Приложение J (обязательное). Защита ФБО (FPT). Национальный стандарт РФ ГОСТ Р ИСО/МЭК 15408-2-2013 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные компоненты безопасности" (утв. приказом Федерального агентства по техническому регулированию и метрологии от 08.11.2013 N 1339-ст)

Приложение J
(обязательное)

Защита ФБО (FPT)

Класс FPT содержит семейства функциональных требований, которые связаны с целостностью и управлением механизмами, составляющими ФБО, а также с целостностью данных ФБО, не завися от специфического содержания данных ПБО. В некотором смысле компоненты семейств этого класса дублируют компоненты из класса FDP "Защита данных пользователя" и могут даже использовать одни и те же механизмы. Однако класс FDP "Защита данных пользователя" специализирован на защите данных пользователя, в то время как класс FPT "Защита ФБО" нацелен на защиту данных ФБО. Фактически компоненты из класса FPT "Защита ФБО" необходимы для реализации требований невозможности нарушения и обхода политик ФБ данного ОО.

В рамках этого класса по отношению к ФБО выделяются три существенных элемента:

a) реализация ФБО, которая выполняется и реализует механизмы, осуществляющие ФТБ;

b) данные ФБО, которые являются административными базами данных, управляющими осуществлением ФТБ;

c) внешние сущности, с которыми ФБО может взаимодействовать для осуществления ФТБ.

Все семейства в классе FPT "Защита ФБО" можно связать с этими тремя частями и сгруппировать следующим образом:

a) FPT_PHP "Физическая защита ФБО" предоставляет уполномоченному пользователю возможность обнаружения внешних атак на те части ОО, которые реализуют ФБО;

b) FPT_TEE "Тестирование внешних сущностей" и FPT_TST "Самотестирование ФБО" предоставляют уполномоченному пользователю возможность верифицировать правильность операций внешних сущностей, взаимодействующих с ФБО для осуществления ФТБ, а также целостность данных и выполняемого кода ФБО;

c) FPT_RCV "Надежное восстановление", FPT_FLS "Безопасность при сбое" и FPT_TRC "Согласованность данных ФБО при дублировании в пределах ОО" определяют режим выполнения ФБО при возникновении сбоя и непосредственно после него;

d) FPT_ITA "Доступность экспортируемых данных ФБО", FPT_ITC "Конфиденциальность экспортируемых данных ФБО" и FPT_ITI "Целостность экспортируемых данных ФБО" определяют защиту и доступность данных ФБО при их обмене между ФБО и другим доверенным продуктом ИТ;

e) FPT_ITT "Передача данных ФБО в пределах ОО" предназначено для защиты данных ФБО при их передаче между физически разделенными частями ОО;

f) FPT_RPL "Обнаружение повторного использования" содержит требование защиты от повторного использования различных типов информации и/или операций;

g) FPT_SSP "Протокол синхронизации состояний" определяет синхронизацию состояний между различными частями распределенных ФБО на основе данных ФБО;

h) FPT_STM "Метки времени" предоставляет надежные метки времени;

i) FPT_TDC "Согласованность данных ФБО между ФБО" предназначено для согласования данных между ФБО и другим доверенным продуктом ИТ.

Декомпозиция класса FPT на составляющие его компоненты приведена на рисунке J.1.

J.1. Безопасность при сбое (FPT_FLS)

J.1.1. Замечания для пользователя

Требования семейства FPT_FLS обеспечивают, чтобы ОО всегда осуществлял ФТБ при сбоях ФБО идентифицированных типов.

J.1.2. FPT_FLS.1 Сбой с сохранением безопасного состояния

J.1.2.1. Замечания по применению для пользователя

Термин "безопасное состояние" относится к состоянию, при котором данные ФБО непротиворечивы и ФБО продолжают корректное осуществление ПБО.

Хотя при сбоях с сохранением безопасного состояния желательно проведение аудита, это возможно не во всех ситуациях. Автору ПЗ/ЗБ следует специфицировать те ситуации, при которых проведение аудита желательно и выполнимо.

Сбои ФБО могут включать в себя аппаратные отказы, которые указывают на нарушение режима работы оборудования и требуют аварийной поддержки или восстановления ФБО. Сбои ФБО могут включать в себя также устранимые программные отказы, после которых требуется только инициализация или повторный запуск ФБО.

J.1.2.2. Операции

J.1.2.2.1. Назначение

В FPT_FLS.1.1 автору ПЗ/ЗБ следует привести список типов сбоев ФБО, при которых следует, чтобы ФБО "сбились безопасно", т.е. сохранили безопасное состояние и продолжали корректно осуществлять ФТБ.

J.2. Доступность экспортируемых данных ФБО (FPT_ITA)

J.2.1. Замечания для пользователя

Семейство FPT_ITA определяет правила предотвращения потери доступности данных ФБО, передаваемых между ФБО и другим доверенным продуктом ИТ. Это могут быть, например, критичные данные ФБО типа паролей, ключей, данных аудита или выполняемого кода ФБО.

Это семейство используется в распределенных системах, когда ФБО представляют свои данные другому доверенному продукту ИТ. ФБО могут предпринять меры безопасности лишь со своей стороны и не могут нести ответственность за ФБО другого доверенного продукта ИТ.

Если имеется несколько различных метрик доступности для разных типов данных ФБО, этот компонент следует повторить для каждой отдельной пары "метрика - тип данных ФБО".

J.2.2. FPT_ITA.1 Доступность экспортируемых данных ФБО в пределах заданной метрики

J.2.2.1. Операции

J.2.2.1.1. Назначение

В FPT_ITA.1.1 автору ПЗ/ЗБ следует специфицировать типы данных ФБО, на которые распространяется метрика доступности.

