ГОСТ Р ИСО/МЭК 15408-3-2013
Невозможност ь обхода
• это свойство, заключающееся в том, что функциональные
возможности безопасности ФБО (как специфицировано в ФТБ) всегда активны, и их невозможно
обойти применительно к этому конкретному механизму. Например, если управление доступом к
файлам определяется как возможность ФБО через ФТБ. то не должно быть никаких интерфейсов,
через которые файлы могут быть доступны без вызова механизма контроля доступа ФБО (примером
такого недопустимого интерфейса может быть интерфейс, через который возможен прямой доступ к
диску в обход файловой системы ).
Как и в случае собственной защиты, сама суть некоторых 0 0 может зависеть от их среды,
которая играет роль в невозможности обхода ФБО. Например. 00 . который является приложением
безопасности, содержит требование, чтобы это приложение вызывалось базовой операционной
системой. Аналогично межсетевой экран зависит от факта отсутствия прямых связей между
внутренней и внешней сетями и от того, что весь трафик между ними должен проходить через
межсетевой экран.
А.1.2 Описание архитектуры безопасности
В «Описании архитектуры безопасности»* объясняется, как указанные выше свойства
представлены в ФБО. Оно содержит описание механизмов определения и разделения доменов
посредством ФБО: мер защиты ФБО от несанкционированного доступа и модификации со стороны
недоверенных процессов, а также описание мер. обеспечивающих надлежащую защиту всех
ресурсов под контролем ФБО и выполнение ФБО роли посредника в действиях, связанных с ФТБ.
Также в «Описании архитектуры безопасности>* объясняется роль среды в любом из этих процессов
(например, если процесс корректно вызывается его базовой средой, то как вызываются его
функциональные возможности безопасности?).
В «Описании архитектуры безопасности» представляются свойства собственной защиты ФБО.
разделения доменов и невозможности обхода в терминах описаний декомпозиции. Уровень такого
описания соизмерим с описанием ФБО. требуемым по заявленным семействам ADV_FSP. ADV_TDS
и ADVJMP. Например, если семейство ADV_FSP является единственным доступным описанием
ФБО. то будет трудно предоставить какой-либо значимый архитектурный проект, поскольку не будут
доступны подробности внутреннего содержания ФБО.
Однако если бы был доступен еще и проект ОО, даже на самом базовом уровне (ADV_TDS.1),
то была бы доступна и некоторая информация, касающаяся подсистем, составляющих ФБО. и
описание того, как они реализуют собственную защиту, разделение доменов и невозможность
обхода. Предположим, например, что все взаимодействия пользователя с ОО ограничены неким
процессом, который действует от лица пользователя и перенимает все присущие ему атрибуты
безопасности; тогда в проекте архитектуры должна быть описана реализация подобного процесса, то.
каким образом функционирование процесса ограничивается ФБО (благодаря чему он не может
нарушить ФБО) и как ФБО участвуют во всех действиях этого процесса (тем самым поясняется,
почему ФБО нельзя обойти) и т.д.
Если доступный оценщику проект ОО более детализирован (например, описан на уровне
модулей) или оценщику предоставлено и представление реализации, то описание архитектурного
проекта будет, соответственно, более детализированным. В нём будет объясняться, каким образом
224