Размещено на http://www.allbest.ru/

Введение

Актуальность проблемы обеспечения информационной безопасности с каждым годом становится всё больше. Стремительно увеличивается уровень внедрения СВТ для обработки, хранения и распространения информации. В связи с этим возникает потребность соответствия информационных технологий нуждам потребителей, в частности необходимости обеспечения постоянной защиты от воздействия угроз безопасности.

Для достижения этой цели разработчикам ПО необходимо использовать соответствующие профили защиты. ПЗ предназначен для многократного использования и определяет совокупность требований безопасности к объекту оценки, которые являются необходимыми и эффективными для достижения поставленных целей.

Важнейшим стандартом, в котором изложены инструкции по разработке ПЗ и ЗБ, в РФ является ГОСТ Р ИСО/МЭК 15408-2002 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий». Данный стандарт отвечает мировым требования в области информационной безопасности. Он реализует возможность соответствия ИТ-продуктов требованиям и нуждам потребителей, а также, чтобы при их разработке производители использовали соответствующие профили защиты.

Целью данной работы является разработка профиля защиты операционной системы FreeBSD.

Для достижения поставленной цели, необходимо решить ряд задач, таких как:

- раскрытие объекта оценки на примере операционной системы FreeBSD;

- приведение соответствующего профиля защиты, разработанного с помощью стандарта ГОСТ Р ИСО/ МЭК 15408-2002 («Общие критерии»).

1. Операционная система FreeBSD

FreeBSD - свободная Unix-подобная операционная система. FreeBSD разрабатывается как целостная операционная система. Исходный код ядра, драйверов устройств и базовых пользовательских программ, таких как командные оболочки и т.п., содержится в одном дереве системы управления версиями. Это отличает FreeBSD от GNU/Linux. FreeBSD хорошо зарекомендовала себя как система для построения интранет- и интернет-серверов. Она предоставляет достаточно надёжные сетевые службы и эффективное управление памятью.

Помимо своей стабильности, FreeBSD популярна и благодаря своей лицензии, которая существенно отличается от широко известной лицензии GNU GPL - она позволяет использовать код не только в свободном ПО, но и в проприетарном. В отличие от GNU LGPL, которая тоже позволяет использовать свободный код в закрытой программе, лицензия BSD более простая и короткая.

FreeBSD имеет следующие ключевые возможности:

· Вытесняющая многозадачность с динамическим регулированием приоритетов, позволяющая плавно и справедливо распределить ресурсы компьютера между приложениями и пользователями, даже при тяжелейших нагрузках.

· Многопользовательская поддержка, которая позволяет множеству людей использовать FreeBSD совместно для различных задач. Это значит, например, что системная периферия, такая как принтеры и ленточные устройства, правильно разделяется всеми пользователями в системе или сети, и что пользователям или группам пользователей могут быть установлены лимиты каждого ресурса, защищая критические системные ресурсы от перегрузок.

· Мощный TCP/IP-стек с поддержкой промышленных стандартов, таких как SLIP, PPP, NFS, DHCP и NIS. Это означает, что FreeBSD может легко взаимодействовать с другими системами, а также работать сервером масштаба предприятия, предоставляя жизненно важные функции, такие как NFS (удалённый доступ к файлам) и услуги электронной почты, или представить вашу организацию в Интернете, обеспечивая работу служб WWW, FTP, маршрутизацию и функции межсетевого экрана (брандмауэра).

· Защита памяти гарантирует, что приложения (или пользователи) не смогут чинить препятствия друг другу. Фатальная ошибка в выполнении одного приложения не скажется на работоспособности всей системы.

· FreeBSD 32-разрядная операционная система (64-разрядная на Alpha, Itanium, AMD64, и UltraSPARC) и изначально создавалась именно такой.

· Промышленный стандарт X Window System (X11R6) предоставляет графический интерфейс пользователя (GUI) для большинства VGA карт и мониторов, и поставляется с полными исходными текстами.

· Двоичная совместимость с большинством программ, созданных для Linux, SCO, SVR4, BSDI и NetBSD.

· Тысячи готовых к использованию приложений доступны из коллекций портов и пакетов FreeBSD. Зачем искать что-то в сети, когда вы можете найти всё прямо здесь?

· Тысячи других легко адаптируемых приложений доступны в Интернете. FreeBSD совместима по исходным текстам с большинством популярных коммерческих UNIX®-систем и, таким образом, большинство приложений требуют лишь небольших изменений для сборки (или не требуют вообще).

· Виртуальная память с поддержкой сброса неиспользуемых страниц по требованию и «объединение виртуальной памяти и буферного кэша» спроектированы так, чтобы максимально эффективно удовлетворить приложения с огромными аппетитами к памяти и, в то же время, сохранить интерактивность для остальных пользователей.

· Поддержка симметричной многопроцессорности (SMP) для машин с несколькими процессорами.

· Полный комплект инструментов для разработчика: C, C++ и Fortran. Множество дополнительных языков программирования для исследований и разработки также доступны из коллекций портов и пакетов.

· Доступность исходных текстов всей системы означает, что вы имеете максимальный контроль над операционной средой. Зачем выбирать закрытые решения и уповать на милость производителя, когда вы можете получить по-настоящему открытую систему?

· Обширная online-документация.

1.1 Безопасность FreeBSD

Разработчики FreeBSD ставят заботу об информационной безопасности в один ряд с производительностью и стабильностью. Задача обеспечения безопасности реализуется в проекте TrustedBSD. Он представляет набор расширений безопасности для операционной системы FreeBSD. Проект был начат с целью реализации концепций Общих критериев и Оранжевой книги. Этот проект находится в постоянном развитии и многие его наработки были интегрированы в операционную систему FreeBSD.

Проект TrustedBSD сфокусирован на следующем:

· аудит событий безопасности списков контроля доступа (ACL);

· расширение атрибутов файловой системы;

· мандатное управление доступом (MAC).

Также в ходе реализации проекта была перенесена реализация архитектуры SELinux, разработанной Национальным агентством безопасности США, в операционную систему FreeBSD.

Также в целях обеспечения безопасности FreeBSD реализует следующие функции:

· Расширенный механизм безопасности ядра TrustedBSD MAC Framework позволяет разработчикам настраивать модель безопасности операционной системы для специфического окружения, от создания ужесточающих политик до внедрения конфиденциальности политик целостности на мандатных метках. В политики безопасности входят Многоуровневая безопасность (MLS) и Защита целостности Biba.

