Законодательная база Российской Федерации

"ИНФОРМАЦИОННАЯ ТЕХНОЛОГИЯ. МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. КРИТЕРИИ ОЦЕНКИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ. ЧАСТЬ 2. ФУНКЦИОНАЛЬНЫЕ ТРЕБОВАНИЯ БЕЗОПАСНОСТИ. ГОСТ Р ИСО/МЭК 15408-2-2008" (утв. Приказом Ростехрегулирования от 18.12.2008 N 520-ст)

Класс FPT содержит семейства функциональных требований, связанных с целостностью и управлением механизмами, реализованными в ФБО (не завися при этом от особенностей ПБО), а также с целостностью данных ФБО (не завися от специфического содержания данных ПБО). В некотором смысле компоненты семейств этого класса дублируют компоненты из класса FDP и могут даже использовать одни и те же механизмы. Однако класс FDP "Защита данных пользователя" сфокусирован на защите данных пользователя, в то время как класс FPT "Защита ФБО" - на защите данных ФБО. Фактически компоненты из класса FPT необходимы для обеспечения требований невозможности нарушения и обхода политик ФБО данного ОО.

В рамках данного класса выделяют три важные составные части ФБО:

1) абстрактная машина ФБО, то есть виртуальная или физическая машина, на которой выполняется оцениваемая реализация ФБО;

2) реализация ФБО, которая выполняется на абстрактной машине и реализует механизмы, осуществляющие ПБО;

3) данные ФБО, которые являются административными базами данных, управляющими осуществлением ПБО.

Рисунок 56. Декомпозиция класса FPT "Защита ФБО"

14.1. Тестирование базовой абстрактной машины (FPT_AMT)

14.1.1. Характеристика семейства

Семейство FPT_AMT определяет требования к выполнению тестирования ФБО, демонстрирующего предположения безопасности относительно базовой абстрактной машины, на которую полагаются ФБО. "Абстрактная" машина может быть как платформой аппаратных/программно-аппаратных средств, так и некоторым известным и прошедшим оценку сочетанием аппаратных/программных средств, действующим как виртуальная машина.

14.1.2. Ранжирование компонентов

Рисунок 57. Ранжирование компонентов семейства FPT_AMT

FPT_AMT.1 "Тестирование абстрактной машины" предоставляет возможность проверки базовой абстрактной машины.

14.1.3. Управление: FPT_AMT.1

Для функций управления из класса FMT могут рассматриваться следующие действия:

a) управление условиями, при которых происходит тестирование абстрактной машины, например, при первоначальном запуске, с постоянным интервалом, при заданных условиях;

b) управление временным интервалом (при необходимости).

14.1.4. Аудит: FPT_AMT.1

Если в ПЗ/ЗБ включено семейство FAU_GEN "Генерация данных аудита безопасности", то следует предусмотреть возможность аудита следующих действий:

a) базовый: выполнение тестирования базовой машины и результаты тестирования.

14.1.5. FPT_AMT.1 Тестирование абстрактной машины

Иерархический для: нет подчиненных компонентов.

Зависимости: нет зависимостей.

14.1.5.1. FPT_AMT.1.1

#ФБО должны выполнять пакет тестовых программ [выбор: &при первоначальном запуске, периодически во время нормального функционирования, по запросу уполномоченного пользователя [назначение: другие условия]&] для демонстрации правильности выполнения предположений безопасности, обеспечиваемых абстрактной машиной, которая является базовой для ФБО#.

14.2. Безопасность при сбое (FPT_FLS)

14.2.1. Характеристика семейства

Требования семейства FPT_FLS обеспечивают возможность сохранения политики безопасности ОО при идентифицированных типах сбоев ФБО.

14.2.2. Ранжирование компонентов

Рисунок 58. Ранжирование компонентов семейства FPT_FLS

Это семейство состоит из одного компонента FPT_FLS.1 "Сбой с сохранением безопасного состояния", содержащего требование, чтобы ФБО сохраняли безопасное состояние при идентифицированных сбоях.

14.2.3. Управление: FPT_FLS.1

Действия по управлению не предусмотрены.

14.2.4. Аудит: FPT_FLS.1

Если в ПЗ/ЗБ включено семейство FAU_GEN "Генерация данных аудита безопасности", то следует предусмотреть возможность аудита следующих действий:

a) базовый: сбой ФБО.

14.2.5. FPT_FLS.1 Сбой с сохранением безопасного состояния

Иерархический для: нет подчиненных компонентов.

Зависимости: ADV_SPM.1 Неформальная модель политики безопасности ОО

14.2.5.1. FPT_FLS.1.1

#ФБО должны сохранять безопасное состояние при следующих типах сбоев: [назначение: &список типов сбоев ФБО&]#.

14.3. Доступность экспортируемых данных ФБО (FPT_ITA)

14.3.1. Характеристика семейства

Семейство FPT_ITA определяет правила предотвращения потери доступности данных ФБО, передаваемых между ФБО и удаленным доверенным продуктом ИТ. Это могут быть, например, критичные данные ФБО, такие как пароли, ключи, данные аудита или выполняемый код ФБО.

14.3.2. Ранжирование компонентов

Рисунок 59. Ранжирование компонентов семейства FPT_ITA

Это семейство состоит из одного компонента FPT_ITA.1 "Доступность экспортируемых данных ФБО в пределах заданной метрики", содержащего требование, чтобы ФБО обеспечили с заданной вероятностью доступность данных ФБО, предоставляемых удаленному доверенному продукту ИТ.

14.3.3. Управление: FPT_ITA.1

Для функций управления из класса FMT могут рассматриваться следующие действия:

a) управление списком типов данных ФБО, которые должны быть доступны удаленному доверенному продукту ИТ.

