Tải về định dạng Word (3.1MB) Tải về định dạng PDF (21.1MB)

Tiêu chuẩn Việt Nam TCVN 8709-2:2011 (ISO/IEC 15408-2 : 2008) về Công nghệ thông tin - Các kỹ thuật an toàn - Các tiêu chí đánh giá an toàn CNTT - Phần 2: Các thành phần chức năng an toàn

TIÊU CHUẨN QUỐC GIA

TCVN 8709-2 : 2011

ISO/IEC 15408-2 : 2008

CÔNG NGHỆ THÔNG TIN - CÁC KỸ THUẬT AN TOÀN - CÁC TIÊU CHÍ ĐÁNH GIÁ AN TOÀN CNTT - PHẦN 2: CÁC THÀNH PHẦN CHỨC NĂNG AN TOÀN

Information Technology - Security Techniques - Evaluation Criteria for IT Securtiy - Part 2: Security functional components

Lời nói đầu

TCVN 7809-2:2011 hoàn toàn tương đương ISO/IEC 15408-2:2008

TCVN 7809-2:2011 do Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam biên soạn, Bộ Thông tin và Truyền thông đề nghị, Tổng cục Tiêu chuẩn Đo lường Chất lượng thẩm định, Bộ Khoa học và Công nghệ công bố.

Lời giới thiệu

Các thành phần chức năng an toàn định nghĩa trong tiêu chuẩn này (TCVN 7809-2) là cơ sở cho các yêu cầu chức năng an toàn biểu thị trong một Hồ sơ bảo vệ (PP) hoặc một Đích An toàn (ST). Các yêu cầu này mô tả các hành vi an toàn mong muốn dự kiến đối với một Đích đánh giá (TOE) và nhằm đáp ứng các mục tiêu an toàn đã tuyên bố trong một PP hoặc một ST. Các yêu cầu này mô tả các đặc tính an toàn mà người dùng có thể phát hiện ra thông qua tương tác trực tiếp (nghĩa là qua đầu vào, đầu ra) với công nghệ thông tin (CNTT) hoặc qua phản ứng của CNTT với các tương tác.

Các thành phần chức năng an toàn biểu thị các yêu cầu an toàn nhằm mục đích chống lại các mối đe dọa trong môi trường hoạt động chỉ định của TOE với các chính sách an toàn của tổ chức xác định và các giả thiết.

Đối tượng của phần 2 tiêu chuẩn TCVN 7809 bao gồm người tiêu thụ, nhà phát triển và các đánh giá viên cho các sản phẩm CNTT an toàn. Điều 5 của TCVN 7809-1 cung cấp thông tin bổ sung về các đối tượng mục tiêu của TCVN 7809, và về các nhóm đối tượng sử dụng TCVN 7809. Các nhóm đối tượng có thể sử dụng TCVN 7809-2 gồm:

a) Người tiêu thụ là người sử dụng TCVN 7809-2 khi chọn lựa các thành phần để biểu thị các yêu cầu chức năng nhằm thỏa mãn các mục tiêu an toàn đã thể hiện trong một PP hoặc ST. TCVN 7809-1 cung cấp thông tin chi tiết hơn về mối quan hệ giữa các mục tiêu an toàn và các yêu cầu an toàn.

b) Nhà phát triển là người phản ánh thực tế hoặc nhận thức các yêu cầu an toàn của người tiêu thụ trong việc kiến thiết ra TOE. Họ cũng có thể sử dụng nội dung trong TCVN 7809-2 làm cơ sở để xác định rõ hơn các chức năng an toàn của TOE và các cơ chế tuân thủ các yêu cầu đó.

c) Đánh giá viên là người sử dụng các yêu cầu chức năng nêu trong TCVN 7809-2 để thẩm tra các yêu cầu chức năng TOE đã thể hiện trong PP hoặc ST có thỏa mãn các mục tiêu an toàn CNTT không; và thẩm tra mọi mối liên thuộc đã được xem xét đến và được thỏa mãn. Các đánh giá viên cũng cần sử dụng TCVN 7809-2 để giúp xác định xem một TOE đã cho có thỏa mãn các yêu cầu đã được công bố hay không.

 

CÔNG NGHỆ THÔNG TIN - CÁC KỸ THUẬT AN TOÀN - CÁC TIÊU CHÍ ĐÁNH GIÁ AN TOÀN CNTT - PHẦN 2: CÁC THÀNH PHẦN CHỨC NĂNG AN TOÀN

Information Technology - Security Techniques - Evaluation Criteria for IT Securtiy - Part 2: Security functional components

1. Phạm vi áp dụng

Tiêu chuẩn này sẽ định nghĩa cấu trúc và nội dung cần thiết của các thành phần chức năng an toàn cho mục đích đánh giá an toàn. Tiêu chuẩn bao gồm danh mục các thành phần chức năng đáp ứng các yêu cầu chức năng an toàn chung cho nhiều sản phẩm CNTT.

2. Tài liệu viện dẫn

Các tài liệu sau đây không thể thiếu được đối với việc áp dụng tài liệu này:

TCVN 7809-1, Công nghệ thông tin - Các kỹ thuật an toàn - Các tiêu chí đánh giá an toàn CNTT - Phần 1: Giới thiệu và mô hình tổng quát

3. Thuật ngữ, định nghĩa, ký hiệu và các từ viết tắt

Các thuật ngữ, định nghĩa, Ký hiệu và các từ viết tắt được sử dụng như trong TCVN 7809-1

4. Tổng quan

TCVN 7809 và các yêu cầu chức năng an toàn liên quan được mô tả ở đây không phải là câu trả lời rõ ràng về mọi vấn đề an toàn CNTT. Đúng hơn, TCVN 7809 cung cấp một tập các yêu cầu chức năng an toàn dễ hiểu, có thể được sử dụng để tạo ra các hệ thống và sản phẩm tin cậy phản ánh sự cần thiết của thị trường. Các yêu cầu chức năng an toàn này biểu diễn trình độ hiện tại về đánh giá và đặc tả các yêu cầu này.

Phần này của TCVN 7809 không phải bao gồm tất cả các yêu cầu chức năng an toàn thông tin có thể có mà nó chỉ gồm các phần được biết đến và được chấp nhận bởi các tác giả biên soạn tiêu chuẩn tại thời điểm phát hành.

Bởi vì hiểu biết và nhu cầu của người tiêu dùng có thể thay đổi, các yêu cầu chức năng trong phần này của TCVN 7809 cần phải được cập nhật thường xuyên. Điều này có thể hiểu là một số tác giả PP/ST có thể thấy các thành phần yêu cầu chức năng trong phần này của TCVN 7809 (hiện tại) không bao hàm hết nhu cầu về an toàn. Trong trường hợp này, tác giả PP/ST có thể xem xét lựa chọn các yêu cầu chức năng không có trong TCVN 7809 (được xem như phần mở rộng), như được giải thích trong Phụ lục A và B của TCVN 7809-1.

4.1. Bố cục của tiêu chuẩn

Điều 5 mô tả mô hình sử dụng trong các yêu cầu chức năng an toàn trong phần này của TCVN 7809.

Điều 6 giới thiệu danh mục các thành phần chức năng trong phần này của TCVN 7809, còn điều 7 đến điều 17 mô tả các lớp chức năng.

Phụ lục A cung cấp thông tin giải thích cho người dùng tiềm năng của các thành phần chức năng bao gồm bảng tham chiếu chéo tổng hợp về sự phụ thuộc của các thành phần chức năng.

Phụ lục B đến Phụ lục M cung cấp thông tin giải thích về các lớp chức năng. Tài liệu này được xem như là các hướng dẫn bắt buộc về việc áp dụng các hoạt động phù hợp và lựa chọn quy trình kiểm toán hoặc thông tin tài liệu phù hợp. Việc sử dụng các trợ động từ nên hiểu là các chỉ dẫn được ưa chuộng nhất, các chỉ dẫn khác có thể được điều chỉnh phù hợp. Nếu có các tùy chọn khác, việc lựa chọn được dành cho tác giả PP/ST.

Tác giả của PP hoặc ST nên tham khảo điều 2 của TCVN 7809-1 để có các cấu trúc, quy tắc và hướng dẫn liên quan.

a) TCVN 7809-1, điều 3 định nghĩa các thuật ngữ sử dụng trong TCVN 7809.

b) TCVN 7809-1, Phụ lục A định nghĩa cấu trúc của ST.

c) TCVN 7809-1, Phụ lục B định nghĩa cấu trúc của PP.

5. Mô hình các yêu cầu chức năng

Điều này mô tả mô hình sử dụng trong các yêu cầu chức năng an toàn trong TCVN 7809-2. Các khái niệm chủ yếu được in đậm hoặc in nghiêng. Phần này sẽ không thay thế hoặc hủy bỏ các thuật ngữ có trong điều 3 của TCVN 7809-1.

Phần này của TCVN 7809 là danh mục các yêu cầu chức năng an toàn có thể được chỉ rõ cho một Đích đánh giá (TOE). Một TOE là một tập gồm phần mềm/phần sụn và/hoặc phần cứng có thể kèm theo tài liệu hướng dẫn người dùng và quản trị viên. Một TOE có thể chứa các tài nguyên như các phương tiện lưu trữ điện tử (ví dụ đĩa), các thiết bị ngoại vi (ví dụ máy in), và năng lực tính toán (ví dụ thời gian CPU) được sử dụng cho xử lý và lưu trữ thông tin, và là chủ thể cho đánh giá.

Đánh giá TOE chủ yếu liên quan tới việc đảm bảo rằng một tập các yêu cầu chức năng an toàn (SFR) xác định được thực thi trên các tài nguyên TOE. Các SFR định nghĩa các quy tắc mà TOE kiểm soát truy cập tài nguyên của nó cũng như các thông tin và dịch vụ được điều khiển bởi TOE.

Các SFR có thể định nghĩa nhiều Chính sách Chức năng An toàn (SFP) biểu thị các quy tắc mà TOE phải thực thi. Mỗi SFP phải xác định phạm vi kiểm soát của nó, bằng cách định nghĩa các chủ thể, đối tượng, tài nguyên hay thông tin và các hoạt động được kiểm soát với SFP. Tất cả các SFP được thực thi bởi TSF (xem bên dưới); các cơ chế của TSF thực thi các quy tắc định nghĩa trong các SFR và cung cấp các khả năng cần thiết.

Các phần đã nêu trên của TOE cần phải được tin cậy cho thực thi chính xác của các SFR, được tham chiếu đến như Chức năng An toàn của TOE (TSF). TSF bao gồm tất cả các phần cứng, phần mềm, phần sụn của TOE, trực tiếp và gián tiếp liên quan đến việc thực thi an toàn.

TOE có thể là một sản phẩm đơn nhất chứa cả phần cứng, phần sụn và phần mềm.

Mặt khác, TOE có thể là một sản phẩm phân bổ bao gồm nhiều thành phần khác nhau bên trong. Mỗi phần này của TOE cung cấp một dịch vụ riêng cho TOE và được kết nối với phần khác của TOE thông qua Kênh truyền thông nội bộ. Kênh này có thể là một phần nhỏ như bus xử lý hoặc bao bọc trong mạn nội bộ tới TOE.

Khi TOE bao gồm nhiều phần, mỗi phần của TOE có TSF riêng thực hiện trao đổi dữ liệu người dùng và dữ liệu TSF trên các kênh truyền thông nội bộ với các phần khác của TSF. Quá trình tương tác này được gọi là Vận chuyển TOE nội bộ. Trong trường hợp này các phần tách biệt của TSF được tạo thành TSF hỗn hợp để thực thi các SFR.

Các giao diện TOE có thể được đặt tại TOE riêng, hoặc chúng có thể tương tác với các sản phẩm CNTT qua các kênh truyền thông bên ngoài. Các tương tác ra bên ngoài này với các sản phẩm CNTT khác có thể thực hiện dưới hai dạng:

a) Các SFR của "Sản phẩm CNTT được tin cậy" khác và các SFR của TOE đã được kết hợp quản trị và các sản phẩm CNTT tin cậy khác được giả thiết là thực thi các SFR của chúng một cách chính xác (ví dụ được đánh giá riêng biệt). Việc trao đổi thông tin trong tình huống này được gọi là Vận chuyển xuyên TSF, vì chúng là giữa các TSF của các sản phẩm tin cậy khác biệt.

b) Sản phẩm CNTT khác có thể không được tin cậy, nó có thể được gọi là "sản phẩm CNTT không tin cậy". Do đó, các SFR của chúng hoặc là không được biết hoặc việc triển khai nó không được xem là đáng tin cậy. Các trao đổi trung gian qua TSF trong trường hợp này được gọi là vận chuyển bên ngoài TOE, vì không có TSF (hoặc các đặc điểm chính sách không biết trước) trong sản phẩm CNTT khác.

Tập các giao diện, hoặc qua tương tác (giao diện người-máy) hoặc qua chương trình (giao diện lập trình ứng dụng), qua đó các tài nguyên này được truy cập trung gian bởi TSF, hoặc các thông tin thu được từ TSF, được gọi là Giao diện TSF (TSFI). TSFI định nghĩa biên giới của chức năng TOE được cung cấp cho việc thực thi các SFR.

Người dùng ở bên ngoài TOE. Mặc dù vậy, để yêu cầu rằng các dịch vụ được thực hiện bởi TOE là chủ thể cho các quy tắc định nghĩa trong các SFR, thì người dùng sẽ tương tác với TOE thông qua các TSFI. Có hai kiểu người dùng được quan tâm trong TCVN 7809-2: người dùng cụ thể và các thực thể CNTT bên ngoài. Người dùng cụ thể còn có thể được phân thành, người dùng nội bộ, nghĩa là người dùng tương tác trực tiếp với TOE qua các thiết bị TOE (ví dụ, các trạm làm việc) hoặc người dùng từ xa, nghĩa là thực hiện tương tác gián tiếp với TOE qua sản phẩm CNTT khác.

Một giai đoạn tương tác giữa các người dùng và TSF là được xem như là một phiên người dùng. Thiết lập các phiên người dùng có thể được kiểm soát dựa trên các suy xét, ví dụ, xác thực người dùng, thời gian trong ngày, phương pháp truy nhập TOE và số lượng các phiên tương tranh cho phép (trên một người dùng hoặc toàn bộ).

Tiêu chuẩn này sử dụng thuật ngữ "có thẩm quyền" để biểu thị người dùng có quyền và/hoặc đặc quyền cần thiết để thực hiện một hoạt động. Thuật ngữ người dùng có thẩm quyền, chỉ ra rằng có thể cho phép người dùng thực hiện một hoạt động cụ thể hoặc một số hoạt động được định nghĩa bởi các SFR.

Để biểu diễn các yêu cầu có đòi hỏi việc phân chia trách nhiệm của người quản trị, các thành phần chức năng an toàn liên quan (trong họ FMT_SMR) tuyên bố rõ ràng về các vai trò của người quản trị là cần thiết. Vai trò là một tập được định nghĩa trước của các quy tắc thiết lập các tương tác được phép giữa một người dùng hoạt động trong vai trò này và TOE. Một TOE có thể hỗ trợ định nghĩa bất kỳ số lượng phân vai nào. Ví dụ, các vai trò liên quan đến hoạt động an toàn của một TOE có thể bao gồm "Quản trị viên kiểm toán" và "Quản trị viên tài khoản người dùng".

TOE chứa các tài nguyên có thể được sử dụng cho xử lý và lưu trữ thông tin. Mục tiêu đầu tiên của TSF là hoàn tất và chỉnh sửa các thực thi của các SFR trên các tài nguyên và thông tin mà TOE kiểm soát.

Các tài nguyên TOE có thể được cấu trúc và thực hiện theo nhiều cách khác nhau. Mặc dù vậy, phần này của TCVN 7809 thực hiện các phân chia đặc biệt mà cho phép chỉ ra các thuộc tính an toàn mong muốn. Tất cả các thực thể có thể được tạo từ các tài nguyên mà có thể được biểu diễn theo một hoặc hai cách. Các thực thể có thể là chủ động, nghĩa là chúng là nguyên nhân của các hành động xuất hiện bên trong TOE và là nguyên nhân của các hoạt động được thực hiện với thông tin. Mặt khác, các thực thể có thể là bị động, nghĩa là chúng hoặc được đặt trong các thông tin nguyên bản hoặc các thông tin được lưu trữ trong đó.

Các thực thể chủ động trong TOE thực hiện các hoạt động trên các đối tượng được xem như là các chủ thể. Một vài kiểu chủ thể có thể tồn tại bên trong một TOE:

a) Các chủ thể hành động thay mặt cho một người dùng có thẩm quyền (ví dụ các tiến trình UNIX)

b) Các chủ thể hành động như các tiến trình chức năng cụ thể, và như vậy hoạt động thay mặt cho nhiều người dùng (ví dụ các chức năng có thể thấy trong các kiến trúc client/server); hoặc

c) Các chủ thể hành động như là một phần của chính TOE (ví dụ các tiến trình không hành động thay mặt cho một người dùng).

Phần này của TCVN 7809 đề cập đến việc thực thi các SFR với các kiểu chủ thể được liệt kê ở trên.

Các thực thể bị động trong TOE chứa hoặc nhận thông tin và dựa vào đó các chủ thể thực hiện các hoạt động, được gọi là các đối tượng. Trong trường hợp chủ thể (thực thể chủ động) là đích của một hoạt động (ví dụ truyền thông liên tiến trình), một chủ thể có thể bị tác động như một đối tượng.

Các đối tượng có thể chứa thông tin. Khái niệm này cần thiết để xác định các chính sách kiểm soát luồng thông tin như được đề cập đến trong lớp FDP.

Các người dùng, chủ thể, thông tin, đối tượng, phiên và tài nguyên được kiểm soát bởi các quy tắc trong các SFR có thể có các thuộc tính trong đó chứa thông tin dùng cho TOE để thực hiện hoạt động chính xác của nó. Một vài thuộc tính, như tên tệp, có thể dùng cho cung cấp thông tin hoặc có thể dùng để định danh các tài nguyên riêng, trong khi đó, các thuộc tính khác, ví dụ như thông tin kiểm soát truy nhập, có thể tồn tại đặc biệt cho thực thi các SFR. Các thuộc tính vừa kể đến sau cùng này được gọi chung là "các thuộc tính an toàn". Từ thuộc tính sẽ được sử dụng ngắn gọn thay cho "thuộc tính an toàn" ở một số chỗ trong phần này của TCVN 7809. Tuy nhiên, không quan trọng là mục đích của thông tin thuộc tính là gì, vì đều cần thiết kiểm soát các thuộc tính được chỉ ra bởi các SFR.

Dữ liệu trong TOE được phân nhóm thành dữ liệu người dùng và dữ liệu TSF. Hình 1 cho thấy mối quan hệ này. Dữ liệu người dùng là thông tin lưu trữ trong các tài nguyên của TOE, được vận hành bởi người dùng tuân theo các SFR và trên đó TSF không đề ra ý nghĩa đặc biệt nào. Ví dụ, nội dung của một thông điệp thư điện tử là dữ liệu người dùng. Dữ liệu TSF là thông tin được sử dụng bởi TSF trong việc tạo ra các quyết định theo yêu cầu bởi các SFR. Dữ liệu TSF có thể bị ảnh hưởng bởi người dùng nếu được cho phép bởi các SFR. Các thuộc tính an toàn, dữ liệu xác thực, các biến trạng thái bên trong TSF được dùng bởi các quy tắc định nghĩa trong các SFR hoặc được dùng cho việc bảo vệ TSF, và các đầu vào của danh sách kiểm soát truy nhập là các ví dụ về dữ liệu TSF.

Có một số SFPs áp dụng cho bảo vệ dữ liệu, ví dụ như các SFP kiểm soát truy nhập và các SFP kiểm soát luồng thông tin. Các cơ chế thực thi các SFP kiểm soát truy nhập dựa trên chính sách quyết định về các thuộc tính của người dùng, tài nguyên, chủ thể, đối tượng và các phiên dữ liệu trạng thái TSF và các hoạt động của TSF trong phạm vi kiểm soát. Các thuộc tính này thường được sử dụng trong tập các quy tắc để quản lý các hoạt động mà các chủ thể có thể thực hiện trên các đối tượng.

Các cơ chế thực thi các SFP kiểm soát luồng thông tin dựa trên chính sách quyết định về các thuộc tính của chủ thể và thông tin trong phạm vi kiểm soát và tập các quy tắc để quản lý các hoạt động thông tin bởi các chủ thể. Các thuộc tính của thông tin có thể được kết hợp với thuộc tính của côn-ten-nơ hoặc có thể rút ra từ dữ liệu trong côn-ten-nơ, sẽ được giữ lại với thông tin vì chúng được xử lý bởi TSF.

Hình 1 - Quan hệ giữa dữ liệu người dùng và dữ liệu TSF

Hai kiểu dữ liệu TSF đặc trưng có thể được đề cập đến trong phần này của TCVN 7809, song không nhất thiết giống nhau. Chúng là dữ liệu xác thực các bí mật.

Dữ liệu xác thực được sử dụng để thẩm tra danh tính đòi hỏi của một người dùng đang yêu cầu các dịch vụ từ một TOE. Dạng phổ biến của dữ liệu xác thực là mật khẩu, phụ thuộc vào việc giữ bí mật để tạo thành một cơ chế an toàn hiệu quả. Mặc dù vậy, không phải tất cả các dạng của dữ liệu xác thực cần phải giữ bí mật. Thiết bị xác thực sinh học (ví dụ đọc vân tay hoặc quét võng mạc) không dựa vào việc giữ bí mật dữ liệu, mà dựa vào việc dữ liệu chỉ do một người dùng sở hữu và không thể bị giả mạo.

Thuật ngữ bí mật như được dùng trong phần này của TCVN 7809 vào việc áp dụng cho dữ liệu xác thực, song cũng dùng được cho các kiểu dữ liệu khác với yêu cầu phải giữ bí mật để thực thi một SFP cụ thể. Ví dụ, một cơ chế kênh tin cậy dựa vào mã hóa để bảo vệ tính bí mật của thông tin truyền trên kênh chỉ có thể mạnh như phương pháp sử dụng để giữ bí mật các khóa mã chống các khai thác không được phép.

Do đó, một số song không phải tất cả dữ liệu xác thực cần được giữ bí mật, và một số song không phải tất cả các bí mật được dùng như dữ liệu xác thực. Hình 2 chỉ ra mối quan hệ giữa bí mật và dữ liệu xác thực. Trong hình này, các kiểu thường gặp của dữ liệu xác thực và các điều khoản bí mật được chỉ ra.

Hình 2 - Mối quan hệ giữa "dữ liệu xác thực" và "các bí mật"

6. Các thành phần chức năng an toàn

6.1. Tổng quan

Điều này định nghĩa nội dung và trình bày của các yêu cầu chức năng của ISO 15408 và cung cấp các hướng dẫn về tổ chức của các yêu cầu cho các thành phần mới được đặt trong ST. Các yêu cầu chức năng được biểu diễn theo các lớp, họ và thành phần.

6.1.1. Cấu trúc lớp

Hình 3 biểu diễn các cấu trúc lớp chức năng dưới dạng biểu đồ. Mỗi lớp chức năng bao gồm tên lớp, giới thiệu về lớp và một hoặc nhiều họ chức năng.

Hình 3 - Cấu trúc lớp chức năng

6.1.1.1. Tên lớp

Mục tiêu lớp cung cấp thông tin cần thiết để chỉ ra và phân nhóm một lớp chức năng. Mỗi lớp chức năng có một tên duy nhất. Thông tin phân nhóm bao gồm một tên viết tắt ba ký tự. Tên viết tắt của lớp thường sử dụng để xác định tên viết tắt của các họ của lớp đó.

6.1.1.2. Giới thiệu lớp

Giới thiệu lớp biểu diễn ý định chung hoặc cách tiếp cận của các họ của chúng để thỏa mãn các mục tiêu an toàn. Định nghĩa các lớp chức năng không phản ánh bất kỳ một sự phân loại chính thức nào về đặc tả của các yêu cầu.

Giới thiệu lớp cung cấp một bức tranh mô tả các họ trong lớp này và phân cấp của các thành phần trong mỗi họ, như được trình bày trong 6.2.

6.1.2. Cấu trúc họ

Hình 4 mô tả các cấu trúc họ chức năng dưới dạng biểu đồ.

Hình 4 - Cấu trúc họ chức năng

6.1.2.1. Tên của họ

Mục tên của họ quy định sự phân loại và thông tin mô tả cần thiết để chỉ ra và phân nhóm một họ chức năng. Mỗi họ chức năng có một tên duy nhất. Thông tin phân nhóm gồm một tên viết tắt 7 ký tự với 3 ký tự đầu tiên là tên viết tắt của lớp, tiếp theo là dấu gạch chân và tên viết tắt của họ dưới dạng XXX_YYY. Dạng viết tắt duy nhất của tên họ cung cấp tên tham chiếu cho các thành phần.

6.1.2.2. Hành xử của họ

Cách hành xử của họ là mô tả chi tiết các họ chức năng phản ánh mục tiêu an toàn của nó và mô tả chung về các yêu cầu chức năng. Chúng được mô tả chi tiết hơn dưới đây.

a) Các mục tiêu an toàn của họ đề cập đến một vấn đề an toàn có thể được giải quyết với sự trợ giúp của TOE kết hợp với một thành phần của họ này

b) Mô tả của các yêu cầu chức năng tóm tắt tất cả các yêu cầu được chứa trong các thành phần. Việc mô tả được thực hiện bởi các tác giả của PP, ST và các gói chức năng; đó là những người sẽ thực hiện đánh giá xem họ này có phù hợp với các yêu cầu cụ thể đặt ra hay không.

6.1.2.3. Phân mức các thành phần

Các họ chức năng chứa một hoặc nhiều thành phần, mà bất kỳ thành phần nào cũng có thể được lựa chọn để đưa vào các PP, ST và các gói chức năng. Đích của điều khoản này là cung cấp thông tin cho người dùng để lựa chọn ra một thành phần chức năng phù hợp sau khi đã được xác định được họ là phần cần thiết và hữu ích của các yêu cầu an toàn.

Mục mô tả họ chức năng này sẽ mô tả các thành phần sẵn sàng và sở cứ hợp lý của chúng. Chi tiết chính xác về mỗi thành phần được đặt bên trong mỗi thành phần.

Mối quan hệ giữa các thành phần bên trong một họ chức năng có thể được hoặc không được phân cấp. Một thành phần được phân cấp với thành phần khác nếu nó cung cấp mức độ an toàn cao hơn.

Như được giải thích trong 6.2, việc mô tả các họ cung cấp một bức tranh chung dạng đồ thị về sự phân cấp của các thành phần trong một họ.

6.1.2.4. Quản lý

Điều khoản quản lý chứa thông tin cho các tác giả PP/ST để xem xét các hoạt động quản lý cho các thành phần được đưa ra. Các điều khoản tham chiếu đến các thành phần của lớp quản lý (FMT) và cung cấp hướng dẫn liên quan đến các hoạt động quản lý tiềm năng có thể áp dụng qua các hoạt động tới các thành phần đó.

Tác giả PP/ST có thể lựa chọn các thành phần quản lý định trước hoặc đưa vào các yêu cầu quản lý khác chưa được liệt kê cho các hoạt động quản lý chi tiết. Vì vậy, thông tin nên xem xét là tham khảo.

6.1.2.5. Kiểm toán

Các yêu cầu kiểm toán chứa các sự kiện kiểm toán cho các tác giả PP/ST lựa chọn, nếu các yêu cầu từ lớp FAU: Kiểm toán an toàn được đưa vào trong PP/ST. Các yêu cầu này bao gồm các sự kiện an toàn phù hợp ở các mức chi tiết khác nhau được hỗ trợ bởi các thành phần của họ Tạo dữ kiện kiểm toán an toàn (FAU_GEN). Ví dụ, một ghi chú kiểm toán có thể bao gồm các hoạt động dưới dạng: Tối thiểu - sử dụng thành công các cơ chế an toàn; Cơ bản - sử dụng bất kỳ cơ chế an toàn cũng như thông tin phù hợp đối với các thuộc tính an toàn liên quan; Chi tiết - bất kỳ sự thay đổi cấu hình nào thực hiện với cơ chế bao gồm các giá trị cấu hình thực tế trước và sau khi thay đổi.

Nên thấy việc phân nhóm các sự kiện có thể kiểm toán là có phân cấp. Ví dụ, khi muốn Tạo kiểm toán cơ bản, nên đưa tất cả các sự kiện có thể kiểm toán, được xác định dưới cả hai dạng cơ bản và tối thiểu, vào trong PP/ST, thông qua sử dụng các hoạt động chỉ định phù hợp, ngoại trừ các sự kiện mức cao hơn cung cấp nhiều chi tiết hơn các sự kiện mức thấp hơn. Khi muốn Tạo kiểm toán chi tiết, nên đưa tất cả các sự kiện có thể kiểm toán (tối thiểu, cơ sở và chi tiết) vào trong PP/ST.

Trong lớp FAU: Kiểm toán an toàn, các quy tắc quản lý kiểm toán sẽ được giải thích chi tiết hơn.

6.1.3. Cấu trúc thành phần

Hình 5 biểu diễn cấu trúc thành phần chức năng.

Hình 5 - Cấu trúc thành phần chức năng

6.1.3.1. Định danh thành phần

Điều khoản định danh thành phần này cung cấp thông tin mô tả cần thiết để định danh, phân nhóm, đăng ký và tham chiếu chéo cho một thành phần. Sau đây là các phần được cung cấp cho mỗi thành phần chức năng.

Tên duy nhất: Tên phản ánh mục đích của các thành phần.

Tên viết tắt: Dạng viết tắt duy nhất của tên thành phần chức năng. Tên viết tắt này sử dụng như là tên tham chiếu chính cho việc phân nhóm, đăng ký và thực hiện tham chiếu chéo của thành phần. Tên viết tắt này biểu thị lớp và họ mà thành phần này trực thuộc và số thành phần bên trong họ.

Danh sách phân cấp: Một danh sách của các thành phần khác mà thành phần này phân cấp và dựa vào đó thành phần này có thể được sử dụng để đáp ứng sự phụ thuộc với các thành phần đã được liệt kê.

6.1.3.2. Các phần tử chức năng

Tập các phần tử được cung cấp cho mỗi thành phần. Mỗi phần tử này được định nghĩa riêng và chứa chính nó.

Một phần tử chức năng là một yêu cầu chức năng an toàn mà nếu phân chia nhỏ hơn thì kết quả đánh giá sẽ không còn ý nghĩa. Nó là yêu cầu chức năng an toàn nhỏ nhất được xác định và chấp nhận trong TCVN 7809.

Khi xây dựng các gói, các PP và ST, không được phép lựa chọn chỉ một hoặc nhiều phần tử từ một thành phần. Tập đầy đủ các phần tử của một thành phần phải được lựa chọn từ một PP, ST hoặc gói.

Một dạng viết tắt duy nhất của tên phần tử chức năng được cung cấp. Ví dụ tên yêu cầu FDP_IFF.4.2 đọc như sau: F - yêu cầu chức năng; DP - lớp "Bảo vệ dữ liệu người dùng"; IFF - Họ "Các chức năng kiểm soát luồng thông tin"; 4 - tên của thành phần thứ tư "Loại trừ từng phần các luồng thông tin không hợp pháp"; 2 - phần tử thứ 2 của thành phần.

6.1.3.3. Mối phụ thuộc

Mối phụ thuộc giữa các thành phần chức năng tăng lên khi một thành phần tự nó không đủ khả năng và độ tin cậy về chức năng, hoặc tương tác, với các thành phần khác về các chức năng phù hợp của nó.

Mỗi thành phần chức năng cung cấp một danh sách đầy đủ các mối phụ thuộc với các thành phần chức năng và đảm bảo khác. Một vài thành phần có thể liệt kê "không phụ thuộc". Các thành phần phụ thuộc trên có thể có sự phụ thuộc trong các thành phần khác. Danh sách được cung cấp trong các thành phần sẽ là các mối phụ thuộc trực tiếp. Đó chỉ là sự tham chiếu đến các yêu cầu chức năng đòi hỏi đối với các yêu cầu này để thực hiện công việc của nó chính xác. Các mối phụ thuộc gián tiếp, nghĩa là các phụ thuộc là kết quả từ sự phụ thuộc vào các thành phần, thì có thể xem trong Phụ lục A của TCVN 7809-2. Chú ý rằng trong một vài trường hợp, sự phụ thuộc là tùy chọn, trong đó số các yêu cầu chức năng được cung cấp, tại đó mỗi thành phần của chúng có thể đáp ứng đầy đủ sự phụ thuộc (xem ví dụ FDP_UIT.1 Toàn vẹn trao đổi dữ liệu).

Danh sách phụ thuộc xác định các thành phần đảm bảo hoặc thành phần chức năng tối thiểu cần thiết để thỏa mãn các yêu cầu an toàn liên quan đến một thành phần xác định. Các thành phần được phân cấp theo thành phần đã định danh có thể được sử dụng để thỏa mãn mối phụ thuộc.

Các mối phụ thuộc chỉ ra trong phần này của TCVN 7809 là bắt buộc. Chúng phải được thỏa mãn trong PP hoặc ST. Trong các tình huống cụ thể, các mối phụ thuộc xác định có thể không được áp dụng. Tác giả PP/ST thông qua việc cung cấp sở cứ vì sao nó không được áp dụng, có thể bỏ đi các mối phụ thuộc với các thành phần ra ngoài gói, PP hoặc ST.

6.2. Danh mục thành phần

Nhóm của các thành phần trong phần này của TCVN 7809 không phản ánh bất kỳ sự phân loại chính thức nào.

Phần này của TCVN 7809 chứa các lớp của họ và các thành phần, chúng được phân nhóm dựa trên cơ sở của các chức năng hoặc mục đích liên quan, được biểu diễn theo thứ tự chữ cái. Bắt đầu của mỗi lớp là một biểu đồ thông tin chỉ ra phân loại của mỗi lớp, chỉ ra các họ trong mỗi lớp và các tp trong mỗi họ. Biểu đồ là một chỉ dẫn hữu ích cho quan hệ phân cấp có thể tồn tại giữa các thành phần.

Trong việc mô tả các thành phần chức năng, có một điều khoản nhỏ xác định các mối phụ thuộc giữa thành phần và bất kỳ các thành phần nào khác.

Trong mỗi lớp, một hình vẽ mô tả phân cấp lớp tương tự như Hình 6 được cung cấp. Trong Hình 6, họ đầu tiên, Họ 1, chứa ba thành phần phân cấp, tại đó cả hai thành phần 2 và thành phần 3 có thể sử dụng để thỏa mãn các mối phụ thuộc vào thành phần 1. Thành phần 3 được phân cấp theo thành phần 2 và có thể được sử dụng để thỏa mãn sự phụ thuộc vào thành phần 2.

Hình 6 - Biểu đồ phân cấp lớp đơn giản

Trong họ 2 có ba thành phần, trong đó không phải tất cả được phân cấp. Các thành phần 1 và 2 không phân cấp theo các thành phần khác. Thành phần 3 được phân cấp theo thành phần 2, có thể dùng để thỏa mãn mối phụ thuộc vào thành phần 2, nhưng không thỏa mãn sự phụ thuộc vào thành phần 1.

Trong họ 3, các thành phần 2, 3 và 4 được phân cấp theo thành phần 1. Các thành phần 2 và 3 được phân cấp theo thành phần 1, nhưng không so sánh được chúng. Thành phần 4 phân cấp theo thành phần 2 và 3.

Những biểu đồ này bổ sung cho văn bản của họ và tạo ra định danh các mối quan hệ dễ dàng hơn. Chúng không thay thế cho ghi chú "phân cấp cho:" trong mỗi thành phần, đó là đòi hỏi bắt buộc về phân cấp cho mỗi thành phần.

6.2.1. Nhấn mạnh các thay đổi thành phần

Mối quan hệ giữa các thành phần trong một họ được nhấn mạnh qua việc sử dụng in đậm. Cách in đậm này dùng cho in đậm các yêu cầu mới. Với các thành phần phân cấp, các yêu cầu được in đậm khi chúng được cải tiến hoặc sửa đổi từ các yêu cầu của thành phần trước đó. Ngoài ra, bất kỳ hoạt động được phép nào mới hoặc được cải tiến từ thành phần trước đó đều được nhấn mạnh qua sử dụng kiểu in đậm.

7. Lớp FAU: Kiểm toán an toàn

Kiểm toán an toàn liên quan tới việc nhận biết, ghi lại, lưu trữ và phân tích thông tin liên quan đến các hoạt động an toàn liên quan (ví dụ các hoạt động được kiểm soát bởi TSF). Các kết quả kiểm toán được ghi lại có thể được kiểm tra để quyết định các hoạt động an toàn liên quan nào cần được thực hiện và ai (người dùng nào) có trách nhiệm với nó.

Hình 7 - Phân cấp lớp FAU: Kiểm toán an toàn

7.1. Phản hồi tự động kiểm toán an toàn (FAU_ARP)

7.1.1. Hành xử của họ

Họ này định nghĩa phản hồi cần được thực hiện trong trường hợp phát hiện các sự kiện chỉ ra các khả năng phá hoại an toàn.

7.1.2. Phân mức thành phần

Tại các cảnh báo an toàn FAU_ARP.1, TSF cần được thực hiện trong các trường hợp có phá hoại an toàn được phát hiện.

7.1.3. Quản lý của FAU_ARP.1

Các hành động sau đây được xem xét cho các chức năng quản lý trong FMT.

a) Quản lý (thêm, bớt hoặc điều chỉnh) các hành động

7.1.4. Kiểm toán FAU_ARP.1

Các hành động sau nên có khả năng kiểm toán, nếu FAU_GEN Tạo các dữ liệu kiểm toán an toàn được đặt trong PP/ST.

a) Tối thiểu: thực hiện các hành động do có các vi phạm an toàn sắp xảy ra.

7.1.5. Cảnh báo an toàn Fau_ARP.1

Phân cấp từ: không có các thành phần nào.

Các mối phụ thuộc: FAU.SAA.1 Phân tích khả năng vi phạm.

7.1.5.1. FAU_ARP.1.1

TSF cần thực hiện [chỉ định: danh sách các hành động] khi phát hiện một khả năng vi phạm an toàn.

7.2. Tạo các dữ liệu kiểm toán an toàn (FAU_GEN)

7.2.1. Hành xử của họ

Họ này định nghĩa các yêu cầu cho việc ghi lại sự xuất hiện của các sự kiện an toàn liên quan được thực hiện dưới sự kiểm soát của TSF. Họ này xác định các mức kiểm toán, liệt kê các kiểu sự kiện mà có thể kiểm toán được bởi TSF, và xác định tập nhỏ nhất của các thông tin liên quan đến kiểm toán được cung cấp bên trong nhiều kiểu hồ sơ kiểm toán.

7.2.2. Phân mức thành phần

FAU_GEN.1 Tạo dữ liệu kiểm toán, định nghĩa mức của các sự kiện có thể kiểm toán và chỉ ra danh sách dữ liệu cần được ghi lại trong mỗi bản ghi.

Tại FAU_GEN.2 Kết hợp định danh người dùng, TSF cần kết hợp các sự kiện có thể kiểm toán theo từng định danh người dùng riêng biệt.

7.2.3. Quản lý của FAU_GEN.1, FAU_GEN.2

Không có các hoạt động quản lý nào.

7.2.4. Kiểm toán của FAU_GEN.1, FAU_GEN.2

Không có sự kiện có thể kiểm toán nào.

7.2.5. Tạo dữ liệu kiểm toán FAU_GEN.1

Phân cấp từ: không có các thành phần nào.

Các mối phụ thuộc: FPT_STM.1 Các nhãn thời gian tin cậy.

7.2.5.1. FAU_GEN.1.1

TSF cần có khả năng tạo ra một bản ghi kiểm toán cho các sự kiện có thể kiểm toán được sau:

a) Khởi động và tắt các chức năng kiểm toán;

b) Tất cả các sự kiện có thể kiểm toán được cho [lựa chọn, chọn một trong số: tối thiểu, cơ bản, chi tiết, không xác định] và

c) [Chỉ định: Các sự kiện có thể kiểm toán được định nghĩa cụ thể khác].

7.2.5.2. FAU_GEN.1.2

TSF cần ghi lại trong mỗi bản ghi kiểm toán ít nhất các thông tin sau đây:

a) Ngày và giờ của sự kiện, kiểu sự kiện, định danh chủ thể (nếu có), và đầu ra (thành công hoặc lỗi) của sự kiện; và

b) Với mỗi kiểu sự kiện kiểm toán, dựa trên định nghĩa các sự kiện có thể kiểm toán của các thành phần chức năng có trong PP/ST, [chỉ định: thông tin liên quan kiểm toán khác]

7.2.6. FAU_GEN.2 Kết hợp định danh người dùng

Phân cấp từ: không có các thành phần nào.

Các mối phụ thuộc:       FAU_GEN.1 Tạo dữ liệu kiểm toán

                                    FIA_UID.1 Định thời cho định danh

7.2.6.1. FAU_GEN.2.1

Đối với các sự kiện kiểm toán có được từ các hành động của người dùng đã định danh, TSF cần có khả năng kết hợp mỗi sự kiện có thể kiểm toán với định danh của người dùng đã gây ra sự kiện.

7.3. Phân tích kiểm toán an toàn (FAU_SAA)

7.3.1. Hành xử của họ

Họ này định nghĩa các yêu cầu cho tự động hóa, nghĩa là phân tích các hoạt động hệ thống và dữ liệu kiểm toán để tìm kiếm các phá hoại an toàn thực tế có thể xảy ra. Phân tích có thể thực hiện với sự hỗ trợ của phát hiện xâm nhập hoặc phản ứng tự động với một vi phạm an toàn sẽ xảy ra.

Các hành động này cần được thực hiện dựa trên phát hiện, có thể được xác định qua Họ phản ứng tự động kiểm toán an toàn (FAU_ARP).

7.3.2. Phân mức thành phần

Trong FAU_SAA.1 Phân tích khả năng vi phạm, phát hiện ngưỡng cơ sở dựa trên cơ sở của tập quy tắc được yêu cầu.

Trong FAU_SAA.2 Phát hiện bất thường dựa trên mô tả tóm tắt, TSD duy trì các mô tả riêng về sử dụng hệ thống, tại đó các mô tả biểu diễn các mẫu liên quan đến quá khứ thường được thực hiện bởi các thành viên của nhóm mô tả đích. Một nhóm mô tả đích tham chiếu đến một nhóm của một hoặc nhiều cá nhân (ví dụ một người dùng đơn, nhiều người dùng chia sẻ một nhóm ID hoặc tài khoản nhóm, nhiều người dùng vận hành dưới các vai trò được chỉ định trước, người dùng của toàn bộ hệ thống hoặc một nút mạng); đó là người tương tác với TSF. Mỗi thành viên của nhóm hồ sơ đích được chỉ định một loại nghi ngờ riêng, nó đại diện cho việc làm thế nào mà các hoạt động tương ứng hiện thời của các thành viên thực hiện thiết lập mẫu để biểu diễn trong các mô tả.

Trong FAU_SAA.3 Thử nghiệm tấn công đơn giản, TSF cần có thể phát hiện sự xuất hiện của các sự kiện với các dấu hiệu mà đại diện cho một dấu hiệu nguy cơ đến thực thi TSP. Tìm kiếm các sự kiện với các dấu hiệu này có thể xuất hiện trong thời gian thực hoặc trong thời gian phân tích chế độ xử lý mẻ (batch mode) với các thông tin được thu thập hậu kỳ (post-collection).

Trong FAU_SAA.4 Thử nghiệm tấn công phức tạp, TSF cần đại diện và phát hiện các kịch bản xâm nhập nhiều bước. TSF có thể so sánh các sự kiện hệ thống (có thể thực hiện bởi nhiều cá nhân) với các sự kiện liên tiếp được biết để đại diện cho toàn bộ các kịch bản xâm nhập. TSF cần có thể chỉ ra khi một sự kiện có dấu hiệu hoặc các sự kiện liên tiếp được tìm thấy chỉ ra khả năng vi phạm từ các SFR.

7.3.3. Quản lý của FAU_SAA.1

Các hành động sau có thể được cân nhắc cho các chức năng quản lý trong FMT:

a) Duy trì các quy tắc bởi (thêm, thay đổi, xóa) các quy tắc từ tập các quy tắc.

7.3.4. Quản lý của FAU_SAA.2

Các hành động sau có thể được cân nhắc cho các chức năng quản lý trong FMT:

a) Duy trì (Xóa, thay đổi, thêm) nhóm người dùng trong nhóm mô tả đích.

7.3.5. Quản lý của FAU_SAA.3

Các hành động sau có thể được cân nhắc cho các chức năng quản lý trong FMT:

a) Duy trì (Xóa, thay đổi, thêm) tập con của các sự kiện hệ thống.

7.3.6. Quản lý của FAU_SAA.4

Các hành động sau có thể được cân nhắc cho các chức năng quản lý trong FMT:

a) Duy trì (Xóa, thay đổi, thêm) tập con của các sự kiện hệ thống;

b) Duy trì (Xóa, thay đổi, thêm) tập liên tiếp của các sự kiện hệ thống.

7.3.7. Kiểm toán của FAU_SAA.1, FAU_SAA.2, FAU_SAA.3, FAU_SAA.4

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn đặt trong PP/ST:

a) Tối thiểu: Bật hoặc tắt bất kỳ một cơ chế phân tích nào;

b) Tối thiểu: Các phản hồi tự động được thực hiện bởi công cụ.

7.3.8. FAU_SAA.1 Phân tích khả năng phá hoại

Phân cấp từ: Không có thành phần nào.

Các mối phụ thuộc: FAU_GEN.1 Tạo dữ liệu kiểm toán.

7.3.8.1. FAU_SAA.1.1

TSF cần cung cấp một tập các quy tắc để giám sát các sự kiện đã kiểm toán và dựa trên những quy tắc này chỉ ra các khả năng phá hoại việc thực thi các SFR.

7.3.8.2. FAU_SAA.1.2

TSF cần thực thi các quy tắc sau cho việc giám sát các sự kiện đã kiểm toán:

a) Tích lũy hoặc kết hợp của [chỉ định: tập con các sự kiện đã kiểm toán xác định trước] được biết để chỉ ra khả năng phá hoại an toàn;

b) [chỉ định: bất kỳ quy tắc nào khác]

7.3.9. FAU_SAA.2 Phát hiện bất thường dựa trên mô tả tóm tắt

Phân cấp từ: Không có thành phần nào.

Các mối phụ thuộc: FIA_UID.1 Định thời cho định danh.

7.3.9.1. FAU_SAA.2.1

TSF cần có khả năng duy trì mô tả sử dụng hệ thống, tại đó một mô tả riêng đại diện cho các mẫu quá khứ về việc sử dụng được thực hiện bởi các thành viên của [chỉ định: Nhóm mô tả mục tiêu].

7.3.9.2. FAU_SAA.2.2

TSF cần có khả năng duy trì một xếp hạng nghi ngờ với mỗi người dùng với các hoạt động được ghi lại trong mô tả tóm tắt, khi đó xếp hạng nghi ngờ đại diện cho mức độ mà hoạt động của người dùng hiện thời được tìm thấy không mâu thuẫn với các mẫu được thiết lập được biểu diễn trong mô tả tóm tắt.

7.3.9.3. FAU_SAA.2.3

TSF cần có khả năng chỉ ra các phá hoại thực thi các SFR sẽ xảy ra khi xếp hạng nghi ngờ người dùng vượt quá các điều kiện ngưỡng cho phép [chỉ định: các điều kiện theo đó các hoạt động bất thường được báo cáo bởi TSF].

7.3.10. FAU_SAA.3 Thử nghiệm tấn công đơn giản

Phân cấp từ: không có thành phần nào.

Các mối phụ thuộc: Không có phụ thuộc nào.

7.3.10.1. FAU_SAA.3.1

TSF cần có khả năng duy trì một biểu diễn nội bộ cho các sự kiện có dấu hiệu [chỉ định: một tập con của các sự kiện hệ thống] có thể chỉ ra sự phá hoại việc thực thi của các SFR.

7.3.10.2. FAU_SAA.3.2

TSF cần có khả năng so sánh các sự kiện có dấu hiệu với các bản ghi về hoạt động của hệ thống nhận được từ việc kiểm tra của [chỉ định: thông tin được dùng để xác định hoạt động của hệ thống].

7.3.10.3. FAU_SAA.3.3

TSF cần có khả năng biểu thị một phá hoại tiềm năng việc thực thi các SFR khi sự kiện hệ thống trùng với một sự kiện có dấu hiệu biểu thị khả năng phá hoại tiềm năng việc thực thi các SFR.

7.3.11. FAU_SAA.4 Thử nghiệm tấn công phức tạp

Phân cấp từ: FAU_SAA.3 Thử nghiệm tấn công đơn giản.

Các mối phụ thuộc: Không có phụ thuộc nào.

7.3.11.1. FAU_SAA.4.1

TSF cần có khả năng duy trì một biểu diễn nội bộ cho các sự kiện liên tiếp của các kịch bản xâm nhập [chỉ định: danh sách liên tiếp của các sự kiện hệ thống mà sự hiện diện của chúng là đại diện cho các kịch bản xâm nhập được biết] và các sự kiện có dấu hiệu tiếp theo [chỉ định: một tập con của các sự kiện hệ thống] có thể chỉ ra sự phá hoại việc thực thi các SFR.

7.3.11.2. FAU_SAA.4.2

TSF cần có khả năng so sánh các sự kiện có dấu hiệu và chuỗi các sự kiện với các bản ghi về hoạt động của hệ thống nhận được từ việc kiểm tra của [chỉ định: thông tin được dùng để xác định hoạt động của hệ thống].

7.3.11.3. FAU_SAA.4.3

TSF cần có khả năng biểu thị một phá hoại tiềm tàng việc thực thi các SFR khi sự kiện hệ thống trùng với một sự kiện có dấu hiệu hoặc chuỗi các sự kiện biểu thị khả năng phá hoại tiềm năng việc thực thi các SFR.

7.4. Soát xét kiểm toán an toàn (FAU_SAR)

7.4.1. Hành xử của họ

Họ này định nghĩa các yêu cầu cho các công cụ kiểm toán cần phải sẵn sàng cho người dùng có thẩm quyền để hỗ trợ xem lại dữ liệu kiểm toán.

7.4.2. Phân mức thành phần

FAU_SAR.1 Soát xét kiểm toán, cung cấp khả năng đọc thông tin từ các bản ghi kiểm toán.

FAU_SAR.2 Soát xét kiểm toán có hạn chế, yêu cầu không có người dùng khác, ngoại trừ những ai đã được định danh trong soát xét kiểm toán FAU_SAR.1 có thể đọc được thông tin.

FAU_SAR.3 Soát xét kiểm toán có lựa chọn, yêu cầu các công cụ soát xét kiểm toán để lựa chọn dữ liệu kiểm toán cần được xem lại dựa trên các tiêu chí.

7.4.3. Quản lý của FAU_SAR.1

Các hành động sau có thể được cân nhắc cho các chức năng quản lý trong FMT:

a) Duy trì (Xóa, thay đổi, thêm) của nhóm các người dùng với việc đọc quyền truy nhập đến các hồ sơ kiểm toán.

7.4.4. Quản lý của FAU_SAR.2, FAU_SAR.3

Không có các hoạt động quản lý nào.

7.4.5. Kiểm toán của FAU_SAR.1

Các hành động sau đây có thể được kiểm toán, nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn chứa trong PP/ST:

a) Cơ sở: đọc thông tin từ các hồ sơ kiểm toán.

7.4.6. Kiểm toán của FAU_SAR.2

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn chứa trong PP/ST:

a) Cơ sở: Số lần thử đọc tin không thành công từ các bản ghi kiểm toán.

7.4.7. Kiểm toán của FAU_SAR.3

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

a) Chi tiết: Các tham số được sử dụng để xem lại.

7.4.8. FAU_SAR.1 Soát xét kiểm toán

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc: FAU_GEN.1 Tạo dữ liệu kiểm toán.

7.4.8.1. FAU_SAR.1.1

TSF cần cung cấp [chỉ định: người dùng có thẩm quyền] khả năng đọc [chỉ định: danh sách của các thông tin kiểm toán] từ các hồ sơ kiểm toán.

7.4.8.2. FAU_SAR.1.2

TSF cần cung cấp các hồ sơ kiểm toán theo cách thức phù hợp cho người dùng để giải thích thông tin.

7.4.9. FAU_SAR.2 Soát xét kiểm toán có hạn chế

Phân cấp từ: Không có thành phần nào.

Các mối phụ thuộc: FAU_SAR.1 Soát xét kiểm toán.

7.4.9.1. FAU_SAR.2.1

TSF cần ngăn cản tất cả người dùng truy cập đọc các hồ sơ kiểm toán, ngoại trừ những người dùng được cấp phép truy cập đọc rõ ràng.

7.4.10. FAU_SAR.3 Soát xét kiểm toán có chọn lựa

Phân cấp từ: Không có thành phần nào.

Các mối phụ thuộc: FAU_SAR.1 Soát xét kiểm toán.

7.4.10.1. FAU_SAR.3.1

TSF cần cung cấp khả năng áp dụng [chỉ định: các phương pháp chọn lựa và/hoặc sắp xếp] các dữ liệu kiểm toán dựa trên [chỉ định: tiêu chí với các quan hệ logic].

7.5. Lựa chọn sự kiện kiểm toán an toàn (FAU_SEL)

7.5.1. Hành xử của họ

Họ này định nghĩa các yêu cầu để lựa chọn các sự kiện cần được kiểm toán trong thời gian hoạt động của TOE từ tập tất cả các sự kiện có thể kiểm toán.

7.5.2. Phân mức thành phần

FAU_SEL.1 Kiểm toán lựa chọn, đòi hỏi chọn ra tập các sự kiện cần được kiểm toán từ tập tất cả các sự kiện có thể được kiểm toán, xác định trong FAU_GEN.1 Tạo dữ liệu kiểm toán, dựa trên các thuộc tính được chỉ ra bởi tác giả PP/ST.

7.5.3. Quản lý của FAU_SEL.1

Các hành động sau sẽ được xem xét cho các chức năng quản lý trong FMT:

a) Duy trì các quyền để xem/thay đổi các sự kiện kiểm toán.

7.5.4. Kiểm toán của FAU_SEL.1

Các hành động sau có khả năng kiểm toán, nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được chứa trong PP/ST:

a) Tối thiểu: tất cả các thay đổi đến cấu hình kiểm tra mà xuất hiện khi các chức năng thu thập kiểm toán được vận hành.

7.5.5. FAU_SEL.1 Kiểm toán lựa chọn

Phân cấp từ: không có thành phần nào.

Các mối phụ thuộc:       FAU_GEN.1 Tạo dữ liệu kiểm toán

                                    FMT_MTD.1 Quản lý dữ liệu TSF

7.5.5.1. FAU_SEL.1.1

TSF cần có khả năng chọn ra các tập sự kiện đã kiểm toán từ tập tất cả các sự kiện có thể kiểm toán, dựa trên các thuộc tính sau đây:

a) [lựa chọn: định danh đối tượng, định danh người dùng, định danh chủ thể, định danh máy chủ, kiểu sự kiện]

b) [chỉ định: danh sách các thuộc tính bổ sung mà việc lựa chọn kiểm toán dựa theo]

7.6. Lưu trữ sự kiện kiểm toán an toàn (FAU_STG)

7.6.1. Hành xử của họ

Họ này định nghĩa các yêu cầu cho TSF để có thể tạo ra và duy trì một dấu vết kiểm toán an toàn. Các bản ghi kiểm toán đã lưu tham chiếu đến các bản ghi có trong dấu vết kiểm toán, và không phải là các bản ghi kiểm toán đã gọi ra (vào bộ nhớ tạm thời) thông qua lựa chọn.

7.6.2. Phân mức thành phần

Tại FAU_STG.1 Lưu trữ các vết kiểm toán có bảo vệ, các yêu cầu được đặt trong vết kiểm toán. Nó sẽ được bảo vệ chống lại việc xóa hay thay đổi trái phép.

FAU_STG.2 Đảm bảo sự sẵn sàng của dữ liệu kiểm toán, xác định các đảm bảo mà TSF duy trì trên dữ liệu kiểm toán được đưa ra trong sự xuất hiện một điều kiện không mong muốn.

FAU_STG.3 Hành động trong trường hợp có thể mất mát dữ liệu kiểm toán, xác định các hành động cần thực hiện nếu ngưỡng trong vết an toàn bị vượt quá.

FAU_STG.4 Ngăn chặn mất mát dữ liệu kiểm toán, xác định các hành động cần thực hiện trong trường hợp vết kiểm toán bị đầy.

7.6.3. Quản lý của FAU_STG.1

Không có các hoạt động quản lý nào

7.6.4. Quản lý của FAU_STG.2

Các hành động sau có thể được cân nhắc cho các chức năng quản lý trong FMT:

a) Duy trì các tham số kiểm soát khả năng lưu trữ kiểm toán.

7.6.5. Quản lý của FAU_STG.3

Các hành động sau cần xem xét cho các chức năng quản lý trong FMT:

a) Duy trì ngưỡng;

b) Duy trì (xóa, thay đổi, thêm) các hành động cần được thực hiện trong trường hợp lỗi lưu trữ kiểm toán sẽ xảy ra.

7.6.6. Quản lý của FAU_STG.4

Các hành động sau có thể được cân nhắc cho các chức năng quản lý trong FMT:

a) Duy trì (xóa, thay đổi, thêm) các hành động cần được thực hiện trong trường hợp có lỗi lưu trữ kiểm toán.

7.6.7. Kiểm toán của FAU_STG.1, FAU_STG.2

Không có các sự kiện có thể kiểm toán nào.

7.6.8. Kiểm toán của FAU_STG.3

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

a) Cơ sở: Các hành động thực hiện do bị vượt quá ngưỡng.

7.6.9. Kiểm toán của FAU_STG.4

Các hành động sau đây có thể được kiểm toán, nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

a) Cơ sở: Các hành động thực hiện do lỗi lưu trữ kiểm toán.

7.6.10. FAU_STG.1 Lưu trữ vết kiểm toán có bảo vệ

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc: FAU_GEN.1 Tạo dữ liệu kiểm toán.

7.6.10.1. FAU_STG.1.1

TSF cần bảo vệ các hồ sơ kiểm toán đã lưu trong vết kiểm toán chống lại việc xóa trái phép

7.6.10.2. FAU_STG.1.2

TSF cần có khả năng [lựa chọn, chọn một trong số: ngăn chặn, phát hiện] các thay đổi trái phép vào các bản ghi kiểm toán đã lưu trữ trong vết kiểm toán.

7.6.11. FAU_STG.2 Đảm bảo sự sẵn sàng của dữ liệu kiểm toán

Phân cấp từ:                 FAU_STG.1 Lưu trữ vết an toàn có bảo vệ

Các mối phụ thuộc:       FAU_GEN.1 Tạo dữ liệu kiểm toán

7.6.11.1. FAU_STG.2.1

TSF cần bảo vệ các hồ sơ kiểm toán đã lưu trong vết kiểm toán chống lại việc xóa trái phép.

7.6.11.2. FAU_STG.2.2

TSF cần có khả năng [lựa chọn, chọn một trong số: ngăn chặn, phát hiện] các thay đổi trái phép vào các bản ghi kiểm toán đã lưu trữ trong vết kiểm toán.

7.6.11.3. FAU_STG.2.3

TSF cần đảm bảo rằng [chỉ định: đơn vị đo việc lưu trữ hồ sơ kiểm toán] các hồ sơ kiểm tra sẽ được duy trì khi các hành động sau xuất hiện: [lựa chọn: tràn bộ nhớ lưu kiểm toán, lỗi, tấn công].

7.6.12. FAU_STG.3 Hành động trong trường hợp dữ liệu kiểm toán có thể bị mất

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc: FAU_STG.1 Lưu trữ vết an toàn có bảo vệ.

7.6.12.1. FAU_STG.3.1

TSF cần [chỉ định: các hành động cần được thực hiện trong trường hợp lỗi lưu trữ an toàn có thể xảy ra] nếu vết kiểm toán vượt quá [chỉ định: giới hạn được định nghĩa trước].

7.6.13. FAU_STG.4 Ngăn chặn mất dữ liệu kiểm toán

Phân cấp từ: FAU_STG.3 Hành động trong trường hợp dữ liệu kiểm toán có thể bị mất.

Các mối phụ thuộc: FAU_STG.1 Lưu trữ vết an toàn có bảo vệ.

7.6.13.1. FAU_STG.4.1

TSF cần [lựa chọn, chọn một trong số: "Lờ đi các sự kiện đã kiểm toán", "ngăn chặn các sự kiện đã kiểm toán, ngoại trừ các sự kiện này được lấy ra bởi người dùng có thẩm quyền với các quyền đặc biệt", "Viết đè lên hồ sơ kiểm toán lưu trữ lâu nhất"] và [chỉ định: các hành động khác trong trường hợp lỗi lưu trữ kiểm toán] nếu vết kiểm toán đầy.

8. Lớp FCO: Truyền thông

Lớp này quy định hai họ liên quan đặc biệt đến việc đảm bảo danh tính của phần tử tham gia trong trao đổi dữ liệu. Các họ này liên quan đến việc đảm bảo danh tính người tạo ra thông tin đã truyền đi (kiểm chứng thông tin) và đảm bảo danh tính người nhận thông tin đã truyền đi (kiểm chứng người nhận). Các họ này đảm bảo rằng người tạo ra thông tin không thể từ chối việc gửi đi các thông điệp hoặc người nhận từ chối việc đã nhận nó.

Hình 8 - phân cấp lớp FCO: Truyền thông

8.1. Không chối bỏ nguồn gốc (FCO_NRO)

8.1.1. Hành xử của họ

Không chối bỏ nguồn gốc đảm bảo rằng nguồn gốc của thông tin không thể từ chối việc đã gửi tin đi. Họ này yêu cầu TSF quy định một phương pháp để đảm bảo rằng chủ thể đã nhận thông tin qua quá trình trao đổi dữ liệu được cung cấp một bằng chứng về nguồn gốc thông tin. Bằng chứng này có thể được thẩm định hoặc qua chủ thể này hoặc các chủ thể khác.

8.1.2. Phân mức thành phần

FCO_NRO.1 Lựa chọn kiểm chứng nguồn gốc, đòi hỏi TSF quy định các chủ thể với khả năng yêu cầu chứng cứ về nguồn gốc thông tin.

FCO_NRO.2 Thực thi kiểm chứng nguồn gốc thông tin, đòi hỏi TSF luôn tạo ra chứng cứ về nguồn gốc của thông tin được truyền.

