Tiêu chuẩn TCVN 8709-2:2011 Thành phần chức năng an toàn đánh giá an toàn CNTT

TIÊU CHUẨN QUỐC GIA

TCVN 8709-2:2011

ISO/IEC 15408-2:2008

CÔNG NGHỆ THÔNG TIN - CÁC KỸ THUẬT AN TOÀN - CÁC TIÊU CHÍ ĐÁNH GIÁ AN TOÀN CNTT - PHẦN 2: CÁC THÀNH PHẦN CHỨC NĂNG AN TOÀN

Information Technology - Security Techniques - Evaluation Criteria for IT Securtiy - Part 2: Security functional components

Lời nói đầu

TCVN 7809-2:2011 hoàn toàn tương đương ISO/IEC 15408-2:2008

TCVN 7809-2:2011 do Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam biên soạn, Bộ Thông tin và Truyền thông đề nghị, Tổng cục Tiêu chuẩn Đo lường Chất lượng thẩm định, Bộ Khoa học và Công nghệ công bố.

Lời giới thiệu

Các thành phần chức năng an toàn định nghĩa trong tiêu chuẩn này (TCVN 7809-2) là cơ sở cho các yêu cầu chức năng an toàn biểu thị trong một Hồ sơ bảo vệ (PP) hoặc một Đích An toàn (ST). Các yêu cầu này mô tả các hành vi an toàn mong muốn dự kiến đối với một Đích đánh giá (TOE) và nhằm đáp ứng các mục tiêu an toàn đã tuyên bố trong một PP hoặc một ST. Các yêu cầu này mô tả các đặc tính an toàn mà người dùng có thể phát hiện ra thông qua tương tác trực tiếp (nghĩa là qua đầu vào, đầu ra) với công nghệ thông tin (CNTT) hoặc qua phản ứng của CNTT với các tương tác.

Các thành phần chức năng an toàn biểu thị các yêu cầu an toàn nhằm mục đích chống lại các mối đe dọa trong môi trường hoạt động chỉ định của TOE với các chính sách an toàn của tổ chức xác định và các giả thiết.

Đối tượng của phần 2 tiêu chuẩn TCVN 7809 bao gồm người tiêu thụ, nhà phát triển và các đánh giá viên cho các sản phẩm CNTT an toàn. Điều 5 của TCVN 7809-1 cung cấp thông tin bổ sung về các đối tượng mục tiêu của TCVN 7809, và về các nhóm đối tượng sử dụng TCVN 7809. Các nhóm đối tượng có thể sử dụng TCVN 7809-2 gồm:

a) Người tiêu thụ là người sử dụng TCVN 7809-2 khi chọn lựa các thành phần để biểu thị các yêu cầu chức năng nhằm thỏa mãn các mục tiêu an toàn đã thể hiện trong một PP hoặc ST. TCVN 7809-1 cung cấp thông tin chi tiết hơn về mối quan hệ giữa các mục tiêu an toàn và các yêu cầu an toàn.

b) Nhà phát triển là người phản ánh thực tế hoặc nhận thức các yêu cầu an toàn của người tiêu thụ trong việc kiến thiết ra TOE. Họ cũng có thể sử dụng nội dung trong TCVN 7809-2 làm cơ sở để xác định rõ hơn các chức năng an toàn của TOE và các cơ chế tuân thủ các yêu cầu đó.

c) Đánh giá viên là người sử dụng các yêu cầu chức năng nêu trong TCVN 7809-2 để thẩm tra các yêu cầu chức năng TOE đã thể hiện trong PP hoặc ST có thỏa mãn các mục tiêu an toàn CNTT không; và thẩm tra mọi mối liên thuộc đã được xem xét đến và được thỏa mãn. Các đánh giá viên cũng cần sử dụng TCVN 7809-2 để giúp xác định xem một TOE đã cho có thỏa mãn các yêu cầu đã được công bố hay không.

