Information technology. Security techniques. Evaluation criteria for it security Security functional requirements
| Вид материала | Документы |
| Г.2 Неотказуемость получения (FCO_NRR) |
- On international information security, 88.63kb.
- Dr. Web Security Space 0 Возможности решения, 216.05kb.
- Настройка eset nod32 Smart Security, 3.46kb.
- Tourist services. Requirements provided for tourist's security, 226.16kb.
- Tourist services. Requirements provided for tourist's security, 242.62kb.
- О проведении открытого запроса предложений, 45kb.
- Информационный бюллетень osint №22 ноябрь декабрь 2011, 7189.58kb.
- Задание параметров для групп пользователей Настройка шаблонов, 432.37kb.
- Темы конференции: Криптография. Актуальность в современном обществе. Современная киберпреступность, 20.64kb.
- Kaspersky Internet Security 2010: обзор продукта, 176.55kb.
Г.2 Неотказуемость получения (FCO_NRR)
"Неотказуемость получения" определяет требования по предоставлению пользователям/субъектам свидетельства о том, что информация была принята получателем. Получатель не сможет отрицать факт приема информации, поскольку свидетельство получения (например, цифровая подпись) доказывает связь между атрибутами получателя и информацией. Отправитель или третья сторона может проверить свидетельство получения. Не следует допускать возможность подделки этого свидетельства.
Замечания для пользователя
Следует иметь в виду, что предоставление свидетельства получения информации, означает только, что она доставлена, а не то, что информация обязательно прочитана или понята.
Если информация или ассоциированные с ней атрибуты каким-либо образом изменяются, проверка правильности свидетельства получения может дать отрицательный результат. Поэтому автору ПЗ/ЗБ следует предусмотреть включение в ПЗ/ЗБ требований целостности из компонента FDP_UIT.1 "Целостность передаваемых данных".
Неотказуемость связана с несколькими различными ролями, выполняемыми одним или несколькими субъектами. Во-первых, это субъект, который запрашивает свидетельство получения (только в FCO_NRR.1 "Избирательное доказательство получения"). Во-вторых, - получатель и/или другие субъекты, которым предоставляется свидетельство (например, нотариус). И в-третьих, - субъект, который запрашивает верификацию свидетельства получения, например отправитель или третья сторона, например арбитр.
Автору ПЗ/ЗБ необходимо специфицировать условия, выполнение которых обеспечивает возможность верифицировать правильность свидетельства. Примером такого условия может быть возможность верификации свидетельства в течение суток. Эти условия позволяют также приспособить неотказуемость к юридическим требованиям, таким, например, как наличие возможности предоставления свидетельства в течение нескольких лет.
В большинстве случаев идентификатор получателя будет совпадать с идентификатором пользователя, который принял передачу. В некоторых случаях автор ПЗ/ЗБ может не пожелать передавать сведения об идентификаторе пользователя. В этом случае ему необходимо принять решение, нужно ли привлекать этот класс или же использовать идентификатор провайдера услуг связи или идентификатор узла сети.
Автор ПЗ/ЗБ может использовать момент получения информации в дополнение к идентификатору пользователя или вместо него. Например, заявки о предложениях будут рассмотрены, если поступили до установленного срока. Когда предложение ограничено известным сроком, заказы будут рассмотрены, если они получены до этого срока. В таком случае требования могут быть приспособлены к использованию меток времени (времени получения).
FCO_NRR.1 Избирательное доказательство получения
Операции
Назначение
В FCO_NRR.1.1 автору ПЗ/ЗБ следует указать типы субъектов информации, для которых требуется предоставление свидетельства получения, например сообщения электронной почты.
Выбор
В FCO_NRR.1.1 автору ПЗ/ЗБ следует специфицировать пользователя/субъект, который может запросить свидетельство получения.
Назначение
В FCO_NRR.1.1 автору ПЗ/ЗБ в соответствии с выбором следует специфицировать третьих лиц, которые могут запросить свидетельство получения. Третьим лицом может быть арбитр, судья или юридический орган.
В FCO_NRR.1.2 автору ПЗ/ЗБ следует внести в список те атрибуты, которые должны быть связаны с информацией, например идентификатор получателя, время и место получения.
В FCO_NRR.1.2 автору ПЗ/ЗБ следует внести в список те информационные поля, атрибуты которых обеспечивают свидетельство получения, например текст сообщения.
Выбор
В FCO_NRR.1.3 автору ПЗ/ЗБ следует специфицировать пользователя/субъект, который может верифицировать свидетельство получения.
Назначение
В FCO_NRR.1.3 автору ПЗ/ЗБ в соответствии с выбором следует специфицировать третьих лиц, которые могут верифицировать свидетельство получения.
В FCO_NRR.1.3 автору ПЗ/ЗБ следует сформировать список ограничений, при которых может быть верифицировано свидетельство. Например, свидетельство может быть верифицировано только в течение суток. Допустимо назначение "немедленно" или "неограниченно".
FCO_NRR.2 Принудительное доказательство получения
Операции
Назначение
В FCO_NRR.2.1 автору ПЗ/ЗБ следует указать типы субъектов информации, для которых требуется предоставление свидетельства получения, например сообщения электронной почты.
В FCO_NRR.2.2 автору ПЗ/ЗБ следует внести в список те атрибуты, которые должны быть связаны с информацией, например идентификатор получателя, время и место получения.
В FCO_NRR.2.2 автору ПЗ/ЗБ следует внести в список те информационные поля, атрибуты которых обеспечивают свидетельство получения, например, текст сообщения.
Выбор
В FCO_NRR.2.3 автору ПЗ/ЗБ следует специфицировать пользователя/субъект, который может верифицировать свидетельство получения.
Назначение
В FCO_NRR.2.3 автору ПЗ/ЗБ в соответствии с выбором следует специфицировать третьих лиц, которые могут верифицировать свидетельство получения. Третьим лицом может быть арбитр, судья или юридический орган.
В FCO_NRR.2.3 автору ПЗ/ЗБ следует сформировать список ограничений, при которых может быть верифицировано свидетельство. Например, свидетельство может быть верифицировано только в течение суток. Допустимо назначение "немедленно" или "неограниченно".
Приложение Д
(справочное)