ГОСТ Р ИСО/МЭК15408-2—2008
1.1.3.2 Операции
1.1.3.2.1 Назначение
В FPR
_
ANO
_
2.1 автору ПЗ/ЗБ следует специфицировать совокупность пользователей и/или субъектов, от
которых ФБО необходимо предоставить защиту. Например, даже если автор ПЗ/ЗБ специфицирует единственную
роль пользователя или субъекта. ФБО необходимо предоставить защиту не только от отдельного пользователя
или субъекта, но и от совместно действующих пользователей и/или субъектов. Совокупность пользователей,
например, может являться группой пользователей, выступающих в одной и той же роли или использующих одни и
те же процессы.
В FPRAN0.2.1 автору ПЗ’ЗБ следует идентифицировать список субъектов и‘или операций, и/или объектов,
для которых подлинное имя пользователя данного субъекта следует защитить, например «голосование».
В FPR
_
ANO
_
2.2 автору ПЗ/ЗБ следует идентифицировать список услуг, на которые распространяется требо
вание анонимности, например «доступ к описанию работ».
В FPRAN0.2.2 автору ПЗ/ЗБ следует идентифицировать список субъектов, для которых подлинные имена
пользователей необходимо защитить при предоставлении специфицированных услуг.
1.2Псевдонимность (FPR
_
PSE)
1.2.1 Замечания для пользователя
Семейство FPR
_
PSE обеспечивает, чтобы пользователь мог использовать ресурс или услугу без раскрытия
своего идентификатора, оставаясь в то же время ответственным за это использование. Пользователь может
быть ответственным, будучи прямо связан со ссылкой (псевдонимом), предоставляемой ФБО. или с псевдони
мом. таким как номер банковского счета, используемым для целей обслуживания.
В некотором отношении псевдонимность походит на анонимность. В обоих случаях защищается идентифи
катор пользователя, но в псевдонимности поддерживается ссылка на идентификатор пользователя как для
сохранения его ответственности, так и для других целей.
Компонент FPR
_
PSE.1 «Псевдонимность» не специфицирует требований, относящихся к ссылке на иден
тификатор пользователя. Эти требования имеются в компонентах FPR
_
PSE.2 «Обратимая псевдонимность» и
FPR
_
PSE.3 «Альтернативная псевдонимность».
Одним из путей использования этой ссылки является возможность получения первоначального идентифи
катора пользователя. Например, если компьютеризованная касса несколько раз выдает абсолютно одинаковые
чеки (то есть происходит мошенничество), было бы предпочтительно иметь возможность отследить идентифика тор
пользователя. В общем случае необходимость восстановления идентификаторов пользователей определя ется
конкретными условиями. Для описания такой услуги автору ПЗ/ЗБ можно воспользоваться компонентом
FPR
_
PSE.2 «Обратимая псевдонимность».
Ссылка может также использоваться в качестве псевдонима пользователя. Например, пользователь, не
желающий быть идентифицированным, может предоставить номер счета, с которого следует оплачивать исполь
зование ресурсов. В таком случав ссылка на идентификатор пользователя - это его псевдоним, который другие
пользователи или субъекты могут использовать для выполнения своих функций, без получения при любых обсто
ятельствах идентификатора пользователя (например, при сборе статистических данных использования систе
мы). В этом случае для определения правил, которым ссылки должны удовлетворять, автор ПЗ/ЗБ может вос
пользоваться компонентом FPR
_
PSE.3 «Альтернативная псевдонимность».
Применяя упомянутые выше конструкции, с помощью FPR PSE.2 можно ввести электронные деньги, уста
новив требование защиты идентификатора пользователя от наблюдения при условии, что одна и та же электрон ная
сумма не тратится дважды. В последнем случае идентификатор пользователя будет отслеживаться. Следо
вательно. если пользователь ведет себя честно, его идентификатор защищен, если же он пытается мошенничать, его
идентификатор может быть отслежен.
Другим видом системы электронных платежей являются электронные кредитные карточки, с помощью
которых пользователь предоставляет псевдоним, указывающий на счет, с которого могут быть сняты деньги. В
подобном случае можно использовать, например компонент FPR
_
PSE.3. определив, что идентификатор пользо
вателя будет защищен и пользователь получит требуемую сумму, только если на его счете есть деньги (если так
оговорено в условиях).
Следует иметь в виду, что наиболее строгие компоненты данного семейства могут потенциально не соче
таться с другими возможными требованиями, такими как идентификация и аутентификация или аудит. Выраже ние
«определить идентификатор» следует понимать в широком смысле, а именно: ФБО не предоставляют ин
формацию при выполнении операции; нельзя определить создателя субъекта или владельца субъекта, вызвав
шего операцию; ФБО не будут записывать такую информацию, доступную пользователям или субъекта?/, по кото рой
в дальнейшем можно бы было узнать идентификатор пользователя.
Смысл заключается в том. чтобы ФБО не раскрывали без необходимости любую информацию, с помощью
которой можно определить идентификатор пользователя, например идентификаторы субъектов, действующих от
имени пользователя. Степень сохранности этой информации зависит от усилий, которые потребуются наруши телю
для ее раскрытия. Следовательно, в компонентах семейства FPRPSE «Псевдонимность» необходимо
учитывать требования стойкости функций.
Возможные применения включают в себя оплату телефонных услуг по льготному тарифу без раскрытия
идентификатора абонента или оплату анонимного использования системы электронных платежей.
140