8.1.3. Quản lý của FCO_NRO.1, FCO_NRO.2

Các hành động sau được xem xét cho các chức năng quản lý FMT

a) Quản lý các thay đổi kiểu thông tin, lĩnh vực, các thuộc tính của người tạo ra thông tin và người nhận chứng cứ

8.1.4. Kiểm toán của FCO_NRO.1

Các hành động sau đây cần được kiểm tra nếu FAU_GEN Tạo dữ liệu kiểm tra được đặt trong PP/ST

a) Tối thiểu: Xác định người dùng mà yêu cầu chứng cứ về nguồn gốc được tạo ra

b) Tối thiểu: Viện chứng đến dịch vụ không thể từ chối

c) Cơ sở: Định danh thông tin, đích và một bản sao của chứng cứ được quy định

d) Chi tiết: Xác định người dùng mà đòi hỏi thẩm tra chứng cứ

8.1.5. Kiểm toán của FCO_NRO.2

Các hành động sau đây cần được kiểm tra nếu FAU_GEN Tạo dữ liệu kiểm tra được đặt trong PP/ST

d) Tối thiểu: Viện chứng đến dịch vụ không thể từ chối

e) Cơ sở: Định danh thông tin, đích và một bản sao của chứng cứ được quy định

f) Chi tiết: Xác định người dùng mà đòi hỏi thẩm tra chứng cứ

8.1.6. FCO_NRO.1 Lựa chọn kiểm chứng nguồn gốc

Phân cấp từ: Không có thành phần nào.

Các mối phụ thuộc: FIA_UID.1 Định thời cho định danh

8.1.6.1. FCO_NRO.1.1

TSF cần có khả năng tạo ra chứng cứ về nguồn gốc thông tin được truyền [chỉ định: danh sách kiểu thông tin] tại yêu cầu của [chỉ định: bên gửi, bên nhận, [chỉ định: danh sách các đối tác thứ 3]].

8.1.6.2. FCO_NRO.1.2

TSF cần có khả năng liên quan đến [chỉ định: danh sách các thuộc tính] người tạo ra thông tin và [chỉ định: danh sách các trường thông tin] của thông tin được cung cấp chứng cứ.

8.1.6.3. FCO_NRO.1.3

TSF cần cung cấp khả năng thẩm tra chứng cứ về nguồn gốc của thông tin [lựa chọn: bên gửi, người nhận, [chỉ định: danh sách của đối tác thứ 3]] được cho [chỉ định: các giới hạn về chứng cứ của nguồn gốc].

8.1.7. FCO_NRO.2 Thực thi kiểm chứng nguồn gốc

Phân cấp từ: FCO_NRO.1 Lựa chọn kiểm chứng nguồn gốc

Các mối phụ thuộc: FIA_UID.1 Định thời cho định danh

8.1.7.1. FCO_NRO.2.1

TSF cần thực thi để tạo ra các chứng cứ về nguồn gốc thông tin được truyền [chỉ định: danh sách các kiểu thông tin] tại tất cả các thời gian.

8.1.7.2. FCO_NRO.2.2

TSF cần có khả năng liên quan đến [chỉ định: danh sách các thuộc tính] người tạo ra thông tin và [chỉ định: danh sách các trường thông tin] của thông tin được cung cấp chứng cứ.

8.1.7.3. FCO_NRO.2.3

TSF cần có khả năng thẩm tra chứng cứ về nguồn gốc của thông tin [lựa chọn: bên gửi, người nhận, [chỉ định: danh sách của đối tác thứ 3]] được cho [chỉ định: các giới hạn về chứng cứ của nguồn gốc].

8.2. Không thể từ chối của bên nhận (FCO_NRR)

8.2.1. Hành xử của họ

Không thể từ chối của bên nhận đảm bảo rằng người nhận thông tin không thể từ chối việc nhận thành công thông tin. Họ này đòi hỏi, TSF cung cấp một phương pháp để đảm bảo rằng một chủ thể truyền thông tin trong thời gian trao đổi dữ liệu được cung cấp một chứng cứ về việc nhận thông tin. Chứng cứ này có thể được thẩm tra bởi chủ thể này hoặc các chủ thể khác.

8.2.2. Phân mức thành phần

FCO_NRR.1 Lựa chọn kiểm chứng bên nhận, yêu cầu TSF để cung cấp cho chủ thể khả năng đòi hỏi chứng cứ của việc nhận thông tin.

FCO_NRR.2 Thực thi kiểm chứng bên nhận, đòi hỏi TSF luôn tạo ra chứng cứ nhận cho các thông tin đã nhận.

8.2.3. Quản lý của FCO_NRR.1, FCO_NRR.2

Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:

a) Quản lý các thay đổi về kiểu thông tin, trường tin, các thuộc tính của người gửi và người nhận là đối tác thứ 3 về chứng cứ.

8.2.4. Kiểm toán của FCO_NRR.1

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

a) Tối thiểu: Xác định người dùng mà đòi hỏi chứng cứ của việc nhận sẽ được tạo ra.

b) Tối thiểu: Viện chứng dịch vụ không thể từ chối.

c) Cơ sở: Định danh thông tin, đích đến và một bản sao của thông tin được quy định.

d) Chi tiết: Xác định người dùng mà đòi hỏi việc thẩm tra chứng cứ.

8.2.5. Kiểm toán của FCO_NRR.2

Các hành động sau đây có thể được kiểm toán, nếu FAU_GEN Tạo dữ liệu kiểm toán được đặt trong PP/ST:

a) Tối thiểu: Viện chứng dịch vụ không thể từ chối.

b) Cơ sở: Định danh thông tin, đích đến và một bản sao của thông tin được quy định.

c) Chi tiết: Xác định người dùng mà đòi hỏi việc thẩm tra chứng cứ.

8.2.6. FCO_NRR.1 Lựa chọn kiểm chứng bên nhận

Phân cấp từ: Không có thành phần nào.

Các mối phụ thuộc: FIA_UID.1 Định thời cho định danh.

8.2.6.1. FCO_NRR.1.1

TSF cần có khả năng tạo ra chứng cứ nhận tin cho [chỉ định: danh sách của các kiểu thông tin] đã nhận theo các đòi hỏi của [lựa chọn: người gửi, người nhận, [chỉ định: danh sách các đối tác thứ ba]].

8.2.6.2. FCO_NRR.1.2

TSF cần có khả năng kết nối các [chỉ định: danh sách các thuộc tính] của người nhận thông tin, và [chỉ định: danh sách của các trường thông tin] của thông tin cho áp dụng các chứng cứ.

8.2.6.3. FCO_NRR.1.3

TSF cần cung cấp khả năng thẩm tra chứng cứ nhận thông tin tới [lựa chọn: người gửi, người nhận, [chỉ định: danh sách của đối tác thứ ba]] dựa trên [chỉ định: các giới hạn trong chứng cứ của việc nhận].

8.2.7. FCO_NRR.2 Thực thi kiểm chứng bên nhận

Phân cấp từ: FCO_NRR.1 lựa chọn kiểm chứng bên nhận.

Các mối phụ thuộc: FIA_UID.1 Định thời cho định danh.

8.2.7.1. FCO_NRR.2.1

TSF cần thực thi việc tạo chứng cứ nhận thông tin cho [chỉ định: danh sách các kiểu thông tin] đã nhận tại mọi thời điểm.

8.2.7.2. FCO_NRR.2.2

TSF cần có khả năng kết nối các [chỉ định: danh sách các thuộc tính] của người nhận thông tin, và [chỉ định: danh sách của các trường thông tin] của thông tin cho áp dụng các chứng cứ.

8.2.7.3. FCO_NRR.2.3

TSF cần cung cấp khả năng thẩm tra chứng cứ nhận thông tin tới [lựa chọn: người gửi, người nhận, [chỉ định: danh sách của đối tác thứ ba]] dựa trên [chỉ định: các giới hạn trong chứng cứ của việc nhận].

9. Class FCS: Hỗ trợ mật mã

TSF có thể triển khai các chức năng mã hóa để giúp thỏa mãn một số mục tiêu an toàn mức cao. Chúng bao gồm (nhưng không giới hạn): định danh và xác thực, không thể từ chối, đường dẫn tin cậy, kênh tin cậy và phân tích dữ liệu. Lớp này được sử dụng khi TOE thực hiện các chức năng mã hóa, việc thực hiện này có thể dưới dạng phần cứng, phần sụn hoặc phần mềm.

FCS: Lớp hỗ trợ mật mã được tạo dưới hai họ: Quản lý khóa mật mã (FCS_CKM) và vận hành mật mã (FCS_COP). Hộ quản lý khóa mật mã (FCS_CKM) đề cập đến các khía cạnh quản lý của các khóa mật mã, trong khi họ vận hành mật mã (FCS_COP) lại quan tâm đến việc sử dụng vận hành của các khóa mã này.

Hình 9 - Phân cấp lớp FCS: Hỗ trợ mật mã

9.1. Quản lý khóa mật mã (FCS_CKM)

9.1.1. Hành xử của họ

Các khóa mật mã phải được quản lý trong suốt chu trình tồn tại chúng. Họ này dùng để hỗ trợ chu trình này và định nghĩa các yêu cầu đối với các hoạt động sau: Tạo khóa mật mã, phân bố khóa mật mã, truy nhập khóa mật mã và hủy bỏ khóa mật mã. Họ này nên được đưa vào mỗi khi có các yêu cầu chức năng quản lý mã khóa mật mã.

9.1.2. Phân mức thành phần

FCS_CKM.1 Tạo khóa mật mã, đòi hỏi khóa mật mã được tạo ra phù hợp với một thuật toán riêng với kích thước khóa có thể dựa trên một tiêu chuẩn được ấn định.

FCS_CKM.2 Phân phối khóa mật mã, đòi hỏi các khóa mật mã được phân phối phù hợp với một phương pháp phân phối riêng mà có thể dựa trên một tiêu chuẩn được ấn định.

FCS_CKM.3 Truy nhập khóa mật mã, đòi hỏi truy nhập đến các khóa mã phải được thực hiện phù hợp với một phương pháp truy nhập riêng mà có thể dựa trên tiêu chuẩn được ấn định.

FCS_CKM.4 Hủy bỏ khóa mật mã, đòi hỏi các khóa hóa bị hủy bỏ phù hợp với phương pháp hủy bỏ riêng mà có thể dựa trên tiêu chuẩn được ấn định.

9.1.3. Quản lý của FCS_CKM.1, FCS_CKM.2, FCS_CKM.3, FCS_CKM.4

Không có các hoạt động quản lý nào.

9.1.4. Kiểm toán của FCS_CKM.1, FCS_CKM.2, FCS_CKM.3, FCS_CKM.4

Các hành động sau có thể được kiểm toán, nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

a) Tối thiểu: thành công và lỗi của các hoạt động.

b) Cơ sở: Các thuộc tính của đối tượng, và giá trị của đối tượng ngoại trừ bất kỳ thông tin nhạy cảm nào (ví dụ khóa bí mật hoặc khóa riêng).

9.1.5. FCS_CKM.1 Tạo khóa mật mã

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc: [FCS_CKM.2 Phân phối khóa mật mã hoặc

FCS_COP.1 Hoạt động mật mã]

FCS_CKM.4 Hủy bỏ khóa mật mã

9.1.5.1. FCS_CKM.1.1

TSF cần tạo ra các khóa mật mã phù hợp với các thuật toán tạo khóa mật mã được chỉ ra [chỉ định: thuật toán tạo khóa mật mã] và chỉ ra kích thước khóa được mật mã [chỉ định: kích thước khóa mật mã] mà đáp ứng theo [chỉ định: danh sách các tiêu chuẩn].

9.1.6. FCS_CKM.2 Phân phối khóa mật mã

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc: [FDP_ITC.1 Nhập vào dữ liệu người dùng không có các thuộc tính an toàn, hoặc

FDP_ITC.2 Nhập dữ liệu người dùng có các thuộc tính an toàn, hoặc

FCS_CKM.1 Tạo khóa mật mã]

FCS_CKM.4 Hủy bỏ khóa mật mã

9.1.6.1. FCS_CKM.2.1  

TSF cần phân phối các khóa mật mã phù hợp với phương pháp phân phối khóa mật mã được chỉ ra [chỉ định: phương pháp phân phối khóa mật mã] mà đáp ứng theo [chỉ định: danh sách các tiêu chuẩn].

9.1.7. FCS_CKM.3 Truy nhập khóa mật mã

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc: [FDP_ITC.1 Nhập vào dữ liệu người dùng không có các thuộc tính an toàn, hoặc

FDP_ITC.2 Nhập vào dữ liệu người dùng có các thuộc tính an toàn, hoặc

FCS_CKM.1 Tạo khóa mật mã]

FCS_CKM.4 Hủy bỏ khóa mật mã

9.1.7.1. FCS_CKM.3.1

TSF cần thực hiện [chỉ định: kiểu truy nhập khóa mật mã] phù hợp với phương pháp truy nhập khóa mật mã được chỉ ra [chỉ định: phương pháp truy cập khóa mật mã] đáp ứng theo [chỉ định: danh sách các tiêu chuẩn].

9.1.8. FCS_CKM.4 Hủy bỏ khóa mật mã

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc: [FDP_ITC.1 Nhập vào dữ liệu người dùng không có các thuộc tính an toàn, hoặc

FDP_ITC.2 Nhập vào dữ liệu người dùng có các thuộc tính an toàn, hoặc

FCS_CKM.1 Tạo khóa mật mã]

9.1.8.1. FCS_CKM.4.1

TSF cần hủy bỏ các khóa mật mã phù hợp với phương pháp hủy khóa mật mã được chỉ ra [chỉ định: phương pháp hủy bỏ khóa mật mã] đáp ứng theo: [chỉ định: danh sách các tiêu chuẩn].

9.2. Hoạt động mật mã (FCS_COP)

9.2.1. Hành xử của họ

Theo yêu cầu cho hoạt động mật mã vận hành chính xác, hoạt động này cần phải được thực hiện phù hợp với một thuật toán được chỉ ra và với một khóa mật mã có kích thước được chỉ ra. Họ này chứa các yêu cầu cho các hoạt động mật mã được thực hiện.

Kiểu các hoạt động mật mã gồm mã hóa và giải mã dữ liệu, tạo chữ ký điện tử và thẩm tra, tạo kiểm tra chẵn lẻ mật mã để đảm bảo toàn vẹn và thẩm tra kiểm tra chẵn lẻ, băm an toàn (liệt kê thông điệp), mã hóa và giải mã khóa mật mã, thỏa thuận khóa mật mã.

9.2.2. Phân mức thành phần

FCS_COP.1 hoạt động mật mã, đòi hỏi một hoạt động mật mã được thực hiện phù hợp với một thuật toán được chỉ ra và với một khóa mật mã có kích thước được chỉ ra. Thuật toán được chỉ ra và các kích thước khóa mật mã có thể dựa trên một tiêu chuẩn được ấn định.

9.2.3. Quản lý của FCS_COP.1

Không có các hoạt động quản lý nào.

9.2.4. Kiểm toán của FCS_COP.1

Các hành động sau có thể được kiểm toán, nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

a) Tối thiểu: thành công và lỗi, và kiểu của các hoạt động mật mã

b) Cơ sở: Bất kỳ một chế độ mật mã được ứng dụng nào của hoạt động, các thuộc tính của chủ thể và các thuộc tính đối tượng.

9.2.5. FCS_COP.1 Hoạt động mật mã

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc: [FDP_ITC.1 Nhập vào dữ liệu người dùng không có các thuộc tính an toàn, hoặc

FDP_ITC.2 Nhập vào dữ liệu người dùng có các thuộc tính an toàn, hoặc

FCS_CKM.1 Tạo khóa mật mã]

FCS_CKM.4 Hủy bỏ khóa mật mã

9.2.5.1. FCS_COP.1.1

TSF cần thực hiện [chỉ định: danh sách các hoạt động mật mã] phù hợp với thuật toán mật mã được chỉ ra [chỉ định: thuật toán mật mã] và kích thước khóa mật mã [chỉ định: kích thước khóa mật mã] mà đáp ứng theo [chỉ định: danh sách các tiêu chuẩn].

10. Lớp FDP: Bảo vệ dữ liệu người dùng

Lớp này chứa các họ chỉ ra các yêu cầu cho các chức năng an toàn TOE và các chính sách chức năng an toàn TOE liên quan đến bảo vệ dữ liệu người dùng. FDP: bảo vệ dữ liệu người dùng được chia thành bốn nhóm thuộc của các họ (được liệt kê bên dưới) mà đề cập đến dữ liệu người dùng bên trong một TOE, trong thời gian nhập, xuất và lưu trữ cũng như các thuộc tính an toàn trực tiếp liên quan đến dữ liệu người dùng.

Các họ trong lớp này được tổ chức thành bốn nhóm sau:

a) Các chính sách chức năng an toàn bảo vệ dữ liệu người dùng:

• Chính sách kiểm soát truy nhập (FDP_ACC); và

• Chính sách kiểm soát luồng thông tin (FDP_IFC)

Các thành phần trong những họ này cho phép tác giả PP/ST đặt tên cho các chính sách chức năng an toàn bảo vệ dữ liệu người dùng và định nghĩa phạm vi kiểm soát của chính sách, sự cần thiết để đề cập đến các mục tiêu an toàn. Tên của các chính sách này có nghĩa được sử dụng liên tục phần còn lại của các thành phần chức năng mà có một hoạt động gọi phép ấn định hoặc lựa chọn "kiểm soát truy nhập SFP" hoặc "kiểm soát luồng thông tin SFPs". Các quy tắc định nghĩa chức năng kiểm soát truy nhập và kiểm soát luồng thông tin SFP sẽ được định nghĩa trong các họ (một cách lần lượt) các hàm kiểm soát truy nhập (FDP_ACF) và các hàm kiểm soát luồng thông tin (FDP_IF) (tương ứng).

b) Các dạng bảo vệ dữ liệu người dùng:

• Các chức năng kiểm soát truy nhập (FDP_ACF)

• Các chức năng kiểm soát luồng thông tin (FDP_IFF);

• Vận chuyển nội bộ TOE (FDP_ITT);

• Bảo vệ thông tin còn dư thừa (FDP_RIP);

• Khôi phục lại (FDP_ROL) và

• Toàn vẹn dữ liệu đã lưu trữ (FDP_SDI)

c) Lưu trữ ngoại tuyến, nhập và xuất

• Xác thực dữ liệu (FDP_DAU)

• Xuất dữ liệu ra khỏi TOE (FDP_ETC)

• Nhập dữ liệu từ ngoài TOE (FDP_ITC)

Các thành phần trong các họ này đề cập chuyển đổi các giá trị đáng tin cậy vào trong hoặc ra ngoài của TOE.

d) Truyền thông Liên-TSF

• Bảo vệ truyền bí mật dữ liệu người dùng liên-TSF (FDP_UCT); và

• Bảo vệ truyền toàn vẹn dữ liệu người dùng liên-TSF (FDP_UIT)

Các thành phần trong các họ này đề cập đến sự truyền thông giữa TSF của TOE và các sản phẩm IT được tin cậy khác.

Hình 10 - Phân cấp lớp FDP: Bảo vệ dữ liệu người dùng

10.1. Chính sách kiểm soát truy nhập (FDP_ACC)

10.1.1. Hành xử của họ

Họ này xác định các SFP kiểm soát truy nhập (Theo tên) và định nghĩa phạm vi kiểm soát của các chính sách mà định dạng việc xác định phần kiểm soát truy nhập của TSP. Phạm vi kiểm soát này được mô tả bởi 3 tập: Các chủ thể dưới kiểm soát của chính sách, các đối tượng dưới kiểm soát của chính sách và các hoạt động giữa các chủ thể được kiểm soát và đối tượng được kiểm soát mà được bao trùm bởi chính sách. Tiêu chí này cho phép tồn tại nhiều chính sách, mỗi cái có một tên duy nhất.

Điều này đạt được bởi các thành phần khởi tạo từ họ này một lần cho mỗi chính sách kiểm soát truy nhập được đặt tên. Quy tắc này định nghĩa chức năng của kiểm soát truy nhập SFP mà sẽ được định nghĩa bởi các họ khác như các chức năng kiểm soát truy nhập (FDP_ACF) và toàn vẹn dữ liệu lưu trữ (FDP_SDI). Các tên của các kiểm soát truy nhập, được xác định ở đây trong chính sách kiểm soát truy nhập (FDP_ACC) có nghĩa là được sử dụng liên tục phần còn lại của các thành phần chức năng mà có một hoạt động gọi phép ấn định hoặc phép chọn của "kiểm soát truy nhập SFP".

10.1.2. Phân mức thành phần

FDP_ACC.1 kiểm soát truy nhập tập con, đòi hỏi mỗi cái chỉ ra kiểm soát truy nhập SFP được đặt trong một tập con của các hoạt động có thể trong một tập con của các đối tượng trong TOE.

FDP_ACC.2 Kiểm soát truy nhập toàn bộ, đòi hỏi mỗi cái chỉ ra kiểm soát truy nhập SFP bao trùm tất cả các hoạt động của chủ thể và đối tượng được bao trùm bởi SFP. Nếu các yêu cầu thêm mà tất cả các đối tượng và hoạt động với TSC được bao trùm bởi ít nhất một kiểm soát truy nhập SFP được chỉ ra.

10.1.3. Quản lý của FDP_ACC.1, FDP_ACC.2

Không có các hoạt động quản lý nào.

10.1.4. Kiểm toán của FDP_ACC.1, FDP_ACC.2

Không có sự kiện có thể kiểm toán nào.

10.1.5. FDP_ACC.1 Kiểm soát truy nhập tập con

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc: FDP_ACF.1 Kiểm soát truy nhập dựa trên các thuộc tính an toàn.

10.1.5.1. FDP_ACC.1.1

TSF cần thực thi [chỉ định: Kiểm soát truy nhập SFP] trong [chỉ định: danh sách các chủ đề, đối tượng và các hoạt động giữa các chủ thể và đối tượng bao trùm bởi SFP].

10.1.6. FDP_ACC.2 Kiểm soát truy nhập toàn bộ

Phân cấp từ: FDP_ACC.1 Kiểm soát truy nhập tập con.

Các mối phụ thuộc: FDP_ACF.1 Kiểm soát truy nhập dựa trên các thuộc tính an toàn.

10.1.6.1. FDP_ACC.2.1

TSF cần thực thi [chỉ định: Kiểm soát truy nhập SFP] trong [chỉ định: danh sách các chủ thể, đối tượng, và tất cả các hoạt động giữa các chủ thể và đối tượng bao trùm bởi SFP].

10.1.6.2. FDP_ACC.2.2

TSF cần đảm bảo rằng tất cả các hoạt động giữa bất kỳ chủ thể nào trong TSC và bất kỳ đối tượng nào bên trong TSC được bao trùm bởi một kiểm soát truy nhập SFP.

10.2. Các chức năng kiểm soát truy nhập (FDP_ACF)

10.2.1. Hành xử của họ

Họ này mô tả các quy tắc cho các chức năng riêng mà có thể thực hiện chính sách kiểm soát truy nhập được đặt tên là chính sách kiểm soát truy nhập (FDP_ACC). Chính sách kiểm soát truy nhập (FDP_ACC) chỉ ra phạm vi kiểm soát của chính sách.

10.2.2. Phân mức thành phần

Họ này đề cập đến các thuộc tính an toàn thông thường và đặc điểm của các chính sách. Thành phần trong họ này có nghĩa là cần được sử dụng để mô tả các quy tắc cho chức năng mà thực hiện SFP như được chỉ ra trong chính sách kiểm soát truy nhập (FDP_ACC). Tác giả PP/ST có thể lặp lại thành phần này để đề cập đến nhiều chính sách trong TOE.

FDP_ACF.1 Thuộc tính an toàn dựa trên kiểm soát truy nhập, thuộc tính an toàn dựa trên kiểm soát truy nhập cho phép TSF thực thi truy nhập dựa trên các thuộc tính an toàn và nhóm các thuộc tính được đặt tên. Thêm vào đó, TSF có thể có khả năng cấp phép hoặc từ chối truy nhập với đối tượng dựa trên các thuộc tính an toàn.

10.2.3. Quản lý của FDP_ACF.1

Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:

a) Quản lý các thuộc tính sử dụng để đưa ra quyết định cho phép hoặc từ chối truy nhập.

10.2.4. Kiểm soát của FDP_ACF.1

Các hành động sau đây có thể được kiểm toán, nếu FAU_GEN Tạo dữ liệu kiểm tra được đặt trong PP/ST:

a) Tối thiểu: Các yêu cầu thực hiện thành công trong vận hành một đối tượng được bao bọc bởi SFP.

b) Cơ sở: Tất cả các yêu cầu thực hiện vận hành một đối tượng được bao bọc bởi SFP.

c) Chi tiết: các thuộc tính an toàn đặc biệt được sử dụng trong thực hiện kiểm tra truy nhập.

10.2.5. FDP_ACF.1 Kiểm soát truy nhập dựa trên thuộc tính an toàn

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc:       FDP_ACC.1 Kiểm soát truy nhập tập con

                                    FDP_MSA.3 Khởi tạo thuộc tính tĩnh.

10.2.5.1. FDP_ACF.1.1

TSF cần thực thi [chỉ định: Kiểm soát truy nhập SFP] đến các đối tượng dựa trên [chỉ định: Danh sách các chủ thể và đối tượng được kiểm soát dưới SFP đã chỉ định, và với danh sách, các thuộc tính an toàn tương ứng SFP, hoặc các nhóm đã gắn tên của các thuộc tính an toàn tương ứng SFP].

10.2.5.2. FDP_ACF.1.2

TSF cần thực thi các quy tắc sau để quyết định nếu một hoạt động giữa các chủ thể được kiểm soát và các đối tượng được kiểm soát cho phép: [chỉ định: các quy tắc quản lý truy nhập giữa các chủ thể được kiểm soát và các đối tượng được kiểm soát sử dụng các hoạt động có kiểm soát với các đối tượng được kiểm soát]

10.2.5.3. FDP_ACF.1.3

TSF cần cấp phép truy nhập rõ ràng cho các chủ thể đến các đối tượng dựa trên các quy tắc sau: [chỉ định: các quy tắc, dựa trên các thuộc tính an toàn, để cấp phép truy nhập rõ ràng cho các chủ thể đến các đối tượng].

10.2.5.4. FDP_ACF.1.4

TSF cần từ chối rõ ràng truy nhập của các chủ thể đến các đối tượng dựa trên [chỉ định: các quy tắc, dựa trên các thuộc tính an toàn, để từ chối rõ ràng truy nhập của các chủ thể đến các đối tượng].

10.3. Xác thực dữ liệu (FDP_DAU)

10.3.1. Hành xử của họ

Xác thực dữ liệu cho phép một thực thể chấp nhận trách nhiệm xác thực thông tin (ví dụ, các chữ ký số). Họ này cung cấp một phương pháp quy định sự đảm bảo tính hợp lệ của một đơn vị đặc biệt của dữ liệu mà có thể được sử dụng để thẩm tra nội dung thông tin giả mạo hoặc thay đổi lừa dối. Trái lại với FAU: Kiểm tra an toàn, họ này được dự định cung cấp các dữ liệu tĩnh hơn là các dữ liệu mà đang được truyền đi.

10.3.2. Phân mức thành phần

FDP_DAU.1 Xác thực dữ liệu cơ sở, đòi hỏi TSF có khả năng tạo một sự đảm bảo của xác thực với các nội dung thông tin của các đối tượng (ví dụ tài liệu).

FDP_DAU.2 Xác thực dữ liệu với chỉ ra người đảm bảo thêm vào các yêu cầu mà TSF có khả năng thiết lập định danh của đối tượng mà cung cấp đảm bảo xác thực.

10.3.3. Quản lý của FDP_DAU.1, FDP_DAU.2

Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:

a) Chỉ định hoặc thay đổi đối tượng, để có thể được cấu hình được xác thực dữ liệu đã áp dụng.

10.3.4. Kiểm toán của FDP_DAU.1

Các hành động sau đây có thể được kiểm toán, nếu FAU_GEN Tạo dữ liệu kiểm toán được đặt trong PP/ST:

a) Tối thiểu: Tạo thành công các chứng cứ có giá trị.

b) Cơ sở: Tạo không thành công các chứng cứ có giá trị.

c) Chi tiết: Định danh của chủ thể mà yêu cầu chứng cứ.

10.3.5. Kiểm toán của FDP_DAU.2

Các hành động sau đây có thể được kiểm toán, nếu FAU_GEN Tạo dữ liệu kiểm toán được đặt trong PP/ST:

a) Tối thiểu: Tạo thành công các chứng cứ có giá trị.

b) Cơ sở: Tạo không thành công các chứng cứ có giá trị.

c) Chi tiết: Định danh của chủ thể mà yêu cầu chứng cứ.

d) Chi tiết: Định danh của chủ thể tạo ra chứng cứ.

10.3.6. FDP_DAU.1 Xác thực dữ liệu cơ sở

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc: Không có phụ thuộc nào.

10.3.6.1. FDP_DAU.1.1

TSF cần cung cấp khả năng tạo chứng cứ mà có thể được sử dụng như sự đảm bảo của xác định tính hợp lệ của [chỉ định: danh sách của các đối tượng hoặc các kiểu thông tin].

10.3.6.2. FDP_DAU.1.2

TSF cần cung cấp [chỉ định: danh sách của các chủ thể] với khả năng thẩm tra chứng cứ có tính hợp lệ của các thông tin đã xác định.

10.3.7. FDP_DAU.2 Xác thực dữ liệu với định danh người đảm bảo

Phân cấp từ: FDP_DAU.1 Xác thực dữ liệu cơ sở.

Các mối phụ thuộc: FIA_UID.1 Định thời cho định danh.

10.3.7.1. FDP_DAU.2.1

TSF cần cung cấp khả năng tạo chứng cứ mà có thể được sử dụng như sự đảm bảo của xác định tính hợp lệ của [chỉ định: danh sách của các đối tượng hoặc các kiểu thông tin].

10.3.7.2. FDP_DAU.2.2

TSF cần cung cấp [chỉ định: danh sách của các chủ thể] với khả năng thẩm tra chứng cứ có tính hợp lệ của các thông tin đã xác định và định danh của người dùng đã tạo ra chứng cứ.

10.4. Xuất dữ liệu từ TOE (FDP_ETC)

10.4.1. Hành xử của họ

Họ này định nghĩa các chức năng để xuất dữ liệu người dùng ra ngoài TOE như các thuộc tính an toàn của nó và sự bảo vệ không chỉ được bảo toàn mà còn được bỏ qua khi nó được xuất ra. Nó được quan tâm với các giới hạn trong xuất và với sự phối hợp của các thuộc tính an toàn với dữ liệu người dùng được xuất ra.

10.4.2. Phân mức thành phần

FDP_ETC.1 xuất dữ liệu người dùng không có các thuộc tính an toàn, đòi hỏi TSF thực thi các SFP phù hợp khi xuất ra ngoài dữ liệu người dùng TSF. Dữ liệu người dùng, được xuất bởi chức năng này được xuất ra mà không có các thuộc tính an toàn kết hợp với nó.

FDP_ETC.2 Xuất dữ liệu người dùng với các thuộc tính an toàn, đòi hỏi TSF thực thi các SFP phù hợp sử dụng một chức năng chính xác và đơn nghĩa kết hợp với các thuộc tính an toàn với dữ liệu người dùng được xuất ra.

10.4.3. Quản lý của FDP_ETC.1

Không có các hoạt động quản lý nào.

10.4.4. Quản lý của FDP_ETC.2

Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:

a) Các quy tắc kiểm soát xuất bổ sung có thể được cấu hình bởi người dùng trong một vai trò định nghĩa trước.

10.4.5. Kiểm toán của FDP_ETC.1, FDP_ETC.2

Các hành động sau đây có thể được kiểm toán, nếu FAU_GEN Tạo dữ liệu kiểm toán được đặt trong PP/ST

a) Tối thiểu: Xuất thành công thông tin.

b) Cơ sở: Tất cả các nỗ lực để xuất thông tin.

10.4.6. FDP_ETC.1 Xuất dữ liệu người dùng không có các thuộc tính an toàn

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc:       [FDP_ACC.1 Kiểm soát truy nhập tập con, hoặc

                                    FDP_ETC.1 Kiểm soát luồng thông tin tập con].

10.4.6.1. FDP_ETC.1.1

TSF cần thực thi [chỉ định: kiểm soát truy nhập SFP và/hoặc kiểm soát luồng thông tin SFP] khi xuất dữ liệu người dùng, được kiểm soát dưới SFP, bên ngoài của TOE.

10.4.6.2. FDP_ETC.1.2

TSF cần xuất dữ liệu người dùng không có các thuộc tính an toàn kết hợp với dữ liệu người dùng.

10.4.7. FDP_ETC.2 Xuất dữ liệu người dùng với các thuộc tính an toàn

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc:       [FDP_ACC.1 Kiểm soát truy nhập tập con, hoặc

                                    FDP_IFC.1 Kiểm soát luồng thông tin tập con]

10.4.7.1. FDP_ETC.2.1

TSF cần thực thi [chỉ định: kiểm soát truy nhập SFP và/hoặc kiểm soát luồng thông tin SFP] khi xuất dữ liệu người dùng, được kiểm soát dưới SFP, bên ngoài của TOE.

10.4.7.2. FDP_ETC.2.2

TSF cần xuất dữ liệu người dùng với các thuộc tính an toàn kết hợp với dữ liệu người dùng.

10.4.7.3. FDP_ETC.2.3

TSF cần đảm bảo rằng các thuộc tính an toàn, khi xuất ra ngoài TOE là duy nhất được kết hợp với dữ liệu người dùng được xuất ra.

10.4.7.4. FDP_ETC.2.4

TSF thực thi các quy tắc sau khi dữ liệu người dùng được xuất ra từ TOE: [chỉ định: các quy tắc kiểm soát dữ liệu xuất ra bổ sung].

10.5. Chính sách kiểm soát luồng thông tin (FDP_IFC)

10.5.1. Hành xử của họ

Họ này chỉ ra kiểm soát luồng thông tin SFPs (theo tên) và định nghĩa phạm vi kiểm soát của mỗi chính sách kiểm soát luồng thông tin SFP. Phạm vi kiểm soát được biểu diễn với ba tập: Các chủ thể chịu sự kiểm soát của chính sách, thông tin dưới sự kiểm soát của chính sách và các hoạt động gây ra chuyển luồng thông tin có kiểm soát ra và vào chủ thể kiểm soát bao trùm bởi chính sách. Các tiêu chí cho phép nhiều chính sách tồn tại, mỗi cái có một tên duy nhất. Điều này thực hiện bằng việc lặp lại các thành phần từ họ này với mỗi chính sách kiểm soát luồng thông tin đã đặt tên. Các quy tắc định nghĩa các chức năng của kiểm soát luồng thông tin SFP sẽ được định nghĩa bởi các họ khác như các chức năng kiểm soát luồng thông tin (FDP_IFF) và Xuất dữ liệu ra ngoài TOE (FDP_ETC). Tên của kiểm soát luồng thông tin SFP xác định chính sách kiểm soát luồng thông tin (FDP_IFC) có nghĩa là được sử dụng liên tục phần còn lại của các thành phần chức năng mà có một hoạt động gọi phép ấn định hoặc phép chọn của "kiểm soát luồng thông tin SFP".

Cơ chế TSF kiểm soát luồng tin phù hợp với chính sách kiểm soát luồng thông tin SFP. Các hoạt động mà có thể thay đổi các thuộc tính an toàn của thông tin là không được phép nói chung, do điều đó sẽ phá hoại việc kiểm soát luồng thông tin SFP. Mặc dù các hoạt động như thế sẽ được giới hạn như các trường hợp ngoại lệ để kiểm soát luồng thông tin nếu được chỉ ra rõ ràng.

10.5.2. Phân mức thành phần

FDP_IFC.1 Kiểm soát luồng thông tin tập con, đòi hỏi mỗi kiểm soát luồng thông tin được chỉ ra SFP được đặt tại vị trí cho tập con của các hoạt động có thể trong tập con của các luồng thông tin trong TOE.

FDP_IFC.2 Kiểm soát luồng thông tin đầy đủ, đòi hỏi mỗi kiểm soát luồng thông tin được xác định SFP bao trùm tất cả các hoạt động trên các chủ thể và thông tin được bao trùm bởi SFP. Nếu các yêu cầu thêm với tất cả thông tin chuyển tới và hoạt động với TSC được bao trùm ít nhất bởi một kiểm soát luồng thông tin được xác định SFP. Trong sự kết nối với thành phần FPT_RVM.1, điều này mang lại khía cạnh "luôn viện dẫn" của giám sát tham chiếu.

10.5.3. Quản lý của FDP_IFC.1, FDP_IFC.2

Không có các hoạt động quản lý nào.

10.5.4. Kiểm tra của FDP_IFC.1, FDP_IFC.2

Không có các hoạt động quản lý nào.

10.5.5. FDP_IFC.1 Kiểm soát luồng thông tin tập con

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc: FDP_IFF.1.1 Các thuộc tính đơn giản

10.5.5.1. FDP_IFC.1.1

TSF cần thực thi [chỉ định: kiểm soát luồng thông tin SFP] trong [chỉ định: danh sách của các chủ thể, thông tin và các hoạt động mà là nguyên nhân thông tin được kiểm soát chuyển tới và từ các chủ thể được kiểm soát bao trùm bởi SFP]

10.5.6. FDP_IFC Kiểm soát luồng thông tin đầy đủ

Phân cấp từ: FDP_IFC.1 Kiểm soát luồng thông tin tập con

Các mối phụ thuộc: FDP_IFF Các thuộc tính an toàn đơn giản.

10.5.6.1. FDP_IFC.2.1

TSF cần thực thi [chỉ định: kiểm soát luồng thông tin SFP] trong [chỉ định: danh sách của các chủ thể và thông tin] và tất cả các hoạt động mà là nguyên nhân thông tin chuyển tới và từ các chủ thể được bao trùm bởi SFP].

10.5.6.2. FDP_IFC.2.2

TSF cần đảm bảo rằng tất cả các hoạt động mà là nguyên nhân bất kỳ thông tin trong TSC được chuyển tới và từ chủ thể trong TSC được bao trùm bởi kiểm soát luồng thông tin SFP.

10.6. Các chức năng kiểm soát luồng thông tin (FDP_IFF)

10.6.1. Hành xử của họ

Họ này mô tả các quy tắc cho các chức năng riêng mà thực hiện kiểm soát luồng thông tin SFP được đặt tên trong chính sách kiểm soát luồng thông tin (FDP_IFC), mà cũng chỉ ra phạm vi kiểm soát của chính sách. Nó bao gồm hai kiểu yêu cầu: kiểu thứ nhất đề cập đến chức năng kiểm soát luồng thông tin và kiểu thứ hai đề cập các luồng thông tin không được phép (ví dụ các kênh che đậy). Sự phân chia này tăng lên bởi vì các vấn đề liên quan đến các luồng thông tin không được phép, trong một số trường hợp nhạy cảm, nó trực giao với phần còn lại của kiểm soát luồng thông tin SFP. Theo tính tự nhiên của chúng phá vỡ kiểm soát luồng thông tin dẫn đến phá hoại chính sách. Do đó, chúng đòi hỏi các chức năng đặc biệt trong cả việc giới hạn và ngăn chặn sự xuất hiện của chúng.

10.6.2. Phân mức thành phần

FDP_IFF.1 Các thuộc tính an toàn đơn giản, đòi hỏi các thuộc tính an toàn trên thông tin, và trong các chủ thể là nguyên nhân thông tin chuyển tới và trong các chủ thể mà hành động như là bên nhận thông tin đó. Nó chỉ ra các quy tắc này cần được thực thi bởi chức năng và mô tả các thuộc tính an toàn được lấy từ chức năng như thế nào.

FDP_IFF.2 Các thuộc tính an toàn phân cấp mở rộng các yêu cầu của FDP_IFF.1 Các thuộc tính an toàn đơn giản, bằng cách đòi hỏi tất cả SFP kiểm soát luồng thông tin trong tập các SFP sử dụng các thuộc tính an toàn phân cấp tạo thành một lưới mắt cáo (như định nghĩa trong toán học). FDP_IFF.2.6 được dẫn xuất từ các đặc tính của lưới mắt cáo về mặt toán học. Một lưới mắt cáo bao gồm một tập các phần tử với một mối quan hệ đặt hàng với thuộc tính đã định nghĩa ở dòng đầu tiên; một giới hạn dưới lớn nhất mà tại đó phần tử duy nhất trong tập lớn hơn hay bằng (trong mối quan hệ đặt hàng) với mọi phần tử khác của lưới mắt cáo; và một giới hạn trên bé nhất mà tại đó phần tử duy nhất trong tập nhỏ hơn hoặc bằng với mọi phần tử khác của lưới mắt cáo.

FDP_IFF.3 Giới hạn các luồng thông tin bất hợp pháp, đòi hỏi SFP bao trùm các luồng thông tin bất hợp pháp, song không cần thiết phải loại trừ chúng.

FDP_IFF.4 Loại trừ từng phần các luồng thông tin bất hợp pháp, đòi hỏi SFP bao trùm một số (nhưng không cần thiết là tất cả) các luồng thông tin bất hợp pháp.

FDP_IFF.5 Không chứa các luồng thông tin bất hợp pháp, đòi hỏi SFP bao trùm phần loại trừ của tất cả các luồng thông tin bất hợp pháp.

FDP_IFF.6 Giám sát các luồng thông tin bất hợp pháp, đòi hỏi SFP giám sát các luồng thông tin bất hợp pháp về khả năng tối đa và danh nghĩa.

10.6.3. Quản lý của FDP_IFF.1, FDP_IFF.2

Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:

a) Quản lý các thuộc tính sử dụng để thực hiện các quyết định dựa trên truy nhập.

10.6.4. Quản lý của FDP_IFF.3, FDP_IFF.4, FDP_IFF.5

Không có các hoạt động quản lý nào.

10.6.5. Quản lý của FDP_IFF.6

Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:

a) Bật hoặc tắt chức năng giám sát

b) Thay đổi khả năng tối đa khi có sự giảm sát xuất hiện.

10.6.6. Kiểm toán của FDP_IFF.1, FDP_IFF.2, FDP_IFF.5

Các hành động sau đây có thể được kiểm toán, nếu FAU_GEN Tạo dữ liệu kiểm toán được đặt trong PP/ST:

a) Tối thiểu: Các quyết định cho phép các luồng thông tin được yêu cầu

b) Cơ sở: Tất cả các quyết định dựa trên các đòi hỏi về luồng thông tin.

c) Chi tiết: Các thuộc tính an toàn đặc biệt sử dụng để ra quyết định về thực thi luồng thông tin.

d) Chi tiết: Một vài tập con đặc biệt của thông tin được đưa đến dựa trên các đích chính sách (ví dụ Kiểm tra về vật liệu đánh giá thấp)

10.6.7. Kiểm toán của FDP_IFF.3, FDP_IFF.4, FDP_IFF.6

Các hành động sau đây có thể được kiểm toán, nếu FAU_GEN Tạo dữ liệu kiểm toán được đặt trong PP/ST:

a) Tối thiểu: Các quyết định cho phép các luồng thông tin được yêu cầu

b) Cơ sở: Tất cả các quyết định dựa trên các đòi hỏi về luồng thông tin

c) Cơ sở: Sử dụng các kênh luồng thông tin không hợp pháp được xác định

d) Chi tiết: Các thuộc tính an toàn đặc biệt sử dụng để ra quyết định về thực thi luồng thông tin.

e) Chi tiết: Một vài tập con đặc biệt của thông tin được đưa đến dựa trên các đích chính sách (ví dụ Kiểm tra về vật liệu đánh giá thấp).

f) Chi tiết: Sử dụng các kênh luồng thông tin không hợp pháp được xác định với khả năng loại trừ tối đa vượt quá một giá trị danh nghĩa.

10.6.8. FDP_IFF.1 Các thuộc tính an toàn đơn giản

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc:       FDP_IFC.1 Kiểm soát luồng thông tin tập con

                                    FMT_MSA.3 Khởi tạo thuộc tính tĩnh

10.6.8.1. FDP_IFF.1.1

TSF cần thực thi [chỉ định: Kiểm soát luồng thông tin SFP] dựa trên các kiểu chủ thể và các thuộc tính an toàn thông tin sau: [chỉ định: danh sách các chủ thể và thông tin được kiểm soát dưới SFP được chỉ ra và với mỗi cái có các thuộc tính an toàn].

10.6.8.2. FDP_IFF.1.2

TSF cần cho phép thông tin đến từ giữa các chủ thể được kiểm soát và thông tin được kiểm soát qua hoạt động kiểm soát nếu các quy tắc sau được thực hiện: [chỉ định: với mỗi hoạt động, mối quan hệ dựa trên các thuộc tính an toàn cần phải áp dụng giữa chủ thể và các thuộc tính an toàn thông tin].

10.6.8.3. FDP_IFF.1.3

TSF cần thực thi [chỉ định: các quy tắc kiểm soát luồng thông tin SFP bổ sung]

10.6.8.4. FDP_IFF.1.4

TSF cần cấp phép rõ ràng một luồng thông tin dựa trên những quy tắc sau đây: [chỉ định: các quy tắc, dựa theo các thuộc tính an toàn, cấp phép rõ ràng cho các luồng thông tin].

10.6.8.5. FDP_IFF.1.5

TSF cần cấp phép rõ ràng một luồng thông tin dựa trên những quy tắc sau đây: [chỉ định: các quy tắc, dựa theo các thuộc tính an toàn, từ chối rõ ràng các luồng thông tin].

10.6.9. FDP_IFF.2 Các thuộc tính an toàn phân cấp

Phân cấp: FDP_IFF.1 Các thuộc tính an toàn đơn giản.

Các mối phụ thuộc:       FDP_IFC.1 Kiểm soát luồng thông tin tập con

                                    FMT_MSA.3 Khởi tạo thuộc tính tĩnh

10.6.9.1. FDP_IFF.2.1

TSF cần thực thi [chỉ định: kiểm soát luồng thông tin SFP] dựa trên các kiểu chủ thể và các thuộc tính an toàn thông tin sau: [chỉ định: danh sách các chủ thể và thông tin được kiểm soát dưới SFP được chỉ ra và với mỗi cái có các thuộc tính an toàn].

10.6.9.2. FDP_IFF.2.2

TSF cần cho phép thông tin đến từ giữa các chủ thể được kiểm soát và thông tin được kiểm soát qua hoạt động kiểm soát nếu các quy tắc sau, dựa theo mối quan hệ đặt hàng giữa các thuộc tính an toàn, được thực hiện: [chỉ định: với mỗi hoạt động, mối quan hệ dựa trên các thuộc tính an toàn cần phải áp dụng giữa chủ thể và các thuộc tính an toàn thông tin].

10.6.9.3. FDP_IFF.2.3

TSF cần thực thi [chỉ định: các quy tắc kiểm soát luồng thông tin SFP bổ sung]

10.6.9.4. FDP_IFF.2.4

TSF cần cấp phép rõ ràng một luồng thông tin dựa trên những quy tắc sau đây: [chỉ định: các quy tắc, dựa theo các thuộc tính an toàn, cấp phép rõ ràng cho các luồng thông tin].

10.6.9.5. FDP_IFF.2.5

TSF cần từ chối rõ ràng một luồng thông tin dựa trên những quy tắc sau đây: [chỉ định: các quy tắc dựa theo các thuộc tính an toàn, từ chối rõ ràng các luồng thông tin].

10.6.9.6. FDP_IFF.2.6

a) Tồn tại một chức năng yêu cầu sao cho với hai thuộc tính an toàn hợp lệ, thì chức năng này sẽ quyết định các thuộc tính an toàn giống nhau, hoặc một thuộc tính an toàn lớn hơn cái còn lại, hoặc các thuộc tính an toàn không thể so sánh được.

b) Tồn tại "biên trên nhỏ nhất" trong tập các thuộc tính an toàn, sao cho, với bất kỳ hai thuộc tính an toàn hợp lệ nào, sẽ có một thuộc tính an toàn hợp lệ lớn hơn hoặc bằng hai thuộc tính an toàn hợp lệ kia, và

c) Tồn tại một "biên dưới lớn nhất" trong tập các thuộc tính an toàn, sao cho, với bất kỳ hai thuộc tính an toàn hợp lệ nào, sẽ có một thuộc tính an toàn hợp lệ không lớn hơn hai thuộc tính an toàn hợp lệ kia.

10.6.10. FDP_IFF.3 Giới hạn các luồng thông tin bất hợp pháp

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc: FDP_IFC.1 Kiểm soát luồng thông tin tập con

10.6.10.1. FDP_IFF.3.1

TSF cần thực thi [chỉ định: kiểm soát luồng thông tin SFP] để giới hạn khả năng của [chỉ định: các kiểu luồng thông tin bất hợp pháp] đến một [chỉ định: khả năng tối đa].

10.6.11. FDP_IFF.4 Loại trừ từng phần các luồng thông tin bất hợp pháp

Phân cấp từ: FDP_IFF.2 Giới hạn các luồng thông tin bất hợp pháp.

Các mối phụ thuộc: FDP_IFF.1 Kiểm soát luồng thông tin tập con.

10.6.11.1. FDP_IFF.4.1

TSF cần thực thi [chỉ định: Kiểm soát luồng thông tin SFP] để giới hạn khả năng của [chỉ định: các kiểu luồng thông tin bất hợp pháp] đến một [chỉ định: khả năng tối đa].

10.6.11.2. FDP_IFF.4.2

TSF cần ngăn chặn [chỉ định: các kiểu luồng thông tin bất hợp pháp]

10.6.12. FDP_IFF.5 Không có các luồng thông tin bất hợp pháp

Phân cấp từ: FDP_IFF.4 Loại trừ từng phần các luồng thông tin bất hợp pháp.

Các mối phụ thuộc: FDP_IFC.1 Kiểm soát luồng thông tin tập con.

10.6.12.1. FDP_IFF.5.1

TSF cần đảm bảo rằng không có luồng thông tin bất hợp pháp tồn tại để phá hỏng [chỉ định: tên của kiểm soát luồng thông tin SFP]

10.6.13. FDP_IFF.6

TSF cần thực thi [chỉ định: Kiểm soát luồng thông tin SFP] để giám sát [chỉ định: các kiểu luồng thông tin không hợp pháp] khi nó vượt quá [chỉ định: khả năng tối đa]

10.7. Nhập dữ liệu từ bên ngoài TOE (FDP_TOE)

10.7.1. Hành xử của họ

Họ này định nghĩa các cơ chế để đưa dữ liệu người dùng vào trong TOE như vậy nó có các thuộc tính an toàn tương ứng và được bảo vệ phù hợp. Nó được quan tâm với các giới hạn trong nhập, quyết định các thuộc tính an toàn mong muốn và trình bày các thuộc tính an toàn kết hợp với dữ liệu người dùng.

10.7.2. Phân mức thành phần

FDP_ITC.1 Nhập dữ liệu người dùng không có các thuộc tính an toàn, đòi hỏi các thuộc tính an toàn biểu diễn chính xác dữ liệu người dùng và được hỗ trợ phân tách từ đối tượng này.

FDP_ITC.2 Nhập dữ liệu người dùng với các thuộc tính an toàn, đòi hỏi các thuộc tính an toàn biểu diễn chính xác dữ liệu người dùng và kết hợp chính xác và rõ ràng với dữ liệu người dùng từ bên ngoài TSC.

10.7.3. Quản lý của FDP_ITC.1, FDP_ITC.2

Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:

a) Thay đổi các quy tắc kiểm soát bổ sung sử dụng cho nhập dữ liệu.

10.7.4. Kiểm toán của FDP_ITC.1, FDP_ITC.2

Các hành động sau đây có thể được kiểm toán, nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn chứa trong PP/ST:

a) Tối thiểu: nhập vào thành công dữ liệu người dùng, bao gồm bất kỳ các thuộc tính an toàn nào

b) Cơ sở: Tất cả các nỗ lực để nhập vào dữ liệu người dùng, bao gồm bất kỳ các thuộc tính an toàn nào.

c) Chi tiết: Các đặc tả của các thuộc tính an toàn cho dữ liệu an toàn được nhập vào được quy định bởi người dùng có ủy quyền.

10.7.5. FDP_ITC.1 Nhập dữ liệu người dùng không có các thuộc tính an toàn

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc:       [FDP_ACC.1 Kiểm soát truy cập tập con, hoặc

                                    FDP_IFC.1 Kiểm soát luồng thông tin tập con

                                    FMT_MSA.3 Khởi tạo các thuộc tính tĩnh

10.7.5.1. FDP_ITC.1.1

TSF cần thực thi [chỉ định: kiểm soát truy nhập SFP và/hoặc kiểm soát luồng thông tin SFP] khi nhập dữ liệu người dùng, kiểm soát dưới SFP, từ bên ngoài TOE.

10.7.5.2. FDP_ITC.1.2

TSF cần bỏ qua bất kỳ các thuộc tính an toàn nào kết hợp với dữ liệu người dùng khi nhập dữ liệu người dùng từ bên ngoài TOE.

10.7.5.3. FDP_ITC.1.3

TSF cần thực thi các quy tắc sau đây khi nhập dữ liệu người dùng được kiểm soát dưới SFP từ bên ngoài của TSC: [chỉ định: các quy tắc kiểm soát bổ sung]

10.7.6. FDP_ITC.2 Nhập dữ liệu người dùng với các thuộc tính an toàn

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc:       [FDP_ACC.1 Kiểm soát truy nhập tập con, hoặc

                                    FDP_IFC.1 Kiểm soát luồng thông tin tập con]

                                    [FTP_ITC.1 Kênh tin cậy liên-TSF, hoặc

                                    FTP_TRP.1 đường dẫn tin cậy]

                                    FPT_TDC.1 Nhất quán dữ liệu TSF cơ bản liên-TSF

10.7.6.1. FDP_ITC.2.1

TSF cần thực thi [chỉ định: kiểm soát truy nhập SFP và/hoặc kiểm soát luồng thông tin SFP] khi nhập dữ liệu người dùng, được kiểm soát dưới SFP, từ bên ngoài của TOE.

10.7.6.2. FDP_ITC.2.2

TSF cần sử dụng các thuộc tính an toàn kết hợp với dữ liệu người dùng được nhập vào.

10.7.6.3. FDP_ITC.2.3

TSF cần đảm bảo rằng giao thức sử dụng để cung cấp với sự kết hợp rõ ràng giữa các thuộc tính an toàn và dữ liệu người dùng nhận được.

10.7.6.4. FDP_ITC.2.4

TSF cần đảm bảo rằng việc biểu diễn các thuộc tính an toàn của dữ liệu người dùng được nhập vào như là nguồn dữ liệu người dùng dự định.

10.7.6.5. FDP_ITC.2.5

TSF cần thực thi các quy tắc sau đây khi nhập dữ liệu người dùng được kiểm soát dưới SFP từ bên ngoài TSC: [chỉ định: các quy tắc kiểm soát nhập bổ sung].

10.8. Vận chuyển nội bộ TOE (FDP_ITT)

10.8.1. Hành xử của họ

Họ này quy định các yêu cầu đề cập đến bảo vệ dữ liệu người dùng khi nó được chuyển giao giữa các phần của TOE qua một kênh bên trong. Điều này có thể trái ngược với các họ Bảo vệ vận chuyển bí mật dữ liệu người dùng liên - TSF (FDP_UCT) và Bảo vệ vận chuyển toàn vẹn dữ liệu người dùng liên-TSF (FDP_UIT), cung cấp tính năng bảo vệ dữ liệu người dùng khi vận chuyển chúng giữa các TSF khác nhau qua các kênh bên ngoài, và Xuất dữ liệu từ TOE (FDP_ETC), Nhập dữ liệu từ bên ngoài TOE (FDP_ITC) đề cập đến việc vận chuyển trung gian TSF cho dữ liệu ra khỏi TOE và từ bên ngoài vào TOE.

10.8.2. Phân mức thành phần

FDP_ITT.1 Bảo vệ vận chuyển nội bộ cơ sở, đòi hỏi dữ liệu người dùng được bảo vệ khi truyền giữa các phần của TOE.

FDP_ITT.2 Phân chia truyền tải theo thuộc tính, đòi hỏi phân chia dữ liệu dựa trên giá trị của các thuộc tính liên quan-SFP trong thành phần đầu tiên được bổ sung.

FDP_ITT.3 Giám sát toàn vẹn, đòi hỏi TSF giám sát dữ liệu người dùng được truyền giữa các phần của TOE với các lỗi toàn vẹn dữ liệu được chỉ ra.

FDP_ITT.4 Giám sát toàn vẹn dựa trên các thuộc tính, mở rộng đến thành phần thứ ba với việc cho phép định dạng giám sát toàn vẹn về khác biệt của các thuộc tính SFP liên quan.

10.8.3. Quản lý của FDP_ITT.1, FDP_ITT.2

Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:

a) Nếu TSF quy định nhiều phương pháp để bảo vệ dữ liệu người dùng trong thời gian truyền giữa các phần vật lý được phân tách bởi TOE, TSF có thể đưa ra các tập phân vai được định nghĩa trước với khả năng lựa chọn phương pháp sẽ được sử dụng.

10.8.4. Quản lý của FDP_ITT.3, FDP_ITT.4

Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:

a) Đặc tả của các hoạt động được thực hiện dựa trên phát hiện lỗi toàn vẹn có thể được cấu hình

10.8.5. Kiểm toán của FDP_ITT.1, FDP_ITT.2

Các hành động sau đây có thể được kiểm toán, nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn chứa trong PP/ST:

a) Tối thiểu: các chuyển giao thành công dữ liệu người dùng, bao gồm xác định phương pháp bảo vệ được sử dụng.

b) Cơ sở: Tất cả các nỗ lực để chuyển giao dữ liệu người dùng, bao gồm phương pháp bảo vệ được sử dụng và bất kỳ lỗi nào xuất hiện.

10.8.6. Kiểm toán của FDP_ITT.3, FDP_ITT.4

Các hành động sau đây có thể được kiểm toán, nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn chứa trong PP/ST:

a) Tối thiểu: các chuyển giao thành công dữ liệu người dùng, bao gồm xác định phương pháp bảo vệ toàn vẹn được sử dụng.

b) Cơ sở: Tất cả các nỗ lực để chuyển giao dữ liệu người dùng, bao gồm phương pháp bảo vệ toàn vẹn được sử dụng và bất kỳ lỗi nào xuất hiện.

c) Cơ sở: Các nỗ lực không được ủy quyền để thay đổi phương pháp bảo vệ toàn vẹn.

d) Chi tiết: Hành động được thực hiện dựa trên phát hiện về lỗi toàn vẹn.

10.8.7. FDP_ITT.1 Bảo vệ vận chuyển nội bộ cơ sở

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc:       [FDP_ACC.1 Kiểm soát truy nhập tập con, hoặc

                                    FDP_IFC.1 Kiểm soát luồng thông tin tập con]

10.8.7.1. FDP_ITT.1.1

TSF cần thực thi [chỉ định: kiểm soát truy nhập SFP và/hoặc kiểm soát luồng thông tin SFP] để ngăn chặn [lựa chọn: phơi bày, thay đổi, không sử dụng được] với dữ liệu người dùng khi nó được truyền giữa các phần vật lý phân tách của TOE.

10.8.8. FDP_ITT.2 Phân tách truyền tải bởi các thuộc tính

Phân cấp từ: FDP_ITT.1 Bảo vệ vận chuyển nội bộ cơ sở

Các mối phụ thuộc:       [FDP_ACC.1 Kiểm soát truy nhập tập con, hoặc

                                    FDP_IFC.1 Kiểm soát luồng thông tin tập con]

10.8.8.1. FDP_ITT.2.1

TSF cần thực thi [chỉ định: kiểm soát truy nhập SFP và/hoặc kiểm soát luồng thông tin SFP] để ngăn chặn [lựa chọn: phơi bày, thay đổi, không sử dụng được] với dữ liệu người dùng khi nó được truyền giữa các phần vật lý phân tách của TOE.

10.8.8.2. FDP_ITT.2.2

TSF cần phân tách dữ liệu kiểm soát bởi SFP khi truyền tải các thành phần của TOE, dựa trên các giá trị sau: [chỉ định: các thuộc tính an toàn đòi hỏi phân tách].

10.8.9. FDP_ITT.3 Giám sát toàn vẹn

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc:       [FDP_ACC.1 Kiểm soát truy nhập tập con, hoặc

                                    FDP_IFC.1 Kiểm soát luồng thông tin tập con]

                                    FDP_ITT.1 Bảo vệ vận chuyển nội bộ cơ sở

10.8.9.1. FDP_ITT.3.1

TSF cần thực thi [chỉ định: Kiểm soát truy nhập SFP và/hoặc kiểm soát luồng thông tin SFP] thông qua giám sát dữ liệu người dùng được truyền giữa các phần vật lý phân tách của TOE theo các lỗi sau: [chỉ định: các lỗi toàn vẹn].

10.8.9.2. FDP_ITT.3.2

Dựa trên các phát hiện về toàn vẹn dữ liệu, TSF cần [chỉ định: chỉ ra các hành động được thực hiện dựa trên lỗi toàn vẹn dữ liệu].

10.8.10. FDP_ITT.4 Giám sát toàn vẹn dựa trên thuộc tính

Phân cấp từ FDP_ITT.3 giám sát toàn vẹn

Các mối phụ thuộc:       [FDP_ACC.1 Kiểm soát truy nhập tập con, hoặc

                                    FDP_IFC.1 Kiểm soát luồng thông tin tập con]

                                    FDP_ITT.2 Phân tách truyền theo thuộc tính

10.8.10.1. FDP_ITT.4.1

TSF cần thực thi [chỉ định: Kiểm soát truy nhập SFP và/hoặc kiểm soát luồng thông tin SFP] thông qua giám sát dữ liệu người dùng được truyền giữa các phần vật lý phân tách của TOE theo các lỗi sau: [chỉ định: các lỗi toàn vẹn], dựa theo các thuộc tính sau: [chỉ định: các thuộc tính an toàn đòi hỏi phân tách truyền kênh].

10.8.10.2. FDP_ITT.4.2

Dựa trên các phát hiện về toàn vẹn dữ liệu, TSF cần [chỉ định: chỉ ra các hành động được thực hiện dựa trên lỗi toàn vẹn dữ liệu].

10.9. Bảo vệ thông tin dư thừa (FDP_RIP)

10.9.1. Hành xử của họ

Họ này đề cập đến sự cần thiết đảm bảo rằng các thông tin bị xóa sẽ không thể truy nhập sau đó, và các đối tượng được tạo gần nhất không chứa các thông tin mà không thể truy nhập. Họ này đòi hỏi bảo vệ thông tin được xóa hoặc giải phóng lô-gic, nhưng vẫn có thể được biểu diễn bên trong tài nguyên có kiểm soát của TSF và do vậy có thể được cấp phát lại cho đối tượng khác.