В FPT_ITA.1.1 автору ПЗ/ЗБ следует специфицировать метрику доступности для соответствующих данных ФБО.

В FPT_ITA.1.1 автору ПЗ/ЗБ следует специфицировать условия, при которых необходимо обеспечить доступность. Это, например, может быть наличие связи между ОО и другим доверенным продуктом ИТ.

Рисунок J.1. Декомпозиция класса FPT "Защита ФБО"

Рисунок J.1. Декомпозиция класса FPT "Защита ФБО"
(продолжение)

J.3. Конфиденциальность экспортируемых данных ФБО (FPT_ITC)

J.3.1. Замечания для пользователя

Семейство FPT_ITC определяет правила защиты данных ФБО от несанкционированного раскрытия при передаче между ФБО и другим доверенным продуктом ИТ Это могут быть, например, критичные данные ФБО типа паролей, ключей, данных аудита или выполняемого кода ФБО.

Это семейство используется в распределенных системах, когда ФБО представляют свои данные удаленному доверенному продукту ИТ. ФБО могут предпринять меры безопасности лишь в своей области действия и не могут нести ответственность за ФБО другого доверенного продукта ИТ.

J.3.2. FPT_ITC.1 Конфиденциальность экспортируемых данных ФБО при передаче

J.3.2.1. Замечания для оценщика

Конфиденциальность данных ФБО во время передачи необходима для их защиты от раскрытия. Возможные способы обеспечения конфиденциальности включают в себя применение криптографии, а также других методов, выбор которых постоянно расширяется.

J.4. Целостность экспортируемых данных ФБО (FPT_ITI)

J.4.1. Замечания для пользователя

Семейство FPT_ITI определяет правила защиты данных ФБО от несанкционированной модификации при передаче между ФБО и другим доверенным продуктом ИТ. Это могут быть, например, критичные данные ФБО типа паролей, ключей, данных аудита или выполняемого кода ФБО.

Это семейство используется в распределенных системах, когда ФБО представляют свои данные удаленному доверенному продукту ИТ. Следует отметить, что требования, связанные с модификацией, обнаружением или восстановлением и относящиеся к удаленному доверенному продукту ИТ, невозможно специфицировать, поскольку заранее не известны механизмы, которые будут использованы в удаленном доверенном продукте ИТ. Поэтому эти требования выражены в терминах "предоставления ФБО возможности", которую может использовать удаленный доверенный продукт ИТ.

J.4.2. FPT_ITI.1 Обнаружение модификации экспортируемых данных ФБО

J.4.2.1. Замечания по применению для пользователя

Компонент FPT_ITI.1 следует использовать в ситуациях, когда достаточно обнаружить факт модификации данных. Примером является ситуация, когда у удаленного доверенного продукта ИТ имеется возможность запросить ФБО о повторении передачи данных при обнаружении их модификации или удовлетворить аналогичный запрос.

Желательная стойкость функции обнаружения модификации основана на определенной метрике модификации, которая зависит от используемого алгоритма и может находиться в диапазоне от простых контрольных сумм и проверки на четность, которые не обнаруживают простые комбинации изменений в нескольких разрядах, до более сложных криптографических контрольных сумм.

J.4.2.2. Операции

J.4.2.2.1. Назначение

В FPT_ITI.1.1 автору ПЗ/ЗБ следует специфицировать метрику модификации, удовлетворение которой необходимо для механизма обнаружения. Эта метрика должна определить желательную стойкость функции обнаружения модификации.

В FPT_ITI.1.2 автору ПЗ/ЗБ следует специфицировать действия, предпринимаемые при обнаружении модификации данных ФБО. Примером таких действий может служить: "игнорировать полученные данные ФБО и запросить у доверенного продукта, являющегося отправителем, повторную передачу данных ФБО".

J.4.3. FPT_ITI.2 Обнаружение и исправление модификации экспортируемых данных ФБО

J.4.3.1. Замечания по применению для пользователя

Компонент FPT_ITI.2 следует использовать в ситуациях, когда требуется обнаружить или исправить модификации критичных данных ФБО.

Желательная стойкость функции обнаружения модификации основана на определенной метрике модификаций, которая зависит от используемого алгоритма и может находиться в диапазоне от контрольных сумм и проверки на четность, которые могут не обнаружить простые комбинации изменений в нескольких разрядах, до более сложных криптографических контрольных сумм. Метрику, которую требуется определить, можно связать либо с отражением атак (например, будет пропускаться только одно из тысячи случайных сообщений), либо с приведенным в открытой литературе механизмом (например, необходимо, чтобы требуемая стойкость соответствовала стойкости алгоритма безопасного хэширования).

Подход к исправлению модификаций может быть основан на использовании некоторых видов контрольных сумм, позволяющих корректировать ошибки.

J.4.3.2. Замечания для оценщика

Возможные способы удовлетворения этих требований состоят в использовании криптографических функций или некоторых видов контрольных сумм.

J.4.3.3. Операции

J.4.3.3.1. Назначение

В FPT_ITI.2.1 автору ПЗ/ЗБ следует специфицировать метрику модификации, удовлетворение которой необходимо для механизма обнаружения. Эта метрика должна определить желательную стойкость функции обнаружения модификации.

В FPT_ITI.2.2 автору ПЗ/ЗБ следует специфицировать действия, предпринимаемые при обнаружении модификации данных ФБО. Примером таких действий может служить: "игнорировать полученные данные ФБО и запросить у доверенного продукта, являющегося отправителем, повторную передачу данных ФБО".

В FPT_ITI.2.3 автору ПЗ/ЗБ следует определить типы модификаций, после которых ФБО следует предоставить возможность восстановления.

J.5. Передача данных ФБО в пределах ОО (FPT_ITT)

J.5.1. Замечания для пользователя

Семейство FPT_ITT содержит требования защиты данных ФБО при их передаче между разделенными частями ОО по внутреннему каналу.