· TrustedBSD Audit - это сервис записи в журнал событий безопасности, обеспечивающий дифференцированную, безопасную, надежную запись в журнал системных событий через сервис аудита. Администраторы могут конфигурировать источник и детализацию при регистрации пользователей, отслеживании доступа к файлам, исполнении команд, сетевой активности, входах в систему и ряде другого поведения системы.

· Шифрование дисков на базе GEOM (GBDE) обеспечивает строгую криптографическую защиту с использованием фреймворка GEOM и может защищать файловые системы, устройства swap и накопители с прочим характером использования.

В ядро FreeBSD включена поддержка межсетевого экрана на сеансовом уровне (stateful), а также других сервисов, таких как проксирующие IP-шлюзы, хранилище с криптографической защитой. Эти возможности могут быть использованы для создания хорошо защищаемого хостинга взаимного недоверенных клиентов или потребителей, жесткого разделения сетевых сегментов и создания безопасных каналов очистки информации и контроля информационных потоков. Во FreeBSD имеется поддержка криптографического программного обеспечения, безопасных командных оболочек, аутентификации Kerberos.

2. Профиль защиты операционной системы FreeBSD

2.1 Описание объекта оценки

Профиль защиты определяет требования для многопользовательских операционных систем общего назначения. Такие системы обычно содержат файловые системы, сервисы печати, сетевые сервисы, сервисы архивации данных и другие приложения, обеспечиваемые хостом (например, почта, базы данных).

Операционные системы, в частности FreeBSD, удовлетворяющие этим требованиям, могут функционировать в защищенном анклаве, который обычно используется для того, чтобы поддерживать связь с недоверенными, но управляемыми сетями. Такой анклав будет состоять из клиентов и серверов с многочисленными приложениями, доступными пользователям. В этой среде операционные системы могут быть доступны внешним системам ИТ, которые находятся вне политики безопасности анклава. Соответственно и пользователи этих систем ИТ находятся за пределами управления политик безопасности операционной системы. Хотя пользователи этих внешних систем могут быть в какой-то степени доверенными, они находятся вне области управления этим конкретным анклавом, и так как никто не может предполагать об их намерениях, то они должны рассматриваться как враждебные пользователи.

Доступ ко всем данным и ресурсам, защищаемым ОО, управляется на основе допуска пользователя, идентификатора и свойств целостности данных. Все пользователи будут ассоциироваться с их уровнем допуска, определяющим максимальный уровень чувствительности данных, к которым может быть получен доступ. Для всех пользователей назначены уникальные идентификаторы. Этот идентификатор обеспечивает ответственность индивидуума. ФБО подтверждают подлинность заявленного идентификатора пользователя перед тем, как пользователю будет разрешено выполнять любые действия, которые требуют посредничества ФБО, кроме действий, которые помогают уполномоченному пользователю в получении доступа к ОО.

FreeBSD обеспечивает достаточную функциональность и уверенность для обеспечения защиты данных в среде, требующей среднюю робастность. Такой уровень робастности обеспечивается комбинацией физической защиты, сервисов безопасности, инфраструктур и процессов, предоставляемых всеми уровнями иерархической структуры защищаемой среды. Такой анклав находится под единым управлением и имеет однородную политику безопасности. Данный профиль не определяет какие-либо характеристики устройств, которые защищают внешние границы анклава (например, системы ограждения, межсетевые экраны). Тем не менее, предполагается, что защита границ обеспечивается. Ценность обрабатываемой информации такова, что нарушение политики защиты информации нанесло бы серьезный ущерб безопасности, сохранности средств, финансовому положению и / или инфраструктуре организации. Уровень угроз, адресованный этой среде, такой, что необходимо противостоять искушенному противнику с умеренными ресурсами, который готов к небольшому риску (например, организованные преступники, искушенные хакеры).

Специфические особенности безопасности, требуемые для ОС, включают:

идентификацию и аутентификацию; уполномоченные пользователи должны быть идентифицированы и аутентифицированы перед доступом к информации, хранящейся в системе;

дискреционное управление доступом, предоставляющее возможность уполномоченным пользователям определить защиту для файлов данных, которые они создают;

мандатное управление доступом, которое реализует модель классификации чувствительных данных (например, по степени секретности) для всех уполномоченных пользователей;

мандатное управление целостностью, которое требует, чтобы у всех данных и выполняемых программ была метка целостности, используемая для минимизации искажения или злонамеренного разрушения данных высокой целостности;

криптографические сервисы, предоставляющие возможность уполномоченным пользователям и приложениям шифровать и подписывать цифровой подписью данные, как постоянно находящиеся в пределах системы, так и передаваемые другим системам;

сервисы аудита, предоставляющие возможность уполномоченным администраторам обнаруживать и анализировать потенциальные нарушения безопасности.

Соответствующие данному профилю защиты ОО не обязательно предусматривает использование механизмов, обеспечивающих доступность данных, относящихся к ОО, или сервисов, предоставляемых ОО. Эта защита должна быть обеспечена средой (например, с помощью зеркалирования / дублирования данных). ОО не предоставляют также никаких механизмов физической защиты, которые должны аналогично обеспечиваться средой.

2.2 Среда безопасности объекта оценки

Среда безопасности включает угрозы, политику безопасности и предположения о безопасном использовании ОО.

2.2.1 Перечень угроз

Характерные угрозы безопасности ИТ, которым должна противостоять операционная система FreeBSD приведены в таблице 2.2.1.1.

Таблица 2.2.1.1 - Угрозы безопасности

Наименование	Описание
1	2
T.ADMIN_ERROR	Неправильное администрирование может привести к нарушению характерных свойств безопасности.
T.AUDIT_CORRUPT	Данные аудита могут быть испорчены или потеряны.
T.CONFIG_CORRUPT	Данные конфигурации или другие доверенные данные могут быть испорчены или потеряны.
T.DATA_NOT_SEPARATED	Системы не могут адекватно разделять данные на основе их меток, таким образом, предоставляя возможность пользователям осуществлять несанкционированный доступ к «помеченным» данным.
T.DOS	Могут происходить атаки, приводящие к отказу в обслуживании.
T.EAVESDROP	Может происходить несанкционированный доступ либо не постороннего, либо постороннего лица к данным в транзите, передаваемым или получаемым операционной системой.
T.INSECURE_START	Перезагрузка может привести к опасному состоянию операционной системы.
T.IMPROPER_INSTALLATION	Операционная система может быть поставлена или инсталлирована таким способом, который может привести к нарушению безопасности.
T.MASQUERADE	Сущность, оперирующая на одной машине в сети, может подменить свое представление в этой сети сущностью, оперирующей на другой машине.
T.OBJECTS_NOT_CLEAN	Системы не могут адекватно перемещать данные из объектов, совместно используемых различными пользователями, при освобождении и последующем использовании ресурсов.
T.POOR_DESIGN	Могут возникать случайные или преднамеренные ошибки в спецификациях требований, в проекте или при разработке операционной системы.
T.POOR_IMPLEMENTATION	Могут возникать случайные или преднамеренные ошибки в реализации проекта операционной системы.
T.POOR_TEST	Неправильное поведение системы может быть результатом неспособности обнаружить, что все функции и взаимодействия операционной системы правильны.
T.SPOOFING	Уполномоченные пользователи могут неправильно полагать, что они поддерживают связь с операционной системой, тогда как они фактически поддерживают связь с враждебной сущностью, выдающей себя за операционную систему.

