Information technology. Security techniques. Evaluation criteria for it security Security functional requirements

Вид материалаДокументы
И.6 Роли управления безопасностью (FMT_SMR)
Приватность (FPR)
Рисунок К.1 - Декомпозиция класса "Приватность"
Подобный материал:
1   ...   60   61   62   63   64   65   66   67   ...   78

И.6 Роли управления безопасностью (FMT_SMR)



Семейство FMT_SMR уменьшает вероятность ущерба, который могут нанести пользователи действиями, выходящими за рамки назначенных им функциональных обязанностей. В семействе также рассматривается противодействие угрозе применения неадекватного механизма, предоставляемого для безопасного управления ФБО.

Это семейство содержит требования к предоставлению информации по поддержке идентификации полномочий пользователя на применение отдельных административных функций, относящихся к безопасности.

Некоторые действия управления могут выполнять пользователи, другие - только специально назначенные лица из данной организации. Семейство позволяет определять различные роли, такие как владелец, аудитор, администратор, дежурный администратор.

Все роли из этого семейства связаны с безопасностью. Каждая роль может предоставлять широкие возможности (например, доступ ко всей структуре UNIX) или незначительные права (например, право чтения объектов единственного типа, таких как файл помощи). Все роли определяются в этом семействе. Возможности ролей определяются в семействах FIA_MOF#, FMT_MSA и FMT_MTD.

Некоторые типы ролей могут быть взаимно исключающими. Например, дежурный администратор может быть способен определять и активизировать пользователей, но не удалять их (эта возможность закреплена за ролью администратора). Это семейство допускает спецификацию политик двойного управления.

FMT_SMR.1 Роли безопасности

Компонент FMT_SMR.1 определяет различные роли, которые ФБО следует распознавать. В системах часто проводится различие между владельцем сущности, администратором и остальными пользователями.

Операции

Назначение

В FMT_SMR.1. автору ПЗ/ЗБ следует специфицировать роли, которые распознаются системой. Это роли, которые могут исполнять пользователи относительно безопасности. Примеры ролей: владелец, аудитор, администратор.

FMT_SMR.2 Ограничения на роли безопасности

Компонент FMT_SMR.2 специфицирует различные роли, которые ФБО следует распознавать, и условия, при которых этими ролями можно управлять. В системах часто проводится различие между владельцем сущности, администратором и другими пользователями.

Условия, налагаемые на роли, определяют взаимоотношения различных ролей, а также ограничения на принятие роли пользователем.

Операции

Назначение

В FMT_SMR.2.1 автору ПЗ/ЗБ следует специфицировать роли, которые распознаются системой. Это роли, которые могут исполнять пользователи относительно безопасности. Примеры ролей: владелец, аудитор, администратор.

В FMT_SMR.2.3 автору ПЗ/ЗБ следует специфицировать условия, которым необходимо следовать при управлении назначением роли. Примерами таких условий являются: "заказчик не может исполнять роль аудитора или администратора" или "пользователю, исполняющему роль ассистента, необходимо также исполнять роль владельца".

FMT_SMR.3 Принятие ролей

Компонент FMT_SMR.3 определяет, что для принятия некоторых ролей необходим точный запрос.

Операции

Назначение

В FMT_SMR.3.1 автору ПЗ/ЗБ следует специфицировать роли, для принятия которых требуется точный запрос. Примеры: аудитор и администратор.


Приложение К

(справочное)

Приватность (FPR)



Класс FPR описывает требования, которые могут накладываться для удовлетворения потребности пользователя и приватности, допуская максимально возможную гибкость системы, но оставляя в то же время возможной поддержку достаточного управления функционированием системы.

Компоненты этого класса достаточно гибки, чтобы учитывать, распространяется ли действие затребованных функций безопасности на уполномоченных пользователей. Например, автор ПЗ/ЗБ мог бы указать, что не потребуется защита приватности пользователя от пользователей, наделенных специальными полномочиями.