Принятие решения о степени физического или логического разделения, в условиях которого могло бы применяться это семейство, зависит от предполагаемой среды эксплуатации. В неблагоприятной среде могут возникать риски, связанные с передачей между частями ОО, разделенными всего лишь системной шиной. В более благоприятной среде для передачи можно использовать обычные сетевые средства.

J.5.2. Замечания для оценщика

Один из механизмов, практически применяемых для реализации функциями безопасности ОО этого вида защиты, основан на применении криптографических методов.

J.5.3. FPT_ITT.1 Базовая защита внутренней передачи данных ФБО

J.5.3.1. Операции

J.5.3.1.1. Выбор

В FPT_ITT.1.1 автору ПЗ/ЗБ следует специфицировать требуемый тип защиты, предоставляя ее от раскрытия или модификации.

J.5.4. FPT_ITT.2 Разделение данных ФБО при передаче

J.5.4.1. Замечания по применению для пользователя

Одним из путей выполнения разделения каналов, основанного на атрибутах, относящихся к ПФБ, является использование разделенных логических или физических каналов.

J.5.4.2. Операции

J.5.4.2.1. Выбор

В FPT_ITT.2.1 автору ПЗ/ЗБ следует специфицировать требуемый тип защиты: от раскрытия или от модификации.

J.5.5. FPT_ITT.3 Мониторинг целостности данных ФБО

J.5.5.1. Операции

J.5.5.1.1. Выбор

В FPT_ITT.3.1 автору ПЗ/ЗБ следует специфицировать, какой тип модификации должны быть способны обнаруживать ФБО, выбирая из следующих типов: модификация данных, подмена данных, перестановка данных, удаление данных или какие-либо иные ошибки целостности.

J.5.5.1.2. Назначение

В FPT_ITT.3.1 в случае выбора автором ПЗ/ЗБ последнего варианта из предыдущего абзаца ему следует также специфицировать, какие иные ошибки целостности ФБО следует обнаруживать.

В FPT_ITT.3.2 автору ПЗ/ЗБ следует специфицировать действия, предпринимаемые при обнаружении ошибки целостности.

J.6. Физическая защита ФБО (FPT_PHP)

J.6.1. Замечания для пользователя

Компоненты семейства FPT_PHP "Физическая защита ФБО" дают возможность ограничивать физический доступ к ФБО, а также удерживать от несанкционированной физической модификации или подмены реализации ФБО и противодействовать им.

Требования компонентов в этом семействе обеспечивают защиту ФБО от физического воздействия и вмешательства. Удовлетворение требований этих компонентов позволяет получить реализацию ФБО, компонуемую и используемую способом, предусматривающим обнаружение физического воздействия или противодействие ему. Без этих компонентов защита ФБО теряет свою эффективность в среде, где не может быть предотвращено физическое повреждение. Это семейство также содержит требования к реакции ФБО на попытки физического воздействия на их реализацию.

Примерами сценариев физического воздействия являются нападения с использованием механических средств, радиоактивного излучения, изменения температуры.

Допускается, чтобы функции обнаружения физических нападений были доступны уполномоченному пользователю только в автономном режиме или режиме аварийной поддержки. Следует предусмотреть средства ограничения доступа в этих режимах, предоставляя его только уполномоченным пользователям. Поскольку в этих режимах ФБО могут оказаться "невыполнимыми", это может помешать нормальному осуществлению доступа уполномоченных пользователей. Физически ОО может состоять из устройств различного типа, например из экранирующего корпуса, плат и микросхем. Необходимо, чтобы эта совокупность "элементов" защищала ФБО от физического вмешательства (а также оповещала о нем и противодействовала ему). Это не означает, что эти качества необходимы всем устройствам по отдельности, но следует, чтобы их имело физическое воплощение ОО в целом.

Хотя с этими компонентами ассоциирован только минимальный аудит, это сделано исключительно потому, что потенциально механизмы обнаружения и оповещения могут быть реализованы полностью аппаратно, на уровне взаимодействий более низком, чем управление подсистемой аудита (например, это может быть система обнаружения на аппаратном уровне, реагирующая на разрыв цепи и подающая световой сигнал, если цепь разорвана в момент нажатия кнопки уполномоченным пользователем). Тем не менее автор ПЗ/ЗБ может определить, что для некоторых угроз, исходящих от среды, требуется аудит физических нападений. В этом случае автору ПЗ/ЗБ следует включить в список событий аудита соответствующие требования. Необходимо иметь в виду, что наличие этих требований может повлиять на конструкцию аппаратуры и ее взаимодействие с программным обеспечением.

J.6.2. FPT_PHP.1 Пассивное обнаружение физического нападения

J.6.2.1. Замечания по применению для пользователя

Компонент FPT_PHP.1 "Пассивное обнаружение физической атаки" следует применять, когда угрозам несанкционированного физического воздействия на части ОО не противопоставлены процедурные методы. В этом компоненте рассматривается угроза, что физическое воздействие на ФБО может и не быть выявлено. Обычно задача верификации того, что нападение имело место, возлагается на уполномоченного пользователя. Как было изложено выше, этот компонент всего лишь представляет способность ФБО обнаруживать физическое воздействие, поэтому требуется зависимость от FMT_MOF.1 "Управление режимом выполнения функций безопасности", чтобы специфицировать, кто и каким образом может воспользоваться этой способностью. Если это выполняется с помощью механизма, не связанного с ИТ (например, путем физической проверки), то может быть указано, что зависимость от FMT_MOF.1 не удовлетворяется.

