• Инструменты
• Ссылки сюда
• Проверить на плагиат
• Связанные правки
• Загрузить файл
• Спецстраницы
• Постоянная ссылка

| |

Материал из WikiTory

Содержание 1 Лекция 3.Библиотека функциональных требований безопасности 1.1 Ключевые понятия функциональных требований безопасности 1.2 FAU 1.3 FCO 1.4 FCS 1.5 FDP 1.6 FIA 1.7 FMT 1.8 FPR 1.9 FPT 1.10 FRU 1.11 FTA 1.12 FTP

Лекция 3.Библиотека функциональных требований безопасности

Библиотека функциональных требований безопасности стандарта 15408 содержит 11 классов, 66 семейств, 135 компонентов и предоставляет исчерпывающие сведения о том, какие цели безопасности могут быть достигнуты и каким образом.

Ключевые понятия функциональных требований безопасности

Политика Безопасности ОО (ПБО) определяет правила, по которым ОО управляет доступом к своим ресурсам и, таким образом, ко всей информации и сервисам, контролируемым ОО. ПБО, в свою очередь, состоит из различных политик функций безопасности (ПФБ). Каждая ПФБ имеет свою область действия, определяющую субъекты, объекты и операции, на которые распространяется ПФБ. ПФБ реализуется функцией безопасности (ФБ), чьи механизмы осуществляют политику и предоставляют необходимые возможности. Совокупность всех функций безопасности ОО, которые направлены на осуществление ПБО, определяется как функции безопасности объекта оценки (ФБО). ФБО объединяют функциональные возможности всех аппаратных, программных и программно-аппаратных средств ОО, на которые как непосредственно, так и косвенно возложено обеспечение безопасности.

Совокупность взаимодействий, которые могут происходить с ОО или в пределах ОО и подчинены правилам ПБО, относится к области действия функций безопасности (ОДФ). ОДФ включает в себя определенную совокупность взаимодействий между субъектами, объектами и операциями в пределах ОО, но не предполагает охвата всех ресурсов ОО.

Если ОО состоит из нескольких частей, то каждая часть может иметь собственное подмножество ФБО, которое обменивается данными ФБО и пользователей через внутренние каналы связи с другими подмножествами ФБО. Это взаимодействие называется внутренней передачей ОО. В этом случае части ФБО формируют объединенные ФБО, которые осуществляют ПБО для этого ОО.

Совокупность интерфейсов как интерактивных (человеко-машинный интерфейс), так и программных (интерфейс программных приложений), через которые могут быть получены доступ к ресурсам при посредничестве ФБО или информация от ФБО, называется интерфейсом ФБО (ИФБО). ИФБО определяет границы возможностей функций ОО, которые предоставлены для осуществления ПБО.

Роль - это заранее определенная совокупность правил, устанавливающих допустимые взаимодействия между пользователем и ОО.

Любой функциональный компонент допускает многократное использование (чтобы охватить разные аспекты объекта оценки), называемое в ОК итерацией, а также уточнение и добавление дополнительных деталей (последнее можно считать еще одной формой частичного применения).

Между компонентами функциональных требований, как и между привычными библиотечными функциями, могут существовать зависимости. Они возникают, когда компонент не является самодостаточным и для своей реализации нуждается в привлечении других компонентов. Очевидно, размещая в ПЗ, ЗБ или ФП подобный компонент, нужно включить туда и всю гроздь зависимостей.

Активные сущности названы субъектами. В пределах ОО могут существовать несколько типов субъектов:

1. действующие от имени уполномоченного пользователя и подчиненные всем правилам ПБО (например, процессы UNIX);
2. действующие как особый функциональный процесс, который может, в свою очередь, действовать от имени многих пользователей (например, функции, которые характерны для архитектуры клиент/сервер);
3. действующие как часть собственно ОО (например, доверенные процессы).

Пассивные сущности (т.е. хранилища информации) названы объектами в функциональных требованиях безопасности настоящего стандарта. Объекты являются предметом операций, которые могут выполняться субъектами. В случае, когда субъект (активная сущность) сам является предметом операции (например, при установлении связи между процессами), над субъектом могут производиться действия, как над объектом.