Декомпозиция класса FPR на составляющие его компоненты приведена на рисунке К.1.

Класс FPR вместе с другими классами (содержащими требования аудита, управления доступом, предоставления доверенного маршрута и неотказуемости) обеспечивает гибкость при спецификации желательного режима приватности. В то же время требования этого класса могут налагать ограничения на использование компонентов других классов, таких как FIA или FAU. Например, если уполномоченным пользователям не разрешено знать идентификатор пользователя (например, в семействах "Анонимность" или "Псевдонимность"), то, очевидно, невозможно будет оставить отдельных пользователей ответственными за выполняемые ими относящиеся к безопасности действия, на которые распространяются требования приватности. Тем не менее и в этом случае возможно включение в ПЗ/ЗБ требований аудита, когда само возникновение некоторых событий, связанных с безопасностью, важнее, чем знание того, кто был их инициатором.


┌──────────────────────────────┐

│ Приватность │

└───┬──────────────────────────┘

│ ┌──────────────────────────────────┐ ┌───┐ ┌───┐

├─┤ FPR ANO Анонимность ├───┤ 1 ├─┤ 2 │

│ │ │ └───┘ └───┘

│ └──────────────────────────────────┘

│ ┌───┐

│ ┌──────────────────────────────────┐ ┌─┤ 2 │

├─┤ FPR_PSE Псевдонимность │ ┌───┐ │ └───┘

│ │ ├───┤ 1 ├─┤ ┌───┐

│ └──────────────────────────────────┘ └───┘ └─┤ 3 │

│ └───┘

│ ┌──────────────────────────────────┐ ┌───┐

├─┤ FPR_UNL Невозможность ассоциации ├───┤ 1 │

│ │ │ └───┘

│ └──────────────────────────────────┘

│ ┌───┐ ┌───┐

│ ┌───────┤ 1 ├──┤ 2 │

│ ┌──────────────────────────────────┐ │ └───┘ └───┘

└─┤ FPR_UNO Скрытность │ │ ┌───┐

│ ├─┼─┤ 3 │

└──────────────────────────────────┘ │ └───┘

│ ┌───┐

└───────┤ 4 │

└───┘


Рисунок К.1 - Декомпозиция класса "Приватность"


Дополнительная информация по этому вопросу представлена в замечаниях по применению класса FAU, где разъясняется, что вместо идентификатора в контексте аудита может применяться псевдоним или другая информация, которая могла бы идентифицировать пользователя.

Этот класс содержит четыре семейства. "Анонимность", "Псевдонимность", "Невозможность ассоциации" и "Скрытность". Три первых семейства имеют сложные взаимосвязи. При выборе семейства для применения следует учитывать выявленные угрозы. Для некоторых типов угроз приватности "Псевдонимность" подойдет больше, чем "Анонимность" (например, при требовании проведения аудита). Кроме того, некоторым видам угроз приватности наилучшим образом противостоит сочетание компонентов из нескольких семейств

Во всех семействах предполагается, что пользователь не предпринимает прямо никаких действий, раскрывающих его собственный идентификатор. Например, не ожидается, чтобы ФБО скрывали имя пользователя в сообщениях электронной почты или базы данных.

Все семейства этого класса имеют компоненты, область действия которых может быть задана операциями. Эти операции позволяют автору ПЗ/ЗБ указать те действия, общие для пользователей/субъектов, которым необходимо противодействовать с использованием ФБО. Возможный пример отображения анонимности: "ФБО должны обеспечить, чтобы пользователи и/или субъекты были не способны определить идентификатор пользователя, обратившегося за телеконсультацией".

Следует, чтобы ФБО предоставляли защиту от действий не только отдельных пользователей, но и пользователей, объединившихся для получения определенной информации. Стойкость защиты, предоставляемой этим классом, следует описать как стойкость функции согласно Б и В к ГОСТ Р ИСО/МЭК 15408-1.