CÔNG NGHỆ THÔNG TIN - CÁC KỸ THUẬT AN TOÀN - CÁC TIÊU CHÍ ĐÁNH GIÁ AN TOÀN CNTT - PHẦN 2: CÁC THÀNH PHẦN CHỨC NĂNG AN TOÀN

Information Technology - Security Techniques - Evaluation Criteria for IT Securtiy - Part 2: Security functional components

1. Phạm vi áp dụng

Tiêu chuẩn này sẽ định nghĩa cấu trúc và nội dung cần thiết của các thành phần chức năng an toàn cho mục đích đánh giá an toàn. Tiêu chuẩn bao gồm danh mục các thành phần chức năng đáp ứng các yêu cầu chức năng an toàn chung cho nhiều sản phẩm CNTT.

2. Tài liệu viện dẫn

Các tài liệu sau đây không thể thiếu được đối với việc áp dụng tài liệu này:

TCVN 7809-1, Công nghệ thông tin - Các kỹ thuật an toàn - Các tiêu chí đánh giá an toàn CNTT - Phần 1: Giới thiệu và mô hình tổng quát

3. Thuật ngữ, định nghĩa, ký hiệu và các từ viết tắt

Các thuật ngữ, định nghĩa, Ký hiệu và các từ viết tắt được sử dụng như trong TCVN 7809-1

4. Tổng quan

TCVN 7809 và các yêu cầu chức năng an toàn liên quan được mô tả ở đây không phải là câu trả lời rõ ràng về mọi vấn đề an toàn CNTT. Đúng hơn, TCVN 7809 cung cấp một tập các yêu cầu chức năng an toàn dễ hiểu, có thể được sử dụng để tạo ra các hệ thống và sản phẩm tin cậy phản ánh sự cần thiết của thị trường. Các yêu cầu chức năng an toàn này biểu diễn trình độ hiện tại về đánh giá và đặc tả các yêu cầu này.

Phần này của TCVN 7809 không phải bao gồm tất cả các yêu cầu chức năng an toàn thông tin có thể có mà nó chỉ gồm các phần được biết đến và được chấp nhận bởi các tác giả biên soạn tiêu chuẩn tại thời điểm phát hành.

Bởi vì hiểu biết và nhu cầu của người tiêu dùng có thể thay đổi, các yêu cầu chức năng trong phần này của TCVN 7809 cần phải được cập nhật thường xuyên. Điều này có thể hiểu là một số tác giả PP/ST có thể thấy các thành phần yêu cầu chức năng trong phần này của TCVN 7809 (hiện tại) không bao hàm hết nhu cầu về an toàn. Trong trường hợp này, tác giả PP/ST có thể xem xét lựa chọn các yêu cầu chức năng không có trong TCVN 7809 (được xem như phần mở rộng), như được giải thích trong Phụ lục A và B của TCVN 7809-1.

4.1. Bố cục của tiêu chuẩn

Điều 5 mô tả mô hình sử dụng trong các yêu cầu chức năng an toàn trong phần này của TCVN 7809.

Điều 6 giới thiệu danh mục các thành phần chức năng trong phần này của TCVN 7809, còn điều 7 đến điều 17 mô tả các lớp chức năng.

Phụ lục A cung cấp thông tin giải thích cho người dùng tiềm năng của các thành phần chức năng bao gồm bảng tham chiếu chéo tổng hợp về sự phụ thuộc của các thành phần chức năng.

Phụ lục B đến Phụ lục M cung cấp thông tin giải thích về các lớp chức năng. Tài liệu này được xem như là các hướng dẫn bắt buộc về việc áp dụng các hoạt động phù hợp và lựa chọn quy trình kiểm toán hoặc thông tin tài liệu phù hợp. Việc sử dụng các trợ động từ nên hiểu là các chỉ dẫn được ưa chuộng nhất, các chỉ dẫn khác có thể được điều chỉnh phù hợp. Nếu có các tùy chọn khác, việc lựa chọn được dành cho tác giả PP/ST.

Tác giả của PP hoặc ST nên tham khảo điều 2 của TCVN 7809-1 để có các cấu trúc, quy tắc và hướng dẫn liên quan.

a) TCVN 7809-1, điều 3 định nghĩa các thuật ngữ sử dụng trong TCVN 7809.

b) TCVN 7809-1, Phụ lục A định nghĩa cấu trúc của ST.

c) TCVN 7809-1, Phụ lục B định nghĩa cấu trúc của PP.