2.2.2 Политики безопасности

В таблице 2.2.2.1 изложены политики, осуществление которых должно быть обеспечено механизмами безопасности операционной системы.

Таблица 2.2.2.1 - Политики безопасности

Наименование	Описание
1	2
P.ACCOUNT	Пользователи системы обязаны нести ответственность за свои действия в системе.
P.AUTHORIZATION	Система должна быть способна ограничивать возможности всякой роли в соответствии с ПБО.
P.AUTHORIZED_USERS	Только те пользователи, которые уполномочены на доступ к информации в системе, могут иметь доступ к системе.
P.CLEARANCE	Система должна ограничить доступ к информации в защищаемых ресурсах теми уполномоченными пользователями, чей уровень допуска соответствует «помеченным» данным.

2.2.3 Предположения безопасности

Предположения относительно использования операционной системы ИТ изложены в таблице 2.2.3.1.

Таблица 2.2.3.1 - Предположения безопасности

Наименование	Описание
1	2
A.ADMIN	Администраторы являются компетентными, хорошо обученными и заслуживающими доверия.
A.PHYSICAL	Предполагается, что приемлемая физическая защита обеспечена в пределах домена в соответствии со значением активов ИТ, защищаемых операционной системой, и значением хранимой, обрабатываемой и передаваемой информации.

2.3 Цели безопасности

Цели безопасности, соответствующие операционной системе FreeBSD описаны в таблице 2.3.1.

Таблица 2.3.1 - Цели безопасности

Наименование	Описание
1	2
O.ACCESS	Операционная система должна обеспечивать, чтобы только уполномоченные пользователи получали доступ к ней и к ресурсам, которыми она управляет.
O.AUDIT_GENERATION	Операционная система должна предоставлять возможность обнаруживать и регистрировать значимые для безопасности события, ассоциированные с индивидуальными пользователями.
O.AUDIT_PROTECTION	Операционная система должна предоставлять возможность защитить информацию аудита, ассоциированную с индивидуальными пользователями.
O.AUDIT_REVIEW	Операционная система должна предоставлять возможность выборочного просмотра информации аудита, ассоциированной с индивидуальными пользователями.
O.CONFIG_MGMT	Все изменения в операционной системе и свидетельствах ее разработки должны сопровождаться и контролироваться.
O.DISCRETIONARY_ACCESS	Операционная система должна управлять доступом к ресурсам, основанным на идентификаторах пользователей или групп пользователей.
O.DISCRETIONARY_USER_ CONTROL	Операционная система должна предоставлять уполномоченным пользователям возможность определять, к каким ресурсам какие пользователи или группы пользователей могут получить доступ.
O.ENCRYPTED_CHANNEL	Должно использоваться шифрование, чтобы обеспечить конфиденциальность данных ФБО при передаче к разделенным частям ОО.

2.4 Функциональные требования безопасности

Раздел содержит детализированные функциональные требования для функций безопасности операционных систем, поддерживающих многоуровневые системы.

Таблица 2.4.1 - Функциональные требования безопасности

Класс	Семейство	Компонент
1	2	3
FAU: Аудит безопасности	Автоматическая реакция аудита безопасности (FAU_ARP)	Сигналы нарушения безопасности (FAU_ARP.1)
	Генерация данных аудита безопасности (FAU_GEN)	Генерация данных аудита (FAU_GEN.1)
		Ассоциация идентификатора пользователя (FAU_GEN.2)
	Просмотр аудита безопасности (FAU_SAR)	Просмотр аудита (FAU_SAR.1)
		Ограниченный просмотр аудита (FAU_SAR.2)
		Выборочный просмотр аудита (FAU_SAR.3)
	Выбор событий аудита безопасности (FAU_SEL)	Избирательный аудит (FAU_SEL.1)
	Хранение данных аудита безопасности (FAU_STG)	Защищенное хранение журнала аудита (FAU_STG.1)
		Предотвращение потери данных аудита (FAU_STG.4)
FCS: Криптографическая поддержка	Управление криптографическими ключами (FCS_CKM)	Генерация криптографических ключей (FCS_CKM.1)
		Распределение криптографических ключей (FCS_CKM.2)
		Доступ к криптографическим ключам (FCS_CKM.3)
		Уничтожение криптографических ключей (FCS_CKM.4)
	Криптографические операции (FCS_COP)	Криптографические операции (FCS_COP.1)
FDP: Защита данных пользователя	Политика управления доступом (FDP_ACC)	Полное управление доступом (FDP_ACC.2)
	Функции управления доступом (FDP_ACF)	Управление доступом, основанное на атрибутах безопасности (FDP_ACF.1)
	Экспорт данных за пределы действия ФБО (FDP_ETC)	Экспорт данных пользователя с атрибутами безопасности (FDP_ETC.2)
	Экспорт данных за пределы действия ФБО (FDP_ETC)	Экспорт данных пользователя с атрибутами безопасности (FDP_ETC.2)
	Политика управления информационными потоками (FDP_IFC)	Полное управление информационными потоками (FDP_IFC.2)
	Функции управления информационными потоками (FDP_IFF)	Иерархические атрибуты безопасности (FDP_IFF.2)

2.5 Требования доверия к безопасности

Раздел содержит детализированные требования доверия к безопасности для операционных систем, поддерживающих многоуровневые системы, обрабатывающие информацию уровня «секретно» и ниже в средах, требующих среднюю робастность. Комбинация выбранных компонентов доверия к безопасности соответствует 4-му усиленному и расширенному оценочному уровню доверия к безопасности (ОУД4+). Усиленные требования доверия к безопасности включают анализ уязвимостей / тестирование проникновения, требования к разработке и анализ скрытых каналов для криптографии.

