Information technology. Security techniques. Evaluation criteria for it security Security functional requirements
Вид материала | Документы |
Л.8 Надежное восстановление (FPT_RCV) |
- On international information security, 88.63kb.
- Dr. Web Security Space 0 Возможности решения, 216.05kb.
- Настройка eset nod32 Smart Security, 3.46kb.
- Tourist services. Requirements provided for tourist's security, 226.16kb.
- Tourist services. Requirements provided for tourist's security, 242.62kb.
- О проведении открытого запроса предложений, 45kb.
- Информационный бюллетень osint №22 ноябрь декабрь 2011, 7189.58kb.
- Задание параметров для групп пользователей Настройка шаблонов, 432.37kb.
- Темы конференции: Криптография. Актуальность в современном обществе. Современная киберпреступность, 20.64kb.
- Kaspersky Internet Security 2010: обзор продукта, 176.55kb.
Л.8 Надежное восстановление (FPT_RCV)
Требования семейства FPT_RCV обеспечивают, чтобы ФБО могли определить, не нарушена ли защита ФБО при запуске, и восстанавливаться без нарушения защиты после прерывания операции. Это семейство важно, потому что начальное состояние ФБО при запуске или восстановлении определяет защищенность ОО в последующем.
Компоненты данного семейства позволяют устанавливать безопасное состояние ФБО или предотвращать их переход в опасное состояние после сбоев, прерывания функционирования или перезапуска. В число возможных сбоев обычно включают:
а) сбои, которые всегда приводят к аварийным отказам системы (например, устойчивая несогласованность критичных системных таблиц; неуправляемые переходы в коде ФБО, вызванные сбоями аппаратных или программно-аппаратных средств; сбои питания, процессора, связи);
б) сбои носителей, приводящие к тому, что часть носителя или весь носитель, представляющий объекты ФБО, становится недоступным или неисправным (например, ошибки четности, неисправность головок дисков, устойчивый сбой чтения/записи, неточная юстировка головок дисков, износ магнитного покрытия, запыленность поверхности диска);
в) прерывание функционирования вследствие ошибочных действий администратора или отсутствия его своевременных действий (например, неожиданное прекращение работы из-за неподготовленности к отключению питания, игнорирование перерасхода критичных ресурсов, неадекватная инсталлированная конфигурация).
Важно отметить, что восстановление может быть предусмотрено для сценария как частичного, так и полного отказа. Полный отказ может возникнуть в неразделенной операционной системе, в распределенной среде его вероятность меньше. В такой среде некоторые подсистемы могут отказать, в то время как другие части останутся работающими. Более того, критичные элементы могут иметь избыточность (дублирование дисков, альтернативные маршруты) и точки проверки. Под восстановлением имеется в виду восстановление безопасного состояния.
Семейство FPT_RCV идентифицирует режим аварийной поддержки. В этом режиме нормальное функционирование может оказаться невозможным или сильно ограниченным из-за возможности перехода в опасное состояние. В таких случаях обычно доступ разрешается только уполномоченным пользователям, а более конкретно, кто может получить доступ в режиме аварийной поддержки, определяется в классе FMT "Управление безопасностью". Если в классе FMT нет никаких указаний о том, кто имеет право доступа в этом режиме, теоретически допускается, что восстановить систему может любой пользователь. Однако на практике это нежелательно, поскольку пользователь, восстанавливающий систему, может установить конфигурацию ОО, нарушающую ПБО.
Механизмы, предназначенные для обнаружения исключительных состояний при эксплуатации, определяются в FPT_TST "Самотестирование ФБО", FPT_FLS "Безопасность при сбое" и в других разделах, относящихся к проблеме "Сохранность программного обеспечения".
Замечания для пользователя
В этом семействе применяется выражение "безопасное состояние". Оно относится к состоянию, при котором данные ФБО непротиворечивы и продолжают корректное осуществление ПБО. Это состояние может быть состоянием после загрузки системы или состоянием в некоторой контрольной точке. Термин "безопасное состояние" определяется в модели ПФБ. Если разработчик предоставил четкое определение безопасного состояния и разъяснение, когда его следует считать таковым, зависимость FPT_RCV.1 - FPT_RCV.4 от ADV_SPM.1 можно не учитывать.