5. Mô hình các yêu cầu chức năng

Điều này mô tả mô hình sử dụng trong các yêu cầu chức năng an toàn trong TCVN 7809-2. Các khái niệm chủ yếu được in đậm hoặc in nghiêng. Phần này sẽ không thay thế hoặc hủy bỏ các thuật ngữ có trong điều 3 của TCVN 7809-1.

Phần này của TCVN 7809 là danh mục các yêu cầu chức năng an toàn có thể được chỉ rõ cho một Đích đánh giá (TOE). Một TOE là một tập gồm phần mềm/phần sụn và/hoặc phần cứng có thể kèm theo tài liệu hướng dẫn người dùng và quản trị viên. Một TOE có thể chứa các tài nguyên như các phương tiện lưu trữ điện tử (ví dụ đĩa), các thiết bị ngoại vi (ví dụ máy in), và năng lực tính toán (ví dụ thời gian CPU) được sử dụng cho xử lý và lưu trữ thông tin, và là chủ thể cho đánh giá.

Đánh giá TOE chủ yếu liên quan tới việc đảm bảo rằng một tập các yêu cầu chức năng an toàn (SFR) xác định được thực thi trên các tài nguyên TOE. Các SFR định nghĩa các quy tắc mà TOE kiểm soát truy cập tài nguyên của nó cũng như các thông tin và dịch vụ được điều khiển bởi TOE.

Các SFR có thể định nghĩa nhiều Chính sách Chức năng An toàn (SFP) biểu thị các quy tắc mà TOE phải thực thi. Mỗi SFP phải xác định phạm vi kiểm soát của nó, bằng cách định nghĩa các chủ thể, đối tượng, tài nguyên hay thông tin và các hoạt động được kiểm soát với SFP. Tất cả các SFP được thực thi bởi TSF (xem bên dưới); các cơ chế của TSF thực thi các quy tắc định nghĩa trong các SFR và cung cấp các khả năng cần thiết.

Các phần đã nêu trên của TOE cần phải được tin cậy cho thực thi chính xác của các SFR, được tham chiếu đến như Chức năng An toàn của TOE (TSF). TSF bao gồm tất cả các phần cứng, phần mềm, phần sụn của TOE, trực tiếp và gián tiếp liên quan đến việc thực thi an toàn.

TOE có thể là một sản phẩm đơn nhất chứa cả phần cứng, phần sụn và phần mềm.

Mặt khác, TOE có thể là một sản phẩm phân bổ bao gồm nhiều thành phần khác nhau bên trong. Mỗi phần này của TOE cung cấp một dịch vụ riêng cho TOE và được kết nối với phần khác của TOE thông qua Kênh truyền thông nội bộ. Kênh này có thể là một phần nhỏ như bus xử lý hoặc bao bọc trong mạn nội bộ tới TOE.

Khi TOE bao gồm nhiều phần, mỗi phần của TOE có TSF riêng thực hiện trao đổi dữ liệu người dùng và dữ liệu TSF trên các kênh truyền thông nội bộ với các phần khác của TSF. Quá trình tương tác này được gọi là Vận chuyển TOE nội bộ. Trong trường hợp này các phần tách biệt của TSF được tạo thành TSF hỗn hợp để thực thi các SFR.

Các giao diện TOE có thể được đặt tại TOE riêng, hoặc chúng có thể tương tác với các sản phẩm CNTT qua các kênh truyền thông bên ngoài. Các tương tác ra bên ngoài này với các sản phẩm CNTT khác có thể thực hiện dưới hai dạng:

a) Các SFR của "Sản phẩm CNTT được tin cậy" khác và các SFR của TOE đã được kết hợp quản trị và các sản phẩm CNTT tin cậy khác được giả thiết là thực thi các SFR của chúng một cách chính xác (ví dụ được đánh giá riêng biệt). Việc trao đổi thông tin trong tình huống này được gọi là Vận chuyển xuyên TSF, vì chúng là giữa các TSF của các sản phẩm tin cậy khác biệt.

b) Sản phẩm CNTT khác có thể không được tin cậy, nó có thể được gọi là "sản phẩm CNTT không tin cậy". Do đó, các SFR của chúng hoặc là không được biết hoặc việc triển khai nó không được xem là đáng tin cậy. Các trao đổi trung gian qua TSF trong trường hợp này được gọi là vận chuyển bên ngoài TOE, vì không có TSF (hoặc các đặc điểm chính sách không biết trước) trong sản phẩm CNTT khác.

