ГОСТ Р ИСО/МЭК15408-2— 2008
d)самотестирование направлено на обнаружение сбоев/прерываний обслуживания, за которым следует
либо автоматическое восстановление, либо переход в режим аварийной поддержки.
Семейство FPT
_
RCV идентифицирует режим аварийной поддержки. В этом режиме нормальное функцио
нирование может оказаться невозможным или сильно ограниченным из-за возможности перехода в опасное
состояние. В таких случаях обычно доступ разрешается только уполномоченным пользователям, а конкретно
тем. кто может получить доступ в режиме аварийной поддержки, и определяется в классе FMT «Управление
безопасностью». Если в классе FMT нет никаких указаний о том. кто имеет право доступа в этом режиме, теорети
чески допускается, что восстановить систему может любой пользователь. Однако на практике это нежелательно,
поскольку пользователь, восстанавливающий систему, гложет установить конфигурацию ОО, нарушающую ПВО.
Механизмы, предназначенные для обнаружения исключительных состояний при эксплуатации, определя
ются в FPT
_
TST «Самотестирование ФБО». FF>T
_
FLS «Безопасность при сбое» и других разделах, относящихся к
проблеме «Сохранность программного обеспечения». Вероятно, использование одного из этих семейств потре
буется при выборе FPTRCV «Надежное восстановление». Это обеспечит возможность ОО определить необхо
димость в восстановлении.
В данном семействе применяется выражение «безопасное состояние». Оно относится к состоянию, при
котором данные ФБО непротиворечивы и продолжают корректное осуществление ПБО. Это состояние может
быть состоянием после загрузки системы или состоянием в некоторой контрольной точке. «Безопасное состоя
ние» определяется в модели ПФБ. Если разработчик предоставил четкое определение безопасного состояния и
разъяснение, когда его следует считать таковым, зависимость любого из компонентов из FPT
_
RCV «Надежное
восстановление» от ADV
_
SPM.1 «Неформальная модель политики безопасности ОО» можно не учитывать.
После восстановления может потребоваться (через самостестирование ФБО) подтверждение того, что
безопасное состояние достигнуто. Однако если восстановление выполняется так. чтобы только безопасное со
стояние могло быть достигнуто, иначе восстановление не происходит, тогда зависимость от компонента самотес
тирования ФБО (FPT
_
TST.1 «Тестирование ФБО») может быть признана ненужной.
J.8.2 FPT
_
RCV.1 Ручное восстановление
J.8.2.1 Замечания по применению для пользователя
В иерархии семейства FPT
_
RCV «Надежное восстановление» восстановление, которое требует только
ручного вмешательства, наименее желательно, так как при этом исключается восстановление системы без учас тия
человека.
Компонент FPT
_
RCV.1 предназначен для применения в ОО. которые не требуют автоматического восста
новления безопасного состояния. Требования этого компонента направлены против угрозы нарушения защиты в
результате приведения ОО с участием человека в опасное состояние при восстановлении после сбоя или другого
прерывания.
J.8.2.2 Замечания по применению для оценщика
Допускается, чтобы функции уполномоченного администратора по надежному восстановлению были дос
тупны ему только в режиме аварийной поддержки. Следует предусмотреть средства ограничения доступа в режи ме
аварийной поддержки, предоставляя его только уполномоченным пользователям.
J.8.2.3 Операции
J.8.2.3.1 Назначение
В FPT
_
RCV.1.1 автору ПЗ/ЗБ следует специфицировать список сбоев или прерываний обслуживания (сбой
электропитания, исчерпание обьема памяти для хранения данных аудита, любой сбой или прерывание), после
которых ОО перейдет в режим аварийной поддержки.
J.8.3 FPT
_
RCV.2 Автоматическое восстановление
J.8.3.1 Замечания по применению для пользователя
Автоматическое восстановление считается более предпочтительным, чем ручное, так как позволяет маши
не продолжать функционирование без участия человека.
Компонент FPT
_
RCV.2 «Автоматическое восстановление» расширяет FPT
_
RCV.1 «Ручное восстановление»,
требуя возможность автоматического восстановления хотя бы после одного типа сбоя/прерывания обслужива
ния. Требования этого компонента направлены против угрозы нарушения защиты в результате приведения ОО
без участия человека в опасное состояние при восстановлении после сбоя или другого прерывания.
J.8.3.2 Замечания по применению для оценщика
Допускается, чтобы функции уполномоченного администратора по надежному восстановлению были дос
тупны ему только в режиме аварийной поддержки. Следует предусмотреть средства ограничения доступа в режи ме
аварийной поддержки, предоставляя его только уполномоченным пользователям.
В соответствии с FPT
_
RCV
_
2.1 разработчик ФБО отвечает за определение совокупности сбоев и прерыва
ний обслуживания, после которых возможно восстановление.
Предполагается, что робастность механизмов автоматического восстановления будет верифицирована.
J.8.3.3 Операции
J.8.3.3.1 Назначение
В FPT
_
RCV.2.1 автору ПЗ/ЗБ следует специфицировать список сбоев или прерываний обслуживания (сбой
электропитания, исчерпание обьема памяти для хранения данных аудита), после которых ОО перейдет в режим
аварийной поддержки.
153