ГОСТ Р ИСО/МЭК 18045—2013
разделения программных доменов, например путем разграничения системного и пользовательского
адресного пространства. Также ФБО могут зависеть от среды, которая предоставляет некоторую под
держку по защите ФБО.
Все механизмы, способствующие выполнению функциональных возможностей разделения до
менов. описываются. Оценщику следует использовать сведения, полученные из других свидетельств
(функциональная спецификация, проект 00. описание внутренней структуры ФБО. другие части «Опи
сания архитектуры безопасности» или представления реализации, как включается в пакет доверия
для ОО) при вынесении заключения о том. описаны ли функциональные возможности, способствующие
собственной защите, которые отсутствуют в «Описании архитектуры безопасности».
Точность описания механизмов собственной защиты является свойством описания правильно
описывать реализованное. Оценщику следует использовать другие свидетельства (функциональную
спецификацию, проект ОО, описание внутренней структуры ФБО. другие части «Описания архитектуры
безопасности» или представления реализации, как включается в ЗБ для ОО) при вынесении заключе
ния о том. есть ли противоречия в каких-либо описаниях механизмов собственной защиты. Если «Пред
ставление реализации» (ADVJMP) включается в пакет доверия для ОО. то оценщик проведет выборку
представления реализации; оценщику следует также удостовериться, что описания в этой выборке яв
ляются точными. Если оценщик не может понять, каким образом работает или способен работать кон
кретный механизм собственной защиты ФБО в рамках архитектуры системы, это может быть случаем,
когда описание не является точным.
ИСО/МЭК 15408-3 ADV_ARC.1.5C; В «Описании архитектуры безопасности» должно быть про
демонстрировано. что ФБО не допускают возможности обхода функциональных возможностей, осу
ществляющих выполнение ФТБ.
10.3.1.4.5 Шаг оценивания ADV_ARC.1 -5
Оценщик должен исследовать «Описание архитектуры безопасности», чтобы сделать заключение
о том. что в нем представлен анализ, адекватно описывающий, каким образом не допускается возмож
ность обхода механизмов, осуществляющих выполнение ФТБ.
Невозможность обхода является свойством того, что функции безопасности ФБО (как специфици
ровано в ФТБ) всегда вызываются. Например, если управление доступом к файлам специфицировано
как способность ФБО через ФТБ. недолжно быть никаких интерфейсов, через которые к файлам можно
получить доступ без вызова механизма управления доступом ФБО (например в виде интерфейса до
ступа к RAW-диску).
Описание того, каким образом обеспечивается невозможность обхода механизмов ФБО. обычно
требует систематического доказательства, основанного на ФБО и ИФБО. Описание того, как работают
ФБО (содержащееся в свидетельствах декомпозиции проекта, таких как функциональная специфика
ция. документация по проекту ОО) — наряду с информацией в краткой спецификации — предоставляет
фоновую информацию, необходимую оценщику для понимания того, какие ресурсы защищаются и ка
кие функции безопасности предоставляются. Функциональная спецификация предоставляет описания
ИФБО. через которые можно получить доступ к ресурсам/функциям.
Оценщик оценивает предоставленное ему описание (и другую информацию, предоставленную
разработчиком, например функциональную спецификацию), чтобы удостовериться, что никакой до
ступный интерфейс не может использоваться для обхода ФБО. Это означает, что каждый доступный
интерфейс должен быть либо несвязанным с ФТБ. которые заявлены в ЗБ (и не должен взаимодей
ствовать с чем-то. что используется для удовлетворения ФТБ) или. в ином случае, использует функцию
безопасности, которая соответствующим образом описана в других свидетельствах разработки. Напри
мер. игра, скорее всего, не была бы связана с ФТБ. поэтому следовало бы привести объяснение тому,
что она не может повлиять на безопасность. Доступ к пользовательским данным, однако, скорее всего,
будет связан с ФТБ по управлению доступом, поэтому в объяснении следовало бы описать, как работа ют
функции безопасности, когда они вызываются через интерфейсы доступа к данным. Такое описание
необходимо приводить для каждого доступного интерфейса.
Можно привести следующий пример описания. Предположим, что ФБО обеспечивают защиту
файлов. Также предположим, что. хотя «традиционный» системный вызов ИФБО для открытия, чтения и
записи в файл вызывает механизм защиты файла, описанный в проекте ОО. существует ИФБО, кото рый
позволяет получить доступ к средству обработки пакетных заданий (создающему пакетные зада ния.
удаляющему задания, изменяющему иеотработанные задания). Оценщику следует быть в состо янии
сделать на основании предоставленного производителями описания заключение о том. что этот ИФБО
вызывает такие же механизмы защиты, что и «традиционные» интерфейсы. Это может быть
54