Tập các giao diện, hoặc qua tương tác (giao diện người-máy) hoặc qua chương trình (giao diện lập trình ứng dụng), qua đó các tài nguyên này được truy cập trung gian bởi TSF, hoặc các thông tin thu được từ TSF, được gọi là Giao diện TSF (TSFI). TSFI định nghĩa biên giới của chức năng TOE được cung cấp cho việc thực thi các SFR.

Người dùng ở bên ngoài TOE. Mặc dù vậy, để yêu cầu rằng các dịch vụ được thực hiện bởi TOE là chủ thể cho các quy tắc định nghĩa trong các SFR, thì người dùng sẽ tương tác với TOE thông qua các TSFI. Có hai kiểu người dùng được quan tâm trong TCVN 7809-2: người dùng cụ thể và các thực thể CNTT bên ngoài. Người dùng cụ thể còn có thể được phân thành, người dùng nội bộ, nghĩa là người dùng tương tác trực tiếp với TOE qua các thiết bị TOE (ví dụ, các trạm làm việc) hoặc người dùng từ xa, nghĩa là thực hiện tương tác gián tiếp với TOE qua sản phẩm CNTT khác.

Một giai đoạn tương tác giữa các người dùng và TSF là được xem như là một phiên người dùng. Thiết lập các phiên người dùng có thể được kiểm soát dựa trên các suy xét, ví dụ, xác thực người dùng, thời gian trong ngày, phương pháp truy nhập TOE và số lượng các phiên tương tranh cho phép (trên một người dùng hoặc toàn bộ).

Tiêu chuẩn này sử dụng thuật ngữ "có thẩm quyền" để biểu thị người dùng có quyền và/hoặc đặc quyền cần thiết để thực hiện một hoạt động. Thuật ngữ người dùng có thẩm quyền, chỉ ra rằng có thể cho phép người dùng thực hiện một hoạt động cụ thể hoặc một số hoạt động được định nghĩa bởi các SFR.

Để biểu diễn các yêu cầu có đòi hỏi việc phân chia trách nhiệm của người quản trị, các thành phần chức năng an toàn liên quan (trong họ FMT_SMR) tuyên bố rõ ràng về các vai trò của người quản trị là cần thiết. Vai trò là một tập được định nghĩa trước của các quy tắc thiết lập các tương tác được phép giữa một người dùng hoạt động trong vai trò này và TOE. Một TOE có thể hỗ trợ định nghĩa bất kỳ số lượng phân vai nào. Ví dụ, các vai trò liên quan đến hoạt động an toàn của một TOE có thể bao gồm "Quản trị viên kiểm toán" và "Quản trị viên tài khoản người dùng".

TOE chứa các tài nguyên có thể được sử dụng cho xử lý và lưu trữ thông tin. Mục tiêu đầu tiên của TSF là hoàn tất và chỉnh sửa các thực thi của các SFR trên các tài nguyên và thông tin mà TOE kiểm soát.

Các tài nguyên TOE có thể được cấu trúc và thực hiện theo nhiều cách khác nhau. Mặc dù vậy, phần này của TCVN 7809 thực hiện các phân chia đặc biệt mà cho phép chỉ ra các thuộc tính an toàn mong muốn. Tất cả các thực thể có thể được tạo từ các tài nguyên mà có thể được biểu diễn theo một hoặc hai cách. Các thực thể có thể là chủ động, nghĩa là chúng là nguyên nhân của các hành động xuất hiện bên trong TOE và là nguyên nhân của các hoạt động được thực hiện với thông tin. Mặt khác, các thực thể có thể là bị động, nghĩa là chúng hoặc được đặt trong các thông tin nguyên bản hoặc các thông tin được lưu trữ trong đó.