Эти требования доверия к безопасности представлены в таблице 2.5.1

Таблица 2.5.1 - Требования доверия к безопасности

Класс	Семейство	Компонент
1	2	3
ACM: Управление конфигурацией	Автоматизация УК (ACM_AUT)	Частичная автоматизация УК (ACM_AUT.1)
	Возможности УК (ACM_CAP)	Поддержка генерации, процедуры приёмки (ACM_CAP.4)
	Охват УК (ACM_SCP)	Охват УК отслеживания проблем (ACM_SCP.2)
ADO: Поставка и эксплуатация	Поставка (ADO_DEL)	Обнаружение модификации (ADO_DEL.2)
	Установка, генерация и запуск (ADO_IGS)	Процедуры установки, генерации и запуска (ADO_IGS.1)
ADV: Разработка	Функциональная спецификация (ADV_FSP)	Полностью определённые внешние интерфейсы (ADV_FSP.2)
	Проект верхнего уровня (ADV_HLD)	Детализация вопросов безопасности в проекте верхнего уровня (ADV_HLD.2)
	Представление реализации (ADV_IMP)	Реализация ФБО (ADV_IMP.2)
	Внутренняя структура ФБО (ADV_INT)	Модульность (ADV_INT.1)
	Проект нижнего уровня (ADV_LLD)	Описательный проект нижнего уровня (ADV_LLD.1)
	Соответствие представлений (ADV_RCR)	Неформальная демонстрация соответствия (ADV_RCR.1)
	Моделирование политики безопасности (ADV_SPM)	Неформальная модель политики безопасности (ADV_SPM.1)
AGD: Руководства	Руководство администратора (AGD_ADM)	Руководство администратора (AGD_ADM.1)
	Руководство пользователя (AGD_USR)	Руководство пользователя (AGD_USR.1)
ALC: Поддержка жизненного цикла	Безопасность разработки (ALC_DVS)	Идентификация мер безопасности (ALC_DVS.1)
	Устранение недостатков (ALC_FLR)	Процедуры сообщений о недостатках (ALC_FLR.2)
	Определение жизненного цикла (ALC_LCD)	Определение модели жизненного цикла разработчиком (ALC_LCD.1)
	Инструментальные средства и методы (ALC_TAT)	Полностью определённые инструментальные средства разработки (ALC_TAT.1)

2.6 Обоснование

Данный раздел содержит обоснование выбора, формирования и использования целей безопасности и требований.

2.6.1 Цели безопасности, вытекающие из угроз

Каждой идентифицированной угрозе безопасности в таблице 2.2.1 соответствует цель (цели) безопасности в таблице 2.3.1, а также угроза может быть учтена в предположении безопасности таблица 2.2.3.1. Ниже, приведено покрытие угроз целями безопасности и далее приведены объяснения того, почему данная угроза покрывается данными целями.

T.ADMIN_ERROR. Неправильное администрирование может происходить в результате некомпетентности администратора, плохой его осведомленности или его ненадежности, в предположении A.ADMIN рассматриваются эти возможности. Если ОО обеспечивает необходимую поддержку администратору (O.MANAGE) и администратор должным образом обучен (O.TRAINED_ADMIN), то эта угроза должна быть устранена.

T.AUDIT_CORRUPT. Повреждение или уничтожение данных аудита физическими средствами учтено в предположении A.PHYSICAL. При разрушении или искажении данных аудита другим способом требуется наличие такой цели безопасности, которая бы требовала, чтобы система ИТ управляла доступом к своим ресурсам (O.ACCESS). Поскольку считается, что данные аудита являются данными ФБО, то для ФБО определена цель, которая требует защиты ФБО (O.SELF_PROTECTION) и их данных (O.AUDIT_PROTECTION). Администраторы могут потерять или разрушить данные аудита, если они не обучены (O.TRAINED_ADMIN) использованию средств администрирования, доступных им (O.MANAGE).

T.CONFIG_CORRUPT. Повреждение или уничтожение данных конфигурации физическими средствами учтено в предположении A.PHYSICAL. При разрушении или искажении данных конфигурации другим способом требуется наличие такой цели безопасности, которая бы требовала, чтобы система ИТ управляла доступом к своим ресурсам (O.ACCESS). Поскольку считается, что данные конфигурации являются данными ФБО, то для ФБО определена цель, которая требует защиты ФБО (O.SELF_PROTECTION) и их данных. Администраторы могут потерять или разрушить данные аудита, если они не обучены (O.TRAINED_ADMIN) использованию средств администрирования, доступных им (O.MANAGE).

T.DATA_NOT_SEPARATED. Наличие этой угрозы требует, чтобы данные были соответствующим образом помечены (O.MARKINGS), и чтобы осуществлялись политика управления доступом (O.MANDATORY_ACCESS) и политика целостности (O.MANDATORY_INTEGRITY), основанные на метках. Рассматривается также цель предотвращения доступа пользователей к помеченным данным, которые были сохранены в системных ресурсах, предварительно распределенных другим пользователям (O.RESIDUAL_INFORMATION). Таким образом, система ИТ может управлять доступом к ресурсам, этого требует цель (O.ACCESS).

T.DOS. Наличие этой угрозы приводит к цели, обеспечивающей, чтобы никакой пользователь не мог блокировать доступ других к своим ресурсам (O.RESOURCE_SHARING).

T.EAVESDROP. Наличие этой угрозы приводит к необходимости наличия цели шифрования в линии связи (O.ENCRYPTED_CHANNEL) для защиты любых данных ФБО (O.SELF_PROTECTION) или данных пользователя (O.PROTECT) от просмотра их неуполномоченными пользователями (O.ENCRYPTION_SERVICES).

T.IMPROPER_INSTALLATION. Доверенный персонал может запустить систему так, что она не будет обеспечена достаточной защитой (O.INSTALL), если персонал не обучен (O.TRAINED_ADMIN) использованию доступных средств администрирования (O.MANAGE).

T.INSECURE_START. Наличие этой угрозы приводит к необходимости определения цели доведения системы до безопасного состояния (O.RECOVERY) и, таким образом, к определению цели поддержания безопасности (O.TRUSTED_SYSTEM_OPERATION). Администраторы могут запустить систему так, что она не будет обеспечена достаточной защитой, если они не обучены (O.TRAINED_ADMIN) использованию доступных средств администрирования (O.MANAGE). Если есть возможность для администраторов преднамеренно запускать систему так, что она не будет обеспечена достаточной защитой, то необходимо пользоваться предположением (A.ADMIN), что они не будут делать так.

