ГОСТРИСО/МЭК ТО 15446— 2008
b)сдругой стороны, если выбраны компоненты требований, в которых специфицированы разрешен
ные операции (назначение, выбор), то эти операции должны использоваться в ПЗдля конкретизации требо
ваний до уровня детализации, необходимогодля демонстрации достижения целей безопасности.
Следовательно, операции «назначение» и «выбор» целесообразно выполнять, исходя из необходи
мостидемонстрации достижения целей безопасности. Важным тестом правильности выполнения операции
над компонентом является процесс формирования «Обоснования требований безопасности ИТ»: аргумен
ты. используемыедля демонстрации пригодности требований безопасности ИТ для удовлетворения целей
безопасности, недолжны опираться на детали, которые не были специфицированы в ФТБ. Например,
для ФТБ управления доступом, основанного на компоненте FDP_ACF.1.спецификацию правил управления
доступом можно возложить на разработчика ЗБ в том случае, если такие правила уже определены в
ПБОр, для удовлетворения которой предназначена соответствующая (управлению доступом) цель безо
пасности.
Один из рекомендуемых подходов к решению упомянутой выше проблемы — частичное выпол
нение операций. Следуя данному подходу, можно представить разработчику ЗБ максимальную свободу
действий и, вместе с тем. предотвратить выполнение операций «назначение» и «выбор», несовместимое с
целями безопасностидля ОО.
По первому примеру ФТБ (основанном на FAU_STG.4.1)операция «выбор» выполнена частично пу
тем предотвращения выбора варианта «итерирование подвергаемых аудиту событий», который разработ
чик считает несовместимым с целями безопасности для ОО. Таким образом. ФТБ предоставляет
разработ чику ЗБ два (а не три) варианта выбора:
«ФБО должны выполнить предотвращение событий, подвергающихся аудиту, исключая предприни
маемые уполномоченным пользователем со специальными правами, запись поверх самых старых храни
мых записей аудита и (назначение: другие действия, которые нужно предпринять в случае возможного
сбоя хранения журнала аудита] при переполнении журнала аудита».
Второй пример — ФТБ (основанное на компоненте FPTJTT.1), которое показывает, как частичное
выполнениеоперации «выбор» предписывает применениеодного из вариантов выбора. Компонент FPTJTT.1
допускает спецификацию требования защиты передаваемых данных ФБО от раскрытия и/или модифика
ции. В рассматриваемом примере разработчик ПЗ определил, что для достижения целей безопасности
требуется защита передаваемыхданных ФБО от раскрытия. Нарядус этим разработчик ПЗ не преследует
цели запретить наличие в ЗБ для соответствующего ОО специфицированной защиты от модификации.
Таким образом, частичное выполнение операции «выбор» заключается в исключении нежелательного вари
анта (защита только от модификации):
«ФБО должны защитить свои данные от [выбор: раскрытие, раскрытие и модификация] при их пере
даче между разделенными частями ОО».
Исходя из рассмотренных примеров, можно сделать вывод, что частичное выполнение операции
«выбор» является надлежащим, если результирующее ФТБ представляет подмножество вариантов выбо
ра, которые являются разрешенными для исходного функционального компонента. Подобным образом,
частичное выполнение операции «назначение» является надлежащим, если допустимые значения выпол
нения операции «назначение» для ФТБ являются допустимыми и для исходного функционального компо
нента. Если по какой-либо причине эти условия не выполняются, то необходимо использовать расширен
ный функциональный компонент сдругими операциями «назначение» и «выбор».
Выполнение операций «назначение» и «выбор» должно бытьпрямым. То есть, при выполнении опера
ции «назначение» необходимо обеспечить, чтобы специфицируемый параметр был однозначным (точно
выраженным). При выполнении операции «выбор» необходимо выбрать вариант (варианты) из списка с
учетом целей безопасностидля ОО.
Например, требование на основе элемента FMT_SAE.1.1 могло быть представлено следующим
образом:
«ФБО должны ограничить возможность назначать срокдействия для (паролей пользователя] только
[уполномоченным администратором]».
Если операция остается невыполненной, то необходимо пояснить, что выполнение операции возлага
ется на разработчика ЗБ. Например, требование на основе элемента FDP_RIP.1.1 могло бы бытьспецифи
цировано в ПЗ следующим образом:
«ФБО должны обеспечить недоступность любого предыдущего информационного содержания ре
сурсов при распределении ресурсадля следующих объектов: [назначение: списокспецифицируемых раз
работчиком ЗБ объектов]».
22