ГОСТ Р ИСО/МЭК 15408-2-2013
Приложение I
(обязательное)
Приватность(FPR)
Класс FPR описывает требования, которые могут накладываться для удовлетворения потреб
ности пользователя в приватности, допуская максимально возможную гибкость системы, но оставляя
в то же время возможной поддержку достаточного управления функционированием системы.
Компоненты этого класса достаточно гибки, чтобы учитывать, распространяется ли действие
затребованных функций безопасности на уполномоченных пользователей. Например, автор ПЗ/ЗБ
может посчитать, что не потребуется защита приватности пользователя от пользователей, наделен
ных специальными полномочиями.
Класс FPR вместе с другими классами (содержащими требования аудита, управления досту
пом. предоставления доверенного маршрута и неотказуемости) обеспечивает гибкость при специфи
кации желательного режима приватности. В то же время, требования этого класса могут налагать ог
раничения на использование компонентов других классов, таких как FIA «Идентификация и аутенти
фикация» или FAU «Аудит безопасности». Например, если уполномоченным пользователям не раз
решено знать идентификатор пользователя (например, в семействах «Анонимность» или «Псевдо-
нимность»), то. очевидно, невозможно будет оставить отдельных пользователей ответственными за
выполняемые ими относящиеся к безопасности действия, на которые распространяются требования
приватности. Тем не менее, и в этом случае возможно включение в ПЗ/ЗБ требований аудита, когда
само возникновение некоторых событий, связанных с безопасностью, важнее, чем знание того, кто
был их инициатором.
Дополнительная информация по этому вопросу представлена в замечаниях по применению
класса FAU. где разъясняется, что вместо идентификатора в контексте аудита может применяться
псевдоним или другая информация, которая могла бы идентифицировать пользователя.
Этот класс содержит четыре семейства: «Анонимность». «Псевдонимность», «Невозможность
ассоциации» и «Скрытность». Три первых семейства имеют сложные взаимосвязи. При выборе се
мейства для применения следует учитывать выявленные угрозы. Для некоторых типов угроз приват
ности «Псевдонимность» подойдет больше, чем «Анонимность» (например, при требовании проведе
ния аудита). Кроме того, некоторым видам угроз приватности наилучшим образом противостоит соче
тание компонентов из нескольких семейств.
Во всех семействах предполагается, что пользователь не предпринимает прямо никаких дейст
вий. раскрывающих его собственный идентификатор. Например, не ожидается, чтобы ФБО скрывали
имя пользователя в сообщениях электронной почты или базах данных.
Все семейства этого класса имеют компоненты, область действия которых может быть задана
операциями. Эти операции позволяют автору ПЗ/ЗБ указать те действия, общие для пользовате-
лей/субъектов. которым необходимо противодействовать с использованием ФБО. Возможный пример
273