14.3.4. Аудит: FPT_ITA.1

Если в ПЗ/ЗБ включено семейство FAU_GEN "Генерация данных аудита безопасности", то следует предусмотреть возможность аудита следующих действий:

a) минимальный: отсутствие данных ФБО, когда они запрошены ОО.

14.3.5. FPT_ITA.1 Доступность экспортируемых данных ФБО в пределах заданной метрики

Иерархический для: нет подчиненных компонентов.

Зависимости: нет зависимостей.

14.3.5.1. FPT_ITA.1.1

#ФБО должны обеспечивать доступность [назначение: &список типов данных ФБО&] для удаленного доверенного продукта ИТ в пределах [назначение: &заданная метрика доступности&] при выполнении следующих условий [назначение: &условия обеспечения доступности&]#.

14.4. Конфиденциальность экспортируемых данных ФБО (FPT_ITC)

14.4.1. Характеристика семейства

Семейство FPT_ITC определяет правила защиты данных ФБО от несанкционированного раскрытия при передаче между ФБО и удаленным доверенным продуктом ИТ. Это могут быть, например, критичные данные ФБО, такие как пароли, ключи, данные аудита или выполняемый код ФБО.

14.4.2. Ранжирование компонентов

Рисунок 60. Ранжирование компонентов семейства FPT_ITC

Это семейство состоит из одного компонента FPT_ITC.1 "Конфиденциальность экспортируемых данных ФБО при передаче", содержащего требование, чтобы ФБО обеспечили защиту данных, передаваемых между ФБО и удаленным доверенным продуктом ИТ, от раскрытия при передаче.

14.4.3. Управление: FPT_ITC.1

Действия по управлению не предусмотрены.

14.4.4. Аудит: FPT_ITC.1

Нет событий, для которых следует предусмотреть возможность аудита.

14.4.5. FPT_ITC.1 Конфиденциальность экспортируемых данных ФБО при передаче

Иерархический для: нет подчиненных компонентов.

Зависимости: нет зависимостей.

14.4.5.1. FPT_ITC.1.1

#ФБО должны защищать все данные ФБО, передаваемые от ФБО к удаленному доверенному продукту ИТ, от несанкционированного раскрытия при передаче#.

14.5. Целостность экспортируемых данных ФБО (FPT_ITI)

14.5.1. Характеристика семейства

Семейство FPT_ITI определяет правила защиты данных ФБО от несанкционированной модификации при передаче между ФБО и удаленным доверенным продуктом ИТ. Это могут быть, например, критичные данные ФБО, такие как пароли, ключи, данные аудита или выполняемый код ФБО.

14.5.2. Ранжирование компонентов

Рисунок 61. Ранжирование компонентов семейства FPT_ITI

FPT_ITI.1 "Обнаружение модификации экспортируемых данных ФБО" позволяет обнаружить модификацию данных ФБО при передаче между ФБО и удаленным доверенным продуктом ИТ при допущении, что последнему известен используемый механизм передачи.

FPT_ITI.2 "Обнаружение и исправление модификации экспортируемых данных ФБО" позволяет удаленному доверенному продукту ИТ не только обнаружить модификацию, но и восстановить данные ФБО, модифицированные при передаче от ФБО, при допущении, что последнему известен используемый механизм передачи.

14.5.3. Управление: FPT_ITI.1

Действия по управлению не предусмотрены.

14.5.4. Управление: FPT_ITI.2

Для функций управления из класса FMT могут рассматриваться следующие действия:

a) управление типами данных ФБО, которые ФБО следует пытаться исправить, если они модифицированы при передаче;

b) управление типами действий, которые ФБО могут предпринять, если данные ФБО модифицированы при передаче.

14.5.5. Аудит: FPT_ITI.1

Если в ПЗ/ЗБ включено семейство FAU_GEN "Генерация данных аудита безопасности", то следует предусмотреть возможность аудита следующих действий:

a) минимальный: обнаружение модификации передаваемых данных ФБО;

b) базовый: действия, предпринятые при обнаружении модификации передаваемых данных ФБО.

14.5.6. Аудит: FPT_ITI.2

Если в ПЗ/ЗБ включено семейство FAU_GEN "Генерация данных аудита безопасности", то следует предусмотреть возможность аудита следующих действий:

a) минимальный: обнаружение модификации передаваемых данных ФБО;

b) базовый: действия, предпринятые при обнаружении модификации передаваемых данных ФБО;

c) базовый: использование механизма восстановления.

14.5.7. FPT_ITI.1 Обнаружение модификации экспортируемых данных ФБО

Иерархический для: нет подчиненных компонентов.

Зависимости: нет зависимостей.

14.5.7.1. FPT_ITI.1.1

#ФБО должны предоставлять возможность обнаруживать модификацию любых данных ФБО при передаче между ФБО и удаленным доверенным продуктом ИТ в пределах следующей метрики: [назначение: &метрика модификации&]#.

14.5.7.2. FPT_ITI.1.2

#ФБО должны предоставлять возможность верифицировать целостность всех данных ФБО при их передаче между ФБО и удаленным доверенным продуктом ИТ и выполнять [назначение: &предпринимаемые действия&], если модификация обнаружена#.

14.5.8. FPT_ITI.2 Обнаружение и исправление модификации экспортируемых данных ФБО

Иерархический для: FPT_ITI.1 Обнаружение модификации экспортируемых данных ФБО

Зависимости: нет зависимостей.

14.5.8.1. FPT_ITI.2.1

ФБО должны предоставлять возможность обнаруживать модификацию любых данных ФБО при передаче между ФБО и удаленным доверенным продуктом ИТ в пределах следующей метрики: [назначение: метрика модификации].