10.9.2. Phân mức thành phần

FDP_RIP.1 Bảo vệ thông tin dư thừa tập con, yêu cầu TSF đảm bảo rằng bất kỳ nội dung thông tin dư thừa nào của bất kỳ nguồn nào là không sẵn sàng với một tập con được định nghĩa của các đối tượng trong TSC dựa trên cấp phát hoặc hủy cấp phát tài nguyên.

FDP_RIP.2 Bảo vệ thông tin dư thừa đầy đủ, yêu cầu TSF đảm bảo rằng bất kỳ nội dung thông tin dư thừa của bất kỳ nguồn nào là không sẵn sàng với tất cả các đối tượng dựa trên cấp phát hoặc hủy cấp phát tài nguyên.

10.9.3. Quản lý của FDP_RIP.1, FDP_RIP.2

Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:

a) Lựa chọn khi thực hiện bảo vệ thông tin dư thừa (ví dụ dựa trên cấp phát hoặc hủy cấp phát) có thể được cấu hình bên trong TOE

10.9.4. Kiểm toán của FDP_RIP.1, FDP_RIP.2

Không có sự kiện có thể kiểm toán nào.

10.9.5. FDP_RIP.1 Bảo vệ thông tin dư thừa tập con

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc: Không có mối phụ thuộc nào.

10.9.5.1. FDP_RIP.1.1

TSF cần đảm bảo rằng bất kỳ nội dung thông tin trước đó của một tài nguyên được thực hiện không sẵn sàng [chỉ định: cấp phát của tài nguyên cho, hủy cấp phát của tài nguyên từ] theo các đối tượng: [chỉ định: danh sách của các đối tượng]

10.9.6. FDP_RIP.2 Bảo vệ thông tin dư thừa đầy đủ

Phân cấp từ: FDP_RIP.1 Bảo vệ thông tin dư thừa tập con

Các mối phụ thuộc: Không phụ thuộc

10.9.6.1. FDP_RIP.2.1

TSF cần đảm bảo bất kỳ nội dung thông tin trước đó của tài nguyên được thực hiện không sẵn có dựa trên [lựa chọn: cấp phát tài nguyên cho, hủy cấp phát của các tài nguyên từ] tất cả các đối tượng.

10.10. Khôi phục (FDP_ROL)

10.10.1. Hành xử của họ

Hoạt động khôi phục (rollback) liên quan đến việc hoàn lại thao tác hoặc chuỗi các thao tác, được giới hạn bởi một hạn định ví dụ như chu kỳ thời gian, quay trở lại trạng thái biết trước đó. Rollback cho khả năng hoàn lại các hiệu ứng của một thao tác hoặc chuỗi thao tác nhằm bảo toàn tính toàn vẹn của dữ liệu người dùng.

10.10.2. Phân mức thành phần

FDP_ROL.1 Trở lại trạng thái trước cơ bản đề cập đến sự cần thiết hoặc dưới một số giới hạn các hoạt động bên trong các ranh giới được định nghĩa.

FDP_ROL.2 Trở lại trạng thái trước nâng cao đề cập đến sự cần thiết quay lại trạng thái trước đó hoặc không thực hiện tất cả các hoạt động bên trong ranh giới được định nghĩa.

10.10.3. Quản lý của FDP_ROL.1, FDP_ROL.2

Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:

a) Giới hạn biên theo đó việc trở lại trạng thái trước đó có thể được thực hiện và các mẫu được cấu hình bên trong TOE

b) Cho phép thực hiện hoạt động quay lại trạng thái trước có thể bị ngăn cản với tập phân vai được định nghĩa tốt.

10.10.4. Kiểm toán của FDP_ROL.1, FDP_ROL.2

Các hành động sau đây có thể được kiểm toán, nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn chứa trong PP/ST:

a) Tối thiểu: tất cả các hoạt động thực hiện thành công để quay trở lại trạng thái trước đó

b) Cơ sở: Tất cả các nỗ lực để thực hiện quay trở lại trạng thái trước đó

c) Chi tiết: Tất cả các nỗ lực để thực hiện quay trở lại trạng thái trước đó, bao gồm việc định danh các kiểu thực hiện quay trở lại trạng thái trước

10.10.5. FDP_ROL.1 Khôi phục cơ bản

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc:       [FDP_ACC.1 Kiểm soát truy nhập tập con, hoặc

                                    FDP_IFC.1 Kiểm soát luồng thông tin tập con]

10.10.5.1. FDP_ROL.1.1

TSF cần thực thi [chỉ định: kiểm soát truy nhập SFP và/hoặc kiểm soát luồng thông tin SFP] để cho phép khôi phục lại trạng thái trước đó của [chỉ định: danh sách các hoạt động] dựa trên [chỉ định: thông tin và/hoặc danh sách của các đối tượng]

10.10.5.2. FDP_ROL.1.2

TSF cần cho phép các hoạt động để quay lại trạng thái trước đó bên trong [chỉ định: giới hạn biên cho việc khôi phục lại trạng thái trước đó].

10.10.6. FDP_ROL.2 Khôi phục cải tiến

Phân cấp từ: FDP_ROL.1 Khôi phục cơ bản

Các mối phụ thuộc:       [FDP_ACC.1 Kiểm soát truy nhập tập con, hoặc

                                    FDP_IFC.1 Kiềm soát luồng thông tin tập con]

10.10.6.1. FDP_ROL.2.1

TSF cần thực thi [chỉ định: kiểm soát truy nhập SFP và/hoặc kiểm soát luồng thông tin SFP] để cho phép khôi phục lại toàn bộ hoạt động trên [chỉ định: danh sách các đối tượng]

10.10.6.2. FDP_ROL.2.2

TSF cần cho phép các hoạt động có thể khôi phục lại trong khoảng [chỉ định: giới hạn biên cho việc khôi phục có thể thực hiện]

10.11. Toàn vẹn dữ liệu lưu trữ (FDP_SDI)

10.11.1. Hành xử của họ

Họ này quy định các yêu cầu đề cập đến việc bảo vệ dữ liệu người dùng khi nó được lưu trữ trong TSC. Các lỗi toàn vẹn có thể ảnh hưởng đến việc lưu trữ dữ liệu người dùng trong bộ nhớ hoặc trong thiết bị lưu trữ. Họ này khác với chuyển giao TOE nội bộ (FDP_ITT) mà bảo vệ dữ liệu người dùng khỏi các lỗi toàn vẹn khi đang được truyền bên trong TOE.

10.11.2. Phân mức thành phần

FDP_SDI.1 Giám sát toàn vẹn dữ liệu lưu trữ, đòi hỏi bộ giám sát dữ liệu người dùng SF được lưu trữ trong TSC cho các lỗi toàn vẹn được chỉ ra

FDP_SDI.2 Giám sát toàn vẹn dữ liệu lưu trữ và các hành động thêm vào để bổ sung cho khả năng đến thành phần đầu tiên bởi việc cho phép các hoạt động được thực hiện như kết quả của phát hiện lỗi.

10.11.3. Quản lý của FDP_SDI.1

Không có các hoạt động quản lý nào.

10.11.4. Quản lý của FDP_SDI.2

Các hành động sau đây có thể được kiểm toán, nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn chứa trong PP/ST:

a) Tối thiểu: Các nỗ lực thành công để soát xét sự toàn vẹn của dữ liệu người dùng, bao gồm biểu thị của các kết quả soát xét

b) Cơ sở: Tất cả các nỗ lực để soát xét toàn vẹn của dữ liệu, bao gồm biểu thị của các kết quả soát xét nếu được thực hiện.

c) Chi tiết: Kiểu lỗi toàn vẹn mà đã xuất hiện

d) Chi tiết: Các hành động được thực hiện dựa trên phát hiện về các lỗi toàn diện.

10.11.6. Kiểm toán của FDP_SDI.2

Các hành động sau đây có thể được kiểm tra nếu FAU_GEN Tạo dữ liệu kiểm tra được đặt trong PP/ST:

e) Tối thiểu: Các nỗ lực thành công để soát xét sự toàn vẹn của dữ liệu người dùng, bao gồm biểu thị của các kết quả soát xét

f) Cơ sở: Tất cả các nỗ lực để soát xét sự toàn vẹn của dữ liệu, bao gồm biểu thị của các kết quả soát xét nếu được thực hiện.

g) Chi tiết: Kiểu lỗi toàn vẹn mà đã xuất hiện

h) Chi tiết: Các hành động được thực hiện dựa trên phát hiện về các lỗi toàn diện.

10.11.7. FDP_SDI.1 Giám sát toàn vẹn dữ liệu lưu trữ

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc: Không phụ thuộc

10.11.7.1. FDP_SDI.1.1

TSF cần giám sát dữ liệu người dùng được lưu trữ trong TSF cho [chỉ định: các lỗi toàn vẹn] trong tất cả các đối tượng, dựa trên các thuộc tính sau: [chỉ thị: các thuộc tính dữ liệu người dùng].

10.11.8. FDP_SDI.2 Giám sát toàn vẹn dữ liệu lưu trữ và hành động

Phân cấp từ: FDP_SDI.1 Giám sát toàn vẹn lưu trữ dữ liệu

Các mối phụ thuộc: không phụ thuộc

10.11.8.1. FDP_SDI.2.1

TSF cần giám sát dữ liệu người dùng được lưu trữ trong TSC cho [chỉ thị: các lỗi toàn vẹn] trên tất cả các đối tượng, dựa trên các thuộc tính sau: [chỉ thị: các thuộc tính dữ liệu người dùng]

10.11.8.2. FDP_SDI.2.2

Dựa trên phát hiện về lỗi toàn vẹn dữ liệu, TSF cần [chỉ thị: hành động được thực hiện]

10.12. Bảo vệ vận chuyển bí mật dữ liệu người dùng liên-TSF (FDP_UCT)

10.12.1. Hành xử của họ

Họ này định nghĩa các yêu cầu để đảm bảo sự tin cậy của dữ liệu người dùng khi nó được chuyển giao sử dụng kênh ngoài giữa các TOE khác nhau hoặc người dùng trong các TOE khác nhau.

10.12.2. Phân mức thành phần

Trong FDP_UCT.1 Trao đổi dữ liệu tin cậy cơ bản, mục đích đặt ra là bảo vệ chống lại sự khai thác dữ liệu người dùng khi truyền.

10.12.3. Quản lý của FDP_UCT.1

Không có các hoạt động quản lý nào

10.12.4. Kiểm toán của FDP_UCT.1

Các hành động sau đây có thể được kiểm toán, nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn chứa trong PP/ST:

a) Tối thiểu: Định danh của bất kỳ người dùng hoặc thực thể nào sử dụng các cơ chế trao đổi dữ liệu.

b) Cơ sở: Định danh của bất kỳ người dùng hoặc thực thể không được ủy quyền nào cố gắng sử dụng các cơ chế trao đổi dữ liệu.

c) Cơ sở: Một tham chiếu đến tên hoặc thông tin đánh chỉ mục hữu ích khác trong việc xác định dữ liệu người dùng được truyền hay nhận. Nó bao gồm các thuộc tính an toàn kết hợp với thông tin.

10.12.5. FDP_UCT.1 Bí mật trao đổi dữ liệu cơ bản

Phân cấp từ: Không có các thành phần nào

Các mối phụ thuộc:       [FTP_ICT.1 Kênh tin cậy TSF, hoặc

                                    FTP_TRP.1 Đường dẫn tin cậy]

                                    [FDP_ACC.1 Kiểm soát truy nhập tập con, hoặc

                                    FDP_IFC.1 Kiểm soát luồng thông tin tập con]

10.12.5.1.FDP_UCT.1.1

TSF cần thực thi [chỉ thị: kiểm soát truy nhập SFP và/hoặc kiểm soát luồng thông tin SFP] có thể [lựa chọn: truyền, nhận] đến các đối tượng theo cách thức được bảo vệ từ việc khai thác không được cấp phép.

10.13. Bảo vệ vận chuyển toàn vẹn dữ liệu người dùng liên-TSF (FDP_UIT)

10.13.1. Hành xử của họ

Họ này định nghĩa các yêu cầu cho quy định sự toàn vẹn của dữ liệu người dùng trong việc truyền giữa TSF và các sản phẩm IT được tin cậy khác và khôi phục từ các lỗi có thể được phát hiện. Tại mức tối thiểu,họ này giám sát sự toàn vẹn của dữ liệu người dùng với các thay đổi. Thêm vào đó, họ này hỗ trợ các cách khác nhau của việc chỉnh sửa các lỗi toàn vẹn được xác định.

10.13.2. Phân mức thành phần

FDP_UIT.1 Toàn vẹn trao đổi dữ liệu đề cập đến sự phát hiện các thay đổi, xóa, thêm, lặp lại lỗi trong dữ liệu người dùng được truyền.

FDP_UIT.2 Khôi phục trao đổi dữ liệu nguồn đề cập đến việc khôi phục dữ liệu người dùng gốc với việc nhận TSF với sự giúp đỡ từ sản phẩm CNTT có nguồn gốc đáng tin cậy.

FDP_UIT.3 Khôi phục trao đổi dữ liệu đích đề cập đến việc khôi phục dữ liệu người dùng với việc nhận TSF của nó mà không có bất kỳ sự trợ giúp nào từ các sản phẩm IT có nguồn gốc tin cậy.

10.13.3. Quản lý của FDP_UIT.1, FDP_UIT.2, FDP_UIT.3

Không có các hoạt động quản lý nào.

10.13.4. Kiểm toán của FDP_UIT.1

Các hành động sau đây có thể được kiểm toán, nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn chứa trong PP/ST:

a) Tối thiểu: Định danh của bất kỳ người dùng hoặc thực thể nào sử dụng các cơ chế trao đổi dữ liệu

b) Cơ sở: Định danh của bất kỳ người dùng hoặc cố gắng sử dụng các cơ chế trao đổi dữ liệu, nhưng lại không được ủy quyền để làm điều đó.

c) Cơ sở: Một tham chiếu đến tên hoặc thông tin đánh chỉ mục đích hữu ích khác trong việc xác định dữ liệu người dùng được truyền hay nhận. Nó bao gồm các thuộc tính an toàn kết hợp với thông tin.

d) Cơ sở: bất kỳ nỗ lực xác định nào để ngăn chặn việc truyền dữ liệu người dùng

e) Chi tiết: các kiểu và/hoặc các ảnh hưởng của bất kỳ sự thay đổi được phát hiện trong truyền dữ liệu người dùng.

10.13.5. Kiểm toán của FDP_UIT.2, FDP_UIT.3

Các hành động sau đây có thể được kiểm tra nếu FAU_GEN Tạo dữ liệu kiểm tra được đặt trong PP/ST

a) Tối thiểu: Định danh của bất kỳ người dùng hoặc thực thể nào sử dụng các cơ chế trao đổi dữ liệu.

b) Tối thiểu: Khối phục thành công các lỗi bao gồm kiểu của lỗi đã được phát hiện

c) Cơ sở: Định danh của bất kỳ người dùng hoặc cố gắng sử dụng các cơ chế trao đổi dữ liệu, nhưng lại không được ủy quyền để làm điều đó.

d) Cơ sở: Một tham chiếu đến tên hoặc thông tin đánh chỉ mục hữu ích khác trong việc xác định dữ liệu người dùng được truyền hay nhận. Nó bao gồm các thuộc tính an toàn kết hợp với thông tin.

e) Cơ sở: bất kỳ nỗ lực xác định nào để ngăn chặn việc truyền dữ liệu người dùng

f) Chi tiết: các kiểu và/hoặc các ảnh hưởng của bất kỳ sự thay đổi được phát hiện trong truyền dữ liệu người dùng.

10.13.6. FDP_UIT.1 Toàn vẹn trao đổi dữ liệu

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc:       [FDP_ACC.1 Kiểm soát truy nhập tập con, hoặc

                                    FDP_IFC.1 Kiểm soát luồng thông tin tập con]

                                    FDP_UIT.1 Toàn vẹn trao đổi dữ liệu, hoặc

                                    FTP_ITC.1 Kênh tin cậy liên-TSF]

10.13.6.1. FDP_UIT.1.1

TSF cần thực thi [chỉ định: Kiểm soát truy nhập SFP và/hoặc kiểm soát luồng thông tin SFP] có thể [lựa chọn: truyền, nhận] dữ liệu người dùng theo cách thức được bảo vệ từ [lựa chọn: thay đổi, xóa, chèn, lặp lại] các lỗi.

10.13.6.2. FDP_UIT1.2

TSF cần có khả năng quyết định nhận dữ liệu người dùng, có hay không với [lựa chọn: thay đổi, xóa, thêm, lặp lại] xuất hiện.

10.13.7. FDP_UIT.2 Khôi phục trao đổi dữ liệu gốc

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc:       [FDP_ACC.1 Kiểm soát truy nhập tập con, hoặc

                                    FDP_IFC.1 kiểm soát luồng thông tin tập con]

                                    FDP_UIT.1 Toàn vẹn trao đổi dữ liệu, hoặc

                                    FTP_ITC.1 Kênh tin cậy liên-TSF]

10.13.7.1. FDP_UIT.2.1

TSF cần thực thi [chỉ định: kiểm soát truy nhập SFP và/hoặc kiểm soát luồng thông tin SFP] có thể khôi phục từ [chỉ thị: danh sách của các lỗi có thể khôi phục] với sự trợ giúp của các sản phẩm IT có nguồn gốc tin cậy.

10.13.8. FDP_UIT.3 Khôi phục trao đổi dữ liệu đích

Phân cấp từ: FDP_UIT khôi phục trao đổi dữ liệu nguồn

Các mối phụ thuộc:       [FDP_ACC.1 Kiểm soát truy nhập tập con, hoặc

                                    FDP_IFC.1 Kiểm soát luồng thông tin tập con]

                                    FDP_UIT.1 Toàn vẹn trao đổi dữ liệu, hoặc

                                    FTP_ITC.1 Kênh tin cậy liên-TSF]

10.13.8.1. FDP_UIT.3.1

TSF cần thực thi [chỉ định: kiểm soát truy nhập SFP và/hoặc kiểm soát luồng thông tin SFP] có thể khôi phục từ [chỉ thị: danh sách của các lỗi có thể khôi phục] không có bất kỳ sự trợ giúp nào từ các sản phẩm IT có nguồn gốc tin cậy.

11. Lớp FIA: Định danh và xác thực

Các họ trong lớp này gửi những yêu cầu cho những chức năng để thiết lập và xác minh một định danh người dùng đã được yêu cầu.

Yêu cầu định danh và xác thực để đảm bảo rằng người dùng sẽ có các thuộc tính an toàn (ví dụ như: định danh, nhóm, các quy tắc, các mức an toàn hay toàn vẹn).

Danh tính rõ ràng của người dùng có thẩm quyền và việc kết hợp đúng các thuộc tính an toàn với người dùng và các chủ thể then chốt để bắt buộc các chính sách an ninh không mong muốn. Các họ trong lớp này đề cập đến việc xác định và xác minh danh tính của người dùng, xác định người có thẩm quyền của họ để tương tác với TOE, và với việc kết hợp đúng của các thuộc tính an toàn đối với người dùng có thẩm quyền. Các lớp khác của yêu cầu (bảo vệ dữ liệu người dùng, kiểm toán an toàn) phụ thuộc vào việc định danh và xác thực chính xác người dùng thì mới có hiệu lực.

Hình 11 - Phân cấp lớp FIA: Định danh và xác thực

11.1. Các lỗi xác thực (FIA_AFL)

11.1.1. Hành xử của họ

Họ này bao gồm các yêu cầu để định nghĩa các giá trị cho một vài số lượng thử chứng thực mà không thành công và các hành động TSF trong các trường hợp lỗi thử xác thực. Những tham số, không hạn chế, bao gồm số lượng thử xác thực bị lỗi và các ngưỡng thời gian.

11.1.2. Phân mức thành phần

FIA_AFL.1 Xử lý lỗi xác thực, yêu cầu TSF có thể giới hạn các quá trình thiết lập phiên sau khi xác định được số việc thử xác thực thất bại. Sau khi giới hạn quá trình thiết lập phiên, nó cũng yêu cầu TSF có thể khóa tài khoản người dùng hoặc điểm vào (máy trạm) từ lúc thử nghiệm cho tới khi xảy ra điều kiện mà người quản trị đã định nghĩa.

11.1.3. Quản lý của FIA_AFL.1

Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:

a) Quản lý các ngưỡng của việc thử xác thực không thành công.

b) Quản lý các hành động được tạo ra trong sự kiện của lỗi xác thực.

11.1.4. Kiểm toán của FIA_AFL.1

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

a) Tối thiểu: Đạt được ngưỡng cho việc thử xác thực không thành công và thực hiện các hành động (khóa đầu cuối), sau đó là việc phục hồi trở về trạng thái bình thường (mở lại đầu cuối).

11.1.5. Xử lý lỗi xác thực FIA_AFL.1

Phân cấp từ: Không có các thành phần nào

Các mối phụ thuộc: FIA_UAU.1 Định thời cho xác thực

11.1.5.1. FIA_AFL.1.1

TSF cần phát hiện [việc lựa chọn: [ấn định: số nguyên dương] khi nhà quản trị thiết lập số nguyên dương với điều kiện là [chỉ định: khoảng giá trị cho phép] và việc thử xác thực không thành công xuất hiện liên quan tới [chỉ định: danh sách các sự kiện xác thực].

11.1.5.2. FIA_AFL.1.2

Khi số lượng việc thử xác thực không thành công được xác định hoặc phụ trội thì TSF sẽ thực hiện [chỉ định: danh sách các hành động].

11.2. Định nghĩa thuộc tính người dùng (FIA_ATD)

11.2.1. Hành xử của họ

Tất cả người dùng có thẩm quyền có thể có một tập thuộc tính an toàn, những thuộc tính khác định danh người dùng được sử dụng để thực thi TSP. Họ này xác định các yêu cầu về thuộc tính an toàn người dùng liên đới với những người dùng cần để trợ giúp TSP.

11.2.2. Phân mức thành phần

FIA_ATD.1 Xác định thuộc tính người dùng cho phép các thuộc tính an toàn người dùng đối với mỗi người dùng để duy trì một cách riêng lẻ.

11.2.3. Quản lý của FIA_ATD.1

Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:

a) Nếu việc ấn định quá mức ấn định, người quản trị có thẩm quyền phải định nghĩa thêm các thuộc tính an toàn cho người dùng.

11.2.4. Kiểm toán của FIA_ATD.1

Không có các sự kiện có thể kiểm toán nào.

11.2.5. FIA_ATD.1 Định nghĩa thuộc tính người dùng

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc: Không có sự phụ thuộc.

11.2.5.1. FIA_ATD.1.1

TSF cần duy trì danh sách các thuộc tính an toàn mà thuộc về người dùng riêng lẻ: [chỉ định: danh sách các thuộc tính an toàn].

11.3. Đặc tả các của các bí mật (FIA_SOS)

11.3.1. Hành xử của họ

Họ này định nghĩa các yêu cầu về kỹ thuật để thực thi các tỷ lệ đặc trưng được định nghĩa trong vấn đề bảo mật đã đề cập cũng như là mới phát sinh để đáp ứng tỷ lệ đã định nghĩa.

11.3.2. Phân mức thành phần

FIA_SOS.1 Thẩm tra bảo mật, yêu cầu TSF xác minh các vấn đề bảo mật được thấy trong tỷ lệ đặc trưng đã được định nghĩa.

FIA_SOS.2 TSF Tạo ra các bí mật, yêu cầu TSF có thể phát sinh các vấn đề bảo mật nhận thấy trong tỷ lệ đặc trưng đã định nghĩa.

11.3.3. Quản lý của FIA_SOS.1

Các hành động sau có thể liên quan tới các chức năng quản lý trong FMT:

a) Quản lý các tỷ lệ để xác minh vấn đề bảo mật.

11.3.4. Quản lý của FIA_SOS.2

Các hành động sau đây có thể liên quan tới các chức năng quản lý trong FMT:

a) Quản lý các tỷ lệ để phát sinh vấn đề bảo mật

11.3.5. Kiểm toán của FIA_SOS.1, FIA_SOS.2

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

a) Tối thiểu: Việc loại bỏ bởi TSF trong bất kỳ thử nghiệm bảo mật nào.

b) Cơ sở: Việc loại bỏ hoặc chấp nhận bởi TSF trong bất kỳ thử nghiệm bảo mật nào

c) Chi tiết: Định danh của bất kỳ sự thay đổi tới tỷ lệ đặc trưng đã định nghĩa.

11.3.6. FIA_SOS.1 Thẩm tra của các bí mật

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc: Không có sự phụ thuộc nào.

11.3.6.1. FIA_SOS.1.1

TSF cần cung cấp một cơ chế để thẩm tra các bí mật đã thỏa mãn [chỉ định: một đơn vị đo chất lượng định nghĩa trước].

11.3.7. FIA_SOS.2 Tạo các bí mật TSF

Phân cấp từ: Không có các thành phần nào

Các mối phụ thuộc: Không có sự phụ thuộc.

11.3.7.1. FIA_SOS.2.1

TSF cần cung cấp một cơ chế để thẩm tra bí mật đã thỏa mãn [chỉ định: một đơn vị đo chất lượng định nghĩa trước].

11.3.7.2. FIA_SOS.2.2

TSF cần có khả năng thực thi việc sử dụng các bí mật đã tạo ra cho TSF cho [chỉ định: danh sách các chức năng của TSF].

11.4. Xác thực người dùng (FIA_UAU)

11.4.1. Hành xử của họ

Họ này định nghĩa các kiểu cơ chế xác thực người dùng được trợ giúp bởi TSF. Họ này cũng định nghĩa các thuộc tính được yêu cầu trong cơ chế xác thực người dùng phải là các thuộc tính cơ sở.

11.4.2. Phân mức thành phần

FIA_UAU.1 Định thời cho xác thực, cho phép một người dùng thực thi ưu tiên các hành động nào đó hơn là xác thực danh tính của một người dùng.

FIA_UAU.2 Xác thực người dùng trước khi hành động, yêu cầu người dùng là phải được xác thực trước khi bất kỳ hành động nào được cho phép bởi TSF.

FIA_UAU.3 Xác thực không thể giả mạo, yêu cầu cơ chế xác thực có thể phát hiện và ngăn chặn việc sử dụng dữ liệu xác thực đã được giả mạo hay sao chép.

FIA_UAU.4 Các cơ chế xác thực dùng đơn chiếc, yêu cầu một cơ chế thực tính toán với dữ liệu xác thực sử dụng riêng lẻ.

FIA_UAU.5 Các cơ chế đa xác thực, yêu cầu các cơ chế xác thực khác nhau được cung cấp và được sử dụng để xác định danh tính người dùng trong các sự kiện cụ thể.

FIA_UAU.6 Xác thực lại, yêu cầu khả năng để xác định các sự kiện cho người dùng cần được xác thực.

FIA_UAU.7 Phản hồi xác thực có bảo vệ, yêu cầu những thông tin phản hồi hạn chế được quy định cho người dùng trong việc xác thực.

11.4.3. Quản lý của FIA_UAU.1

Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:

a) Quản lý dữ liệu xác thực bởi người quản trị.

b) Quản lý dữ liệu xác thực bởi người dùng cộng tác

c) Quản lý danh sách các hành động mà có thể được thực hiện trước khi người dùng được xác thực.

11.4.4. Quản lý của FIA_UAU.2

Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:

a) Quản lý dữ liệu xác thực bởi người quản trị

b) Quản lý dữ liệu xác thực bởi người dùng cộng tác với dữ liệu này.

11.4.5. Quản lý của FIA_UAU.3, FIA_UAU.4, FIA_UAU.7

Không có các hoạt động quản lý nào.

11.4.6. Quản lý của FIA_UAU.5

Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:

a) Quản lý các cơ chế xác thực

b) Quản lý các quy tắc xác thực

11.4.7. Quản lý của FIA_UAU.6

Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:

a) Nếu người quản trị có thẩm quyền có thể yêu cầu xác thực lại, việc quản lý gồm một yêu cầu xác thực lại.

11.4.8. Kiểm toán của FIA_UAU.1

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

a) Tối thiểu: Sử dụng cơ chế xác thực không thành công

b) Cơ sở: Sử dụng tất cả các cơ chế xác thực

c) Chi tiết: Tất cả các hành động trung gian TSF được thực thi trước khi xác thực người dùng.

11.4.9. Kiểm toán của FIA_UAU.2

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

a) Tối thiểu: Sử dụng cơ chế xác thực không thành công

b) Cơ sở: Sử dụng tất cả cơ chế xác thực.

11.4.10. Kiểm toán của FIA_UAU.3

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

a) Tối thiểu: Phát hiện các dữ liệu xác thực giả mạo.

b) Cơ sở: Tất cả các độ đo trực tiếp được thực hiện và các kết quả kiểm toán trên dữ liệu giả mạo.

11.4.11. Kiểm toán của FIA_UAU.4

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

a) Tối thiểu: Việc thử dùng lại các dữ liệu xác thực.

11.4.12. Kiểm toán của FIA_UAU.5

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

a) Tối thiểu: quyết định cuối cùng vào việc xác thực.

b) Cơ sở: Kết quả của mỗi cơ chế hoạt động cùng với quyết định cuối cùng.

11.4.13. Kiểm toán của FIA_UAU.6

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

a) Tối thiểu: Lỗi xác thực lại;

b) Cơ sở: Tất cả việc thử xác thực lại.

11.4.14. Kiểm toán của FIA_UAU.7

Không có sự kiện có thể kiểm toán nào.

11.4.15. FIA_UAU.1 Định thời cho xác thực

Phân cấp từ: Không có các thành phần nào

Các mối phụ thuộc: FIA_UID.1 Định thời cho định danh

11.4.15.1. FIA_UAU.1.1

TSF cần cho phép [chỉ định: danh sách các hành động trung gian TSF] đại diện cho người dùng thực hiện trước khi người dùng được xác thực.

11.4.15.2. FIA_UAU.1.2

TSF cần yêu cầu người dùng phải xác thực thành công trước khi cho phép các hành động trung gian TSF khác đại diện cho người dùng đó.

11.4.16. FIA_UAU.2 Xác thực người dùng trước khi hành động

Phân cấp từ: FIA_UAU.1 Định thời cho xác thực

Các mối phụ thuộc: FIA_UID.1 Định thời cho định danh

11.4.16.1. FIA_UAU.2.1

TSF cần yêu cầu mỗi người dùng xác thực thành công trước khi cho phép các hành động trung gian TSF khác đại diện cho người dùng đó.

11.4.17. FIA_UAU.3 Xác thực không thể giả mạo

Phân cấp từ: Không có các thành phần nào

Các mối phụ thuộc: Không có sự phụ thuộc

11.4.17.1. FIA_UAU.3.1

TSF cần [lựa chọn: phát hiện, ngăn chặn] việc sử dụng dữ liệu xác thực đã bị giả mạo bởi một người dùng TSF nào đó.

11.4.17.2. FIA_UAU.3.2

TSF cần [lựa chọn: phát hiện, ngăn chặn] việc sử dụng của dữ liệu xác thực đã được sao chép từ một người dùng TSF khác.

11.4.18. FIA_UAU.4 Các cơ chế xác thực đơn

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc: Không có sự phụ thuộc nào.

11.4.18.1. FIA_UAU.4.1

TSF cần ngăn chặn việc sử dụng lại dữ liệu xác thực liên quan tới [chỉ định: cơ chế xác thực định danh].

11.4.19. FIA_UAU.5 Cơ chế đa xác thực

Phân cấp từ: Không có các thành phần nào

Các mối phụ thuộc: Không có sự phụ thuộc nào.

11.4.19.1. FIA_UAU.5.1

TSF cần cung cấp [Chỉ định: danh sách cơ chế đa xác thực] để trợ giúp xác thực người dùng.

11.4.19.2. FIA_UAU.5.2

TSF cần xác thực bất kỳ định danh yêu cầu của người dùng nào tuân theo [chỉ định: các quy tắc miêu tả các cơ chế đa xác thực quy định việc xác thực như thế nào].

11.4.20. FIA_UAU.6 Xác thực lại

Phân cấp từ: Không có các thành phần nào

Sự Các mối phụ thuộc: Không có sự phụ thuộc nào.

11.4.20.1. FIA_UAU.6.1

TSF cần xác thực lại người dùng dưới các điều kiện [chỉ định: danh sách các điều kiện dưới mỗi việc xác thực lại được yêu cầu]

11.4.21. FIA_UAU.7 Phản hồi xác thực có bảo vệ

Phân cấp từ: Không có các thành phần nào

Các mối phụ thuộc: FIA_UAU.1 Định thời cho xác thực

11.4.21.1. FIA_UAU.7.1

TSF cần cung cấp chỉ các [chỉ định: danh sách phản hồi] tới người trong khi việc xác thực là đang được tiến hành.

11.5. Định danh người dùng (FIA_UID)

11.5.1. Hành xử của họ

Họ này định nghĩa các điều kiện mà người dùng sẽ được yêu cầu để định danh chúng trước khi thực hiện bất kỳ các hành động khác đã được dàn xếp bởi TSF và điều kiện này yêu cầu định danh người dùng.

11.5.2. Phân mức thành phần

FIA_UID.1 Định thời cho định danh, cho phép người dùng thực hiện các hành động chắc chắn trước khi được định danh bởi TSF.

FIA_UID.2 Định danh người dùng trước khi bất kỳ hành động, yêu cầu người dùng định danh trước khi hành động được cho phép bởi TSF.

11.5.3. Quản lý của FIA_UID.1

Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:

a) Quản lý định danh người dùng

b) Nếu một người quản trị có thẩm quyền có thể: thay đổi các hành động được phép trước khi định danh, quản lý các danh sách hành động.

11.5.4. Quản lý của FIA_UID.2

Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:

a) Quản lý định danh người dùng

11.5.5. Kiểm toán của FIA_UID.1, FIA_UID.2

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

a) Tối thiểu: Sử dụng cơ chế định danh người dùng không thành công, bao gồm định danh người dùng được quy định.

b) Cơ sở: Tất cả sử dụng cơ chế định danh người dùng, bao gồm định danh người dùng được quy định.

11.5.6. FIA_UID.1 Định thời cho định danh

Phân cấp từ: Không có các thành phần nào

Các mối phụ thuộc: Không có sự phụ thuộc nào.

11.5.6.1. FIA_UID.1.1

TSF cần cho phép [chỉ định: danh sách các hành động trung gian TSF] trợ giúp người dùng thực hiện trước khi người dùng được định danh.

11.5.6.2. FIA_UID.1.2

TSF cần yêu cầu mỗi người dùng phải xác định thành công trước khi cho phép các hành động trung gian TSF đại diện cho người dùng đó.

11.5.7. FIA_UID.2 Định danh người dùng trước khi hành động

Phân cấp từ: FIA_UID.1 Định thời cho định danh

Các mối phụ thuộc: Không có sự phụ thuộc nào.

11.5.7.1. FIA_UID.2.1

TSF cần yêu cầu mỗi người dùng xác định danh tính trước khi cho phép bất kỳ các hành động trung gian TSF đại diện cho người dùng đó.

11.6. Liên kết chủ thể - người dùng (FIA_USB)

11.6.1. Hành xử của họ

Một người dùng được xác thực hành động đặc trưng về một chủ đích để sử dụng TOE. Các thuộc tính an toàn người dùng là được kết hợp (tổng thể hoặc từng phần) với chủ đích này. Họ này định nghĩa các yêu cầu để tạo và duy trì sự kết hợp của các thuộc tính an toàn người dùng tới một hành động chủ đích phía đại diện cho người dùng.

11.6.2. Phân mức thành phần

FIA_USB.1 Liên kết chủ thể - người dùng yêu cầu sự ấn định của bất kỳ quy tắc nào bao trùm việc trợ giúp giữa các thuộc tính người dùng và các thuộc tính chủ thể vào trong cái mà chúng được ánh xạ.

11.6.3. Quản lý của FIA_USB.1

Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:

a) Người quản trị có thẩm quyền có thể định nghĩa mặc định các thuộc tính an toàn chủ thể.

b) Người quản trị có thẩm quyền có thể thay đổi các thuộc tính an toàn chủ thể.

11.6.4. Kiểm toán của FIA_USB.1

Các hành động sau nên được kiểm toán, nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đưa vào trong PP/ST:

a) Tối thiểu: Ràng buộc các thuộc tính an toàn người dùng tới một vấn đề là không thành công (ví dụ: việc tạo ra một chủ thể).

b) Cơ sở: Việc thành công hay thất bại của vấn đề ràng buộc các thuộc tính an toàn người dùng tới một chủ thể (ví dụ: việc thành công hay thất bại để tạo một chủ thể)

11.6.5. FIA_USB.1 Liên kết chủ thể - người dùng

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc: FIA_ATD.1 Định nghĩa thuộc tính người dùng

11.6.5.1. FIA_USB.1.1

TSF cần kết hợp các thuộc tính an toàn người dùng với các chủ thể hành động bên phía đại diện của người dùng đó: [chỉ định: danh sách các thuộc tính an toàn người dùng].

11.6.5.2. FIA_USB.1.2

TSF cần thực thi các quy tắc sau dựa trên phía liên kết của các thuộc tính an toàn người dùng lúc khởi tạo với các chủ đề hành động dựa trên phía đại diện của người dùng: [chỉ định: các quy tắc cho liên kết ban đầu của các thuộc tính].

11.6.5.3. FIA_USB.1.3

TSF cần thực thi các quy tắc chủ yếu sau thay đổi các thuộc tính an toàn người dùng được liên kết với các chủ thể hành động bên phía đại diện người dùng: [chỉ định: các quy tắc để thay đổi các thuộc tính].

12. Lớp FMT: Quản lý an toàn

Lớp này được dùng để chỉ định quản lý một vài lĩnh vực của TSF: các thuộc tính an toàn, các chức năng và dữ liệu TSF. Các quy tắc quản lý khác nhau và sự tương tác giữa chúng có thể được chỉ rõ như là sự phân tách khả năng.

Lớp này có một vài mục tiêu sau:

a) Quản lý dữ liệu TSF, ví dụ như là: tiêu đề

b) Quản lý các thuộc tính an toàn, ví dụ như là: các Danh sách kiểm soát truy cập và danh sách Năng lực.

c) Quản lý các chức năng của TSF, ví dụ như là: việc lựa chọn các chức năng và các quy tắc hay các điều kiện tác động đến hành vi của TSF.

d) Định nghĩa các vai trò an toàn.

Hình 12 - Sự phân cấp lớp FMT: Quản lý an toàn

12.1. Quản lý các chức năng trong TSF (FMT_MOF)

12.1.1. Hành xử của họ

Họ này cho phép người dùng có thẩm quyền điều khiển thông qua việc quản lý các chức năng trong TSF. Ví dụ về các chức năng trong TSF bao gồm các chức năng kiểm tra và các chức năng đa xác thực.

12.1.2. Phân mức thành phần

FMT_MOF.1 Quản lý hành xử của các chức năng an toàn, cho phép người dùng có thẩm quyền (các quy tắc) để quản lý cơ chế hoạt động của chức năng trong TSF mà sử dụng các quy tắc hay có các điều kiện đặc biệt có thể được quản lý.

12.1.3. Quản lý của FMT_MOF.1

Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:

a) Quản lý nhóm các quy tắc có thể tương tác với các chức năng trong TSF.

12.1.4. Kiểm toán của FMT_MOF.1

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

a) Cơ sở: tất cả sự thay đổi trong hành vi của các chức năng trong TSF.

12.1.5. FMT_MOF.1 Các cơ chế hoạt động của quản lý chức năng an toàn

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc:       FMT_SMR.1 Các vai trò an toàn

                                    FMT_SMF.1 Đặc tả các chức năng quản lý

12.1.5.1. FMT_MOF.1.1

TSF cần hạn chế khả năng tới [lựa chọn: xác định cơ chế hoạt động như tắt, bật, thay đổi cơ chế hoạt động] của các chức năng [chỉ định: danh sách các chức năng] cho tới  [chỉ định: các quy tắc định danh có thẩm quyền].

12.2. Quản lý các thuộc tính an toàn (FMT_MSA)

12.2.1. Hành xử của họ

Họ này cho phép người dùng có thẩm quyền điều khiển qua việc quản lý các thuộc tính an toàn. Việc quản lý này phải bao gồm các khả năng hiển thị và thay đổi các thuộc tính an toàn.

12.2.2. Phân mức thành phần

FMT_MSA.1 Quản lý các thuộc tính an toàn, cho phép người dùng có thẩm quyền (các quy tắc) để quản lý các thuộc tính an toàn đã định rõ.

FMT_MSA.2 Các thuộc tính an toàn, đảm bảo rằng các giá trị được ấn định tới các thuộc tính an toàn là hợp lý và lưu ý tới trạng thái an toàn.

FMT_MSA.3 Khởi tạo thuộc tính tĩnh, đảm bảo rằng các giá trị mặc định của các thuộc tính an toàn hoặc là cho phép hoặc là hạn chế một cách thích hợp.

FMT_MSA.4 Kế thừa giá trị thuộc tính an toàn, cho phép quy tắc/chính sách xác định giá trị được thừa kế bởi một thuộc tính an toàn.

12.2.3. Quản lý của FMT_MSA.1

Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:

a) Quản lý nhóm các quy tắc mà có thể tương tác với các thuộc tính an toàn.

b) Quản lý các quy tắc xác định giá trị kế thừa bởi thuộc tính an toàn.

12.2.4. Quản lý của FMT_MSA.2

Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:

a) Quản lý các quy tắc xác định giá trị kế thừa bởi thuộc tính an toàn

12.2.5. Quản lý của FMT_MSA.3

Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:

a) Quản lý nhóm các quy tắc mà có thể xác định các giá trị khởi tạo.

b) Quản lý việc thiết lập cho phép hoặc giới hạn các giá trị mặc định cho việc đưa ra điều khiển truy cập SFP.

c) Quản lý các quy tắc xác định giá trị kế thừa bởi thuộc tính an toàn.

12.2.6. Quản lý của FMT_MSA.4

Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:

a) Đặc tả vai trò được phép thiết lập hoặc thay đổi thuộc tính an toàn.

12.2.7. Kiểm toán của FMT_MSA.1

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

a) Cơ sở: Tất cả sự thay đổi các giá trị của các thuộc tính an toàn.

12.2.8 Kiểm toán của FMT_MSA.2

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

a) Tối thiểu: Tất cả các giá trị từ chối và được quy định cho thuộc tính an toàn.

b) Chi tiết: Tất cả các giá trị an toàn được quy định và chấp thuận cho thuộc tính an toàn.

12.2.9. Kiểm toán của FMT_MSA.3

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

a) Cơ sở: Sự thay đổi các thiết lập mặc định của các quy tắc cho phép hoặc cấm.

b) Cơ sở: Tất cả sự thay đổi các giá trị khởi tạo của các thuộc tính an toàn.

12.2.10. Kiểm toán của FMT_MSA.4

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

a) Sự thay đổi thuộc tính an toàn, có thể với và/hoặc giá trị thuộc tính an toàn đã được thay đổi.

12.2.11. FMT_MSA.1 Quản lý các thuộc tính an toàn

Phân cấp từ: Không có các thành phần nào

Các mối phụ thuộc:

[FDP_ACC.1 Kiểm soát truy cập tập con, hoặc

FDP_IFC.1 Kiểm soát luồng thông tin tập con]

FMT_SMR.1 Các vai trò an toàn

FMT_SMF.1 Đặc tả các chức năng quản lý

12.2.11.1. FMT_MSA.1.1

TSF cần thực thi [chỉ định: điều khiển truy cập SFP, điều khiển luồng thông tin SFP] để hạn chế khả năng [lựa chọn: thay đổi mặc định, yêu cầu, thay đổi, xóa, [chỉ định: các thuật toán khác]] các thuộc tính an toàn [chỉ định: danh sách các thuộc tính an toàn] tới [chỉ định: các vai trò đã xác định và cấp phép].

12.2.12. FMT_MSA.2 Các thuộc tính an toàn

Phân cấp từ: Không có các thành phần nào

Các mối phụ thuộc:       [FDP_ACC.1 Kiểm soát truy cập tập con, hoặc

                                    FDP_IFC.1 Kiểm soát luồng thông tin con]

                                    FMT_MSA.1 Quản lý các thuộc tính an toàn

                                    FMT_SMR.1 Các vai trò an toàn

12.2.12.1. FMT_MSA.2.1

TSF cần đảm bảo rằng chỉ có những giá trị an toàn mới được chấp nhận cho [Chỉ định: Danh sách các thuộc tính an toàn].

12.2.13. FMT_MSA.3 Khởi tạo các thuộc tính tĩnh

Phân cấp từ: Không có các thành phần nào

Các mối phụ thuộc:       FMT_MSA.1 Quản lý các thuộc tính an toàn

                                    FMT_SMR.1 Các vai trò an toàn

12.2.13.1. FMT_MSA.3.1

TSF cần thực thi [chỉ định: kiểm soát truy cập SFP, kiểm soát luồng thông tin SFP] để cung cấp [lựa chọn, chọn một trong: ngăn cấm, cho phép, [chỉ định: thuộc tính khác]] các giá trị mặc định cho các thuộc tính an toàn được sử dụng để thực thi SFP.

12.2.13.2. FMT_MSA.3.2

TSF cần cho phép [chỉ định: các vai trò đã xác định và cấp phép] để đặc tả các giá trị khởi tạo khác thay cho các giá trị mặc định khi một đối tượng hay thông tin được tạo.

12.2.14. FMT_MSA.4

Phân cấp từ: Không có thành phần khác

Các mối phụ thuộc:       [FDP_ACC.1 Kiểm soát truy nhập tập con, hoặc

                                    FDP_IFC.1 Kiểm soát luồng thông tin tập con]

12.2.14.1. FMT_MSA.4.1

TSF cần sử dụng những quy tắc sau để thiết lập giá trị các thuộc tính an toàn: [chỉ định: quy tắc cho các thiết lập giá trị của thuộc tính an toàn].

12.3. Quản lý dữ liệu TSF (FMT_MTD)

12.3.1. Hành xử của họ

Họ này cho phép người dùng có thẩm quyền (các quy tắc) điều khiển qua quản lý dữ liệu TSF. Ví dụ dữ liệu TSF bao gồm thông tin kiểm toán, khóa, cấu hình hệ thống và các tham số cấu hình TSF khác.

12.3.2. Phân mức thành phần

FMT_MTD.1 Quản lý dữ liệu TSF, cho phép người dùng có thẩm quyền quản lý dữ liệu TSF.

FMT_MTD.2 Quản lý hạn chế trên dữ liệu TSF, xác định hành động được tạo ra nếu sự hạn chế dữ liệu TSF là đạt được hoặc vượt quá.

FMT_MTD.3 Dữ liệu TSF an toàn, đảm bảo rằng các giá trị được ấn định tới dữ liệu TSF là hợp lý với trạng thái an toàn.

12.3.3. Quản lý của FMT_MTD.1

Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:

a) Quản lý nhóm các quy tắc mà có thể tương tác với dữ liệu TSF.

12.3.4. Quản lý của FMT_MTD.2

Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:

a) Quản lý nhóm các quy tắc mà có thể tương tác với sự hạn chế trên dữ liệu TSF.

12.3.5. Quản lý của FMT_MTD.3

Không có các hoạt động quản lý nào.

12.3.6. Kiểm toán của FMT_MTD.1

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

a) Cơ sở: Tất cả việc thay đổi giá trị của dữ liệu TSF.

12.3.7. Kiểm toán của FMT_MTD.2

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

a) Cơ sở: Tất cả việc thay đổi tới việc hạn chế trên dữ liệu TSF.

b) Cơ sở: Tất cả việc thay đổi trong các hành động sinh ra trong trường hợp vi phạm sự hạn chế đó.

12.3.8. Kiểm toán của FMT_MTD.3

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

a) Tối thiểu: Tất cả các giá trị bị từ chối của dữ liệu TSF

12.3.9. FMT_MTD.1 Quản lý dữ liệu TSF

Phân cấp từ: Không có các thành phần nào

Các mối phụ thuộc:       FMT_SMR.1 Các vai trò an toàn

                                    FMT_SMF.1 Đặc tả các chức năng quản lý

12.3.9.1. FMT_MTD.1.1

TSF cần hạn chế khả năng [sự lựa chọn: thay đổi mặc định, thay đổi, xóa, xóa [chỉ định: các thuật toán khác]] [chỉ định: danh sách dữ liệu TSF] tới [chỉ định: các vai trò đã xác định và cấp phép].

12.3.10. FMT_MTD.2 Quản lý các hạn chế trên dữ liệu TSF

Phân cấp từ: Không có các thành phần nào

Các mối phụ thuộc:       FMT_MTD.1 Quản lý dữ liệu TSF

                                    FMT_SMR.1 Các vai trò an toàn

12.3.10.1. FMT_MTD.2.1

TSF cần hạn chế việc xác định hạn chế đối với [chỉ định: danh sách dữ liệu TSF] tới [chỉ định: các vai trò đã xác định và cấp phép]

12.3.10.2. FMT_MTD.2.2

TSF cần thực thi các hành động sau, nếu dữ liệu TSF là đạt hoặc vượt quá các hạn chế đã chỉ ra: [chỉ định: các hành động cần thực hiện]

12.3.11. FMT_MTD.3 Dữ liệu TSF an toàn

Phân cấp từ: Không có các thành phần nào

Các mối phụ thuộc: FMT_MTD.1 Quản lý dữ liệu TSF.

12.3.11.1. FMT_MTD.3.1

TSF cần đảm bảo rằng chỉ có các giá trị an toàn mới được chấp nhận cho dữ liệu TSF.

12.4. Hủy bỏ (FMT_REV)

12.4.1. Hành xử của họ

Họ này đề cập đến việc hủy bỏ các thuộc tính an toàn đối với một vài thực thể trong TOE.

12.4.2. Phân mức thành phần

FMT_REV.1 Hủy bỏ, cung cấp cho việc hủy bỏ các thuộc tính an toàn được bắt buộc tại một vài mốc thời gian.

12.4.3. Quản lý của FMT_REV.1

Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:

a) Quản lý nhóm các quy tắc mà có thể giúp cho việc thu hồi các thuộc tính an toàn.

b) Quản lý danh sách người dùng, chủ đề, đối tượng và các nguồn khác cho việc có thể thu hồi.

c) Quản lý các quy tắc thu hồi.

12.4.4. Kiểm toán của FMT_REV.1

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

a) Tối thiểu: Việc thu hồi các thuộc tính an toàn là không thành công.

b) Cơ sở: Tất cả việc thử để hủy bỏ các thuộc tính an toàn

12.4.5. FMT_REV.1 Hủy bỏ

Phân cấp từ: Không có các thành phần nào

Các mối phụ thuộc: FMT_SMR.1 Các vai trò an toàn

12.4.5.1. FMT_REV.1.1

TSF cần hạn chế khả năng lấy lại [chỉ định: danh sách các thuộc tính an toàn] liên quan tới [lựa chọn: người dùng, chủ thể, đối tượng, [chỉ định: các tài nguyên bổ sung khác]] dưới sự kiểm soát của TSC để [chỉ định: các vai trò đã xác định và cấp phép]

12.4.5.2. FMT_REV.1.2

TSF cần thực thi các quy tắc [chỉ định: đặc tả các quy tắc hủy bỏ]

12.5. Hết hạn thuộc tính an toàn [FMT_SAE]

12.5.1. Hành xử của họ

Họ này nhằm vào khả năng để thực thi các hạn chế về thời gian đối với giá trị các thuộc tính an toàn.

12.5.2. Phân mức thành phần

FMT_SAE.1 Giấy phép hạn chế thời gian, quy định khả năng đối với người dùng có thẩm quyền để xác định một thời gian tới hạn trên các thuộc tính an toàn đã xác định.

12.5.3. Quản lý của FMT_SAE.1

Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:

a) Quản lý danh sách các thuộc tính an toàn đối với giới hạn được trợ giúp.

b) Các hành động được thực hiện nếu thời gian tới hạn là đã qua

12.5.4. Kiểm toán của FMT_SAE.1

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

a) Cơ sở: Xác định thời gian tới hạn đối với thuộc tính

b) Cơ sở: Hành động xảy ra đúng với giới hạn thời gian

12.5.5. FMT_SAE.1 Cấp giấy phép hạn chế thời gian

Phân cấp từ: Không có các thành phần nào khác

Các mối phụ thuộc:       FMT_SMR.1 Các vai trò an toàn

                                    FMT_STM.1 Nhãn thời gian tin cậy

12.5.5.1. FMT_SAE.1.1

TSF cần hạn chế khả năng để xác định thời gian tới hạn đối với [chỉ định: danh sách các thuộc tính an toàn đối với giới hạn được trợ giúp] để [chỉ định: các vai trò đã xác định và cấp phép]

12.5.5.2. FMT_SAE.1.2

Đối với mỗi thuộc tính an toàn này, TSF cần có khả năng [chỉ định: danh sách các hành động thực hiện đối với mỗi thuộc tính an toàn] sau khi thời gian tới hạn cho thuộc tính an toàn được chỉ định đã qua.

12.6. Đặc tả các chức năng quản lý (FMT_SMF)

12.6.1. Hành xử của họ

Họ này cho phép việc xác định các chức năng quản lý được quy định bởi TOE. Các chức năng quản lý TFI cho phép người quản trị các tham số để điều khiển hoạt động của các lĩnh vực liên quan đến an toàn của TOE, như là: các thuộc tính bảo vệ dữ liệu để xác định các tham số để điều khiển thuật toán lĩnh vực liên quan đến an toàn của TOE, như là: thuộc tính bảo vệ dữ liệu, thuộc tính bảo vệ TOE, thuộc tính kiểm tra, các thuộc tính xác thực và định danh. Các chức năng quản lý cũng bao gồm các chức năng đó được thực thi bởi một người điều khiển để đảm bảo rằng hành động tiếp theo của TOE, như là sao lưu và phục hồi. Họ này làm việc trong sự kết hợp với các thành phần khác trong FMT: Các lớp quản lý an toàn: thành phần trong họ này gọi là các chức năng quản lý, và các họ khác trong FMT: quản lý an toàn hạn chế khả năng sử dụng các chức năng quản lý này.

12.6.2. Phân mức thành phần

FMT_SMF.1 Đặc tả các chức năng quản lý, yêu cầu TSF cung cấp các chức năng quản lý cụ thể.

12.6.3. Quản lý của FMT_SMF.1

Không có các hoạt động quản lý nào.

12.6.4. Kiểm toán của FMT_SMF.1

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

a) Tối thiểu: Sử dụng các chức năng quản lý

12.6.5. FMT_SMF.1 Định rõ các chức năng quản lý

Phân cấp từ: Không có các thành phần nào

Các mối phụ thuộc: Không có sự phụ thuộc nào

12.6.5.1. FMT_SMF.1.1

TSF cần có khả năng thực thi các chức năng quản lý an toàn sau: [chỉ định: danh sách các chức năng quản lý an toàn được quy định bởi TSF]

12.7. Các quy tắc quản lý an toàn (FMT_SMR)

12.7.1. Hành xử của họ

Họ này là được dùng để điều khiển việc ấn định các quy tắc khác nhau tới người dùng. Các khả năng của các quy tắc này với khía cạnh quản lý an toàn được miêu tả trong các họ khác trong lớp.

12.7.2. Phân mức thành phần

FMT_SMR.1 Các vai trò an toàn xác định các vai trò với các khía cạnh an toàn mà TSF thừa nhận.

FMT_SMR.2 Hạn chế về các vai trò an toàn, xác định rằng ngoài việc đặc tả các vai trò, còn có các quy tắc kiểm soát các mối quan hệ giữa các vai trò.

FMT_SMR.3 Chỉ định các vai trò, yêu cầu rõ rằng được đưa ra tới TSF để thừa nhận một quy tắc.

12.7.3. Quản lý của FMT_SMR.1

Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:

a) Quản lý nhóm người dùng là một phần của quy tắc.

12.7.4. Quản lý của FMT_SMR.2

Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:

a) Quản lý nhóm người dùng là một phần của quy tắc.

b) Quản lý các điều kiện mà các quy tắc phải thỏa mãn

12.7.5. Quản lý của FMT_SMR.3

Không có các hoạt động quản lý nào.

12.7.6. Kiểm toán của FMT_SMR.1

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

a) Tối thiểu: sự thay đổi tới nhóm người dùng là một phần của quy tắc

b) Chi tiết: mọi việc sử dụng quyền của quy tắc.

12.7.7. Kiểm toán của FMT_SMR.2

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

a) Tối thiểu: Sự thay đổi các nhóm người dùng là một phần của quy tắc

b) Tối thiểu: Việc sử dụng các quy tắc không thành công giúp đưa ra các điều kiện trên quy tắc đó.

c) Chi tiết: mọi việc sử dụng quyền của quy tắc.

12.7.8. Kiểm toán của FMT_SMR.3

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

a) Tối thiểu: Yêu cầu rõ ràng nhằm thừa nhận một quy tắc

12.7.9. FMT_SMR.1 Các quy tắc an toàn

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc: FIA_UID.1 Định thời cho định danh

12.7.9.1. FMT_SMR.1.1

TSF cần duy trì các vai trò [chỉ định: các vai trò đã xác định và cấp phép]

12.7.9.2. FMT_SMR.1.2

TSF cần có khả năng liên kết người dùng với các vai trò.

12.7.10. FMT_SMR.2 Hạn chế về các vai trò an toàn

Phân cấp từ: FMT_SMR.1 Các vai trò an toàn

Các mối phụ thuộc: FIA_UID.1 Định thời cho định danh

12.7.10.1. FMT_SMR.2.1

TSF cần duy trì các vai trò: [chỉ định: các vai trò đã xác định và cấp phép]

12.7.10.2. FMT_SMR.2.2

TSF cần có khả năng liên kết người dùng với vai trò.

12.7.10.3. FMT_SMR.2.3

TSF cần đảm bảo rằng các điều kiện [chỉ định: các điều kiện cho các vai trò khác nhau] được thỏa mãn.

12.7.11. FMT_SMR.3 Chỉ định các vai trò

Phân cấp từ: Không có các thành phần nào

Các mối phụ thuộc: FMT_SMR.1 Các vai trò liên quan

12.7.11.1. FMT_SMR.3.1

TSF cần có một yêu cầu rõ ràng để thừa nhận các vai trò sau: [chỉ định: các vai trò].

13. Lớp FPR: Riêng tư

Lớp này chứa các yêu cầu riêng tư. Các yêu cầu này giúp bảo vệ người dùng chống tiết lộ và lợi dụng danh tính các người khác.

 

Hình 13 - Phân cấp lớp FPR: Riêng tư

13.1. Nặc danh (FPR_ANO)

13.2. Hành xử của họ

Họ này cho phép người dùng có thể sử dụng một tài nguyên hoặc dịch vụ không cần biết định danh người dùng. Các yêu cầu nặc danh phục vụ cho bảo vệ danh tính người dùng. Nặc danh không dự tính để bảo vệ danh tính chủ thể.

13.1.2. Phân mức thành phần

FPR_ANO.1 Nặc danh, yêu cầu các người dùng khác hoặc các chủ thể khác không được có khả năng xác định danh tính một người dùng trong phạm vi một chủ thể hoặc một hoạt động.

FPR_ANO.2 Nặc danh không níu kéo thông tin, cải thiện các yêu cầu của FPR_ANO.1 Nặc danh bằng cách đảm bảo rằng TSF không hỏi danh tính người dùng.

13.1.3. Quản lý của FPR_ANO.1, FPR_ANO.2

Không có các hoạt động quản lý nào.

13.1.4. Kiểm toán của FPR_ANO.1, FPR_ANO.2

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

b) Tối thiểu: Viện dẫn cơ chế nặc danh.

13.1.5. FPR_ANO.1 Nặc danh

Phân cấp tới: Không có các thành phần nào

Các mối phụ thuộc: Không có.

13.1.5.1. FPR_ANO.1.1

TSF cần đảm bảo rằng [chỉ định: tập các người dùng và/hoặc chủ thể] không có khả năng xác định tên người dùng thật ràng buộc tới [chỉ định: danh sách các chủ thể và/hoặc hoạt động và/hoặc đối tượng].

12.1.6. FPR_ANO.2 Nặc danh không có thông tin níu kéo

Phân cấp tới: FPR_ANO.1 Nặc danh

Các mối phụ thuộc: Không có

13.1.6.1. FPR_ANO.2.1

TSF cần đảm bảo rằng [chỉ định: tập các người dùng và/hoặc chủ thể] không có khả năng xác định tên người dùng thật ràng buộc tới [chỉ định: danh sách các chủ thể và/hoặc hoạt động và/hoặc đối tượng].

13.1.6.2. FPR_ANO.2.2

TSF cần cho [chỉ định: danh sách các dịch vụ] tới [chỉ định: danh sách các chủ thể] không có bất kỳ tham chiếu níu kéo nào đến tên thật của người dùng.

13.2. Biệt danh (FPR_PSE)

13.2.1. Hành xử của họ

Họ này đảm bảo rằng một người sử dụng một tài nguyên hoặc dịch vụ không để lộ danh tính người dùng, song vẫn có thể chịu trách nhiệm về việc sử dụng.

13.2.2. Phân mức thành phần

FPR_PSE.1 Biệt danh yêu cầu một tập các người dùng và/hoặc chủ thể không được có khả năng xác định danh tính người dùng ràng buộc bởi một chủ thể hoặc hoạt động, song người dùng này vẫn phải chịu trách nhiệm về các hành động của họ.

FPR_PSE.2 Biệt danh nghịch đảo yêu cầu TSF có năng lực xác định danh tính người dùng chính thức dựa trên một bí danh đã quy định.

FPR_PSE.3 Biệt danh dấu tên yêu cầu TSF theo dõi các quy tắc cấu trúc nhất định cho bí danh để định danh người dùng.

13.2.3. Quản lý của FPR_PSE.1, FPR_PSE.2, FPR_PSE.3

Không có các hoạt động quản lý nào.

13.2.4. Kiểm toán của FPR_PSE.1, FPR_PSE.2, FPR_PSE.3

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

b) Tối thiểu: Chủ thể/người dùng được yêu cầu kiểm toán danh tính người dùng.

13.2.5. FPR_PSE.1 Biệt danh

Phân cấp tới: Không có thành phần nào.

Các mối phụ thuộc: Không có

13.2.5.1. FPR_PSE.1.1

TSF cần đảm bảo rằng [chỉ định: tập các người dùng và/hoặc chủ thể] không có khả năng xác định tên người dùng thật ràng buộc tới [chỉ định: danh sách các chủ thể và/hoặc hoạt động và/hoặc đối tượng].

13.2.5.2. FPR_PSE.1.2

TSF cần khả năng cho [chỉ định: số các bí danh] bí danh của tên người dùng thật tới [chỉ định: danh sách các chủ thể].

13.2.5.3. FPR_PSE.1.3

TSF cần [chọn lựa, chọn một trong: Xác định một bí danh cho người dùng, chấp nhận các bí danh từ người dùng và kiểm tra xem nó có tuân thủ theo [chỉ định: đơn vị bí danh].