J.6.3. FPT_PHP.2 Оповещение о физическом нападении

J.6.3.1. Замечания по применению для пользователя

Компонент FPT_PHP.2 "Оповещение о физическом нападении" следует применять, когда угрозам несанкционированного физического воздействия на части ОО не противопоставлены процедурные методы, и при этом требуется оповещение определенных лиц о физическом нападении. В этом компоненте рассматривается угроза, что физическое воздействие на элементы ФБО может быть хотя и выявлено, но не замечено (т.е. о нем никто не оповещен).

Спецификация FMT_MOF.1 "Управление режимом функционирования функций безопасности" должна рассматриваться для определения того, кто может использовать данную возможность и каким образом.

J.6.3.2. Операции

J.6.3.2.1. Назначение

В FPT_PHP.2.3 автору ПЗ/ЗБ следует предоставить список устройств/элементов, реализующих ФБО, для которых требуется активное обнаружение физического воздействия.

В FPT_PHP.2.3 автору ПЗ/ЗБ следует указать пользователя или роль, уведомляемую об обнаружении физического воздействия. Тип пользователя или роли могут меняться на итерациях компонента управления безопасностью FMT_MOF.1 "Управление режимом выполнения функций безопасности", включенного в ПЗ/ЗБ.

J.6.4. FPT_PHP.3 Противодействие физическому нападению

J.6.4.1. Замечания по применению для пользователя

Для некоторых типов воздействия требуется, чтобы ФБО не только обнаруживали воздействие, но и фактически противодействовали ему или задерживали напавшего.

Компонент FPT_PHP.3 следует использовать, когда устройства и элементы, реализующие ФБО, предназначены для эксплуатации в среде, где физическое воздействие (например, в целях наблюдения, анализа или модификации) на составляющие устройств, реализующих ФБО, или же на элементы, реализующие ФБО, само по себе признано угрозой.

J.6.4.2. Операции

J.6.4.2.1. Назначение

В FPT_PHP.3.1 автору ПЗ/ЗБ следует специфицировать для списка устройств/элементов, реализующих ФБО, сценарии физического проникновения; ФБО следует противодействовать физическому проникновению, выполняемому по этим сценариям. Этот список может относиться к определенному подмножеству физических устройств и элементов, реализующих ФБО, выделенному на основе учета технологических ограничений и физической незащищенности прибора. Выделение такого подмножества следует четко определить и логически обосновать. Кроме того, ФБО следует реагировать на попытки физического проникновения автоматически. При автоматической реакции на физическое проникновение следует сохранять политику устройства, например, если проводится политика конфиденциальности, то прибор был бы физически отключен для того, чтобы защищаемая информация не могла быть считана.

В FPT_PHP.3.1 автору ПЗ/ЗБ следует специфицировать список устройств/элементов, реализующих ФБО, для которых ФБО следует противодействовать физическому проникновению согласно идентифицированным сценариям.

J.7. Надежное восстановление (FPT_RCV)

J.7.1. Замечания для пользователя

Требования семейства FPT_RCV "Надежное восстановление" обеспечивают, чтобы ФБО могли определить, не нарушена ли защита ФБО при запуске, и восстанавливаться без нарушения защиты после прерывания операций. Это семейство важно, потому что начальное состояние ФБО при запуске или восстановлении определяет защищенность ОО в последующем.

Компоненты данного семейства позволяют устанавливать безопасное состояние ФБО или предотвращать их переход в опасное состояние после сбоев, прерывания функционирования или перезапуска. В число возможных сбоев обычно включают:

a) сбои, которые всегда приводят к аварийным отказам системы (например, устойчивая несогласованность критичных системных таблиц; неуправляемые переходы в коде ФБО, вызванные сбоями аппаратных или программно-аппаратных средств; сбои питания, процессора, связи);

b) сбои носителей, приводящие к тому, что часть носителя или весь носитель, представляющий объекты ФБО, становится недоступным или неисправным (например, ошибки четности, неисправность головок дисков, устойчивый сбой чтения/записи, неточная юстировка головок дисков, износ магнитного покрытия, запыленность поверхности диска);

c) прерывание функционирования вследствие ошибочных действий администратора или отсутствия его своевременных действий (например, неожиданное прекращение работы из-за неподготовленности к отключению питания, игнорирование перерасхода критичных ресурсов, неадекватная инсталлированная конфигурация).

Важно отметить, что восстановление может быть предусмотрено для сценария как частичного, так и полного отказа. Полный отказ может возникнуть в неразделенной операционной системе, в распределенной среде его вероятность меньше. В такой среде некоторые подсистемы могут отказать, в то время как другие части останутся работающими. Более того, критичные элементы могут иметь избыточность (дублирование дисков, альтернативные маршруты) и точки проверки. Под восстановлением имеется в виду восстановление безопасного состояния.

При выборе FPT_RCV "Надежное восстановление" необходимо принимать во внимание следующие взаимосвязи между FPT_RCV "Надежное восстановление" и FPT_TST "Самотестирование ФБО":

a) на необходимость надежного восстановления могут указывать результаты самотестирования ФБО, когда результаты самотестирования указывают на то, что ФБО находятся в небезопасном состоянии, и требуется возврат в безопасное состояние или переход в режим аварийной поддержки;

b) сбой, как было рассмотрено выше, может быть идентифицирован администратором. Либо администратор может выполнить действия для возврата ОО в безопасное состояние и затем прибегнуть к самотестированию ФБО, чтобы подтвердить, что безопасное состояние было достигнуто. Либо самотестирование ФБО может быть применено для завершения процесса восстановления;

c) сочетание пунктов a) и b); когда на необходимость надежного восстановления указывают результаты самотестирования ФБО, администратор выполняет действия по возврату ОО в безопасное состояние, а затем прибегает к самотестированию ФБО, чтобы подтвердить, что безопасное состояние было достигнуто;

d) самотестирование направлено на обнаружение сбоев/прерываний обслуживания, за которым следует либо автоматическое восстановление, либо переход в режим аварийной поддержки.