Các thực thể chủ động trong TOE thực hiện các hoạt động trên các đối tượng được xem như là các chủ thể. Một vài kiểu chủ thể có thể tồn tại bên trong một TOE:

a) Các chủ thể hành động thay mặt cho một người dùng có thẩm quyền (ví dụ các tiến trình UNIX)

b) Các chủ thể hành động như các tiến trình chức năng cụ thể, và như vậy hoạt động thay mặt cho nhiều người dùng (ví dụ các chức năng có thể thấy trong các kiến trúc client/server); hoặc

c) Các chủ thể hành động như là một phần của chính TOE (ví dụ các tiến trình không hành động thay mặt cho một người dùng).

Phần này của TCVN 7809 đề cập đến việc thực thi các SFR với các kiểu chủ thể được liệt kê ở trên.

Các thực thể bị động trong TOE chứa hoặc nhận thông tin và dựa vào đó các chủ thể thực hiện các hoạt động, được gọi là các đối tượng. Trong trường hợp chủ thể (thực thể chủ động) là đích của một hoạt động (ví dụ truyền thông liên tiến trình), một chủ thể có thể bị tác động như một đối tượng.

Các đối tượng có thể chứa thông tin. Khái niệm này cần thiết để xác định các chính sách kiểm soát luồng thông tin như được đề cập đến trong lớp FDP.

Các người dùng, chủ thể, thông tin, đối tượng, phiên và tài nguyên được kiểm soát bởi các quy tắc trong các SFR có thể có các thuộc tính trong đó chứa thông tin dùng cho TOE để thực hiện hoạt động chính xác của nó. Một vài thuộc tính, như tên tệp, có thể dùng cho cung cấp thông tin hoặc có thể dùng để định danh các tài nguyên riêng, trong khi đó, các thuộc tính khác, ví dụ như thông tin kiểm soát truy nhập, có thể tồn tại đặc biệt cho thực thi các SFR. Các thuộc tính vừa kể đến sau cùng này được gọi chung là "các thuộc tính an toàn". Từ thuộc tính sẽ được sử dụng ngắn gọn thay cho "thuộc tính an toàn" ở một số chỗ trong phần này của TCVN 7809. Tuy nhiên, không quan trọng là mục đích của thông tin thuộc tính là gì, vì đều cần thiết kiểm soát các thuộc tính được chỉ ra bởi các SFR.

Dữ liệu trong TOE được phân nhóm thành dữ liệu người dùng và dữ liệu TSF. Hình 1 cho thấy mối quan hệ này. Dữ liệu người dùng là thông tin lưu trữ trong các tài nguyên của TOE, được vận hành bởi người dùng tuân theo các SFR và trên đó TSF không đề ra ý nghĩa đặc biệt nào. Ví dụ, nội dung của một thông điệp thư điện tử là dữ liệu người dùng. Dữ liệu TSF là thông tin được sử dụng bởi TSF trong việc tạo ra các quyết định theo yêu cầu bởi các SFR. Dữ liệu TSF có thể bị ảnh hưởng bởi người dùng nếu được cho phép bởi các SFR. Các thuộc tính an toàn, dữ liệu xác thực, các biến trạng thái bên trong TSF được dùng bởi các quy tắc định nghĩa trong các SFR hoặc được dùng cho việc bảo vệ TSF, và các đầu vào của danh sách kiểm soát truy nhập là các ví dụ về dữ liệu TSF.

Có một số SFPs áp dụng cho bảo vệ dữ liệu, ví dụ như các SFP kiểm soát truy nhập và các SFP kiểm soát luồng thông tin. Các cơ chế thực thi các SFP kiểm soát truy nhập dựa trên chính sách quyết định về các thuộc tính của người dùng, tài nguyên, chủ thể, đối tượng và các phiên dữ liệu trạng thái TSF và các hoạt động của TSF trong phạm vi kiểm soát. Các thuộc tính này thường được sử dụng trong tập các quy tắc để quản lý các hoạt động mà các chủ thể có thể thực hiện trên các đối tượng.

