ГОСТ Р ИСО/МЭК 15408-2-2002
Е.9 Защита остаточной информации (FDPRIP)
Семейство FDP RIP связано с необходимостью обеспечения последующей недоступности удаленной
информации и отсутствия но вновь созданных объектах информации из объектов, ранее использовавшихся в
00. Эго семейство нс применяется к объектам, хранимым автономно.
Замечания для пользователя
Это семейство содержит требования защиты информации, которая уже логически удалена или освобож
дена (недоступна для пользователя, но все сшс находится в пределах системы и может быть восстановлена). В
частости, это относится к информации, которая содержится в объекте как часть ресурсов ФБО многократ
ного использования, когда уничтожение объекта необязательно эквивалентно уничтожению ресурса или ка
кой-либо части ресурса.
Семейство применимо также при попеременном использовании различными субъектами ресурсов в си
стеме. Например, в большинстве операционных систем для поддержки системных процессов обычно использу
ются аппаратные регистры (в качестве ресурсов). Поскольку процессы постоянно переходят из активного
состояния в состояние ожидания и обратно, эти регистры попеременно используются различными субъекта ми.
Хотя подобные действия «подкачки» можно нс считать занятием или освобождением ресурса, к таким
событиям и ресурсам может быть применено семейство FDP_RIP.
Семейство FDP_RIP обычно связано с доступом к информации, не являющейся частью объекта, кото
рый определен в данный момент или к которому осуществляется доступ: однако это правато не всегда соблю
дается. Пусть, например, объект А является файлом, а объект В —диском, на котором размещается этот
файл. Когда объект А удален, доступ к его остаточной информации определяется семейством FDP_RIP. хотя
она все сшс остается частью объекта В.
Важно иметь в виду, что FDP_RIP применяется только к объектам типа on-line, а нс off-line (т. с. не к
автономным объектам, таким как резервные копии объектов на матитных лентах). Например, если в ОО
удаляется файл, в FDP_RIP может быть отображено требование отсутствия любой остаточной информации
при освобождении ресурса: тем не менее ФБО нс могут распространить осуществление этого требования на тот
же самый файл, существующий в виде автономной резервной копии. Следовательно, этот файл по-пре жнему
доступен. Если важно обеспечить недоступность, то автору ПЗ/ЗБ следует удостовериться, что соответ
ствующая цель безопасности для среды отражена в руководстве администратора применительно к автоном
ным объектам.
Семейства FDP_R1P и FDPROL могут вступать в конфликт, когда в первом отображено требование
уничтожения остаточной информации во время передачи объекта от приложения к функциям безопасности (т.
с. при освобождении объекта). Поэтому результат выполнении операции выбора «недоступность при осво
бождении ресурса* в FDP_RIP нельзя совместить с использованием FDP_ROL из-за возможного отсутствия
информации, необходимой для отката в предыдущее состояние. В этом случае и FDP_RIP следует выбрать
«недоступность при распределении ресурса», что позволяет использовать FDP_ROL. хотя имеется риск, что
ресурс, содержавший информацию, распределен новому объекту до выполнения отката. Если это произойдет, то
откат будет невозможен.
В FDP_RIP нет требований аудита из-за того, что в нем не отражены функции, вызываемые пользова
телем. Аудит распределенных или освобожденных ресурсов будет возможен как часть операций ПФБ управле
ния доступом или информационными потоками.
Это семейство следует применять к объектам, специфицированным в ПФБ управления доступом или
информационными потоками автором ПЗ/ЗБ.
FDP R1P.1 Ограниченная защита оегаточной информации
Замечания по применению для пользователя
Компонент FDP_RIP.I содержит требование, что ФБО будут обеспечивать для подмножества объектов
0 0 отсутствие в распределенном этим объектам или освобожденном ими ресурсе доступной остаточной ин
формации.
Операции
Выбор
В FDP_RIP.1.1 автору ПЗ/ЗБ следует специфицировать, в каком именно случае, при распределении или
освобождении ресурсов, вызывается функция зашиты остаточной информации.
На з н а ч е н и е
В FDP_R1P.1.1 автору ПЗ/ЗБ следует привести список объектов, .ыя которых выполняется зашита оста
точной информации.
FDP_RIP.2 Полная зашита остаточной информации
Замечания по применению для пользователя
Компонент FDP_RIP.2 содержит требование, что ФБО будут обеспечивать для всех объектов 0 0 отсут
ствие в распределенном этим объектам или освобожденном ими ресурсе доступной остаточной информации.
Операции
Выбор
В FDP_RIP.2.I автору ПЗ/ЗБ следует специфицировать, в каком именно случае, при распределении или
освобождении ресурсов, вызывается функция защиты остаточной информации.
118