Пользователи, субъекты, информация и объекты обладают определенными атрибутами, которые содержат информацию, позволяющую ОО функционировать правильно. Некоторые атрибуты, такие как имена файлов, могут предназначаться только для информирования, в то время как другие, например различные параметры управления доступом, - исключительно для осуществления ПБО. Эти последние обобщенно названы "атрибутами безопасности".

В ОО содержатся данные пользователей и данные ФБО. На рисунке 1.3 показана их взаимосвязь. Данные пользователей - это информация, содержащаяся в ресурсах ОО, которая может применяться пользователями в соответствии с ПБО и не предназначена специально для ФБО. Например, содержание сообщения электронной почты является данными пользователя. Данные ФБО - это информация, используемая ФБО при осуществлении ПБО. Допустимо воздействие пользователей на данные ФБО, если это предусмотрено ПБО.

Классы:

• FAU - аудит/протоколирование;
• FIA - идентификация/аутентификация;
• FRU - использование ресурсов (обеспечение отказоустойчивости).
• FCO - связь (неотказуемость отправителя/получателя);
• FPR - приватность;
• FDP - защита данных пользователя;
• FPT - защита функций безопасности объекта оценки;
• FCS - криптографическая поддержка;
• FMT - управление безопасностью;
• FTA - управление сеансами работы пользователей;
• FTP - доверенный маршрут/канал.

FAU

Аудит безопасности включает в себя распознавание, запись, хранение и анализ информации, связанной с действиями, относящимися к безопасности (например, с действиями, контролируемыми ПБО). Записи аудита, получаемые в результате, могут быть проанализированы, чтобы определить, какие действия, относящиеся к безопасности, происходили и кто из пользователей за них отвечает. Cостоит из семейств:

• FAU_GEN - генерация данных аудита безопасности;
• FAU_SEL - выбор событий аудита безопасности;
• FAU_STG - хранение событий аудита безопасности;
• FAU_SAR - просмотр аудита безопасности;
• FAU_SAA - анализ аудита безопасности;
• FAU_ARP - автоматическая реакция аудита безопасности.

FCO

Класс FCO содержит два семейства, связанные с уверенностью в идентичности сторон, участвующих в обмене данными: идентичностью отправителя переданной информации (доказательство отправления) и идентичностью получателя переданной информации (доказательство получения). Эти семейства обеспечивают, что отправитель не сможет отрицать факт отправления сообщения, а получатель не сможет отрицать факт его получения. Семейства:

• Неотказуемость отправления (FCO_NRO);
• Неотказуемость получения (FCO_NRR).

FCS

ФБО могут использовать криптографические функциональные возможности для содействия достижению некоторых, наиболее важных целей безопасности. К ним относятся (но ими не ограничиваются) следующие цели: идентификация и аутентификация, неотказуемость, доверенный маршрут, доверенный канал, разделение данных. Класс FCS применяют, когда ОО имеет криптографические функции, которые могут быть реализованы аппаратными, программно-аппаратными и/или программными средствами.

Класс FCS состоит из двух семейств: FCS_CKM "Управление криптографическими ключами" и FCS_COP "Криптографические операции". В семействе FCS_CKM рассмотрены аспекты управления криптографическими ключами, тогда как в семействе FCS_COP рассмотрено практическое применение этих криптографических ключей.

FDP

Класс FDP содержит семейства, определяющие требования к функциям безопасности OO и политикам функций безопасности OO, связанным с защитой данных пользователя. Он разбит на четыре группы семейств, перечисленные ниже и применяемые к данным пользователя в пределах OO при их импорте, экспорте и хранении, а также к атрибутам безопасности, прямо связанным с данными пользователя.

Политики функций безопасности для защиты данных пользователя:

• FDP_ACC "Политика управления доступом";
• FDP_IFC "Политика управления информационными потоками".

Компоненты этих семейств позволяют разработчику ПЗ/ЗБ именовать политики функций безопасности для защиты данных пользователя и определять область действия этих политик, которые необходимо соотнести с целями безопасности. Предполагается, что имена этих политик будут использоваться повсеместно в тех функциональных компонентах, которые имеют операцию, запрашивающую назначение или выбор "ПФБ управления доступом" и/или "ПФБ управления информационными потоками". Правила, которые определяют функциональные возможности именованных ПФБ управления доступом и управления информационными потоками, будут установлены в семействах FDP_ACF и FDP_IFF соответственно.