14.5.8.2. FPT_ITI.2.2

ФБО должны предоставлять возможность верифицировать целостность всех данных ФБО при их передаче между ФБО и удаленным доверенным продуктом ИТ и выполнять [назначение: предпринимаемые действия], если модификация обнаружена.

14.5.8.3. FPT_ITI.2.3

#ФБО должны предоставлять возможность исправлять [назначение: &тип модификации&] все данные ФБО, передаваемые между ФБО и удаленным доверенным продуктом ИТ#.

14.6. Передача данных ФБО в пределах ОО (FPT_Itt)

14.6.1. Характеристика семейства

Семейство FPT_Itt содержит требования защиты данных ФБО при их передаче между разделенными частями ОО по внутреннему каналу.

14.6.2. Ранжирование компонентов

Рисунок 62. Ранжирование компонентов семейства FPT_Itt

FPT_Itt. 1 "Базовая защита внутренней передачи данных ФБО" содержит требование, чтобы данные ФБО были защищены при их передаче между разделенными частями ОО.

FPT_Itt.2 "Разделение данных ФБО при передаче" содержит требование, чтобы при передаче ФБО отделяли данные пользователей от данных ФБО.

FPT_Itt.3 "Мониторинг целостности данных ФБО" содержит требование, чтобы данные ФБО, передаваемые между разделенными частями ОО, контролировались на идентифицированные ошибки целостности.

14.6.3. Управление: FPT_Itt.1

Для функций управления из класса FMT могут рассматриваться следующие действия:

a) управление типами модификации, от которых ФБО следует защищать передаваемые данные;

b) управление механизмом, используемым для обеспечения защиты данных при передаче между различными частями ФБО.

14.6.4. Управление: FPT_Itt.2

Для функций управления из класса FMT могут рассматриваться следующие действия:

a) управление типами модификации, от которых ФБО следует защищать передаваемые данные;

b) управление механизмом, используемым для обеспечения защиты данных при передаче между различными частями ФБО;

c) управление механизмом разделения данных.

14.6.5. Управление: FPT_Itt.3

Для функций управления из класса FMT могут рассматриваться следующие действия:

a) управление типами модификации, от которых ФБО следует защищать передаваемые данные;

b) управление механизмом, используемым для обеспечения защиты данных при передаче между различными частями ФБО;

c) управление типами модификации данных ФБО, которые ФБО следует пытаться обнаружить;

d) управление действиями, предпринимаемыми после обнаружения модификации.

14.6.6. Аудит: FPT_Itt.1, FPT_Itt.2

Нет событий, для которых следует предусмотреть возможность аудита.

14.6.7. Аудит: FPT_Itt.3

Если в ПЗ/ЗБ включено семейство FAU_GEN "Генерация данных аудита безопасности", то следует предусмотреть возможность аудита следующих действий:

a) минимальный: обнаружение модификации данных ФБО;

b) базовый: действия, предпринятые после обнаружения ошибок целостности.

14.6.8. FPT_Itt.1 Базовая защита внутренней передачи данных ФБО

Иерархический для: нет подчиненных компонентов.

Зависимости: нет зависимостей.

14.6.8.1. FPT_Itt.1.1

#ФБО должны защищать свои данные от [выбор: &раскрытие, модификация&] при их передаче между разделенными частями ОО#.

14.6.9. FPT_Itt.2 Разделение данных ФБО при передаче

Иерархический для: FPT_Itt.1 Базовая защита внутренней передачи данных ФБО.

Зависимости: нет зависимостей.

14.6.9.1. FPT_Itt.2.1

ФБО должны защищать свои данные от [выбор: раскрытие, модификация] при их передаче между разделенными частями ОО.

14.6.9.2. FPT_Itt.2.2

#ФБО должны отделять данные пользователя от данных ФБО при их передаче между разделенными частями ОО#.

14.6.10. FPT_Itt.3 Мониторинг целостности данных ФБО

Иерархический для: нет подчиненных компонентов.

Зависимости: FPT_Itt.1 Базовая защита внутренней передачи данных ФБО

14.6.10.1. FPT_Itt.3.1

#ФБО должны быть способны обнаруживать [выбор: &модификация данных, подмена данных, перестановка данных, удаление данных& [назначение: &другие ошибки целостности&] в данных ФБО, передаваемых между разделенными частями ОО#.

14.6.10.2. FPT_Itt.3.2

#При обнаружении ошибки целостности данных ФБО должны предпринимать следующие действия: [назначение: &выполняемые действия&]#.

14.7. Физическая защита ФБО (FPT_PHP)

14.7.1. Характеристика семейства

Компоненты семейства FPT_PHP дают возможность ограничивать физический доступ к ФБО, а также реагировать на несанкционированную физическую модификацию или подмену реализации ФБО и противодействовать им.

Требования компонентов данного семейства обеспечивают, чтобы ФБО были защищены от физического воздействия и вмешательства. Удовлетворение требований этих компонентов позволяет получить реализацию ФБО, компонуемую и используемую способом, предусматривающим обнаружение физического воздействия или противодействие ему. Без этих компонентов защита ФБО теряет эффективность в среде, где не может быть предотвращено физическое повреждение. Это семейство также содержит требования к реакции ФБО на попытки физического воздействия на их реализацию.

14.7.2. Ранжирование компонентов

Рисунок 63. Ранжирование компонентов семейства FPT_PHP

FPT_PHP.1 "Пассивное обнаружение физического нападения" предоставляет возможность известить о вмешательстве в устройства или элементы, реализующие ФБО. Однако оповещение о вмешательстве не действует автоматически; уполномоченному пользователю необходимо вызвать административную функцию безопасности или проверить самому, произошло ли вмешательство.

