ГОСТ I»ИСО/МЭК 15408-2-2002
сти. Тене менее и в этом
Класс FPR вместе с дру
гими классами (содержащими
требования аудита, управления
доступом, предоставления до
веренною маршрута п нсотка-
зусмости) обеспечивает гиб
кость при спсиификапип жела
тельного режима приватности. В
то же время требования этого
класса могут налагать ограни
чения на использование компо
нентов других классов, таких
как FIA или FAIL Например,
если уполномоченным пользо
вателям нс разрешено знать
идентификатор пользователя
(например, в семействах «Ано
нимность» или «Пссвдоним-
ноегь»), то, очевидно, невоз
можно будет оставить отдель
ных пользователей ответствен
ными за выполняемые ими от
носящиеся к безопасности дей
ствия, на которые распростра
Рисунок К.1 —Декомпозиция класса «Приватность»
няются
м
требования приватно
случае возможно включение в ПЗ/ЗБ требований аудита, когда само возникновение некоторых событий,
связанных с безопасностью, важнее, чем знание того, кто был их инициатором.
Дополнительная информация но этому вопросу представлена в замечаниях по применению класса FAU.
где разъясняется, что вместо идентификатора в контексте аудита может применяться псевдоним или другая
информация, которая могла бы идентифицировать пользователя.
Этот класс содержит четыре семейства: «Анонимность». «Пссвдонимность». «Невозможность ассоциа
ции» и «Скрытность». Три первых семейства имеют сложные взаимосвязи. При выборе семейства для примене
ния следует учитывать выявленные угрозы. Для некоторых типов угроз привагносги «Пссвдонимность» подой
дет больше, чем «Анонимность* (например, при требовании проведения аудита). Кроме того,
некоторым видам угроз приватности наилучшим образом противостоит сочетание компонентов из
нескольких семейств.
Во всех семействах предполагается, что пользователь не предпринимает прямо никаких действий, рас
крывающих сто собственный идентификатор. Например, нс ожидается, чтобы ФБО скрывали имя пользовате ля
в сообщениях электронной почты или базы данных.
Все семейства этого класса имеют компоненты, область действия которых может быть задана операци
ями. Эти операции позволяют автору ПЗ/ЗБ указать те действия, обшие для пользоватслсй/субъсктои. кото
рым необходимо противодействовать с использованием ФБО. Возможный пример отображения анонимности:
«ФБО должны обеспечить, чтобы пользователи н/нли субъекты были нс способны определить идентификатор
пользователя, обратившегося за тслеконсулыаиисй*.
Следует, чгобы ФБО предоставляли защиту от действий не только отдельных пользователей, но и пользо
вателей, обьедипившихся для получения определенной информации. Стойкость зашиты, предоставляемой
этим классом. следует описать как стойкость функции согласно Б и В к ГОСТ Р ИСО/МЭК 15408-1.
К.1 Анонимность (PPRANO)
Семейство FPR_ANO обеспечивает, чтобы субьект мог использовать ресурсы или услуги без раскрытия
идентификатора его пользователя.
Замечания для пользователя
Данное семейство предназначено для определения, что пользователь или субъект сможет предприни
мать действия, нс раскрывая идентификатора пользователя другим пользователям, субъектам или объектам.
Это семейство предоставляет автору ПЗ/ЗБ способ идентификации совокупности пользователей, которые нс
смогут узнать идентификатор исполнителя некоторых действий.
Следовательно, если субъект, пользуясь анонимностью, выполняет некоторое действие, другой субъект
будет не в состоянии определить ни идентификатор, ни даже ссылку на идентификатор пользователя,
использовавшего первый субьект. Анонимность сфокусирована на защите идентификатора пользователя, а не на
защите идентификатора субьскта. Поэтому идентификатор субъекта нс защищается от раскрытия.