Семейство FPT_RCV идентифицирует режим аварийной поддержки. В этом режиме нормальное функционирование может оказаться невозможным или сильно ограниченным из-за возможности перехода в опасное состояние. В таких случаях обычно доступ разрешается только уполномоченным пользователям, а более конкретно, кто может получить доступ в режиме аварийной поддержки, определяется в классе FMT "Управление безопасностью". Если в классе FMT нет никаких указаний о том, кто имеет право доступа в этом режиме, теоретически допускается, что восстановить систему может любой пользователь. Однако на практике это нежелательно, поскольку пользователь, восстанавливающий систему, может установить конфигурацию ОО, нарушающую ФТБ.

Механизмы, предназначенные для обнаружения исключительных состояний при эксплуатации, определяются в FPT_TST "Самотестирование ФБО", FPT_FLS "Безопасность при сбое" и в других разделах, относящихся к проблеме "Сохранность программного обеспечения". Вероятно, что использование одного из этих семейств потребуется при выборе FPT_RCV "Надежное восстановление". Это должно обеспечить, чтобы ОО был в состоянии определить необходимость в восстановлении.

В этом семействе применяется выражение "безопасное состояние". Оно относится к состоянию, при котором данные ФБО непротиворечивы и продолжают корректное осуществление ПБО. Это состояние может быть состоянием после загрузки системы или состоянием в некоторой контрольной точке.

После восстановления может потребоваться (через самотестирование ФБО) подтверждение того, что безопасное состояние достигнуто. Однако если восстановление выполняется таким образом, что только безопасное состояние может быть достигнуто, иначе восстановление не происходит, тогда зависимость от компонента самотестирования ФБО (FPT_TST.1 "Тестирование ФБО") может быть признана ненужной.

J.7.2. FPT_RCV.1 Ручное восстановление

J.7.2.1. Замечания по применению для пользователя

В иерархии семейства FPT_RCV "Надежное восстановление" восстановление, которое требует только ручного вмешательства, наименее желательно, так как при этом исключается восстановление системы без участия человека.

Компонент FPT_RCV.1 предназначен для применения в ОО, которые не требуют автоматического восстановления безопасного состояния. Требования этого компонента направлены против угрозы нарушения защиты в результате приведения ОО с участием человека в опасное состояние при восстановлении после сбоя или другого прерывания.

J.7.2.2. Замечания по применению для оценщика

Допускается, чтобы функции уполномоченного администратора по надежному восстановлению были доступны ему только в режиме аварийной поддержки. Следует предусмотреть средства ограничения доступа в режиме аварийной поддержки, предоставляя его только уполномоченным пользователям.

J.7.2.3. Операции

J.7.2.3.1. Назначение

В FPT_RCV.1.1 автору ПЗ/ЗБ следует специфицировать список сбоев или прерываний обслуживания (сбой электропитания, исчерпание объема памяти для хранения данных аудита, любой сбой или прерывание), после которых ОО перейдет в режим аварийной поддержки.

J.7.3. FPT_RCV.2 Автоматическое восстановление

J.7.3.1. Замечания по применению для пользователя

Автоматическое восстановление считается более предпочтительным, чем ручное, так как оно позволяет машине продолжать функционирование без участия человека.

Компонент FPT_RCV.2 "Автоматическое восстановление" расширяет FPT_RCV.1 "Ручное восстановление", требуя возможность автоматического восстановления хотя бы после одного типа сбоя/прерывания обслуживания. Требования этого компонента направлены против угрозы нарушения защиты в результате приведения ОО без участия человека в опасное состояние при восстановлении после сбоя или другого прерывания.

J.7.3.2. Замечания по применению для оценщика

Допускается, чтобы функции уполномоченного администратора по надежному восстановлению были доступны ему только в режиме аварийной поддержки. Следует предусмотреть средства ограничения доступа в режиме аварийной поддержки, предоставляя его только уполномоченным пользователям.

В соответствии с FPT_RCV.2.1 разработчик ФБО отвечает за определение совокупности сбоев и прерываний обслуживания, после которых возможно восстановление.

Предполагается, что робастность механизмов автоматического восстановления будет верифицирована.

J.7.3.3. Операции

J.7.3.3.1. Назначение

В FPT_RCV.2.1 автору ПЗ/ЗБ следует специфицировать список сбоев или прерываний обслуживания (сбой электропитания, исчерпание объема памяти для хранения данных аудита), после которых ОО перейдет в режим аварийной поддержки.

В FPT_RCV.2.2 автору ПЗ/ЗБ следует специфицировать список сбоев или других прерываний обслуживания, для которых автоматическое восстановление должно быть возможно.

J.7.4. FPT_RCV.3 Автоматическое восстановление без недопустимой потери

J.7.4.1. Замечания по применению для пользователя

Автоматическое восстановление считается более предпочтительным, чем ручное, но оно связано с риском потери большого числа объектов. Предотвращение недопустимых потерь объектов обеспечивается дополнительными средствами восстановления.

Компонент FPT_RCV.3 "Автоматическое восстановление без недопустимой потери" расширяет FPT_RCV.2 "Автоматическое восстановление", требуя, чтобы не было чрезмерных потерь данных или объектов под контролем ФБО. В соответствии с FPT_RCV.2 "Автоматическое восстановление" механизм автоматического восстановления мог бы, в крайнем случае, произвести восстановление путем уничтожения всех объектов и возвращения ФБО в известное безопасное состояние. Такой тип автоматического восстановления в FPT_RCV.3 "Автоматическое восстановление без недопустимой потери" запрещается.