FPT_PHP.2 "Оповещение о физическом нападении" обеспечивает автоматическое оповещение о вмешательстве для установленного подмножества физических проникновений.

FPT_PHP.3 "Противодействие физическому нападению" предоставляет возможности предотвращения или противодействия физическому вмешательству в устройства и элементы, реализующие ФБО.

14.7.3. Управление: FPT_PHP.1

Для функций управления из класса FMT могут рассматриваться следующие действия:

a) управление пользователем или ролью, которые определяют, произошло ли физическое вмешательство.

14.7.4. Управление: FPT_PHP.2

Для функций управления из класса FMT могут рассматриваться следующие действия:

a) управление пользователем или ролью, которые получают информацию о вторжениях;

b) управление списком устройств, о вторжении в которые следует оповестить указанного пользователя или роль.

14.7.5. Управление: FPT_PHP.3

Для функций управления из класса FMT могут рассматриваться следующие действия:

a) управление автоматической реакцией на физическое воздействие.

14.7.6. Аудит: FPT_PHP.1

Если в ПЗ/ЗБ включено семейство FAU_GEN "Генерация данных аудита безопасности", то следует предусмотреть возможность аудита следующих действий:

a) минимальный: обнаружение вторжения средствами ИТ.

14.7.7. Аудит: FPT_PHP.2

Если в ПЗ/ЗБ включено семейство FAU_GEN "Генерация данных аудита безопасности", то следует предусмотреть возможность аудита следующих действий:

a) минимальный: обнаружение вторжения.

14.7.8. Аудит: FPT_PHP.3

Нет событий, для которых следует предусмотреть возможность аудита.

14.7.9. FPT_PHP.1 Пассивное обнаружение физического нападения

Иерархический для: нет подчиненных компонентов.

Зависимости: нет зависимостей.

14.7.9.1. FPT_PHP.1.1

#ФБО должны обеспечивать однозначное обнаружение физического воздействия, которое может угрожать выполнению ФБО#.

14.7.9.2. FPT_PHP.1.2

#ФБО должны предоставлять возможность определять, произошло ли физическое воздействие на устройства или элементы, реализующие ФБО#.

14.7.10. FPT_PHP.2 Оповещение о физическом нападении

Иерархический для: FPT_PHP.1 Пассивное обнаружение физической атаки

Зависимости: FMT_MOF.1 Управление режимом выполнения функций безопасности

14.7.10.1. FPT_PHP.2.1

ФБО должны обеспечивать однозначное обнаружение физического воздействия, которое может угрожать выполнению ФБО.

14.7.10.2. FPT_PHP.2.2

ФБО должны предоставлять возможность определять, произошло ли физическое воздействие на устройства или элементы, реализующие ФБО.

14.7.10.3. FPT_PHP.2.3

#Для [назначение: &список устройств/элементов, реализующих ФБО, для которых требуется активное обнаружение&] ФБО должны постоянно контролировать устройства, элементы и оповещать [назначение: &назначенный пользователь или роль&], что произошло физическое воздействие на устройства или элементы, реализующие ФБО#.

14.7.11. FPT_PHP.3 Противодействие физическому нападению

Иерархический для: нет подчиненных компонентов.

Зависимости: нет зависимостей.

14.7.11.1. FPT_PHP.3.1

#ФБО должны противодействовать [назначение: &сценарии физического воздействия&] на [назначение: &список устройств/элементов, реализующих ФБО&], реагируя автоматически так, чтобы предотвращать нарушение ПБО#.

14.8. Надежное восстановление (FPT_RCV)

14.8.1. Характеристика семейства

Требования семейства FPT_RCV обеспечивают, чтобы ФБО могли определить отсутствие нарушения защиты ФБО при запуске и восстанавливаться без нарушения защиты после прерывания операций. Это семейство важно, потому что начальное состояние ФБО при запуске или восстановлении определяет защищенность ОО в последующем.

14.8.2. Ранжирование компонентов

Рисунок 64. Ранжирование компонентов семейства FPT_RCV

FPT_RCV.1 "Ручное восстановление" позволяет ОО предоставить только такие механизмы возврата к безопасному состоянию, которые предполагают вмешательство человека.

FPT_RCV.2 "Автоматическое восстановление" предоставляет хотя бы для одного типа прерывания обслуживания восстановление безопасного состояния без вмешательства человека; восстановление после прерываний других типов может потребовать вмешательства человека.

FPT_RCV.3 "Автоматическое восстановление без недопустимой потери" также предусматривает автоматическое восстановление, но повышает уровень требований, препятствуя недопустимой потере защищенных объектов.

FPT_RCV.4 "Восстановление функции" предусматривает восстановление на уровне отдельных ФБ, обеспечивая их нормальное завершение после сбоя либо возврат к безопасному состоянию данных ФБО.

14.8.3. Управление: FPT_RCV.1

Для функций управления из класса FMT могут рассматриваться следующие действия:

a) управление списком доступа к средствам восстановления в режиме аварийной поддержки.

14.8.4. Управление: FPT_RCV.2, FPT_RCV.3

Для функций управления из класса FMT могут рассматриваться следующие действия:

a) управление списком доступа к средствам восстановления в режиме аварийной поддержки;

b) управление списком сбоев/прерываний обслуживания, которые будут обрабатываться автоматическими процедурами.

14.8.5. Управление: FPT_RCV.4

Действия по управлению не предусмотрены.

14.8.6. Аудит: FPT_RCV.1, FPT_RCV.2, FPT_RCV.3

Если в ПЗ/ЗБ включено семейство FAU_GEN "Генерация данных аудита безопасности", то следует предусмотреть возможность аудита следующих действий:

a) минимальный: факт возникновения сбоя или прерывания обслуживания;

b) минимальный: возобновление нормальной работы;

c) базовый: тип сбоя или прерывания обслуживания.