Виды защиты данных пользователя:

• FDP_ACF "Функции управления доступом";
• FDP_IFF "Функции управления информационными потоками";
• FDP_ITT "Передача в пределах OO";
• FDP_RIP "Защита остаточной информации";
• FDP_ROL "Откат";
• FDP_SDI "Целостность хранимых данных".

Автономное хранение, импорт и экспорт данных:

• FDP_DAU "Аутентификация данных";
• FDP_ETC "Экспорт данных за пределы действия ФБО";
• FDP_ITC "Импорт данных из-за пределов действия ФБО".

Компоненты этих семейств связаны с доверенной передачей данных в или из ОДР.

Связь между ФБО:

• FDP_UCT "Защита конфиденциальности данных пользователя при передаче между ФБО";
• FDP_UIT "Защита целостности данных пользователя при передаче между ФБО".

Компоненты этих семейств определяют взаимодействие между ФБО собственно OO и другого доверенного продукта ИТ.

FIA

Семейства класса FIA содержат требования к функциям установления и верификации заявленного идентификатора пользователя.

Идентификация и аутентификация требуются для обеспечения ассоциации пользователей с соответствующими атрибутами безопасности (такими как идентификатор, группы, роли, уровни безопасности или целостности).

Однозначная идентификация уполномоченных пользователей и правильная ассоциация атрибутов безопасности с пользователями и субъектами критичны для осуществления принятых политик безопасности. Семейства этого класса связаны с определением и верификацией идентификаторов пользователей, определением их полномочий на взаимодействие с OO, а также с правильной ассоциацией атрибутов безопасности с каждым уполномоченным пользователем. Эффективность требований других классов (таких как "Защита данных пользователя", "Аудит безопасности") во многом зависит от правильно проведенных идентификации и аутентификации пользователей. Семейства FIA:

• FIA_UID - идентификация пользователя;
• FIA_UAU - аутентификация пользователя;
• FIA_ATD - определение атрибутов пользователя;
• FIA_USB - связывание пользователь-субъект;
• FIA_AFL - отказы аутентификации;
• FIA_SOS - спецификация секретов.

FMT

Класс FMT предназначен для спецификации управления некоторыми аспектами ФБО: атрибутами безопасности, данными и отдельными функциями. Могут быть установлены различные роли управления, а также определено их взаимодействие, например распределение обязанностей.

Класс позволяет решать следующие задачи:

• Управление данными ФБО, которые включают в себя, например, предупреждающие сообщения.
• Управление атрибутами безопасности, которые включают в себя, например, списки управления доступом и перечни возможностей.
• Управление функциями из числа ФБО, которое включает в себя, например, выбор функций, а также правил или условий, влияющих на режим выполнения ФБО.
• Определение ролей безопасности.

Семейства:

• Управление отдельными функциями ФБО (FMT_MOF);
• Управление атрибутами безопасности (FMT_MSA);
• Управление данными ФБО (FMT_MTD);
• Отмена (FMT_REV);
• Срок действия атрибута безопасности (FMT_SAE);
• Роли управления безопасностью (FMT_SMR).

FPR

Класс FPR содержит требования приватности. Эти требования предоставляют пользователю защиту от раскрытия его идентификатора и злоупотребления этим другими пользователями. Семейства:

• Анонимность (FPR_ANO);
• Псевдонимность (FPR_PSE);
• Невозможность ассоциации (FPR_UNL);
• Скрытность (FPR_UNO).

FPT

Класс FPT содержит семейства функциональных требований, которые связаны с целостностью и управлением механизмами, реализованными в ФБО, не завися при этом от особенностей ПБО, а также с целостностью данных ФБО, не завися от специфического содержания данных ПБО. В некотором смысле, компоненты семейств этого класса дублируют компоненты из класса FDP и могут даже использовать одни и те же механизмы. Однако класс FDP специализирован на защите данных пользователя, в то время как класс FPT нацелен на защиту данных ФБО. Фактически, компоненты из класса FPT необходимы для обеспечения требований невозможности нарушения и обхода политик ФБ данного OO.