Требования этого компонента направлены против угрозы нарушения защиты в результате непредусмотренного перехода ОО в опасное состояние при восстановлении после сбоя или перерывов в функционировании с большой потерей данных или объектов под контролем ФБО.

J.7.4.2. Замечания для оценщика

Допускается, чтобы функции уполномоченного администратора по надежному восстановлению были доступны ему только в режиме аварийной поддержки. Следует предусмотреть средства ограничения доступа в режиме аварийной поддержки, предоставляя его только уполномоченным пользователям.

Предполагается, что робастность механизмов автоматического восстановления будет верифицирована оценщиком.

J.7.4.3. Операции

J.7.4.3.1. Назначение

В FPT_RCV.3.1 автору ПЗ/ЗБ следует специфицировать список сбоев или прерываний обслуживания (сбой электропитания, исчерпание объема памяти для хранения данных аудита), после которых ОО перейдет в режим аварийной поддержки.

В FPT_RCV.3.2 автору ПЗ/ЗБ следует специфицировать список сбоев или других прерываний обслуживания, для которых необходима возможность автоматического восстановления.

В FPT_RCV.3.3 автору ПЗ/ЗБ следует предоставить количественную меру приемлемых потерь данных или объектов ФБО.

J.7.5. FPT_RCV.4 Восстановление функции

J.7.5.1. Замечания по применению для пользователя

Компонент FPT_RCV.4 содержит требование, чтобы в случае сбоя ФБО некоторые функции из числа ФБО либо нормально заканчивали работу, либо возвращались к безопасному состоянию.

J.7.5.2. Операции

J.7.5.2.1. Назначение

В FPT_RCV.4.1 автору ПЗ/ЗБ следует специфицировать список функций безопасности и сценариев сбоев, для которых нормально заканчивается работа ФБ, указанных в списке, или восстанавливается их устойчивое и безопасное состояние.

J.8. Обнаружение повторного использования (FPT_RPL)

J.8.1. Замечания для пользователя

Семейство FPT_RPL связано с обнаружением повторного использования различных типов сущностей (таких, как сообщения, запросы на обслуживание, ответы на запросы обслуживания) и последующими действиями по его устранению.

J.8.2. FPT_RPL.1 Обнаружение повторного использования

J.8.2.1. Замечания по применению для пользователя

Рассматриваемыми здесь сущностями могут быть, например, сообщения, запросы на обслуживание, ответы на запросы обслуживания или сеансы пользователей.

J.8.2.2. Операции

J.8.2.2.1. Назначение

В FPT_RPL.1.1 автору ПЗ/ЗБ следует представить список идентифицированных сущностей, для которых следует предусмотреть возможность обнаружения повторного использования. Их примерами могут быть: сообщения, запросы на обслуживание, ответы на запросы обслуживания, сеансы пользователей.

В FPT_RPL.1.2 автору ПЗ/ЗБ следует специфицировать список действий, предпринимаемых ФБО при обнаружении повторного использования. Совокупность предпринимаемых действий может включать в себя игнорирование повторно используемой сущности, запрос подтверждения сущности из идентифицированного источника и отключение субъекта, пытавшегося инициировать повторное использование.

J.9. Протокол синхронизации состояний (FPT_SSP)

J.9.1. Замечания для пользователя

Распределенные ОО могут иметь большую сложность, чем нераспределенные, из-за многообразия состояний частей ОО, а также из-за задержек связи. В большинстве случаев синхронизация состояния между распределенными функциями включает в себя, вместо обычных действий, применение протокола обмена. Когда в среде распределенных систем существуют угрозы безопасности, потребуются более сложные защищенные протоколы.

Семейство FPT_SSP "Протокол синхронизации состояний" устанавливает требование использования надежных протоколов некоторыми критичными функциями из числа ФБО. Оно обеспечивает, чтобы две распределенные части ОО (например, главные ЭВМ) синхронизировали свои состояния после действий, связанных с безопасностью.

Некоторые состояния невозможно синхронизировать, или затраты на транзакцию будут слишком велики для практического применения; отмена ключа шифрования является примером, когда после выполнения действия состояние может стать неопределенным. Либо действие предпринято, а подтверждение не может быть отправлено, либо сообщение проигнорировано получателем, и поэтому отмена не произойдет. Неопределенность присуща распределенным системам. Проблема неопределенности связана с необходимостью синхронизации состояний и может решаться соответствующими методами. Планировать неопределенные состояния бесполезно; в подобных случаях автору ПЗ/ЗБ следует прибегнуть к другим требованиям (например, подача сигнала тревоги, проведение аудита).

J.9.2. FPT_SSP.1 Одностороннее надежное подтверждение

J.9.2.1. Замечания по применению для пользователя

В компоненте FPT_SSP.1 необходимо, чтобы по запросу ФБО предоставляли подтверждение для другой части ФБО. Это подтверждение требуется для указания, что в одной части распределенного ОО успешно получено немодифицированное сообщение из другой части ОО.

J.9.3. FPT_SSP.2 Взаимное надежное подтверждение

J.9.3.1. Замечания по применению для пользователя

Компонент FPT_SSP.2 содержит требование, что в дополнение к предоставлению подтверждения получения передаваемых данных принимающей части ФБО необходимо обратиться к передающей за уведомлением о получении подтверждения.

Например, локальная часть ФБО передает данные удаленной части ФБО. Последняя подтверждает успешный прием сообщения и запрашивает у передавшей сообщение части ФБО уведомление, что она получила подтверждение. Этот механизм дает дополнительную уверенность, что обе части ФБО, участвующие в передаче данных, извещены об успешном завершении передачи.

J.10. Метки времени (FPT_STM)

J.10.1. Замечания для пользователя

Семейство FPT_STM содержит требования по предоставлению надежных меток времени в пределах ОО.