T.MASQUERADE. Наличие угрозы злонамеренного процесса маскировки под действия ФБО приводит к необходимости определения цели предоставления пользователям средств, обеспечивающих им уверенность в том, что они действительно поддерживают связь с ФБО (O.TRUSTED_PATH) и необходимых знаний для того, чтобы пользоваться этими средствами (O.TRAINED_USERS). Наличие угрозы маскировки пользователя под другого пользователя приводит к необходимости цели идентификации пользователей (O.USER_IDENTIFICATION) и к необходимости делать это надежно (O.USER_AUTHENTICATION). Угроза маскировки при помощи установления несанкционированного сеанса приводит к необходимости цели защиты канала коммуникаций от раскрытия (O.ENCRYPTED_CHANNEL) и модификации (O.TSF_CRYPTOGRAPHIC_INTEGRITY).

T.OBJECTS_NOT_CLEAN. Наличие этой угрозы приводит к необходимости запрета пользователям иметь доступ к данным, которые были сохранены в системных ресурсах, предварительно распределенных другим пользователям (O.RESIDUAL_INFORMATION). Таким образом, система ИТ может управлять доступом к ресурсам, этого требует цель (O.ACCESS).

T.POOR_DESIGN. Количество ошибок в проекте ОО может быть уменьшено путем устранения ошибок в логике проекта (O.SOUND_DESIGN) и с помощью тщательного отслеживания произведенных изменений (O.CONFIG_MGMT). Внесение ошибок в проект может быть устранено путем поиска возможно внесенных уязвимостей (O.VULNERABILITY_ANALYSIS). Проекты низкого качества, которые были правильно реализованы, могут быть выявлены при тестировании (O.TESTING и O.PENETRATION_TEST).

T.POOR_IMPLEMENTATION. Количество ошибок в реализации ОО может быть уменьшено путем проверки (O.TESTING) того, что реализация является правильным отражением проекта (O.SOUND_IMPLEMENTATION). Дополнительное количество ошибок в реализации может быть уменьшено путем поиска возможно внесенных уязвимостей (O.VULNERABILITY_ANALYSIS) и с помощью тестирования для выявления существования уязвимостей (O.PENETRATION_TEST). Внесение ошибок может также быть уменьшено с помощью отслеживания изменений (O.CONFIG_MGMT).

T.POOR_TEST. Эта угроза основана на неспособности определить, являются ли тесты (O.TESTING) достаточными для того, чтобы показать, что ОО поддерживает свою безопасность (O.TRUSTED_SYSTEM_OPERATION). Наличие этой угрозы покажет адекватное тестирование (O.PENETRATION_TEST).

T.SPOOFING. Наличие этой угрозы приводит к необходимости цели предоставления пользователям средств обеспечения их реальной связью с ФБО (O.TRUSTED_PATH). Подмену можно также избежать, используя средства цифровой подписи (O.ENCRYPTION_SERVICES, O.TSF_CRYPTOGRAPHIC_INTEGRITY). Подмена, целью которой является получение данных для криптоанализа, может быть предотвращена путем закрытия содержания сообщения (O.ENCRYPTED_CHANNEL).

T.SYSACC. Угроза со стороны нарушителя, получающего доступ к учетной записи администратора (O.ACCESS), может осуществляться физическими средствами (A.PHYSICAL), например, в случаях, когда консоль администратора находится за блокированной дверью. В других случаях доступ к учетной записи администратора может быть получен после идентификации (O.USER_IDENTIFICATION) и аутентификации (O.USER_AUTHENTICATION). Администратор должен знать об этом (O.TRAINED_ADMIN), чтобы проверять данную информацию (O.MANAGE) при каждом входе в систему.

T.UNATTENDED_SESSION. Несопровождаемые сеансы должны быть защищены (O.PROTECT) от несанкционированного доступа (O.ACCESS). Это может быть выполнено просто путем информирования пользователей, что они не должны оставлять сеансы без сопровождения (O.TRAINED_USERS), или требуя от пользователей повторно проводить аутентификацию (O.USER_AUTHENTICATION) после возвращения к несопровождаемому сеансу. Если экран не очищается (O.RESIDUAL_INFORMATION) и могут быть видны данные, то в этом случае должна быть предусмотрена другая защита данных.

T.UNAUTH_ACCESS. Предположение A.PHYSICAL адресовано угрозе несанкционированного физического доступа. Наличие угрозы другого типа несанкционированного доступа приводит к необходимости целей защиты данных пользователя (O.PROTECT) или данных ФБО, или ресурсов (O.SELF_PROTECTION) от несанкционированного доступа (O.ACCESS). Доступ к данным пользователя может быть либо дискреционным (O.DISCRETIONARY_ACCESS), либо мандатным (O.MANDATORY_ACCESS) доступом для предотвращения раскрытия, либо мандатным (O.MANDATORY_INTEGRITY) доступом для защиты целостности.

T.UNAUTH_MODIFICATION. Предположение A.PHYSICAL адресовано угрозе несанкционированной модификации системных атрибутов или ресурсов, основанной на физическом доступе. Наличие другой угрозы несанкционированной модификации приводит к необходимости целей защиты данных ФБО или ресурсов (O.SELF_PROTECTION) от несанкционированной модификации (O.ACCESS). Доступ к данным пользователя может быть либо дискреционным (O.DISCRETIONARY_ACCESS), либо мандатным (O.MANDATORY_ACCESS) доступом для предотвращения раскрытия, либо мандатным (O.MANDATORY_INTEGRITY) доступом для защиты целостности. Системные атрибуты включают маркирование метками (O.MARKINGS).

T.UNDETECTED_ACTIONS. Основное предположение о физической защите (A.PHYSICAL) адресовано угрозе необнаруженной физической манипуляции с ОО. Другие действия также должны быть обнаружены и зарегистрированы (O.AUDIT_GENERATION). Для того чтобы предотвратить удаление, записи аудита должны быть защищены (O.AUDIT_PROTECTION).

T.UNIDENTIFIED_ACTIONS. Угроза отказа администратору, желающему получить информацию о событиях аудита, приводит к необходимости цели иметь для администратора средства (O.MANAGE), предоставляющие обзор записей аудита (O.AUDIT_REVIEW), и знания, как работать с этими средствами (O.TRAINED_ADMIN).

T.UNKNOWN_STATE. Наличие этой угрозы приводит к необходимости цели восстановления безопасного состояния системы (O.RECOVERY).