14.8.7. Аудит: FPT_RCV.4

Если в ПЗ/ЗБ включено семейство FAU_GEN "Генерация данных аудита безопасности", то следует предусмотреть возможность аудита следующих действий:

a) минимальный: невозможность возврата к безопасному состоянию после сбоя функции безопасности, если аудит возможен;

b) базовый: обнаружение сбоя функции безопасности, если аудит возможен.

14.8.8. FPT_RCV.1 Ручное восстановление

Иерархический для: нет подчиненных компонентов.

14.8.8.1. FPT_RCV.1.1

#После [назначение: &список сбоев/прерываний обслуживания&] ФБО должны переходить в режим аварийной поддержки, который предоставляет возможность возврата ОО к безопасному состоянию#.

14.8.9. FPT_RCV.2 Автоматическое восстановление

Иерархический для: FPT_RCV.1 Ручное восстановление

14.8.9.1. FPT_RCV.2.1

#Если автоматическое восстановление после# [назначение: список сбоев/прерываний обслуживания] #невозможно#, ФБО должны переходить в режим аварийной поддержки, который предоставляет возможность возврата ОО к безопасному состоянию.

14.8.9.2. FPT_RCV.2.2

#Для [назначение: &список сбоев/прерываний обслуживания&] ФБО должны обеспечивать возврат ОО к безопасному состоянию с использованием автоматических процедур#.

14.8.10. FPT_RCV.3 Автоматическое восстановление без недопустимой потери

Иерархический для: FPT_RCV.2 Автоматическое восстановление

14.8.10.1. FPT_RCV.3.1

Если автоматическое восстановление после [назначение: список сбоев/прерываний обслуживания] невозможно, ФБО должны переходить в режим аварийной поддержки, который предоставляет возможность возврата ОО к безопасному состоянию.

14.8.10.2. FPT_RCV.3.2

Для [назначение: список сбоев/прерываний обслуживания] ФБО должны обеспечивать возврат ОО к безопасному состоянию с использованием автоматических процедур.

14.8.10.3. FPT_RCV.3.3

#Функции из числа ФБО, предназначенные для преодоления последствий сбоя или прерывания обслуживания, должны обеспечивать восстановление безопасного начального состояния без превышения [назначение: &количественная мера&] потери данных ФБО или объектов в пределах ОДФ#.

14.8.10.4. FPT_RCV.3.4

#ФБО должны обеспечивать способность определения, какие объекты могут, а какие не могут быть восстановлены#.

14.8.11. FPT_RCV.4 Восстановление функции

Иерархический для: нет подчиненных компонентов.

Зависимости: ADV_SPM.1 Неформальная модель политики безопасности ОО

14.8.11.1. FPT_RCV.4.1

#ФБО должны обеспечивать следующее свойство для [назначение: &список ФБ и сценариев сбоев&]: ФБ нормально заканчивает работу или, для предусмотренных сценариев сбоев, восстанавливается ее устойчивое и безопасное состояние#.

14.9. Обнаружение повторного использования (FPT_RPL)

14.9.1. Характеристика семейства

Семейство FPT_RPL связано с обнаружением повторного использования различных типов сущностей (таких как сообщения, запросы на обслуживание, ответы на запросы обслуживания) и последующими действиями по его устранению. При обнаружении повторного использования выполнение требований семейства эффективно предотвращает его.

14.9.2. Ранжирование компонентов

Рисунок 65. Ранжирование компонентов семейства FPT_RPL

Семейство состоит из одного компонента FPT_RPL.1 "Обнаружение повторного использования", который содержит требование, чтобы ФБО были способны обнаружить повторное использование идентифицированных сущностей.

14.9.3. Управление: FPT_RPL.1

Для функций управления из класса FMT могут рассматриваться следующие действия:

a) управление списком идентифицированных сущностей, для которых повторное использование должно быть обнаружено;

b) управление списком действий, которые необходимо предпринять при повторном использовании.

14.9.4. Аудит: FPT_RPL.1

Если в ПЗ/ЗБ включено семейство FAU_GEN "Генерация данных аудита безопасности", то следует предусмотреть возможность аудита следующих действий:

a) базовый: обнаруженные нападения посредством повторного использования;

b) детализированный: предпринятые специальные действия.

14.9.5. FPT_RPL.1 Обнаружение повторного использования

Иерархический для: нет подчиненных компонентов.

Зависимости: нет зависимостей.

14.9.5.1. FPT_RPL.1.1

#ФБО должны обнаруживать повторное использование для следующих сущностей: [назначение: &список идентифицированных сущностей&]#.

14.9.5.2. FPT_RPL.1.2

#ФБО должны выполнять [назначение: &список специальных действий&] при обнаружении повторного использования#.

14.10. Посредничество при обращениях (FPT_RVM)

14.10.1. Характеристика семейства

Требования семейства FPT_RVM связаны с аспектом "постоянная готовность" традиционного монитора обращений. Цель этого семейства состоит в обеспечении для заданной ПФБ, чтобы все действия, требующие осуществления политики, проверялись ФБО на соответствие ПФБ. Если, помимо этого, часть ФБО, осуществляющая ПФБ, выполняет требования соответствующих компонентов из семейств FPT_SEP "Разделение домена" и ADV_INT "Внутренняя структура ФБО", то эта часть ФБО обеспечивает "монитор обращений" для этой ПФБ.