13.2.6. FPR_PSE.2 Biệt danh nghịch đảo

Phân cấp tới: FPR_PSE.1 Biệt danh

Các mối phụ thuộc: FIA_UID.1 Định thời cho định danh

13.2.6.1. FPR_PSE.2.1

TSF cần đảm bảo rằng [chỉ định: tập các người dùng và/hoặc chủ thể] không có khả năng xác định tên người dùng thật ràng buộc với [chỉ định: danh sách các chủ thể và/hoặc hoạt động và/hoặc đối tượng].

13.2.6.2. FPR_PSE.2.2

TSF cần khả năng cho [chỉ định: số các bí danh] bí danh của tên người dùng thật tới [chỉ định: danh sách các chủ thể]

13.2.6.3. FPR_PSE.2.3

TSF cần [Chọn lựa, chọn một trong: Xác định một bí danh cho người dùng, chấp nhận các bí danh từ người dùng] và kiểm tra xem nó có tuân thủ theo [chỉ định: đơn vị bí danh].

13.2.6.4. FPR_PSE.2.4

TSF cần cung cấp [Chọn lựa: một người dùng có thẩm quyền, [chỉ định: danh sách các chủ thể tin cậy]] có năng lực xác định danh tính người dùng dựa trên các bí danh đã quy định chỉ trong điều kiện sau [chỉ định: danh sách các điều kiện].

13.2.7. FPR_PSE.3 Biệt danh bí danh

Phân cấp tới; FPR_PSE.1 Biệt danh.

Các mối phụ thuộc: Không có.

13.2.7.1. FPR_PSE.3.1

TSF cần đảm bảo rằng [chỉ định: tập các người dùng và/hoặc chủ thể] không có khả năng xác định tên người dùng thật ràng buộc với [chỉ định: danh sách các chủ thể và/hoặc hoạt động và/hoặc đối tượng].

13.2.7.2. FPR_PSE.3.2

TSF cần có khả năng cung cấp [chỉ định: số các bí danh] bí danh của tên người dùng thật tới [chỉ định: danh sách các chủ thể].

13.2.7.3. FPR_PSE.3.3

TSF cần [Chọn lựa: chọn một trong: Xác định một bí danh cho người dùng, chấp nhận các bí danh từ người dùng] và kiểm tra xem nó có tuân thủ theo [chỉ định: đơn vị bí danh].

13.2.7.4. FPR_PSE.3.4

TSF cần cung cấp một bí danh tới một tên người dùng thật và bí danh này cần trùng với bí danh cho trước theo điều kiện [chỉ định: danh sách các điều kiện], nếu không bí danh đã quy định cần không liên quan đến bí danh đã quy định trước đó.

13.3. Tính không thể liên kết (FPR_UNL)

13.3.1. Hành xử của họ

Họ này đảm bảo rằng một người dùng có thể sử dụng nhiều lần các tài nguyên và dịch vụ và không có khả năng liên kết các sử dụng đó với nhau được.

13.3.2. Phân mức thành phần

FPR_UNL.1 Tính không thể liên kết yêu cầu người dùng / chủ thể không được có khả năng xác định xem có đúng là cùng một người dùng đã gây ra các hoạt động đặc trưng xác định trong hệ thống.

13.3.3. Quản lý của FPR_UNL.1

Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:

b) Quản lý chức năng không thể liên kết.

13.3.4. Kiểm toán của FPR_UNL.1

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

b) Tối thiểu: Viễn dẫn cơ chế không thể liên kết.

13.3.5. FPR_UNL.1.1 Tính không thể liên kết

Phân cấp tới: Không có thành phần nào.

Các mối phụ thuộc: Không có.

13.3.5.1. FPR_UNL.1.1

TSF cần đảm bảo rằng [chỉ định: tập các người dùng và/hoặc chủ thể] không có khả năng xác định xem [chỉ định: danh sách các hoạt động][lựa chọn: gây ra bởi người dùng, liên quan như sau [chỉ định: danh sách các quan hệ]].

13.4. Tính không thể quan sát (FPR_UNO)

13.4.1. Hành xử của họ

Họ này đảm bảo rằng một người dùng có thể sử dụng một tài nguyên hoặc dịch vụ mà không có người nào khác, đặc biệt là đối tác thứ ba, có khả năng quan sát được tài nguyên hoặc dịch vụ đang sử dụng.

13.4.2. Phân mức thành phần

FPR_UNO.1 Tính không thể quan sát yêu cầu các người dùng và/hoặc chủ thể không được có khả năng xác định xem một hoạt động nào đang được thực hiện.

FPR_UNO.2 Tính không thể quan sát ảnh hưởng cấp phát thông tin yêu cầu TSF quy định các cơ chế xác định để tránh việc tập trung các thông tin liên quan đến sự riêng tư bên trong TOE. Sự tập trung đó có thể ảnh hưởng đến tính không thể quan sát nếu xảy ra một thỏa hiệp an toàn thông tin.

FPR_UNO.3 Tính không thể quan sát không có thông tin níu kéo yêu cầu TSF không được thử tìm cách lấy thông tin liên quan riêng tư để dùng cho thỏa hiệp tính không thể quan sát được.

FPR_UNO.4 Tính quan sát được dùng có thẩm quyền yêu cầu TSF quy định một hoặc nhiều người dùng có thẩm quyền, có năng lực quan sát sự sử dụng các tài nguyên và/hoặc dịch vụ.

13.4.3. Quản lý của FPR_UNO.1, FPR_UNO.2

Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:

a) Quản lý hành vi của chức năng không thể quan sát được.

13.4.4. Quản lý của FPR_UNO.3

Không có các hành động quản lý nào

13.4.5. Quản lý của FPR_UNO.4

Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:

a) Danh sách các người dùng có thẩm quyền có khả năng xác định việc xảy ra các hoạt động.

13.4.6. Kiểm toán của FPR_UNO.1, FPR_UNO.2

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

a) Tối thiểu: Viện dẫn cơ chế cho tính không thể quan sát được.

13.4.7. Kiểm toán của FPR_UNO.3

Không có các sự kiện kiểm toán nào.

13.4.8. Kiểm toán của FPR_UNO.4

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

a) Tối thiểu: Quan sát việc sử dụng một tài nguyên hoặc dịch vụ bởi một người dùng hoặc một chủ thể.

13.4.9. FPR_UNO.1 Tính không thể quan sát

Phân cấp từ: Không có các thành phần nào

Các mối phụ thuộc: Không có

13.4.9.1. FPR_UNO.1.1

TSF cần đảm bảo rằng [chỉ định: danh sách các người dùng và/hoặc chủ thể] không có khả năng quan sát được hoạt động [chỉ định: danh sách các hoạt động] trên [chỉ định: danh sách các đối tượng] thông qua [chỉ định: danh sách các người dùng và/hoặc chủ thể được bảo vệ].

13.4.10. FPR_UNO.2 Tính không thể quan sát ảnh hưởng đến cấp phát thông tin

Phân cấp từ: FPR_UNO.1 Tính không thể quan sát

Các mối phụ thuộc: Không có.

13.4.10.1. FPR_UNO.2.1

TSF cần đảm bảo rằng [chỉ định: danh sách các người dùng và/hoặc chủ thể] không có khả năng quan sát được hoạt động [Chỉ định: danh sách các hoạt động] trên [Chỉ định: danh sách các đối tượng] thông qua [Chỉ định: danh sách các người dùng và/hoặc chủ thể được bảo vệ].

13.4.10.2. FPR_UNO.2.2

TSF cần cấp phát [Chỉ định: Thông tin liên quan tính không thể quan sát được] trong số các phần của TOE sao cho điều kiện sau được giữ suốt thời gian tồn tại của thông tin [Chỉ định: danh sách các điều kiện].

13.4.11. FPR_UNO.3 Tính không thể quan sát không có thông tin níu kéo

Phân cấp từ: Không có thành phần nào.

Các mối phụ thuộc: FPR_UNO.1 Tính không thể quan sát.

13.4.11.1. FPR_UNO.3.1

TSF cần quy định [Chỉ định: danh sách các dịch vụ] cho [Chỉ định: danh sách các chủ thể] không níu kéo tham chiếu đến [Chỉ định: thông tin liên quan tính riêng tư].

13.4.12. FPR_UNO.4 Tính quan sát được người dùng có thẩm quyền

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc: Không có.

13.4.12.1. FPR_UNO.4.1

TSF cần quy định [Chỉ định: tập các người dùng có thẩm quyền] với năng lực quan sát việc sử dụng của [Chỉ định: danh sách các tài nguyên và/hoặc dịch vụ].

14. Lớp FPT: bảo vệ TSF

Lớp này bao gồm các họ yêu cầu chức năng liên quan đến tính toàn vẹn và sự quản lý của các cơ chế tạo thành TSF và tính toàn vẹn của dữ liệu TSF. Trong một số trường hợp, các họ trong lớp này có thể xuất hiện trong các thành phần lặp lại trong FDP: Lớp bảo vệ dữ liệu người dùng; chúng có thể được triển khai bằng việc sử dụng các cơ chế giống nhau. Mặc dù vậy, FDP: Bảo vệ dữ liệu người dùng tập trung vào bảo vệ dữ liệu người dùng, trong khi FPT: Bảo vệ TSF tập trung vào bảo vệ dữ liệu TSF. Thực tế, các thành phần trong FPT: Bảo vệ lớp TSF là cần thiết để đưa ra các yêu cầu mà các SFP trong TOE không bị xâm phạm hoặc vượt qua.

Từ việc xem xét lớp này, liên quan đến TSF, có ba phần tử quan trọng:

a) Việc triển khai TSF, trong đó thực hiện và triển khai các cơ chế để thực thi các SFR.

b) Dữ liệu TSF, đó là các cơ sở dữ liệu quản trị dùng để hướng dẫn thực thi các SFR.

c) Các thực thể bên ngoài mà TSF có thể tương tác với để thực thi các SFR.

Hình 14 - Sự phân cấp lớp FPT: Bảo vệ TSF

14.1. An toàn khi có lỗi (FPT_FLS)

14.1.1. Hành xử của họ

Các yêu cầu của họ này đảm bảo rằng TOE sẽ luôn thực thi các SFR của nó trong sự xuất hiện các danh mục lỗi trong TSF.

14.1.2. Phân mức thành phần

Họ này bao gồm chỉ một thành phần, FPT_FLS.1 Lỗi với sự bảo toàn trạng thái an toàn, yêu cầu TSF duy trì một trạng thái an toàn khi đối mặt với các lỗi được xác định.

14.1.3. Quản lý của FPT_FLS.1

Không có các hoạt động quản lý nào.

14.1.4. Kiểm toán của FPT_FLS.1

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

a) Cơ sở: lỗi của TSF.

14.1.5. FPT_FLS.1 Lỗi với bảo toàn trạng thái an toàn

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc: Không có sự phụ thuộc.

14.1.5.1. FPT_FLS.1.1

TSF cần phải duy trì một trạng thái an toàn khi xảy ra các kiểu lỗi sau: [chỉ định: danh sách các loại lỗi trong TSF].

14.2. Tính sẵn sàng xuất dữ liệu TSF (FPT_ITA)

14.2.1. Hành xử của họ

Họ này định nghĩa các quy tắc cho việc duy trì tính sẵn sàng chuyển dữ liệu TSF giữa TSF và một sản phẩm IT tin cậy khác. Dữ liệu này, ví dụ là dữ liệu quan trọng của TSF như là mật khẩu, khóa, dữ liệu kiểm toán hoặc mã thực thi TSF.

14.2.2. Phân mức thành phần

Họ này bao gồm chỉ một thành phần FPT_ITA.1 Tính sẵn sàng liên-TSF trong khoảng đơn vị đo tính sẵn sàng được định nghĩa trước. Thành phần này yêu cầu TSF đảm bảo, với một mức độ xác định có thể xảy ra, tính sẵn sàng của dữ liệu TSF quy định cho một sản phẩm IT tin cậy khác.

14.2.3. Quản lý của FPT_ITA.1

Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:

a) quản lý danh sách các loại dữ liệu TSF phải sẵn sàng đối với một sản phẩm IT tin cậy khác.

14.2.4. Kiểm toán của FPT_ITA.1

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

a) Tối thiểu: sự thiếu dữ liệu TSF khi được yêu cầu bởi một TOE.

14.2.5. FPT_ITA.1 Tính sẵn sàng liên TSF trong hệ tính sẵn sàng được định nghĩa

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc: Không có sự phụ thuộc.

14.1.5.1. FPT_ITA.1.1

TSF cần đảm bảo tính sẵn sàng của [chỉ định: danh sách các kiểu dữ liệu TSF] quy định một sản phẩm IT tin cậy khác trong [chỉ định: một đơn vị đo tính sẵn sàng được định nghĩa trước] đưa ra theo các điều kiện [chỉ định: các điều kiện đảm bảo tính sẵn sàng].

14.3. Tính bí mật của dữ liệu TSF xuất ra (FPT_ITC)

14.3.1. Hành xử của họ

Họ này định nghĩa các quy tắc bảo vệ dữ liệu từ việc xâm phạm không có quyền vào dữ liệu trong khi truyền giữa TSF và một sản phẩm IT tin cậy khác. Dữ liệu này có thể, ví dụ dữ liệu quan trọng của TSF như mật khẩu, mã khóa, dữ liệu kiểm toán hoặc mã thực thi TSF.

14.3.2. Phân mức thành phần

Họ này bao gồm chỉ một thành phần, FPT_ITC.1 Tính bí mật liên-TSF trong quá trình truyền tải, đòi hỏi TSF bảo đảm rằng dữ liệu được truyền giữa TSF và một sản phẩm IT tin cậy khác được bảo vệ khỏi xâm phạm trong quá trình truyền.

14.3.3. Quản lý của FPT_ITC.1

Không có các hoạt động quản lý nào.

14.3.4. Kiểm toán của FPT_ITC.1

Không có các hoạt động quản lý nào.

14.3.5. FPT_ITC.1 Độ tin cậy liên TSF trong quá trình truyền tải

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc: Không có sự phụ thuộc.

14.3.5.1. FPT_ITC.1.1

TSF cần bảo vệ tất cả dữ liệu TSF được truyền từ TSF đến một sản phẩm IT tin cậy khác khỏi sự xâm phạm bất hợp pháp trong quá trình truyền.

14.4. Tính toàn vẹn của dữ liệu TSF xuất ra (FPT_ITI)

14.4.1. Hành xử của họ

Họ này định nghĩa các quy tắc bảo vệ khỏi sự thay đổi bất hợp pháp dữ liệu TSF trong quá trình truyền giữa TSF và một sản phẩm IT tin cậy khác. Dữ liệu này ví dụ là dữ liệu TSF quan trọng như mật khẩu, mã khóa, dữ liệu kiểm toán hoặc mã thực thi TSF.

14.4.2. Phân mức thành phần

FPT_ITI.1 Phát hiện sửa đổi liên-TSF, cung cấp khả năng phát hiện sự thay đổi dữ liệu TSF trong quá trình truyền giữa TSF và sản phẩm IT tin cậy khác, với giả thiết rằng sản phẩm IT tin cậy khác đó có nhận biết được cơ chế sử dụng.

FPT_ITI.2 Phát hiện và chỉnh sửa thay đổi liên-TSF, cung cấp khả năng cho một sản phẩm IT tin cậy khác không những phát hiện sự thay đổi mà còn sửa sự thay đổi dữ liệu với giả thiết rằng sản phẩm IT tin cậy khác đó có nhận biết được chế độ sử dụng.

14.4.3. Quản lý của FPT_ITI.1

Không có các hoạt động quản lý nào.

14.4.4. Quản lý của FPT_ITI.2

Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:

a) Quản lý các dữ liệu TSF mà TSF có thể sửa chữa sự thay đổi trong quá trình truyền.

b) Quản lý các kiểu hoạt động mà TSF có thể thực hiện nếu dữ liệu TSF bị thay đổi trong quá trình truyền.

14.4.5. Kiểm toán của FPT_ITI.1

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

a) Tối thiểu: phát hiện sự thay đổi dữ liệu TSF trong quá trình truyền.

b) Cơ sở: hoạt động đưa ra trên phát hiện sự thay đổi dữ liệu TSF trong quá trình truyền.

14.4.6. Kiểm toán của FPT_ITI.2

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

a) Tối thiểu: phát hiện sự thay đổi dữ liệu TSF trong quá trình truyền.

b) Cơ sở: hành động đưa ra dựa theo phát hiện sự thay đổi dữ liệu TSF được truyền.

c) Cơ sở: sử dụng các cơ chế sửa lỗi.

14.4.7. FPT_ITI.1 Phát hiện sự thay đổi liên-TSF

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc: Không có sự phụ thuộc.

14.4.7.1. FPT_ITI.1.1

TSF cần cung cấp khả năng phát hiện sự thay đổi của tất cả dữ liệu TSF trong quá trình truyền giữa TSF và một sản phẩm IT tin cậy từ xa với hệ: [chỉ định: một đơn vị thay đổi xác định].

14.4.7.2. FPT_ITI.1.2

TSF cần cung cấp khả năng kiểm tra tính toàn vẹn của tất cả dữ liệu TSF được truyền giữa TSF và một sản phẩm IT tin cậy từ xa và thực hiện [chỉ định: hoạt động cần thực hiện] nếu sự thay đổi được phát hiện.

14.4.8. FPT_ITI.2 Phát hiện và chỉnh sửa thay đổi liên-TSF

Phân cấp từ: FPT_ITI.1 Phát hiện sự thay đổi liên-TSF

Các mối phụ thuộc: Không có sự phụ thuộc.

14.4.8.1. FPT_ITI.2.1

TSF cần cung cấp khả năng phát hiện sự thay đổi của tất cả dữ liệu TSF trong quá trình truyền giữa TSF và một sản phẩm IT tin cậy khác trong theo hệ sau: [chỉ định: một đơn vị thay đổi xác định]

14.4.8.2. FPT_ITI.2.2

TSF cần cung cấp khả năng phát hiện sự thay đổi của tất cả dữ liệu truyền giữa TSF và một sản phẩm IT tin cậy khác và thực hiện [chỉ định: hành động được đưa ra] nếu phát hiện sự thay đổi.

14.4.8.3. FPT_ITI.2.3

TSF cần cung cấp khả năng sửa lỗi [chỉ định: kiểu thay đổi] của tất cả dữ liệu TSF được truyền giữa TSF và một sản phẩm IT tin cậy khác.

14.5. Vận chuyển dữ liệu nội bộ TOE TSF (FPT_ITT)

14.5.1. Hành xử của họ

Họ này đưa ra các yêu cầu đề cập đến việc bảo vệ dữ liệu TSF khi nó được truyền giữa các phần khác nhau bên trong TOE qua một kênh nội bộ.

14.5.2. Phân mức thành phần

FPT_ITT.1 Bảo vệ vận chuyển dữ liệu nội bộ TSF, yêu cầu dữ liệu TSF được bảo vệ khi truyền giữa các phần khác nhau trong TOE.

FPT_ITT.2 Phân chia vận chuyển dữ liệu, yêu cầu TSF phân chia dữ liệu người dùng từ dữ liệu TSF trong quá trình truyền.

FPT_ITT.3 Giám sát tính toàn vẹn dữ liệu, yêu cầu dữ liệu TSF được truyền giữa các thành phần khác nhau của TOE được giám sát các lỗi về toàn vẹn xác định trước.

14.5.3. Quản lý của FPT_ITT.1

Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:

a) Quản lý các loại chống sự thay đổi mà TSF cần bảo vệ;

b) Quản lý các cơ chế sử dụng để cung cấp khả năng bảo vệ dữ liệu trong quá trình truyền giữa các phần khác nhau của TSF.

14.5.4. Quản lý của FPT_ITT.2

Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:

a) quản lý các loại chống lại sự thay đổi mà TSF bảo vệ.

b) quản lý các cơ chế sử dụng để cung cấp khả năng bảo vệ dữ liệu trong quá trình truyền giữa các phần khác nhau của TSF.

c) quản lý cơ chế phân chia.

14.5.5. Quản lý của FPT_ITT.3

Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:

a) quản lý các loại chống lại sự thay đổi mà TSF bảo vệ.

b) quản lý các cơ chế sử dụng để cung cấp khả năng bảo vệ dữ liệu trong quá trình truyền giữa các phần khác nhau của TSF.

c) quản lý các kiểu thay đổi dữ liệu TSF mà TSF cần phát hiện.

d) Quản lý các hoạt động được đưa ra.

14.5.6. Kiểm toán của FPT_ITT.1, FPT_ITT.2

Không có sự kiện có thể kiểm toán nào.

14.5.7. Kiểm toán của FPT_ITT.3

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

a) Tối thiểu: phát hiện sự thay đổi dữ liệu TSF;

b) Cơ sở: đưa ra hành động dựa theo sự phát hiện lỗi toàn vẹn.

14.5.8. FPT_ITTI.1 Bảo vệ vận chuyển dữ liệu nội bộ TSF cơ bản

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc: Không có sự phụ thuộc.

14.5.8.1. FPT_ITT.1.1

TSF cần bảo vệ dữ liệu TSF từ [lựa chọn: xâm phạm, thay đổi] khi nó được truyền giữa các phần khác nhau của TOE.

14.5.9. FPT_ITT.2 Phân chia vận chuyển dữ liệu TSF

Phân cấp từ: FPT_ITT.1 Bảo vệ vận chuyển dữ liệu nội bộ TSF cơ bản.

Các mối phụ thuộc: Không có sự phụ thuộc.

14.5.9.1. FPT_ITT.2.1

TSF cần bảo vệ dữ liệu từ [lựa chọn: xâm phạm, thay đổi] khi nó được truyền giữa các phần khác nhau của TOE.

14.5.9.2. FPT_ITT.2.2

TSF cần phân tách dữ liệu người dùng từ dữ liệu TSF khi dữ liệu đó được truyền giữa các phần khác nhau của TOE.

14.5.10. FPT_ITT.3 Giám sát tính toàn vẹn dữ liệu TSF

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc: FPT_ITT.1 Bảo vệ vận chuyển dữ liệu nội bộ TSF cơ bản.

14.5.10.1. FPT_ITT.3.1

TSF cần có khả năng phát hiện [lựa chọn:thay đổi dữ liệu, thay thế dữ liệu, sắp xếp lại dữ liệu, xóa dữ liệu, [chỉ định: các lỗi toàn vẹn khác]] đối với dữ liệu TSF được truyền giữa các thành phần khác nhau của TOE.

 14.5.10.2. FPT_ITT.3.2

Khi phát hiện lỗi toàn vẹn dữ liệu, TSF cần thực hiện các hành động sau: [Chỉ định: xác định hành động cần thực hiện].

14.6. Bảo vệ vật lý TSF (FPT_PHP)

14.6.1. Hành xử của họ

Bảo vệ các thành phần vật lý TSF tham chiếu đến giới hạn quyền truy nhập vật lý đến TSF, và sự ngăn chặn chúng, và bảo vệ trước thay đổi vật lý trái phép, hoặc thay thế trong TSF.

Các yêu cầu đối với các thành phần trong họ này đảm bảo rằng TSF được bảo vệ khỏi sự giả mạo và sự can thiệp vật lý. Để thỏa mãn các yêu cầu đó thì các kết quả các thành phần này trong TSF được đóng gói và sử dụng như là một kiểu mà sự xâm phạm vật lý được phát hiện, hoặc sự phản ứng với xâm phạm vật lý bị ngăn chặn. Không có các thành phần này, các chức năng của một TSF bị mất tác dụng trong môi trường mà ở đó sự phá hủy vật lý không được ngăn chặn. Họ này cũng quy định các yêu cầu về cách mà TSF phản ứng lại các xâm phạm vật lý.

14.6.2. Phân mức thành phần

FPT_PHP.1 phát hiện thụ động với tấn công vật lý, cung cấp các đặc trưng chỉ ra khi một thiết bị TSF hoặc phần tử TSF là chủ thể bị xâm phạm. Tuy nhiên thông báo về xâm phạm không tự động; một người dùng được phép sẽ phải thực hiện một chức năng quản lý an toàn, hoặc thực hiện thẩm tra thủ công để xác định xem có hiện tượng xâm phạm xảy ra hay không.

FPT_PHP.2 Thông báo tấn công vật lý, cung cấp thông báo tự động về một tấn công với một tập các xâm phạm vật lý đã được xác định.

FPT_PHP.3 Phản ứng lại tấn công vật lý, cung cấp các đặc trưng để ngăn chặn hoặc chống lại sự xâm phạm đến các thiết bị và các phần tử TSF.

14.6.3. Quản lý của FPT_PHP.1

Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:

a) Quản lý người sử dụng hay các quyền mà nó xác định liệu tấn công vật lý có thể xảy ra.

14.6.4. Quản lý của FPT_PHP.2

Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:

a) Quản lý người sử dụng hay quyền mà họ nhận được thông báo vệ sự xâm nhập.

b) Quản lý danh sách các thiết bị mà nó sẽ thông báo chỉ ra người hoặc vai trò của họ về sự xâm nhập.

14.6.5. Quản lý của FPT_PHP.3

Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:

a) Quản lý các phản ứng tự động với sự xâm phạm vật lý.

14.6.6. Kiểm toán của FPT_PHP.1

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

a) Tối thiểu: Nếu phát hiện bởi các phương tiện IT, sự phát hiện xâm nhập.

14.6.7. Kiểm toán của FPT_PHP.2

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

a) Tối thiểu: phát hiện xâm nhập.

14.6.8. Kiểm toán của FPT_PHP.3

Không có sự kiện có thể kiểm toán nào.

14.6.9. FPT_PHP.1 Phát hiện thụ động tấn công vật lý

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc: Không có sự phụ thuộc.

14.6.9.1. FPT_PHP.1.1

TSF cần cung cấp khả năng phát hiện rõ ràng về tấn công vật lý có thể làm tồn tại đến TSF.

14.6.9.2. FPT_PHP.1.2

TSF cần cung cấp khả năng xác định liệu có xảy ra tấn công vật lý đến các thiết bị hoặc phần tử của TSF.

14.6.10. FPT_PHP.2 Thông báo tấn công vật lý

Phân cấp từ: FPT_PHP.1 Phát hiện thụ động tấn công vật lý

Các mối phụ thuộc: FMT_MOF.1 Quản lý các hành xử của chức năng an toàn.

14.6.10.1. FPT_PHP.2.1

TSF cần cung cấp khả năng phát hiện rõ ràng về tấn công vật lý có thể làm tổn hại đến TSF.

14.6.10.2. FPT_PHP.2.2

TSF cần cung cấp khả năng xác định liệu tấn công vật lý có thể xảy ra đối với các thiết bị hoặc phần tử TSF.

14.6.10.3. FPT_PHP.2.3

Với [chỉ định: danh sách các thiết bị/phần tử TSF có yêu cầu phát hiện tích cực], TSF cần giám sát các thiết bị và phần tử và thông báo [chỉ định: một người sử dụng hay một vai trò đã xác định] khi xảy ra tấn công vật lý với các thiết bị hoặc phần tử TSF.

14.6.11. FPT_PHP.3 Chống tấn công vật lý

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc: Không có sự phụ thuộc.

14.6.11.1. FPT_PHP.3.1

TSF cần chống lại [chỉ định: các kịch bản tấn công vật lý] đối với [chỉ định: danh sách các thiết bị/phần tử TSF] bằng việc phản ứng một cách tự động sao cho TSP không bị vi phạm.

14.7. Khôi phục tin cậy (FPT_RCV)

14.7.1. Hành xử của họ

Các yêu cầu của họ này đảm bảo rằng TSF có thể xác định TOE được khởi động mà không có khả năng bảo vệ và có thể khôi phục sau khi bị ngừng hoạt động. Họ này rất quan trọng bởi vì trạng thái khởi động TSF xác định sự bảo vệ các trạng thái tiếp theo.

14.7.2. Phân mức thành phần

FPT_RCV.1 Khôi phục thủ công, cho phép một TOE quy định cơ chế can thiệp của con người vào trạng thái an toàn.

FPT_RCV.2 Tự động khôi phục, quy định tối thiểu một dạng dịch vụ khôi phục sự gián đoạn trạng thái an toàn mà không cần can thiệp của con người, khôi phục các gián đoạn khác có thể vẫn cần sự can thiệp của con người.

FPT_RCV.3 Tự động khôi phục không làm tổn hại lớn cũng cung cấp khả năng khôi phục tự động nhưng nó mạnh hơn bằng cách ngăn chặn các tổn thất lớn đối với các đối tượng được bảo vệ.

FPT_RCV.4 Chức năng khôi phục, cung cấp khả năng khôi phục ở mức SF đặc biệt, đảm bảo khôi phục dữ liệu TSF sang trạng thái an toàn hoàn toàn.

14.7.3. Quản lý của FPT_RCV.1

Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:

a) Quản lý việc ai có quyền khôi phục trong chế độ bảo trì

14.7.4. Quản lý của FPT_RCV.2, FPT_RCV.3

Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:

a) Quản lý có quyền khôi phục trong chế độ bảo trì.

b) Quản lý danh sách lỗi/gián đoạn dịch vụ có thể kiểm soát thông qua các thủ tục tự động

14.7.5. Quản lý của FPT_RCV.4

Không có hoạt động quản lý nào.

14.7.6. Kiểm toán của FPT_RCV.1, FPT_RCV.2, FPT_RCV.3

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

a) Tối thiểu: thực tế lỗi hoặc gián đoạn dịch vụ có thể xảy ra.

b) Tối thiểu: bắt đầu hoạt động lại một cách bình thường.

c) Cơ sở: loại lỗi hoặc gián đoạn dịch vụ.

14.7.7. Kiểm toán của FPT_RCV.4

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

a) Tối thiểu: nếu có thể, tính không thể trở về trạng thái an toàn sau lỗi của một chức năng an toàn.

b) Cơ sở: nếu có thể, sự phát hiện lỗi của một chức năng an toàn.

14.7.8. FPT_RCV.1 Khôi phục thủ công

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc: AGD_OPE.1 Hướng dẫn người dùng vận hành.

14.7.8.1. FPT_RCV.1.1

Sau khi [chỉ định: danh sách lỗi/gián đoạn dịch vụ] TSF cần đưa ra chế độ bảo trì mà ở đó cung cấp khả năng trở về trạng thái an toàn.

14.7.9. FPT_RCV.2 Khôi phục tự động

Phân cấp từ: FPT_TCV.1 Khôi phục thủ công

Các mối phụ thuộc: AGD_OPE.1 Hướng dẫn người dùng vận hành.

14.7.9.1. FPT_RCV.2.1

Khi tự động khôi phục từ [chỉ định: danh sách lỗi/gián đoạn dịch vụ] là không thể, thì TSF cần về chế độ bảo trì, có khả năng quay trở lại trạng thái an toàn.

14.7.9.2. FPT_RCV.2.2

Với [chỉ định: danh sách lỗi/gián đoạn dịch vụ] TSF cần bảo đảm TOE trở về trạng thái an toàn sử dụng các thủ tục tự động

14.7.10. FPT_RCV.3 Khôi phục tự động tránh tổn thất lớn

Phân cấp từ: FPT_RCV.2 Khôi phục tự động.

Các mối phụ thuộc: AGD_OPE.1 Hướng dẫn người dùng vận hành.

14.7.10.1. FPT_RCV.3.1

Khi khôi phục tự động từ [chỉ định: danh sách lỗi/gián đoạn dịch vụ] là không thể, TSF cần chuyển sang chế độ bảo trì, nơi có khả năng quay trở lại trạng thái an toàn.

14.7.10.2. FPT_RCV.3.2

Với [chỉ định: danh sách lỗi/gián đoạn dịch vụ], TSF cần đảm bảo TOE quay trở lại trạng thái an toàn sử dụng các thủ tục tự động.

14.7.10.3. FPT_RCV.3.3

Các chức năng quy định bởi TSF để khôi phục lỗi hoặc gián đoạn dịch vụ cần đảm bảo rằng trạng thái khởi động an toàn được khôi phục không vượt quá [chỉ định: số lượng] đối với tổn thất dữ liệu TSF hoặc đối tượng trong TSC.

14.7.10.4. FPT_RCV.3.4

TSF cần cung cấp khả năng xác định các đối tượng có hoặc không có khả năng khôi phục.

14.7.11. FPT_RCV.4 Khôi phục chức năng

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc: Không có sự phụ thuộc.

14.7.11.1. FPT_RCV.4.1

TSF cần đảm bảo [chỉ định: danh sách SFs và các kịch bản lỗi] có đặc tính là hoặc SF hoàn thành thành công hoặc chỉ ra các kịch bản lỗi, khôi phục về trạng thái an toàn và phù hợp.

14.8. Phát hiện chạy lại (FPT_RPL)

14.8.1. Hành xử của họ

Họ này đề cập đến việc phát hiện và chạy lại với các loại thực thể trước đó (ví dụ: tin nhắn, yêu cầu dịch vụ, đáp ứng dịch vụ) và các hoạt động tiếp theo để sửa lỗi. Trong trường hợp này vị trí chạy lại được phát hiện và như vậy nó có thể ngăn ngừa một cách hiệu quả.

14.8.2. Phân mức thành phần

Họ này bao gồm chỉ một thành phần FPT_RPL.1 Phát hiện chạy lại, nó đòi hỏi TSF có khả năng phát hiện các thực thể xác định chạy lại.

14.8.3. Quản lý của FPT_RPL.1

Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:

a) Quản lý danh sách các thực thể xác định được phát hiện chạy lại.

b) Quản lý danh sách các hoạt động cần đưa ra trong trường hợp chạy lại.

14.8.4. Kiểm toán của FPT_RPL.1

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

a) Cơ sở: phát hiện các tấn công chạy lại

b) Chi tiết: Hoạt động đưa ra dựa trên các hoạt động cụ thể.

14.8.5. FPT_RPL.1 Phát hiện chạy lại

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc: Không có sự phụ thuộc.

14.8.5.1. FPT_RPL.1.1

TSF cần phát hiện chạy lại theo các thực thể như sau: [chỉ định: danh sách các thực thể xác định].

14.8.5.2. FPT_RPL.1.2

TSF cần thực hiện [Chỉ định: danh sách các hoạt động cụ thể] khi phát hiện chạy lại.

14.9. Giao thức đồng bộ trạng thái (FPT_SSP)

14.9.1. Hành xử của họ

Hệ thống phân tán có thể có độ phức tạp hơn nhiều so với các hệ thống tập trung vì các trạng thái khác nhau giữa các phần của hệ thống, và vì độ trễ trong truyền thông. Trong hầu hết các trường hợp đồng bộ trạng thái giữa các chức năng phân tán cần phải có một giao thức trao đổi, không chỉ đơn giản là một hành động. Khi xuất hiện điểm yếu trong môi trường phân tán của các giao thức này thì cần có nhiều hơn các giao thức bảo vệ phức tạp hơn.

Giao thức đồng bộ trạng thái (FPT_SSP) thiết lập yêu cầu cho các chức năng an toàn trọng yếu nhất định của TSF để sử dụng giao thức tin cậy này. Giao thức đồng bộ trạng thái đảm bảo rằng hai thành phần phân tán của TOE (ví dụ như các máy chủ) được đồng bộ trạng thái sau khi có hành động an toàn thích hợp.

14.9.2. Phân mức thành phần

FPT_SSP.1 Xác nhận tin cậy đơn, đòi hỏi chỉ một xác nhận đơn giản từ phía người nhận dữ liệu.

FPT_SSP.2 Xác nhận tin cậy tương hỗ, đòi hỏi xác nhận từ cả hai phía trao đổi dữ liệu.

14.9.3. Quản lý của FPT_SSP.1, FPT_SSP.2

Không có các hoạt động quản lý nào.

14.9.4. Kiểm toán của FPT_SSP.1, FPT_SSP.2

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

a) Tối thiểu: nhận được thông báo lỗi khi có nhu cầu.

14.9.5. FPT_SSP.1 Xác nhận tin cậy một chiều (đơn)

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc: FPT_ITT.1 Bảo vệ vận chuyển dữ liệu nội bộ TSF cơ bản.

14.9.5.1. FPT_SSP.1.1

TSF cần xác nhận, khi có yêu cầu của một bộ phận khác trong TSF, cho nơi nhận truyền dữ liệu TSF không thay đổi.

14.9.6. FPT_SSP.2 Xác nhận tin cậy hai chiều

Phân cấp từ: FPT_SSP.1 Xác nhận tin cậy đơn giản.

Các mối phụ thuộc: FPT_ITT.1 Bảo vệ vận chuyển dữ liệu nội bộ TSF cơ bản.

14.9.6.1. FPT_SSP.2.1

TSF cần xác nhận, khi có yêu cầu của một bộ phận khác trong TSF, cho nơi nhận truyền dữ liệu TSF không thay đổi.

14.9.6.2. FPT_SSP.2.2

TSF cần đảm bảo rằng các thành phần tương ứng của TSF nhận biết được trạng thái đúng của dữ liệu truyền trong số các thành phần khác nhau, sử dụng các xác nhận.

14.10. Nhãn thời gian (FPT_STM)

14.10.1. Hành xử của họ

Họ này xác định các yêu cầu cho chức năng nhãn thời gian tin cậy trong TOE.

14.10.2. Phân mức thành phần

Họ này bao gồm chỉ một thành phần, FPT_STM.1 Các nhãn thời gian tin cậy, nó đòi hỏi TSF quy định các nhãn thời gian tin cậy cho các chức năng TSF.

14.10.3. Quản lý của FPT_STM.1

Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:

a) Quản lý thời gian.

14.10.4. Kiểm toán của FPT_STM.1

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

a) Tối thiểu: thay đổi thời gian

b) Chi tiết: quy định một nhãn thời gian.

14.10.5. FPT_STM.1 Thẻ thời gian tin cậy

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc: Không có sự phụ thuộc.

14.10.5.1. FPT_STM.1.1

TSF cần có khả năng quy định các nhãn thời gian tin cậy.

14.11. Tính nhất quán dữ liệu liên-TSF (FPT_TDC)

14.11.1. Hành xử của họ

Trong môi trường hệ thống phân tán hoặc phức hợp, một TOE có thể cần trao đổi dữ liệu TSF (ví dụ các thuộc tính SFP liên quan đến dữ liệu, thông tin kiểm toán, thông tin định danh) với các sản phẩm IT tin cậy khác, họ này định nghĩa các yêu cầu cho việc chia sẻ và thể hiện tính nhất quán của các thuộc tính này giữa TSF và TOE và các sản phẩm IT tin cậy khác.

14.11.2. Phân mức thành phần

FPT_TDC.1 Tính nhất quán dữ liệu TSF cơ sở liên-TSF đòi hỏi TSF cung cấp khả năng đảm bảo tính nhất quán của các thuộc tính giữa các TSF.

14.11.3. Quản lý của FPT_TDC.1

Không có các hoạt động quản lý nào.

14.11.4. Kiểm toán của FPT_TDC.1

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

a) Tối thiểu: sử dụng thành công các cơ chế nhất quán dữ liệu TSF.

b) Cơ sở: sử dụng các cơ chế nhất quán dữ liệu TSF.

c) Cơ sở: xác định dữ liệu TSF nào được chuyển đổi.

d) Cơ sở: phát hiện thay đổi dữ liệu.

14.11.5. FPT_TDC.1 Tính nhất quán dữ liệu TSF cơ bản liên-TSF

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc: Không có sự phụ thuộc.

14.11.5.1. FPT_TDC.1.1

TSF cần cung cấp khả năng giải nghĩa một cách nhất quán [chỉ định: danh sách kiểu dữ liệu TSF] khi chia sẻ giữa TSF và sản phẩm CNTT tin cậy khác.

14.11.5.2. FPT_TDC.1.2

TSF cần sử dụng [chỉ định: danh sách các quy tắc chuyển đổi được áp dụng bởi TSF] khi giải nghĩa dữ liệu TSF từ sản phẩm IT tin cậy khác.

14.12. Kiểm thử các thực thể bên ngoài (FPT_TEE)

14.12.1. Hành xử của họ

Họ này định nghĩa các yêu cầu cho TSF thực thi các kiểm thử trên một hoặc nhiều thực thể bên ngoài.

Thành phần này không được tính đến để áp dụng cho con người.

Các thực thể bên ngoài có thể bao gồm các ứng dụng chạy trên TOE, phần cứng hay phần mềm chạy "bên dưới" TOE (chẳng hạn như các nền tảng, các hệ điều hành v.v…) hay các ứng dụng/hộp kết nối với TOE (như các hệ thống phát hiện xâm nhập, tường lửa, các máy chủ đăng nhập, các máy chủ thời gian v.v…).

14.12.2. Phân mức thành phần

FPT_TEE.1 Kiểm thử các thực thể bên ngoài, cung cấp các kiểm thử về các thực thể bên ngoài nhờ TSF.

14.12.3. Quản lý của FPT_TEE.1

Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:

a) Quản lý với các điều kiện mà theo đó các kiểm thử của các thực thể bên ngoài xảy ra, chẳng hạn như trong quá trình khởi động ban đầu, khoảng thời gian quy định, hay dưới các điều kiện đặc biệt;

b) Quản lý theo khoảng thời gian nếu thích hợp.

14.12.4. Kiểm toán cho FPT_TEE.1

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

a) Cơ sở: Việc thực hiện việc kiểm thử của các thực thể bên ngoài và các kết quả kiểm thử.

14.12.5. FPT_TEE.1 Kiểm thử các thực thể bên ngoài

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc: Không có sự phụ thuộc.

6.1.1.3. FPT_TEE.1.1

TSF cần chạy một bộ các kiểm thử [lựa chọn: trong suốt thời gian khởi động ban đầu, định kỳ trong quá trình hoạt động bình thường, tại các yêu cầu của người dùng có thẩm quyền, [chỉ định: các điều kiện khác]] để kiểm tra việc thực hiện của [chỉ định: danh sách các thuộc tính của các thực thể bên ngoài].

6.1.1.4. FPT_TEE.1.2

Nếu các kiểm thử thất bại, TSF cần [chỉ định: các hành động]

14.13. Tính nhất quán bản sao dữ liệu bên trong TOE TSF (FPT_TRC)

14.13.1. Hành xử của họ

Các yêu cầu của họ này cần thiết để đảm bảo tính nhất quán của dữ liệu khi dữ liệu được sao lưu trong TOE. Dữ liệu như vậy có thể trở thành không nhất quán nếu kênh truyền bên trong giữa các bộ phận của TOE làm ngưng hoạt động. Nếu TOE được xây dựng bên trong như một là một mạng và một phần các kết nối mạng TOE bị đứt thì điều này có thể xảy ra khi phần đó trở là không kích hoạt.

14.13.2. Phân mức thành phần

Họ này bao gồm chỉ một thành phần, FPT_TRC.1 - tính nhất quán trong TSF các yêu cầu này là TSF đảm bảo tính nhất quán của dữ liệu TSF khi nó được sao lưu tại nhiều nơi.

14.13.3. Quản lý của FPT_TRC.1

Không có các hoạt động quản lý nào.

14.13.4. Kiểm toán của FPT_TRC.1

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

a) Tối thiểu: Khôi phục tính nhất quán theo khôi phục kết nối.

b) Cơ sở: Phát hiện tính không nhất quán của dữ liệu TSF.

14.13.5. FPT_TRC.1 Tính nhất quán bên trong TSF

Phân cấp từ: Không có thành phần khác.

Các mối phụ thuộc: FPT_ITT.1 Bảo vệ truyền dữ liệu trong TSF cơ bản.

14.13.5.1. FPT_TRC.1.1

TSF cần đảm bảo dữ liệu TSF là nhất quán khi sao chép giữa các phần của TOE.

14.13.5.2. FPT_TRC.1.2

Khi các phần của TOE chứa dữ liệu sao chép TSF bị gián đoạn, TSF cần đảm bảo tính nhất quán của dữ liệu sao chép TSF từ khi kết nối lại trước khi xử lý bất cứ yêu cầu nào cho [chỉ định: danh sách các SF phụ thuộc vào tính nhất quán sao chép dữ liệu TSF].

14.14. Tự kiểm tra TSF (FPT_TST)

14.14.1. Hành xử của họ

Họ này định nghĩa các yêu cầu cho việc tự kiểm tra TSF tập trung vào một số hoạt động chuẩn mong muốn. Ví dụ các giao diện đối với các chức năng thực thi và các hoạt động số học lấy mẫu trên cơ sở các phần quan trọng của TOE. Các kiểm tra này có thể thực hiện tại lúc khởi tạo, định kỳ, tại lúc có yêu cầu của người đủ thẩm quyền, hoặc khi thỏa mãn các điều kiện khác. Các hoạt động có thể được đưa ra bởi TOE như là kết quả của việc tự kiểm tra được định nghĩa trong các họ khác.

Các yêu cầu của họ cũng cần thiết để phát hiện sự gián đoạn của mã thực thi TSF (ví dụ phần mềm TSF) và dữ liệu TSF bởi các lỗi khác mà không cần thiết phải dừng hoạt động của TOE (nó được kiểm soát bởi các họ khác) các kiểm tra này phải được thực hiện bởi vì các lỗi đó có thể không cần thiết phải bảo vệ. Các lỗi như vậy có thể xảy ra hoặc vì các chế độ lỗi không được dự đoán trước hoặc liên quan đến sai sót trong thiết kế phần cứng, phần mềm, hoặc bởi vì sự gián đoạn cố ý của TSF vì không phù hợp logic và/hoặc sự bảo vệ vật lý.

14.14.2. Phân mức thành phần

FPT_TST.1 TSF kiểm tra, cung cấp khả năng kiểm tra hoạt động đúng của TSF. Các kiểm tra này có thể được thực hiện tại thời điểm khởi động, định kỳ, hoặc theo yêu cầu của người có thẩm quyền, hay khi các điều kiện khác thỏa mãn. Nó cũng cung cấp khả năng kiểm tra tính toàn vẹn của dữ liệu TSF và mã thực thi.

14.14.3. Quản lý của FPT_TST.1

Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:

a) Quản lý các điều kiện để TSF tự kiểm tra, ví dụ trong khi khởi động, khoảng thời gian đều đặn hoặc theo một số điều kiện cụ thể.

b) Quản lý khoảng thời gian thích hợp.

14.14.4. Kiểm toán của FPT_TST.1

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

a) Cơ sở: thực hiện tự kiểm tra TSF và các kết quả kiểm tra.

14.14.5. FPT_TST.1 kiểm tra TSF

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc: Không có sự phụ thuộc.

14.14.5.1. FPT_TST.1.1

TSF cần thực hiện một bộ các tự kiểm tra [lựa chọn: trong quá trình khởi tạo, hoạt động một cách định kỳ, tại thời điểm yêu cầu của người có thẩm quyền, ở các điều kiện [chỉ định: các điều kiện cho tự kiểm tra]] để chứng tỏ hoạt động của TSF là đúng đắn. [lựa chọn: [ấn định: các bộ phận của TSF], TSF].

14.14.5.2. FPT_TST.1.2

TSF cần quy định cho người sử dụng hợp pháp khả năng kiểm tra tính toàn vẹn của [lựa chọn: [chỉ định: các bộ phận của TSF], dữ liệu TSF].

14.14.5.3. FPT_TST.1.3

TSF cần quy định cho người sử dụng hợp pháp khả năng kiểm tra tính toàn vẹn của mã thực thi được lưu trong TSF.

15. Lớp FRU: Sử dụng tài nguyên

Lớp này giới thiệu 3 họ hỗ trợ cho tính sẵn sàng của các tài nguyên được yêu cầu, chẳng hạn như về khả năng xử lý và/hay dung lượng dự trữ. Họ khả năng chịu lỗi (Faul Tolerance) quy định sự bảo vệ đối với khả năng không sẵn sàng do lỗi của TOE gây ra. Họ Quyền ưu tiên của dịch vụ (Priority of Service) đảm bảo tài nguyên sẽ được cấp phát cho những nhiệm vụ quan trọng hơn và tài nguyên đó không thể giữ độc quyền bởi những nhiệm vụ có quyền ưu tiên thấp hơn. Họ Cấp phát tài nguyên (Resource Allocation) đưa ra giới hạn về việc sử dụng các tài nguyên sẵn có, vì thế sẽ ngăn chặn việc người dùng chiếm dụng độc quyền tài nguyên.

Hình 15 - Phân rã lớp FRU: Sử dụng tài nguyên

15.1. Khả năng chịu lỗi (FRU_FLT)

15.1.1. Hành xử của họ

Các yêu cầu của họ này đảm bảo rằng TOE sẽ duy trì hoạt động chính xác ngay cả khi có lỗi.

15.1.2. Phân mức thành phần

FRU_FLT.1 Khả năng chịu lỗi suy giảm, yêu cầu TOE vẫn hoạt động chính xác với những khả năng xác định trong sự kiện lỗi xác định.

FRU_FLT.2 Khả năng chịu lỗi giới hạn (Limited fault tolerance), yêu cầu TOE vẫn hoạt động chính xác ở mọi khả năng trong sự kiện lỗi xác định.

15.1.3. Quản lý của FRU_FLT.1, FRU_FLT.2

Không có các hoạt động quản lý nào.

15.1.4. Kiểm toán của FRU_FLT.1

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

a) Tối thiểu: Bất cứ lỗi nào được phát hiện bởi TSF.

b) Cơ sở: Tất cả những khả năng mà TOE bị gián đoạn do lỗi.

15.1.5. Kiểm toán của FRU_FLT.2

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

a) Tối thiểu: Bất cứ lỗi nào được phát hiện bởi TSF.

15.1.6. FRU_FLT.1 Khả năng chịu lỗi suy giảm

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc: FPT_FLS.1 Lỗi với việc bảo toàn trạng thái an toàn.

15.1.6.1. FRU_FLT.1.1

TSF cần đảm bảo hoạt động của [chỉ định: danh sách các khả năng của TOE] khi xuất hiện các lỗi sau: [chỉ định: danh sách các loại lỗi].

15.1.7. FRU_FLT.2 Khả năng chịu lỗi giới hạn

Phân cấp từ: FRU_FLT.1 Khả năng chịu lỗi suy giảm

Các mối phụ thuộc: FPT_FLS.1 Lỗi với việc bảo toàn trạng thái an toàn.

15.1.7.1. FRU_FLT.2.1

TSF cần đảm bảo hoạt động của tất cả các khả năng của TOE khi các lỗi sau xuất hiện: [chỉ định: danh sách các loại lỗi].

15.2. Ưu tiên dịch vụ (FRU_PRS)

15.2.1. Hành xử của họ

Những yêu cầu này của họ cho phép TSF kiểm soát việc sử dụng tài nguyên trong TSC bởi người dùng và các chủ thể sao cho các hoạt động ưu tiên trong TSC sẽ luôn được hoàn thành mà không bị can thiệp hay trễ quá mức do các hoạt động có độ ưu tiên thấp hơn gây ra.

15.2.2. Phân mức thành phần

FRU_PRS.1 Ưu tiên dịch vụ có giới hạn, quy định các mức ưu tiên cho một chủ thể sử dụng một tập con tài nguyên của chủ thể trong TSC.

FRU_PRS.2 Ưu tiên dịch vụ đầy đủ, quy định các mức ưu tiên cho việc sử dụng tất cả các tài nguyên của một chủ thể trong TSC.

15.2.3. Quản lý của FRU_PRS.1, FRU_PRS.2

Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:

a) Chỉ định các mức ưu tiên cho mỗi chủ thể trong TSF.

15.2.4. Kiểm toán của FRU_PRS.1, FRU_PRS.2

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

a) Tối thiểu: Từ chối hoạt động dựa trên việc sử dụng mức ưu tiên bên trong một cấp phát.

b) Cơ sở: Mọi khả năng sử dụng chức năng cấp phát liên quan đến mức ưu tiên của các chức năng dịch vụ.

15.2.5. FRU_PRS.1 Ưu tiên dịch vụ có giới hạn

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc: Không có sự phụ thuộc.

15.2.5.1. FRU_PRS.1.1

TSF cần ấn định một mức ưu tiên cho mỗi chủ thể trong TSF.

15.2.5.2. FRU_PRS.1.2

TSF cần đảm bảo rằng mỗi truy nhập tới [chỉ định: các tài nguyên được kiểm soát] phải được dàn xếp trên cơ sở các chủ thể được ấn định quyền ưu tiên.

15.2.6. FRU_PRS.2 Quyền ưu tiên dịch vụ đầy đủ

Phân cấp từ: FRU_PRS.1 Ưu tiên dịch vụ có giới hạn.

Các mối phụ thuộc: Không có sự phụ thuộc.

15.2.6.1. FRU_PRS.2.1

TSF cần ấn định một mức ưu tiên cho mỗi chủ thể trong TSF.

15.2.6.2. FRU_PRS.2.2

TSF cần đảm bảo rằng mỗi truy nhập tới tất cả các tài nguyên có thể chia sẻ cần được dàn xếp trên nền tảng các chủ thể được ấn định ưu tiên.

15.3. Cấp phát tài nguyên (FRU_RSA)

15.3.1. Hành xử của họ

Các yêu cầu của họ này cho phép TSF kiểm soát việc sử dụng các tài nguyên bởi người dùng và các chủ thể, sao cho việc từ chối dịch vụ không xảy ra bởi sự độc chiếm không được phép của các tài nguyên.

15.3.2. Phân mức thành phần

FRU_RSA.1: Chỉ tiêu tối đa, quy định các yêu cầu cho các cơ chế định mức để đảm bảo rằng người dùng và chủ thể không độc chiếm một tài nguyên đã được kiểm soát.

FRU_RSA.2: Chỉ tiêu tối đa và tối thiểu, quy định các yêu cầu cho các cơ chế định mức để đảm bảo rằng người dùng và chủ thể sẽ luôn có ít nhất một tài nguyên cụ thể tối thiểu và họ sẽ không thể độc chiếm một tài nguyên đã được kiểm soát.

15.3.3. Quản lý của FRU_RSA.1

Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:

a) Định rõ những giới hạn tối đa cho một tài nguyên cho các nhóm và/hay người dùng cụ thể và/hay các chủ thể bởi nhà quản trị.

15.3.4. Quản lý của FRU_RSA.2

Các hành động sau có thể được xem xét cho các chức năng quản lý trong FMT:

a) Định rõ các giới hạn tối đa và tối thiểu cho một tài nguyên cho các nhóm và/hay những người dùng và/hay các chủ thể bởi nhà quản trị.

15.3.5. Kiểm toán của FRU_RSA.1, FRU_RSA.2

Các hành động sau có thể được kiểm toán nếu FAU_GEN tạo dữ liệu kiểm toán an toàn chứa trong PP/ST:

a) Tối thiểu: Loại trừ hoạt động cấp phát do những giới hạn về tài nguyên.

b) Cơ sở: Mọi khả năng sử dụng chức năng cấp phát dưới sự kiểm soát của TSF.]

15.3.6. FRU_RSA.1 Các chỉ tiêu tối đa

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc: Không có sự phụ thuộc.

15.3.6.1. FRU_RSA.1.1

TSF cần tuân theo các chỉ tiêu tối đa của các tài nguyên sau [chỉ định: các tài nguyên được kiểm soát] mà [lựa chọn: người dùng cụ thể, nhóm những người dùng xác định, các chủ thể] có thể sử dụng [lựa chọn: đồng thời trên một khoảng thời gian cụ thể].

15.3.7. FRU_RSA.2 Các chỉ tiêu tối đa và tối thiểu

Phân cấp tới: FRU_RSA.1 Các chỉ tiêu tối đa

Các mối phụ thuộc: Không phụ thuộc.

15.3.7.1. FRU_RSA.2.1

TSF cần thực thi các chỉ tiêu tối đa của các tài nguyên sau [chỉ định: các tài nguyên được kiểm soát] mà [lựa chọn: người dùng cụ thể, nhóm những người dùng xác định] có thể sử dụng [lựa chọn: đồng thời, trên một khoảng thời gian cụ thể].

15.3.7.2. FRU_RSA.2.2

TSF cần đảm bảo việc quy định số lượng tối thiểu của mỗi [chỉ định: các tài nguyên được kiểm soát] sẵn có cho [lựa chọn: người dùng cụ thể, nhóm những người dùng xác định, các chủ thể] để sử dụng [lựa chọn: đồng thời, trên một khoảng thời gian cụ thể].

16. Lớp FTA: Truy nhập TOE

Họ này định rõ các yêu cầu về chức năng điều khiển thiết lập phiên người dùng.

16.1. Giới hạn trên phạm vi các thuộc tính có thể lựa chọn (FTA_LSA)

16.1.1. Hành xử của họ

Họ này định nghĩa những yêu cầu cho việc giới hạn phạm vi các thuộc tính an toàn phiên mà người dùng có thể lựa chọn cho một phiên.

Hình 16 - Phân rã lớp FTA: truy nhập TOE

16.1.2. Phân mức thành phần

FTA_LSA.1 Giới hạn trên phạm vi các thuộc tính có thể lựa chọn, quy định yêu cầu cho một TOE để giới hạn phạm vi các thuộc tính an toàn trong suốt quá trình thiết lập phiên.

16.1.3. Quản lý của FTA_LSA.1

Các hành động theo có thể xem xét cho các chức năng quản lý trong FMT:

a) Quản lý phạm vi các thuộc tính an toàn phiên bởi nhà quản trị.

16.1.4. Kiểm toán của FTA_LSA.1

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

a) Tối thiểu: Tất cả các nỗ lực không đạt được khi lựa chọn các thuộc tính an toàn phiên;

b) Cơ sở: Tất cả các cố gắng khi lựa chọn các thuộc tính an toàn phiên;

c) Chi tiết: Giữ lại các giá trị của mỗi thuộc tính an toàn phiên.

16.1.5. FTA_LSA.1 Giới hạn trên phạm vi các thuộc tính có thể lựa chọn

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc: Không có sự phụ thuộc.

16.1.5.1. FTA_LSA.1.1

TSF cần hạn chế phạm vi của các thuộc tính an toàn phiên [chỉ định: các thuộc tính an toàn phiên], dựa trên cơ sở [chỉ định: các thuộc tính].

16.2. Giới hạn về nhiều phiên diễn ra đồng thời (FTA_MCS)

16.2.1. Hành xử của họ

Họ này định nghĩa các yêu cầu để đưa ra các giới hạn trên một số phiên diễn ra đồng thời thuộc cùng người dùng.

16.2.2. Phân mức thành  phần

FTA_MCS.1 Giới hạn cơ sở trên đa phiên đồng thời, quy định những giới hạn áp dụng cho tất cả người dùng TSF.

FTA_MCS.2 Giới hạn thuộc tính mỗi người dùng trên cơ sở mở rộng các phiên làm việc đồng thời FTA_MCS.1 thông qua việc yêu cầu khả năng chỉ ra các giới hạn về số phiên làm việc đồng thời trên cơ sở các thuộc tính an toàn liên quan.

16.2.3. Quản lý của FTA_MCS.1

Các hành động theo có thể xem xét cho các chức năng quản lý trong FMT:

a) Quản lý một số lượng cho phép tối đa các phiên người dùng đồng thời bởi nhà quản trị.

16.2.4. Quản lý của FTA_MCS.2

Các hành động theo có thể xem xét cho các chức năng quản lý trong FMT:

a) Quản lý các quy tắc quản trị số lượng cho phép tối đa các phiên người dùng đồng thời bởi nhà quản trị.

16.2.5. Kiểm toán của FTA_MCS.1, FTA_MCS.2

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

a) Tối thiểu: Loại trừ một phiên mới dựa trên cơ sở giới hạn nhiều phiên đồng thời.

b) Chi tiết: Giữ lại một số phiên người dùng đang diễn ra đồng thời và các thuộc tính an toàn người dùng.

16.2.6. FTA_MCS.1 Giới hạn cơ sở trên đa phiên đồng thời

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc: FTA_UID.1 Định thời cho định danh.

16.2.6.1. FTA_MCS.1.1

TSF cần hạn chế số lượng tối đa các phiên đồng thời thuộc cùng người dùng.

16.2.6.2. FTA_MCS.1.2

Mặc định, TSF phải tuân thủ giới hạn [chỉ định: số mặc định] phiên cho mỗi người dùng.

16.2.7. FTA_MCS.2 Giới hạn thuộc tính mỗi người dùng cho nhiều phiên đồng thời

Phân cấp từ: FTA_MCS.1 Giới hạn cơ sở trên đa phiên đồng thời.

Các mối phụ thuộc: FIA_UID.1 Định thời cho định danh.

16.2.7.1. FTA_MCS.2.1

TSF cần hạn chế số lượng tối đa các phiên đồng thời thuộc cùng người dùng theo quy tắc [chỉ định: các quy tắc về số các phiên đồng thời tối đa].

16.2.7.2. FTA_MCS.2.2

Mặc định, TSF cần thực thi giới hạn [chỉ định: số mặc định] số phiên người dùng.

16.3. Khóa và chấm dứt phiên (FTA_SSL)

16.3.1. Hành xử của họ

Họ này định nghĩa những yêu cầu đối với TSF để quy định khả năng khóa, mở khóa TSF đã khởi đầu và người dùng đã khởi đầu của các phiên tương tác.

16.3.2. Phân cấp thành phần

FTA_SSL.1 Khóa phiên TSF đã khởi đầu gồm việc khóa hệ thống đã khởi đầu của một phiên tương tác sau một khoảng thời gian nhất định khi không có hoạt động người dùng.

FTA_SSL.2 Khóa phiên người dùng đã khởi đầu, quy định những khả năng cho người dùng khóa hay mở khóa các phiên tương tác mà người dùng đó đang sử dụng.

FTA_SSL.3 Kết thúc TSF đã khởi đầu, quy định những yêu cầu cho phép TSF kết thúc phiên làm việc sau một khoảng thời gian không có hoạt động người dùng.

FTA_SSL.4 Kết thúc phiên người dùng đã khởi đầu, quy định khả năng cho người dùng để chấm dứt các phiên tương tác của chính người dùng.

16.3.3. Quản lý của FTA_SSL.1

Các hành động theo có thể xem xét cho các chức năng quản lý trong FMT:

a) Đặc tả về thời gian không có hoạt động người dùng sau khi lock-out diễn ra đối với mỗi người dùng cụ thể.

b) Đặc tả thời gian mặc định không có hoạt động người dùng sau khi lock-out diễn ra.

c) Quản lý các sự kiện diễn ra trước khi mở khóa một phiên.

16.3.4. Quản lý của FTA_SSL.2

Các hành động theo có thể xem xét cho các chức năng quản lý trong FMT:

a) Quản lý các sự kiện diễn ra trước khi mở khóa một phiên.

16.3.5. Quản lý của FTA_SSL.3

Các hành động theo có thể xem xét cho các chức năng quản lý trong FMT:

a) Đặc tả thời gian không có hoạt động người dùng sau khi kết thúc một phiên tương tác diễn ra đối với từng người dùng cụ thể.

b) Đặc tả thời gian mặc định không có người dùng sau khi kết thúc một phiên tương tác diễn ra.

