ГОСТ Р ИСО/МЭК15408-2— 2008
Семейство содержит требование исключить установление связи между различными операциями. Эта связь
может приобретать различные формы. Например, с пользователем ассоциируется операция или терминал, с
которого инициировано действие, или продолжительность выполнения действия. Автор ПЗ/ЗБ может специфици
ровать. раскрытию какого типа связей необходимо противодействовать.
Возможные приложения включают в себя возможность многократного использования псевдонима, исклю
чающие создание шаблона использования, по которому можно раскрыть идентификатор пользователя.
Примерами потенциально враждебных субьектов или пользователей являются провайдеры, системные
операторы, абоненты связи и пользователи, скрытно вводящие в систему опасные элементы (например «троян
ские кони»). Сами они не выполняют операции в системе, но стремятся получить информацию об операциях. Все эти
нарушители могут изучать образ действий пользователей (например, какие пользователи какие услуги зака
зывают) и злоупотреблять этой информацией. Невозможность ассоциации защищает пользователей от сопос
тавления. которое может быть проведено между различными действиями потребителя. Например, серия теле
фонных вызовов, сделанных анонимным потребителем по различным номерам, может дать информацию для
раскрытия его идентификатора по сочетанию номеров.
1.3.2 FPR
_
UNL.1 Невозможность ассоциации
1.3.2.1 Замечания по применению для пользователя
Компонент FPR
_
UNL.1 обеспечивает, чтобы пользователи не могли связывать между собой различные
операции в системе и таким образом получать информацию.
1.3.2.2 Операции
1.3.2.2.1 Назначение
В FPR
_
UNL.1.1 автору ПЗ/ЗБ следует специфицировать совокупность пользователей и/или субьектов. от
которых ФБО необходимо предоставить защиту. Например, даже если автор ПЗ/ЗБ специфицирует единственную
роль пользователя или субъекта. ФБО необходимо предоставить защиту не только от отдельного пользователя
или субьекта. но и от совместно действующих пользователей и/или субьектов. Например, совокупность пользова
телей может являться группой пользователей, выступающих в одной и той же роли или использующих один и тот же
процесс.
В FPRJJNL.1.1 автору ПЗ*ЗБ следует идентифицировать список операций, на которые следует распростра
нить требование невозможности ассоциации, например «отправка электронной почты».
1.3.2.2.2 Выбор
В FPR
_
UNL.1.1 автору ПЗ’ЗБ следует выбрать взаимосвязи, которые следует скрыть. Этот выбор позволяет
специфицировать идентификатор пользователя либо операцию назначения списка соотношений.
1.3.2.2.3 Назначение
В FPR
_
UNL.1.1 автору ПЗ/ЗБ следует идентифицировать список соотношений, которые следует защищать,
например «посланные с одного и того же терминала».
I.4 Скрытность (FPR
_
UNO)
1.4.1 Замечания для пользователя
Семейство FPR
_
UNO обеспечивает, чтобы пользователь мог использовать ресурс или услугу без предос
тавления кому-либо, в особенности третьей стороне, возможности знать об использовании ресурса или услуги.
Подход к защите идентификатора пользователя в этом семействе отличает его от остальных семейств
данного класса. Скрывается факт использования ресурса или услуги, а не идентификатор пользователя.
Для реализации скрытности могут быть применены различные методы. Примеры некоторых из них:
a) размещение информации, влияющее на скрытность. Информацию, которую необходимо скрыть (напри
мер. указывающую на выполнение операции), можно разместить в ОО различными способами. Место ее разме
щения в ОО можно выбирать случайно, чтобы нарушитель не знал, какую именно часть ОО следует атаковать.
Данную информацию можно распределить так. чтобы ни в одной части ОО ее не было достаточно для
нарушения приватности пользователя. Этот способ рассматривается в компоненте FPRUN0.2 «Распределение
информа ции. влияющее на скрытность»;
b
) массовое распространению информации (по локальной сети, по радио}. Пользователи не могут опреде
лить. кто конкретно получил и использовал данную информацию. Этот метод особенно полезен в сучае, если
информацию следует довести до того, кто опасается показывать свою заинтересованность в данной информации
(например, чувствительной медицинской информации);
c) криптографическая защита и дополнение сообщений незначащей информацией. Путем наблюдения за
потоком сообщений можно извлечь информацию из самого факта передачи сообщения и его атрибутов. Защиту
передаваемых сообщений и их атрибутов можно обеспечить посредством дополнения трафика и самих сообще ний
незначащей информацией или шифрования.
Иногда пользователей не следует допускать к наблюдению за использованием ресурсов, а уполномочен
ным пользователям такое наблюдение необходимо для исполнения своих обязанностей. В этом случае может
применяться компонент FPRJJNO.4 «Открытость для уполномоченного пользователя», который предоставляет
эту возможность одному или нескольким уполномоченным пользователям.
В данном семействе используется понятие «часть ОО». Под ней подразумевается какая-либо часть ОО.
отделенная физически или логически от других частей ОО. В случае логического отделения может быть уместно
применение семейства FPT
_
SEP «Разделение домена».
143