сценария как частичного, так и полного отказа. Полный отказ может возникнуть в неразделенной операционной системе, в распределенной среде его вероятность меньше. В такой среде некоторые подсистемы могут отказать, в то время как другие части останутся работающими. Более того, критичные элементы могут иметь избыточность (дублирование дисков, альтернативные маршруты) и точки проверки. Под восстановлением имеется в виду восстановление безопасного состояния.

При выборе FPT_RCV "Надежное восстановление" необходимо принимать во внимание следующие взаимосвязи между FPT_RCV "Надежное восстановление" и FPT_TST "Самотестирование ФБО":

a) на необходимость надежного восстановления могут указывать результаты самостестирования ФБО, если результаты самотестирования указывают, что ФБО находятся в небезопасном состоянии и требуется возврат в безопасное состояние или переход в режим аварийной поддержки;

b) сбой, как было рассмотрено выше, может быть идентифицирован администратором. Либо администратор может выполнить действия для возврата ОО в безопасное состояние и затем прибегнуть к самотестированию ФБО, для того чтобы подтвердить, что безопасное состояние было достигнуто. Либо самотестирование ФБО может быть применено для завершения процесса восстановления;

c) сочетание взаимосвязей по перечислениям а) и b): если на необходимость надежного восстановления указывают результаты самотестирования ФБО, администратор выполняет действия по возврату ОО в безопасное состояние, а затем прибегает к самотестированию ФБО, чтобы подтвердить, что безопасное состояние было достигнуто;

d) самотестирование направлено на обнаружение сбоев/прерываний обслуживания, за которым следует либо автоматическое восстановление, либо переход в режим аварийной поддержки.

Семейство FPT_RCV идентифицирует режим аварийной поддержки. В этом режиме нормальное функционирование может оказаться невозможным или сильно ограниченным из-за возможности перехода в опасное состояние. В таких случаях обычно доступ разрешается только уполномоченным пользователям, а конкретно тем, кто может получить доступ в режиме аварийной поддержки, и определяется в классе FMT "Управление безопасностью". Если в классе FMT нет никаких указаний о том, кто имеет право доступа в этом режиме, теоретически допускается, что восстановить систему может любой пользователь. Однако на практике это нежелательно, поскольку пользователь, восстанавливающий систему, может установить конфигурацию ОО, нарушающую ПБО.

Механизмы, предназначенные для обнаружения исключительных состояний при эксплуатации, определяются в FPT_TST "Самотестирование ФБО", FPT_FLS "Безопасность при сбое" и других разделах, относящихся к проблеме "Сохранность программного обеспечения". Вероятно, использование одного из этих семейств потребуется при выборе FPT_RCV "Надежное восстановление". Это обеспечит возможность ОО определить необходимость в восстановлении.

В данном семействе применяется выражение "безопасное состояние". Оно относится к состоянию, при котором данные ФБО непротиворечивы и продолжают корректное осуществление ПБО. Это состояние может быть состоянием после загрузки системы или состоянием в некоторой контрольной точке. "Безопасное состояние" определяется в модели ПФБ. Если разработчик предоставил четкое определение безопасного состояния и разъяснение, когда его следует считать таковым, зависимость любого из компонентов из FPT_RCV "Надежное восстановление" от ADV_SPM.1 "Неформальная модель политики безопасности ОО" можно не учитывать.

После восстановления может потребоваться (через самостестирование ФБО) подтверждение того, что безопасное состояние достигнуто. Однако если восстановление выполняется так, чтобы только безопасное состояние могло быть достигнуто, иначе восстановление не происходит, тогда зависимость от компонента самотестирования ФБО (FPT_TST.1 "Тестирование ФБО") может быть признана ненужной.

J.8.2 FPT_RCV.1 Ручное восстановление

J.8.2.1 Замечания по применению для пользователя

В иерархии семейства FPT_RCV "Надежное восстановление" восстановление, которое требует только ручного вмешательства, наименее желательно, так как при этом исключается восстановление системы без участия человека.

Компонент FPT_RCV.1 предназначен для применения в ОО, которые не требуют автоматического восстановления безопасного состояния. Требования этого компонента направлены против угрозы нарушения защиты в результате приведения ОО с участием человека в опасное состояние при восстановлении после сбоя или другого прерывания.

