ГОСТ Р ИСО/МЭК 15408-2-2013 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные компоненты безопасности

Приложение F
(обязательное)

     
Защита данных пользователя (FDP)

Класс FDP содержит семейства, определяющие требования, связанные с защитой данных пользователя. Этот класс отличается от FIA и FPT тем, что определяет компоненты для защиты данных пользователя, тогда как FIA определяет компоненты для защиты атрибутов, ассоциированных с пользователем, a FPT - для защиты информации ФБО.

Этот класс не содержит явного требования "мандатного управления доступом" (Mandatory Access Controls - MAC) или традиционного "дискреционного управления доступом" (Discretionary Access Controls - DAC); тем не менее такие требования могут быть выражены с использованием компонентов этого класса.

Класс FDP "Защита данных пользователя" не касается явно конфиденциальности, целостности или доступности, чаще всего сочетающихся в политике и механизмах. Тем не менее в ПЗ/ЗБ политику безопасности ОО необходимо адекватно распространить на эти три цели.

Заключительным аспектом этого класса является то, что он специфицирует управление доступом в терминах "операций". "Операция" определяется как специфический тип доступа к конкретному объекту. В зависимости от уровня абстракции описания автором ПЗ/ЗБ этих операций, они могут определяться как "чтение" и/или "запись" или как более сложные операции, например "обновление базы данных".

Политики управления доступом определяют доступ к хранилищам информации. Атрибуты представлены атрибутами места хранения. Как только информация считана из хранилища, лицо, имеющее доступ к ней, может бесконтрольно использовать эту информацию, включая ее запись в различные хранилища с другими атрибутами. Напротив, политики управления информационными потоками контролируют доступ к информации, независимо от места ее хранения. Атрибуты информации, которые могут быть (или не быть, как в случае многоуровневых баз данных) ассоциированы с атрибутами места хранения, остаются с информацией при ее перемещении. Получатель доступа к информации не имеет возможности изменять ее атрибуты без явного разрешения.

Класс FDP не рассматривается как полная таксономия политик управления доступом ИТ, поскольку могут быть предложены иные. Сюда включены те политики, для которых спецификация требований основана на накопленном опыте применения существующих систем. Возможны и другие формы доступа, которые не учтены в имеющихся формулировках.

Так, можно представить себе задачу иметь способы управления информационным потоком, определяемые пользователем (например, реализующие автоматизированную обработку информации "Не для посторонних"). Подобные понятия могли бы быть учтены путем уточнения или расширения компонентов класса FDP.

Наконец, при рассмотрении компонентов класса FDP "Защита данных пользователя" важно помнить, что эти компоненты содержат требования для функций, которые могут быть реализованы механизмами, которые служат или могли бы служить и для других целей. Например, возможно формирование политики управления доступом (FDP_ACC), которая использует метки (FDP_IFF.1 "Простые атрибуты безопасности") как основу для механизма управления доступом.

Совокупность ФТБ может содержать несколько политик функций безопасности (ПФБ), каждая из которых будет идентифицирована компонентами двух ориентированных на политики семейств "Политика управления безопасностью" FDP_ACC и "Политика управления информационными потоками" FDP_IFC. Эти политики будут, как правило, учитывать аспекты конфиденциальности, целостности и доступности так, как это потребуется для удовлетворения требований к ОО. Следует побеспокоиться, чтобы на каждый объект обязательно распространялась, по меньшей мере, одна ПФБ, и чтобы при реализации различных ПФБ не возникали конфликты.

Во время разработки ПЗ/ЗБ с использованием компонентов класса FDP "Защита данных пользователя" при их просмотре и выборе необходимо руководствоваться следующим.

Требования класса FDP "Защита данных пользователя" определены в терминах совокупности ФТБ, которые реализуют ПФБ. Поскольку ОО может одновременно следовать нескольким ПФБ, автору ПЗ/ЗБ необходимо дать каждой из ПФБ название, на которое можно ссылаться в других семействах. Это название будет затем использоваться в каждом компоненте, выбранном для определения части требований для соответствующей ПФБ. Это позволяет автору легко указать область действия, например охватываемые объекты и операции, уполномоченные пользователи и т.д.