T.USER_CORRUPT. Наличие этой угрозы требует защиты данных пользователя (O.PROTECT) от несанкционированного доступа (O.ACCESS). Санкционированный доступ может быть получен в соответствии с политикой дискреционного управления доступом (O.DISCRETIONARY_ACCESS) или политикой мандатного управления доступом (O.MANDATORY_ACCESS), или политикой мандатного управления целостностью (O.MANDATORY_INTEGRITY). Осуществление политики дискреционного управления доступом основано на атрибутах, установленных владельцами объектов (O.DISCRETIONARY_USER_CONTROL).

2.6.2 Цели, вытекающие из политик безопасности

Каждой определенной в таблице 2.2.2.1 политике безопасности соответствует совокупность целей безопасности (таблица 2.3.1). Ниже представлено соответствие между политиками и целями.

P.ACCOUNT. Осуществление этой политики требует, чтобы пользователи были идентифицированы (O.USER_IDENTIFICATION), чтобы их действия были под постоянным контролем (O.AUDIT_GENERATION) и чтобы результирующие записи их действий были доступны для обзора (O.AUDIT_REVIEW).

P.AUTHORIZATION. Эта политика требует, чтобы пользователи в каждой из различных ролей (см. P.ROLES) обладали совокупностью возможностей, определенных ролью, которая ограничивает доступ к ресурсам (O.ACCESS). Так, доступ к данным ФБО реализуется администраторами (O.SELF_PROTECTION), а доступ к данным пользователя реализуется пользователями (O.PROTECT). Осуществление этой политики требует, чтобы пользователь был идентифицирован (O.USER_IDENTIFICATION).

P.AUTHORIZED_USERS. Для осуществления этой политики необходимо знать, кто является пользователем (O.USER_IDENTIFICATION), и необходима проверка подлинности заявленного идентификатора (O.USER_AUTHENTICATION).

P.CLEARANCE. Осуществление этой политики требует, чтобы данные были «помечены» (O.MARKINGS) и каждому пользователю назначены уровни разрешений (O.USER_IDENTIFICATION). Уровни разрешений используются при осуществлении политик безопасности, основанных на метках (O.MANDATORY_ACCESS, O.MANDATORY_INTEGRITY, O.ACCESS).

P.I_AND_A. Эта политика требует, чтобы пользователи заявляли свой идентификатор, и он был верифицирован (O.USER_AUTHENTICATION).

P.LABELED_OUTPUT. Осуществление этой политики требует, чтобы данные были «помечены» (O.MARKINGS).

P.NEED_TO_KNOW. Осуществление этой политики требует защиты ресурсов (O.PROTECT) согласно правилам политики дискреционного управления доступом (O.DISCRETIONARY_ACCESS), которая управляет доступом (O.ACCESS), основанным на идентификаторах пользователей (O.USER_IDENTIFICATION), установленных владельцем объекта (O.DISCRETIONARY_USER_CONTROL).

P.REMOTE_ADMIN_ACCESS. Чтобы управлять системой (O.MANAGE) дистанционно, у администраторов должен быть защищенный коммуникационный маршрут (O.ENCRYPTED_CHANNEL). Возможность использовать этот маршрут (O.ENCRYPTION_SERVICES) предоставлена только уполномоченным (O.USER_AUTHENTICATION) администраторам (O.USER_IDENTIFICATION) как определено в руководстве администратора (O.TRAINED_ADMIN). Администраторам также необходимы средства определения того, что они действительно взаимодействуют с ФБО (O.TRUSTED_PATH). При дистанционном доступе администратора необходима защита данных ФБО, переданных к и от ОО (O.TSF_CRYPTOGRAPHIC_INTEGRITY).

P.RESOURCE_LABELS. Осуществление этой политики требует, чтобы данные были «помечены» (O.MARKINGS).

P.ROLES. Эта политика требует, чтобы существовали отдельные роли, как представлено в руководстве пользователя (O.TRAINED_USERS) и в руководстве администратора (O.MANAGE, O.TRAINED_ADMIN).

P.SYSTEM_INTEGRITY. Данная политика требует, чтобы ОО восстанавливался (O.RECOVERY) или периодически самостоятельно, или с помощью администраторов, (O.TRAINED_ADMIN) для того чтобы поддерживать свою безопасность (O.TRUSTED_SYSTEM_OPERATION). Это обеспечивает защищенность ФБО (O.SELF_PROTECTION). Такая проверка правильности также осуществляется на криптографическом модуле (O.TSF_CRYPTOGRAPHIC_INTEGRITY).

P.INDEPENDENT_TESTING. Эта политика требует, чтобы независимое тестирование (O.TESTING) было выполнено вместе с анализом уязвимостей (O.VULNERABILITY_ANALYSIS), для того чтобы демонстрировать адекватность проекта системы (O.PENETRATION_TEST).

P.TRACE. Должна быть возможность анализа сгенерированных событий аудита (O.AUDIT_REVIEW).

P.TRUSTED_RECOVERY. Эта политика требует, чтобы ОО был способен восстановить свое безопасное состояние (O.RECOVERY).

P.USER_LABELS. Эта политика требует, чтобы каждый пользователь (O.USER_IDENTIFICATION) был ассоциирован с меткой (O.MARKINGS).

P.VULNERABILITY_SEARCH. Эта политика требует, чтобы производился анализ на уязвимости (O.VULNERABILITY_ANALYSIS).

2.6.3 Обоснование требований

O.ACCESS. Система позволяет получить доступ к себе и к своим ресурсам только [FPT_RVM.1] в соответствии с политиками управления доступом и целостностью [FDP_ACC.2, FDP_ACF.1, FDP_IFC.2, FDP_IFF.2]. При осуществлении этих политик происходит сравнение атрибутов пользователей [FIA_UAU.1, FIA_UID.1] и объектов, находящихся под их управлением, а также объектов, экспортируемых под управлением пользователей [FDP_ETC.2]. При доступе пользователя к системе требуется повторная аутентификация [FTA_SSL.2], когда подключение к системе длится слишком долго [FTA_SSL.1]. Только администраторы [FIA_AFL.1] могут получать доступ к административным ресурсам [FMT_MOF.1, FMT_MSA.1] и административным данным [FMT_MTD.1]. Доступ длится до тех пор, пока его не отменили [FMT_REV.1] или пока атрибуты, используемые для определения доступа, не изменяются [FMT_SAE.1].