J.8.2.2 Замечания по применению для оценщика

Допускается, чтобы функции уполномоченного администратора по надежному восстановлению были доступны ему только в режиме аварийной поддержки. Следует предусмотреть средства ограничения доступа в режиме аварийной поддержки, предоставляя его только уполномоченным пользователям.

J.8.2.3 Операции

J.8.2.3.1 Назначение

В FPT_RCV.1.1 автору ПЗ/ЗБ следует специфицировать список сбоев или прерываний обслуживания (сбой электропитания, исчерпание объема памяти для хранения данных аудита, любой сбой или прерывание), после которых ОО перейдет в режим аварийной поддержки.

J.8.3 FPT_RCV.2 Автоматическое восстановление

J.8.3.1 Замечания по применению для пользователя

Автоматическое восстановление считается более предпочтительным, чем ручное, так как позволяет машине продолжать функционирование без участия человека.

Компонент FPT_RCV.2 "Автоматическое восстановление" расширяет FPT_RCV.1 "Ручное восстановление", требуя возможность автоматического восстановления хотя бы после одного типа сбоя/прерывания обслуживания. Требования этого компонента направлены против угрозы нарушения защиты в результате приведения ОО без участия человека в опасное состояние при восстановлении после сбоя или другого прерывания.

J.8.3.2 Замечания по применению для оценщика

Допускается, чтобы функции уполномоченного администратора по надежному восстановлению были доступны ему только в режиме аварийной поддержки. Следует предусмотреть средства ограничения доступа в режиме аварийной поддержки, предоставляя его только уполномоченным пользователям.

В соответствии с FPT_RCV.2.1 разработчик ФБО отвечает за определение совокупности сбоев и прерываний обслуживания, после которых возможно восстановление.

Предполагается, что робастность механизмов автоматического восстановления будет верифицирована.

J.8.3.3 Операции

J.8.3.3.1 Назначение

В FPT_RCV.2.1 автору ПЗ/ЗБ следует специфицировать список сбоев или прерываний обслуживания (сбой электропитания, исчерпание объема памяти для хранения данных аудита), после которых ОО перейдет в режим аварийной поддержки.

В FPT_RCV.2.2 автору ПЗ/ЗБ следует специфицировать список сбоев или других прерываний обслуживания, для которых автоматическое восстановление должно быть возможно.

J.8.4 FPT_RCV.3 Автоматическое восстановление без недопустимой потери

J.8.4.1 Замечания по применению для пользователя

Автоматическое восстановление считается более предпочтительным, чем ручное, но оно связано с риском потери большого числа объектов. Предотвращение недопустимых потерь объектов обеспечивается дополнительными средствами восстановления.

Компонент FPT_RCV.3 "Автоматическое восстановление без недопустимой потери" расширяет FPT_RCV.2 "Автоматическое восстановление", требуя, чтобы не было чрезмерных потерь данных или объектов ФБО в ОДФ. В соответствии с FPT_RCV.2 "Автоматическое восстановление" механизм автоматического восстановления мог бы в крайнем случае произвести восстановление путем уничтожения всех объектов и возвращения ФБО в известное безопасное состояние. Такой тип автоматического восстановления в FPT_RCV.3 "Автоматическое восстановление без недопустимой потери" запрещается.

Требования этого компонента направлены против угрозы нарушения защиты в результате непредусмотренного перехода ОО в опасное состояние при восстановлении после сбоя или перерывов в функционировании с большой потерей данных или объектов ФБО в ОДФ.

J.8.4.2 Замечания для оценщика

Допускается, чтобы функции уполномоченного администратора по надежному восстановлению были доступны ему только в режиме аварийной поддержки. Следует предусмотреть средства ограничения доступа в режиме аварийной поддержки, предоставляя его только уполномоченным пользователям.

Предполагается, что робастность механизмов автоматического восстановления будет верифицирована оценщиком.

J.8.4.3 Операции

J.8.4.3.1 Назначение

В FPT_RCV.3.1 автору ПЗ/ЗБ следует специфицировать список сбоев или прерываний обслуживания (сбой электропитания, исчерпание объема памяти для хранения данных аудита), после которых ОО перейдет в режим аварийной поддержки.