Các cơ chế thực thi các SFP kiểm soát luồng thông tin dựa trên chính sách quyết định về các thuộc tính của chủ thể và thông tin trong phạm vi kiểm soát và tập các quy tắc để quản lý các hoạt động thông tin bởi các chủ thể. Các thuộc tính của thông tin có thể được kết hợp với thuộc tính của côn-ten-nơ hoặc có thể rút ra từ dữ liệu trong côn-ten-nơ, sẽ được giữ lại với thông tin vì chúng được xử lý bởi TSF.

Hình 1 - Quan hệ giữa dữ liệu người dùng và dữ liệu TSF

Hai kiểu dữ liệu TSF đặc trưng có thể được đề cập đến trong phần này của TCVN 7809, song không nhất thiết giống nhau. Chúng là dữ liệu xác thực và các bí mật.

Dữ liệu xác thực được sử dụng để thẩm tra danh tính đòi hỏi của một người dùng đang yêu cầu các dịch vụ từ một TOE. Dạng phổ biến của dữ liệu xác thực là mật khẩu, phụ thuộc vào việc giữ bí mật để tạo thành một cơ chế an toàn hiệu quả. Mặc dù vậy, không phải tất cả các dạng của dữ liệu xác thực cần phải giữ bí mật. Thiết bị xác thực sinh học (ví dụ đọc vân tay hoặc quét võng mạc) không dựa vào việc giữ bí mật dữ liệu, mà dựa vào việc dữ liệu chỉ do một người dùng sở hữu và không thể bị giả mạo.

Thuật ngữ bí mật như được dùng trong phần này của TCVN 7809 vào việc áp dụng cho dữ liệu xác thực, song cũng dùng được cho các kiểu dữ liệu khác với yêu cầu phải giữ bí mật để thực thi một SFP cụ thể. Ví dụ, một cơ chế kênh tin cậy dựa vào mã hóa để bảo vệ tính bí mật của thông tin truyền trên kênh chỉ có thể mạnh như phương pháp sử dụng để giữ bí mật các khóa mã chống các khai thác không được phép.

Do đó, một số song không phải tất cả dữ liệu xác thực cần được giữ bí mật, và một số song không phải tất cả các bí mật được dùng như dữ liệu xác thực. Hình 2 chỉ ra mối quan hệ giữa bí mật và dữ liệu xác thực. Trong hình này, các kiểu thường gặp của dữ liệu xác thực và các điều khoản bí mật được chỉ ra.

Hình 2 - Mối quan hệ giữa "dữ liệu xác thực" và "các bí mật"

6. Các thành phần chức năng an toàn

6.1. Tổng quan

Điều này định nghĩa nội dung và trình bày của các yêu cầu chức năng của ISO 15408 và cung cấp các hướng dẫn về tổ chức của các yêu cầu cho các thành phần mới được đặt trong ST. Các yêu cầu chức năng được biểu diễn theo các lớp, họ và thành phần.

6.1.1. Cấu trúc lớp

Hình 3 biểu diễn các cấu trúc lớp chức năng dưới dạng biểu đồ. Mỗi lớp chức năng bao gồm tên lớp, giới thiệu về lớp và một hoặc nhiều họ chức năng.

Hình 3 - Cấu trúc lớp chức năng

6.1.1.1. Tên lớp

Mục tiêu lớp cung cấp thông tin cần thiết để chỉ ra và phân nhóm một lớp chức năng. Mỗi lớp chức năng có một tên duy nhất. Thông tin phân nhóm bao gồm một tên viết tắt ba ký tự. Tên viết tắt của lớp thường sử dụng để xác định tên viết tắt của các họ của lớp đó.

6.1.1.2. Giới thiệu lớp

Giới thiệu lớp biểu diễn ý định chung hoặc cách tiếp cận của các họ của chúng để thỏa mãn các mục tiêu an toàn. Định nghĩa các lớp chức năng không phản ánh bất kỳ một sự phân loại chính thức nào về đặc tả của các yêu cầu.

Giới thiệu lớp cung cấp một bức tranh mô tả các họ trong lớp này và phân cấp của các thành phần trong mỗi họ, như được trình bày trong 6.2.

6.1.2. Cấu trúc họ

Hình 4 mô tả các cấu trúc họ chức năng dưới dạng biểu đồ.