O.AUDIT_GENERATION. Значимые для безопасности действия должны быть определены, возможны для аудита [FAU_GEN.1] и способны ассоциироваться с индивидуальными пользователями [FIA_USB.1]. Записи аудита должны быть сгенерированы в соответствии с атрибутами [FAU_SEL.1], выбранными администратором [FMT_MOF.1]. Ассоциированная метка времени должна быть надежной [FPT_STM.1]. Система аудита должна обнаруживать возможные нарушения безопасности и предупреждать администратора, когда они происходят [FAU_ARP.1]. Должна генерироваться запись аудита всякий раз, когда устройства, используемые для экспорта данных, изменяют свое состояние (от возможности экспорта данных с атрибутами безопасности до возможности экспорта данных без атрибутов безопасности) [FDP_ETC.2].

Механизм аудита описан в терминах его предназначения [ADV_FSP.2] c его внешними [ADV_HLD.2] и внутренними [ADV_LLD.1] интерфейсами. Также определена политика аудита [ADV_SPM.1].

O. AUDIT_PROTECTION. Журнал аудита должен быть защищен так, чтобы только уполномоченные пользователи могли получать к нему доступ [FAU_SAR.2]. Для этого должны быть доступны административные функции [FMT_MOF.1, FMT_MTD.1]. Журнал аудита должен быть совершенным [FAU_STG.1]. Политика аудита [ADV_SPM.1] включает описание защиты данных аудита.

O. AUDIT_REVIEW. Уполномоченный администратор должен быть способен просматривать содержимое [FAU_SAR.1] записей аудита и предупреждения о нарушениях [FAU_ARP.1]. При генерации записи должны сортироваться [FPT_STM.1] таким образом, чтобы по записям могли быть воссозданы события.

Политика аудита [ADV_SPM.1] включает описание доступных средств [ADV_HLD.2], необходимых для того, чтобы делать обзор данных аудита [ADV_FSP.2].

O.CONFIG_MGMT. Версии ОО должны отслеживаться [ACM_SCP.2], для того чтобы предотвратить некорректные изменения в их представлении в процессе разработки. Автоматизированная система [ACM_AUT.1] должна сопровождать ОО и ассоциированную с ним документацию [ACM_CAP.4] и отслеживать любые недостатки в безопасности, которые обнаружены в процессе разработки. ОО разрабатывается в соответствии с моделью жизненного цикла [ALC_LCD.1]. Меры безопасности, используемые в процессе разработки и сопровождения ОО [ALC_DVS.1], будут документированы наряду с инструментальными средствами, используемыми в процессе разработки [ALC_TAT.1], и процедурами для коррекции недостатков, обнаруженных в процессе сопровождения [ALC_FLR.2].

O.DISCRETIONARY_ACCESS. Дискреционное управление доступом должно иметь определенную область применения [FDP_ACC.2]. Правила политики DAC должны быть определены [FDP_ACF.1]. Атрибуты безопасности объектов [FMT_MTD.1] и субъектов [FIA_USB.1], используемые для осуществления политики DAC [FPT_RVM.1], должны быть определены. Это управление доступом применяется для объектов, экспортируемых в ОДФ [FDP_ETC.2] и импортированных из-за пределов ОДФ [FDP_ITC.2] или к и от удаленных ОО [FDP_ITT.1]. Уполномоченные пользователи могут управлять доступом тех лиц, которые имеют доступ к объектам [FMT_MSA.1], и возможность отменять этот доступ [FMT_REV.1]. Защита указанных объектов должна быть непрерывна, начиная с момента создания объекта [FMT_MSA.3].

Механизм дискреционного управления доступом описан в терминах его предназначения [ADV_FSP.2], с его внешними [ADV_HLD.2] и внутренними [ADV_LLD.1] интерфейсами. Определена также политика дискреционного управления доступом [ADV_SPM.1].

O.DISCRETIONARY_USER_CONTROL. Владельцы объектов и администраторы могут изменять атрибуты объекта, используемые для осуществления дискреционной политики управления доступом [FDP_ACF.1].

O.ENCRYPTED_CHANNEL. Операции шифрования [FCS_COP.1] поддерживают безопасную передачу данных ФБО между физически раздельными частями ОО [FPT_ITT.1]. Такой же вид канала может использоваться для реализации коммуникационного маршрута между пользователями и ОО [FTP_TRP.1].

O.ENCRYPTION_SERVICES. Криптографические операции [FCS_COP.1] и сервисы управления ключами [FCS_CKM.1, FCS_CKM.2, FCS_CKM.3, FCS_CKM.4] используются для того, чтобы обеспечить сервисы шифрования. Ключи ассоциированы с пользователями [FIA_USB.1] и управляются администратором по криптографии [FMT_MTD.1]. Данные ФБО должны быть защищены в транзите [FPT_ITT.1, FPT_ITT.3].

Криптографический модуль описан в терминах его предназначения [ADV_FSP.2], с его внешними [ADV_HLD.2] и внутренними [ADV_LLD.1] интерфейсами. Описание архитектуры [ADV_IMP.2] включает, кроме представления различных модулей, представление криптографического модуля, который должен быть разработан так, чтобы его функционирование осуществлялось в домене, отделенном от других модулей [ADV_INT.1]. Любая политика шифрования должна быть описана [ADV_SPM.1].

O.INSTALL. Процедуры безопасной поставки [ADO_DEL.2] и инсталляции [ADO_IGS.1] ОО должны быть документированы.

O.MANDATORY_INTEGRITY. Политика мандатного управления целостностью [FDP_IFC.2] реализует правила [FPT_RVM.1], основанные на атрибутах пользователей [FIA_USB.1] и объектов, управляемых ОО, как определено правилами [FDP_IFF.2], установленными администратором [FMT_MSA.1]. Эта политика также охватывает объекты, экспортируемые [FDP_ETC.2], а также объекты, которыми обмениваются между собой отдельные части ОО [FDP_ITT.1]. Доступ отменяется при изменении атрибутов для удаленного доступа [FMT_REV.1]. Метка данных пользователя рассматривается как данные ФБО и, следовательно, должна быть защищена, когда передаются ассоциированные с ней данные пользователя [FPT_ITT.3].

Механизм мандатного управления целостностью описан в терминах его предназначения [ADV_FSP.2], с его внешними [ADV_HLD.2] и внутренними [ADV_LLD.1] интерфейсами. Определена также политика мандатного управления целостностью [ADV_SPM.1].

O.MANAGE. Процедуры администратора для безопасной поставки [ADO_DEL.2], установки [ADO_IGS.1] и администрирования [AGD_ADM.1] ОО должны быть документированы.

