КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
F.5.1 Замечания для пользователя
|
|
|
|
F.4.3.2.1 Назначение
F.4.3.2 Операции
F.4.3.1 Замечания по применению для пользователя
F.4.2.2.1 Назначение
F.4.2.2 Операции
F.4.2.1 Замечания по применению для пользователя
Компонент FDP_ETC.1 используется для спецификации осуществляемого при посредничестве ФБО экспорта информации без экспорта атрибутов безопасности.
В FDP_ETC.1.1 автору ПЗ/ЗБ следует специфицировать, какие ПФБ управления доступом и/или информационными потоками будут осуществляться при экспорте данных пользователя. Данные пользователя, которые экспортируются этой функцией, ограничиваются назначением этих ПФБ.
F.4.3 FDP_ETC.2 Экспорт данных пользователя с атрибутами безопасности
Данные пользователя экспортируются вместе со своими атрибутами безопасности. Эти атрибуты безопасности однозначно ассоциированы с данными пользователя. Ассоциация может устанавливаться различными способами. К способам установления ассоциации относятся совместное физическое размещение данных пользователя и атрибутов безопасности (например, на одной дискете) или использование криптографических приемов, таких как цифровые подписи, для ассоциации этих атрибутов и данных пользователя. Для обеспечения получения правильных значений атрибутов другим доверенным продуктом ИТ можно использовать семейство FTP_ITC «Доверенный канал передачи между ФБО», в то время как семейство FPT_TDC «Согласованность данных ФБО между ФБО» может применяться для достижения уверенности в правильной интерпретации этих атрибутов. В свою очередь, семейство FTP_TRP «Доверенный маршрут» может применяться для достижения уверенности в инициации экспорта надлежащим пользователем.
В FDP_ETC.2.1 автору ПЗ/ЗБ следует специфицировать, какие ПФБ управления доступом и/или информационными потоками будут осуществляться при экспорте данных пользователя. Данные пользователя, которые экспортируются этой функцией, ограничиваются назначением этих ПФБ.
|
|
|
В FDP_ETC.2.4 автору ПЗ/ЗБ следует специфицировать все дополнительные правила управления экспортом или указать "Нет" при их отсутствии. Эти правила будут реализованы ФБО в дополнение к ПФБ управления доступом и/или информационными потоками, выбранным в FDP_ETC.2.1.
F.5 Политика управления информационными потоками (FDP_IFC)
В семействе FDP_IFC идентифицируются ПФБ управления информационными потоками и специфицируются области действия каждой такой политики.
Компоненты этого семейства дают возможность идентификации ПФБ управления информационными потоками, осуществляемых традиционными механизмами мандатного управления доступом при их наличии в ОО. Однако их возможности шире традиционных механизмов мандатного управления доступом. Они могут использоваться для определения политик невмешательства и политик, основанных на переходах между состояниями. В этом семействе для каждой из ПФБ управления информационными потоками ОО определяются субъекты, информация и операции перемещения информации к субъектам и от субъектов. ПФБ управления информационными потоками будут установлены другими семействами, такими как FDP_IFF «Функции управления информационными потоками» и FDP_ETC «Экспорт из ОО». ПФБ управления информационными потоками, именованные здесь, в дальнейшем будут использоваться повсеместно в тех функциональных компонентах, которые включают в себя операцию, запрашивающую назначение или выбор "ПФБ управления информационными потоками".
Компоненты этого семейства достаточно гибки. Они позволяют специфицировать домен управления потоками, не требуя, чтобы механизм управления был основан на метках. Разные элементы компонентов управления информационными потоками также допускают различную степень исключений из осуществляемой политики.
|
|
|
Каждая ПФБ распространяется на некоторое множество триад: "субъект, информация, операции перемещения информации к субъектам и от субъектов". Некоторые политики управления информационными потоками могут иметь очень подробную детализацию и описывать субъекты непосредственно в терминах процессов операционной системы. Другие политики могут определяться с меньшими подробностями и описывать субъекты в терминах пользователей или каналов ввода/вывода. Если политика управления информационными потоками задана недостаточно подробно, то четкое определение требуемых функций безопасности ИТ может оказаться невыполнимым. В таком случае целесообразнее описывать политики управления информационными потоками как цели безопасности. Тогда требуемые функции безопасности ИТ можно специфицировать, исходя из этих целей.
Во втором компоненте (FDP_IFC.2 «Полное управление информационными потоками») каждая ПФБ управления информационными потоками будет охватывать все возможные операции перемещения информации к субъектам и от субъектов под управлением этой ПФБ. Более того, требуется, чтобы все информационные потоки были охвачены какой-либо ПФБ, поэтому для каждого действия, вызвавшего перемещение информации, будет существовать совокупность правил, определяющих, является ли данное действие допустимым. Если данный информационный поток подчинен нескольким ПФБ, то необходимо его разрешение всеми этими политиками до его начала.
Политика управления информационными потоками охватывает полностью определенное множество операций. Для некоторых информационных потоков этот охват может быть "полным", а для других потоков он может относиться только к некоторым из предусмотренных для них операций.
Политика управления доступом обеспечивает доступ к объектам, содержащим информацию. Политика управления информационными потоками обеспечивает доступ к информации, независимо от места ее хранения. Атрибуты информации, которые могут быть (или не быть, как для многоуровневых баз данных) ассоциированы с атрибутами места хранения, остаются с информацией при ее перемещении. Получатель доступа к информации не имеет возможности без явного разрешения изменять ее атрибуты.
|
|
|
Возможны различные уровни представления информационных потоков и операций. В ЗБ информационные потоки и операции можно специфицировать на уровне конкретной системы, например в терминах пакетов TCP/IP, проходящих через межсетевой экран по известным IP-адресам. В ПЗ информационные потоки и операции можно представить с использованием следующих типов: электронная почта, хранилища данных, доступ для чтения и т.д.
Компоненты семейства FDP_IFC могут неоднократно применяться в ПЗ/ЗБ к различным подмножествам операций и объектов (т.е. к ним может быть применена операция итерации). Это позволит адаптировать данное семейство к ОО, включающим в себя несколько политик, каждая из которых действует на собственное подмножество субъектов, информации и операций.
F.5.2 FDP_IFC.1 Ограниченное управление информационными потоками
|
|
|
|
|
Дата добавления: 2014-01-15; Просмотров: 235; Нарушение авторских прав?; Мы поможем в написании вашей работы!