На автора ПЗ/ЗБ возлагается ответственность за разъяснение смысла выражения "надежные метки времени" и указание, где принимается решение о надежности.

J.10.2. FPT_STM.1 Надежные метки времени

J.10.2.1. Замечания по применению для пользователя

Применение компонента FPT_STM.1 возможно для предоставления надежных меток времени при проведении аудита, а также для ограничения срока действия атрибутов безопасности.

J.11. Согласованность данных ФБО между ФБО (FPT_TDC)

J.11.1. Замечания для пользователя

В распределенной или сложной среде от ОО может потребоваться произвести обмен данными ФБО (такими, как атрибуты ПФБ, ассоциированные с данными, информация аудита или идентификации) с другим доверенным продуктом ИТ. Семейство FPT_TDC определяет требования для совместного использования и непротиворечивой интерпретации этих атрибутов между ФБО и другим доверенным продуктом ИТ.

Компоненты данного семейства предназначены для определения требований к автоматической поддержке согласованности данных ФБО при их передаче между ФБО рассматриваемого ОО и ФБО другого доверенного продукта. Возможна и такая ситуация, когда для согласования атрибутов безопасности применяются только процедурные меры, однако они здесь не рассматриваются.

Семейство FPT_TDC "Согласованность данных ФБО между ФБО" отличается от FDP_ETC "Экспорт данных за пределы действия ФБО" и FDP_ITC "Импорт данных из-за пределов действия ФБО", так как последние направлены лишь на соотнесение атрибутов безопасности между ФБО и носителями импортируемой или экспортируемой ими информации.

В случае, когда важна целостность данных ФБО, следует выбрать требования из семейства FPT_ITI "Целостность экспортируемых данных ФБО". Его компоненты определяют требования, чтобы ФБО были способны обнаружить и/или исправить модификации данных ФБО во время передачи.

J.11.2. FPT_TDC.1 Базовая согласованность данных ФБО между ФБО

J.11.2.1. Замечания по применению для пользователя

ФБО отвечают за поддержку согласованности данных ФБО, используемых ими или ассоциированных с ними, которые являются общими у двух или более доверенных систем. Например, данные ФБО для ФБО двух различных систем могут толковаться внутри них по-разному. Для правильного применения данных ФБО принимающим доверенным продуктом ИТ (например, для обеспечения такой же защиты данных пользователя, как и в ОО) необходимо, чтобы ОО и другой доверенный продукт ИТ применяли заранее установленный протокол обмена данными ФБО.

J.11.2.2. Операции

J.11.2.2.1. Назначение

В FPT_TDC.1.1 автору ПЗ/ЗБ следует определить список типов данных ФБО, которые должны согласованно интерпретироваться при совместном использовании ФБО и другим доверенным продуктом ИТ.

В FPT_TDC.1.2 автору ПЗ/ЗБ следует привести список правил интерпретации, применяемых ФБО.

J.12. Тестирование внешних сущностей (FPT_TEE)

J.12.1. Замечания для пользователя

Семейство FPT_TEE предъявляет требования к тестированию одной или более внешних по отношению к ФБО сущностей. Эти внешние сущности не являются пользователями-людьми и могут включать сочетания программного и/или аппаратного обеспечения, взаимодействующего с ОО.

Примеры тестирований, которые можно провести по отношению к внешним сущностям:

a) тесты на наличие и, возможно, правильность настройки межсетевого экрана;

b) тесты некоторых свойств ОС, на котором запускается ОО, являющийся приложением;

c) тесты некоторых свойств интегральной схемы, на которой запускается ОО, представляющий собой ОС смарт-карты (например, генератора случайных чисел).

Следует отметить, что внешние сущности могут "обманывать" и предоставлять ложные результаты тестов, причем как умышленно, так и вследствие неверного функционирования.

Эти тесты могут выполняться на каком-либо из этапов обслуживания, при запуске, в режиме реального времени (онлайн) или постоянно. В данном семействе также определяются действия, которые следует предпринять ОО по результатам тестирования.

J.12.2. Замечания для оценщика

Тесты внешних сущностей должны быть достаточными для оценки всех их характеристик, на которые полагаются ФБО.

J.12.3. FPT_TEE.1 Тестирование внешних сущностей

J.12.3.1. Замечания по применению для пользователя

Данный компонент не предназначен для применения по отношению к пользователям-людям.

Данный компонент обеспечивает поддержку периодического тестирования свойств, относящихся к внешним сущностям, от которых зависит функционирование ФБО, путем требования возможности периодического вызова функций тестирования.

Автор ПЗ/ЗБ может уточнить данное требование, установив, должна ли функция выполняться не в режиме реального времени (оффлайн), в режиме реального времени (онлайн) или в режиме обслуживания.

J.12.3.2. Замечания для оценщика

Для функций периодического тестирования допускается их доступность только в режиме оффлайн или в режиме обслуживания.

Следует предусмотреть меры контроля для ограничения доступа в течение обслуживания уполномоченными пользователями.

J.12.3.3. Операции

J.12.3.3.1. Выбор

В FPT_TEE.1.1 автору ПЗ/ЗБ следует специфицировать, когда ФБО будут проводить тестирование внешних сущностей: при первом запуске, в процессе нормального функционирования, по запросу от авторизованного пользователя или при других условиях. Если тесты проводятся часто, то конечные пользователи получат большую степень уверенности в правильном функционировании ОО, чем при менее частом их проведении. Однако следует соблюдать баланс между потребностью в этой уверенности и потенциальным влиянием на доступность ОО, так как зачастую проверки замедляют нормальное функционирование ОО.

J.12.3.3.2. Назначение

В FPT_TEE.1.1 автору ПЗ/ЗБ следует специфицировать свойства внешних сущностей, подлежащие проверке при тестировании. К таким свойствам могут относиться характеристики конфигурации или доступности сервера каталогов, поддерживающего часть ФБО, связанную с управлением доступом.

