ГОСТ I»ИСО/МЭК 15408-2-2002
среде его вероятность меньше. В такой среде некоторые подсистемы могут отказать, в то время как другие
части останутся работающими. Более того, критичные элементы могут иметь избыточность (дублирование
дисков, альтернативные маршруты) и точки проверки. Под восстаноатснием имеется в виду восстановление
безопасного состояния.
Семейство FPT_RCV идентифицирует режим аварийной поддержки. В этом режиме нормальное функци
онирование может оказаться невозможным или сильно ограниченным из-за возможности перехода в опасное
состояние. В таких случаях обычно доступ разрешается только уполномоченным пользователям, а более кон
кретно. кто может получить доступ в режиме аварийной поддержки, определяется в классе FMT «Упраалсние
безопасностью». Если в классе FMT нет никаких указаний о том, кто имеет право доступа в этом режиме,
теоретически допускается, что восстановить систему может любой пользователь. Однако на практике это не
желательно. поскольку пользователь, востанавливаюший систему, может установить конфигурацию СЮ. на
рушающую ПВО.
Механизмы, предназначенные для обнаружения исключительных состояний при эксплуатации, опреде
ляются в FPT_TST «Самотестирование ФБО», FPT_FLS «Безопасность при сбое» и в других разделах, относя
щихся к проблеме «Сохранность программного обеспечения*.
Замечания дтя пользователя
В этом семействе применяется выражение «безопасное состояние». Оно относится к состоянию, при
котором данные ФБО непротиворечивы и продолжают корректное осуществление ПБО. Это состояние может
быть состоянием после загрузки системы или состоянием в некоторой контрольной точке. Термин •безопас
ное состояние* определяется в модели ПФБ. Если разработчик предоставил четкое определение безопасного
состояния и разъяснение, когда его следует считать таковым, зависимость FPT_RCV.I—FPT_RC’V.4 от
ADV_SPM.l можно нс учитывать.
FPT_RCV’.I Ручное восстановление
Среди видов надежного восстановления тот из них, который основан только на ручном вмешательстве,
наименее желателен, так как при этом исключается восстаноатснис системы без участия человека.
Замечания по применению для пользователя
Компонент FPT_RCV.l предназначен ятя применения в ОО. которые нс требуют автоматического вос
становления безопасного состоянии. Требования этого компонента напраатены прошв угрозы нарушения
зашиты в результате приведения 0 0 с участием человека в опасное состояние при восстановлении после сбоя или
другого прерывания.
Замечания по применению дтя оцсшгшка
Допускается, чтобы функции уполномоченного администратора гго надежному восстановлению были
доступны ему только в режиме аварийной поддержки. Следует предусмотреть средства ограничения доступа в
режиме аварийной поддержки, прсдостаатяя его только уполномоченным пользователям.
FPT_RC’V.2 Автоматическое восстановление
Автоматическое восстановление считается более предпочтительным, чем ручное, так как оно позволя
ет машине продолжать функционирование без участия человека.
Замечания по применению для пользователя
Компонент FPTRCV.2 расширяет FPT_RCV.I, требуя возможность автоматического восстановления
хотя бы после одного типа сбоя/прсрышишя обслуживания. Требования этого компонента напраатены против
угрозы нарушения защиты в результате приведения ОО без участия человека в опасное состояние при восста
новлении после сбоя или другого прерывания.
Замечания по применению дтя оценщика
Допускается, чтобы функции уполномоченного администратора по надежному восстановлению были
доступны ему только в режиме аварийной поддержки. Следует предусмотреть средства ограничения доступа в
режиме аварийной поддержки, предоставляя его только уполномоченным пользователям.
Всоответствии с FPT_RCV.2.1разработчик ФБО отвечает за определение совокупности сбоев и прерыва
ний обслуживания, после которых возможно восстановление.
Предполагается, что робастность механизмов автоматического восстановления будет верифицирована.
Операции
Н а з н а ч е н и е
Для FPT_RCV.2.2 автору 1ГЗ/ЗБ следует специфицировать список сбоев или других прерываний обслужи
вания, для которых необходима возможность автоматического восстановления.
FPT_RCV.3 Автоматическое восстановление без недопустимой потерн
Автоматическое восстаноатснис считается более предпочтительным, чем ручное, но оно связано с
риском потери большого числа обьектов. Предотвращение недопустимых потерь объектов обеспечивается до
полнительными средствами восстановления.
Замечании по применению для пользователя
Компонент FPT RCV.3 расширяет FPT_RC’V.2, требуя, чтобы не было чрезмерных потерь ланных или
объектов ФБО в ОДФ. В соответствии с FPT_RCV.2 механизм автоматического восстановления мог бы. в
предельном случае, произвести восстаноатснис путем уничтожения всех обьектов и возвращения ФБО в изве-
146