ГО СТ I» ИСО/МЭК 15408-2-2002
ПВО. объединена под именем монитора обращений. При лом необходимо принимать во внимание задачу
сохранения простоты «монитора обращений».
ФВО при реализации ПФЬ предоставляют эффективную защиту от несанкционированных операций тог
да и только тогда, когда правомочность всех действии, предполагаемых для осуществлении (например, доступ
к объектам) и запрошенных субъектами, недовсрснными относительно всех или именно этой ПФВ. проверя
ется ФВО до выполнения действий. Если действия по проверке будут выполнены неправильно или проигнори
рованы (обойдены), то осуществление ПФВ в целом может быть постаатсно иод угрозу (се можно обойти).
Тогда «недоверенные* субъекты смогут обходить ПФВ различными способами (такими, как обход проверки
доступа для некоторых субъектов и объектов, обход проверки для объектов, чья зашита управляется приклад
ными программами, сохранение права доступа после истечения установленного срока действия, обход аудита
событий, подлежащих аудиту, обход аутентификации). Важно отмстить, что термин «нсдовсрснный субъект»
относится к субъектам, недоиеренным относительно какой-либо или всех осуществляемых Г1ФБ: субъект
может быть доверенным относительно одной ПФВ и нсдовсрснным относительно другой.
FPT RVM.1 Невозможность обхода ПВО
Замечания по применению шит пользователя
Для получения эквивалента монитора обращений необходимо применить данный компонент совместно
либо с FPT_SEP.2 «Отделение домена ПФВ». либо с I’I’T SEP.3 «Полный монитор обращений*, а также с
ADV INT.3* «Минимизация сложности*. Кроме того, если требуется полное посредничество при обращени
ях, требования компонентов из класса FDP «Зашита данных пользователя* необходимо распространить на
все объекты в составе 00.
Л. И Разделение домена (FPT_SEP)
Компоненты семейств.-! FPT_SEP обеспечивают, чтобы по меньшей мере один домен безопасности был
доступен только для собственного выполнения ФВО. и этим они были защищены от внешнего вмешатель ства
и искажения ( например, модификации кода или структур данных ФВО) со стороны недоверенных субъектов.
Выполнение требовании этою семейства устанавливает такую самозащиту ФВО. что нсдовсрснный субъект не
сможет модифицировать иди повредить ФВО.
Это семейство содержит следующие требования.
а) Ресурсы домена безопасности ФВО («защищенного домена») и ресурсы субъектов и активных сущ
ностей. внешних по отношению к этому домену, разделяются так. что сущности, внешние но отношению к
защищенному домену, нс смогут получить или модифицировать данные или код ФВО в пределах защищенно го
домена.
б) Обмен между доменами управляется так. что невозможен произвольный вход в защищенный домен
или произвольный выход из исто.
в) Параметры пользователя или прикладной программы, переданные в защищенный домен по адресу,
проверяются относительно адресного пространства защищенного домена, а переданные по значению — от
носительно значений, ожидаемых этим доменом.
г) Защищенные домены субъектов разделены, за исключением случаев, когда совместное использова
ние одного домена управляется ФВО.
Замечания для пользователя
Это семейство применяется, когда требуется уверенность в том, что ФВО нс подвержены внешнему
воздсйствню.
Для получения эквивалента монитора обращений необходимо применить компонент FPTSEP.2 (Отде
ление домена ПФВ) или FPT SEP.3 «Полный монитор обращений» совместно с FPT_RVM.I «Невозмож
ность обхода ПВО» и ADV INT.3 «Минимизация сложности*. Кроме того, если требуется полное посредниче ство
при обращениях, требования компонентов из класса FDP «Защита данных пользователя» необходимо
распространить на все объекты в составе ОО.
FPT_SEP.l Отделение домена ФЬО
Вез отдельного защищенного домена для ФВО нс может быть доверия тому, что ФВО не подвергались
каким-либо воздействиям со стороны недоверенных субъектов. Такие воздействия могут привести к модифика
ции кода и/нли структурданных ФВО.
FPT_SEP.2 Отделение домена ПФБ
Наиболее важной функцией ФВО является поддержка осуществляемых ими ПФВ. Чтобы упростить раз
работку ПФБ и приблизить их свойства к свойствам монитора обращений, в частности, к стойкости к воздей
ствиям. функции, проводящие ПФВ. необходимо сосредоточить в домене, отличном от остальной части
ФВО.
Замечания но применению для оценщика
Возможно, что монитор обращений в многоуровневом проекте предоставляет больше функций, чем
требуется в ПФБ. Это проистекает из практической реализации многоуровневого проекта программного обес
печения. При этом функции, не относящиеся к ПФВ. следует свести к минимуму.
Допустимо, чтобы мониторы обращений для всех осуществляемых ПФБ находились как в одном домене
монитора обращений, так и в нескольких доменах (каждый используется для осуществления одной или нс-
148