ФБО при реализации ПФБ предоставляют эффективную защиту от несанкционированных операций тогда и только тогда, когда правомочность всех потенциально осуществляемых действий (например, доступа к объектам), запрошенных субъектами, недоверенными относительно всех или именно данной ПФБ, проверяется ФБО до выполнения действий. Если действия по проверке, которые должны выполняться ФБО, выполнены неправильно или проигнорированы (обойдены), то осуществление ПФБ в целом может быть поставлено под угрозу (ее можно обойти). Тогда субъекты смогут обходить ПФБ различными способами (такими как обход проверки доступа для некоторых субъектов и объектов, обход проверки для объектов, защита которых управляется прикладными программами, сохранение права доступа после истечения установленного срока действия, обход аудита действий, подлежащих аудиту, обход аутентификации). Важно отметить, что некоторым субъектам, так называемым "доверенным субъектам" относительно одной из ПФБ, может быть непосредственно доверено осуществление этой ПФБ, предоставляя тем самым возможность обойтись без ее посредничества.

14.10.2. Ранжирование компонентов

Рисунок 66. Ранжирование компонентов семейства FPT_RVM

Это семейство состоит только из одного компонента FPT_RVM.1 "Невозможность обхода ПБО", который содержит требование предотвращения обхода для всех ПФБ из ПБО.

14.10.3. Управление: FPT_RVM.1

Действия по управлению не предусмотрены.

14.10.4. Аудит: FPT_RVM.1

Нет событий, для которых следует предусмотреть возможность аудита.

14.10.5. FPT_RVM.1 Невозможность обхода ПБО

Иерархический для: нет подчиненных компонентов.

Зависимости: нет зависимостей.

14.10.5.1. FPT_RVM.1.1

#ФБО должны обеспечивать, чтобы функции, осуществляющие ПБО, вызывались и успешно выполнялись, прежде чем разрешается выполнение любой другой функции в пределах ОДФ#.

14.11. Разделение домена (FPT_SEP)

14.11.1. Характеристика семейства

Компоненты семейства FPT_SEP обеспечивают, чтобы, по меньшей мере, один домен безопасности был доступен только для собственного выполнения ФБО, и этим ФБО были бы защищены от внешнего вмешательства и искажения (например, модификации кода или структур данных ФБО) со стороны недоверенных субъектов. Выполнение требований этого семейства устанавливает такую самозащиту ФБО, что недоверенный субъект не сможет модифицировать или повредить ФБО.

Это семейство содержит следующие требования:

a) ресурсы домена безопасности ФБО ("защищенного домена") и ресурсы субъектов и активных сущностей, внешних по отношению к этому домену, должны разделяться так, чтобы сущности, внешние по отношению к защищенному домену, не могли получить или модифицировать данные или код ФБО в пределах защищенного домена;

b) обмен между доменами должен управляться так, чтобы произвольный вход в защищенный домен или произвольный выход из него были невозможны;

c) параметры пользователя или прикладной программы, переданные в защищенный домен по адресу, должны проверяться относительно адресного пространства защищенного домена, а переданные по значению - относительно значений, ожидаемых этим доменом;

d) защищенные домены субъектов должны быть разделены, за исключением случаев, когда совместное использование одного домена управляется ФБО.

14.11.2. Ранжирование компонентов

Рисунок 67. Ранжирование компонентов семейства FPT_SEP

FPT_SEP.1 "Отделение домена ФБО" обеспечивает отдельный защищенный домен для ФБО и разделение между субъектами в ОДФ.

FPT_SEP.2 "Отделение домена ПФБ" содержит требования дальнейшего разбиения защищенного домена ФБО с выделением отдельного(ых) домена(ов) для идентифицированной совокупности ПФБ, которые действуют как мониторы обращений для них, и домена для остальной части ФБО, а также доменов для частей ОО, не связанных с ФБО.

FPT_SEP.3 "Полный монитор обращений" содержит требования, чтобы имелся отдельный(ые) домен(ы) для осуществления ПБО, домен для остальной части ФБО, а также домены для частей ОО, не связанных с ФБО.

14.11.3. Управление: FPT_SEP.1, FPT_SEP.2, FPT_SEP.3

Действия по управлению не предусмотрены.

14.11.4. Аудит: FPT_SEP.1, FPT_SEP.2, FPT_SEP.3

Нет событий, для которых следует предусмотреть возможность аудита.

14.11.5. FPT_SEP.1 Отделение домена ФБО

Иерархический для: нет подчиненных компонентов.

Зависимости: нет зависимостей.

14.11.5.1. FPT_SEP.1.1

#ФБО должны поддерживать домен безопасности для собственного выполнения, защищающий их от вмешательства и искажения недоверенными субъектами#.

14.11.5.2. FPT_SEP.1.2

#ФБО должны осуществлять разделение между доменами безопасности субъектов в ОДФ#.

14.11.6. FPT_SEP.2 Отделение домена ПФБ

Иерархический для: FPT_SEP.1 Отделение домена ФБО

Зависимости: нет зависимостей.

14.11.6.1. FPT_SEP.2.1

#Неизолированная часть ФБО должна# поддерживать домен безопасности для собственного выполнения, защищающий их от вмешательства и искажения недоверенными субъектами.

14.11.6.2. FPT_SEP.2.2

ФБО должны осуществлять разделение между доменами безопасности субъектов в ОДФ.

14.11.6.3. FPT_SEP.2.3

#ФБО должны поддерживать часть ФБО, связанных с [назначение: &список ПФБ управления доступом и/или управления информационными потоками&], в домене безопасности для их собственного выполнения, защищающем их от вмешательства и искажения остальной частью ФБО и субъектами, недоверенными относительно этих ПФБ#.

14.11.7. FPT_SEP.3 Полный монитор обращений

Иерархический для: FPT_SEP.2 Отделение домена ПФБ

Зависимости: отсутствуют.

