ГОСТ Р ИСО/МЭК15408-2— 2008
требующие осуществления политики и инициируемые субъектами, недоверенными относительно одной или всех
ПФБ, над объектами, управляемыми этой ПФБ. проверялись ФБО на соответствие ПФБ. Если помимо этого часть
ФБО. осуществляющая ПФБ. выполняет требования соответствующих компонентов из семейств FPT
_
SEP «Разде
ление домена» и ADVJNT «Внутренняя структура ФБО». то эта часть ФБО обеспечивает «монитор обращений»
для этой ПФБ.
Монитор обращений является частью ФБО. ответственной за осуществление ПБО, и обладает следующими
тремя свойствами:
1) недоверенные субъекты не могут вмешиваться в работу монитора, то есть он устойчив к проникновению.
Это свойство обеспечивается требованиями компонентов семейства FPT SEP «Разделение домена»;
2) недоверенные субъекты не могут обойти проверки монитора, то есть он постоянно ютов к работе. Это
свойство обеспечивается требованиями компонентов семейства FPT
_
RVM «Посредничество при обращениях»:
3) монитор достаточно прост, его устройство поддается анализу, его действия понятны (то есть его построе
ние концептуально несложно). Это свойство обеспечивается требованиями компонентов семейства ADVJNT
«Внутренняя структура ФБО».
Единственный компонент семейства FPT
_
RVM содержит следующее требование: «ФБО должны обеспе
чить. чтобы функции, осуществляющие ПБО. вызывались и успешно выполнялись прежде, чем разрешается вы
полнение любой другой функции в пределах ОДФ». В любой системе (распределенной или нет) имеется конечное
число функций, ответственных за осуществление ПБО. В этом требовании не утверждается, что для управления
безопасностью применяется одна функция. Наоборот, утверждается, что роль механизма проверки правомочно
сти обращений выполняют несколько функций, и именно их совокупность, осуществляющая ПБО. объединена под
именем монитора обращений. При этом необходимо принимать во внимание задачу сохранения простоты «мо
нитора обращений».
ФБО при реализации ПФБ предоставляют эффективную защиту от несанкционированных операций тогда и
только тогда, когда правомочность всех потенциально осуществляемых действий (например, доступа к объектам),
запрошенных субъектами, недоверенными относительно всех или именно этой ПФБ. проверяется ФБО до выпол
нения действий. Если действия по проверке будут выполнены неправильно или проигнорированы (обойдены), то
осуществление ПФБ в целом может быть поставлено под угрозу (ее можно обойти). Тогда «недоверенные» субъекты
смогут обходить ПФБ различными способами (такими, как обход проверки доступа для некоторых субъектов и
объектов, обход проверки для объектов, защита которых управляется прикладными программами, сохранение
права доступа после истечения установленного срока действия, обход аудита событий, подлежащих аудиту, обход
аутентификации). Важно отметить, что термин «недоваренный субъект» относится к субъектам, недоверенным
относительно какой-либо или всех осуществляемых ПФБ; субъект может быть доверенным относительно одной
ПФБ и недоверенным относительно другой.
J.10.2 FPT
_
RVM.1 Невозможность обхода ПБО
J.10.2.1 Замечания по применению для пользователя
Для получения эквивалента монитора обращений необходимо применить данный компонент совместно с
FPT
_
SEP.2 «Отделение домена ПФБ» либо с FPT
_
SEP.3 «Полный монитор обращений», а также с ADVJNT.3
«Минимизация сложности». Кроме того, если требуется полное посредничество при обращениях, требования
компонентов из класса FDP «Защита данных пользователя» необходимо распространить на все объекты в соста ве
ОО.
J.11 Разделение домена (FPT
_
SEP)
J.11.1 Замечания для пользователя
Компоненты семейства FPT
_
SEP обеспечивают, чтобы, по меньшей мере, один домен безопасности был
доступен только для собственного выполнения ФБО и чтобы они (ФБО) были защищены от внешнего вмешатель
ства и искажения (например модификации кода или структур данных ФБО) со стороны недоверенных субъектов.
Выполнение требований этого семейства устанавливает такую самозащиту ФБО. что недоверенный субъект не
сможет модифицировать или повредить ФБО.
Данное семейство содержит следующие требования:
a) ресурсы домена безопасности ФБО («защищенного домена») и ресурсы субъектов и активных сущностей,
внешних по отношению к этому домену, разделяются так. что сущности, внешние по отношению к защищенному
домену, не смогут получить или модифицировать данные или код ФБО в пределах защищенного домена;
b
) обмен между доменами управляется так. что невозможен произвольный вход в защищенный домен или
произвольный выход из него;
c) параметры пользователя или прикладной программы, переданные в защищенный домен по адресу,
проверяются относительно адресного пространства защищенного домена, а переданные по значению — относи
тельно значений, ожидаемых этим доменом;
d) защищенные домены субъектов разделены, за исключением случаев, когда совместное использование
одного домена управляется ФБО.
Данное семейство применяют, если требуется уверенность в том. что ФБО не подвержены внешнему воз
действию.
Для получения эквивалента монитора обращений необходимо применить компонент FPT
_
SEP.2 «Отделе
ние домена ПФБ» или FPT
_
SEP.3 «Полный монитор обращений» совместно с FPTRVM.1 «Невозможность обхо-
155