FPT_RCV.1 Ручное восстановление
Среди видов надежного восстановления тот из них, который основан только на ручном вмешательстве, наименее желателен, так как при этом исключается восстановление системы без участия человека.
Замечания по применению для пользователя
Компонент FPT_RCV.1 предназначен для применения в ОО, которые не требуют автоматического восстановления безопасного состояния. Требования этого компонента направлены против угрозы нарушения защиты в результате приведения ОО с участием человека в опасное состояние при восстановлении после сбоя или другого прерывания.
Замечания по применению для оценщика
Допускается, чтобы функции уполномоченного администратора по надежному восстановлению были доступны ему только в режиме аварийной поддержки. Следует предусмотреть средства ограничения доступа в режиме аварийной поддержки, предоставляя его только уполномоченным пользователям.
FPT_RCV.2 Автоматическое восстановление
Автоматическое восстановление считается более предпочтительным, чем ручное, так как оно позволяет машине продолжать функционирование без участия человека.
Замечания по применению для пользователя
Компонент FPT_RCV.2 расширяет FPT_RCV.1, требуя возможность автоматического восстановления хотя бы после одного типа сбоя/прерывания обслуживания. Требования этого компонента направлены против угрозы нарушения защиты в результате приведения ОО без участия человека в опасное состояние при восстановлении после сбоя или другого прерывания.
Замечания по применению для оценщика
Допускается, чтобы функции уполномоченного администратора по надежному восстановлению были доступны ему только в режиме аварийной поддержки. Следует предусмотреть средства ограничения доступа в режиме аварийной поддержки, предоставляя его только уполномоченным пользователям.
В соответствии с FPT_RCV.2.1 разработчик ФБО отвечает за определение совокупности сбоев и прерываний обслуживания, после которых возможно восстановление.
Предполагается, что робастность механизмов автоматического восстановления будет верифицирована.
Операции
Назначение
Для FPT_RCV.2.2 автору ПЗ/ЗБ следует специфицировать список сбоев или других прерываний обслуживания, для которых необходима возможность автоматического восстановления.
FPT_RCV.3 Автоматическое восстановление без недопустимой потери
Автоматическое восстановление считается более предпочтительным, чем ручное, но оно связано с риском потери большого числа объектов. Предотвращение недопустимых потерь объектов обеспечивается дополнительными средствами восстановления.
Замечания по применению для пользователя
Компонент FPT_RCV.3 расширяет FPT_RCV.2, требуя, чтобы не было чрезмерных потерь данных или объектов ФБО в ОДФ. В соответствии с FPT_RCV.2 механизм автоматического восстановления мог бы, в предельном случае, произвести восстановление путем уничтожения всех объектов и возвращения ФБО в известное безопасное состояние. Такой тип автоматического восстановления в FPT_RCV.3 запрещается.
Требования этого компонента направлены против угрозы нарушения защиты в результате непредусмотренного перехода ОО в опасное состояние при восстановлении после сбоя или перерывов в функционировании с большой потерей данных или объектов ФБО в ОДФ.
Замечания по применению для оценщика
Допускается, чтобы функции уполномоченного администратора по надежному восстановлению были доступны ему только в режиме аварийной поддержки. Следует предусмотреть средства ограничения доступа в режиме аварийной поддержки, предоставляя его только уполномоченным пользователям.
Предполагается, что робастность механизмов автоматического восстановления будет верифицирована оценщиком.
Операции
Назначение
Для FPT_RCV.3.2 автору ПЗ/ЗБ следует специфицировать список сбоев или других прерываний обслуживания, для которых необходима возможность автоматического восстановления.
Для FPT_RCV.3.3 автору ПЗ/ЗБ следует предоставить количественную меру приемлемых потерь данных или объектов ФБО.
FPT_RCV.4 Восстановление функции
Компонент FPT_RCV.4 содержит требование, чтобы в случае сбоя ФБО некоторые функции из числа ФБО либо нормально заканчивали работу, либо возвращались к безопасному состоянию.
Операции
Назначение
В FPT_RCV.4.1 автору ПЗ/ЗБ следует специфицировать список функций безопасности и сценариев сбоев, для которых нормально заканчивается работа ФБ, указанных в списке, или восстанавливается их устойчивое и безопасное состояние.