В FPT_RCV.3.2 автору ПЗ/ЗБ следует специфицировать список сбоев или других прерываний обслуживания, для которых необходима возможность автоматического восстановления.

В FPT_RCV.3.3 автору ПЗ/ЗБ следует предоставить количественную меру приемлемых потерь данных или объектов ФБО.

J.8.5 FPT_RCV.4 Восстановление функции

J.8.5.1 Замечания по применению для пользователя

Компонент FPT_RCV.4 содержит требование, чтобы в случае сбоя ФБО некоторые функции из числа ФБО нормально заканчивали работу либо возвращались к безопасному состоянию.

J.8.5.2 Операции

J.8.5.2.1 Назначение

В FPT_RCV.4.1 автору ПЗ/ЗБ следует специфицировать список функций безопасности и сценариев сбоев, для которых нормально заканчивается работа ФБ, указанных в списке, или восстанавливается их устойчивое и безопасное состояние.

J.9 Обнаружение повторного использования (FPT_RPL)

J.9.1 Замечания для пользователя

Семейство FPT_RPL связано с обнаружением повторного использования различных типов сущностей (например, сообщений, запросов на обслуживание, ответов на запросы обслуживания) и последующими действиями по его устранению.

J.9.2 FPT_RPL.1 Обнаружение повторного использования

J.9.2.1 Замечания по применению для пользователя

Рассматриваемыми здесь сущностями могут быть, например сообщения, запросы на обслуживание, ответы на запросы обслуживания или сеансы пользователей.

J.9.2.2 Операции

J.9.2.2.1 Назначение

В FPT_RPL.1.1 автору ПЗ/ЗБ следует представить список идентифицированных сущностей, для которых следует предусмотреть возможность обнаружения повторного использования. Их примерами могут быть: сообщения, запросы на обслуживание, ответы на запросы обслуживания, сеансы пользователей.

В FPT_RPL.1.2 автору ПЗ/ЗБ следует специфицировать список действий, предпринимаемых ФБО при обнаружении повторного использования. Совокупность предпринимаемых действий может включать в себя игнорирование повторно используемой сущности, запрос подтверждения сущности из идентифицированного источника и отключение субъекта, пытавшегося инициировать повторное использование.

J.10 Посредничество при обращениях (FPT_RVM)

J.10.1 Замечания для пользователя

Требования семейства FPT_RVM связаны с аспектом "постоянная готовность" традиционного монитора обращений. Цель этого семейства состоит в обеспечении для заданной ПФБ того, чтобы в ОДФ все действия, требующие осуществления политики и инициируемые субъектами, недоверенными относительно одной или всех ПФБ, над объектами, управляемыми этой ПФБ, проверялись ФБО на соответствие ПФБ. Если помимо этого часть ФБО, осуществляющая ПФБ, выполняет требования соответствующих компонентов из семейств FPT_SEP "Разделение домена" и ADV_INT "Внутренняя структура ФБО", то эта часть ФБО обеспечивает "монитор обращений" для этой ПФБ.

Монитор обращений является частью ФБО, ответственной за осуществление ПБО, и обладает следующими тремя свойствами:

1) недоверенные субъекты не могут вмешиваться в работу монитора, то есть он устойчив к проникновению. Это свойство обеспечивается требованиями компонентов семейства FPT_SEP "Разделение домена";

2) недоверенные субъекты не могут обойти проверки монитора, то есть он постоянно готов к работе. Это свойство обеспечивается требованиями компонентов семейства FPT_RVM "Посредничество при обращениях";

3) монитор достаточно прост, его устройство поддается анализу, его действия понятны (то есть его построение концептуально несложно). Это свойство обеспечивается требованиями компонентов семейства ADV_INT "Внутренняя структура ФБО".

Единственный компонент семейства FPT_RVM содержит следующее требование: "ФБО должны обеспечить, чтобы функции, осуществляющие ПБО, вызывались и успешно выполнялись прежде, чем разрешается выполнение любой другой функции в пределах ОДФ". В любой системе (распределенной или нет) имеется конечное число функций, ответственных за осуществление ПБО. В этом требовании не утверждается, что для управления безопасностью применяется одна функция. Наоборот, утверждается, что роль механизма проверки правомочности обращений выполняют несколько функций, и именно их совокупность, осуществляющая ПБО, объединена под именем монитора обращений. При этом необходимо принимать во внимание задачу сохранения простоты "монитора обращений".