16.3.6. Quản lý của FTA_SSL.4

Không có các hoạt động quản lý nào.

16.3.7. Kiểm toán của FTA_SSL.1, FTA_SSL.2

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

a) Tối thiểu: Khóa một phiên tương tác bởi cơ chế khóa phiên.

b) Tối thiểu: Mở khóa thành công một phiên tương tác.

c) Cơ sở: Bất kỳ sự nỗ lực nào để mở khóa một phiên tương tác.

16.3.8. Kiểm toán của FTA_SSL.3

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

a) Tối thiểu: Kết thúc một phiên tương tác nhờ cơ chế khóa phiên.

16.3.9. Kiểm toán của FTA_SSL.4

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

a) Tối thiểu: Kết thúc một phiên tương tác bởi người dùng.

16.3.10. FTA_SSL.1 Khóa phiên khỏi tạo bởi TSF

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc: FIA_UAU.1 Định thời cho xác thực.

16.3.10.1. FTA_SSL.1.1

TSF cần khóa một phiên tương tác sau [chỉ định: khoảng thời gian không có hoạt động người dùng] nhờ:

a) Xóa hoặc ghi đè các thiết bị hiển thị, làm cho những nội dung hiện tại không thể đọc;

b) Cấm mọi hoạt động của các thiết bị hiển thị / truy nhập dữ liệu người dùng nếu không phải là mở khóa phiên.

16.3.10.2. FTA_SSL.1.2

TSF cần yêu cầu các sự kiện sau diễn ra trước khi mở khóa phiên: [chỉ định: các sự kiện diễn ra].

16.3.11. FTA_SSL.2 Khóa khởi tạo bởi người dùng

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc: FIA_UAU.1 Định thời cho xác thực.

16.3.11.1. FTA_SSL.2.1

TSF cần cho phép việc khóa khởi tạo bởi người dùng cho phiên tương tác của chính họ thông qua:

a) Xóa hoặc ghi đè các thiết bị hiển thị, làm cho những nội dung hiện tại không thể đọc được.

b) Cấm mọi hoạt động của các thiết bị hiển thị / truy nhập dữ liệu của người dùng nếu không phải là mở khóa phiên.

16.3.11.2. FTA_SSL.2.2

TSF cần yêu cầu các sự kiện sau diễn ra trước khi mở khóa phiên: [chỉ định: các sự kiện diễn ra].

16.3.12. FTA_SSL.3 Kết thúc phiên khởi tạo bởi TSF

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc: Không có sự phụ thuộc.

16.3.12.1. FTA_SSL.3.1

TSF cần kết thúc một phiên tương tác sau một khoảng [chỉ định: khoảng thời gian không có hoạt động người dùng].

16.4. Các biểu tượng truy nhập TOE (FTA_TAB)

16.4.1. Hành xử của họ

Họ này định nghĩa những yêu cầu để hiển thị bản tin cảnh báo tư vấn cấu hình cho người dùng về cách sử dụng thích hợp của TOE.

16.4.2. Phân mức thành phần

FTA_TAB.1 Các biểu tượng truy nhập TOE mặc  định, quy định yêu cầu cho một biểu trưng Truy nhập TOE. Biểu trưng này được hiển thị trước khi thiết lập hội thoại cho một phiên làm việc.

16.4.3. Quản lý của FTA_TAB.1

Các hành động theo có thể xem xét cho các chức năng quản lý trong FMT:

a) Duy trì biểu trưng bởi nhà quản trị có thẩm quyền.

16.4.4. Kiểm toán của FTA_TAB.1

Không có sự kiện có thể kiểm toán nào.

16.4.5. FTA_TAB.1 Các biểu trưng truy nhập TOE mặc định

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc: Không có sự phụ thuộc.

16.4.5.1. FTA_TAB.1.1

Trước khi thiết lập một phiên người dùng, TSF sẽ hiển thị một bản tin cảnh báo tư vấn về cách sử dụng không được cấp phép của TOE.

16.5. Lịch sử truy nhập TOE (FTA_TAH)

16.5.1. Hành xử của họ

Họ này định nghĩa những yêu cầu đối với TSF để hiển thị tới người dùng, sau khi thiết lập phiên thành công, một bản ghi lại những lần truy nhập thành công và không thành công vào tài khoản người.

16.5.2. Phân mức thành phần

FTA_TAH.1 Lịch sử truy nhập TOE, quy định yêu cầu đối với mỗi TOE để hiển thị thông tin liên quan đến cố gắng trước đó để thiết lập một phiên.

16.5.3. Quản lý của FTA_TAH.1

Không có các hoạt động quản lý nào.

16.5.4. Kiểm toán của FTA_TAH.1

Không có sự kiện có thể kiểm toán nào.

16.5.5. FTA_TAH.1 Lịch sử truy nhập TOE

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc: Không có sự phụ thuộc.

16.5.5.1. FTA_TAH.1.1

Sau khi thiết lập phiên thành công, TSF cần hiển thị [lựa chọn: ngày tháng, thời gian, phương pháp, địa điểm] của lần thiết lập phiên thành công mới đây nhất cho người dùng.

16.5.5.2. FTA_TAH.1.2

Sau khi thiết lập phiên thành công, TSF cần hiển thị [lựa chọn: ngày tháng, thời gian, phương pháp, địa điểm] về những cố gắng không thành công mới nhất về việc thiết lập phiên và một số các cố gắng không thành công từ lần thiết lập phiên thành công cuối cùng.

16.5.5.3. FTA_TAH.1.3

TSF cần không được xóa thông tin lịch sử truy nhập từ giao diện người dùng mà không đưa ra cho người dùng một cơ hội xem lại thông tin.

16.6. Thiết lập phiên TOE (FTA_TSE)

16.6.1. Hành xử của họ

Họ này định nghĩa các yêu cầu từ chối truy cập người dùng thiết lập một phiên với TOE.

16.6.2. Phân mức thành phần

FTA_TSE.1 Thiết lập phiên TOE, quy định những yêu cầu đối với việc từ chối truy nhập người dùng tới TOE dựa trên các thuộc tính.

16.6.3. Quản lý của FTA_TSE.1

Các hành động theo có thể xem xét cho các chức năng quản lý trong FMT:

a) Quản lý các trạng thái thiết lập phiên bởi nhà quản trị.

16.6.4. Kiểm toán của FTA_TSE.1

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

a) Tối thiểu: Từ chối thiết lập một phiên do cơ chế thiết lập phiên.

b) Cơ sở: Mọi cố gắng thiết lập một phiên người dùng

c) Chi tiết: Giữ lại giá trị của các thông số truy nhập đã lựa chọn (ví dụ: địa điểm truy nhập, thời gian truy nhập).

16.6.5. FTA_TSE.1 Thiết lập phiên TOE

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc: Không có sự phụ thuộc.

16.6.5.1. FTA_TSE.1.1

TSF cần phải có khả năng từ chối thiết lập phiên dựa trên cơ sở [chỉ định: các thuộc tính].

17. Lớp FTP: Đường dẫn/Kênh tin cậy

Các họ trong lớp này quy định các yêu cầu đối với tuyến truyền thông tin cậy giữa người dùng và TSF, và đối với kênh truyền thông tin cậy giữa TSF và các sản phẩm IT tin cậy khác. Các tuyến và các kênh tin cậy có những đặc điểm chung sau:

▪ Tuyến truyền thông tin cậy được xây dựng nhờ sử dụng các kênh truyền thông bên trong và bên ngoài (thích hợp với thành phần đó) giữ cho tập con xác định của dữ liệu và các lệnh TSF tách biệt với phần còn lại của TSF và dữ liệu người dùng.

▪ Việc sử dụng tuyến truyền thông có thể được khởi đầu bởi người dùng và/hay TSF (thích hợp cho thành phần đó).

▪ Tuyến truyền thông có khả năng quy định sự đảm bảo cho người dùng đang truyền thông với đúng TSF, và TSF đang truyền thông với đúng người dùng (thích hợp cho thành phần đó).

Ở mô hình này, một kênh tin cậy là một kênh truyền thông có thể được khởi đầu từ phía khác của kênh, và quy định những đặc điểm không từ chối đối với việc định danh các phía của kênh.

Một tuyến tin cậy quy định phương tiện cho người dùng thực hiện các chức năng thông qua tương tác trực tiếp được đảm bảo với TSF. Tuyến tin cậy thường xuyên được mong muốn đối với các hành động người dùng chẳng hạn như sự nhận dạng và/hay xác thực, nhưng cũng có thể được mong muốn ở những lần khác trong suốt một phiên người dùng. Sự trao đổi bằng tuyến tin cậy có thể được khởi đầu bởi người dùng hay TSF. Người dùng phản hồi qua một tuyến tin cậy đảm bảo tránh được sự chỉnh sửa hay bị lộ bởi những ứng dụng không đáng tin cậy.

Hình 17 - Phân cấp lớp FTP: tuyến / kênh tin cậy

17.1. Kênh tin cậy liên-TSF (FTP_ITC)

17.1. Hành xử của họ

Họ này định nghĩa những yêu cầu về việc tạo thành kênh tin cậy giữa TSF và các sản phẩm IT khác đối với hiệu năng các hoạt động then chốt cho an toàn. Họ này nên được kèm theo khi có những yêu cầu về truyền thông an toàn của dữ liệu người dùng hay dữ liệu TSF giữa TOE và các sản phẩm CNTT tin cậy khác.

17.1.2. Phân mức thành phần

FTP_ITC.1 Kênh tin cậy liên TSF, yêu cầu TSF quy định một kênh truyền thông tin cậy giữa nó và một sản phẩm IT tin cậy khác.

17.1.3. Quản lý của FTP_ITC.1

Các hành động theo có thể xem xét cho các chức năng quản lý trong FMT:

a) Lập cấu hình các hành động yêu cầu kênh tin cậy, nếu được hỗ trợ.

17.1.4. Kiểm toán của FTP_ITC.1

Các hành động sau cần được kiểm tra nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn chứa trong PP/ST:

a) Tối thiểu: Lỗi của các chức năng kênh tin cậy.

b) Tối thiểu: Nhận dạng khởi đầu và đích của các chức năng kênh tin cậy bị lỗi.

c) Cơ sở: Mọi việc sử dụng thử các chức năng kênh tin cậy.

d) Cơ sở: Nhận dạng khởi đầu và đích của mọi chức năng kênh tin cậy.

17.1.5. FTP_ITC.1 Kênh tin cậy liên TSF

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc: Không có sự phụ thuộc.

17.1.5.1. FTP_ITC.1.1

TSF cần quy định một kênh truyền thông tin cậy giữa nó và một sản phẩm IT khác phân biệt về logic với các kênh truyền thông khác và quy định việc nhận dạng bảo đảm về điểm cuối của kênh và việc bảo vệ dữ liệu kênh khỏi sự chỉnh sửa hay bị lộ thông tin.

17.1.5.2. FTP_ITC.1.2

TSF cần cho phép [lựa chọn: TSF, sản phẩm IT tin cậy khác] khởi tạo truyền thông qua kênh tin cậy.

17.1.5.3. FTP_ITC.1.3

TSF cần khởi tạo truyền thông qua kênh tin cậy cho [Chỉ định: danh sách các chức năng có yêu cầu một kênh tin cậy].

17.2. Đường dẫn tin cậy (FTP_TRP)

17.2.1. Hành xử của họ

Họ này định nghĩa các yêu cầu thiết lập và duy trì truyền thông tin cậy đến hoặc từ người dùng và TSF. Tuyến tin cậy có thể được yêu cầu đối với bất kì sự tương tác liên quan đến an toàn. Sự trao đổi đường dẫn tin cậy có thể được khởi tạo bởi người dùng trong suốt sắc tương tác với TSF, hoặc TSF có thể thiết lập truyền thông với người dùng qua đường dẫn tin cậy.

17.2.2. Phân mức thành phần

FTP_TRP.1: Đường dẫn tin cậy, yêu cầu một đường dẫn tin cậy giữa TSF và một người dùng được quy định cho một tập các sự kiện định nghĩa bởi tác giả PP/ST. Người dùng và/hoặc TSF đều có khả năng khởi tạo Đường dẫn tin cậy.

17.2.3. Quản lý của FTP_TRP.1

Các hành động theo có thể xem xét cho các chức năng quản lý trong FMT:

a) Lập cấu hình các hành động yêu cầu đường dẫn tin cậy, nếu được hỗ trợ.

17.2.4. Kiểm toán của FTP_TRP.1

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

a) Tối thiểu: Lỗi của các chức năng đường dẫn tin cậy.

b) Tối thiểu: Nhận dạng người dùng liên quan đến mọi lỗi của Đường dẫn tin cậy, nếu có.

c) Cơ sở: Mọi việc sử dụng thử các chức năng đường dẫn tin cậy.

d) Cơ sở: Nhận dạng người dùng liên quan đến mọi níu kéo Đường dẫn tin cậy, nếu có.

17.2.5. FTP_TRP.1 Đường dẫn tin cậy

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc: Không có sự phụ thuộc.

17.2.5.1. FTP_TRP.1.1

TSF cần quy định một đường dẫn truyền thông giữa nó và  [lựa chọn: từ xa, nội hạt] những người dùng phân biệt về logic với các Đường dẫn truyền thông khác và quy định việc nhận dạng bảo đảm về điểm cuối và việc bảo vệ dữ liệu Đường dẫn khỏi sự chỉnh sửa hay bị lộ thông tin.

17.2.5.2. FTP_TRP.1.2

TSF cần cho phép [lựa chọn: TSF, người dùng nội hạt, người dùng từ xa] khởi tạo truyền thông qua đường dẫn tin cậy.

17.2.5.3. FTP_TRP.1.3

TSF cần yêu cầu sử dụng đường dẫn tin cậy cho [lựa chọn: xác thực người dùng khởi đầu, [ấn định: các dịch vụ khác đối với đường dẫn tin cậy được yêu cầu].

 

PHỤ LỤC A

(Quy định)

GHI CHÚ VỀ ỨNG DỤNG CÁC YÊU CẦU CHỨC NĂNG AN TOÀN

Phụ lục này bao gồm hướng dẫn bổ sung cho các họ và thành phần định nghĩa trong các phần tử của TCVN 8709 theo đó yêu cầu người sử dụng, người phát triển và đánh giá viên phải tuân theo. Để việc tìm thông tin thích hợp thuận tiện hơn, việc trình bày các lớp, họ và thành phần trong phụ lục này tương tự như sự trình bày bên trong các phần tử.

A.1. Cấu trúc phần ghi chú

Cấu trúc bản ghi chú định nghĩa nội dung và trình bày bản ghi chú liên quan đến yêu cầu chức năng của TCVN 8709.

A.1.1. Cấu trúc lớp

Hình A.1 dưới đây thể hiện cấu trúc lớp chức năng trong phụ lục này.

Hình A.1 - Cấu trúc lớp chức năng

A.1.1. Tên lớp

Đây là tên lớp duy nhất định nghĩa bên trong các phần tử quy chuẩn của phần TCVN 8709 này.

A.1.1.2. Giới thiệu lớp

Phần giới thiệu lớp trong phụ lục này cung cấp thông tin về việc sử dụng các họ và các thành phần của lớp. Thông tin này được hoàn thành với lược đồ mô tả tổ chức của mỗi lớp với những họ của mỗi lớp và mối liên quan giữa các thành phần trong mỗi họ.

A.1.2. Cấu trúc họ

Hình A.2 minh họa sơ đồ cấu trúc chức năng của họ cho ghi chú ứng dụng.

Hình A.2 - Cấu trúc họ chức năng cho các ghi chú ứng dụng

A.1.2.1. Tên họ

Đây là tên duy nhất của họ định nghĩa trong các phần tử quy chuẩn của phần này trong ISO/IEC 15408.

A.1.2.2. Chú thích cho người sử dụng

Chú thích cho người sử dụng bao gồm thông tin bổ sung được quan tâm bởi những người dùng tiềm năng của họ, đó có thể là PP, ST, tác giả gói chức năng hoặc những người phát triển TOE thực hiện việc tích hợp những thành phần chức năng. Sự biểu diễn cung cấp thông tin và có thể bao gồm cảnh báo về sự hạn chế của việc sử dụng và những lĩnh vực cần sự tập trung riêng khi sử dụng thành phần.

A.1.2.3. Chú thích cho đánh giá viên

Chú thích cho đánh giá viên bao gồm thông tin được quan tâm bởi những người phát triển, các đánh giá viên về một thành phần của họ. Chú thích cho đánh giá viên được trình bày trong nhiều lĩnh vực cần quan tâm riêng khi đánh giá TOE, chẳng hạn làm rõ ý nghĩa và chi tiết hóa một vấn đề cũng như cảnh báo một chi tiết cần đánh giá.

Các điều khoản về chú thích cho người sử dụng và chú thích cho đánh giá viên không bắt buộc và chỉ xuất hiện khi phù hợp.

A.1.3. Cấu trúc thành phần

Hình A.3 minh họa cấu trúc thành phần chức năng của ghi chú ứng dụng.

Hình A.3 - Cấu trúc thành phần chức năng

A.1.3.1. Định danh thành phần

Đây là tên duy nhất của thành phần định nghĩa trong phần tử quy chuẩn của TCVN 8709.

A.1.3.2. Sở cứ thành phần và các ghi chú ứng dụng

Mọi thông tin chi tiết liên quan đến thành phần có thể tìm thấy trong mệnh đề phụ sau:

• Sở cứ thành phần: bao gồm những đặc trưng của sở cứ được bổ sung chi tiết. Sở cứ thành phần chỉ xuất hiện trong lớp nào đó nếu cần thiết.

• Ghi chú ứng dụng bao gồm những bổ sung chi tiết về một thành phần nhất định. Sự bổ sung này có thể gắn liền với Chú thích cho người sử dụng và/hoặc ghi chú đánh giá viên như đã mô tả ở A.1.2. Bổ sung chi tiết có thể được sử dụng để giải thích bản chất những sự phụ thuộc (ví dụ: thông tin chia sẻ hoặc hành động chia sẻ).

Điều khoản nhỏ này không bắt buộc và chỉ xuất hiện nếu phù hợp.

A.1.3.3. Những hành động được phép

Đây là những chỉ dẫn liên quan đến những hành động được phép của thành phần.

Điều khoản nhỏ này không bắt buộc và chỉ xuất hiện nếu phù hợp.

A.2. Các bảng về mối phụ thuộc

Bảng sau đây chỉ rõ sự phụ thuộc trực tiếp, gián tiếp và tùy chọn của các thành phần chức năng. Mỗi thành phần có sự phụ thuộc liên quan đến thành phần khác được xếp vào một cột. Mỗi thành phần chức năng được xếp vào một hàng. Giá trị ký tự của ô giao giữa cột và hàng chỉ rõ sự phụ thuộc tương ứng là trực tiếp (x), gián tiếp (-) hay tùy chọn (o). Một ví dụ về thành phần với phụ thuộc tùy chọn là FDP_ETC.1 (Xuất dữ liệu người dùng không có thuộc tính bảo mật) yêu  cầu hoặc FDP_ACC.1 (Điều khiển truy nhập tập con) hoặc FDP_IFC.1 (Điều khiển luồng thông tin). Do vậy nếu có FDP_ACC.1 thì sẽ không cần FDP_IFC.1 và ngược lại. Nếu không có ký tự nào xuất hiện, thành phần không có tính phụ thuộc vào thành phần khác.

Bảng A.1 - Bảng phụ thuộc của lớp FAU: Kiểm toán an toàn

 

FAU_GEN.1

FAU_SAA.1

FAU_SAR.1

FAU_STG.1

FAU_UID.1

FMT_MTD.1

FMT_SMF.1

FMT_SMR.1

FPT_STM.1

FAU_ARP.1

-

X

 

 

 

 

 

 

-

FAU_GEN.1

 

 

 

 

 

 

 

 

X

FAU_GEN.2

X

 

 

 

X

 

 

 

-

FAU_SAA.1

X

 

 

 

 

 

 

 

-

FAU_SAA.2

 

 

 

 

X

 

 

 

 

FAU_SAA.3

 

 

 

 

 

 

 

 

 

FAU_SAA.4

 

 

 

 

 

 

 

 

 

FAU_SAR.1

X

 

 

 

 

 

 

 

-

FAU_SAR.2

-

 

X

 

 

 

 

 

-

FAU_SAR.3

-

 

X

 

 

 

 

 

-

FAU_SEL.1

X

 

 

 

-

X

-

-

-

FAU_STG.1

X

 

 

 

 

 

 

 

-

FAU_STG.2

X

 

 

 

 

 

 

 

-

FAU_STG.3

-

 

 

X

 

 

 

 

-

FAU_STG.4

-

 

 

X

 

 

 

 

-

Bảng A.2 - Bảng phụ thuộc của lớp FCO: Truyền thông

 

FIA_UID.1

FCO_NRO.1

X

FCO_NRO.2

X

FCO_NRR.1

X

FCO_NRR.2

X

Bảng A.3 - Bảng phụ thuộc của lớp FCS: Hỗ trợ mật mã

 

ADV_SPM.1

FCS_CKM.1

FCS_CKM.2

FCS_CKM.4

FCS_COP.1

FDP_ACC.1

FDP_ACF.1

FDP_IFC.1

FDP_IFF.1

FDP_ITC.1

FDP_ITC.2

FIA_UID.1

FMT_MSA.1

FMT_MSA.2

FMT_MSA.3

FMT_SMF.1

FMT_SMR.1

FPT_TDC.1

FTP_ITC.1

FTP_TRP.1

FCS_CKM.1

-

-

O

X

O

-

-

-

-

-

-

-

-

X

-

-

-

-

-

-

FCS_CKM.2

-

O

-

X

-

-

-

-

-

O

O

-

-

X

-

-

-

-

-

-

FCS_CKM.3

-

O

-

X

-

-

-

-

-

O

O

-

-

X

-

-

-

-

-

-

FCS_CKM.4

-

O

-

-

-

-

-

-

-

O

O

-

-

X

-

-

-

-

-

-

FCS_COP.1

-

O

-

X

-

-

-

-

-

O

O

-

-

X

-

-

-

-

-

-

Bảng A.4 - Bảng phụ thuộc của lớp FDP: Bảo vệ dữ liệu người dùng

 

FDP_ACC.1

FDP_ACF.1

FDP_IFC.1

FDP_IFF.1

FDP_ITT.1

FDP_ITT.2

FDP_UIT.1

FIA_UID.1

FMT_MSA.1

FMT_MSA.3

FMT_SMF.1

FMT_SMR.1

FPT_TDC.1

FTP_ITC.1

FTP_TRP.1

FDP_ACC.1

-

X

-

-

 

 

 

-

-

-

-

-

-

 

 

FDP_ACC.2

-

X

-

-

 

 

 

-

-

-

-

-

 

 

 

FDP_ACF.1

X

-

-

-

 

 

 

-

-

X

-

-

 

 

 

FDP_DAU.1

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

FDP_DAU.2

 

 

 

 

 

 

 

X

 

 

 

 

 

 

 

FDP_ETC.1

O

-

O

-

 

 

 

-

-

-

-

-

 

 

 

FDP_ETC.2

O

-

O

-

 

 

 

-

-

-

-

-

 

 

 

FDP_IFC.1

-

-

-

X

 

 

 

-

-

-

-

-

 

 

 

FDP_IFC.2

-

-

-

X

 

 

 

-

-

-

-

-

 

 

 

FDP_IFF.1

-

-

X

-

 

 

 

-

-

X

-

-

 

 

 

FDP_IFF.2

-

-

X

-

 

 

 

-

-

X

-

-

 

 

 

FDP_IFF.3

-

-

X

-

 

 

 

-

-

-

-

-

 

 

 

FDP_IFF.4

-

-

X

-

 

 

 

-

-

-

-

-

 

 

 

FDP_IFF.5

-

-

X

-

 

 

 

-

-

-

-

-

 

 

 

FDP_IFF.6

-

-

X

-

 

 

 

-

-

-

-

-

 

 

 

FDP_ITC.1

O

-

O

-

 

 

 

-

-

X

-

-

 

 

 

FDP_ITC.2

O

-

O

-

 

 

 

-

-

-

-

-

X

O

O

FDP_ITT.1

O

-

O

-

 

 

 

-

-

-

-

-

 

 

 

FDP_ITT.2

O

-

O

-

 

 

 

-

-

-

-

-

 

 

 

FDP_ITT.3

O

-

O

-

X

 

 

-

-

-

-

-

 

 

 

FDP_ITT.4

O

-

O

-

 

X

 

-

-

-

-

-

 

 

 

FDP_RIP.1

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

FDP_RIP.2

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

FDP_ROL.1

O

-

O

-

 

 

 

-

-

-

-

-

 

 

 

FDP_ROL.2

O

-

O

-

 

 

 

-

-

-

-

-

 

 

 

FDP_SDI.1

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

FDP_SDI.2

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

FDP_UCT.1

O

-

O

-

 

 

 

-

-

-

-

-

 

O

O

FDP_UIT.1

O

-

O

-

 

 

 

-

-

-

-

-

 

O

O

FDP_UIT.2

O

-

O

-

 

 

O

-

-

-

-

-

 

O

-

FDP_UIT.3

O

-

O

-

 

 

O

-

-

-

-

-

 

O

-

Bảng A.5 - Bảng phụ thuộc của lớp FIA: Định danh và xác thực

 

FIA_ATD.1

FIA.UAU.1

FIA_UID.1

FIA_AFL.1

 

X

-

FIA_ATD.1

 

 

 

FIA_SOS.1

 

 

 

FIA_SOS.2

 

 

 

FIA_UAU.1

 

 

X

FIA_UAU.2

 

 

X

FIA_UAU.3

 

 

 

FIA_UAU.4

 

 

 

FIA_UAU.5

 

 

 

FIA_UAU.6

 

 

 

FIA_UAU.7

 

X

-

FIA_UID.1

 

 

 

FIA_UID.2

 

 

 

FIA_USB.1

X

 

 

Bảng A.6 - Bảng phụ thuộc của lớp FMT: Quản lý an toàn

 

FDP_ACC.1

FDP_ACF.1

FDP_IFC.1

FDP_IFF.1

FIA_UID.1

FMT_MSA.1

FMT_MSA.3

FMT_MTD.1

FMT_SMF.1

FMT_SMR.1

FPT_STM.1

FMT_MOF.1

 

 

 

 

-

 

 

 

X

X

 

FMT_MSA.1

O

-

O

-

-

-

-

 

X

X

 

FMT_MSA.2

O

-

O

-

-

X

-

 

-

X

 

FMT_MSA.3

-

-

-

-

-

X

-

 

-

X

 

FMT_MSA.4

O

-

O

-

-

-

-

 

-

-

 

FMT_MTD.1

 

 

 

 

-

 

 

 

X

X

 

FMT_MTD.2

 

 

 

 

-

 

 

X

-

X

 

FMT_MTD.3

 

 

 

 

-

 

 

X

-

-

 

FMT_REV.1

 

 

 

 

-

 

 

 

 

X

 

FMT_SAE.1

 

 

 

 

-

 

 

 

 

X

X

FMT_SMF.1

 

 

 

 

 

 

 

 

 

 

 

FMT_SMR.1

 

 

 

 

X

 

 

 

 

 

 

FMT_SMR.2

 

 

 

 

X

 

 

 

 

 

 

FMT_SMR.3

 

 

 

 

-

 

 

 

 

X

 

Bảng A.7 - Bảng phụ thuộc của lớp FPR: Tính riêng tư

 

FIA_UID.1

FPR_UNO.1

FPR_ANO.1

 

 

FPR_ANO.2

 

 

FPR_PSE.1

 

 

FPR_PSE.2

X

 

FPR_PSE.3

 

 

FPR_UNL.1

 

 

FPR_UNO.1

 

 

FPR_UNO.2

 

 

FPR_UNO.3

 

X

FPR_UNO.4

 

 

Bảng A.8 - Bảng phụ thuộc của lớp FPT: Bảo vệ TSF

 

AGD_OPE.1

FIA_UID.1

FMT_MOF.1

FMT_SMF.1

FMT_SMR.1

FPT_ITT.1

FPT_FLS.1

 

 

 

 

 

 

FPT_ITA.1

 

 

 

 

 

 

FPT_ITC.1

 

 

 

 

 

 

FPT_ITI.1

 

 

 

 

 

 

FPT_ITI.2

 

 

 

 

 

 

FPT_ITT.1

 

 

 

 

 

 

FPT_ITT.2

 

 

 

 

 

 

FPT_ITT.3

 

 

 

 

 

X

FPT_PHP.1

 

 

 

 

 

 

FPT_PHP.2

 

-

X

-

-

 

FPT_PHP.3

 

 

 

 

 

 

FPT_RCV.1

X

 

 

 

 

 

FPT_RCV.2

X

 

 

 

 

 

FPT_RCV.3

X

 

 

 

 

 

FPT_RCV.4

 

 

 

 

 

 

FPT_RPL.1

 

 

 

 

 

 

FPT_SSP.1

 

 

 

 

 

X

FPT_SSP.2

 

 

 

 

 

X

FPT_STM.1

 

 

 

 

 

 

FPT_TDC.1

 

 

 

 

 

 

FPT_TEE.1

 

 

 

 

 

 

FPT_TRC.1

 

 

 

 

 

X

FPT_TST.1

 

 

 

 

 

 

Bảng A.9 - Bảng phụ thuộc của lớp FRU: Sử dụng tài nguyên

 

FPT_FLS.1

FRU_FLT.1

X

FRU_FLT.2

X

FRU_PRS.2

 

FRU_PRS.2

 

FRU_RSA.1

 

FRU_RSA.2

 

Bảng A.10 - Bảng phụ thuộc của lớp FTA: Truy nhập TOE

 

FIA_UAU.1

FIA_UID.1

FTA_LSA.1

 

 

FTA_MCS.1

 

X

FTA_MCS.2

 

X

FTA_SSL.1

X

-

FTA_SSL.2

X

-

FTA_SSL.3

 

 

FTA_SSL.4

 

 

FTA_TAB.1

 

 

FTA_TAH.1

 

 

FTA_TSE.1

 

 

 

PHỤ LỤC B

(Quy định)

CÁC LỚP, HỌ VÀ THÀNH PHẦN CHỨC NĂNG

Các phụ lục từ C đến M cung cấp các ghi chú cho ứng dụng cho các lớp chức năng định nghĩa trong phần nội dung chính của tập TCVN 8709 này.

 

PHỤ LỤC C

(Quy định)

LỚP FAU: KIỂM TOÁN AN TOÀN

TCVN 8709 cho phép tác giả PP/ST được xác định những yêu cầu nhằm giám sát thao tác của người dùng và trong một số trường hợp phát hiện sự vi phạm đã, sắp hoặc có khả năng xảy ra đối với việc thực thi các SFR. Chức năng giám sát kiểm toán của TOE dùng để giám sát những sự kiện liên quan đến an toàn và đóng vai trò chống lại các vi phạm an toàn. Các yêu cầu của họ kiểm toán an toàn bao gồm những chức năng bảo vệ kiểm tra dữ liệu, định dạng dữ liệu, và lựa chọn sự kiện cũng như các công cụ phân tích, cảnh báo vi phạm và phân tích thời gian thực. Dấu vết kiểm toán cần được biểu diễn với định dạng có thể đọc được trực tiếp hoặc gián tiếp (chẳng hạn như sử dụng công cụ kiểm toán rút gọn) hoặc cả hai.

Khi phát triển các yêu cầu kiểm toán an toàn, tác giả PP/ST cần ghi chú về mối quan hệ giữa họ kiểm toán và thành phần. Khả năng này xác định tập hợp những yêu cầu kiểm toán danh sách những họ/thành phần đồng thời tạo nên kết quả là chức năng kiểm toán không hiệu quả (ví dụ chức năng kiểm toán yêu cầu tất cả các sự kiện liên quan đến an toàn phải được kiểm toán nhưng không thể điều khiển được các cá thể đơn lẻ như từng người dùng hoặc vật thể).

C.1. Các yêu cầu kiểm toán trong môi trường phân tán

Việc thực thi các yêu cầu kiểm toán trong mạng và các hệ thống lớn có thể khác biệt nhiều so với việc thực thi cần có đối với các hệ thống độc lập. Các hệ thống lớn hơn, phức tạp và tích cực hơn, yêu cầu được quan tâm hơn liên quan đến việc thu thập dữ liệu kiểm toán nào và nó cần được quản lý thế nào do tính khả thi thấp của việc giải trình (hoặc thậm chí lưu trữ) những gì đã thu thập được. Khái niệm truyền thống về danh sách theo thứ tự thời gian hoặc "dấu vết" của các sự kiện kiểm toán có thể không áp dụng được trong một mạng tổng thể không đồng bộ với nhiều sự kiện xảy ra bất kỳ cùng một lúc.

Mặt khác, những máy tính, máy chủ khác trong một TOE phân tán có thể có những chính sách ghi danh và giá trị khác nhau. Cần có một dạng biểu diễn tên theo ký hiệu để tránh dư thừa hoặc xung đột về tên.

Một tập hợp đa đối tượng được truy nhập bởi nhiều người sử dụng có thẩm quyền cần có chức năng kiểm toán hữu ích trong các hệ thống phân tán.

Việc lạm dụng quyền của người dùng được cấp quyền cần được đề cập đến một cách hệ thống tránh việc lưu trữ cục bộ dữ liệu kiểm toán liên quan đến các hành động của quản trị viên.

Hình C.1 minh họa sự phân tách của lớp này ra các thành phần cấu thành.

Hình C.1 - Phân cấp lớp FAU: Kiểm toán an toàn

C.2. Đáp ứng tự động kiểm toán an toàn (FAU_ARP)

C.2.1. Chú thích cho người sử dụng

Họ đáp ứng tự động kiểm toán an toàn mô tả các yêu cầu về xử lý các sự kiện kiểm toán. Yêu cầu có thể bao gồm cảnh báo hoặc những hành động TSF (đáp ứng tự động). Ví dụ, TSF có thể bao gồm việc tạo ra những cảnh báo thời gian thực, kết thúc một tiến trình xâm phạm, vô hiệu hóa một dịch vụ, ngắt kết nối hoặc làm mất hiệu lực một tài khoản người dùng.

Một sự kiện kiểm toán được xác định là "vi phạm an toàn nghiêm trọng" nếu được chỉ rõ trong thành phần phân tích kiểm toán an toàn (FAU_SAA).

C.2.2. FAU_ARP.1 Cảnh báo an toàn

C.2.2.1. Chú thích cho ứng dụng người sử dụng

Một hành động cần được thực hiện ngay sau sự kiện cảnh báo. Hành động này có thể thông báo cho người được cấp quyền cùng với một tập hợp hành động gợi ý tương ứng. Thời điểm của hành động cũng nên được xem xét bởi PP/ST.

C.2.2.2. Các hoạt động

C.2.2.2.1. Chỉ định

Trong FAU_ARP.1.1, PP/ST cần xác định hành động thực hiện bởi một người dùng có quyền khi xảy ra vi phạm an toàn nghiêm trọng. Ví dụ: thông báo với người có quyền, vô hiệu hóa đối tượng gây nên vi phạm an toàn.

C.3. Tạo các dữ liệu kiểm toán an toàn (FAU_GEN)

C.3.1 Chú thích cho người sử dụng

Họ tạo dữ liệu kiểm toán an toàn bao gồm những yêu cầu chỉ rõ các sự kiện kiểm toán cần được tạo ra bởi TSF cho sự kiện liên quan an toàn.

Họ này được giới thiệu ở khía cạnh tránh sự phụ thuộc vào tất cả các thành phần yêu cầu hỗ trợ kiểm toán. Mỗi thành phần gồm một mệnh đề kiểm toán trong đó sự kiện trong vùng chức năng tương ứng phải được liệt kê. Khi tác giả PP/ST lắp ghép các PP/ST, các phần tử trong vùng kiểm toán được sử dụng để tạo thành biến hoàn chỉnh của thành phần. Do vậy, đặc điểm dữ liệu của mỗi vùng chức năng được đặt trong vùng chức năng đó.

Danh sách các sự kiện có thể kiểm toán là hoàn toàn phụ thuộc vào các họ chức năng khác trong PP/PT/ Mỗi định nghĩa họ do đó cần bao gồm một danh sách các sự kiện có thể kiểm toán thuộc họ cụ thể của nó. Mỗi sự kiện kiểm toán trong danh sách các sự kiện có thể kiểm toán được xác định rõ trong họ chức năng cần phù hợp với một trong các mức tạo ra sự kiện kiểm toán được xác định rõ trong họ chức năng cần phù hợp với một trong các mức tạo ra sự kiện kiểm toán được ghi rõ trong họ này (nghĩa là: mức tối thiểu, cơ bản, chi tiết). Điều này cung cấp cho tác giả PP/ST thông tin cần thiết để đảm bảo rằng tất cả các sự kiện kiểm toán tương ứng đều được xác định rõ trong PP/ST. Các ví dụ sau cho thấy các sự kiện có thể kiểm toán sẽ được xác định rõ trong các họ chức năng tương ứng như thế nào:

"Các hoạt động sau cần được kiểm toán nếu tạo dữ liệu kiểm toán an toàn (FAU_GEN) có trong PP/ST:

a/ Tối thiểu: Việc sử dụng thành công các chức năng quản lý thuộc tính an toàn của người sử dụng

b/ Cơ bản: Tất cả việc sử dụng thử các chức năng quản lý thuộc tính an toàn của người sử dụng

c/ Cơ bản: Xác định thuộc tính an toàn người sử dụng nào đã sửa đổi

d/ Chi tiết: Ngoại trừ những mục dữ liệu thuộc tính nhạy cảm cụ thể (mật khẩu, mã khóa) các giá trị mới của thuộc tính cần được lấy."

Với mỗi thành phần chức năng được chọn, sự kiện kiểm toán trong thành phần đó cùng mức và dưới mức so với FAU_GEN cần phải cho phép kiểm toán. Các sự kiện kiểm toán có cấu trúc phân cấp. Ví dụ khi chọn mức kiểm toán cơ bản, tất cả các sự kiện cũng phải ở mức cơ bản hoặc tối thiểu. Mặt khác, nếu mức chi tiết được lựa chọn, các sự kiện có thể ở mức chi tiết, cơ bản hoặc tối thiểu.

Ví dụ: những sự kiện sau nên được kiểm toán trong mỗi thành phần chức năng PP/ST:

a/  Giới thiệu về đối tượng bên trong TSC đến không gian địa chỉ đối tượng

b/ Xóa đối tượng

c/ Phân phối hoặc hủy bỏ khả năng hoặc quyền truy nhập

d/ Thay đổi đối tượng hoặc thuộc tính của đối tượng

e/ Kiểm tra chính sách thực hiện bởi TSF khi có yêu cầu từ một đối tượng

f/ Sử dụng quyền truy nhập để vượt qua kiểm tra chính sách

g/ Sử dụng định danh và xác thực

h/ Hành động từ một người điều hành và/hoặc người được cấp quyền.

C.3.2. FAU_GEN.1 Tạo dữ liệu kiểm toán

C.3.2.1. Chú thích cho ứng dụng người sử dụng

Thành phần này xác định những yêu cầu về bản ghi kiểm toán được tạo ra tương ứng với sự kiện và thông tin trong bản ghi.

Tạo dữ liệu kiểm toán FAU_GEN.1 tự nó có thể được sử dụng khi các SFR không yêu cầu định danh người dùng cụ thể kết hợp với sự kiện kiểm toán. Nó có thể là thích hợp khi PP/ST cũng chứa các yêu cầu tính riêng tư. Nếu phải kết hợp định danh người dùng thì có thể cần sử dụng thêm liên kết định danh người dùng FAU_GEN.2.

Nếu chủ thể là một người dùng thì định danh người dùng có thể được ghi lại như định danh chủ thể. Định danh người dùng có thể không được kiểm lại nếu Xác thực người dùng (FIA_UAU) không được áp dụng. Do đó trong trường hợp một đăng nhập không hợp lệ định danh người dùng được yêu cầu cần được ghi lại. Có thể xem xét để thấy khi nào một định danh đã lưu là chưa được xác thực.

C.3.2.2. Chú thích cho đánh giá viên

TOE có sự phụ thuộc vào nhãn thời gian (Time stamp - FPT_STM). Nếu độ chính xác của thời gian không phải vấn đề, có thể bỏ qua sự phụ thuộc này.

C.3.2.3. Các hoạt động

C.3.2.3.1. Phép chọn

Trong FAU_GEN.1.1, PP/ST cần lựa chọn mức độ của sự kiện kiểm toán trong mệnh đề con của các thành phần chức năng khác bao gồm trong PP/ST. Cấp độ này bao gồm: tối thiểu, cơ bản, chi tiết và không xác định.

C.3.2.3.2. Chỉ định

Trong FAU_GEN.1.1, PP/ST cần Chỉ định những sự kiện kiểm toán khác trong danh sách những sự kiện kiểm toán. Có thể không Chỉ định gì cả hoặc Chỉ định những sự kiện mức cao hơn yêu cầu cũng như các sự kiện được tạo ra qua giao diện lập trình ứng dụng (API).

Trong FAU_GEN.1.2, PP/ST cần chỉ định những thông tin liên quan nếu có trong mỗi sự kiện kiểm toán bao gồm trong PP/ST.

C.3.3. FAU_GEN.2 Kết hợp định danh người dùng

C.3.3.1. Chú thích cho ứng dụng người sử dụng

Thành phần này liên quan tới những sự kiện kiểm toán tài khoản của người dùng và cần sử dụng kết hợp với FAU_GEN.1

Giữa yêu cầu kiểm toán và tính riêng tư có sự mâu thuẫn. Với mục đích kiểm toán cần biết ai thực hiện một hành động nào đó. Người dùng có thể lưu giữ các hành động của mình và không bị nhận biết bởi những người khác. Hoặc có thể yêu cầu trong chính sách an toàn sự bảo vệ định danh của người dùng. Trong những trường hợp đó, đối tượng kiểm toán và sự riêng tư có thể mâu thuẫn với nhau. Do vậy, nếu lựa chọn yêu cầu này và sự riêng tư là quan trọng cần cân nhắc bí danh của người dùng. Yêu cầu xác định tên thật của người dùng dựa trên bí danh được xác định trong lớp riêng.

Nếu định danh người dùng chưa được kiểm lại qua việc xác thực, thì trường hợp đăng nhập không hợp lệ thì định danh người dùng được yêu cầu nên được lưu lại. Cần xem xét để thấy khi nào một định danh là chưa được xác thực.

C.4. Phân tích kiểm toán an toàn (FAU_SAA)

C.4.1. Chú thích cho người sử dụng

Họ này xác định những yêu cầu về việc tự động phân tích Hoạt động của hệ thống và dữ liệu kiểm toán nhằm phát hiện ra những sự vi phạm có thể hoặc đã xảy ra. Sự phân tích có thể thực hiện với sự hỗ trợ của phát hiện xâm nhập hoặc tự động phản ứng với sự vi phạm an toàn sắp xảy ra.

Hành động được thực hiện bởi TSF khi phát hiện ra sự vi phạm sẽ hoặc có nguy cơ xảy ra được định nghĩa trong các thành phần Phản hồi tự động kiểm toán an toàn (FAU_ARP).

Khi phân tích thời gian thực, dữ liệu kiểm toán có thể chuyển thành những dạng phù hợp với việc xử lý tự động hoặc ở dạng xem lại được với người dùng có quyền.

C.4.2. FAU_SAA.1 Phân tích khả năng xâm phạm

C.4.2.1. Chú thích cho ứng dụng người sử dụng

Thành phần này được sử dụng để xác định một tập hợp các sự kiện kiểm toán liên quan đến sự vi phạm tiềm năng trong TSP và mọi luật được dùng để thực hiện phân tích vi phạm.

C.4.2.2. Các hoạt động

C.4.2.2.1. Chỉ định

Trong FAU_SAA.1.2, tác giả PP/ST cần chỉ rõ tập con của những sự kiện kiểm toán đã định nghĩa mà sự xảy ra hoặc xảy ra tích lũy của chúng cần được phát hiện là dấu hiệu vi phạm tiềm năng việc thi hành của các SFR.

Trong FAU_SAA.1.2 tác giả PP/ST cần chỉ rõ bất cứ quy định nào khác mà TSF cần sử dụng trong phân tích dấu vết kiểm chứng. Những luật này có thể bao gồm những yêu cầu cụ thể thể hiện nhu cầu đối với các sự kiện xảy ra trong một khoảng thời gian nhất định (có nghĩa trong khoảng của ngày, một thời kỳ). Nếu không có những quy định bổ sung mà TSF có thể sử dụng trong phân tích dấu vết kiểm chứng thì sự chỉ định này sẽ được hoàn thành với "không" ("none").

C.4.3. FAU_SAA.2 Phát hiện bất thường dựa trên mô tả tóm tắt

C.4.3.1. Chú thích cho ứng dụng người sử dụng

Tiểu sử là một cấu trúc mô tả biểu hiện của người sử dụng hoặc đối tượng, biểu diễn bằng cách nào người sử dụng hoặc đối tượng tương tác với TSF. Mẫu sử dụng được xây dựng với nhiều kiểu hoạt động mà người sử dụng hoặc đối tượng tham gia (Ví dụ các mẫu về xuất hiện ngoại lệ, tận dụng tài nguyên như thế nào, khi nào). Phương thức những hoạt động khác nhau được ghi lại trong tiểu sử (ví dụ tính toán tài nguyên, bộ đếm sự kiện, thời gian) được gọi là thuộc tính tiểu sử.

Mỗi tiểu sử thể hiện mẫu sử dụng của thành viên trong nhóm tiểu sử mục tiêu. Mẫu sử dụng có thể dựa trên quá khứ hoặc sự sử dụng thông thường của người dùng trong các nhóm tương tự nhau. Một nhóm tiểu sử mục tiêu là một hoặc nhiều hơn những người dùng tương tác với TSF. Hoạt động của mỗi thành viên trong nhóm tiểu sử được sử dụng bởi công cụ phân tích để xây dựng mẫu sử dụng trong nhóm tiểu sử đó. Sau đây là các ví dụ về nhóm tiểu sử mục tiêu.

a/ Tài khoản người dùng: mỗi người dùng có một tiểu sử

b/ Định danh nhóm hoặc tài khoản nhóm: một tiểu sử cho tất cả người dùng với cùng định danh nhóm hoặc tài khoản nhóm

c/ Vai trò vận hành: một tiểu sử cho tất cả người dùng có chung một vai trò vận hành

d/ Hệ thống: một tiểu sử cho tất cả người dùng trong một hệ thống

Mỗi thành viên của một nhóm tiểu sử mục tiêu được gán một tỷ lệ nghi ngờ thể hiện mức độ tương ứng của những hành động gần đây nhất của người dùng với mẫu sử dụng trong nhóm tiểu sử.

Mức độ tinh vi của những công cụ phát hiện bất thường được xác định phần lớn dựa trên số lượng tiểu sử nhóm mục tiêu và độ phức tạp của thông số tiểu sử.

Thành phần này được sử dụng để xác định tập hợp các sự kiện kiểm toán có khả năng vi phạm với TSP và những công cụ dùng để phân tích sự vi phạm. Tập hợp những sự kiện và luật này có thể thay đổi bởi người dùng có quyền, chẳng hạn thêm, sửa hoặc xóa sự kiện hoặc luật.

PP/ST cần liệt kê chi tiết những hoạt động nào cần giám sát và/hoặc phân tích bởi TSF. PP/ST cũng cần xác định những thông tin liên quan để tạo nên tiểu sử sử dụng.

FAU_SAA.2 Phát hiện bất thường dựa trên mô tả tóm tắt yêu cầu TSF phải duy trì tiểu sử sử dụng của hệ thống. Điều này có nghĩa là sự phát hiện bất thường sẽ chủ động cập nhật tiểu sử sử dụng dựa trên những hành động của những thành viên trong nhóm tiểu sử. Điều quan trọng ở đây là thông số biểu diễn hành động của người dùng được định nghĩa trong PP/ST. Ví dụ, có thể có hàng nghìn hành động được cho phép thực hiện với mỗi người dùng nhưng sự phát hiện bất thường chỉ giám sát một tập hợp con của những hành động đó. Những hành động bất thường diễn ra trong thời gian dài có thể sẽ trở thành bình thường với người dùng nhất định nào đó và TSF sẽ không nên giám sát những hành động này nữa.

C.4.3.2. Các hoạt động

C.4.3.2.1. Chỉ định

Trong FAU_SAA.2.1, PP/ST cần xác định nhóm tiểu sử mục tiêu. Một PP/ST có thể gồm nhiều nhóm tiểu sử mục tiêu.

Trong FAU_SAA.2.3, PP/ST cần xác định điều kiện trong đó những hành động bất thường được thông báo qua TSF. Điều kiện có thể bao gồm tỷ lệ nghi ngờ đạt đến một mức nhất định hoặc kiểu của hành động bất thường.

C.4.4. FAU_SAA Thử nghiệm tấn công đơn giản

C.4.4.1. Chú thích cho ứng dụng người sử dụng

Trong thực tế, rất ít khi một công cụ phân tích phát hiện ra sự vi phạm an ninh sắp xảy ra. Tuy nhiên, một số sự kiện hệ thống rất quan trọng cần được xem xét độc lập. Ví dụ những sự kiện liên quan đến xóa một tệp chứa khóa dữ liệu an toàn TSF (mật khẩu) hoặc hành động người dùng từ xa cố gắng chiếm quyền quản lý. Những sự kiện đó gọi là sự kiện dấu hiệu mà sự xuất hiện của chúng được coi như hành động xâm nhập.

Sự phức tạp của một công cụ sẽ phụ thuộc rất lớn vào sự chỉ định của PP/ST khi định danh tập hợp những sự kiện dấu hiệu.

PP/ST cần liệt kê chi tiết những sự kiện cần giám sát bởi TSF để thực hiện phân tích. PP/ST cần định danh những thông tin liên quan cần thiết đến một sự kiện nhằm xác định sự kiện đó có phải là sự kiện dấu hiệu không.

Những thông báo quản trị cần cung cấp sao cho người dùng có quyền hiểu được ý nghĩa sự kiện và có những phản hồi thích hợp.

Cần có những phương pháp để có thể giám sát thao tác hệ thống mà không hoàn toàn phụ thuộc vào dữ liệu kiểm toán. Ví dụ có thể sử dụng những công cụ phát hiện xâm nhập hiện có hoặc trước đây không sử dụng dữ liệu kiểm toán.

Phần tử trong FAU_SAA.2 Phát hiện tấn công đơn giản không yêu cầu TSF thực hiện trong cùng TSF đang được giám sát thao tác. Do vậy, có thể phát triển một thành phần phát hiện xâm nhập độc lập với hệ thống đang được giám sát.

C.4.4.2. Các hoạt động

C.4.4.2.1. Chỉ định

Trong FAU_SAA.3.1, người biên soạn PP/ST cần nhận dạng một tập con gốc các sự kiện hệ thống mà sự xuất hiện của chúng tách biệt với những hành động hệ thống khác, có thể cho thấy sự vi phạm thi hành của các SFR. Chúng gồm các sự kiện mà bản thân thể hiện rõ sự vi phạm việc thi hành của các SFR, hoặc sự xảy ra của chúng đáng kể đến nỗi có thể bảo đảm có hành động.

Trong FAU_SAA.3.2, PP/ST cần xác định thông tin được sử dụng để giám sát hoạt động hệ thống. Thông tin này là dữ liệu đầu vào được công cụ phân tích sử dụng để tìm những hành động hệ thống xuất hiện trong TOE. Dữ liệu này bao gồm dữ liệu kiểm toán, dữ liệu kiểm toán kết hợp với dữ liệu hệ thống khác hoặc những dữ liệu khác với dữ liệu kiểm toán. PP/ST cần xác định chính xác những sự kiện hệ thống và thuộc tính hệ thống được sử dụng để giám sát dữ liệu đầu vào.

C.4.5. FAU_SAA.4 Thử nghiệm tấn công phức tạp

C.4.5.1. Chú thích cho ứng dụng người sử dụng

Trong thực tế, rất tí khi một công cụ phân tích phát hiện ra sự vi phạm an ninh sắp xảy ra. Tuy nhiên, một số sự kiện hệ thống rất quan trọng cần được xem xét độc lập. Ví dụ những sự kiện liên quan đến xóa một tệp chứa khóa dữ liệu an toàn TSF (mật khẩu) hoặc hành động người dùng từ xa cố gắng chiếm quyền quản lý. Những sự kiện đó gọi là sự kiện dấu hiệu mà sự xuất hiện của chúng được coi như hành động xâm nhập.

Sự phức tạp của một công cụ sẽ phụ thuộc rất lớn vào sự chỉ định của PP/ST khi định danh tập hợp những sự kiện dấu hiệu.

PP/ST cần liệt kê chi tiết những sự kiện cần giám sát bởi TSF để thực hiện phân tích. PP/ST cần định danh những thông tin liên quan cần thiết đến một sự kiện nhằm xác định sự kiện đó có phải là sự kiện dấu hiệu không.

Những thông báo quản trị cần cung cấp sao cho người dùng có quyền hiểu được ý nghĩa sự kiện và có những phản hồi thích hợp.

Cần có những phương pháp để có thể giám sát hoạt động hệ thống mà không hoàn toàn phụ thuộc vào dữ liệu kiểm toán. Ví dụ có thể sử dụng những công cụ phát hiện xâm nhập hiện có hoặc trước đây không sử dụng dữ liệu kiểm toán. Vì vậy, PP/ST được yêu cầu phải xác định dữ liệu đầu vào để giám sát hoạt động hệ thống.

Phần tử trong Phát hiện tấn công phức tạp FAU_SAA.4 không yêu cầu TSF thực hiện trong cùng TSF đang được giám sát hoạt động. Do vậy, có thể phát triển một thành phần phát hiện xâm nhập độc lập với hệ thống đang được giám sát.

C.4.5.2. Các hoạt động

C.4.5.2.1. Chỉ định

Trong FAU_SAA.4.1, PP/ST cần định danh một tập hợp gốc danh sách của chuỗi những sự kiện hệ thống và sự xuất hiện của chúng được coi là kịch bản xâm nhập đã biết trước. Mỗi sự kiện trong chuỗi được gắn với một sự kiện hệ thống đã giám sát.

Trong FAU_SAA.4.1, người biên soạn PP/ST nên định danh tập con cơ sở của những sự kiện hệ thống mà sự xuất hiện của chúng tách biệt với những hoạt động hệ thống khác, có thể chỉ ra sự vi phạm việc thi hành của các SFR. Chúng gồm các sự kiện mà bản thân thể hiện rõ sự vi phạm việc thi hành của các SFR, hoặc sự xảy ra của chúng đáng kể đến nỗi có thể bảo đảm có hành động.

Trong FAU_SAA.4.2, PP/ST cần xác định thông tin được sử dụng để xác định hoạt động của hệ thống. Thông tin này là dữ liệu đầu vào cho các công cụ phân tích để tìm ra những hành động hệ thống xuất hiện trong TOE. Dữ liệu này có thể bao gồm dữ liệu kiểm toán, hoặc sự kết hợp của dữ liệu kiểm toán với những dữ liệu khác. PP/ST cũng cần định nghĩa chính xác những sự kiện hệ thống và thuộc tính sự kiện đang được giám sát với dữ liệu đầu vào.

C.5. Soát xét kiểm toán an toàn (FAU_SAR)

C.5.1. Chú thích cho người sử dụng

Họ xem xét lại kiểm chứng an toàn định nghĩa các yêu cầu liên quan đến sự xem xét lại thông tin kiểm chứng.

Những chức năng này nên cho phép lưu trữ trước hoặc lưu trữ sau lựa chọn kiểm toán để xem xét lại trong đó có thể bao gồm:

• Hành động của người sử dụng (các hành động liên quan đến định danh, nhận thực, cổng vào TOE và điều khiển truy nhập);

• Hành động thực hiện trên một đối tượng nhất định hoặc tài nguyên TOE;

• Tất cả những ngoại lệ kiểm toán của một tập hợp nhất định;

• Hành động liên quan đến một thuộc tính của TSP.

Sự khác biệt giữa những xem xét lại kiểm chứng dựa vào tính chức năng. Xem xét lại kiểm chứng (duy trì) bao hàm khả năng xem lại dữ liệu kiểm chứng. Xem xét lại có thể lựa chọn thì phức tạp hơn, và đòi hỏi khả năng lựa chọn tập con dữ liệu kiểm chứng dựa trên tiêu chí đơn hoặc đa tiêu chí với các quan hệ logic (có nghĩa: và/hoặc), và sắp xếp dữ liệu kiểm chứng trước khi nó được xem xét lại.

C.5.2. FAU_SAR.1 Soát xét kiểm toán

C.5.2.1. Chú thích cho ứng dụng người sử dụng

Thành phần này cung cấp cho những người dùng được ủy quyền có quyền khả năng thu nhập và dịch thông tin. Trong trường hợp con người sử dụng, thông tin này cần biểu diễn ở dạng cho con người hiểu được. Trong trường hợp với các thực thể IT khác, thông tin này cần biểu diễn ở dạng điện tử rõ ràng.

C.5.2.2. Các hoạt động

C.5.2.2.1. Chỉ định

Trong FAU_SAR1.1, người biên soạn PP/ST cần xác định người quản trị có thể sử dụng khả năng này. Nếu thích hợp, người biên soạn PP/ST nên bao gồm vai trò an toàn (xem vai trò an toàn FMT-SMR.1)

Trong FAU_SAR.1.1, người biên soạn PP/ST cần quy định rõ kiểu loại thông tin mà người dùng danh nghĩa được phép lấy từ bản ghi dữ liệu kiểm toán. Ví dụ là "tất cả" ("all"), "định danh chủ thể" ("subject identify"), "tất cả thông tin thuộc về bản ghi kiểm toán tham khảo người dùng này" ("all information belonging to audit records referencing this user"). Khi sử dụng SFR, RAU_SAR.1, không cần phải lặp lại, một cách hoàn toàn chi tiết, danh sách thông tin kiểm chứng được quy định ban đầu trong FAU_GEN.1. Việc sử dụng thuật ngữ như là "tất cả" hoặc "tất cả thông tin kiểm chứng" giúp hạn chế tình trạng tối nghĩa và việc cần phân tích so sánh thêm giữa hai yêu cầu an toàn.

C.5.3. FAU_SAR.2 Soát xét kiểm toán có hạn chế

C.5.3.1. Chú thích cho ứng dụng người sử dụng

Thành phần này xác định những người sử dụng không có định danh trong FAU_SAR.1 sẽ không được đọc bản ghi dữ liệu kiểm toán.

C.5.4. FAU_SAR.3 Soát xét kiểm toán có chọn lựa

C.5.4.1. Chú thích cho ứng dụng người sử dụng

Thành phần này được sử dụng để xác định rằng có thể lựa chọn dữ liệu kiểm toán để xem lại. Nếu có nhiều tiêu chuẩn lựa chọn, mối quan hệ giữa chúng cần phải logic (dưới dạng and, or) và công cụ cần cung cấp khả năng để xử lý dữ liệu kiểm toán (sắp xếp, lọc).

C.5.4.2. Các hoạt động

C.5.4.2.1. Phép chọn

Trong FAU_SAR.3.1, người biên soạn PP/ST cần quy định rõ những khả năng nào để lựa chọn và/hoặc dữ liệu kiểm toán thứ tự nào được yêu cầu từ TSF.

Trong FAU_SAR.3.1, người biên soạn PP/ST cần chỉ định tiêu chí, có thể bằng các mối quan hệ logic, được sử dụng để lựa chọn dữ liệu kiểm toán xem lại. Các mối quan hệ logic này nhằm để quy định rõ hoạt động có thể trên một thuộc tính riêng lẻ hay là trên một tập hợp các thuộc tính. Một ví dụ về sự chỉ định này là: "ứng dụng, tài khoản người dùng và/hoặc vị trí" ("application, user account and/or location"). Trong trường hợp này hoạt động có thể được quy định rõ bằng việc sử dụng bất cứ liên hợp nào của ba thuộc tính: ứng dụng, tài khoản người dùng và vị trí.

C.6. Lựa chọn sự kiện kiểm toán an toàn (FAU_SEL)

C.6.1. Chú thích cho người sử dụng

Họ lựa chọn sự kiện kiểm toán an toàn cung cấp yêu cầu liên quan đến khả năng những sự kiện kiểm toán nào có thể kiểm toán được. Sự kiện kiểm toán được định nghĩa trong họ FAU_GEN, nhưng những sự kiện đó cần được định nghĩa một cách chọn lọc trong thành phần này để kiểm toán.

Họ này đảm bảo rằng có thể không sử dụng những dữ liệu kiểm toán quá dài bằng cách định nghĩa thuộc tính thích hợp trong những sự kiện kiểm toán an toàn được lựa chọn.

C.6.2. FAU_SEL.1 Kiểm toán lựa chọn

C.6.2.1. Chú thích cho ứng dụng người sử dụng

Thành phần này định nghĩa tiêu chuẩn lựa chọn được sử dụng và những tập hợp con kết quả đã được kiểm toán của tập hợp tất cả các sự kiện có thể kiểm toán, dựa trên các thuộc tính người dùng, các thuộc tính chủ thể, các thuộc tính đối tượng hoặc các kiểu loại sự kiện.

Sự tồn tại của định danh người dùng không bao gồm trong thành phần này. Điều này cho phép những TOE như bộ định tuyến có thể không cần hỗ trợ khái niệm người dùng.

Đối với môi trường phân tán, định danh của máy trạm có thể sử dụng như lựa chọn cho những sự kiện kiểm toán.

Chức năng quản lý dữ liệu TSF (FMT_MTD.1) sẽ xử lý quyền của người quản trị khi truy vấn hoặc sửa đổi lựa chọn.

C.6.2.2. Các hoạt động

C.6.2.2.1. Phép chọn

Trong FAU_SEL.1.1, PP/ST cần lựa chọn mối quan hệ của thuộc tính an toàn để kiểm toán dựa trên định danh đối tượng, định danh người dùng, định danh máy trạm hoặc kiểu sự kiện.

C.6.2.2.2. Chỉ định

Trong FAU_SEL.1.1, PP/ST cần xác định những thuộc tính bổ sung liên quan đến sự lựa chọn kiểm toán. Nếu không có cũng cần Chỉ định rõ là "không có".

C.7. Lưu trữ sự kiện kiểm toán an toàn (FAU_STG)

C.7.1. Chú thích cho người sử dụng

Họ lưu trữ sự kiện kiểm toán an toàn mô tả các yêu cầu lưu trữ dữ liệu kiểm toán để dùng lại sau đó, trong đó bao gồm điều khiển thất thoát thông tin kiểm toán do lỗi TOE, tấn công và/hoặc hết dung lượng lưu trữ.

