ГОСТ I» ИСО/М ЭК 15408-2-2002
Если пользователь хочет использовать ресурсы, нс раскрывая свой идентификатор, то может приме
няться пссвдонимность. Обычно на всем протяжении доступа к системе пользователь обязан использовать
один и тот же псевдоним. Такое условие можно специфицировать в этом компоненте.
Операции
Н а з н а ч е н и е
В FPR_ PSE.3.1 автору ПЗ/ЗБ следует специфицировать совокупность пользователей и/или субъектов, or
которых ФБО необходимо предоставить защиту. Например, даже если автор ПЗ/ЗБ специфицирует единствен
ную роль пользователя или субъекта. ФБО необходимо предоставить защиту нс только от отдельного пользо
вателя или субъекта, но и от совместно действующих пользователей и/или субъектов. Совокупность пользова
телей, например, может являться группой пользователей, выступающих в одной и той же роли или использу
ющих один и тот же процесс.
В FPR P.SE.3.1 автору ГГЗ/ЗБ следует иленгифииировагь список субъектов и/или операций, и/или объек
тов. для которых подлинное имя пользователя данного субъекта следует защитить, например «доступ к пред
ложениям трудоустройства». Отмстим, что к «объектам» относят любые атрибуты, позволяющие другим
пользо вателям или субъектам раскрыть действительный идентификатор данного пользователя.
В FPR_PRS.3.2 автору ПЗ/ЗБ следует идентифицировать число псевдонимов (один или более), которое
ФБО способны предоставить.
В FPR_PSE.3.2 автору ПЗ/ЗБ следует идентифицироватьсписок субъектов, которым ФБО способны прс-
достаатять псевдонимы.
Выб о р
В FPR_PSE.3.3 автору ПЗ/ЗБ следует специфицировать, создаются псевдонимы функциями безопасности
0 0 или выбираются самими пользователями.
Н а з н а ч е н и е
В FPR_P$E.3.3 автору ПЗ/ЗБ следует идентифицировать метрику, которой удоатстворял бы псеатоним.
созданный ФБО или выбранный пользователем.
В FPR_PSE.3.4 автору ИЗ/ЗБ следует ндевткфнцироватъ список условий, указывающих, в каких случаях
ссылки на подлинное имя пользователя должны быть одинаковы, а в каких должны быть различными, например
•когда пользователь осуществляет многократный вход в узел сети, он будет использовать один и то же псевдо
ним».
К.З Невозможность ассоциации (FPR_l)NL)
Семейство FPR_UNL обеспечивает, чтобы пользователь мог неоднократно использовать ресурсы или
услуга, нсдавая никому возможности связать вместе их использование. Невозможность ассоциации отличается
от псевдонимности тем, что хотя мри иссвлонимности сам пользователь также неизвестен, связи Между его
различными действиями не скрываются.
Замечания для пользователя
Требования невозможности ассоциации предназначены для зашиты идентификатора пользователя от
применения профиля операций. Например, телефонная компания может определить поведение пользователя
телефонной карты, используемой с единственного номера. Если известны профили использования телефона
группой пользователей, то карту можно связать с конкретным пользователем. Сокрытие связи между различ
ными обращениями за услугой или за доступом к ресурсу предотвратит накопление подобной информации.
В результате требования невозможности ассоциации могут означать защиту идентификатора субьскга и
пользователя для некоторой операции. В противном случае зга информация может быть использована для
связывания операций вместе.
Семейство содержит требование исключить установление связи между различными операциями. Эта связь
может приобретать различные формы. Например, с пользователем ассоциируется операция или терминал, с
которого инициировано действие, или продолжительность выполнения действия. Автор ПЗ/ЗБ может специ
фицировать. раскрытию какого типа связей необходимо противодействовать.
Возможные приложения включают в себя возможность многократного использования псевдонима, ис
ключающие создание шаблона использования, по которохту можно раскрыть идентификатор пользователя.
Примерами потенциально враждебных субъектов или пользователей являются провайдеры, системные
операторы, абоненты связи и пользователи, скрытно вводящие в систему опасные элементы (например,
«троянских коней»). Сами они нс выполняют операции в системе, но стремятся получить информацию об
операциях. Все они мозут изучать образ действий пользователей (например, какие пользователи какие услуги
заказывают) и злоупотреблять этой информацией. Невозможность ассоциации защищает пользователей от со-
постанлсния. которое может быть произведено между различными действиями потребителя. Например, серия
телефонных вызовов, сделанных анонимным потребителем по различным номерам, может дать информацию
для раскрытия сто идентззфнкагора по сочезапию номеров.
FPRJUNL.1 Невозможность ассоциации
Замечания по прз
1
мснсиню для пользователя
Компонент FPR_l)ML.l обеспечивает, чтобы пользователи нс могли еззяззявагь между собой различные
операции в системе и таким образом получать информацию.
136