ФБО при реализации ПФБ предоставляют эффективную защиту от несанкционированных операций тогда и только тогда, когда правомочность всех потенциально осуществляемых действий (например, доступа к объектам), запрошенных субъектами, недоверенными относительно всех или именно этой ПФБ, проверяется ФБО до выполнения действий. Если действия по проверке будут выполнены неправильно или проигнорированы (обойдены), то осуществление ПФБ в целом может быть поставлено под угрозу (ее можно обойти). Тогда "недоверенные" субъекты смогут обходить ПФБ различными способами (такими, как обход проверки доступа для некоторых субъектов и объектов, обход проверки для объектов, защита которых управляется прикладными программами, сохранение права доступа после истечения установленного срока действия, обход аудита событий, подлежащих аудиту, обход аутентификации). Важно отметить, что термин "недоверенный субъект" относится к субъектам, недоверенным относительно какой-либо или всех осуществляемых ПФБ; субъект может быть доверенным относительно одной ПФБ и недоверенным относительно другой.

J.10.2 FPT_RVM.1 Невозможность обхода ПБО

J.10.2.1 Замечания по применению для пользователя

Для получения эквивалента монитора обращений необходимо применить данный компонент совместно с FPT_SEP.2 "Отделение домена ПФБ" либо с FPT_SEP.3 "Полный монитор обращений", а также с ADV_INT.3 "Минимизация сложности". Кроме того, если требуется полное посредничество при обращениях, требования компонентов из класса FDP "Защита данных пользователя" необходимо распространить на все объекты в составе ОО.

J.12 Протокол синхронизации состояний (FPT_SSP)

J.12.1 Замечания для пользователя

Распределенные системы могут иметь большую сложность, чем нераспределенные, из-за многообразия состояний частей системы, а также из-за задержек связи. В большинстве случаев синхронизация состояния между распределенными функциями включает в себя, вместо обычных действий, применение протокола обмена. Если в среде распределенных систем существуют угрозы безопасности, потребуются более сложные защищенные протоколы.

Семейство FPT_SSP "Протокол синхронизации состояний" устанавливает требование использования надежных протоколов некоторыми критичными по безопасности функциями из числа ФБО. Оно обеспечивает, чтобы две распределенные части ОО (например главные ЭВМ) синхронизировали свои состояния после действий, связанных с безопасностью.

Некоторые состояния невозможно синхронизировать, или затраты на транзакцию будут слишком велики для практического применения; отмена ключа шифрования является примером, когда после выполнения действия состояние может стать неопределенным. Другой пример: действие предпринято, а подтверждение не может быть отправлено либо сообщение проигнорировано получателем и поэтому отмены не произойдет. Неопределенность присуща распределенным системам. Проблема неопределенности связана с необходимостью синхронизации состояний и может решаться соответствующими методами. Планировать неопределенные состояния бесполезно; в подобных случаях автору ПЗ/ЗБ следует прибегнуть к другим требованиям (например подача сигнала тревоги, проведение аудита).

J.12.2 FPT_SSP.1 Одностороннее надежное подтверждение

J.12.2.1 Замечания по применению для пользователя

В компоненте FPT_SSP.1 необходимо, чтобы по запросу ФБО предоставляли подтверждение для другой части ФБО. Это подтверждение требуется для указания, что в одной части распределенного ОО успешно получено немодифицированное сообщение из другой части ОО.

J.12.3 FPT_SSP.2 Взаимное надежное подтверждение

J.12.3.1 Замечания по применению для пользователя

Компонент FPT_SSP.2 содержит требование, что в дополнение к предоставлению подтверждения получения передаваемых данных принимающей части ФБО необходимо обратиться к передающей за уведомлением о получении подтверждения.

Например, локальная часть ФБО передает данные удаленной части ФБО. Последняя подтверждает успешный прием сообщения и запрашивает у передавшей сообщение части ФБО уведомление, что она получила подтверждение. Этот механизм дает дополнительную уверенность, что обе части ФБО, участвующие в передаче данных, извещены об успешном завершении передачи.