В рамках этого класса выделяются три существенные составные части ФБО.

• Абстрактная машина ФБО, т.е. виртуальная или физическая машина, на которой выполняется оцениваемая реализация ФБО.
• Реализация ФБО, которая выполняется на абстрактной машине и реализует механизмы, осуществляющие ПБО.
• Данные ФБО, которые являются административными базами данных, управляющими осуществлением ПБО.

Семейства:

• Тестирование базовой абстрактной машины (FPT_AMT);
• Безопасность при сбое (FPT_FLS);
• Доступность экспортируемых данных ФБО (FPT_ITA);
• Конфиденциальность экспортируемых данных ФБО (FPT_ITC);
• Целостность экспортируемых данных ФБО (FРТ_ITI);
• Передача данных ФБО в пределах OO (FPT_ITT);
• Физическая защита ФБО (FPT_PHP);
• Надежное восстановление (FPT_RCV);
• Обнаружение повторного использования (FPT_RPL);
• Посредничество при обращениях (FPT_RVM);
• Разделение домена (FPT_SEP);
• Протокол синхронизации состояний (FPT_SSP);
• Метки времени (FPT_STM);
• Согласованность данных ФБО между ФБО (FPT_TDC);
• Согласованность данных ФБО при дублировании в пределах OO (FPT_TRC);
• Самотестирование ФБО (FPT_TST).

FRU

Класс FRU содержит три семейства, которые поддерживают доступность требуемых ресурсов, таких как вычислительные возможности и/или объем памяти. Семейство FRU_FLT "Отказоустойчивость" предоставляет защиту от недоступности ресурсов, вызванной сбоем OO. Семейство FRU_PRS "Приоритет обслуживания" обеспечивает, чтобы ресурсы выделялись наиболее важным или критичным по времени задачам и не могли быть монополизированы задачами с более низким приоритетом. Семейство FRU_RSA "Распределение ресурсов" устанавливает ограничения использования доступных ресурсов, предотвращая монополизацию ресурсов пользователями.

FTA

Класс FTA определяет функциональные требования к управлению открытием сеанса пользователя. Семейства:

• Ограничение области выбираемых атрибутов (FTA_LSA);
• Ограничение на параллельные сеансы (FTA_MCS);
• Блокирование сеанса (FTA_SSL);
• Предупреждения перед предоставлением доступа к OO (FTA_TAB);
• История доступа к OO (FTA_TAH);
• Открытие сеанса с OO (FTA_TSE).

FTP

Семейства класса FTP содержат требования как к доверенному маршруту связи между пользователями и ФБО, так и к доверенному каналу связи между ФБО и другими доверенными продуктами ИТ. Доверенные маршруты и каналы имеют следующие общие свойства:

• маршрут связи создается с использованием внутренних и внешних каналов коммуникаций (в соответствии с компонентом), которые изолируют идентифицированное подмножество данных и команд ФБО от остальной части данных пользователей и ФБО;
• использование маршрута связи может быть инициировано пользователем и/или ФБО (в соответствии с компонентом);
• маршрут связи способен обеспечить доверие тому, что пользователь взаимодействует с требуемыми ФБО или ФБО - с требуемым пользователем (в соответствии с компонентом).

Здесь доверенный канал - это канал связи, который может быть инициирован любой из связывающихся сторон и обеспечивает свойство неотказуемости по отношению к идентичности сторон канала.

Доверенный маршрут предоставляет пользователям средства для выполнения функций путем обеспечения прямого взаимодействия с ФБО. Доверенный маршрут обычно желателен при начальной идентификации и/или аутентификации пользователя, но может быть также применен на протяжении всего сеанса пользователя. Обмены по доверенному маршруту могут быть инициированы пользователем или ФБО. Гарантируется, что ответы пользователя с применением доверенного маршрута будут защищены от модификации или раскрытия недоверенными приложениями.

Семейства:

• Доверенный канал передачи между ФБО (FTP_ITC);
• Доверенный маршрут (FTP_TRP).