C.7.2. FAU_STG.1 Lưu trữ các vết kiểm toán có bảo vệ

C.7.2.1. Chú thích cho ứng dụng người sử dụng

Trong môi trường phân tán, do nơi lưu trữ dữ liệu kiểm toán trong TSC nhưng không cần thiết phải trong cùng nơi tạo ra dữ liệu, PP/ST có thể yêu cầu nhận thực về nguồn gốc của bản ghi kiểm toán trước khi lưu bản ghi đó.

TSF sẽ bảo vệ dữ liệu kiểm toán đã lưu trữ trong dấu vết kiểm toán khỏi những hành động xóa hoặc sửa đổi không được phép. Lưu ý rằng trong một số TOE (vai trò) người kiểm toán có thể không được phép xóa bản ghi kiểm toán trong một khoảng thời gian nhất định.

C.7.2.2. Các hoạt động

C.7.2.2.1. Phép chọn

Trong FAU_STG.1.2, người biên soạn PP/ST cần quy định TSF sẽ ngăn chặn hoặc chỉ có thể phát hiện sự thay đổi của các dữ liệu kiểm toán đã lưu trữ trong dấu vết kiểm toán. Chỉ một tùy chọn được lựa chọn.

C.7.3. FAU_STG.2 Đảm bảo sự sẵn sàng của dữ liệu kiểm toán

C.7.3.1. Chú thích cho ứng dụng người sử dụng

Thành phần này cho phép PP/ST xác định những thông số mà dữ liệu kiểm toán cần đáp ứng.

Trong môi trường phân tán, do nơi lưu trữ dữ liệu kiểm toán trong TSC những không cần thiết phải trong cùng nơi tạo ra dữ liệu, PP/ST có thể yêu cầu nhận thực về nguồn gốc của bản ghi kiểm toán trước khi lưu bản ghi đó.

C.7.3.2. Các hoạt động

C.7.3.2.1. Phép chọn

Trong FAU_STG.2.2, người biên soạn PP/ST cần quy định rõ STF sẽ ngăn chặn hoặc chỉ có thể phát hiện sự thay đổi của bản ghi kiểm toán đã lưu trữ trong dấu vết kiểm toán. Chỉ một tùy chọn được lựa chọn.

C.7.3.2.2. Chỉ định

Trong FAU_STG.2.3, tác giả PP/ST cần chỉ rõ thông số mà TSF phải đảm bảo đối với bản ghi kiểm toán lưu trữ. Thông số này giới hạn dữ liệu thất thoát dựa trên số lượng bản ghi phải được duy trì hoặc thời gian bản ghi được đảm bảo duy trì. Ví dụ, thông số là "100,000" có nghĩa là 100,000 bản ghi kiểm toán cần được lưu giữ.

C.7.3.2.3. Phép chọn

Trong FAU_STG.2.3, tác giả PP/ST cần xác định điều kiện trong đó TSF nào vẫn có thể duy trì được một lượng dữ liệu kiểm toán đã thiết lập trước. Điều kiện này có thể như sau: không gian lưu trữ bị cạn kiệt, hỏng hoặc tấn công.

C.7.4. FAU_STG.3 Hành động trong trường hợp có thể mất mát dữ liệu kiểm toán

C.7.4.1. Chú thích cho ứng dụng người sử dụng

Thành phần này yêu cầu hành động sẽ phải thực hiện khi dữ liệu kiểm toán vượt quá giới hạn đã thiết lập trước.

C.7.4.2. Các hoạt động

C.7.4.2.1. Chỉ định

Trong FAU_STG.3.1, PP/ST cần xác định giới hạn thiết lập trước. Nếu chức năng quản lý thông báo rằng con số này có thể thay đổi bởi người dùng được cấp quyền thì giá trị là giá trị mặc định. PP/ST nên cho phép người dùng được cấp quyền thiết lập giới hạn này.

Trong FAU_STG.3.1, PP/ST cần xác định hành động cần thực hiện trong trường hợp nơi lưu trữ dữ liệu kiểm toán sắp bị hỏng dựa trên sự thông báo vượt qua mức ngưỡng. Hành động nên bao gồm thông báo cho người được cấp quyền.

C.7.5. FAU_STG.4 Ngăn chặn mất mát dữ liệu kiểm toán

C.7.5.1. Chú thích cho ứng dụng người dùng

Thành phần này chỉ rõ ứng xử của TOE khi dấu vết kiểm toán bị đầy: hoặc là các bản ghi kiểm toán bị bỏ qua hoặc TOE bị "đông cứng" đến nỗi không có sự kiện kiểm toán nào có thể xảy ra được. Các yêu cầu cũng chỉ ra rằng bất cứ yêu cầu là như thế nào, thì người dùng được cấp phép với các quyền cụ thể đối với kết quả này đều có thể tiếp tục tạo ra sự kiện kiểm toán (các hành động). Lý do là mặt khác thì người dùng được cấp quyền thậm chí cũng không thể khởi động lại TOE. Cần cân nhắc lựa chọn hành động do TSF thực hiện trong trường hợp cạn kiệt lưu trữ kiểm toán, như bỏ qua các sự kiện, mà cung cấp khả năng sẵn sàng của TOE tốt hơn, cũng sẽ cho phép các hành động được thực hiện mà không ghi lại và không theo dõi được người sử dụng.

C.7.5.2. Các hoạt động

C.7.5.2.1. Phép chọn

Trong FAU_STG.4.1, PP/ST cần lựa chọn TSF sẽ bỏ qua những hành động có thể kiểm toán hoặc những bản ghi lâu nhất được ghi đè khi TSF không thể ghi tiếp. Chỉ một tùy chọn được phép sử dụng.

C.7.5.2.2. Chỉ định

Trong FAU_STG.4.1, PP/ST cần xác định những hành động được thực hiện khi nơi lưu trữ dữ liệu kiểm toán bị hỏng, ví dụ thông báo với người dùng được cấp quyền. Nếu không, sự Chỉ định phải ghi rõ là "không có".

 

PHỤ LỤC D

(Quy định)

LỚP FCO: TRUYỀN THÔNG

Lớp này mô tả các yêu cầu đặc biệt quan tâm đối với các TOE dùng cho việc vận chuyển thông tin. Các họ trong lớp này liên quan việc không từ chối.

Trong lớp này khái niệm "thông tin" được sử dụng. Thông tin này được dịch như là đối tượng đang được truyền thông, và có thể bao gồm một thông điệp thư điện tử, tệp hoặc một tập hợp kiểu thuộc tính đã xác định.

Hình D.1 mô tả thành phần của lớp này:

Hình D.1 - Phân cấp lớp FCO: Truyền thông

D.1. Không chối bỏ nguồn gốc (FCO_NRO)

D.1.1. Chú thích cho người sử dụng

Nguồn gốc không thể phủ nhận định nghĩa yêu cầu để cung cấp bằng chứng cho người sử dụng/đối tượng về định danh người khởi tạo ra một số thông tin. Người khởi tạo không thể phủ nhận những thông tin đã gửi vì bằng chứng về nguồn gốc (ví dụ chữ ký số) khẳng định mối liên kết giữa người đó và thông tin đã gửi đi. Người nhận hoặc một người thứ ba có thể xác nhận bằng chứng về nguồn gốc này. Bằng chứng này cần không làm giả được.

Nếu thông tin hoặc những thuộc tính liên quan bị thay đổi theo bất kỳ cách nào, tính hợp lệ của bằng chứng về nguồn gốc là thất bại. Do đó PP/ST cần cân nhắc bao gồm cả yêu cầu toàn vẹn như FDP_UIT.1.

Không thể phủ nhận bao gồm một số vai trò khác nhau có thể kết hợp trong đối tượng:

- Vai trò thứ nhất là một đối tượng yêu cầu bằng chứng về nguồn gốc (chỉ có trong FCO_NRO.1),

- Vai trò thứ hai là người nhận và/hoặc những đối tượng khác được cung cấp bằng chứng

- Vai trò thứ ba là một đối tượng yêu cầu kiểm tra lại nguồn gốc của bằng chứng.

PP/ST cần xác định điều kiện cần thiết để kiểm tra tính hợp lệ của bằng chứng. Một ví dụ về điều kiện này là sự kiểm tra bằng chứng phải xảy ra trong vòng 24 giờ. Những điều kiện này do vậy cho phép thay đổi yêu cầu hợp lệ, ví dụ có thể cung cấp bằng chứng trong một vài năm.

Trong phần lớn trường hợp, định danh của người nhận sẽ là người nhận sự truyền tin. Trong một số trường hợp PP/ST không muốn định danh người dùng xuất ra. Trong trường hợp đó, PP/ST cần cân nhắc bao gồm cả lớp này hoặc có nên sử dụng định danh của người cung cấp dịch vụ hay định danh của máy trạm không.

Ngoài ra, PP/ST cần xem xét đến thời gian thông tin được truyền đi. Ví dụ, yêu cầu khuyến nghị phải được truyền đi trước ngày nào đó. Trong trường hợp như vậy, những yêu cầu này có thể tùy biến nhằm cung cấp một sự chỉ thị về mốc thời gian (thời gian gốc).

D.1.2. FCO_NRO.1 Lựa chọn kiểm chứng nguồn gốc

D.1.2.1. Các hoạt động

D.1.2.1.1. Chỉ định

Trong FCO_NRO.1.1, PP/ST cần điền kiểu thông tin về đối tượng trong chức năng bằng chứng về nguồn gốc, ví dụ thông điệp thư điện tử.

D.1.2.1.2. Phép chọn

Trong FCO_NRO.1.1, PP/ST cần xác định người dùng/ đối tượng có thể yêu cầu bằng chứng về nguồn gốc.

D.1.2.1.3. Chỉ định

Trong FCO_NRO.1.1, PP/ST dựa trên sự lựa chọn cần xác định những đối tác thứ ba có thể yêu cầu bằng chứng về nguồn gốc. Một đối tác thứ ba có thể là trọng tài, quan tòa hoặc một đối tượng hợp lệ.

Trong FCO_NRO.1.2, PP/ST cần điền danh sách những thuộc tính sẽ liên kết với thông tin, ví dụ định danh người khởi tạo, thời gian gốc, và vị trí gốc.

Trong FCO_NRO.1.2, PP/ST cần điền danh sách những trường thông tin mang những thuộc tính cung cấp bằng chứng về nguồn gốc, ví dụ nội dung của một thông điệp.

D.1.2.1.4. Phép chọn

Trong FCO_NRO.1.3, PP/ST cần xác định người dùng/ đối tượng có thể thẩm tra bằng chứng về nguồn gốc.

D.1.2.1.5. Chỉ định

Trong FCO_NRO.1.3, PP/ST cần điền danh sách những giới hạn mà bằng chứng có thể thẩm tra. Ví dụ, bằng chứng chỉ có thể thẩm tra trong 24 giờ. Một Chỉ định "ngay tức thì" hoặc "không xác định" có thể được chấp nhận.

Trong FCO_NRO.1.3, PP/ST dựa trên sự lựa chọn cần xác định những đối tác thứ ba có thể thẩm tra bằng chứng về nguồn gốc.

D.1.3. FCO_NRO.2 Thực thi kiểm chứng nguồn gốc

D.1.3.1. Các hoạt động

D.1.3.1.1. Chỉ định

Trong FCO_NRO.2.1, PP/ST cần điền những kiểu thông tin đối tượng trong chức năng bằng chứng nguồn gốc, ví dụ thông điệp thư điện tử.

Trong FCO_NRO.2.2, PP/ST cần điền danh sách những thuộc tính sẽ liên kết với thông tin, ví dụ định danh người khởi tạo, thời gian gốc, và vị trí gốc.

Trong FCO_NRO.2.2, PP/ST cần điền danh sách những trường thông tin mang những thuộc tính cung cấp bằng chứng về nguồn gốc, ví dụ nội dung của một thông điệp.

D.1.3.1.2. Phép chọn

Trong FCO_NRO.2.3, PP/ST cần xác định người dùng/ đối tượng có thể thẩm tra bằng chứng về nguồn gốc.

D.1.3.1.3. Chỉ định

Trong FCO_NRO.1.3, PP/ST cần điền danh sách những giới hạn mà bằng chứng có thể thẩm tra. Ví dụ, bằng chứng chỉ có thể thẩm tra trong 24 giờ. Một Chỉ định "ngay tức thì" hoặc "không xác định" có thể được chấp nhận.

Trong FCO_NRO.1.3, PP/ST dựa trên sự lựa chọn cần xác định những đối tác thứ ba có thể thẩm tra bằng chứng về nguồn gốc. Đối tác thứ ba có thể là một trọng tài, quan tòa hoặc một đối tượng hợp lệ.

D.2. Không thể từ chối của bên nhận (FCO_NRR)

D.2.1. Chú thích cho người sử dụng

FCO_NRR định nghĩa yêu cầu để cung cấp bằng chứng cho những người dùng/ đối tượng khác rằng thông tin được nhận bởi người nhận. Người nhận không thể từ chối thành công đã nhận thông tin bởi bằng chứng biên nhận (ví dụ chữ ký điện tử) khẳng định mối liên kết giữa thuộc tính người nhận và thông tin. Người khởi tạo hoặc đối tác thứ ba có thể thẩm tra bằng chứng biên nhận. Bằng chứng này cần không làm giả được.

Lưu ý rằng sự bằng chứng cung cấp không cần thiết gợi ý rằng thông tin đã được đọc hoặc lĩnh hội mà chỉ nhận được.

Nếu thông tin hoặc những thuộc tính liên quan được thay đổi theo cách nào đó, tính hợp lệ của bằng chứng biên nhận so với thông tin gốc là thất bại. Do vậy PP/ST cần cân nhắc yêu cầu về tính toàn vẹn như FDP_UIT.1

Trong không thể phủ định bao gồm một số vai trò khác nhau có thể kết hợp trong đối tượng:

- Vai trò thứ nhất là một đối tượng yêu cầu bằng chứng về nguồn gốc (chỉ có trong FCO_NRO.1),

- Vai trò thứ hai là người nhận và/hoặc những đối tượng khác được cung cấp bằng chứng, ví dụ công chứng viên

- Vai trò thứ ba là một đối tượng yêu cầu thẩm tra lại nguồn gốc của bằng chứng ví dụ hư trọng tài

PP/ST cần xác định điều kiện cần thiết để thẩm tra tính hợp lệ của bằng chứng. Một ví dụ về điều kiện này là sự thẩm tra bằng chứng phải xảy ra trong vòng 24 giờ. Những điều kiện này do vậy cho phép thay đổi yêu cầu hợp lệ, ví dụ có thể cung cấp bằng chứng trong một vài năm.

Trong phần lớn trường hợp, định danh của người nhận sẽ là người nhận sự truyền tin. Trong một số trường hợp PP/ST không muốn định danh người dùng xuất ra. Trong trường hợp đó, PP/ST cần cân nhắc bao gồm cả lớp này hoặc có nên sử dụng định danh của người cung cấp dịch vụ hay định danh của máy trạm không.

Ngoài ra, PP/ST cần xem xét đến thời gian thông tin được truyền đi. Ví dụ, yêu cầu khuyến nghị phải được truyền đi trước một ngày nào đó. Trong trường hợp như vậy, những yêu cầu này có thể tùy biến nhằm cung cấp một sự chỉ thị về mốc thời gian (thời gian gốc).

D.2.2. FCO_NRR.1 Lựa chọn kiểm chứng bên nhận

D.2.2.1. Các hoạt động

D.2.2.1.1. Chỉ định

Trong FCO_NRR.1.1, PP/ST cần điền vào kiểu thông tin đối tượng cho bằng chứng biên nhận, ví dụ, thông điệp thư điện tử.

D.2.2.1.2. Phép chọn

Trong FCO_NRR.1.1, PP/ST cần xác định người dùng/đối tượng có thể yêu cầu bằng chứng biên nhận.

D.2.2.1.3. Chỉ định

Trong FCO_NRR.1.1, PP/ST dựa vào sự lựa chọn cần xác định những đối tác thứ ba có thể yêu cầu bằng chứng biên nhận. Đối tác thứ ba có thể là trọng tài, quan tòa hoặc đối tượng hợp lệ.

Trong FCO_NRR.1.2, PP/ST cần điền danh sách những thuộc tính sẽ liên kết với thông tin; ví dụ định danh người nhận, thời gian nhận, địa điểm nhận.

Trong FCO_NRR.1.2, PP/ST cần điền danh sách các trường thông tin trong đó có những thuộc tính cung cấp bằng chứng biên nhận, ví dụ nội dung của một thông điệp.

D.2.2.1.4. Phép chọn

Trong FCO_NRR.1.3, PP/ST cần xác định những người dùng/ đối tượng có thể thẩm tra bằng chứng biên nhận.

D.2.2.1.5. Chỉ định

Trong FCO_NRR.1.3, PP/ST cần điền danh sách những sự hạn chế mà dựa vào đó bằng chứng có thể thẩm tra. Ví dụ bằng chứng chỉ có thể thẩm tra trong vòng 24 giờ. Một sự chỉ định "Ngay lập tức" hoặc "Không xác định" là chấp nhận được.

Trong FCO_NRR.1.3, PP/ST cần dựa trên sự lựa chọn để xác định những đối tác thứ ba có thể thẩm tra bằng chứng biên nhận.

D.2.3. FCO_NRR.2 Thực thi kiểm chứng biên nhận

D.2.3.1. Các hoạt động

D.2.3.1.1 Chỉ định

Trong FCO_NRR.2.1, PP/ST cần điền vào kiểu thông tin đối tượng cho bằng chứng biên nhận, ví dụ, thông điệp thư điện tử.

Trong FCO_NRR.2.2, PP/ST cần điền danh sách những thuộc tính sẽ liên kết với thông tin; ví dụ định danh người nhận, thời gian nhận, địa điểm nhận.

Trong FCO_NRR.2.2, PP/ST cần điền danh sách các trường thông tin trong đó có những thuộc tính cung cấp bằng chứng biên nhận, ví dụ nội dung của một thông điệp.

D.2.3.1.2. Phép chọn

Trong FCO_NRR.2.3, PP/ST cần xác định những người dùng/ đối tượng có thể thẩm tra bằng chứng biên nhận.

D.2.3.1.3. Chỉ định

Trong FCO_NRR.1.3, PP/ST cần điền danh sách những sự hạn chế mà dựa vào đó bằng chứng có thể thẩm tra. Ví dụ bằng chứng chỉ có thể thẩm tra trong vòng 24 giờ. Một sự Chỉ định  "ngay lập tức" hoặc "không xác định" là chấp nhận được.

Trong FCO_NRR.1.3, PP/ST cần dựa trên sự lựa chọn để xác định những đối tác thứ ba có thể thẩm tra bằng chứng biên nhận. Đối tác thứ ba có thể là một trọng tài, quan tòa hoặc đối tượng hợp lệ.

 

PHỤ LỤC E

(Quy định)

LỚP FCS: HỖ TRỢ MẬT MÃ

 TSF có thể tận dụng chức năng mật mã để hỗ trợ cho những mục đích an toàn ở mức cao. Chức năng này có thể bao gồm (những không giới hạn bởi): định danh và nhận thức, không phủ định, đường tin cậy, kênh tin cậy và tách dữ liệu. Lớp này được sử dụng khi TOE thực hiện chức năng mật mã, có thể trong phần cứng, phần sụn hoặc phần mềm.

FCS bao gồm hai họ: Quản lý khóa mật mã (FCS_CKM) và Thao tác mật mã (FCS_COP). FCS_CKM chú trọng vào vấn đề quản lý khóa mật mã trong khi FCS_COP liên quan đến sự sử dụng những khóa mật mã đó.

Với mỗi phương thức tạo khóa mật mã thực hiện bởi TOE nếu có, PP/ST cần lựa chọn thành phần Tạo khóa mật mã FCS_CKM.1

Với mỗi phương thức phân phối khóa mật mã thực hiện bởi TOE nếu có, PP/ST cần lựa chọn thành phần Phân phối khóa mật mã FCS_CKM.2

Với mỗi phương thức truy nhập khóa mật mã thực hiện bởi TOE nếu có, PP/ST cần lựa chọn thành phần Truy nhập khóa mật mã FCS_CKM.3

Với mỗi phương thức hủy khóa mật mã thực hiện bởi TOE nếu có, PP/ST cần lựa chọn thành phần Hủy khóa mật mã FCS_KCM.4

Chức năng mật mã có thể sử dụng để đáp ứng mục tiêu trong lớp FCO - Trao đổi thông tin và trong các họ Nhận thực dữ liệu (FDP_DAU), Tính toàn vẹn dữ liệu lưu trữ (FDP_SDI), Bảo vệ chuyển giao bí mật dữ liệu người dùng giữa TSF (FDP_UIT), Đặc tính bí mật (FIA_SOS), Nhận thực người dùng (FIA_UAU) để đáp ứng nhiều mục tiêu khác nhau. Trong trường hợp chức năng mật mã được sử dụng để đáp ứng mục tiêu cho các lớp khác, những thành phần chức năng riêng lẻ xác định những mục tiêu đó phải đáp ứng chức năng mật mã. Mục tiêu trong lớp FCS cần được sử dụng khi chức năng mật mã của TOE được yêu cầu từ khách hàng.

Hình Ε.1 minh họa các thành phần của lớp FCS.

Hình Ε.1 - Phân cấp lớp FCS: Hỗ trợ mật mã

Ε.1. Quản lý khóa mật mã (FCS_CKM)

Ε.1.1. Chú thích cho người sử dụng

Khóa mật mã phải được quản lý trong suốt thời gian tồn tại của khóa. Những sự kiện thường gặp trong chu kỳ sống của khóa mật mã bao gồm (nhưng không giới hạn bởi): tạo, phân phối, lưu giữ, truy nhập và hủy khóa.

Số trạng thái của khóa phụ thuộc vào chiến lược quản lý khóa đang triển khai do TOE không cần thiết tham gia vào tất cả trong chu kỳ sống của khóa (ví dụ TOE chỉ tạo và phân phối khóa).

Họ này nhằm hỗ trợ chu kỳ sống của khóa và do đó định nghĩa yêu cầu cho những thao tác sau: Tạo khoá, phân phối khóa và hủy khóa. Họ này cần sử dụng khi có yêu cầu chức năng về quản lý khóa mật mã.

Nếu FAU_GEN bao gồm trong PP/ST thì trong ngữ cảnh của sự kiện đang kiểm toán:

a/ Thuộc tính của mục đích có thể bao gồm người dùng đã gắn cho khóa mật mã, vai trò của người dùng, thao tác sử dụng khóa mật mã, định danh khóa mật mã và khoảng thời gian hợp lệ của khóa mật mã.

b/ Giá trị của mục đích có thể bao gồm giá trị của khóa mật mã và tham số không kể đến những thông tin nhạy cảm (ví dụ khóa mật mã bí mật hoặc riêng tư).

Thông thường, số ngẫu nhiên được sử dụng để tạo khóa mật mã. Trong trường đó, FCS_CKM.1 cần được dùng thay cho FIA_SOS.2. FIA_SOS.2 được sử dụng trong trường hợp việc tạo mã ngẫu nhiên yêu cầu mục đích khác.

Ε.1.2. FCS_CKM.1 Tạo khóa mật mã

Ε.1.2.1. Chú thích cho ứng dụng người sử dụng

Thành phần này yêu cầu xác định độ dài khóa mật mã và phương thức tạo khóa (có thể tuân theo một tiêu chuẩn Chỉ định). Chỉ cần một đối tượng của thành phần cho cùng một phương thức và những độ dài mã khác nhau. Độ dài mã có thể dùng chung hoặc khác nhau với các thực thể, có thể là đầu vào hoặc đầu ra của phương thức.

Ε.1.2.2. Các hoạt động

Ε.1.2.2.1. Chỉ định

Trong FCS_CKM.1.1, tác giả PP/ST nên xác định thuật toán tạo khóa mật mã được sử dụng.

Trong FCS_CKM.1.1, tác giả PP/ST nên xác định độ dài khóa mật mã được sử dụng. Độ dài khóa cần thích hợp với thuật toán và mục đích sử dụng.

Trong FCS_CKM.1.1, tác giả PP/ST nên xác định tiêu chuẩn được chỉ định để tạo khóa mật mã. Tiêu chuẩn chỉ định có thể không có hoặc nhiều hơn một tiêu chuẩn đã công bố quốc tế, trong nước hoặc một tổ chức.

Ε.1.3. FCS_CKM.2 Phân phối khóa mật mã

Ε.1.3.1. Chú thích cho ứng dụng người sử dụng

Thành phần này yêu cầu các phương pháp được sử dụng để phân phối các khóa mật mã được quy định, điều này có thể phù hợp với một tiêu chuẩn được chỉ định.

Ε.1.3.2. Các hoạt động

Ε1.3.2.1. Chỉ định

Trong FCS_CKM.2.1, tác giả PP/ST nên xác định phương pháp phân phối khóa mật mã được sử dụng.

Trong FCS_CKM.2.1, tác giả PP/ST nên xác định tiêu chuẩn được chỉ định để tạo các khóa mật mã. Tiêu chuẩn chỉ định có thể không có hoặc nhiều hơn một tiêu chuẩn đã công bố quốc tế, trong nước hoặc một tổ chức.

Ε.1.4. FCS_CKM.3 Truy nhập khóa mật mã

Ε.1.4.1. Chú thích cho ứng dụng người sử dụng

Thành phần này yêu cầu phương pháp được sử dụng để truy cập các khóa mật mã quy định, điều này có thể phù hợp với tiêu chuẩn được chỉ định.

Ε.1.4.2. Các hoạt động

Ε.1.4.2.1. Chỉ định

Trong FCS_CKM.3.1, tác giả PP/ST nên xác định loại truy cập khóa mật mã đang sử dụng. Ví dụ về loại khóa truy cập khóa mật mã gồm (nhưng không hạn chế) sao lưu khóa mật mã và phục hồi khóa mật mã.

Trong FCS_CKM.3.1, tác giả PP/ST nên xác định phương pháp truy cập khóa mật mã được sử dụng.

Trong FCS_CKM.3.1, tác giả PP/ST nên xác định tiêu chuẩn được chỉ định để tạo các khóa mật mã. Tiêu chuẩn chỉ định có thể không có hoặc nhiều hơn một tiêu chuẩn đã công bố quốc tế, trong nước hoặc một tổ chức.

Ε.1.5. FCS_CKM.4 Hủy bỏ khóa mật mã

Ε.1.5.1. Chú thích cho ứng dụng người sử dụng

Thành phần này yêu cầu phương pháp được sử dụng để phá hủy các khóa mật mã quy định, điều này có thể phù hợp với tiêu chuẩn được chỉ định.

Ε.1.5.2. Các hoạt động

Ε1.5.2.1. Chỉ định

Trong FCS_CKM.4.1, tác giả PP/ST nên xác định phương pháp phá hủy khóa được sử dụng cho việc phá hủy các khóa mật mã.

Trong FCS_CKM.4.1, tác giả PP/ST nên xác định tiêu chuẩn được chỉ định để tạo các khóa mật mã. Tiêu chuẩn chỉ định có thể không có hoặc nhiều hơn một tiêu chuẩn đã công bố quốc tế, trong nước hoặc một tổ chức.

Ε.2. Hoạt động mật mã (FCS_COP)

Ε.2.1. Chú thích cho người sử dụng

Thao tác mật mã có thể gắn liền với những chế độ mật mã. Khi đó chế độ mật mã phải được xác định.

Thao tác mật mã có thể hỗ trợ một hoặc một vài dịch vụ an toàn TOE. Thành phần FCS_COP có thể cần lặp lại hơn một lần dựa trên:

a/ Ứng dụng người dùng mà trên đó dịch vụ an toàn được sử dụng

b/ Sự sử dụng những thuật toán và độ dài khóa mật mã khác nhau

c/ Kiểu dữ liệu đang sử dụng

Nếu trong PP/ST bao gồm cả FAU_GEN thì trong ngữ cảnh của thao tác mật mã đang kiểm tra:

a/ Thao tác mật mã có thể bao gồm tạo và (hoặc) kiểm tra chữ ký số, tạo mã kiểm tra toàn vẹn và kiểm tra lại, tính hàm băm, mã hóa và giải mã dữ liệu, mã hóa và giải mã khóa mật mã, thỏa thuận khóa mật mã và tạo số ngẫu nhiên.

b/ Thuộc tính đối tượng có thể bao gồm vai trò đối tượng và người dùng gắn liền với đối tượng đó.

c/ Thuộc tính của đối tượng có thể bao gồm người dùng Chỉ định cho khóa mật mã, vai trò người dùng và thời gian hợp lệ của khóa mật mã.

Ε.2.2. FCS_COP.1 Hoạt động mật mã

Ε.2.2.1. Chú thích cho ứng dụng người sử dụng

Thành phần này yêu cầu thuật toán mật mã và độ dài khóa được sử dụng cho thao tác mật mã có thể dựa trên một tiêu chuẩn Chỉ định.

Ε.2.2.2. Các hoạt động

Ε.2.2.2.1. Chỉ định

Trong FCS_COP.1.1, PP/ST cần xác định thao tác mật mã đang thực hiện. Những thao tác mật mã thông thường bao gồm tạo và (hoặc) kiểm tra chữ ký số, tạo mã kiểm tra toàn vẹn và kiểm tra lại, tính hàm băm, mã hóa và giải mã dữ liệu, mã hóa và giải mã khóa mật mã, thỏa thuận khóa mật mã và tạo số ngẫu nhiên. Thao tác mật mã có thể được thực hiện trên dữ liệu người dùng hoặc dữ liệu TSF.

Trong FCS_COP.1.1, PP/ST cần xác định thuật toán mật mã được sử dụng; có thể bao gồm (nhưng không giới hạn bởi) DES, RSA và IDEA.

Trong FCS_COP.1.1, PP/ST cần xác định độ dài khóa mật mã được sử dụng. Độ dài khóa cần thích hợp với thuật toán và mục tiêu sử dụng.

Trong FCS_COP.1.1, PP/ST cần xác định tiêu chuẩn Chỉ định trong đó có dẫn chứng tài liệu về phương thức thao tác mật mã. Tiêu chuẩn Chỉ định có thể không có, có một hoặc nhiều hơn tiêu chuẩn đã công bố quốc tế, trong nước hoặc trong một tổ chức.

 

PHỤ LỤC F

(Quy định)

LỚP FDP: BẢO VỆ DỮ LIỆU NGƯỜI DÙNG

Lớp này chứa các họ chỉ rõ các yêu cầu liên quan việc bảo vệ dữ liệu người sử dụng. Lớp này khác với FIA và FPT trong FDP đó: việc bảo vệ dữ liệu người dùng chỉ rõ các thành phần bảo vệ dữ liệu người dùng, FIA chỉ rõ các thành phần bảo vệ các thuộc tính liên kết với người dùng, và FPT chỉ rõ các thành phần bảo vệ thông tin TSF.

Lớp FDP không chứa các yêu cầu rõ ràng cho các kiểm soát truy nhập bắt buộc truyền thông (Mandatory Access Controls - MAC) hoặc các kiểm soát truy nhập rời rạc truyền thông (Discretionary Access Controls - DAC); Tuy nhiên, các yêu cầu đó có thể được thiết kế qua các thành phần của lớp này.

Lớp FDP không đề cập rõ ràng đến tính bí mật, toàn vẹn, hoặc khả dụng, tuy cả ba tính chất này thường gắn liền trong chính sách và các cơ chế. Tuy nhiên, chính sách an toàn TOE phải bao trùm cả ba mục tiêu này trong PP/ST.

Một khía cạnh khác cửa lớp này là nó quy định kiểm soát truy nhập dưới dạng "các thao tác". Một thao tác được xác định là một kiểu truy nhập cụ thể tới một đối tượng cụ thể. Nó phụ thuộc vào mức độ trừu tượng của chủ thể PP/ST, hoặc các thao tác được mô tả là các thao tác "đọc" hay "viết", hoặc là các thao tác phức tạp hơn ví dụ như "Cập nhật cơ sở dữ liệu".

Các chính sách kiểm soát truy nhập là các chính sách dùng để kiểm soát truy nhập tới một kho chứa thông tin. Các thuộc tính biểu thị thuộc tính của kho chứa. Một khi thông tin ra khỏi kho chứa, tác nhân truy nhập sẽ tùy ý sửa đổi thông tin, bao gồm cả việc viết thông tin vào một kho chứa khác với các thuộc tính khác. Trái lại, các chính sách cho một luồng tin kiểm soát truy nhập tới thông tin, độc lập với kho chứa. Các thuộc tính của thông tin, có thể liên đới với các thuộc tính của kho chứa (hoặc không liên đới như trường hợp một cơ sở dữ liệu đa cấp), chúng sẽ gắn liền với thông tin khi di chuyển. Tác nhân truy nhập không có khả năng, trường hợp thiếu chủ quyền rõ ràng, để thay đổi các thuộc tính thông tin.

Lớp FDP không có nghĩa là một bảng phân loại tổng hợp các chính sách truy nhập CNTT, như có thể hình dung đối với các lớp khác. Các chính sách bao hàm ở đây chỉ đơn giản là các chính sách mà theo kinh nghiệm đối với các hệ thống thực tế, cung cấp cơ sở cho việc quy định rõ các yêu cầu. Có thể có các nghĩa khác không thuộc vào các định nghĩa ở đây.

Ví dụ, giả sử muốn có các kiểm soát có áp đặt của người dùng (hoặc do người dùng xác định) tới luồng tin. Các khái niệm đó có thể được xử lý như các bổ sung chi tiết, hoặc các mở rộng của các thành phần FDP.

Cuối cùng, điều quan trọng là khi xem xét các thành phần trong FDP là phải ghi nhớ rằng các thành phần này là các yêu cầu đối với các chức năng có thể được thực thi bởi một cơ chế để phục vụ hoặc có thể phục vụ mục đích khác. Ví dụ, có thể thiết lập một chính sách kiểm soát truy nhập (Chính sách kiểm soát truy nhập FDP_ACC) có sử dụng các nhãn (các thuộc tính an toàn đơn giản FDP_IF.1) như là cơ sở cho cơ chế kiểm soát truy nhập.

Một tập hợp các SFR có thể chứa đựng nhiều chính sách chức năng an toàn (SFP), mỗi cái được xác định bởi hai thành phần định hướng chính sách FDP_ACC, và chính sách kiểm soát luồng tin (FDP_IFC). Các chính sách này thường xem xét tính bí mật, tính toàn vẹn và tính khả dụng theo như yêu cầu để thỏa mãn các yêu cầu TOE. Cần thận trọng để đảm bảo rằng mọi mục tiêu sẽ đạt được bởi ít nhất một SFP và không có xung đột xuất hiện khi thực thi nhiều SFP.

Khi thiết lập một PP/ST với các thành phần của FDP, thông tin tiếp theo cung cấp hướng dẫn về việc thấy nó ở đầu và chọn lựa gì từ lớp này.

Các yêu cầu trong lớp FDP được định nghĩa thông qua một tập hợp các SFR mà sẽ thực thi một SFP. Do một TOE có thể thực thi đồng thời nhiều SFP, tác giả PP/ST phải quy định rõ tên của mỗi SFP, do đó nó có thể được tham chiếu từ các họ khác. Tên này sẽ được dùng trong mỗi thành phần được chọn để chỉ ra rằng nó đang được sử dụng như một phần của định nghĩa các yêu cầu cho chức năng này. Điều đó cho phép tác giả dễ dàng chỉ ra phạm vi các thao tác, ví dụ các mục tiêu bao hàm, các thao tác bao hàm, các người dùng có thẩm quyền…

Mỗi bản sao của một thành phần có thể áp dụng chỉ cho một SFP. Bởi vậy nếu một SFP được quy định trong một thành phần thì SFP này sẽ áp dụng cho mọi phần tử trong thành phần này. Các thành phần có thể tạo thành bản sao nhiều lần bên trong một PP/ST để diễn giải cho các chính sách khác nhau như mong muốn.

Mấu chốt để chọn các thành phần từ họ này là cần có một chính sách an toàn TOE xác định rõ để cho phép chọn chính xác các thành phần từ hai thành  phần chính sách: Chính sách kiểm soát truy nhập FDP_ACC và chính sách kiểm soát luồng tin FDP_IFC. Trong chính sách kiểm soát truy nhập FDP_ACC và chính sách kiểm soát luồng tin tương ứng, mọi chính sách kiểm soát truy nhập và chính sách kiểm soát luồng tin được đặt tên. Ngoài ra phạm vi kiểm soát của các thành phần này dưới dạng chủ thể, đối tượng và thao tác được chứa trong chức năng an toàn này. Tên của các chính sách này có nghĩa được dùng suốt trong phần còn lại của các thành phần chức năng mà có một thao tác gọi đến một phép gán hoặc chọn một "SFP kiểm soát truy nhập", hoặc một "SFP kiểm soát luồng tin". Các quy tắc này xác định chức năng của các SFP kiểm soát truy nhập và kiểm soát luồng tin đã đặt tên, chúng sẽ được xác định trong các họ chức năng kiểm soát truy nhập (FDP_ACF) và các họ chức năng kiểm soát luồng tin (FDP_IFF) một cách tương ứng.

Các bước sau hướng dẫn việc áp dụng lớp này trong việc thiết kế một PP/ST:

a) Xác định chính sách cần thực hiện từ các họ chính sách kiểm soát truy nhập (FDP_ACC) và chính sách kiểm soát luồng tin (FDP_IFC). Các họ này xác định phạm vi kiểm soát cho chính sách, mức độ thô của việc kiểm soát và có thể xác định một số quy tắc đi kèm theo chính sách.

b) Xác định các thành phần và thực hiện mọi thao tác có thể áp dụng được trong các thành phần chính sách. Các thao tác gán có thể được thực hiện tổng quát (tương tự như với công bố "tất cả các tệp") hoặc chỉ rõ (tệp "A", "B", v.v…) tùy thuộc vào mức độ chi tiết đã biết.

c) Xác định mọi thành phần chức năng có thể áp dụng được từ họ các chức năng kiểm soát truy nhập (FDP_ACF) và các chức năng kiểm soát luồng tin (FDP_IFF) để định rõ các họ chính sách từ chính sách kiểm soát truy nhập (FDP_ACC) và chính sách kiểm soát luồng tin (FDP_IFC). Thực hiện các thao tác để tạo các thành phần là định nghĩa các quy tắc cần thực thi bởi các chính sách đã Chỉ định. Điều đó khiến cho các thành phần đáp ứng được các yêu cầu của chức năng đã chọn hoặc cần được tạo ra.

d) Xác định ai có khả năng kiểm soát và thay đổi các thuộc tính của chức năng, ví dụ như duy nhất chỉ người quản trị bảo mật, chỉ chủ sở hữu của đối tượng, v.v… Chọn các thành phần tương ứng từ FMT: quản lý an toàn và thực hiện các thao tác. Việc bổ sung chi tiết có thể hữu ích nhằm xác định ra các đặc tính còn thiếu, ví dụ như một số hoặc tất cả sự thay đổi cần phải thực hiện qua kênh tin cậy.

e) Xác định mọi thành phần tương ứng từ FMT: quản lý an toàn cho các giá trị khởi đầu cho các đối tượng và chủ thể mới.

f) Xác định mọi thành phần quay lại trạng thái từ họ Rollback (FDP_ROL).

g) Xác định mọi yêu cầu bảo vệ thông tin dư thừa có thể áp dụng từ họ bảo vệ thông tin dư thừa (FDP_RIP).

h) Xác định mọi thành phần nhập / xuất có thể áp dụng, và cách thức xử lý các thuộc tính an toàn trong quá trình nhập / xuất, qua quá trình nhập từ bên ngoài các họ kiểm soát TSF (FDP_ITC) và xuất ra bên ngoài các họ kiểm soát TOE (FDP_ETC).

i) Xác định mọi thành phần truyền thông TOE nội bộ áp dụng được từ họ truyền tải TOE nội bộ (FDP_ITT).

j) Xác định mọi yêu cầu đối với việc bảo vệ toàn vẹn các thông tin lưu trữ từ họ lưu giữ toàn vẹn dữ liệu (FDP_SDI)

k) Xác định mọi thành phần truyền thông liên TSF từ các họ bảo vệ truyền tải bí mật dữ liệu người dùng giữa các TSF hoặc các họ bảo vệ truyền tải toàn vẹn dữ liệu người dùng giữa các TSF.

Hình F.1 chỉ ra việc phân tách lớp này ra các thành phần cấu trúc của nó.

Hình F.1 - Phân cấp lớp FDP: Bảo vệ dữ liệu người dùng

F.1. Chính sách kiểm soát truy nhập (FDP_ACC)

F.1.1. Chú thích cho người sử dụng

Họ này dựa trên mô hình các kiểm soát tùy ý tương tác của các chủ thể và đối tượng. Phạm vi và mục đích của các kiểm soát là dựa trên các thuộc tính của bộ truy nhập (chủ thể), thuộc tính của khối được truy nhập (đối tượng), các động tác (thao tác) và mọi quy tắc kiểm soát truy nhập liên quan.

Các thành phần trong họ này có khả năng xác định ra các SFP kiểm soát truy nhập (qua tên) được thực thi bởi các cơ chế kiểm soát truy nhập rời rạc truyền thông (Discretionary Access Control - DAC). Ngoài ra, nó chỉ ra các chủ thể, đối tượng và các thao tác có trong SFP kiểm soát truy nhập xác định. Các quy tắc định ra chức năng của một SFP kiểm soát truy nhập sẽ được định nghĩa bởi các họ khác, như là các chức năng kiểm soát truy nhập (FDP_ACF) và Xuất từ TOE (FDP_ETC). Tên của các SFP kiểm soát truy nhập được định nghĩa trong chính sách kiểm soát truy nhập (FDP_ACC) có nghĩa được sử dụng trong suốt phần còn lại của các thành phần chức năng có chứa một thao tác gọi đến tính năng Chỉ định hoặc chọn một "SFP kiểm soát truy nhập".

Kiểm soát truy nhập SFP bao hàm một tập bộ ba: chủ thể, đối tượng và các thao tác. Bởi vậy một chủ thể có thể được chứa trong nhiều SFP kiểm soát truy nhập, song chỉ có liên quan đến một thao tác khác, hoặc một đối tượng khác. Dĩ nhiên là tương tự với các đối tượng và các thao tác.

Một điểm quan trọng đối với chức năng kiểm soát truy nhập thực thi một SFP kiểm soát truy nhập là khả năng người dùng có thể thay đổi các thuộc tính liên quan đến các quyết định kiểm soát truy nhập. Họ chính sách kiểm soát truy nhập (FDP_ACC) không Chỉ định các điểm này. Một số yêu cầu không được xác định, song có thể bổ sung như các bổ sung chi tiết. Trong khi đó, một số yêu cầu khác có thể chứa đâu đó trong các họ khác hoặc lớp khác, ví dụ như họ quản lý an toàn FMT.

Không có các yêu cầu kiểm toán trong chính sách kiểm toán truy nhập (FDP_ACC) do họ này định rõ các yêu cầu kiểm soát truy nhập SFP. Các yêu cầu kiểm toán nằm trong các họ đặc tả các chức năng thỏa mãn kiểm soát truy nhập SFP chỉ ra trong họ này.

Họ này cung cấp cho tác nhân PP/ST khả năng định rõ một số chính sách, ví dụ là một SFP kiểm soát truy nhập cố định có thể áp dụng cho một phạm vi kiểm soát, một SFP kiểm soát truy nhập động có thể được định nghĩa cho một phạm vi kiểm soát khác. Để chỉ rõ nhiều chính sách kiểm soát truy nhập, các thành phần của họ này cần lặp lại nhiều lần trong mỗi PP/ST trong các tập con của các thao tác và các đối tượng. Điều này làm cho các TOE đa chính sách có thể định rõ một tập cụ thể các thao tác và đối tượng. Nói cách khác, chủ thể PP/ST cần định ra các thông tin cần thiết trong thành phần ACC cho mỗi SFP kiểm soát truy nhập mà TSF phải thực thi. Ví dụ, một TOE có thể tập hợp 3 SFP kiểm soát truy nhập, mỗi cái chỉ chứa một tập các đối tượng, chủ thể và các thao tác bên trong TOE, chứa một tập con FDP_ACC.1 thành phần kiểm soát truy nhập cho 1 trong 3 SFP kiểm soát truy nhập cần cho toàn thể 3 thành phần kiểm soát truy nhập tập con FDP_ACC.1.

F.1.2. FDP_ACC.1 Kiểm soát truy nhập tập con

F.1.2.1. Chú thích cho ứng dụng người sử dụng

Các khái niệm chủ thể và đối tượng chỉ các phần tử chung trong TOE. Để thực thi được một chính sách, các phần tử cần được định rõ. Đối với một PP, các đối tượng và thao tác có thể được biểu thị với các kiểu như: đối tượng có tên, nơi chứa dữ liệu, các truy nhập quan sát, v.v… Đối với một hệ thống xác định, các khái niệm chung này (đối tượng, chủ thể) cần phải được định rõ, ví dụ các tệp, bản ghi, cổng, miền, lời gọi hệ thống…

Thành phần này định rõ chính sách bao gồm một số tập thao tác xác định cho một số tập con các đối tượng. Không có ràng buộc nào cho các thao tác bên ngoài tập - kể cả các thao tác cho đối tượng được giám sát bởi các thao tác khác.

F.1.2.2. Các hoạt động

F.1.2.2.1. Chỉ định

Trong FDP_ACC.1.1, chủ thể PP/ST cần chỉ ra một kiểm soát truy nhập có tên duy nhất SFP cần thực thi bởi TSF.

Trong FDP_ACC.1.1, chủ thể PP/ST cần chỉ ra danh sách các chủ thể, đối tượng, các thao tác ứng với chủ thể và đối tượng bao hàm trong SFP.

F.1.3. FDP_ACC.2 Kiểm soát truy nhập toàn bộ

F.1.3.1. Chú thích cho ứng dụng người sử dụng

Thành phần này yêu cầu mọi thao tác khả thi cho đối tượng chứa trong SFP cần chứa trong một kiểm soát truy nhập SFP.

Chủ thể PP/ST cần phải chỉ ra mỗi tổ hợp của đối tượng và chủ thể được bao hàm trong một kiểm soát truy nhập SFP.

F.1.3.2. Các hoạt động

F.1.3.2.1 Chỉ định

Trong FDP_ACC.2.1, chủ thể PP/ST cần chỉ ra một kiểm soát truy nhập có tên duy nhất SFP cần thực thi bởi TSF.

Trong FDP_ACC.1.1, chủ thể PP/ST cần chỉ ra danh sách các chủ thể, đối tượng bao hàm trong SFP. Mọi thao tác ứng với chủ thể và đối tượng cần được bao hàm trong SFP.

F.2. Các chức năng kiểm soát truy nhập (FDP_ACF)

F.2.1. Chú thích cho người sử dụng

Họ này mô tả các quy tắc cho các chức năng xác định có thể thực thi một chính sách kiểm soát truy nhập được ghi danh trong FDP_ACC Chính sách kiểm soát truy nhập, chỉ ra phạm vi dk chính sách.

Họ này cung cấp cho chủ thể PP/ST khả năng mô tả các quy tắc cho kiểm soát truy nhập. Các kết quả trong một hệ thống không thay đổi. Một ví dụ là đối tượng: "Bản tin ngày" có thể đọc bởi tất cả, song chỉ người quản trị được phép thay đổi nó. Họ này cũng cung cấp cho chủ thể PP/ST khả năng mô tả các quy tắc về ngoại lệ cho các quy tắc kiểm soát truy nhập chung. Các ngoại lệ này có thể là việc cho phép rõ ràng hoặc từ chối quyền truy nhập đến một đối tượng.

Không có thành phần rõ ràng nào định rõ các chức năng khác, ví như kiểm soát kép, quy tắc chuỗi thao tác, các kiểm soát loại trừ. Tuy nhiên, các cơ chế này cũng như các cơ chế DAC truyền thống khác, có thể đặc trưng với các thành phần đang có, có thể sửa đổi theo các quy tắc kiểm soát truy nhập.

Trong họ này có một loạt các kiểm soát truy nhập chấp nhận được SFP có thể chỉ ra là:

- Các danh sách kiểm soát truy nhập (Access Control Lists - ACLs)

- Các đặc tả kiểm soát truy nhập dựa thời gian

- Các đặc tả kiểm soát truy nhập dựa chủ gốc

- Các kiểm soát truy nhập được chủ thể giám sát.

F.2.2. Kiểm soát truy nhập dựa trên thuộc tính an toàn FDP_AFC.1

F.2.2.1. Chú thích cho ứng dụng người sử dụng

Thành phần này cung cấp các yêu cầu về một cơ chế làm trung gian cho kiểm soát truy nhập dựa trên các thuộc tính an toàn liên quan đến các chủ thể và đối tượng. Mỗi chủ thể và đối tượng có một tập các thuộc tính liên quan như vị trí, thời điểm cấu thành, quyền truy nhập (ví dụ các danh sách kiểm soát truy nhập ACL).

mọi thao tác khả thi cho đối tượng chứa trong SFP cần chứa trong một kiểm soát truy nhập SFP.

Chủ thể PP/ST cần phải chỉ ra mỗi tổ hợp của đối tượng và chủ thể được bao hàm trong một kiểm soát truy nhập SFP. Thành phần này cho phép chủ thể PP/ST định rõ các thuộc tính dùng làm trung gian cho kiểm soát truy nhập. Thành phần này cho phép định ra các quy tắc kiểm soát truy nhập có sử dụng các thuộc tính này.

Các ví dụ về thuộc tính mà một chủ thể PP/ST có thể Chỉ định được trình bày trong các phần tiếp theo. Một thuộc tính định danh có thể liên quan đến người dùng, chủ thể, đối tượng được dùng làm trung gian. Ví dụ về các thuộc tính này có thể là tên của phần chương trình dùng để tạo ra chủ thể hoặc một thuộc tính an toàn Chỉ định cho phần chương trình.

Một thuộc tính thời gian có thể dùng để chỉ ra rằng truy nhập sẽ được cấp quyền trong một khoảng thời gian nhất định trong ngày/tuần/hoặc năm.

Một thuộc tính vị trí có thể chỉ ra vị trí yêu cầu chức năng, vị trí chức năng được thực thi hoặc cả hai. Nó có thể dựa trên một bảng nội bộ để chuyển đổi giao diện logic sang các vị trí TSF ví dụ thông qua vị trí đấu nối, vị trí CPU…

Một thuộc tính nhóm cho phép một nhóm người dùng liên hệ đến một thao tác với mục đích kiểm soát truy nhập. Nếu cần, một thao tác bổ sung sẽ được dùng để chỉ ra số nhóm tối đa, số thành viên tối đa của nhóm, số nhóm tối đa mà một người dùng có liên hệ đồng thời.

Thành phần này đồng thời cũng cung cấp các yêu cầu cho các chức năng kiểm soát truy nhập để chấp thuận hoặc từ chối truy nhập đến một đối tượng trên cơ sở các thuộc tính an toàn. Chức năng này có thể dùng để cấp đặc quyền truy nhập, chủ quyền truy nhập trong TOE. Những đặc quyền, quyền hoặc chủ quyền đó có thể áp dụng cho người dùng, đối tượng và chủ thể (đại diện cho người dùng hoặc ứng dụng).

F.2.2.2. Các hoạt động

F.2.2.2.1. Chỉ định

Trong FDP_ACF.1.1, chủ thể PP/ST cần phải chỉ ra một tên chức năng kiểm soát truy nhập SFP mà TSF phải thực thi. Tên của kiểm soát truy nhập SFP, phạm vi kiểm soát cho chính sách này được định nghĩa trong các thành phần của FDP_ACC Chính sách kiểm soát truy nhập.

Trong FDP_ACF.1.1, chủ thể PP/ST cần định rõ, đối với mỗi chủ thể và đối tượng được kiểm soát, các thuộc tính an toàn và/hoặc các nhóm định danh thuộc tính an toàn mà chức năng sẽ sử dụng khi mô tả các quy tắc.

Ví dụ, các thuộc tính có thể là định danh người dùng, định danh chủ thể, thời điểm, vị trí, ACLs, hoặc mọi thuộc tính khác chỉ ra bởi chủ thể PP/ST. Các nhóm định danh thuộc tính an toàn có thể định rõ để cung cấp một phương thức thuận tiện để tham chiếu tới nhiều thuộc tính an toàn. Các nhóm định danh có thể cung cấp một cách thức hữu hiệu để gắn kết các vai trò (roles) định nghĩa trong các vai trò quản lý an toàn (FMT_SMR) và mọi thuộc tính liên quan đến chúng với các chủ thể. Nói cách khác, mỗi vai trò có thể liên quan đến một nhóm định danh thuộc tính.

Trong FDP_ACF.1.2, chủ thể PP/ST cần định rõ các quy tắc SFP quản trị truy nhập theo các chủ thể được giám sát và các đối tượng được giám sát thông qua các thao tác kiểm soát trên các đối tượng. Các quy tắc này chỉ ra rằng truy nhập được cho phép hoặc từ chối. Chúng có thể chỉ ra các chức năng kiểm soát truy nhập chung (ví dụ như các bit cho phép đặc trưng), hoặc các chức năng kiểm soát truy nhập thô hơn (ví dụ ACLs).

Trong FDP_ACF.1.3, chủ thể PP/ST cần định rõ các quy tắc, trên cơ sở thuộc tính an toàn, dùng cho cấp chủ quyền rõ ràng về việc truy nhập của các chủ thể tới các đối tượng. Các quy tắc này bổ sung cho các quy tắc chỉ ra trong FDP_ACF.1.1. Chúng thuộc FDP_ACF.1.3, với chủ ý bổ sung các ngoại lệ cho các quy tắc trong FDP_ACF.1.1. Một ví dụ về các quy tắc cho cấp quyền rõ ràng cho truy nhập là dựa trên vectơ đặc quyền cho một chủ thể luôn có quyền truy nhập tới các đối tượng mà kiểm soát truy nhập SFP đã xác định rõ. Nếu điều này không mong muốn thì chủ thể PP/ST cần định rõ giá trị là "none".

Trong FDP_ACF.1.4, chủ thể PP/ST cần định rõ các quy tắc, trên cơ sở thuộc tính an toàn, dùng cho cấp chủ quyền rõ ràng về việc truy nhập của các chủ thể tới các đối tượng. Các quy tắc này bổ sung cho các quy tắc chỉ ra trong FDP_ACF.1.1. Chúng thuộc FDP_ACF.1.4, với chủ ý bổ sung các ngoại lệ cho các quy tắc trong FDP_ACF.1.1. Một ví dụ về các quy tắc cho cấp quyền rõ ràng cho truy nhập là dựa trên vec tơ đặc quyền cho một chủ thể luôn có quyền từ chối truy nhập tới các đối tượng mà kiểm soát truy nhập SFP đã xác định rõ. Nếu điều này không mong muốn thì chủ thể PP/ST cần định rõ giá trị là "none".

F.3. Xác thực dữ liệu (FDP_DAU)

F.3.1. Chú thích cho người sử dụng

Họ này mô tả các chức năng đặc trưng dùng để xác thực các dữ liệu tĩnh (static). Các thành phần trong họ này dùng khi có một yêu cầu xác thực các dữ liệu tĩnh (static), nghĩa là khi dữ liệu cần được ký nhận chứ không phải chuyển đi. (Lưu ý là họ không khước từ nguồn gốc (Non-repudiation of origin - FCO_NRO) cho thông tin về việc khước từ nguồn gốc trong quá trình trao đổi dữ liệu.

F.3.2. Xác thực dữ liệu cơ sở FDP_DAU.1

F.3.2.1. Chú thích cho người sử dụng

Thành phần này có thể thỏa mãn bằng các hàm băm một chiều (lấy tổng kiểm tra mật mã, vân tay, kê bản tin), để tạo ra một giá trị hàm băm cho một tài liệu xác định, để có thể dùng cho việc kiểm tra, thẩm định hoặc xác thực nội dung thông tin.

F.3.2.2. Các hoạt động

F.3.2.2.1. Chỉ định

Trong FDP_DAU.1.1, chủ thể PP/ST cần phải chỉ ra danh sách các đối tượng hoặc kiểu thông tin có thể áp dụng cho TSF để tạo ra các bằng chứng xác thực dữ liệu.

Trong FDP_DAU.1.2, chủ thể PP/ST cần phải chỉ ra danh sách các chủ thể có khả năng kiểm định các bằng chứng xác thực dữ liệu cho các đối tượng đã xác định trong phần tử trước đó. Danh sách các chủ thể có thể rất rõ ràng, nếu chủ thể đã biết, hoặc khá chung chung và tham chiếu đến một kiểu chủ thể ví dụ như vai trò đã biết.

F.3.3. FDP_DAU.2 Xác thực dữ liệu với định danh người đảm bảo

F.3.3.1. Chú thích cho ứng dụng người sử dụng

Thành phần này có thể yêu cầu thêm khả năng kiểm chứng danh định người dùng đã cấp xác thực có đảm bảo (ví dụ một đối tác tin cậy thứ 3).

F.3.3.2. Các hoạt động

F.3.3.2.1. Chỉ định

Trong FDP_DAU.2.1, chủ thể PP/ST cần phải chỉ rõ danh sách các đối tượng hoặc kiểu thông tin có thể áp dụng cho TSF để tạo ra các bằng chứng xác thực dữ liệu.

Trong FDP_DAU.2.2, chủ thể PP/ST cần phải chỉ ra danh sách các chủ thể có khả năng kiểm định các bằng chứng xác thực dữ liệu cho các đối tượng đã xác định trong phần tử trước đó cũng như định danh người dùng có thể tạo ra bằng chứng xác thực dữ liệu.

F.4. Xuất dữ liệu ra ngoài TOE (FDP_ETC)

F.4.1. Chú thích cho người sử dụng

Họ này định nghĩa các chức năng kết xuất dữ liệu người dùng từ TOE sao cho các thuộc tính an toàn của nó hoặc được bảo quản rõ ràng, hoặc có thể bỏ qua sau khi chúng đã được kết xuất. Tính nhất quán của các thuộc tính an toàn được chỉ ra bởi sự nhất quán dữ liệu TSF bên trong-TSF (FPT_TDC).

Kết xuất từ TOE (FDP_ETC) liên quan đến các giới hạn về kết xuất và tổ hợp các thuộc tính an toàn cùng dữ liệu người dùng.

Họ này và việc nhập họ tương ứng từ bên ngoài của TOE (FDP_ITC) chỉ ra TOE xử lý dữ liệu người dùng được chuyển bên trong bên ngoài kiểm soát thế nào. Về nguyên tắc, họ này gắn liền với kết xuất trung gian TSF của dữ liệu người dùng và các thuộc tính an toàn liên quan.

Một số thao tác có thể có là:

a) Kết xuất dữ liệu người dùng không có thuộc tính an toàn

b) Kết xuất dữ liệu người dùng có thuộc tính an toàn, trong đó thuộc tính an toàn thể hiện dữ liệu người dùng kết xuất

Nếu có nhiều SFP (kiểm soát luồng thông tin, và/hoặc kiểm soát truy nhập) thì chúng cần lặp các thành phần này cho mỗi SFP.

F.4.2. FDP_ETC.1 Xuất dữ liệu người dùng không có các thuộc tính an toàn

F.4.2.1. Chú thích cho ứng dụng người sử dụng

Thành phần này dùng để chỉ ra kết xuất trung gian-TSF của dữ liệu người dùng không có kết xuất thuộc tính an toàn.

F.4.2.2. Các hoạt động

F.4.2.2.1. Chỉ định

Trong FDP_ETC.1.1, chủ thể PP/ST cần phải chỉ rõ các kiểm soát truy nhập SFP và/hoặc các SFP kiểm soát luồng tin khi thực thi kết xuất dữ liệu người dùng. Dữ liệu người dùng được kết xuất thuộc phạm vi Chỉ định bởi các SFP này.

F.4.3. FDP_ETC.2 Xuất dữ liệu người dùng với thuộc tính an toàn

F.4.3.1. Chú thích cho ứng dụng người sử dụng

Dữ liệu người dùng được kết xuất cùng với các thuộc tính an toàn. Có một số cách kết hợp thuộc tính an toàn với dữ liệu người dùng. Một cách thực hiện là thông qua sắp xếp vật lý dữ liệu người dùng và các thuộc tính an toàn (ví dụ cùng một đĩa mềm), hoặc thông qua các kỹ thuật mật mã như chữ ký an toàn để kết hợp dữ liệu người dùng và các thuộc tính.

Kênh tin cậy liên TSF (FTP_ITC) có thể dùng để đảm bảo rằng các thuộc tính được nhận chính xác ở phía sản phẩm CNTT tin cậy khác, trong khi tính nhất quán của dữ liệu liên TSF (FTP_TDC) có thể dùng để đảm bảo rằng các thuộc tính này được diễn tả chính xác. Ngoài ra, tuyến tin cậy (FPT_TRP) có thể dùng để đảm bảo rằng việc kết xuất đang được người dùng hợp thức tạo ra.

F.4.3.2. Các hoạt động

F.4.3.2.1. Chỉ định

Trong FDP_ETC.2.1, chủ thể PP/ST cần phải chỉ rõ các kiểm soát truy nhập SFP và/hoặc các SFP kiểm soát luồng tin khi thực thi kết xuất dữ liệu người dùng. Dữ liệu người dùng được kết xuất thuộc phạm vi Chỉ định bởi các SFP này.

Trong FDP_ETC.2.4, chủ thể PP/ST cần phải chỉ ra mọi quy tắc kết xuất bổ sung hoặc "none" nếu như không có quy tắc kết xuất bổ sung nào. Các quy tắc này được thực thi bởi TSF bổ sung thêm cho SFP kiểm soát truy nhập và/hoặc SFP kiểm soát luồng tin đã chọn trong FDP_ETC.2.1.

F.5. Chính sách kiểm soát luồng tin (FDP_IFC)

F.5.1. Chú thích cho người sử dụng

Họ này bao gồm việc định danh các SFP kiểm toán luồng tin; và, đối với mỗi chúng, nó chỉ ra phạm vi kiểm soát của SFP.

Các thành phần trong họ này có thể định danh các SFP kiểm soát luồng tin để chúng thực thi bởi các cơ chế kiểm soát truy nhập bắt buộc truyền thống có sẵn trong một TOE. Tuy nhiên, chúng nằm ngoài phạm vi các cơ chế MAC truyền thống và có thể dùng để xác định và mô tả các chính sách không đan xen và các dịch chuyển trạng thái. Ngoài ra, nó định nghĩa các chủ thể chịu sự giám sát của chính sách, thông tin chịu sự giám sát của chính sách và các thao tác phát sinh các thông tin có kiểm soát vào/ra các chủ thể được giám sát đối với mỗi SFP kiểm soát luồng tin trong TOE. Chức năng  định ra các quy tắc cho một SFP kiểm soát luồng tin được định nghĩa bởi các họ khác, ví dụ như các chức năng kiểm soát luồng tin (FDP_IFF) và bảo vệ thông tin thường trú (FDP_RIP). SFP kiểm soát luồng tin ghi danh trong chính sách kiểm soát luồng tin (FDP_IFC) được dùng trong suốt phần còn lại của các thành phần chức năng có các thao tác gọi hàm tới phép chỉ định hoặc chọn lựa một "SFP kiểm soát luồng tin".