J.13 Метки времени (FPT_STM)

J.13.1 Замечания для пользователя

Семейство FPT_STM содержит требования по предоставлению надежных меток времени в пределах ОО.

На автора ПЗ/ЗБ возлагается ответственность за разъяснение смысла выражения "надежные метки времени" и указание, где принимается решение о надежности.

J.13.2 FPT_STM.1 Надежные метки времени

J.13.2.1 Замечания по применению для пользователя

Применение компонента FPT_STM.1 возможно для предоставления надежных меток времени при проведении аудита, а также для ограничения срока действия атрибутов безопасности.

J.14 Согласованность данных ФБО между ФБО (FPT_TDC)

J.14.1 Замечания для пользователя

В среде распределенной или сложной системы от ОО может потребоваться произвести обмен данными ФБО (такими, как атрибуты ПФБ, ассоциированные с данными, информация аудита или идентификации) с другим доверенным продуктом ИТ. Семейство FPT_TDC определяет требования для совместного использования и непротиворечивой интерпретации этих атрибутов между ФБО и другим доверенным продуктом ИТ.

Компоненты данного семейства предназначены для определения требований к автоматической поддержке согласованности данных ФБО при их передаче между ФБО рассматриваемого ОО и ФБО другого доверенного продукта. Возможна и такая ситуация, когда для согласования атрибутов безопасности применяются только процедурные меры, однако они здесь не рассматриваются.

Семейство FPT_TDC "Согласованность данных ФБО между ФБО" отличается от FDP_ETC "Экспорт данных за пределы действия ФБО" и FDP_ITC "Импорт данных из-за пределов действия ФБО", так как последние направлены лишь на соотнесение атрибутов безопасности между ФБО и носителями импортируемой или экспортируемой ими информации.

В случае, если важна целостность данных ФБО, следует выбрать требования из семейства FPT_ITI "Целостность экспортируемых данных ФБО". Его компоненты определяют требования, чтобы ФБО были способны обнаружить и/или исправить модификации данных ФБО во время передачи.

J.14.2 FPT_TDC.1 Базовая согласованность данных ФБО между ФБО

J.14.2.1 Замечания по применению для пользователя

ФБО отвечают за поддержку согласованности данных ФБО, используемых ими или ассоциированных с ними, которые являются общими у двух или более доверенных систем. Например, данные ФБО для ФБО двух различных систем могут толковаться внутри них по-разному. Для правильного применения данных ФБО принимающим доверенным продуктом ИТ (например, для обеспечения такой же защиты данных пользователя, как и в ОО) необходимо, чтобы ОО и другой доверенный продукт ИТ применяли заранее установленный протокол обмена данными ФБО.

J.14.2.2 Операции

J.14.2.2.1 Назначение

В FPT_TDC.1.1 автору ПЗ/ЗБ следует определить список типов данных ФБО, которые должны согласованно интерпретироваться при совместном использовании ФБО и другим доверенным продуктом ИТ.

В FPT_TDC.1.2 автору ПЗ/ЗБ следует привести список правил интерпретации, применяемых ФБО.

J.15 Согласованность данных ФБО при дублировании в пределах ОО (FPT_TRC)

J.15.1 Замечания для пользователя

Требования семейства FPT_TRC необходимы, чтобы обеспечить согласованность данных ФБО, если они дублируются в пределах ОО. Такие данные могут стать несогласованными при нарушении работоспособности внутреннего канала между частями ОО. Если ОО внутренне структурирован как сеть, то это может произойти из-за отключения отдельных частей сети при разрыве сетевых соединений.

Метод обеспечения согласованности в данном семействе не указывается. Согласованность может достигаться с помощью некоторой формы обработки транзакций (где соответствующие транзакции "возвращаются назад" к месту отправления через повторное соединение) или путем обновления дублируемых данных через протокол синхронизации. Если для ПЗ/ЗБ необходим конкретный протокол, то он может быть специфицирован с использованием операции уточнения.