Также в FPT_TEE.1.1 автору ПЗ/ЗБ, если выбраны другие условия, следует специфицировать частоту проведения тестирования. Пример другого условия и частоты проведения тестирований - проведение тестов каждый раз при запросе пользователем сеанса работы с ОО, например тестирование сервера каталога перед его взаимодействием с ФБО в процессе аутентификации пользователя.

Также в FPT_TEE.1.2 автору ПЗ/ЗБ следует специфицировать, какие действия должны предпринимать ФБО в случае отрицательного результата тестирования. В примере с сервером каталогов такие действия могут включать подключение к альтернативному доступному серверу или серверу резервного копирования.

J.13. Согласованность данных ФБО при дублировании в пределах ОО (FPT_TRC)

J.13.1. Замечания для пользователя

Требования семейства FPT_TRC необходимы, чтобы обеспечить согласованность данных ФБО, когда они дублируются в пределах ОО. Такие данные могут стать несогласованными при нарушении работоспособности внутреннего канала между частями ОО. Если ОО внутренне структурирован как сеть, то это может произойти из-за отключения отдельных частей сети при разрыве сетевых соединений.

Метод обеспечения согласованности в данном семействе не указывается. Согласованность может достигаться с помощью некоторой формы обработки транзакций (где соответствующие транзакции "возвращаются назад" к месту отправления через повторное соединение) или путем обновления дублируемых данных через протокол синхронизации. Если для ПЗ/ЗБ необходим конкретный протокол, то он может быть специфицирован с использованием операции уточнения.

Может оказаться, что синхронизировать некоторые состояния невозможно или затраты на такую синхронизацию слишком высоки. Примером подобной ситуации служит отмена каналов связи и ключей шифрования. Могут также возникать неопределенные состояния. Если желателен конкретный режим функционирования, его следует специфицировать с использованием операции уточнения.

J.13.2. FPT_TRC.1 Согласованность дублируемых данных ФБО

J.13.2.1. Операции

J.13.2.1.1. Назначение

В FPT_TRC.1.2 автору ПЗ/ЗБ следует специфицировать список ФБ, которые зависят от согласованности дублирования данных ФБО.

J.14. Самотестирование ФБО (FPT_TST)

J.14.1. Замечания для пользователя

Семейство FPT_TST определяет требования для самотестирования ФБО в части некоторых типичных операций с известным результатом. Примерами могут служить обращения к интерфейсам осуществляемых функций, а также некоторые арифметические операции, выполняемые критичными частями ОО. Эти тесты могут выполняться при запуске, периодически, по запросу уполномоченного пользователя или при удовлетворении других условий. Действия ОО, предпринимаемые по результатам самотестирования, определены в других семействах.

Требования этого семейства также необходимы для обнаружения искажения выполняемого кода ФБО (т.е. программной реализации ФБО) и данных ФБО в результате различных сбоев, которые не всегда приводят к приостановке функционирования ОО (рассмотренной в других семействах). Такие проверки необходимо выполнять, т.к. подобные сбои не всегда можно предотвратить. Они могут происходить либо из-за непредусмотренных типов сбоев или имеющихся неточностей в проекте аппаратных, программно-аппаратных и программных средств, либо вследствие злонамеренного искажения ФБО, допущенного из-за неадекватной логической и/или физической защиты.

Дополнительно этот компонент может, при соответствующих условиях, помочь предотвратить неприемлемые или наносящие ущерб изменения ФБО, которые могут быть произведены в эксплуатируемом ОО при выполнении действий по сопровождению.

Термин "правильное выполнение ФБО" относится главным образом к функционированию программного обеспечения ФБО и целостности его данных.

J.14.2. FPT_TST.1 Тестирование ФБО

J.14.2.1. Замечания по применению для пользователя

Компонент FPT_TST.1 поддерживает как тестирование критичных функций из числа ФБО через требование возможности запускать тестирование функций, так и проверку целостности данных и выполняемого кода ФБО.

J.14.2.2. Замечания по применению для оценщика

Допускается, чтобы функции, предоставляемые уполномоченному пользователю для периодического тестирования, были доступны только в автономном режиме и режиме аварийной поддержки. В этих режимах следует предусмотреть средства ограничения доступа, предоставляя его только уполномоченным пользователям.

J.14.2.3. Операции

J.14.2.3.1. Выбор

В FPT_TST.1 автору ПЗ/ЗБ следует специфицировать, когда функциями безопасности ОО будет выполняться тестирование ФБО: при запуске, периодически в процессе нормального функционирования, по запросу уполномоченного пользователя, при других условиях. В последнем случае автору ПЗ/ЗБ следует также указать конкретные условия, используя операцию назначения.

В FPT_TST.1.1 автору ПЗ/ЗБ следует специфицировать, будет ли самотестирование выполняться для демонстрации правильного выполнения всего ФБО или только специфицированных частей ФБО.

J.14.2.3.2. Назначение

В FPT_TST.1.1 автору ПЗ/ЗБ следует, если сделан соответствующий выбор, специфицировать условия, при которых следует выполнять самотестирование.

В FPT_TST.1.1 автору ПЗ/ЗБ следует, если сделан соответствующий выбор, специфицировать список частей ФБО, которые будут предметом самотестирования ФБО.

J.14.2.3.3. Выбор

В FPT_TST.1.2 автору ПЗ/ЗБ следует специфицировать, должна ли быть предусмотрена возможность верификации целостности для всех данных ФБО или только для выбранных данных.

J.14.2.3.4. Назначение

В FPT_TST.1.2 автору ПЗ/ЗБ следует, если сделан соответствующий выбор, специфицировать список данных ФБО, целостность которых будет верифицироваться.