ГОСТ Р ИСО/МЭК 15408-2—2002
В основу семейства FDP_ACC положена концепция произвольного управления взаимодействием субъек
тов и объектов. Область и цель управления определяются атрибутами получателя прав доступа (субъекта),
атрибутами хранилища данных, к которому предоставляется доступ (объекта), действиями (операциями) и
ассоциированными правилами управления доступом.
Замечания для пользователя
Компоненты этого семейства дают возможность идентификации (по имени) Г1ФВ управления досту
пом. в основе которых лежат традиционные механизмы дискреционного управления доступом (DAC). Всемей
стве определяются субъекты, объекты и операции, которые входят в область действия
идентифицированных политик управлении доступом. Правила, определяющие функциональные возможности
11ФБ управления дос тупом. будут установлены другими семействами, такими как FDP_ACF и FDP_RIP.
Предполагается, что име на ПФБ, идентифицированные в семействе FDP ACC, будут использоваться
повсеместно в тех функциональ ных компонентах, которые имеют операцию, запрашивающую назначение
или выбор «ПФБ управления дос тупом*.
В область действия Г1ФБ управления доступом входит множество триад «субъект, объект, операции».
Следовательно, на субъект могут распространяться несколько ПФБ, но только в различных сочетаниях с
объектами и операциями. Разумеется, то же относится и к объектам, и к операциям.
Важнейшим аспектом функции управления доступом, осуществляющий ПФБ управления доступом,
является предоставление пользователям возможности модифицировать атрибуты управления доступом. Семей
ство FDP_ACC для этого нс предназначено. Часть относящихся к этой проблеме требований нс определена, но
их можно ввести как уточнение: часть содержится в других семействах и классах, например в классе FMT
■«Управление безопасностью*.
В семействе FDP_ACC нет требований аудита, поскольку он специфицирует только требования ПФБ
управления доступом. Требования аудита присутствуют в семействах, специфицирующих функции для удовлет
ворения ПФБ управтсния доступом, идентифицированных в этом семействе.
Эго семейство предоставляет автору ПЗ/ЗБ возможность спецификации нескольких политик, например
жесткую ПФБ управления доступом в одной области дейст вия и гибкую в другой. Для спецификации несколь ких
политик управления доступом компоненты этого семейства м о т использоваться в Г13/ЗБ несколько раз для
различных подмножеств операций и объектов. Эго применимо к 00. в которых предусмотрено несколько
политик для различных подмножеств операций и объектов. Другими словами, автору ПЗ/ЗБ следует специфи
цировать. применяя компонент АСС. необходимую информацию о каждой из ПФБ. которые будут осуществ
ляться ФБО. Например. ПЗ/ЗБ для ОО. включающего в себя три ПФБ, каждая из которых действует для
своей части объектов, субъектов и операций в пределах ОО. будет содержать по одному компоненту FDP_ACC. I
«Ограниченное управление доступом* для каждой из трех ПФБ.
FDPACC.1 Ограниченное управление доступом
Замечания по применению для пользователя
Термины «объект» и «субъект- применяют дли обобщенного предоставления элементов ОО. Для каждой
реализуемой политики необходимо четко иден тифицировать сущности этой политики. В Г13объекты и операции
можно представить с использованием типов, например именованные объекты, хранилища данных, доступ
для чтения и т. п. Для конкретной системы необходимо уточнение обобщающих понятий «объект» и «субъект*,
например файлы, регистры, порты, присоединенные процедуры, запросы на открытие и т. п.
Компонент FDP_ACC.I определяет, что политика распространяется на некоторое полностью опреде
ленное множество операций на каком-либо подмножестве объектов. Он не накладывает никаких отраниченин на
операции, не входящие в зга множество, в том числе и операции на объектах, на которых иные операции
управляются.
Операции
Н а з н а ч е н и е
В FDP ACC.1.1 автору 113/ЗБ следует специфицировать уникально именованную ПФБ управления досту
пом, осуществляемую ФБО.
В FDP_ACC.1.1 автору ПЗ/ЗБ следует специфицировать список субъектов, объектов и операций субъек
тов на объектах, на которые распространяется данная ПФБ.
FDP ACC.2 Полное управление доступом
Замечания по применению для пользователя
Компонент FDP_ACC.2 содержит требование, чтобы ПФБ управления доступом распространилась на
все возможные операции над объектами, включенными в Г1ФБ.
Автору ПЗ/ЗБ необходимо продемонстрировать, что на любую комбинацию объектов и субъектов рас
пространяется какая-либо ПФБ управления доступом.
Операции
Н а з н а ч е н и е
В FDP_AC’C.2.1 автору ПЗ/ЗБ следуетспецифицировать уникально именованную ПФБ управтсния досту
пом. осуществляемую ФБО.
В FDP_ACC.2.1 автору ПЗ/ЗБ следует специфицировать список субъектов и объектов, на которые рас
пространяется данная ПФБ. ПФБ будет распространяться на все операции между этими субъектами и объектами.
Е.2 Функции ’правления доступом (FDP ACF)
107