Должны быть возможности осуществления аудита значимых для безопасности событий [FAU_GEN.1, FAU_GEN.2], средства для обзора всех записей аудита [FAU_SAR.1] или выборочных записей [FAU_SAR.3] и средства управления заполнением журнала аудита [FAU_STG.4]. Должны быть в наличии средства для предупреждения администраторов о возможных нарушениях безопасности [FAU_ARP.1]. Должны быть средства самотестирования ОО [FPT_TST.1].

Должны быть средства управления криптографическими сервисами [FCS_COP.1] и управления ключами [FCS_CKM.1, FCS_CKM.2, FCS_CKM.3]. Должны быть средства, связанные с управлением данных, импортируемых в ОО [FDP_ITC.2] или экспортируемых из ОО [FDP_ETC.2]. Должны быть средства управления функциями безопасности [FMT_MOF.1], данными ФБО [FMT_MTD.1] и атрибутами безопасности [FMT_MSA.1, FMT_MSA.2, FMT_MSA.3], а также средства, связанные с истечением срока действия атрибутов безопасности [FMT_SAE.1].

O.MANDATORY_ACCESS. Политика мандатного управления доступом [FDP_IFC.2] реализует правила [FPT_RVM.1], основанные на атрибутах пользователей [FIA_USB.1] и объектов, управляемых ОО, как это определено правилами [FDP_IFF.2], установленными администратором [FMT_MSA.1]. Эта политика также охватывает объекты, экспортируемые [FDP_ETC.2] и импортируемые [FDP_ITC.2] из/в ОО, а также объекты, которыми обмениваются между собой отдельные части ОО [FDP_ITT.1]. Доступ отменяется, когда атрибуты изменяются при удаленном доступе [FMT_REV.1].

Механизм мандатного управления доступом описан в терминах его предназначения [ADV_FSP.2], с его внешними [ADV_HLD.2] и внутренними [ADV_LLD.1] интерфейсами. Определена также политика мандатного управления доступом [ADV_SPM.1].

O.MARKINGS. Метки используются политиками мандатного управления доступом и мандатного управления целостностью [FDP_IFF.2] в пределах ОО, а также для объектов, экспортируемых [FDP_ETC.2] и импортируемых [FDP_ITC.2] из/в ОО. Метки ассоциированы [FIA_USB.1] с пользователями [FIA_ATD.1] и управляются [FMT_MTD.1] администраторами [FMT_MSA.1, FMT_MSA.2]. Также должна быть непротиворечивая интерпретация маркировки, ассоциированная с данными ФБО, совместно используемыми различными ОО [FPT_TDC.1]. Изменения в ассоциированных маркировках могут приводить к отмене доступа к объекту [FMT_REV.1].

O.PENETRATION_TEST. ОО должен подвергнуться независимому тестированию [ATE_IND.2], основанному на анализе уязвимостей. Этот анализ обеспечивает поиск любых уязвимостей, которые могли бы быть вызваны неясной документацией [AVA_MSU.1]. Данный анализ уязвимостей должен быть систематическим и показывать, что ОО является стойким к нарушителям с умеренным потенциалом нападения [AVA_VLA.3]. Тестирование должно также подтверждать каждое утверждение стойкости функций [AVA_SOF.1].

O.PROTECT. Данные пользователя защищены политиками дискреционного управления доступом [FDP_ACF.1], мандатного управления доступом и мандатного управления целостностью [FDP_IFF.2]. Эта защита обеспечивает разделение данных пользователя [FPT_SEP.1], основанное на атрибутах, управляемых администратором [FMT_MSA.1] и включающих идентификаторы [FIA_UID.1] аутентифицированных пользователей [FIA_UAU.1, FIA_UAU.7]. Степень защиты основана на защищенности секретов [FIA_SOS.1]. Учетные записи пользователя защищаются путем повторной аутентификации для неактивных сеансов [FTA_SSL.1, FTA_SSL.2]. Данные пользователя не оставляют остаточной информации после использования их в ресурсах, которые последовательно совместно используются пользователями [FDP_RIP.2]. Доступ разрешен только до тех пор, пока он не отменен [FMT_REV.1]. Данные пользователя могут также быть импортированы из-за пределов ОО [FDP_ITC.2] или ими могут обмениваться между собой отдельные части распределенного ОО [FDP_ITT.1]. Все формы защиты всегда реализуются [FPT_RVM.1].

O.RECOVERY. Безопасное восстановление включает не только восстановление безопасного состояния [FPT_RCV.1], но также и точное дублирование данных ФБО [FPT_TRC.1] для распределенных частей ОО, которые могут стать разделенными друг то друга; в этом случае необходимо иметь возможность установить, какие данные являются наиболее актуальными [FPT_STM.1].

O.RESIDUAL_INFORMATION. Данные пользователя не оставляют остаточной информации после использования их в ресурсах, которые последовательно совместно используются пользователями [FDP_RIP.2]. Такие меры также должны быть применены к ресурсам, используемым для хранения криптографических данных [FCS_CKM.4]. Эти ресурсы очищаются в системе при ее восстановлении после сбоя [FPT_RCV.1]. Раскрытие информации повторной аутентификации также предотвращено [FTA_SSL.1, FTA_SSL.2].

O.RESOURCE_SHARING. Если нет такого пользователя, который может получить монопольный доступ ко всем ресурсам, то пользователь не может блокировать доступ других пользователей к этим ресурсам [FRU.RSA.1].

O.SELF_PROTECTION. Защита ФБО состоит из защиты данных ФБО при их передаче [FPT_ITT.1, FPT_ITT.3] и поддержания согласованности данных [FPT_TDC.1]. Данные ФБО включают записи аудита [FAU_SAR.2, FAU_STG.1]. Функции безопасности защищены от доступа к ним неуполномоченных лиц [FMT_MOF.1, FMT_MSA.2, FMT_MTD.1]. Тестирование используемого оборудования [FPT_AMT.1], самотестирование ОО [FPT_TST.1] вносят свой вклад в защиту.

Защита ресурсов, управляемых ФБО, состоит из осуществления политик дискреционного управления доступом [FDP_ACF.1], мандатного управления доступом и мандатного управления целостностью [FDP_IFF.2], которые разрешают доступ [FMT_SMR.1], основанный на атрибутах безопасности [FMT_REV.1]. Эта защита также относится к ресурсам, используемым недоверенными субъектами [FDP_RIP.2]. Дискреционная политика управления доступом основана на подтвержденных [FIA_UAU.1] идентификаторах пользователя [FIA_UID.1].

...