ГОСТ Р ИСО/МЭК 15408-2-2002
специфицированы функции управления доступом общего характера (использующие, например, обычные биты
разрешения) или структурированные функции управления доступом (использующие, например, списки контроля
доступа).
В FDP_ACF.1.3 автору ПЗ/ЗБ следует специфицировать основанные на атрибутах безопасности правила,
которые будут использоваться для явного разрешения доступа субъектов к объектам и дополняют правила, уста
новленные в FDP_ACF.1.1. Они вынсесны в отдельный элемент FDP_ACF. 1.3, поскольку описывают исключе ния
из правил, установленных в FDP_AC’F.1.1. Например, правила явного разрешения доступа могут быть осно ваны
на векторе полномочий, асеоциированном с субъектом и всегда обеспечивающим ему доступ к объектам, на
которые распространяется специфицируемая ПФБ управления доступом. Ксли подобная возможность нежела
тельна. то автору ПЗ/ЗБ следует указать «Нет» в данной операции.
В FDP_ACF.1.4 автору ПЗ/ЗБ следует специфицировать основанные на атрибутах безопасности правила,
которые будут использоваться для явного отказа в доступе субъектов к объектам и дополняют правила, установ
ленные в FDP ACF. 1.1. Они вынесены в отдельный элемент FDP_ACF.1.4, поскольку описывают исключения из
правил, установленных в FDP_AC’F.1.1. Например, правила явною отказа в доступе могут быть основаны на
векторе полномочий, ассоциированном с субъектом и явно отказывающем ему в доступе к объектам, на которые
распространяется специфицируемая ПФБ управления доступом. Ксли подобная возможность нежелательна, то
автору ПЗ/ЗБ следует указать «Нет» в данной операции.
E. З Аутентификация данных (FDP_DAU)
Семейство FDP_DAU описывает специальные функции, используемые для аутентификации «статичес
ких» данных.
Замечания для пользователя
Компонсты этого семейства используют при наличии требования аутентификации «статических» дан
ных. т. е., когда данные обозначаются, но не передаются. (Заметим, что при передаче данных для обеспечения
нсогказуемостм отправления информации используют семейство FCO_NRO).
FDP_DAU.l Базовая аутентификация данных
Замечания по применению для пользователя
Компонент FDP_DAU.l может быть реали зован с помощью односторонних хэш-функций (криптогра
фической контрольной суммы, отображения отпечатков пальцев, хэш-образа сообщения) для генерации
хэш-значения определяемого документа, которое может использоваться при верификации правильности или
подлинности содержащейся в нем информации.
Операции
Н а з н а ч е н и е
В FDP_DAU.1.1 автору ПЗ/ЗБ следует специфицировать список объектов или типов информации, для
которых ФБО должны быть в состоянии генерировать свидетельство аутентификации данных.
В FDP_DAU.1.2 автору ПЗ/ЗБ следует специфицировать список субъектов, которые будут в состоянии
верифицировать свидетельства аутентификации данных .тля объектов, указанных в предыдущем элементе. Спи
сок может просто перечислить субъектов, если вес они известны, или же описание субъектов в списке можст
носить более обшнй характер и ссылаться на «тип» субъекта, например на идентифицированную роль.
FDP DAU.2 Аутентификация данных с идентификацией гаранта
Замечания по применению для пользователя
Компонент FDP_DAU.2 дополнительно содержит требование наличия возможности верифицировать
идентификатор пользователя, предоставляющего гарантию аутсигификишки (например, доверенного третье-
голица).
Операции
Н а з н а ч е н и е
В FDP_DAlf.2.1 автору ПЗ/ЗБ следует специфицировать список объектов или типов информации, для
которых ФБО должны быть в состоянии генерировать свидетельство аутентификации данных.
В FDP_DAU.2.2 автору ПЗ/ЗБ следует специфицировать список субъектов, которые будут в состоянии
верифицировать свидетельства аутентификации данных для объектов, указанных в предыдущем элементе, а
также идентификатор ноль зовагеля, который создал свидетельство аутентификации данных.
F. 4 Экспорт данных за пределы действия ФБО (FDP LTC)
Семейство FDP_ETC определяет функции для экспорта данных пользователя из 0 0 таким образом, что
их атрибуты безопасности могут или полностью сохраняться, или игнорироваться при экспорте этих данных.
Согласованность этих атрибутов безопасности обеспечивается Семейством FPT TDC «Согласованность
дан ных ФБО между ФБО».
Всемействе FDP_ETC также рассматриваются ограничения на экспорт и ассоциация атрибутов безопас
ности с экспортируемыми данными пользователи.
Замечания для пользователя
FDP_ETC и соответствующее семейство для импорта данных FDP ITC определяют, как ОО поступает с
данными пользователей, передаваемыми из ОДФ и поступающими в нее. Фактически, семейство FDP_ETC
обеспечивает экспорт данных пользователей и связанных с ними атрибутов безопасности.
В этом семействе могут рассматриваться следующие действия:
8-1 -1323
109