Как правило, каждое применение компонента возможно только для одной ПФБ. Поэтому, если ПФБ специфицирована в компоненте, то она будет применена во всех элементах этого компонента. Эти компоненты могут применяться в ПЗ/ЗБ несколько раз, если желательно учесть несколько политик.

Ключом к выбору компонентов из этого семейства является наличие полностью определенной совокупности целей безопасности ОО, обеспечивающей правильный выбор компонентов из семейств "Политика управления доступом" FDP_ACC и "Политика управления информационными потоками" FDP_IFC. В FDP_ACC "Политика управления доступом" и FDP_IFC "Политика управления информационными потоками" присваивают имя соответственно каждой политике управления доступом или информационными потоками. Кроме того, эти компоненты определяют субъекты, объекты и операции, входящие в область действия соответствующих функций безопасности. Предполагается, что имена этих политик будут использоваться повсеместно в тех функциональных компонентах, которые имеют операцию, запрашивающую назначение или выбор "ПФБ управления доступом" и/или "ПФБ управления информационными потоками". Правила, которые определяют функциональные возможности именованных ПФБ управления доступом или информационными потоками, будут установлены в семействах FDP_ACF "Функции управления доступом" и FDP_IFF "Функции управления информационными потоками" соответственно.

Ниже приведена рекомендуемая последовательность применения этого класса при построении ПЗ/ЗБ, для чего необходимо идентифицировать следующее:

a) осуществляемые политики, применив семейства FDP_ACC "Политика управления доступом" и FDP_IFC "Политика управления информационными потоками". Эти семейства определяют область действия каждой политики, уровень детализации управления и могут идентифицировать некоторые правила следования политике;

b) требуемые компоненты, после чего выполнить все применяемые операции в компонентах, относящихся к политикам. Операции назначения могут выполняться как в обобщенном виде (например, "все файлы"), так и конкретно (файлы "А", "В" и т.д.) в зависимости от уровня детализации;

c) все потенциально применяемые компоненты, относящиеся к функциям, из семейств FDP_ACF "Функции управления доступом" и FDP_IFF "Функции управления информационным потоками", связанные с именованными политиками из семейств FDP_ACC "Политика управления доступом" и FDP_IFC "Политика управления информационными потоками". Выполнить операции, чтобы получить компоненты, определяющие правила этих политик. Это следует сделать так, чтобы компоненты отражали требования выбранной функции, которые уже можно себе представить или которые только подлежат разработке;

d) тех, кому будет предоставлена возможность управления атрибутами функций безопасности и их изменения, например, только администратору безопасности, только владельцу объекта и т.д., после чего выбрать соответствующие компоненты из класса FMT "Управление безопасностью" и выполнить в них операции. Здесь могут быть полезны уточнения для идентификации недостающих свойств, например, некоторые или все изменения необходимо выполнять только с использованием доверенного маршрута;

e) все подходящие компоненты класса FMT "Управление безопасностью", необходимые для спецификации начальных значений новых объектов и субъектов;

f) все компоненты семейства FDP_ROL "Откат", применяемые для отката к предшествующему состоянию;

g) все требования из семейства FDP_RIP "Защита остаточной информации", применяемые для защиты остаточной информации;

h) все компоненты из семейств FDP_ITC "Импорт данных из-за пределов ОО" и FDP_ETC "Экспорт данных из ОО", используемые при импорте или экспорте данных, указав, как следует обращаться при этом с атрибутами безопасности;

i) все используемые компоненты, относящиеся к внутренним передачам ОО, из семейства FDP_ITT "Передача в пределах ОО";

j) требования защиты целостности хранимой информации из FDP_SDI "Целостность хранимых данных";

k) все применяемые компоненты, относящиеся к передаче данных между ФБО, из семейств FDP_UCT "Защита конфиденциальности данных пользователя при передаче между ФБО" или FDP_UIT "Защита целостности данных пользователя при передаче между ФБО".

Декомпозиция класса FDP на составляющие его компоненты приведена на рисунке F.1.