14.11.7.1. FPT_SEP.3.1

Неизолированная часть ФБО должна поддерживать домен безопасности для собственного выполнения, защищающий их от вмешательства и искажения недоверенными субъектами.

14.11.7.2. FPT_SEP.3.2

ФБО должны осуществлять разделение между доменами безопасности субъектов в ОДФ.

14.11.7.3. FPT_SEP.3.3

ФБО должны поддерживать часть ФБО, #которая осуществляет ПФБ управления доступом и/или управления информационными потоками#, в домене безопасности для #ее# собственного выполнения, защищающем их от вмешательства и искажения остальной частью ФБО и субъектами, недоверенными относительно #ПБО#.

14.12. Протокол синхронизации состояний (FPT_SSP)

14.12.1. Характеристика семейства

Распределенные системы могут иметь большую сложность, чем нераспределенные, из-за многообразия состояний частей системы, а также задержек связи. В большинстве случаев синхронизация состояния между распределенными функциями включает в себя, помимо обычных действий, применение протокола обмена. Если в среде распределенных систем существуют угрозы безопасности, потребуются более сложные защищенные протоколы.

Семейство FPT_SSP "Протокол синхронизации состояний" устанавливает требование использования надежных протоколов некоторыми критичными по безопасности функциями из числа ФБО. Данное семейство обеспечивает, чтобы две распределенные части ОО (например, главные ЭВМ) синхронизировали свои состояния после действий, связанных с безопасностью.

14.12.2. Ранжирование компонентов

Рисунок 68. Ранжирование компонентов семейства FPT_SSP

FPT_SSP.1 "Одностороннее надежное подтверждение" содержит требование подтверждения одним лишь получателем данных.

FPT_SSP.2 "Взаимное надежное подтверждение" содержит требование взаимного подтверждения обмена данными.

14.12.3. Управление: FPT_SSP.1, FPT_SSP.2

Действия по управлению не предусмотрены.

14.12.4. Аудит: FPT_SSP.1, FPT_SSP.2

Если в ПЗ/ЗБ включено семейство FAU_GEN "Генерация данных аудита безопасности", то следует предусмотреть возможность аудита следующих действий:

a) минимальный: неполучение ожидаемого подтверждения.

14.12.5. FPT_SSP.1 Одностороннее надежное подтверждение

Иерархический для: нет подчиненных компонентов.

Зависимости: FPT_Itt.1 Базовая защита внутренней передачи данных ФБО

14.12.5.1. FPT_SSP.1.1

#ФБО должны подтверждать после запроса другой части ФБО получение немодифицированных данных ФБО при передаче#.

14.12.6. FPT_SSP.2 Взаимное надежное подтверждение

Иерархический для: FPT_SSP.1 Одностороннее надежное подтверждение

Зависимости: FPT_Itt.1 Базовая защита внутренней передачи данных ФБО

14.12.6.1. FPT_SSP.2.1

ФБО должны подтверждать после запроса другой части ФБО получение немодифицированных данных ФБО при передаче.

14.12.6.2. FPT_SSP.2.2

#ФБО должны обеспечивать, чтобы соответствующие части ФБО извещались, используя подтверждения о правильном состоянии данных, передаваемых между различными частями ФБО#.

14.13. Метки времени (FPT_STM)

14.13.1. Характеристика семейства

Семейство FPT_STM содержит требования по предоставлению надежных меток времени в пределах ОО.

14.13.2. Ранжирование компонентов

Рисунок 69. Ранжирование компонентов семейства FPT_STM

Это семейство состоит из одного компонента FPT_STM.1 "Надежные метки времени", который содержит требование, чтобы ФБО предоставляли надежные метки времени для функций из числа ФБО.

14.13.3. Управление: FPT_STM.1

Для функций управления из класса FMT могут рассматриваться следующие действия:

a) управление внутренним представлением времени.

14.13.4. Аудит: FPT_STM.1

Если в ПЗ/ЗБ включено семейство FAU_GEN "Генерация данных аудита безопасности", то следует предусмотреть возможность аудита следующих действий:

a) минимальный: изменения внутреннего представления времени.

b) детализированный: предоставление меток времени.

14.13.5. FPT_STM.1 Надежные метки времени

Иерархический для: нет подчиненных компонентов.

Зависимости: нет зависимостей.

14.13.5.1. FPT_STM.1.1

#ФБО должны быть способны предоставлять надежные метки времени для собственного использования#.

14.14. Согласованность данных ФБО между ФБО (FPT_tdC)

14.14.1. Характеристика семейства

В среде распределенной или сложной системы от ОО может потребоваться произвести обмен данными ФБО (например, атрибутами ПФБ, ассоциированными с данными, информацией аудита или идентификации) с другим доверенным продуктом ИТ. Семейство FPT_tdC определяет требования для совместного использования и согласованной интерпретации этих атрибутов между ФБО и другим доверенным продуктом ИТ.

14.14.2. Ранжирование компонентов

Рисунок 70. Ранжирование компонентов семейства FPT_tdC

FPT_tdC.1 "Базовая согласованность данных ФБО между ФБО" содержит требование, чтобы ФБО предоставили возможность обеспечить согласованность атрибутов между ФБО.

14.14.3. Управление: FPT_tdC.1

Действия по управлению не предусмотрены.

14.14.4. Аудит: FPT_tdC.1

Если в ПЗ/ЗБ включено семейство FAU_GEN "Генерация данных аудита безопасности", то следует предусмотреть возможность аудита следующих действий:

a) минимальный: успешное использование механизмов согласования данных ФБО;

b) базовый: использование механизмов согласования данных ФБО;

c) базовый: идентификация ФБО, данные которых интерпретируются;

d) базовый: обнаружение модифицированных данных ФБО.