Các thành phần này khá mềm dẻo. Chúng cho phép chỉ rõ miền kiểm soát luồng tin và không yêu cầu cơ chế phải được đánh dấu. Các phần tử khác của các thành phần kiểm soát luồng tin còn cho phép các mức ngoại lệ khác nhau đối với chính sách.

Mỗi SFP gồm cụm ba: chủ thể, thông tin, các thao tác cho phép thông tin vào/ra các chủ thể. Một số chính sách kiểm soát luồng tin có thể rất chi tiết mức thấp và mô tả rõ ràng các chủ thể dưới dạng các tiến trình của một hệ điều hành. Các chính sách kiểm soát luồng tin khác có thể ở mức cao, mô tả các chủ thể dưới dạng tổng quát là người dùng hay các kênh vào/ra.

Nếu chính sách kiểm soát luồng tin ở mức quá cao, không chi tiết, nó có thể không định nghĩa rõ ràng các chức năng an toàn CNTT. Trong trường hợp này, cần chỉ ra chính xác và mô tả các chính sách kiểm soát luồng tin như các mục tiêu.

Các chức năng an toàn CNTT mong muốn có thể được xác định như những hỗ trợ cho các mục tiêu này.

Trong thành phần thứ hai (FDP_IFC.2 kiểm soát luồng tin toàn diện), mỗi SFP kiểm soát luồng tin sẽ bao gồm mọi thao tác có thể SFP gây ra việc chuyển thông tin ra vào chủ thể.

Ngoài ra, mọi luồng tin sẽ cần được chứa trong một SFP. Bởi vậy, đối với mỗi thao tác làm cho chuyển tin đến luồng, cẩn phải có một tập các quy tắc nhằm xác định hành vi có được phép không. Nếu có nhiều SFP và chúng đều có thể áp dụng cho một luồng tin nào đó, thì mọi SFP liên quan phải cho phép luồng tin này trước khi nó thực thi việc cho phép.

Một SFP kiểm soát luồng tin chứa một tập thao tác xác định trước. Miền của các SFP có thể phủ kín đối với một số luồng tin, hoặc nó có thể chỉ liên quan đến một số thao tác có ảnh hưởng đến luồng tin.

Một SFP kiểm soát truy nhập sẽ kiểm soát truy nhập đến các đối tượng chứa thông tin. Một SFP kiểm soát luồng tin kiểm soát đến truy nhập đến luồng tin, không phụ thuộc vào ngăn chứa thông tin. Các thuộc tính của thông tin có liên quan đến các thuộc tính của ngăn chứa (hoặc có thể không, ví như trong cơ sở dữ liệu nhiều lớp) sẽ gắn kèm với thông tin khi di chuyển. Các thiết bị truy nhập không có khả năng (nếu không có thẩm quyền rõ ràng) thay đổi các thuộc tính của thông tin.

Các luồng tin và các thao tác có thể biểu thị ở nhiều mức. Trong trường hợp một ST, Các luồng tin và các thao tác có thể định rõ ở mức đặc trưng hệ thống: ví dụ các gói tin TCP/IP chuyển qua một bức tường lửa theo các địa chỉ IP đã biết. Đối với PP, các luồng tin và các thao tác có thể biểu thị theo kiểu: email, kho chứa dữ liệu, các truy nhập quan sát được,…

Các thành phần trong họ này có thể áp dụng nhiều lần trong một PP/ST cho các tập con khác nhau của các thao tác và đối tượng. Chúng trợ giúp những TOE đa chính sách, mỗi cái đề cập đến một tập cụ thể các đối tượng, chủ thể và các thao tác.

F.5.2. FDP_IFC.1 Kiểm soát luồng thông tin tập con

F.5.2.1. Chú thích cho người sử dụng

Thành phần này yêu cầu một chính sách kiểm soát luồng tin áp dụng cho một tập con các thao tác khả thi trong TOE.

F.5.2.2. Các hoạt động

F.5.2.2.1. Chỉ định

Trong FDP_IFC.1.1, chủ thể PP/ST cần phải chỉ rõ một SFP kiểm soát luồng tin ghi danh duy nhất cần thực hiện bởi TSF.

Trong FDP_IFC.1.1, chủ thể PP/ST cần phải chỉ rõ một danh sách các chủ thể, thông tin và các thao tác gây ra sự chuyển dịch thông tin đã kiểm soát vào ra các chủ thể được kiểm soát bao trùm bởi SFP. Như đã nêu ở trên, danh sách các chủ thể có thể chi tiết tùy vào sự cần thiết của chủ thể PP/ST. Có thể chỉ ra người dùng, máy tính, hoặc các tiến trình máy. Thông tin có thể tham chiếu đến dữ liệu ví như email, các giao thức mạng, hay các đối tượng đặc trưng tương tự như những gì chỉ ra trong một chính sách kiểm soát truy nhập. Nếu thông tin chỉ ra chứa trong một đối tượng và là chủ thể của một chính sách kiểm soát truy nhập, thì cả chính sách kiểm soát truy nhập và chính sách kiểm soát luồng tin đều phải thực thi trước khi thông tin đó được chuyển vào/ra đối tượng.

F.5.3. FDP_IFC.2 Kiểm soát luồng tin đầy đủ

F.5.3.1. Chú thích cho ứng dụng người sử dụng

Thành phần này yêu cầu mọi thao tác khả thi gây ra di chuyển thông tin vào/ra các chủ thể chứa trong SFP đều phải chứa trong một SFP kiểm soát luồng tin.

Chủ thể PP/ST phải trình bày được rằng mọi tổ hợp luồng tin và chủ thể đều chứa trong một SFP kiểm soát luồng tin.

F.5.3.2. Các hoạt động

F.5.3.2.1. Chỉ định

Trong FDP_IFC 2.1, chủ thể PP/ST cần phải chỉ rõ một SFP kiểm soát luồng tin ghi danh duy nhất cần thực hiện bởi TSF.

Trong FDP_IFC1.1, chủ thể PP/ST cần phải chỉ rõ một danh sách các chủ thể, thông tin chứa trong SFP. Mọi thao tác gây ra sự chuyển dịch thông tin vào ra các chủ thể được bao trùm bởi SFP. Như đã nêu ở trên, danh sách các chủ thể có thể chi tiết tùy vào sự cần thiết của chủ thể PP/ST. Có thể chỉ ra người dùng, máy tính, hoặc các tiến trình máy. Thông tin có thể tham chiếu đến dữ liệu ví như email, các giao thức mạng, hay các đối tượng đặc trưng tương tự như những gì chỉ ra trong một chính sách kiểm soát truy cập. Nếu thông tin chỉ ra chứa trong một đối tượng và là chủ thể của một chính sách kiểm soát truy cập, thì cả chính sách kiểm soát truy cập và chính sách kiểm soát luồng tin đều phải thực thi trước khi thông tin đó được chuyển vào / ra đối tượng.

F.6. Các chức năng kiểm soát luồng tin (FDP_IFF)

F.6.1. Chú thích cho người sử dụng

Họ này mô tả các quy tắc cho các chức năng đặc trưng có thể cài đặt trong các SFP kiểm soát luồng tin ghi danh trong chính sách kiểm soát luồng tin (FDP_IFC), và cũng chỉ ra phạm vi kiểm soát các chính sách.

Nó chứa hai "cây": Một đề cập đến các vấn đề chức năng kiểm soát luồng tin chung, và một chứa các luồng tin trái phép (ví dụ các kênh chuyển đổi) ứng với một hoặc nhiều SFP kiểm soát luồng tin. Việc phân chia này xuất phát từ các vấn đề liên quan đến các luồng tin trái phép, nói cách khác, trái ngược với phần còn lại của một SFP. Các luồng tin trái phép là những luồng tin vi phạm chính sách. Chúng không phải vấn đề đối với chính sách.

Để triển khai bảo vệ tốt hơn việc khai phá, sửa đổi khi có các phần mềm không tin cậy, cần có kiểm soát luồng tin. Việc kiểm soát truy nhập không thể đủ vì chúng chỉ kiểm soát các truy nhập tới ngăn chứa thông tin, cho phép thông tin chuyển tới các luồng tin, không qua kiểm soát đi thông qua hệ thống.

Trong họ này, cụm từ "Các kiểu luồng tin trái phép" được sử dụng. Cụm từ này dùng để chỉ đến một kiểu các luồng tin như "Các kênh lưu trữ" hoặc các "kênh định thời", hoặc chúng tham chiếu tới các phân loại cải tiến phản ánh nhu cầu của một chủ thể PP/ST.

Mức độ mềm dẻo của các thành phần này cho phép định nghĩa một chính sách đặc quyền trong các thuộc tính an toàn đơn FDP_IFF.1 và FDP_IFF.2. Các thuộc tính an toàn phân lớp cho phép vượt qua một hoặc mọi phần của một SFP cụ thể. Nếu như có nhu cầu vượt qua một SFP định trước, chủ thể PP/ST sẽ phải xem xét việc đưa vào một chính sách đặc quyền.

F.6.2. FDP_IFF.1 Các thuộc tính an toàn đơn giản

F.6.2.1. Chú thích cho ứng dụng người sử dụng

Thành phần này yêu cầu mọi thuộc tính an toàn của thông tin và của chủ thể gây ra di chuyển thông tin vào/ra các chủ thể là các bộ tiếp nhận thông tin này. Các thuộc tính của ngăn chứa thông tin cần được xem xét như mong muốn để chúng đóng một vai trò quyết định cho kiểm soát luồng tin hoặc nếu chúng được bao bởi một chính sách kiểm soát truy nhập. Thành phần này chỉ rõ các quy tắc chủ yếu cần thực thi và mô tả cách nhận được các thuộc tính an toàn.

Thành phần này không chỉ ra chi tiết cách một thuộc tính an toàn được Chỉ định (ví như người dùng - tiến trình). Sự mềm dẻo trong chính sách được cho bởi việc Chỉ định, cho phép chỉ ra chính sách và các yêu cầu chức năng bổ sung nếu cần.

Thành phần này cũng cho ra các yêu cầu đối với chức năng kiểm soát luồng tin dùng để cấp phép rõ ràng hoặc từ chối luồng tin trên cơ sở các thuộc tính an toàn. Chúng được dùng để thực hiện một chính sách đặc quyền, bao gồm cả các ngoại lệ đối với chính sách cơ sở định nghĩa trong thành phần này.

F.6.2.2. Các hoạt động

F.6.2.2.1. Chỉ định

Trong FDP_IFF.1.1, chủ thể PP/ST cần phải chỉ rõ một SFP kiểm soát luồng tin thực thi bởi TSF. Tên của SFP kiểm soát luồng tin, phạm vi kiểm soát cho chính sách này được định nghĩa trong các thành phần thuộc chính sách kiểm soát luồng tin (FDP_IFC).

Trong FDP_IFF.1.1, chủ thể PP/ST cần phải chỉ rõ, đối với mỗi kiểu chủ thể và thông tin được kiểm soát, các thuộc tính an toàn tương ứng với đặc tả của các quy tắc SFP. Ví dụ, các thuộc tính an toàn có thể là định danh chủ thể, nhãn độ nhạy chủ thể, nhãn độ trống của chủ thể, nhãn độ nhạy thông tin… Các kiểu thuộc tính an toàn cần phải đủ khả năng hỗ trợ các yêu cầu của môi trường.

Trong FDP_IFF.1.2, chủ thể PP/ST cần phải chỉ rõ đối với mỗi thao tác, mối quan hệ trên cơ sở các thuộc tính an toàn cần được duy trì giữa chủ thể và các thuộc tính an toàn thông tin mà TSF sẽ thực hiện.

Trong FDP_IFF.1.3, Tác giả PP/ST cần phải chỉ rõ mọi quy tắc SFP kiểm soát luồng thông tin bổ sung để TSF được thực thi. Đó là bao gồm tất cả các quy tắc của SFP mà hoặc là không dựa trên các thuộc tính an toàn của thông tin và chủ thể hoặc là các quy tắc mà tự động sửa đổi các thuộc tính an toàn của thông tin hay chủ thể như một quy tắc của một thao tác truy cập. Một ví dụ cho trường hợp đầu tiên là một quy tắc của SFP kiểm soát một giá trị ngưỡng cho các kiểu thông tin cụ thể, Đây có thể là ví dụ cho trường hợp khi SFP luồng thông tin chứa các quy tắc về truy cập dữ liệu thống kê nơi mà một chủ thể chỉ được phép truy cập kiểu thông tin này đến một mức cụ thể các truy cập. Một ví dụ cho trường hợp thứ hai là một quy tắc được nêu ra trong các điều kiện và các thuộc tính an toàn của một chủ thể hoặc đối tượng thay đổi như thế nào như là kết quả của một thao tác truy cập, một số chính sách luồng thông tin trong ví dụ có thể giới hạn số thao tác truy cập vào thông tin với các thuộc tính an toàn cụ thể. Nếu không có quy tắc bổ sung nào, chủ thể PP/ST cần phải chỉ rõ "none".

Trong FDP_IFF.1.4, tác giả PP/ST cần phải chỉ rõ các quy tắc, dựa trên các thuộc tính an toàn, mà xác thực các luồng thông tin. Các quy tắc này được bổ sung thêm vào các quy tắc được chỉ rõ trong các thành phần nói trước. Chúng có trong FDP_IFF.1.4 bởi vì chúng dự định chứa các ngoại trừ đối với các quy tắc trong các thành phần trước đó. Một ví dụ về các quy tắc xác quyền rõ ràng luồng thông tin được dựa trên véc-tơ ưu tiên liên kết với một chủ thể mà luôn cho phép chủ thể khả năng tạo ra luồng thông tin đối với thông tin được bao hàm bởi SFP cụ thể. Nếu không cần khả năng như vậy thì tác giả PP/ST cần phải chỉ rõ "none".

Trong FDP_IFF.1.5, chủ thể PP/ST cần phải chỉ rõ các quy tắc dựa trên các thuộc tính an toàn, làm từ chối luồng tin rõ ràng. Các quy tắc này bổ sung cho các quy tắc đã chỉ ra trong các phần tử trước đó. Chúng có trong FDP_IFF.1.5, dự định chứa các ngoại lệ đối với các quy tắc trong các thành phần trước đó. Một ví dụ về các quy tắc từ chối rõ ràng cho các luồng tin là dựa trên vectơ đặc quyền liên kết đến một chủ thể mà luôn từ chối chủ thể khả năng tạo ra luồng tin bao bởi SFP đã định trước. Nếu không cần năng lực bổ sung như vậy, tác giả PP/ST cần phải chỉ rõ "none".

F.6.3. FDP_IFF.2 Các thuộc tính an toàn phân cấp

F.6.3.1. Chú thích cho ứng dụng người sử dụng

Thành phần này yêu cầu mọi SFP kiểm soát luồng tin trong TSP sử dụng các thuộc tính an toàn phân lớp tạo thành một tấm lưới.

Điều quan trọng cần lưu ý là các yêu cầu về quan hệ phân lớp đã xác định trong FDP_IFF.2.4 chỉ cần áp dụng cho các thuộc tính an toàn kiểm soát luồng tin đối với các SFP kiểm soát luồng tin đã xác định trong FDP_IFF.2.1. Thành phần này không chủ ý áp dụng cho các SFP khác, ví dụ như các SFP kiểm soát truy nhập.

FDP_IFF.2.6 cho thấy các yêu cầu đối với tập hợp các thuộc tính an toàn để tạo ra một tấm lưới. Một số chính sách luồng thông tin định nghĩa trong văn học và thực hiện trong các sản phẩm IT là dựa trên tập hợp các thuộc tính an toàn mà tạo ra tấm lưới. FDP_IFF.2.6 đặc biệt được bao gồm để chỉ rõ loại chính sách luồng thông tin.

Giống thành phần trước, thành phần này có thể áp dụng để thực hiện một số chính sách đặc quyền bao các quy tắc cho phép cấp quyền rõ ràng hoặc từ chối các thông tin.

Nếu là trường hợp nhiều SFP kiểm soát luồng tin, và nếu mỗi SFP này có các thuộc tính an toàn riêng của nó không liên quan đến các thuộc tính khác, thì chủ thể PP/ST cần phải lặp lại thành phần này cho mỗi SFP. Nếu không sẽ có xung đột xảy ra với các nội dung chi tiết trong FDP_IFF.2.4, vì thiếu các mối quan hệ cần thiết.

F.6.3.2. Các hoạt động

F.6.3.2.1. Chỉ định

Trong FDP_IFF.2.1, chủ thể PP/ST cần phải chỉ rõ các SFP kiểm soát luồng tin thực thi bởi TSF. Tên của SFP kiểm soát luồng tin, phạm vi kiểm soát cho chính sách này được định nghĩa trong các thành phần thuộc chính sách kiểm soát luồng tin (FDP_IFC).

Trong FDP_IFF.2.1, chủ thể PP/ST cần phải chỉ rõ, đối với mỗi kiểu chủ thể và thông tin được kiểm soát, các thuộc tính an toàn tương ứng với đặc tả của các quy tắc SFP. Ví dụ, các thuộc tính an toàn có thể là định danh chủ thể, nhãn độ nhạy chủ thể, nhãn độ trống của chủ thể, nhãn độ nhạy thông tin… Các kiểu thuộc tính an toàn cần phải đủ khả năng hỗ trợ các yêu cầu của môi trường.

Trong FDP_IFF.2.2, chủ thể PP/ST cần phải chỉ rõ đối với mỗi thao tác, mối quan hệ trên cơ sở các thuộc tính an toàn cần được duy trì giữa chủ thể và các thuộc tính an toàn thông tin mà TSF sẽ thực hiện. Các mối quan hệ này cần dựa trên cơ sở các mối quan hệ có sắp xếp của các thuộc tính an toàn.

Trong FDP_IFF.2.3, tác giả PP/ST cần phải chỉ rõ mọi quy tắc SFP kiểm soát luồng tin bổ sung để TSF được thực thi. Nó bao gồm các quy tắc của SFP mà hoặc là không dựa vào các thuộc tính an toàn của thông tin và chủ thể hoặc quy tắc tự động sửa các thuộc tính an toàn của thông tin hay chủ thể như là kết quả của một thao tác truy cập. Một ví dụ về trường hợp đầu là một quy tắc của SFP kiểm soát giá trị ngưỡng cho các loại thông tin cụ thể. Cũng có thể cho ví dụ trong trường hợp SFP luồng thông tin chứa các quy tắc truy cập vào dữ liệu phân tích nơi mà chủ thể chỉ được phép truy cập kiểu thông tin đó với số lần truy cập nhất định. Một ví dụ cho trường hợp thứ hai có thể là một quy tắc chỉ ra trong điều kiện nào và các thuộc tính an toàn của một chủ thể và đối tượng thay đổi như là kết quả của thao tác truy cập như thế nào. Một số chính sách luồng thông tin ví dụ có thể giới hạn số thao tác truy cập vào thông tin với các thuộc tính an toàn cụ thể. Nếu không có quy tắc bổ sung nào, chủ thể PP/ST cần phải chỉ rõ "none".

Trong FDP_IFF.2.4, tác giả PP/ST cần phải chỉ rõ mọi quy tắc, dựa trên các thuộc tính an toàn, mà cấp phép rõ ràng cho luồng thông tin. Các quy tắc này được bổ sung vào các quy tắc đã ghi rõ trong các thành phần trước đó. Chúng có trong FDP_IFF.2.4 bởi vì chúng dự định chứa các ngoại trừ đối với các quy tắc trong thành phần trước đó. Một ví dụ về các quy tắc cấp phép luồng thông tin rõ ràng dựa trên vec-tơ ưu tiên liên kết với một chủ thể mà luôn cấp cho chủ thể khả năng tạo ra luồng thông tin cho thông tin mà được bao hàm bởi SFP đã được xác định. Nếu không có năng lực bổ sung nào, chủ thể PP/ST cần phải chỉ rõ "none".

Trong FDP_IFF.2.5, chủ thể PP/ST cần phải chỉ rõ các quy tắc, dựa trên các thuộc tính an toàn, mà từ chối rõ ràng cho luồng tin. Các quy tắc này bổ sung cho các quy tắc đã chỉ ra trong các phần tử trước đó. Chúng chứa trong FDP_IFF.2.5, có chứa các ngoại lệ đối với các quy tắc đó. Một ví dụ về các quy tắc từ chối rõ ràng cho các luồng tin là dựa trên vectơ đặc quyền liên quan đến một chủ thể, luôn từ chối chủ thể khả năng tạo ra luồng thông tin bao bởi SFP đã định trước. Nếu không có năng lực bổ sung nào, chủ thể PP/ST cần phải chỉ rõ "none".

F.6.4. FDP_IFF.3 Giới hạn các luồng thông tin bất hợp pháp

F.6.4.1. Chú thích cho ứng dụng người sử dụng

Thành phần này cần được dùng khi tối thiểu một trong số SFP có yêu cầu kiểm soát các luồng tin trái phép mà không yêu cầu giảm bớt luồng tin.

Để chỉ ra các luồng tin trái phép, cần có năng lực tối đa nhất định. Ngoài ra, một chủ thể PP/ST có khả năng chỉ ra việc các luồng tin trái phép có phải kiểm toán hay không.

F.6.4.2. Các hoạt động

F.6.4.2.1. Chỉ định

Trong FDP_IFF.3.1, chủ thể PP/ST cần phải chỉ rõ một SFP kiểm soát luồng tin thực thi bởi TSF. Tên của SFP kiểm soát luồng tin, phạm vi kiểm soát cho chính sách này được định nghĩa trong các thành phần thuộc chính sách kiểm soát luồng tin (FDP_IFC).

Trong FDP_IFF.3.1, chủ thể PP/ST cần phải chỉ rõ các kiểu luồng thông tin trái phép trong phạm vi dung lượng tối đa.

Trong FDP_IFF.3.1, chủ thể PP/ST cần phải chỉ rõ dung lượng tối đa cho phép cho các kiểu luồng tin trái phép đã xác định.

F.6.5. FDP_IFF.4 Loại trừ từng phần các luồng thông tin bất hợp pháp

F.6.5.1. Chú thích cho ứng dụng người sử dụng

Thành phần này cần được dùng khi mọi SFP yêu cầu kiểm soát các luồng tin trái phép có yêu cầu loại trừ một số luồng tin trái phép (song không bắt buộc loại trừ tất cả).

F.6.5.2. Các hoạt động

F.6.5.2.1. Chỉ định

Trong FDP_IFF.4.1, chủ thể PP/ST cần phải chỉ rõ một SFP kiểm soát luồng tin thực thi bởi TSF. Tên của SFP kiểm soát luồng tin, phạm vi kiểm soát cho chính sách này được định nghĩa trong các thành phần thuộc chính sách kiểm soát luồng tin (FDP_IFC).

Trong FDP_IFF.4.1, chủ thể PP/ST cần phải chỉ rõ các kiểu luồng tin trái phép trong phạm vi dung lượng tối đa.

Trong FDP_IFF.4.1, chủ thể PP/ST cần phải chỉ rõ dung lượng tối đa cho phép cho các kiểu thông tin trái phép đã xác định.

Trong FDP_IFF.4.1, chủ thể PP/ST cần phải chỉ rõ các kiểu luồng thông tin trái phép cần được loại trừ. Danh sách này có thể không trống vì thành phần này có yêu cầu loại trừ một số luồng thông tin trái phép.

F.6.6. FDP_IFF.5 Không có các luồng thông tin bất hợp pháp

F.6.6.1. Chú thích cho ứng dụng người sử dụng

Thành phần này cần được dùng khi các SFP có yêu cầu kiểm soát các luồng tin trái phép yêu cầu loại trừ mọi luồng tin trái phép. Tuy nhiên, chủ thể PP/ST cần xem xét kỹ lưỡng ảnh hưởng của việc loại trừ mọi luồng tin trái phép có thể có đối với thao tác bình thường của TOE.

Nhiều ứng dụng thực tế đã chỉ ra rằng có một mối quan hệ gián tiếp giữa các luồng tin trái phép và chức năng bình thường trong TOE. Việc loại trừ mọi luồng tin trái phép có thể dẫn đến thiểu năng TOE.

F.6.6.2. Các hoạt động

F.6.6.2.1. Chỉ định

Trong FDP_IFF.5.1, chủ thể PP/ST cần phải chỉ rõ ra SFP kiểm soát luồng tin cần loại trừ luồng tin trái phép. Tên của SFP kiểm soát luồng tin, phạm vi kiểm soát cho chính sách này được định nghĩa trong các thành phần thuộc chính sách kiểm soát luồng tin (FDP_IFC).

F.6.7. FDP_IFF.6 Giám sát luồng thông tin bất hợp pháp

F.6.7.1. Chú thích cho ứng dụng người sử dụng

Họ này định nghĩa các cơ chế để nhập TSF-trung dữ liệu người dùng từ bên ngoài TOE vào TOE để các thuộc tính an toàn dữ liệu người dùng có thể được bảo toàn. Tính chắc chắn của các thuộc tính an toàn này được chỉ rõ bởi tính chắc chắn dữ liệu TSF TSF-liên kết (FPT_TDC).

Nhập từ bên ngoài TOE (FDP_ITC) liên quan đến các giới hạn về nhập khẩu, đặc điểm người dùng của các thuộc tính an toàn, và liên kết các thuộc tính an toàn với dữ liệu người dùng.

Họ này, và họ xuất tương ứng EXPORT từ TOE (FDP_ETC), chỉ ra TOE liên quan với dữ liệu người dùng bên ngoài kiểm soát của nó thế nào. Họ này liên quan đến việc chỉ định và tách thuộc tính an toàn dữ liệu người dùng.

Các hoạt động khác nhau có thể liên quan ở đây:

a) Nhập khẩu dữ liệu người dùng từ môi trường chưa định dạng (có nghĩa, đĩa mềm, băng, máy quét, video, hoặc tín hiệu kiểm tra), mà không có bất cứ thuộc tính an toàn nào, và đánh dấu theo cách vật lý môi trường chỉ ra nội dung của nó.

b) Nhập khẩu dữ liệu, gồm các thuộc tính an toàn, từ một môi trường và phân loại ra các thuộc tính an toàn đối tượng nào là tương ứng;

c) Nhập khẩu dữ liệu người dùng, gồm các thuộc tính an toàn, từ một môi trường sử dụng kỹ thuật đánh dấu mã hóa để bảo vệ liên hợp dữ liệu người dùng và các thuộc tính an toàn.

Họ này không liên quan với việc xác định dữ liệu người dùng có được nhập khẩu hay không. Nó liên quan đến các dữ liệu của các thuộc tính an toàn để liên kết với dữ liệu người dùng đã được nhập.

Thành phần này cần được dùng khi muốn rằng TSF có thể giám sát các luồng tin trái phép sử dụng một dung lượng vượt quá mức cho phép. Nếu cần kiểm chứng các luồng tin này, thành phần này có thể giúp cung cấp nguồn thông tin kiểm chứng được lấy từ họ FAU_GEN tạo dữ liệu kiểm toán an toàn.

F.6.7.2. Các hoạt động

F.6.7.2.1. Chỉ định

Trong FDP_IFF.6.1, chủ thể PP/ST cần phải chỉ rõ một SFP kiểm soát luồng tin thực thi bởi TSF. Tên của TSF kiểm soát luồng tin, phạm vi kiểm soát cho chính sách này được định nghĩa trong các thành phần thuộc chính sách kiểm soát luồng tin (FDP_IFC).

Trong FDP_IFF.6.1, chủ thể PP/ST cần phải chỉ rõ các kiểu luồng tin trái phép cần được giám sát khi có dung lượng vượt quá mức tối đa.

Trong FDP_IFF.6.1, chủ thể PP/ST cần phải chỉ rõ dung lượng tối đa mà TSF dùng để giám sát các luồng tin trái phép.

F.7. Nhập dữ liệu từ bên ngoài TOE (FDP_ITC)

F.7.1. Chú thích cho người sử dụng

Họ này định nghĩa các cơ chế để nhập TSF-trung gian dữ liệu người dùng từ bên ngoài TOE vào TOE để các thuộc tính an toàn dữ liệu người dùng có thể được bảo toàn. Tính chắc chắn của các thuộc tính an toàn này được chỉ rõ bởi tính chắc chắn dữ liệu TSF TSF-liên kết (FPT_TDC).

Nhập từ bên ngoài TOE (FDP_ITC) liên quan đến các giới hạn về nhập khẩu, đặc điểm người dùng của các thuộc tính an toàn, và liên kết các thuộc tính an toàn với dữ liệu người dùng.

Họ này, và họ xuất tương ứng EXPORT từ TOE (FDP_ETC), chỉ ra TOE liên quan với dữ liệu người dùng bên ngoài kiểm soát của nó thế nào. Họ này liên quan đến việc chỉ định và tách thuộc tính an toàn dữ liệu người dùng.

Một số thao tác có thể có là:

a) Nhập dữ liệu người dùng từ một môi trường chưa định dạng (đĩa từ, băng từ, bộ quét, video hay tín hiệu kiểm chứng) không có chứa một thuộc tính an toàn nào, và đánh dấu vật lý để biểu thị nội dung.

b) Nhập dữ liệu người dùng có thuộc tính an toàn từ một môi trường và kiểm tra các thuộc tính an toàn cho đối tượng có chính xác không.

c) Nhập dữ liệu người dùng, bao gồm cả thuộc tính an toàn từ một môi trường có sử dụng kỹ thuật mật mã để bảo vệ mối quan hệ giữa thuộc tính an toàn và dữ liệu người dùng.

Họ này không liên quan đến việc xác định xem dữ liệu người dùng có được nhập liệu không. Nó chỉ liên quan đến các giá trị của thuộc tính an toàn kết hợp với dữ liệu người dùng được nhập.

Có hai khả năng nhập liệu người dùng: hoặc dữ liệu người dùng có kết hợp với các thuộc tính an toàn tin cậy (các giá trị và ý nghĩa của thuộc tính an toàn không bị sửa đổi), hoặc không có các thuộc tính an toàn tin cậy (hoặc không có thuộc tính an toàn nào) có thể nhận được từ nguồn nhập liệu. Họ này đề cập đến cả hai trường hợp trên.

Nếu có sẵn các thuộc tính an toàn tin cậy, chúng có thể kết hợp với dữ liệu người dùng bằng phương thức vật lý (các thuộc tính an toàn trên cùng phương tiện), hoặc qua logic (các thuộc tính an toàn được cấp riêng, song có gắn liền định danh đối tượng, ví dụ tổng kiểm tra mật mã).

Họ này có liên quan đến việc nhập TSF-trung gian dữ liệu người dùng và duy trì sự kết hợp của các thuộc tính an toàn như SFP yêu cầu. Các họ khác liên quan đến các khía cạnh khác ví dụ như tính nhất quán, kênh tin cậy, tính vẹn toàn nằm ngoài phạm vi họ này. Ngoài ra, nhập liệu từ bên ngoài kiểm soát TSF (FDP_ITC) chỉ liên quan đến giao diện môi trường nhập liệu. Kết xuất ra kiểm soát TSF bên ngoài (FDP_ETC) chịu trách nhiệm đối với môi trường phía đầu kia (nguồn phát).

Một số yêu cầu nhập liệu quen thuộc là:

a) Nhập dữ liệu người dùng không có thuộc tính an toàn;

b) Nhập dữ liệu người dùng có thuộc tính an toàn, trong đó cả hai kết hợp với nhau và các thuộc tính an toàn biểu diễn phần nào thông tin đang được nhập.

Các yêu cầu nhập liệu này có thể xử lý bởi TSF với hoặc không có can thiệp của con người, tùy theo những hạn chế CNTT và chính sách an toàn của tổ chức. Ví dụ, nếu dữ liệu người dùng nhận được qua kênh "mật", các thuộc tính an toàn của các đối tượng được đặt thành "mật".

Nếu có nhiều SFP (kiểm soát luồng tin, và/hoặc kiểm soát truy nhập) thì chúng cần lặp các thành phần này cho mỗi SFP.

F.7.2. FDP_ITC.1 Nhập dữ liệu người dùng không có các thuộc tính an toàn

F.7.2.1. Chú thích cho ứng dụng người sử dụng

Thành phần này dùng để chỉ ra việc nhập dữ liệu người dùng không có các thuộc tính an toàn tin cậy nào gắn liền theo. Chức năng này yêu cầu các thuộc tính an toàn cho dữ liệu người dùng được nhập cần được khởi tạo bên trong TSF. Đây cũng có thể là trường hợp chủ thể PP/ST chỉ ra các quy tắc cho nhập liệu. Đúng hơn, trong một số trường hợp, cần yêu cầu các thuộc tính này được cung cấp qua các kênh tin cậy hoặc các cơ chế kênh tin cậy.

F.7.2.2. Các hoạt động

F.7.2.2.1. Chỉ định

Trong FDP_ITC.1.1, chủ thể PP/ST cần phải chỉ rõ các kiểm soát truy nhập SFP và/hoặc các SFP kiểm soát luồng tin khi thực thi nhập dữ liệu người dùng. Dữ liệu người dùng được nhập vào thuộc phạm vi Chỉ định bởi các SFP này.

Trong FDP_ITC.1.3, chủ thể PP/ST cần phải chỉ ra mọi quy tắc kết xuất bổ sung hoặc "none" nếu như không có quy tắc kết xuất bổ sung nào. Các quy tắc này được thực thi bởi TSF bổ sung thêm cho SFP kiểm soát truy nhập và/hoặc SFP kiểm soát luồng tin đã chọn trong FDP_ITC.1.1.

F.7.3. Nhập liệu dữ liệu người dùng với các thuộc tính an toàn FDP_ITC.2

F.7.3.1. Chú thích cho ứng dụng người sử dụng

Thành phần này dùng để chỉ ra việc nhập dữ liệu người dùng với các thuộc tính an toàn tin cậy kết hợp với chúng.

Chức năng này dựa vào các thuộc tính an toàn có kết hợp chính xác và rõ ràng với các đối tượng của môi trường nhập liệu. Khi đã được nhập liệu, các đối tượng này sẽ có cùng các thuộc tính như vậy. Điều này đòi hỏi sự nhất quán dữ liệu TSF giữa các TSF (FPT_TDC) để đảm bảo tính nhất quán của dữ liệu. Đây có thể là trường hợp chủ thể PP/ST chỉ rõ các quy tắc nhập liệu.

F.7.3.2. Các hoạt động

F.7.3.2.1. Chỉ định

Trong FDP_ITC.2.1, tác giả PP/ST cần phải chỉ rõ một SFP kiểm soát truy cập và/hoặc các SFP kiểm soát luồng thông tin cần thực thi khi nhập dữ liệu người dùng từ bên ngoài TOE. Dữ liệu người dùng mà chức năng này nhập liệu được thông qua việc Chỉ định các SFP.

Trong FDP_ETC.2.4, chủ thể PP/ST cần phải chỉ ra mọi quy tắc luồng tin bổ sung hoặc "none" nếu như không có quy tắc luồng tin bổ sung nào. Các quy tắc này được thực thi bởi TSF bổ sung thêm cho SFP kiểm soát truy nhập và/hoặc SFP kiểm soát luồng tin đã chọn trong FDP_ITC.2.1.

F.8. Vận chuyển nội bộ TOE (FDP_ITT)

F.8.1. Chú thích cho người sử dụng

Họ này cung cấp các yêu cầu liên quan đến việc bảo vệ dữ liệu người dùng khi vận chuyển các phần của một TOE xuyên qua một kênh nội bộ. Việc vận chuyển này trái ngược với họ bảo vệ vận chuyển bí mật dữ liệu người dùng giữa các TSF (FDP_UCT) và họ bảo vệ vận chuyển đảm bảo vẹn toàn dữ liệu người dùng giữa các TSF (FDP_UIT), trong đó có sự bảo vệ dữ liệu người dùng khi vận chuyển qua các TSF khác nhau thông qua kênh bên ngoài và kết xuất từ TOE (FDP_ETC), và nhập liệu từ bên ngoài TOE (FDP_ITC), chỉ rõ việc vận chuyển TSF-trung gian tới hoặc từ bên ngoài TOE.

Các yêu cầu trong họ này cho phép chủ thể PP/ST chỉ ra độ an toàn mong muốn cho dữ liệu người dùng khi vận chuyển bên trong TOE. Tính an toàn có thể là bảo vệ chống khai phá, sửa đổi, mất tính sẵn sàng.

Việc xác định mức độ phân tách về vật lý mà họ này cần áp dụng tùy thuộc vào môi trường sử dụng. Trong môi trường máy chủ, có thể xuất hiện các nguy cơ khi vận chuyển dữ liệu giữa các phần của TOE tách biệt nhau qua BUS hệ thống. Trong các môi trường an toàn khác, việc vận chuyển có thể qua các phương tiện kết nối mạng truyền thống.

Nếu có nhiều SFP (kiểm soát luồng tin, và/hoặc kiểm soát truy nhập), thì chúng cần lặp lại các thành phần này cho mỗi SFP.

F.8.2. FDP_ITT.1 Bảo vệ chuyển giao cơ sở bên trong

F.8.2.1. Các hoạt động

F.8.2.1.1. Chỉ định

Trong FDP_ITC.1.1, chủ thể PP/ST cần phải chỉ rõ các kiểm soát truy nhập SFP và/hoặc các SFP kiểm soát luồng tin bao hàm các thông tin đang vận chuyển.

F.8.2.1.2. Phép chọn

Trong FDP_ITC.1.1, chủ thể PP/ST cần phải chỉ rõ các kiểu lỗi truyền tải để TSF cần phải tránh khi vận chuyển dữ liệu người dùng. Các tùy chọn là để lộ, sửa đổi, mất khả năng dùng.

F.8.3. FDP_ITT.2 Phân tách truyền tải bởi các thuộc tính

F.8.3.1. Chú thích cho ứng dụng người sử dụng

Thành phần này có thể dùng, ví dụ để cung cấp các mẫu khác nhau cho việc bảo vệ thông tin với các mức rõ ràng khác nhau.

Một cách để tách biệt dữ liệu khi vận chuyển là thông qua việc sử dụng tách biệt các kênh vật lý hoặc logic.

F.8.3.2. Các hoạt động

F.8.3.2.1. Chỉ định

Trong FDP_ITC.2.1, chủ thể PP/ST cần phải chỉ rõ các kiểm soát truy nhập SFP và/hoặc các SFP kiểm soát luồng tin bao hàm thông tin đang được truyền tải.

F.8.3.2.2. Phép chọn

Trong FDP_ITC.2.1, chủ thể PP/ST cần phải chỉ rõ các kiểu lỗi truyền tải để TSF cần phải tránh khi vận chuyển dữ liệu người dùng. Các tùy chọn là để lộ, sửa đổi, mất khả năng dùng.

F.8.3.2.3. Chỉ định

Trong FDP_ITC.2.2, chủ thể PP/ST cần phải chỉ rõ các thuộc tính an toàn, các giá trị mà TSF dùng để xác định khi nào cần tách biệt dữ liệu đang truyền tải giữa các phần vật lý tách biệt của TOE.

Một ví dụ là nếu dữ liệu người dùng kết hợp với định danh của một chủ sở hữu được truyền tải tách biệt với dữ liệu người dùng có kết hợp với định danh của một chủ sở hữu khác. Trong trường hợp này giá trị định danh của chủ sở hữu dữ liệu là giá trị cần dùng để xác định khi nào cần tách biệt dữ liệu vận chuyển.

F.8.4. FDP_ITT.3 Giám sát toàn vẹn

F.8.4.1. Chú thích cho ứng dụng người sử dụng

Thành phần này dùng để kết hợp với hoặc là FDP_ITT.1 phần bảo vệ vận chuyển nội bộ cơ bản hoặc FDP_ITT.2 phần tách biệt vận chuyển qua thuộc tính. Nó đảm bảo rằng TSF kiểm tra dữ liệu người dùng nhận được (và các thuộc tính của nó) về tính toàn vẹn.

FDP_ITT.1 phần bảo vệ vận chuyển nội bộ cơ bản hoặc phần tách biệt vận chuyển qua thuộc tính FDP_ITT.2 sẽ cung cấp dữ liệu theo cách sao cho nó được bảo vệ chống sửa đổi (do đó FDP_ITT.3 giám sát tính toàn vẹn có thể phát hiện ra bất kỳ sự sửa đổi nào).

Chủ thể PP/ST cũng cần phải chỉ ra các kiểu lỗi có thể phát hiện. Chủ thể PP/ST cần phải xem xét sự sửa đổi dữ liệu, thay thế dữ liệu, thay đổi thứ tự dữ liệu, phát lại dữ liệu, dữ liệu không toàn vẹn…ngoài các lỗi toàn vẹn khác.

Chủ thể PP/ST phải chỉ ra các thao tác mà TSF cần có để phát hiện ra lỗi. Ví dụ: bỏ qua dữ liệu người dùng, yêu cầu lại dữ liệu, thông báo quản trị có thẩm quyền, định tuyến lại lưu lượng tới các tuyến khác.

F.8.4.2. Các hoạt động

F.8.4.2.1. Chỉ định

Trong FDP_ITT.3.1, chủ thể PP/ST cần phải chỉ rõ các kiểm soát truy nhập SFP và/hoặc các SFP kiểm soát luồng tin bao hàm thông tin đang được chuyển tải và giám sát về các lỗi toàn vẹn.

Trong FDP_ITT.3.1, chủ thể PP/ST cần phải chỉ rõ các kiểu lỗi toàn vẹn được giám sát trong khi truyền tải dữ liệu người dùng.

Trong FDP_ITT.3.2, chủ thể PP/ST cần phải chỉ rõ các thao tác mà TSF cần có khi xảy ra lỗi toàn vẹn. Một ví dụ là TSF cần yêu cầu phát lại dữ liệu người dùng. Các SFP chỉ ra trong FDP_ITT.3.1 sẽ thực thi như thao tác cần thực hiện bởi TSF.

F.8.5. FDP_ITT.4 Giám sát toàn vẹn dựa trên thuộc tính

F.8.5.1. Chú thích cho ứng dụng người sử dụng

Thành phần này dùng kết hợp với phần tách biệt vận chuyển qua thuộc tính FDP_ITT.2. Nó đảm bảo rằng TSF kiểm tra dữ liệu người dùng nhận được với việc truyền tải thông qua các kênh tách biệt (dựa trên các giá trị thuộc tính an toàn đã chỉ ra) đảm bảo tính vẹn toàn. Nó cho phép chủ thể PP/ST chỉ ra các thao tác cần có để phát hiện lỗi toàn vẹn. Ví dụ, thành phần này có thể dùng cho việc phát hiện lỗi toàn vẹn khác nhau và thao tác cho thông tin ở các mức toàn vẹn khác nhau.

Chủ thể PP/ST cần phải chỉ ra các kiểu lỗi cần được phát hiện. Chủ thể PP/ST cần xem xét: sự sửa đổi dữ liệu, thay thế dữ liệu, thay đổi thứ tự dữ liệu, phát lại dữ liệu, dữ liệu không toàn vẹn… ngoài các lỗi toàn vẹn khác.

Chủ thể PP/ST phải chỉ ra các thuộc tính (và các kênh truyền liên quan) cần cho giám sát lỗi toàn vẹn.

Chủ thể PP/ST phải chỉ ra các thao tác mà TSF cần có để phát hiện ra lỗi. Ví dụ: bỏ qua dữ liệu người dùng, yêu cầu lại dữ liệu, thông báo quản trị có thẩm quyền, định tuyến lại lưu lượng tới các tuyến khác.

F.8.5.2. Các hoạt động

F.8.5.2.1. Chỉ định

Trong FDP_ITT.4.1, chủ thể PP/ST cần phải chỉ rõ các SFP kiểm soát truy nhập và/hoặc các SFP kiểm soát luồng tin bao hàm thông tin đang được chuyển tải và giám sát về các lỗi toàn vẹn.

Trong FDP_ITT.4.1, chủ thể PP/ST cần phải chỉ rõ các kiểu lỗi toàn vẹn cần được giám sát trong khi truyền tải dữ liệu người dùng.

Trong FDP_ITT.4.1, chủ thể PP/ST cần phải chỉ rõ danh sách các thuộc tính an toàn cần có để phân biệt các kênh truyền. Danh sách này dùng để xác định dữ liệu người dùng nào cần được giám sát lỗi toàn vẹn, trên cơ sở các thuộc tính an toàn và kênh truyền tải của nó. Phần tử này liên quan trực tiếp đến việc phân tách truyền tải FDP_ITT.2 qua các thuộc tính.

Trong FDP_ITT.4.2, chủ thể PP/ST cần phải chỉ rõ các thao tác mà TSF cần có khi xảy ra lỗi toàn vẹn. Một ví dụ là TSF cần yêu cầu phát lại dữ liệu người dùng. Các SFP chỉ ra trong FDP_ITT.3.1 sẽ thực thi như thao tác cần thực hiện bởi TSF.

F.9. Bảo vệ thông tin dư thừa (FDP_RIP)

F.9.1. Chú thích cho người sử dụng

Họ này xét nhu cầu cần đảm bảo rằng các tài nguyên TSF-kiểm soát, khi đã bị đưa ra khỏi một đối tượng và trước khi chúng được đặt lại vào một đối tượng khác, được TSF xử lý theo cách có thể để tái cấu trúc tất cả hoặc một phần dữ liệu chứa trong tài nguyên trước khi nó được định vị lại.

Một TOE thường có một số chức năng mà có tiềm năng đưa tài nguyên ra khỏi đối tượng và cũng có thể đặt lại những tài nguyên này vào các đối tượng. Một số, nhưng không phải tất cả các tài nguyên có thể được dùng để lưu trữ dữ liệu trọng yếu từ lần dùng tài nguyên trước và đối với các FDP_RIP tài nguyên này yêu cầu chúng được chuẩn bị để tái sử dụng. Việc tái sử dụng đối tượng áp dụng để làm rõ yêu cầu của đối tượng hoặc người dùng để cho phép các tài nguyên cũng như các thao tác ẩn của TSF mà ảnh hưởng trong việc bỏ ra ngoài và tái định vị sau đó các tài nguyên để phân biệt các đối tượng. Các ví dụ về yêu cầu rõ ràng là việc xóa hoặc cắt bớt một tệp hoặc để ra một khoảng bộ nhớ chính. Các ví dụ về thao tác ẩn của TSF là việc bỏ ra và tái định vị các khu vực bí mật.

Các yêu cầu tái sử dụng đối tượng liên quan đến nội dung của tài nguyên thuộc về một đối tượng, không phải tất cả thông tin về tài nguyên hoặc đối tượng mà có thể lưu trữ ở nơi nào đó trong TSF. Một ví dụ thỏa mãn yêu cầu FDP_RIP đối với các tệp khi đối tượng yêu cầu tất cả các phần tạo ra tệp cần được chuẩn bị để tái sử dụng.

Họ này cũng áp dụng cho các tài nguyên có thể sử dụng lại tuần tự bởi các chủ thể trong hệ thống. Ví dụ, đa số hệ điều hành thường dựa trên các thanh ghi phần cứng (tài nguyên) để hỗ trợ các tiến trình trong hệ thống. Khi các tiến trình chuyển từ trạng thái "run" sang "sleep" (hoặc ngược lại), các thanh ghi trên sẽ được sử dụng lại tuần tự bởi các chủ thể khác. Trong khi thao tác "chuyển đổi" (swapping) không được coi là cấp phát hoặc giải phóng tài nguyên. Bảo vệ thông tin dư thừa (FDP_RIP) có thể áp dụng cho các sự kiện và tài nguyên.

Bảo vệ thông tin dư thừa (FDP_RIP) thường kiểm soát truy nhập tới thông tin không phải là một phần của đối tượng đang xác định hoặc đang được truy nhập. Tuy nhiên, trong một số trường hợp, điều này không hoàn toàn đúng. Lấy ví dụ, đối tượng "A" là một tệp, đối tượng B là một đĩa nơi lưu giữ tệp. Nếu đối tượng A bị xóa, thông tin về đối tượng A sẽ bị kiểm soát bởi phần bảo vệ thông tin dư thừa (FDP_RIP) ngay cả khi nó vẫn còn là một phần của đối tượng B.

Điều quan trọng cần lưu ý là phần bảo vệ thông tin dư thừa (FDP_RIP) chỉ áp dụng cho các đối tượng trực tuyến (on-line) chứ không cho các đối tượng ngoại tuyến (off-line) ví như những gì backup trên băng từ. Lấy ví dụ, nếu 1 tệp bị xóa trong TOE, phần bảo vệ thông tin dư thừa (FDP_RIP) sẽ có thể yêu cầu không có thông tin dư thừa sau khi giải phóng. Tuy nhiên TSF không thể mở rộng phép thực hiện này cho cùng một tệp tồn tại ở dạng backup ngoại tuyến. Bởi vậy, chính tệp đó vẫn dùng được. Nếu đây là mối nghi ngại thì chủ thể PP/ST cần đảm bảo rằng các đối tượng môi trường phù hợp được đặt ra để hỗ trợ quản trị các đối tượng ngoại tuyến.

Bảo vệ thông tin dư thừa (FDP_RIP) và Rollback (FDP_ROL) có thể xung đột khi Bảo vệ thông tin dư thừa (FDP_RIP) thực hiện yêu cầu xóa thông tin dư thừa tại thời điểm ứng dụng giải phóng đối tượng đến TSF (nghĩa là giải phóng tài nguyên). Bởi vậy việc chọn chức năng "Deallocation) của Bảo vệ thông tin dư thừa (FDP_RIP) cần không được sử dụng với Rollback (FDP_ROL) do không có thông tin cần lấy lại. Việc chọn lựa khác là "không sẵn sàng khi cấp phát" có thể dùng với Rollback (FDP_ROL), tuy nhiên có nguy cơ là tài nguyên đang giữ thông tin đã được cấp phát cho đối tượng mới trước khi rollback có tác dụng. Khi xảy ra điều đó, rollback sẽ không thể thực hiện được.

Trong Bảo vệ thông tin dư thừa (FDP_RIP) không có các yêu cầu kiểm toán, bởi vì đó không phải chức năng được người dùng thực hiện. Kiểm toán các tài nguyên đã cấp phát hoặc giải phóng có thể thực thi trong các thao tác của SFP kiểm soát truy nhập hoặc SFP kiểm soát luồng tin.

Họ này cần được áp dụng cho các đối tượng đã chỉ ra trong SFP kiểm soát truy nhập hoặc SFP kiểm soát luồng tin như đã chỉ ra bởi chủ thể PP/ST.

F.9.2. FDP_RIP.1 Bảo vệ thông tin dư thừa tập con

F.9.2.1. Chú thích cho ứng dụng người sử dụng

Thành phần này yêu cầu cho mỗi tập con đối tượng trong TOE là TSF sẽ đảm bảo rằng không có thông tin dư thừa dùng được chứa trong một tài nguyên đã được cấp phát hoặc đã giải phóng cho các đối tượng đó.

F.9.2.2. Các hoạt động

F.9.2.2.1. Chỉ định

Trong FDP_RIP.1.1, chủ thể PP/ST cần phải chỉ rõ sự kiện, việc cấp phát hoặc giải phóng tài nguyên gọi đến chức năng Bảo vệ thông tin dư thừa.

F.9.2.2.2. Chỉ định

Trong FDP_RIP.1.1, chủ thể PP/ST cần phải chỉ rõ danh sách các đối tượng cho phần bảo vệ thông tin dư thừa.

F.9.3. FDP_RIP.2 Bảo vệ thông tin dư thừa đầy đủ

F.9.3.1. Chú thích cho ứng dụng người sử dụng

Thành phần này yêu cầu cho mọi đối tượng trong TOE là TSF sẽ đảm bảo rằng không có thông tin dư thừa dùng được chứa trong một tài nguyên đã được cấp phát hoặc đã giải phóng cho các đối tượng đó.

F.9.3.2. Các hoạt động

F.9.3.2.1. Phép chọn

Trong FDP_RIP.2.1, chủ thể PP/ST cần phải chỉ rõ sự kiện, việc cấp phát hoặc giải phóng tài nguyên gọi đến chức năng bảo vệ thông tin dư thừa.

F.10. Khôi phục (FDP_ROL)

F.10.1. Chú thích cho người sử dụng

Họ này chỉ nhu cầu cần quay trở lại một trạng thái hợp lệ định trước, ví dụ như nhu cầu của một người dùng muốn hoàn lại những sửa đổi trong tệp, hoặc hoàn lại các giao dịch trong trường hợp chuỗi giao dịch chưa hoàn thiện khi thao tác với cơ sở dữ liệu.

Họ này nhằm hỗ trợ người dùng hoàn lại một trạng thái hợp lệ định trước sau khi người dùng đã hoàn lại các thao tác, hoặc trong một cơ sở dữ liệu phân tán, hoàn lại mọi bản sao phân bố của cơ sở dữ liệu về trạng thái trước khi xảy ra thao tác lỗi.

Bảo vệ thông tin dư thừa (FDP_RIP) và Hoàn lại (FDP_ROL) xung đột khi bảo vệ thông tin dư thừa (FDP_RIP) thực thi với việc nội dung không còn khả dụng tại thời điểm một tài nguyên được giải phóng khỏi một đối tượng. Bởi vậy, việc sử dụng chức năng bảo vệ thông tin dư thừa (FDP_RIP) không thể kết hợp với chức năng Hoàn lại Rollback (FDP_ROL) vì không còn thông tin để hoàn lại. Bảo vệ thông tin dư thừa (FDP_RIP) có thể chỉ sử dụng với Hoàn lại (FDP_ROL) khi thực thi với điều kiện nội dung thông tin sẽ không còn khả dụng ở thời điểm tài nguyên được cấp phát tới một đối tượng khác. Lý do là cơ chế hoàn lại (FDP_ROL) sẽ có một cơ hội truy nhập thông tin trước đó vẫn có thể còn có trong TOE để thực thi thành công việc hoàn lại thao tác. Yêu cầu để hoàn lại được giới hạn bởi một số hạn định. Ví dụ, một bộ soạn thảo văn bản thường chỉ cho phép hoàn lại một số lệnh nhất định. Một ví dụ khác là backup. Nếu băng từ backup bị quay chiều, sau khi băng từ đã được sử dụng lại, thì không còn có thể gọi lại thông tin. Đó cũng là giới hạn đối với yêu cầu hoàn lại.

F.10.2. FDP_ROL.1 Khôi phục cơ bản

F.10.2.1. Chú thích cho ứng dụng người sử dụng

Thành phần này cho phép một người dùng hay chủ thể được hoàn lại một tập các thao tác trên một tập đối tượng định trước. Phép hoàn lại chỉ có thể trong hạn định, ví dụ cho tới một lượng ký tự hoặc tới một hạn định thời gian.

F.10.2.2. Các hoạt động

F.10.2.2.1. Chỉ định

Trong FDP_ROL.1.1, chủ thể PP/ST cần phải chỉ rõ các SFP kiểm soát truy nhập và/hoặc các SFP kiểm soát luồng tin cần thực thi khi thực hiện các thao tác hoàn lại. Điều này cần thiết để đảm bảo rằng việc hoàn lại không dùng để phá vỡ các SFP đã cho.

Trong FDP_ROL.1.1, chủ thể PP/ST cần phải chỉ rõ danh sách các thao tác có thể hoàn lại.

Trong FDP_ROL.1.1, chủ thể PP/ST cần phải chỉ rõ thông tin và/hoặc danh sách các đối tượng dùng trong chính sách hoàn lại.

Trong FDP_ROL.1.2, chủ thể PP/ST cần phải chỉ rõ giới hạn chặn cho các thao tác hoàn lại. Giới hạn có thể chỉ ra là một khoảng thời gian định trước, ví dụ, các thao tác có thể hoàn lại khi đã thực thi trong vòng 2 phút trở lại. Các giới hạn khác có thể được xác định là số tối đa các thao tác cho phép, hoặc kích thước bộ đệm.

F.10.3.1. FDP_ROL.2 Khôi phục cải tiến Chú thích cho ứng dụng người sử dụng

Thành phần này buộc TSF cung cấp khả năng hoàn lại mọi thao tác. Tuy nhiên, người dùng có thể chọn hoàn lại chỉ là một phần của chúng.

F.10.3.2. Các hoạt động

F.10.3.2.1. Chỉ định

Trong FDP_ROL.2.1, chủ thể PP/ST cần phải chỉ rõ các SFP kiểm soát truy nhập và/hoặc các SFP kiểm soát luồng tin cần thực thi khi thực hiện các thao tác hoàn lại. Điều này cần thiết để đảm bảo rằng việc hoàn lại không dùng để phá vỡ các SFP đã cho.

Trong FDP_ROL.2.1, chủ thể PP/ST cần phải chỉ rõ danh sách các đối tượng dùng trong chính sách hoàn lại.

Trong FDP_ROL.2.2, chủ thể PP/ST cần phải chỉ rõ hạn định mà giới hạn mà các thao tác hoàn lại có thể thực thi. Giới hạn có thể được chỉ ra là một khoảng thời gian định trước, ví dụ, các thao tác có thể hoàn lại khi đã thực thi trong vòng 2 phút trở lại. Các giới hạn khác có thể được xác định là số tối đa các thao tác cho phép, hoặc kích thước bộ đệm.

F.11. Toàn vẹn dữ liệu lưu trữ (FDP_SDI)

F.11.1. Chú thích cho người sử dụng

Họ này cung cấp các yêu cầu về việc bảo vệ dữ liệu người dùng trong khi chúng được lưu giữ trong khoang chứa do TSF kiểm soát.

Các bất ổn hoặc lỗi phần cứng có thể ảnh hưởng đến dữ liệu đã lưu trong bộ nhớ. Họ này cho các yêu cầu nhằm phát hiện các lỗi không định trước này. Sự toàn vẹn của dữ liệu người dùng khi lưu giữ trong các thiết bị nhớ do TSF kiểm soát cũng được xét đến trong họ này.

Để tránh cho một chủ thể sửa đổi dữ liệu, các chức năng kiểm soát luồng tin (FDP_IFF) hoặc các họ chức năng kiểm soát truy nhập (FDP_ACF) được yêu cầu.

Họ này khác với phép vận chuyển TOE nội bộ (FDP_ITT) là nó bảo vệ dữ liệu người dùng khỏi các lỗi toàn vẹn khi truyền tải dữ liệu bên trong TOE.

F.11.2. FDP_SDI.1 Giám sát toàn vẹn lưu trữ dữ liệu

F.11.2.1. Chú thích cho ứng dụng người sử dụng

Thành phần này giám sát các lỗi toàn vẹn cho dữ liệu đã lưu trong phương tiện lưu trữ. Chủ thể PP/ST có thể chỉ ra các loại thuộc tính dữ liệu người dùng khác nhau để dùng làm cơ sở cho việc giám sát.

F.11.2.2. Các hoạt động

F.11.2.2.1. Chỉ định

Trong FDP_SDI.1.1, chủ thể PP/ST cần phải chỉ ra các lỗi toàn vẹn mà TSF có thể phát hiện.

Trong FDP_SDI.1.1, chủ thể PP/ST cần phải chỉ ra các thuộc tính dữ liệu người dùng có thể sử dụng làm cơ sở cho việc giám sát.

F.11.3. FDP_SDI.2 Giám sát toàn vẹn dữ liệu lưu trữ và hành động

F.11.3.1. Chú thích cho ứng dụng người sử dụng

Thành phần này giám sát các lỗi toàn vẹn cho dữ liệu đã lưu trong phương tiện lưu trữ. Chủ thể PP/ST có thể chỉ ra thao tác nào cần thực hiện khi phát hiện có lỗi toàn vẹn.

F.11.3.2. Các hoạt động

F.11.3.2.1. Chỉ định

Trong FDP_SDI.2.1, chủ thể PP/ST cần phải chỉ ra các lỗi toàn vẹn mà TSF có thể phát hiện.

Trong FDP_SDI.2.1, chủ thể PP/ST cần phải chỉ ra các thuộc tính dữ liệu người dùng có thể sử dụng làm cơ sở cho việc giám sát.

Trong FDP_SDI.2.2, chủ thể PP/ST cần phải chỉ ra các thao tác cần có khi phát hiện có lỗi toàn vẹn.

F.12. Bảo vệ vận chuyển bí mật dữ liệu người dùng-TSF (FDP_UCT)

F.12.1. Chú thích cho người sử dụng

Họ này xác định các yêu cầu để đảm bảo tính bí mật của dữ liệu người dùng khi truyền tải qua một kênh bên ngoài giữa TOE và sản phẩm CNTT tin cậy khác. Tính bí mật cần thực hiện bằng việc cấm khai phá không có thẩm quyền dữ liệu người dùng trong quá trình truyền giữa hai đầu cuối. Các đầu cuối có thể là một TSF hoặc một người dùng.

Họ này cung cấp yêu cầu bảo vệ dữ liệu người dùng khi truyền tải. Ngược lại, chức năng bí mật của dữ liệu TSF được kết xuất (FPT_ITC) xử lý dữ liệu TSF.

F.12.2. FDP_UCT.1 Bí mật trao đổi dữ liệu cơ bản

F.12.2.1. Chú thích cho ứng dụng người sử dụng

TSF có khả năng bảo vệ dữ liệu người dùng chống khai phá trong khi chúng được trao đổi.

F.12.2.2. Các hoạt động

F.12.2.2.1. Chỉ định

Trong FDP_UCT.1.1, chủ thể PP/ST cần phải chỉ rõ các SFP kiểm soát truy nhập và/hoặc các SFP kiểm soát luồng tin cần được thực hiện khi trao đổi dữ liệu người dùng. Các chính sách đã Chỉ định sẽ được thực thi để ra quyết định về việc ai có thể trao đổi dữ liệu và dữ liệu nào có thể được trao đổi.

F.12.2.2.2. Phép chọn

Trong FDP_UCT.1.1, chủ thể PP/ST cần phải chỉ rõ phần tử này được áp dụng cho một cơ chế truyền tải hay thu nhận dữ liệu người dùng.

F.13. Bảo vệ vận chuyển toàn vẹn dữ liệu người dùng liên-TSF (FDP_UIT)

F.13.1. Chú thích cho người sử dụng

Họ này xác định các yêu cầu với việc đảm bảo toàn vẹn cho dữ liệu người dùng khi truyền tải giữa TSF và sản phẩm CNTT tin cậy khác, và khôi phục lại từ các lỗi có thể phát hiện được. Ít nhất, họ này giám sát sự toàn vẹn của dữ liệu người dùng chống sự sửa đổi. Ngoài ra, họ này hỗ trợ các cách khác nhau để sửa các lỗi toàn vẹn đã phát hiện ra.