Может оказаться, что синхронизировать некоторые состояния невозможно или затраты на такую синхронизацию слишком высоки. Примером подобной ситуации служит отмена каналов связи и ключей шифрования. Могут также возникать неопределенные состояния. Если желателен конкретный режим функционирования, его следует специфицировать с использованием операции уточнения.

J.15.2 FPT_TRC.1 Согласованность дублируемых данных ФБО

J.15.2.1 Операции

J.15.2.1.1 Назначение

В FPT_TRC.1.2 автору ПЗ/ЗБ следует специфицировать список ФБ, которые зависят от согласованности дублирования данных ФБО.

J.16 Самотестирование ФБО (FPT_TST)

J.16.1 Замечания для пользователя

Семейство FPT_TST определяет требования для самотестирования ФБО путем выполнения некоторых типичных операций с известным результатом. Примерами могут служить обращения к интерфейсам осуществляемых функций, а также некоторые арифметические операции, выполняемые критичными частями ОО. Эти тесты могут выполняться при запуске, периодически, по запросу уполномоченного пользователя или при удовлетворении других условий. Действия ОО, предпринимаемые по результатам самотестирования, определены в других семействах.

Требования данного семейства также необходимы для обнаружения искажения выполняемого кода ФБО (то есть программной реализации ФБО) и данных ФБО в результате различных сбоев, которые не всегда приводят к приостановке функционирования ОО (рассмотренной в других семействах). Такие проверки необходимо выполнять, так как подобные сбои не всегда можно предотвратить. Они могут происходить из-за непредусмотренных типов сбоев или имеющихся неточностей в проекте аппаратных, программно-аппаратных и программных средств либо вследствие злонамеренного искажения ФБО, допущенного из-за неадекватной логической и/или физической защиты.

Дополнительно данное семейство может, при соответствующих условиях, помочь предотвратить неприемлемые или наносящие ущерб изменения ФБО, которые могут быть произведены в эксплуатируемом ОО при выполнении действий по сопровождению.

Термин "правильное выполнение ФБО" относится главным образом к функционированию программного обеспечения ФБО и целостности его данных. Абстрактная машина, на которой реализуется программное обеспечение ФБО, проверяется через зависимость от FPT_AMT "Тестирование базовой абстрактной машины".

J.16.2 FPT_TST.1 Тестирование ФБО

J.16.2.1 Замечания по применению для пользователя

Компонент FPT_TST.1 поддерживает как тестирование критичных функций из числа ФБО через требование возможности запускать тестирование функций, так и проверку целостности данных и выполняемого кода ФБО.

J.16.2.2 Замечания по применению для оценщика

Допускается, чтобы функции, предоставляемые уполномоченному пользователю для периодического тестирования, были доступны только в автономном режиме и режиме аварийной поддержки. В этих режимах следует предусмотреть средства ограничения доступа, предоставляя его только уполномоченным пользователям.

J.16.2.3 Операции

J.16.2.3.1 Выбор

В FPT_TST.1 автору ПЗ/ЗБ следует специфицировать, когда функциями безопасности ОО будет выполняться тестирование ФБО: при запуске, периодически в процессе нормального функционирования, по запросу уполномоченного пользователя, при других условиях. В последнем случае автору ПЗ/ЗБ следует также указать конкретные условия, используя операцию назначения.

В FPT_TST.1.1 автору ПЗ/ЗБ следует специфицировать, будет ли самотестирование выполняться для демонстрации правильного выполнения всего ФБО или только специфицированных частей ФБО.

J.16.2.3.2 Назначение

В FPT_TST.1.1 автору ПЗ/ЗБ следует, если сделан соответствующий выбор, специфицировать условия, при которых следует выполнять самотестирование.

В FPT_TST.1.1 автору ПЗ/ЗБ следует, если сделан соответствующий выбор, специфицировать список частей ФБО, которые будут предметом самотестирования ФБО.

J.16.2.3.3 Выбор

В FPT_TST.1.2 автору ПЗ/ЗБ следует специфицировать, должна ли быть предусмотрена возможность верификации целостности для всех данных ФБО или только для выбранных данных.

J.16.2.3.4 Назначение

В FPT_TST.1.2 автору ПЗ/ЗБ следует, если сделан соответствующий выбор, специфицировать список данных ФБО, целостность которых будет верифицироваться.