14.14.5. FPT_tdC.1 Базовая согласованность данных ФБО между ФБО

Иерархический для: нет подчиненных компонентов.

Зависимости: нет зависимостей.

14.14.5.1. FPT_tdC.1.1

#ФБО должны обеспечивать способность согласованно интерпретировать [назначение: &список типов данных ФБО&], совместно используемые ФБО и другим доверенным продуктом ИТ#.

14.14.5.2. FPT_tdC.1.2

#ФБО должны использовать [назначение: &список правил интерпретации, применяемых ФБО&] при интерпретации данных ФБО, полученных от другого доверенного продукта ИТ#.

14.15. Согласованность данных ФБО при дублировании в пределах ОО (FPT_trC)

14.15.1. Характеристика семейства

Требования семейства FPT_trC необходимы, чтобы обеспечить согласованность данных ФБО, если они дублируются в пределах ОО. Такие данные могут стать несогласованными при нарушении работоспособности внутреннего канала между частями ОО. Если ОО внутренне структурирован как сеть, то это может произойти из-за отключения отдельных частей сети при разрыве сетевых соединений.

14.15.2. Ранжирование компонентов

Рисунок 71. Ранжирование компонентов семейства FPT_trC

Это семейство состоит из одного компонента FPT_trC.1 "Согласованность дублируемых данных ФБО", содержащего требование, чтобы ФБО обеспечили непротиворечивость данных ФБО, дублируемых в нескольких частях ОО.

14.15.3. Управление: для FPT_trC.1

Действия по управлению не предусмотрены.

14.15.4. Аудит: для FPT_trC.1

Если в ПЗ/ЗБ включено семейство FAU_GEN "Генерация данных аудита безопасности", то следует предусмотреть возможность аудита следующих действий:

a) минимальный: восстановление согласованности после восстановления соединения;

b) базовый: выявление несогласованности между данными ФБО.

14.15.5. FPT_trC.1 Согласованность дублируемых данных ФБО

Иерархический для: нет подчиненных компонентов.

Зависимости: FPT_Itt.1 Базовая защита внутренней передачи данных ФБО

14.15.5.1. FPT_trC.1.1

#ФБО должны обеспечивать согласованность данных ФБО при дублировании их в различных частях ОО#.

14.15.5.2. FPT_trC.1.2

#Когда части ОО, содержащие дублируемые данные ФБО, разъединены, ФБО должны обеспечивать согласованность дублируемых данных ФБО после восстановления соединения перед обработкой любых запросов к [назначение: &список ФБ, зависящих от согласованности дублируемых данных ФБО&]#.

14.16. Самотестирование ФБО (FPT_TST)

14.16.1. Характеристика семейства

Семейство FPT_TST определяет требования для самотестирования ФБО в части некоторых типичных операций с известным результатом. Примерами могут служить обращения к интерфейсам реализуемых функций, а также некоторые арифметические операции, выполняемые критичными частями ОО. Эти тесты могут выполняться при запуске, периодически, по запросу уполномоченного пользователя или при удовлетворении других условий. Действия ОО, предпринимаемые по результатам самотестирования, определены в других семействах.

Требования этого семейства также необходимы для обнаружения искажения выполняемого кода ФБО (то есть программной реализации ФБО) и данных ФБО различными сбоями, которые не всегда приводят к приостановке функционирования ОО (рассмотренной в других семействах). Такие проверки необходимо выполнять, так как подобные сбои не всегда можно предотвратить. Такие сбои могут происходить из-за непредусмотренных видов сбоев или имеющихся неточностей в проекте аппаратных, программно-аппаратных и программных средств либо вследствие злонамеренного искажения ФБО, допущенного из-за неадекватной логической и/или физической защиты.

14.16.2. Ранжирование компонентов

Рисунок 72. Ранжирование компонентов семейства FPT_TST

FPT_TST.1 "Тестирование ФБО" позволяет проверять правильность выполнения ФБО. Тесты могут выполняться при запуске, периодически, по запросу уполномоченного пользователя или при выполнении других заранее оговоренных условий. Данный компонент также предоставляет возможность верифицировать целостность данных и выполняемого кода ФБО.

14.16.3. Управление: для FPT_TST.1

Для функций управления из класса FMT могут рассматриваться следующие действия:

a) управление условиями, при которых происходит самотестирование ФБО (при запуске, с постоянным интервалом или при определенных условиях);

b) управление периодичностью выполнения (при необходимости).

14.16.4. Аудит: для FPT_TST.1

Если в ПЗ/ЗБ включено семейство FAU_GEN "Генерация данных аудита безопасности", то следует предусмотреть возможность аудита следующих действий:

a) базовый: выполнение и результаты самотестирования ФБО.

14.16.5. FPT_TST.1 Тестирование ФБО

Иерархический для: нет подчиненных компонентов.

Зависимости: FPT_AMT.1 Тестирование абстрактной машины

14.16.5.1. FPT_TST.1.1

#ФБО должны выполнять пакет программ самотестирования [выбор: &при запуске, периодически в процессе нормального функционирования, по запросу уполномоченного пользователя, при условиях [назначение: условия, при которых следует предусмотреть самотестирование]&] для демонстрации правильного выполнения [выбор: &[назначение: части ФБО]&, ФБО]#.

14.16.5.2. FPT_TST.1.2

#ФБО должны предоставлять уполномоченным пользователям возможность верифицировать целостность [выбор: &[назначение: данных частей ФБО], данных ФБО&]#.

14.16.5.3. FPT_TST.1.3

#ФБО должны предоставлять уполномоченным пользователям возможность верифицировать целостность хранимого выполняемого кода ФБО#.