Họ này xác định các yêu cầu đảm bảo toàn vẹn cho dữ liệu người dùng khi đang truyền, trong khi đó chức năng toàn vẹn dữ liệu kết xuất TSF (FPT_ITI) xử lý dữ liệu TSF.

Chức năng bảo vệ truyền tải toàn vẹn dữ liệu người dùng liên TSF (FDP_UIT) và bảo vệ truyền tải bí mật dữ liệu người dùng liên TSF (FDP_UCT) đi đôi với nhau, vì chức năng bảo vệ truyền tải bí mật dữ liệu người dùng liên TSF (FDP_UCT) xét tính bí mật của dữ liệu người dùng. Bởi vậy, cơ chế tương tự thực thi bảo vệ truyền tải toàn vẹn dữ liệu người dùng liên TSF (FDP_UIT) có thể dùng được để thực thi các họ khác như bảo vệ truyền tải bí mật dữ liệu người dùng liên TSF (FDP_UCT) và họ nhập liệu từ bên ngoài kiểm soát TSF (FDP_ITC).

F.13.2. FDP_UIT.1 Toàn vẹn trao đổi dữ liệu

F.13.2.1. Chú thích cho ứng dụng người sử dụng

TSF có khả năng cơ bản là gửi hoặc nhận dữ liệu người dùng theo cách phát hiện được sự sửa đổi dữ liệu người dùng. Không cần có yêu cầu nào cho một cơ chế TSF để khôi phục sửa đổi đó.

F.13.2.2. Các hoạt động

F.13.2.2.1. Chỉ định

FDP_UIT.1.1, chủ thể PP/ST cần phải chỉ rõ các SFP kiểm soát truy nhập và/hoặc các SFP kiểm soát luồng tin cần được thực hiện khi truyền hoặc nhận dữ liệu người dùng. Các chính sách đã Chỉ định sẽ được thực thi để ra quyết định về việc ai có thể gửi hoặc nhận dữ liệu và dữ liệu nào có thể được gửi hoặc nhận.

F.13.2.2.2. Phép chọn

Trong FDP_UIT.1.1, chủ thể PP/ST cần phải chỉ rõ phần tử này được áp dụng cho một cơ chế truyền tải hay thu nhận các đối tượng.

Trong FDP_UIT.1.1, chủ thể PP/ST cần phải chỉ rõ dữ liệu cần phải được bảo vệ chống sửa đổi, xóa, chèn hoặc phát lại.

Trong FDP_UIT.1.2, chủ thể PP/ST cần phải chỉ rõ lỗi các kiểu như: sửa đổi, xóa, chèn thêm hay phát lại được phát hiện.

F.13.3. FDP_UIT.2 Khôi phục trao đổi dữ liệu gốc

F.13.3.1. Chú thích cho ứng dụng người sử dụng

Thành phần này cung cấp khả năng khôi phục từ một tập các lỗi truyền đã xác định, nếu cần thiết, sử dụng sự trợ giúp của sản phẩm CNTT tin cậy khác.

Do sản phẩm CNTT tin cậy khác nằm ngoài TSC, TSF không thể kiểm soát hành vi của nó. Tuy nhiên, nó có thể cung cấp các chức năng có khả năng hợp tác với sản phẩm CNTT tin cậy khác để nhằm mục đích khôi phục. Ví dụ, TSF có thể chứa các chức năng tùy theo nguồn phát sản phẩm CNTT tin cậy khác để gửi lại dữ liệu khi phát hiện có lỗi xảy ra.

Thành phần này liên quan đến khả năng TSF xử lý khôi phục lỗi như vậy.

F.13.3.2. Các hoạt động

F.13.3.2.1. Chỉ định

Trong FDP_UIT.2.1, chủ thể PP/ST cần phải chỉ rõ các SFP kiểm soát truy nhập và/hoặc các SFP kiểm soát luồng tin cần thực thi khi khôi phục dữ liệu. Các chính sách đã Chỉ định sẽ được thực thi để ra quyết định về việc dữ liệu nào có thể khôi phục và cách thức có thể khôi phục nó.

Trong FDP_UIT.2.1, chủ thể PP/ST cần phải chỉ rõ danh sách các lỗi toàn vẹn mà TSF với sự trợ giúp của nguồn phát sản phẩm CNTT tin cậy khác có thể khôi phục lại dữ liệu người dùng ban đầu.

F.13.4. FDP_UIT.3 Khôi phục trao đổi dữ liệu đích

F.13.4.1. Chú thích cho ứng dụng người sử dụng

Thành phần này cung cấp khả năng khôi phục từ một tập các lỗi truyền đã xác định. Nó hoàn tất nhiệm vụ mà không cần có sự trợ giúp của sản phẩm CNTT tin cậy khác. Ví dụ, nếu phát hiện ra lỗi nào đó, giao thức truyền tải cần phải đủ mạnh để cho phép TSF khôi phục lại lỗi dựa trên cơ sở tổng kiểm tra và các thông tin khả dụng khác trong giao thức.

F.13.4.2. Các hoạt động

F.13.4.2.1. Chỉ định

Trong FDP_UIT.3.1, chủ thể PP/ST cần phải chỉ rõ các SFP kiểm soát truy nhập và/hoặc các SFP kiểm soát luồng tin cần thực thi khi khôi phục dữ liệu. Các chính sách đã Chỉ định sẽ được thực thi để ra quyết định về việc dữ liệu nào có thể khôi phục và cách thức có thể khôi phục nó.

Trong FDP_UIT.3.1, chủ thể PP/ST cần phải chỉ rõ danh sách các lỗi toàn vẹn mà chỉ bản thân TSF nguồn thu có khả năng khôi phục lại dữ liệu người dùng ban đầu.

 

PHỤ LỤC G

(Quy định)

LỚP FIA: ĐỊNH DANH VÀ XÁC THỰC

Một yêu cầu bảo mật thông thường là để xác nhận rõ người dùng, thực thể các chức năng trong một TOE. Điều này không chỉ là xác minh định danh yêu cầu của mỗi người mà còn xác nhận mỗi người dùng đó có thực là người mà họ yêu cầu không. Điều này được thực hiện bằng cách yêu cầu người dùng cung cấp TSF về một vài thông tin cái mà được biết như là TSF dùng để liên kết với người dùng trong câu hỏi.

Các họ trong lớp này gửi các yêu cầu có chức năng để thiết lập và xác minh một định danh người dùng được yêu cầu. Định danh và xác thực được yêu cầu để đảm bảo rằng người dùng được liên kết (được trợ giúp) với các thuộc tính an toàn thích hợp (vd như định danh, nhóm, quy tắc, bảo mật hoặc các mức toàn vẹn).

Việc định danh rõ ràng của người dùng có thẩm quyền và sự liên kết (trợ giúp) đúng của các thuộc tính an toàn với người dùng và các đối tượng (subject) là điều kiện để áp đặt các chính sách an toàn.

Họ định danh người dùng (FIA_UID) thực hiện (gửi) việc xác định định danh của một người dùng.

Họ xác thực người dùng (FIA_UAD) thực hiện việc xác thực định danh một người dùng.

Họ lỗi xác thực (FIA_AFL) thực hiện việc định nghĩa hạn chế lặp lại việc thử xác định không thành công.

Họ định nghĩa thuộc tính người dùng (FIA_ATD) thực hiện việc định nghĩa các thuộc tính người dùng mà được sử dụng trong việc bắt buộc của TSP.

Họ ràng buộc đối tượng người dùng (FIA_USB) thực hiện việc liên kết đúng của các thuộc tính an toàn cho mỗi người dùng có thẩm quyền.

Họ miêu tả các vấn đề bảo mật (FIA_SOS) thực hiện việc phát sinh và xác minh các vấn đề bảo mật mà thỏa mãn một tập đã định nghĩa.

Hình G1 chỉ ra sự tách lớp này thành các thành  phần hợp thành.

Hình G1 - Sự phân cấp lớp FIA: định danh và xác thực

G.1. Các lỗi xác thực (FIA_AFL)

G.1.1. Chú thích cho ứng dụng người sử dụng

Họ này gửi những yêu cầu về định nghĩa các giá trị đối với việc thử xác thực và các hành động TSF trong trường hợp lỗi thử xác thực. Các tham số như là số lần thử và ngưỡng thời gian là không hạn chế.

Tiến trình thiết lập phiên là sự tương tác với người dùng để thực thi việc thiết lập phiên độc lập với thực thi hành động. Nếu số lần thử xác thực không thành công vượt quá ngưỡng đã Chỉ định hoặc tài khoản người dùng hoặc thiết bị đầu cuối (hoặc cả 2) thì sẽ bị khóa. Nếu tài khoản người dùng bị khóa, người dùng không thể đăng nhập vào hệ thống. Nếu thiết bị đầu cuối bị khóa, thiết bị đầu cuối (hay địa chỉ của thiết bị đó) không được sử dụng cho bất kỳ lần đăng nhập nào. Duy trì cả 2 trường hợp này cho đến khi thỏa mãn điều kiện lập lại.

G.1.2. FIA_AFL.1 Xử lý lỗi xác thực

G.1.2.1. Chú thích cho ứng dụng người sử dụng

Tác giả PP/ST có thể định nghĩa số lần thử xác thực không thành công hoặc có thể chọn để giúp nhà phát triển TOE hoặc người dùng có thẩm quyền định nghĩa số này. Việc thử xác thực không thành công không cần phải liên tục, nhưng đúng hơn là có sự liên quan tới một sự kiện xác thực. Như vậy một sự kiện xác thực có thể được tính toán từ phiên thiết lập thành công trước ở một thiết bị đầu cuối đã xác định.

Tác giả PP/ST có thể xác định một danh sách các hành động mà TSF sẽ thực thi trong trường hợp lỗi xác thực. Một người quản trị có thẩm quyền có thể cũng được phép quản lý các sự kiện, nếu được phép của tác giả PP/ST. Các sự kiện đó có thể là các hành động: khởi tạo hành động đầu cuối, khởi tạo tài khoản người dùng hoặc đưa ra cảnh báo với người quản trị. Các điều kiện dưới trạng thái nào mà sẽ được lưu trữ một cách thông thường phải được xác định trên hành động đó.

Để ngăn chặn từ chối dịch vụ, TOE luôn đảm bảo rằng có ít nhất một tài khoản người dùng không bị khóa.

Hơn nữa các hành động cho TSF có thể xác định bởi tác giả PP/ST gồm các quy tắc cho việc khởi tạo lại quy trình thiết lập phiên người dùng, hoặc gửi một cảnh báo tới người quản trị. Ví dụ các hành động này là: cho tới khi thời gian Chỉ định trôi qua, cho tới khi người quản trị có thẩm quyền kích hoạt lại tài khoản hoặc thiết bị đầu cuối, một lần thử trước đó bị lỗi (tất cả các lần thử mà bị lỗi, 2 lần liên tiếp ngắt kích hoạt).

G.1.2.2. Các hoạt động

G.1.2.2.1. Chỉ định

Trong FIA_AFL.1.1, tác giả PP/ST nên chọn hoặc là gán một số nguyên hoặc cụm từ sau "Người quản trị nhập số nguyên dương" và đưa ra dải giá trị chấp nhận được.

G.1.2.2.2. Chỉ định

Trong FIA_AFL.1.1, tác giả PP/ST nên chỉ rõ các sự kiện xác thực. Ví dụ các sự kiện xác thực này là: việc thử xác thực không thành công kể từ xác thực thành công cuối cùng đối với định danh người dùng đã chỉ ra, các lần thử xác thực không thành công kể từ xác thực thành công cuối cùng cho thiết bị đầu cuối hiện tại, số lần thử xác thực không thành công trong 10 phút vừa qua. Có ít nhất một sự kiện xác thực phải được xác định.

Trong FIA_AFL.1.1, nếu việc gán số nguyên dương mà được chọn, tác giả PP/ST xác định số mặc định (số nguyên dương) của lần thử xác thực không thành công, khi bằng hoặc lớn hơn, cái mà sẽ gây ra các sự kiện.

Trong FIA_AFL.1.1, nếu một người quản trị khai báo số nguyên dương là được chọn, tác giả PP/ST nên xác định dải giá trị chấp nhận được từ cái mà người quản trị của TOE có thể khai báo số lần thử xác thực không thành công. Số lần thử xác thực nên ít hơn hoặc bằng giá trị cận trên và lớn hơn hoặc bằng giá trị cận dưới.

Trong FIA_AFL.1.2, tác giả PP/ST nên xác định các hành động để thực thi trong trường hợp bằng hoặc lớn hơn ngưỡng. Các hành động này có thể sẽ khóa tài khoản trong 5 phút, khóa thiết bị đầu cuối cho một lần tăng (2 hoặc nhiều hơn số lần thử không thành công trong 1 giây), hoặc khóa tài khoản cho tới khi bị khóa bởi người quản trị và khai báo đồng thời tới người quản trị. Các hành động nên xác định phép đo và nếu khoảng đo là thích hợp (hoặc cận dưới của phép đo).

G.1.2.2.3. Phép chọn

Trong FIA_AFL.1.2, tác giả PP/ST cần chọn hoặc sự kiện gặp gỡ hoặc vượt quá số lượng đã xác định các thử xác thực không thành công sẽ thúc đẩy TSF thao tác.

G.1.2.2.4. Chỉ định

Trong FIA_AFL.1.2, tác giả PP/ST cần chỉ rõ các thao tác được thực hiện trong trường hợp ngưỡng được đáp ứng hoặc bị vượt quá hoặc được lựa chọn. Các thao tác này có thể bị vô hiệu hóa trong 5 giây, vô hiệu giới hạn số lần gia tăng (2 mũ số lần thử không thành công tính theo giây), hoặc vô hiệu tài khoản đến khi quản trị mở khóa và đồng thời thông báo với quản trị.

Các thao tác cần chỉ rõ các biện pháp và nếu có thể áp dụng thì là khoảng thời gian của biện pháp (hoặc các điều kiện trong đó các biện pháp nào sẽ kết thúc).

G.2. Định nghĩa thuộc tính người dùng (FIA_ATD)

G.2.1. Chú thích cho người sử dụng

Tất cả người dùng có thẩm quyền có thể có một tập các thuộc tính an toàn, không phải là định danh người dùng, mà nó được dùng để bắt buộc các SFR. Họ này định nghĩa các yêu cầu cho việc liên kết các thuộc tính an toàn người dùng với các người dùng mà cần để trợ giúp TSF trong việc ra quyết định an toàn.

Có sự phụ thuộc vào các định nghĩa chính sách an toàn riêng biệt. Những định nghĩa riêng này nên chứa danh sách các thuộc tính mà cần thiết cho việc bắt buộc chính sách.

G.2.2. Xác định thuộc tính người dùng FIA_ATD.1

G.2.2.1. Chú thích cho ứng dụng người sử dụng

Thành phần này xác định các thuộc tính an toàn mà nên được duy trì tại mức của người dùng. Điều này có nghĩa là các thuộc tính an toàn đã liệt kê được gán và có thể được thay đổi tại mức người dùng. Bên cạnh đó, việc thay đổi thuộc tính an toàn trong danh sách này liên kết với một người dùng không nên có ảnh hưởng tới các thuộc tính an toàn của bất kỳ người dùng khác.

Trong trường hợp các thuộc tính an toàn thuộc về nhóm các người dùng (như là danh sách các khả năng đối với một nhóm), người dùng sẽ cần có một tham chiếu (như thuộc tính an toàn) tới nhóm có liên quan.

G.2.2.2. Các hoạt động

G.2.2.2.1. Chỉ định

Trong FIA_ATD.1.1, tác giả PP/ST nên xác định các thuộc tính an toàn mà được liên kết tới một người dùng riêng. Ví dụ như một danh sách là {"thông hành", "định danh nhóm", "quyền"}.

G.3. Đặc tả các bí mật (FIA_SOS)

G.3.1. Chú thích cho người sử dụng

Họ này định nghĩa các yêu cầu đối với các cơ chế mà bắt buộc tập đặc tính đã xác định trên các vấn đề bảo mật đã được cung cấp, và phát sinh vấn đề bảo mật để thỏa mãn tập đã xác định. Ví dụ như các cơ chế có thể bao gồm việc kiểm tra mật khẩu người dùng tự động, hoặc sự phát sinh mật khẩu tự động.

Một vấn đề bảo mật có thể được phát sinh bên ngoài TOE (vd được chọn bởi người dùng và được giới thiệu trong hệ thống). Như trong trường hợp, việc xác minh thành phần bảo mật FIA_SOS.1 có thể được sử dụng để đảm bảo rằng vấn đề bảo mật được phát sinh mở rộng tham gia tới các chuẩn nhất định, ví dụ một kích cỡ tối thiểu có thể không được sử dụng trước đó mà không xuất hiện trong từ điển.

Vấn đề bảo mật cũng có thể được sinh bởi TOE. Trong trường hợp đó, sự phát sinh thành phần bảo mật FIA_SOS.2 TSF có thể được sử dụng để yêu cầu TOE đảm bảo rằng các vấn đề bảo mật sẽ tham gia tới một vài tập đã xác định.

Các vấn đề bảo mật chứa dữ liệu xác thực cung cấp bởi người dùng cho cơ chế xác thực mà được dựa trên hiểu biết chủ động của người dùng. Khi khóa mật mã được áp dụng, lớp FCS: việc trợ giúp mật mã nên được sử dụng thay cho họ này.

G.3.2. Thẩm tra các bí mật FIA_SOS.1

G.3.2.1. Chú thích cho ứng dụng người sử dụng

Các vấn đề bảo mật có thể được phát sinh bởi người dùng. Thành phần này đảm bảo rằng các vấn đề phát sinh bởi người dùng đó có thể được xác minh theo tập đặc tính nhất định.

G.3.2.2. Các hoạt động

G.3.2.2.1. Chỉ định

Trong FIA_SOS.1.1, tác giả PP/ST nên cung cấp một tập đặc tính đã xác định. Việc xác định tập đặc tính có thể đơn giản như việc miêu tả việc kiểm tra đặc tính được thực hiện, hoặc thông dụng như một tham chiếu tới chuẩn mà một quốc gia công bố để định nghĩa tập đặc tính mà các vấn đề bảo mật phải tuân theo. Ví dụ tập đặc tính có thể bao gồm một miêu tả cấu trúc bảng chữ cái của các vấn đề bảo mật được chấp nhận và/hoặc khoảng không gian mà các vấn đề bảo mật có thể chấp nhận phải tuân theo.

G.3.3. FIA_SOS Tạo các bí mật TSF

G.3.3.1. Chú thích cho ứng dụng người sử dụng

Thành phần này cho phép TSF phát sinh các vấn đề bảo mật cho chức năng đặc trưng như là xác thực bằng mật khẩu.

Khi nào thì bộ phát sinh số ngẫu nhiên được sử dụng trong một thuật tính toán phát sinh bảo mật, nên chấp nhận nó như đầu vào là số ngẫu nhiên mà đầu ra là một kết quả hoàn toàn không thể đoán trước. Dữ liệu ngẫu nhiên này có thể nhận được từ một số tham số sẵn sàng như đồng hồ hệ thống, đăng ký hệ thống, ngày, thời gian… Các tham số nên được chọn để đảm bảo rằng số dữ liệu duy nhất có thể phát sinh từ đầu vào này nên là ít hơn hoặc bằng số tối thiểu vấn đề bảo mật phải được phát sinh.

G.3.3.2. Các hoạt động

G.3.3.2.1. Chỉ định

Trong FIA_SOS.2.1, tác giả PP/ST nên cung cấp một tập đặc tính đã xác định. Việc xác định tập đặc tính có thể đơn giản như miêu tả sự kiểm tra đặc tính để thực hiện hoặc thông thường như tham chiếu tới chuẩn quốc gia mà định nghĩa các tập đặc tính các vấn đề bảo mật phải tuân theo. Ví dụ tập đặc tính có thể bao gồm một miêu tả cấu trúc bảng chữ cái về các vấn đề bảo mật chấp nhận được và/hoặc không gian mà các vấn đề bảo mật chấp nhận phải tuân theo.

Trong FIA_SOS.2.2, tác giả PP/ST nên cung cấp một danh sách các chức năng TSF cho cái mà vấn đề phát sinh TSF phải được sử dụng. Ví dụ như chức năng có thể bao gồm một mật khẩu dựa trên cơ chế xác thực.

G.4. Xác thực người dùng (FIA_UAU)

G.4.1. Chú thích cho ứng dụng người sử dụng

Họ này định nghĩa các kiểu cơ chế xác thực người dùng được trợ giúp bởi TSF. Họ này định nghĩa các thuộc tính yêu cầu trên cái mà cơ chế xác thực người dùng dựa vào.

G.4.2. FIA_UAU.1 Định thời cho xác thực

G.4.2.1. Chú thích cho ứng dụng người sử dụng

Thành phần này yêu cầu rằng tác giả PP/ST định nghĩa các hành động trung gian TSF có thể được thực thi bởi TSF thay cho người dùng trước khi định danh yêu cầu của người dùng được xác thực. Các hành động trung gian TSF không có khái niệm bảo mật với người dùng một cách sai để định danh chúng ưu tiên hơn việc xác thực. Đối với tất cả các hành động trung gian TSF không nằm trong danh sách, người dùng phải được xác thực trước khi hành động được thực thi bởi TSF thay cho người dùng.

Thành phần này không thể điều khiển mặc dù các hành động có thể thực thi trước khi thực hiện phần định danh. Điều này yêu cầu sử dụng hoặc thời gian định danh FIA_UID.1 và định danh người dùng FIA_UID.2 trước khi có bất kỳ hành động với chỉ định thích hợp.

G.4.2.2. Các hoạt động

G.4.2.2.1. Chỉ định

Trong FIA_UAU.1.1, tác giả PP/ST nên xác định danh sách các hành động trung gian TSF mà có thể thực thi bởi TSF thay cho người dùng trước khi định danh yêu cầu của người dùng được xác thực. Danh sách này có thể không rỗng. Nếu không hành động nào là thích hợp, thành phần xác thực người dùng trong FIA_UAU.2 trước khi có bất kỳ hành động nào nên được sử dụng để thay thế. Một ví dụ như hành động có thể bao gồm yêu cầu trợ giúp thủ tục đăng nhập.

G.4.3. FIA_UAU.2 Xác thực người dùng trước khi hành động

G.4.3.1. Chú thích cho ứng dụng người sử dụng

Thành phần này yêu cầu người dùng được xác thực trước khi bất kỳ hành động trung gian TSF có thể thực hiện thay cho người dùng đó.

G.4.4. FIA_UAU.3 Xác thực không thể giả mạo

G.4.4.1. Chú thích cho ứng dụng người sử dụng

Thành phần này gửi các yêu cầu cho cơ chế để cung cấp việc bảo vệ dữ liệu xác thực. Dữ liệu xác thực được chép từ người khác, hoặc bằng cách xây dựng nên được bảo vệ hoặc bị từ chối. Các cơ chế này cung cấp sự tin tưởng cái mà người dùng xác thực bởi TSF thực sự là người mà họ yêu cầu.

Thành phần này chỉ sử dụng được với cơ chế xác thực dựa trên xác thực dữ liệu mà không thể chia sẻ (ví dụ như sinh học). TSF có thể bảo vệ hoặc ngăn chặn việc chia sẻ mật khẩu bên ngoài điều khiển TSF một cách dễ dàng.

G.4.4.2. Các hoạt động

G.4.4.2.1. Phép chọn

Trong FIA_UAU.3.1, tác giả PP/ST nên xác định nơi TSF sẽ tìm thấy, ngăn chặn, hoặc bảo vệ và ngăn chặn việc giả mạo của xác thực dữ liệu.

Trong FIA_UAU.3.2, tác giả PP/ST nên xác định nơi TSF sẽ dò tìm, ngăn chặn, hoặc bảo vệ và ngăn chặn việc sao chép xác thực dữ liệu.

G.4.5. FIA_UAU.4 Các cơ chế sử dụng xác thực đơn

G.4.5.1. Chú thích cho ứng dụng người sử dụng

Thành phần này gửi các yêu cầu cho cơ chế xác thực dựa trên dữ liệu sử dụng xác thực đơn. Dữ liệu sử dụng xác thực đơn có thể là một vài thứ mà người dùng có hoặc biết chứ không phải thứ mà người dùng là nó. Ví dụ dữ liệu sử dụng xác thực đơn bao gồm sử dụng mật khẩu đơn, thời gian mã hóa, và/hoặc số ngẫu nhiên tra cứu từ bảng bảo mật.

Tác giả PP/ST có thể xác định cơ chế xác thực nào mà yêu cầu này áp dụng.

G.4.5.2. Các hoạt động

G.4.5.2.1. Chỉ định

Trong FIA_UAU.4.1, tác giả PP/ST nên xác định danh sách các cơ chế xác thực tới cái mà yêu cầu này áp dụng. Chỉ định này có thể là "tất cả các cơ chế xác thực". Ví dụ chỉ định này có thể là "cơ chế xác thực ứng dụng tới người xác thực bên mạng ngoài".

G.4.6. FIA_UAU.5 Cơ chế đa xác thực

G.4.6.1. Chú thích cho ứng dụng người sử dụng

Sử dụng thành phần này cho phép xác định các yêu cầu cho hơn một cơ chế xác thực được sử dụng với TOE. Đối với mỗi cơ chế lọc, các yêu cầu ứng dụng phải được chọn từ FIA: Lớp định danh và xác thực được ứng dụng tới từng cơ chế. Cùng thành phần có thể được chọn nhiều lần để phản ánh các yêu cầu khác nhau cho việc sử dụng cơ chế xác thực khác nhau.

Các chức năng quản lý trong lớp FMT có thể cung cấp các khả năng duy trì cho tập các cơ chế xác thực, như là các vai trò xác định nơi việc xác thực thành công.

Cho phép người dùng nặc danh tương tác với TOE, một cơ chế xác thực "không" có thể là được hợp nhất. Sử dụng truy cập nên được giải thích rõ ràng trong các vai trò của FIA_UAU.5.2.

G.4.6.2. Các hoạt động

G.4.6.2.1. Chỉ định

Trong FIA_UAU.5.1, tác giả PP/ST nên định nghĩa cơ chế xác thực có thể dùng được. Một ví dụ danh sách có thể là: "không, cơ chế mật khẩu, sinh học (quét võng mạc), cơ chế S/key".

Trong FIA_UAU.5.2, tác giả PP/ST nên xác định các vai trò miêu tả cơ chế xác thực cung cấp việc xác thực như thế nào và mỗi cơ chế được sử dụng khi nào. Điều này có nghĩa là phải miêu tả mỗi vị trí của tập cơ chế mà có thể được sử dụng cho việc xác thực người dùng. Một ví dụ danh sách các vai trò là: "nếu người dùng có quyền sử dụng cả hai cơ chế mật khẩu đặc biệt và một cơ chế sinh học, thành công khi cả hai thành công; đối với tất cả người dùng khác cơ chế mật khẩu sẽ được sử dụng".

Tác giả PP/ST có thể đưa ra các biên cái mà người quản trị có thẩm quyền có thể xác định các vai trò riêng biệt. Một ví dụ về vai trò là: "người dùng luôn phải được xác thực bởi phương pháp thẻ bài; người quản trị có thể định rõ việc thêm các cơ chế xác thực được sử dụng". Tác giả PP/ST không những phải chọn để xác định biên bất kỳ mà còn bỏ hoàn toàn cơ chế xác thực và vai trò của chúng cho người quản trị có thẩm quyền.

G.4.7. FIA_UAU.6 Xác thực lại

G.4.7.1. Chú thích cho ứng dụng người sử dụng

Thành phần này gửi các nhu cầu tiềm năng để xác thực lại người dùng tại thời điểm được định nghĩa. Cái này có thể bao gồm các yêu cầu người dùng đối với TSF để thực thi các hành động liên quan đến bảo mật, giống như các yêu cầu từ thực thể mà không có TSF cho việc xác thực lại (ví dụ máy chủ ứng dụng yêu cầu TSF xác thực lại máy khác mà nó phục vụ).

G.4.7.2. Các hoạt động

G.4.7.2.1. Chỉ định

Trong FIA_UAU.6.1, tác giả PP/ST nên xác định danh sách các điều kiện yêu cầu xác thực lại. Danh sách này có thể bao gồm khoảng thời gian không thao tác của một người dùng xác định, người dùng yêu cầu một sự thay đổi trong thao tác của các thuộc tính an toàn, hoặc người dùng yêu cầu TSF thực thi một vài chức năng giới hạn an toàn.

Tác giả PP/ST có thể đưa ra các biên nơi mà việc xác thực lại có thể xuất hiện và việc xác định cho người quản trị có thẩm quyền. Một ví dụ về vai trò là: "người dùng luôn phải được xác thực lại ít nhất một lần trong ngày; người quản trị có thể chỉ rõ việc xác thực lại nên xảy ra thường xuyên hơn chứ không phải là một lần trong 10 phút".

G.4.8. FIA_UAU.7 Phản hồi xác thực có bảo vệ

G.4.8.1. Chú thích cho ứng dụng người sử dụng

Thành phần này gửi phản hồi trong tiến trình xác thực cái mà sẽ cung cấp tới người dùng. Trong một vài hệ thống phản hồi bao gồm chỉ dẫn nhiều ký tự được gõ như thế nào nhưng không chỉ ra các ký tự đó, trong hệ thống khác thậm chí thông tin này có thể là không thích hợp.

Thành phần này yêu cầu dữ liệu xác thực là không được cung cấp như là việc phản hồi tới người dùng. Trong môi trường máy trạm, nó có thể hiển thị một "ký tự thay thế" (chẳng hạn như ký tự sao) cho mỗi ký tự mật khẩu, và không phải là ký tự thực.

G.4.8.2. Các hoạt động

G.4.8.2.1. Chỉ định

Trong FIA_UAU.7.1, tác giả PP/ST nên xác định việc phản hồi liên quan tới quy trình xác thực cái mà sẽ được cung cấp tới người dùng. Ví dụ về một sự phản hồi chỉ định là "số ký tự được gõ", kiểu phản hồi khác là "cơ chế xác thực gây lỗi xác thực".

G.5. Định danh người dùng (FIA_UID)

G.5.1. Chú thích cho ứng dụng người sử dụng

Họ này định nghĩa các điều kiện cái mà người dùng được yêu cầu để định danh chúng trước khi thực thi bất kỳ các hành động nào khác được làm trung gian bởi TSF và yêu cầu định danh người dùng

G.5.2. FIA_UID.1 Định thời cho định danh

G.5.2.1. Chú thích cho ứng dụng người sử dụng

Thành phần này đưa ra các yêu cầu cho người dùng để được định danh. Tác giả PP/ST có thể chỉ rõ các hành động có thể được thực thi trước khi việc định danh xảy ra.

Nếu thời gian định danh FIA_UID.1 được sử dụng, các hành động trung gian TSF đề cập trong Thời gian định danh FIA_UID.1 cũng nên xuất hiện trong thời gian xác thực FIA_UID.1 này.

G.5.2.2. Các hoạt động

G.5.2.2.1. Chỉ định

Trong FIA_UID.1.1, tác giả PP/ST nên xác định danh sách các hành động trung gian TSF mà có thể được thực thi bởi TSF thay cho người dùng trước khi người dùng phải định danh. Nếu không có hành động nào thích hợp, thành phần định danh người dùng FIA_UID.2 trước khi có bất kỳ hành động nào được sử dụng thay thế. Một ví dụ như một hành động có thể bao gồm yêu cầu cho trợ giúp quá trình đăng nhập.

G.5.3. FIA_UID.2 Định danh người dùng trước khi hành động

G.5.3.1. Chú thích cho ứng dụng người sử dụng

Trong thành phần này người dùng sẽ được định danh. Một người dùng không được phép bởi TSF để thực thi bất kỳ hành động nào trước khi định danh.

G.6. Liên kết chủ thể - người dùng (FIA_USB)

G.6.1. Chú thích cho ứng dụng người sử dụng

Một người dùng được xác thực để sử dụng TOE, đặc biệt là hành động một đối tượng. Các thuộc tính an toàn người dùng là được liên kết với đối tượng này (toàn bộ hoặc một phần). Họ này định nghĩa các yêu cầu để tạo và duy trì sự liên kết của các thuộc tính an toàn người dùng để đối tượng thao tác trên quyền của người dùng.

G.6.2. FIA_USB.1 Liên kết chủ thể - người dùng

G.6.2.1. Chú thích cho ứng dụng người sử dụng

Câu "hành động thay cho" chứng tỏ để là một phát hành liên tiếp trong nguồn tiêu chuẩn. Muốn nói rằng một đối tượng là hành động thay cho người dùng người mà gây ra đối tượng thuộc về hoặc được hành động để thực thi một nhiệm vụ xác định.

Qua đó, khi một đối tượng được tạo ra, đối tượng đó đang hành động thay cho người dùng mà khởi tạo việc tạo. Trong nhiều trường hợp nơi mà tình trạng giả mạo được sử dụng, đối tượng vẫn thao tác thay cho người dùng, nhưng định danh của người dùng đó là không được biết. Một chủ đề đặc biệt của đối tượng là các đối tượng đó phục vụ nhiều người dùng (ví dụ một tiến trình tại máy chủ). Trong nhiều trường hợp người dùng tạo đối tượng này được thừa nhận để là "người sở hữu".

G.6.2.2. Các hoạt động

G.6.2.2.1. Chỉ định

Trong FIA_USB.1.1, tác giả PP/ST nên xác định danh sách các thuộc tính an toàn người dùng mà được giới hạn tới các đối tượng.

Trong FIA_USB.1.2, tác giả PP/ST nên xác định bất kỳ các vai trò mà được áp dụng lên sự liên kết khởi tạo của các thuộc tính với các đối tượng, hoặc "không".

Trong FIA_USB.1.3, tác giả PP/ST nên xác định bất kỳ các vai trò nào mà được áp dụng khi thay đổi được tạo ra để các thuộc tính an toàn người dùng liên kết với các đối tượng hành động thay cho người dùng hoặc "không".

 

PHỤ LỤC H

(Quy định)

LỚP FMT: QUẢN LÝ AN TOÀN

Lớp này xác định việc quản lý một vài lĩnh vực của TSF: các thuộc tính an toàn, dữ liệu TSF và các chức năng trong TSF. Các vai trò quản lý khác nhau và sự tương tác của chúng cũng có thể được xác định, như là sự phân tách khả năng.

Trong môi trường nơi TOE được tạo ra từ nhiều phần vật lý riêng biệt mà hình thức một hệ thống phân tán, thời gian tranh luận với mối liên quan để lan truyền các thuộc tính an toàn, dữ liệu TSF, và sự thay đổi chức năng trở nên rất phức tạp, đặc biệt nếu thông tin được yêu cầu để thay thế một phần của TOE. Cái này nên được quan tâm khi lựa chọn các thành phần như sự thu hồi FMT_REV.1, hoặc quyền hạn thời gian FMT_SAE.1, nơi cơ chế là bị suy yếu. Trong trường hợp, sử dụng các thành phần từ bên trong TOE TSF bao gồm cả sự thay thế dữ liệu (FPT_TRG) là thích hợp.

Hình H.1 chỉ ra sự phân tách của lớp này vào trong các thành phần hợp thành của nó.

Hình H.1 - Phân cấp lớp FMT: Quản lý an toàn

H.1. Quản lý các chức năng trong TSF (FMT_MOF)

H.1.1. Chú thích cho ứng dụng người sử dụng

Các chức năng quản lý TSF sẵn sàng với người dùng có thẩm quyền để cài đặt và điều khiển thao tác bảo mật của TOE. Các chức năng quản trị này đặc biệt là một trong số các chủ đề khác nhau như sau:

a) Các chức năng quản lý liên quan tới điều khiển truy cập, tính toán và điều khiển xác thực bắt buộc bởi TOE. Ví dụ, định nghĩa và cập nhật các thuộc tính an toàn người dùng (ví dụ định danh duy nhất liên quan tới tên người dùng, tài khoản người dùng, tham số nhập hệ thống) hoặc định nghĩa và cập nhật kiểm toán điều khiển hệ thống (ví dụ sự lựa chọn các sự kiện kiểm toán, quản lý vết kiểm toán, phân tích vết kiểm toán, và sinh báo cáo kiểm toán), định nghĩa và cập nhật các thuộc tính chính sách người dùng (như xóa người dùng), định nghĩa các tên điều khiển truy cập hệ thống được biết, điều khiển và quản lý người dùng.

b) Các chức năng quản lý liên quan tới tính sẵn sàng điều khiển. Ví dụ, định nghĩa và cập nhật các tham số sẵn sàng hoặc hạn ngạch nguồn tài nguyên.

c) Các chức năng quản lý mà liên quan tới sự cài đặt và cấu hình chung. Ví dụ cấu hình TOE, khôi phục thủ công, cài đặt cố định an toàn TOE (nếu có thể), sửa và cài đặt lại phần cứng.

d) Các chức năng quản lý mà liên quan tới điều khiển công việc lặp đi lặp lại và duy trì nguồn tài nguyên TOE. Ví dụ, bật và tắt thiết bị phần cứng, lắp thiết bị lưu trữ ngoài, lưu trữ và khôi phục đối tượng.

Chú ý rằng các chức năng này cần được thể hiện trong TOE dựa trên các họ bao gồm trong PP hoặc ST. Trách nhiệm của tác giả PP/ST để đảm bảo rằng các chức năng tương ứng sẽ được cung cấp để quản lý TOE một cách an toàn.

TSF có thể chứa các chức năng mà có thể được điều khiển bởi người quản trị. Ví dụ, tắt các chức năng kiểm toán, bật đồng bộ thời gian, và thay đổi cơ chế xác thực.

H.1.2. FMT_MOF.1 Các cơ chế hoạt động của quản lý chức năng an toàn

H.1.2.1. Chú thích cho ứng dụng người sử dụng

Thành phần này cho phép các vai trò đã định danh để quản lý các chức năng an toàn của TSF. Điều này có thể thu được trạng thái hiện tại của chức năng an toàn, bật hoặc tắt chức năng an toàn, hoặc thay đổi cơ chế của chức năng an toàn. Ví dụ thay đổi cơ chế của các chức năng an toàn là thay đổi cơ chế xác thực.

H.1.2.2. Các hoạt động

H.1.2.2.1. Phép chọn

Trong FMT_MOF.1.1, tác giả PP/ST nên chọn vai trò có thể xác định cơ chế tắt hoặc ẩn và thay đổi cơ chế của các chức năng an toàn.

H.1.2.2.2. Chỉ định

Trong FMT_MOF.1.1, tác giả PP/ST nên xác định các chức năng mà có thể được thay đổi bởi các vai trò định danh. Ví dụ bao gồm kiểm toán và xác định thời gian.

Trong FMT_MOF.1.1, tác giả PP/ST nên xác định các vai trò mà được phép thay đổi các chức năng trong TSF. Các vai trò có thể được xác định trong các vai trò an toàn FMT_SMR.1.

H.2. Quản lý các thuộc tính an toàn (FMT_MSA)

H.2.1.Chú thích cho người sử dụng

Họ này định nghĩa các yêu cầu trong việc quản lý các thuộc tính an toàn.

Các thuộc tính an toàn ảnh hưởng hành vi của TSF. Các mẫu thuộc tính an toàn là một nhóm mà người dùng thuộc vào đó, vai trò mà anh ta cảm nhận, quyền ưu tiên của một quá trình (chủ thể), và các quyền thuộc về một vai trò hoặc một người dùng. Các thuộc tính an toàn này có thể cần được quản lý bởi người dùng, một chủ thể, một người dùng được cấp quyền cụ thể (người dùng với các quyền nhất định đối với việc quản lý này) hoặc các giá trị được tiếp nhận theo một chính sách hoặc một tập hợp các quy tắc nhất định.

Lưu ý rằng quyền gán cho người dùng là thuộc tính an toàn của nó và đối tượng tiềm năng để quản lý bởi việc quản lư các thuộc tính an toàn FMT_MSA.1.

Các thuộc tính an toàn FMT_MSA.2 có thể được dùng để đảm bảo rằng bất kỳ sự kết hợp của các thuộc tính an toàn được chấp nhận là một trạng thái an toàn. Định nghĩa "đảm bảo an toàn" có nghĩa là gì, có trong hướng dẫn TOE.

Trong một vài trường hợp các đối tượng, các đối tượng hoặc tài khoản người dùng được tạo. Nếu các giá trị đưa ra là không rõ ràng cho các thuộc tính an toàn liên quan khi đó các giá trị mặc định cần được sử dụng. Quản lý các thuộc tính an toàn FMT_MSA.1 có thể được sử dụng để định rõ quản lý các giá trị mặc định này được quản lý.

H.2.2. FMT_MSA.1 Quản lý các thuộc tính an toàn

H.2.2.1. Chú thích cho ứng dụng người sử dụng

Thành phần này cho phép người dùng thao tác trong các vai trò đó để quản lý các thuộc tính an toàn đã định danh. Người dùng được gán một vai trò trong thành phần các vai trò an toàn FMT_SMR.1.

Giá trị mặc định của tham số là giá trị tham số có được khi nó xảy ra mà không có các giá trị được gán chính xác. Một giá trị khởi tạo được cung cấp trong khi khởi tạo một tham số, và chèn giá trị mặc định.

H.2.2.2. Các hoạt động

H.2.2.2.1. Chỉ định

Trong FMT_MSA.1.1, tác giả PP/ST nên liệt kê truy cập điều khiển SFP hoặc điều khiển luồng thông tin SFP cho các thuộc tính an toàn nào được áp dụng.

H.2.2.2.2. Phép chọn

Trong FMT_MSA.1.1, tác giả PP/ST nên xác định các thao tác có thể được áp dụng tới các thuộc tính an toàn đã định danh. Tác giả PP/ST có thể xác định vai trò có thể thay đổi giá trị mặc định (thay_đổi_mặc_định), yêu cầu, thay đổi thuộc tính an toàn, xóa hoàn toàn các thuộc tính an toàn hoặc định nghĩa thao tác của chúng.

H.2.2.2.3. Chỉ định

Trong FMT_MSA.1.1, tác giả PP/ST nên xác định các thuộc tính an toàn mà có thể thao tác bởi các vai trò đã định danh. Dễ dàng cho tác giả PP/ST để xác định giá trị mặc định như là quyền truy cập mặc định có thể được quản lý. Ví dụ của các thuộc tính an toàn này là xóa người dùng, độ ưu tiên mức dịch vụ, danh sách điều khiển truy cập, quyền truy cập mặc định.

Trong FMT_MSA.1.1, tác giả PP/ST nên xác định các vai trò mà được phép thao tác trên các thuộc tính an toàn. Các vai trò có thể là được xác định trong các vai trò an toàn FMT_SMR.1.

Trong FMT_MSA.1.1, nếu lựa chọn, tác giả PP/ST nên xác định các thao tác khác nào mà vai trò có thể thực thi. Ví dụ như một thao tác có thể được tạo ra.

H.2.3. FMT_MSA.2 Đảm bảo các thuộc tính an toàn

H.2.3.1. Chú thích cho ứng dụng người sử dụng

Thành phần này chứa các yêu cầu về các giá trị có thể được gán tới các thuộc tính an toàn. Các giá trị được gán như là TOE sẽ còn lại trong trạng thái an toàn.

Sự định nghĩa "đảm bảo an toàn" là gì là không có câu trả lời trong thành phần này nhưng có thể thấy trong sự phát triển của TOE và các thông tin kết quả trong hướng dẫn. Ví dụ có thể là nếu một tài khoản người dùng được tạo, nó có thể có một mật khẩu không tầm thường.

H.2.3.2. Các hoạt động

H.2.3.2.1. Chỉ định

Trong FMT_MSA.2.1, tác giả PP/ST cần chỉ rõ danh sách các thuộc tính an toàn mà yêu cầu chỉ cung cấp các giá trị đảm bảo an toàn.

H.2.4. FMT_MSA.3 Khởi tạo thuộc tính tĩnh

H.2.4.1. Chú thích cho ứng dụng người sử dụng

Thành phần này yêu cầu TSF cung cấp các giá trị mặc định cho các thuộc tính an toàn của đối tượng thích hợp, cái mà có thể được ghi đè lên bởi giá trị khởi tạo. Nó vẫn có thể cho một đối tượng mới để có các thuộc tính an toàn khác khi tạo, nếu có một cơ chế tồn tại để xác định các quyền khi tạo.

H.2.4.2. Các hoạt động

H.2.4.2.1. Chỉ định

Trong FMT_MSA.3.1, tác giả PP/ST nên liệt kê điều khiển truy cập SFP hoặc điều khiển luồng thông tin SFP cho cái mà các thuộc tính an toàn áp dụng.

H.2.4.2.2. Phép chọn

Trong FMT_MSA.3.2, tác giả PP/ST nên chọn tài sản ngầm định các thuộc tính kiểm soát truy cập sẽ bị hạn chế, cho phép hay là tài sản khác. Chỉ một trong các tùy chọn này được chọn.

H.2.4.2.3. Chỉ định

Trong FMT_MSA.3.1, nếu tác giả PP/ST chọn tài sản khác, thì tác giả PP/ST cần chỉ rõ các đặc tính của các giá trị mặc định.

Trong FMT_MSA.3.2, tác giả PP/ST nên chỉ rõ những vai trò được phép sửa đổi các giá trị của các thuộc tính an toàn. Các vai trò có thể được chỉ rõ trong các vai trò An toàn FMT_SMR.1.

H.2.5. FMT_MSA Kế thừa giá trị thuộc tính an toàn

H.2.5.1. Chú thích cho ứng dụng người sử dụng

Thành phần này yêu cầu đặc tính của tập hợp các quy tắc thông qua đó thuộc tính an toàn thừa kế các giá trị và các điều kiện được đáp ứng cho các quy tắc được áp dụng.

H.2.5.2. Các hoạt động

H.2.5.2.1. Chỉ định

Trong FMT_MSA.4.1, tác giả PP/ST chỉ rõ các quy tắc điều hành giá trị mà sẽ được thừa kế bởi thuộc tính an toàn xác định, gồm các điều kiện mà có thể đáp ứng đối với các quy tắc được áp dụng. Ví dụ, nếu một tệp mới hoặc đường dẫn được tạo (trong một hệ thống tệp đa cấp), nhãn hiệu của nó là nhãn hiệu mà tại đó người dùng đăng nhập đúng lúc nó tạo ra.

H.3. Quản lý dữ liệu TSF (FMT_MTD)

H.3.1. Chú thích cho người sử dụng

Thành phần này áp đặt các yêu cầu lên việc quản lý dữ liệu TSF. Ví dụ dữ liệu TSF là lần hiện thời và vết kiểm toán. Vì vậy, ví dụ, họ này cho phép việc xác định người nào có thể đọc, xóa, hoặc tạo vết kiểm toán.

H.3.2. FMT_MTD.1 Quản lý dữ liệu TSF

H.3.2.1. Chú thích cho ứng dụng người sử dụng

Thành phần này cho phép người dùng với một vai trò nào đó để quản lý các giá trị dữ liệu TSF. Người dùng được gán tới một vai trò bên trong thành phần các vai trò an toàn FMT_SMR.1.

Giá trị mặc định của một tham số là các giá trị tham số tạo ra khi mà nó không được gán các giá trị xác định. Một giá trị khởi tạo được cung cấp trong suốt quá trình khởi tạo của tham số và ghi chèn lên giá trị mặc định.

H.3.2.2. Các hoạt động

H.3.2.2.1. Phép chọn

Trong FMT_MTD.1.1, tác giả PP/ST nên xác định các thao tác mà có thể được áp dụng tới dữ liệu TSF định danh. Tác giả PP/ST có thể xác định vai trò có thể thay đổi giá trị mặc định (thay_đổi_mặc_định), xóa, hỏi hay thay đổi dữ liệu TSF, hoặc xóa hoàn toàn dữ liệu TSF. Nếu được yêu cầu tác giả PP/ST có thể xác định bất kỳ kiểu thao tác nào. Để lọc "dữ liệu TSF sạch" có nghĩa là nội dung của dữ liệu TSF sẽ bị xóa hẳn, nhưng thực thể mà lưu trữ dữ liệu TSF thì vẫn còn trong TOE.

H.3.2.2.2. Chỉ định

Trong FMT_MTD.1.1, tác giả PP/ST nên xác định dữ liệu TSF có thể được thao tác dựa trên các vai trò định danh. Dễ dàng cho tác giả PP/ST xác định giá trị mặc định có thể được quản lý.

Trong FMT_MTD.1.1, tác giả PP/ST nên xác định các vai trò được phép tạo trên dữ liệu TSF. Các vai trò có thể được xác định trong các vai trò an toàn FMT_SMR.1.

Trong FMT_MTD.1.1, nếu được chọn, tác giả PP/ST nên xác định vai trò có thể thực thi trên các thao tác khác nào. Ví dụ có thể là "tạo".

H.3.3. FMT_MTD.2 Quản lý hạn chế trên dữ liệu TSF

H.3.3.1. Chú thích cho ứng dụng người sử dụng

Thành phần này xác định sự hạn chế trên dữ liệu TSF, và các hành động có thể được tạo ra nếu sự hạn chế này là bị vượt quá. Thành phần này, ví dụ, sẽ cho phép sự hạn chế kích cỡ vết kiểm toán được định nghĩa, và xác định các hành động được tạo ra khi sự hạn chế này là bị vượt quá.

H.3.3.2. Các hoạt động

H.3.3.2.1. Chỉ định

Trong FMT_MTD.2.1, tác giả PP/ST nên xác định dữ liệu TSF có thể có sự hạn chế, và giá trị của sự hạn chế đó. Ví dụ như dữ liệu TSF là số người dùng đăng nhập.

Trong FMT_MTD.2.1, tác giả PP/ST nên xác định các vai trò mà được phép thay đổi sự hạn chế trên dữ liệu TSF và các hành động được thực hiện. Các vai trò có thể là được xác định trong các vai trò an toàn FMT_SMR.1.

Trong FMT_MTD.2.2, tác giả PP/ST nên xác định các hành động được thực hiện nếu hạn chế được xác định trên dữ liệu TSF xác định là bị vượt quá. Ví dụ như hành động TSF khai báo người dùng có thẩm quyền và phát sinh bản ghi kiểm toán.

H.3.4. FMT_MTD.3 Dữ liệu TSF an toàn

H.3.4.1. Chú thích cho ứng dụng người sử dụng

Thành phần này bao gồm các yêu cầu các giá trị mà có thể được gán tới dữ liệu TSF. Các giá trị được gán nên như là TOE vẫn còn trong trạng thái an toàn.

Định nghĩa "đảm bảo an toàn" có nghĩa là gì không được trả lời trong thành phần này nhưng có trong sự phát triển của TOE và thông tin kết quả trong hướng dẫn.

H.3.4.2. Các hoạt động

H.3.4.2.1. Chỉ định

Trong FMT_MTD.3.1 tác giả PP/ST cần chỉ rõ dữ liệu TSF nào yêu cầu chỉ các giá trị đảm bảo an toàn được chấp nhận.

H.4. Hủy bỏ (FMT_REV)

H.4.1. Chú thích cho người sử dụng

Họ này gửi sự thu hồi các thuộc tính an toàn cho một vài thực thể bên trong TOE.

H.4.2. FMT_REV.1 Hủy bỏ

H.4.2.1. Chú thích cho ứng dụng người sử dụng

Thành phần này xác định các yêu cầu trong việc thu hồi các quyền. Nó yêu cầu việc xác định các vai trò thu hồi. Ví dụ:

Sự thu hồi sẽ chiếm không gian trên lần đăng nhập sau của người dùng;

Sự thu hồi sẽ chiếm không gian trên việc thử mở tài liệu đó trong lần sau;

Sự thu hồi sẽ chiếm không gian trong một lần cố định. Cái này có nghĩa rằng tất cả kết nối mở là được đánh giá lại trong mỗi phút.

H.4.2.2. Các thao tác

H.4.2.2.1. Phép chọn

Trong FMT_REV.1.1, tác giả PP/ST nên chỉ rõ các thuộc tính an toàn nào sắp bị thu hồi khi có thay đổi với các đối tượng, chủ thể, người dùng, các tài nguyên khác liên kết.

H.4.2.2.2. Phép chọn

Trong FMT_REV.1.1, tác giả PP/ST nên chỉ rõ khả năng thu hồi các thuộc tính an toàn từ người dùng, các chủ thể, đối tượng, hoặc bất cứ tài nguyên bổ sung nào do TSF cung cấp hay không.

H.4.2.2.3. Chỉ định

Trong FMT_REV.1.1, tác giả PP/ST nên xác định các vai trò mà được phép thay đổi các chức năng trong TSF. Các vai trò có thể được xác định trong các vai trò an toàn FMT_SMR.1.

Trong FMT_REV.1.1, nếu thêm nguồn tài nguyên được lựa chọn, tác giả PP/ST nên xác định hay không khả năng thu hồi các thuộc tính an toàn của chúng sẽ được cung cấp bởi TSF.

Trong FMT_REV.1.2, tác giả PP/ST nên xác định các vai trò thu hồi. Ví dụ các vai trò này có thể bao gồm: "ưu tiên thao tác tiếp theo trên nguồn tài nguyên liên quan" hoặc "cho tất cả việc tạo đối tượng mới".

H.5. Hết hạn thuộc tính an toàn (FMT_SAE)

H.5.1. Chú thích cho ứng dụng người sử dụng

Họ này gửi các chức năng để bắt buộc sự hạn chế thời gian cho tính hợp lệ của các thuộc tính an toàn. Họ này có thể được áp dụng để xác định các yêu cầu tới hạn cho các thuộc tính điều khiển truy cập, các thuộc tính định danh và xác thực, chứng chỉ (chứng chỉ khóa như ANSI X509 là một ví dụ), các thuộc tính kiểm toán,…

H.5.2. FMT_SAE.1 Cấp phép hạn chế thời gian

H.5.2.1. Các hoạt động

H.5.2.1.1. Chỉ định

Trong FMT_SAE.1.1, tác giả PP/ST nên cung cấp danh sách các thuộc tính an toàn cho sự tới hạn nào được trợ giúp. Ví dụ như một thuộc tính phải là khoảng an toàn của người dùng.

Trong FMT_SAE.1.1, tác giả PP/ST nên xác định các vai trò mà được phép để thay đổi các thuộc tính an toàn trong TSF. Các vai trò có thể được xác định trong các vai trò an toàn FMT_SMR.1.

Trong FMT_SAE.1.2, tác giả PP/ST nên cung cấp một danh sách các hành động để thực hiện cho mỗi thuộc tính an toàn khi nó hết hạn. Một ví dụ có thể là khoảng trống an toàn của người dùng, khi nó hết hạn, được thiết lập khoảng trống cho phép thấp nhất trên TOE. Nếu việc thu hồi ngay lập tức được yêu cầu bởi PP/ST, hành động "việc thu hồi ngay lập tức" nên được xác định.

H.6. Đặc tả các chức năng quản lý (FMT_SMF)

H.6.1. Chú thích cho người sử dụng

Họ này cho phép sự xác định các chức năng quản lý được cung cấp bởi TOE. Mỗi chức năng quản lý an toàn không những là được liệt kê trong việc thi hành chỉ định mà còn là quản lý thuộc tính an toàn, quản lý dữ liệu TSF, hoặc quản lý chức năng an toàn.

H.6.2. FMT_SMF.1 Định rõ các chức năng quản lý

H.6.2.1. Chú thích cho ứng dụng người sử dụng

Thành phần này xác định các chức năng quản lý để được cung cấp.

Tác giả PP/ST nên đưa ra kết quả mệnh đề miêu tả "quản lý" cho các thành phần bao gồm trong PP/ST của chúng để cung cấp cơ bản cho các chức năng quản lý được liệt kê qua thành phần này.

H.6.2.2. Các hoạt động

H.6.2.2.1. Chỉ định

Trong FMT_SMF.1.1, tác giả PP/ST nên xác định các chức năng quản lý được cung cấp bởi TSF, hoặc quản lý thuộc tính an toàn, quản lý dữ liệu an toàn TSF, hoặc quản lý chức năng an toàn.

H.7. Các quy tắc quản lý an toàn (FMT_SMR)

H.7.1. Chú thích cho người sử dụng

Họ này giảm khả năng kết quả làm hỏng từ người sử dụng quyền của họ bằng cách thực thi các hành động bên ngoài sự phản hồi chức năng được gán cho họ. Nó cũng gửi đi luồng mà cơ chế không tương xứng được cung cấp để quản trị an toàn tới TSF.

Họ này yêu cầu thông tin được duy trì định danh người dùng nào có thẩm quyền để sử dụng một chức năng quản trị liên quan đến an toàn.

Một vài hành động quản lý có thể được thực thi bởi người dùng, còn lại thực hiện bởi người được Chỉ định với tổ chức. Họ này cho phép định nghĩa các vai trò khác nhau, như là quyền sở hữu, quyền biên soạn, quyền quản trị, quản lý hàng ngày.

Các vai trò này được sử dụng trong họ này là các vai trò liên quan đến an toàn. Mỗi vai trò có thể bao gồm một tập mở rộng các khả năng (vd như thư mục gốc trong UNIX), hoặc có thể là một quyền đơn lẻ (ví dụ quyền đọc một đối tượng đơn như là tài liệu tra cứu).

Họ này định nghĩa các vai trò. Các khả năng của vai trò được định nghĩa trong quản lý các chức năng trong TSF (EMT_MOF), quản lý các thuộc tính an toàn (FMT_MSA) và quản lý dữ liệu TSF (FMT_MTD).

Một vài kiểu vai trò có thể là loại trừ lẫn nhau. Ví dụ quản lý hàng ngày có thể là được định nghĩa và người dùng thao tác, nhưng không thể xóa người dùng (Cái nào là vai trò đảo ngược tới người quản trị). Lớp này sẽ cho phép các chính sách như là điều khiển 2 người được xác định.

H.7.2. FMT_SMR.1 Các quy tắc an toàn

H.7.2.1. Chú thích cho ứng dụng người sử dụng

Thành phần này xác định các vai trò khác mà TSF nên công nhận. Thông thường hệ thống lọc ra sự khác nhau giữa người quản lý thực thể, người quản trị và người dùng khác.

H.7.2.2. Các hoạt động

H.7.2.2.1. Chỉ định

Trong FMT_SMR.1.1, tác giả PP/ST nên xác định các vai trò mà được thừa nhận bởi hệ thống. Có các vai trò mà người dùng làm xuất hiện để đánh giá về an toàn. Ví dụ: quyền sở hữu, quyền soạn thảo và quyền quản trị.

H.7.3. FMT_SMR.2 Hạn chế về các vai trò an toàn

H.7.3.1. Chú thích ứng dụng cho người sử dụng

Thành phần này xác định các vai trò khác mà TSF nên thừa nhận, và các điều kiện trên các vai trò đó được quản lý như thế nào. Thông thường hệ thống lọc ra được sự khác nhau giữa người sở hữu thực thể, nhà quản trị và người dùng khác.

Các điều kiện trên các vai trò đó xác định mối liên hệ giữa các vai trò khác như là sự hạn chế trên khi vai trò có thể được thừa nhận bởi người dùng.

H.7.3.2. Các hoạt động

H.7.3.2.1. Chỉ định

Trong FMT_SMR.2.1, tác giả PP/ST nên xác định các vai trò mà được thừa nhận bởi hệ thống. Có các vai trò mà người dùng làm xuất hiện để đánh giá về vấn đề an toàn. Ví dụ: người sở hữu, nhà soạn thảo, nhà quản trị.

Trong FMT_SMR.2.3, tác giả PP/ST nên xác định các điều kiện mà ảnh hưởng chỉ định các vai trò. Ví dụ các điều kiện này là: "một tài khoản không thể có cả 2 vai trò soạn thảo và quản trị" hoặc "một người dùng liên quan tới vai trò sở hữu".

H.7.4. FMT_SMR.3 Chỉ định các vai trò

H.7.4.1. Chú thích cho ứng dụng người sử dụng

Thành phần này xác định một yêu cầu rõ ràng phải được đưa ra để thừa nhận vai trò xác định.

H.7.4.2. Các hoạt động

H.7.4.2.1. Chỉ định

Trong FMT_SMR.3.1, tác giả PP/ST nên xác định các vai trò mà yêu cầu rõ ràng là được công nhận.

Ví dụ: Soạn thảo và quản trị.

 

PHỤ LỤC I

(Quy định)

LỚP FPR: RIÊNG TƯ

Lớp này mô tả các yêu cầu có thể thu thập nhằm thỏa mãn các nhu cầu riêng tư của người dùng, trong khi đó vẫn cho phép hệ thống mềm dẻo như có thể được để duy trì việc kiểm soát thỏa đáng hoạt động của hệ thống.

Trong các thành phần của lớp này có sự linh hoạt về việc người dùng có thẩm quyền hay không được thể hiện bởi các chức năng an toàn cần thiết. Ví dụ, một tác giả PP/ST có thể xem xét phù hợp về việc có cần bảo vệ tính riêng tư của các người dùng đối với một người dùng có thẩm quyền phù hợp.

Lớp này cùng với các lớp khác (ví dụ các lớp liên quan đến kiểm toán, kiểm soát truy nhập, tuyến tin cậy, hoặc không chối bỏ) cung cấp độ mềm dẻo trong xác định hành vi riêng tư. Mặt khác, các yêu cầu trong lớp này có thể ẩn chứa các giới hạn về việc sử dụng các thành phần của các lớp khác, ví dụ như FIA: Nhận dạng và Xác thực hoặc FAU: Kiểm toán an toàn. Lấy ví dụ, nếu người dùng có thẩm quyền không được phép xem danh tính người dùng (ví dụ Nặc danh hoặc Biệt hiệu), rõ ràng là không thể duy trì các người dùng cá nhân có trách nhiệm cho mọi hành động liên quan đến an toàn mà họ thực hiện thể hiện các nhu cầu riêng tư. Tuy nhiên, vẫn có thể đặt các yêu cầu kiểm toán trong một PP/ST, trong đó một sự kiện liên quan đến an toàn cụ thể xảy ra quan trọng hơn là biết xem ai là người chịu trách nhiệm đối với nó.

Thông tin bổ sung được cung cấp trong lưu ý ứng dụng cho lớp FAU: Kiểm toán an toàn, trong đó giải thích về định nghĩa của "Danh tính" trong ngữ cảnh kiểm toán có thể cũng là một bí danh hoặc các thông tin các có thể định danh một người dùng.

Lớp này mô tả 4 họ: Nặc danh, Biệt hiệu, Tính không thể kết nối và Tính không thể quan sát. Nặc danh, Biệt hiệu, Tính không thể kết nối có quan hệ liên kết phức tạp. Khi chọn một họ, sự chọn lựa nên tùy thuộc vào các mối đe dọa xác định. Đối với m