Hình 4 - Cấu trúc họ chức năng

6.1.2.1. Tên của họ

Mục tên của họ quy định sự phân loại và thông tin mô tả cần thiết để chỉ ra và phân nhóm một họ chức năng. Mỗi họ chức năng có một tên duy nhất. Thông tin phân nhóm gồm một tên viết tắt 7 ký tự với 3 ký tự đầu tiên là tên viết tắt của lớp, tiếp theo là dấu gạch chân và tên viết tắt của họ dưới dạng XXX_YYY. Dạng viết tắt duy nhất của tên họ cung cấp tên tham chiếu cho các thành phần.

6.1.2.2. Hành xử của họ

Cách hành xử của họ là mô tả chi tiết các họ chức năng phản ánh mục tiêu an toàn của nó và mô tả chung về các yêu cầu chức năng. Chúng được mô tả chi tiết hơn dưới đây.

a) Các mục tiêu an toàn của họ đề cập đến một vấn đề an toàn có thể được giải quyết với sự trợ giúp của TOE kết hợp với một thành phần của họ này

b) Mô tả của các yêu cầu chức năng tóm tắt tất cả các yêu cầu được chứa trong các thành phần. Việc mô tả được thực hiện bởi các tác giả của PP, ST và các gói chức năng; đó là những người sẽ thực hiện đánh giá xem họ này có phù hợp với các yêu cầu cụ thể đặt ra hay không.

6.1.2.3. Phân mức các thành phần

Các họ chức năng chứa một hoặc nhiều thành phần, mà bất kỳ thành phần nào cũng có thể được lựa chọn để đưa vào các PP, ST và các gói chức năng. Đích của điều khoản này là cung cấp thông tin cho người dùng để lựa chọn ra một thành phần chức năng phù hợp sau khi đã được xác định được họ là phần cần thiết và hữu ích của các yêu cầu an toàn.

Mục mô tả họ chức năng này sẽ mô tả các thành phần sẵn sàng và sở cứ hợp lý của chúng. Chi tiết chính xác về mỗi thành phần được đặt bên trong mỗi thành phần.

Mối quan hệ giữa các thành phần bên trong một họ chức năng có thể được hoặc không được phân cấp. Một thành phần được phân cấp với thành phần khác nếu nó cung cấp mức độ an toàn cao hơn.

Như được giải thích trong 6.2, việc mô tả các họ cung cấp một bức tranh chung dạng đồ thị về sự phân cấp của các thành phần trong một họ.

6.1.2.4. Quản lý

Điều khoản quản lý chứa thông tin cho các tác giả PP/ST để xem xét các hoạt động quản lý cho các thành phần được đưa ra. Các điều khoản tham chiếu đến các thành phần của lớp quản lý (FMT) và cung cấp hướng dẫn liên quan đến các hoạt động quản lý tiềm năng có thể áp dụng qua các hoạt động tới các thành phần đó.

Tác giả PP/ST có thể lựa chọn các thành phần quản lý định trước hoặc đưa vào các yêu cầu quản lý khác chưa được liệt kê cho các hoạt động quản lý chi tiết. Vì vậy, thông tin nên xem xét là tham khảo.

6.1.2.5. Kiểm toán

Các yêu cầu kiểm toán chứa các sự kiện kiểm toán cho các tác giả PP/ST lựa chọn, nếu các yêu cầu từ lớp FAU: Kiểm toán an toàn được đưa vào trong PP/ST. Các yêu cầu này bao gồm các sự kiện an toàn phù hợp ở các mức chi tiết khác nhau được hỗ trợ bởi các thành phần của họ Tạo dữ kiện kiểm toán an toàn (FAU_GEN). Ví dụ, một ghi chú kiểm toán có thể bao gồm các hoạt động dưới dạng: Tối thiểu - sử dụng thành công các cơ chế an toàn; Cơ bản - sử dụng bất kỳ cơ chế an toàn cũng như thông tin phù hợp đối với các thuộc tính an toàn liên quan; Chi tiết - bất kỳ sự thay đổi cấu hình nào thực hiện với cơ chế bao gồm các giá trị cấu hình thực tế trước và sau khi thay đổi.

Nên thấy việc phân nhóm các sự kiện có thể kiểm toán là có phân cấp. Ví dụ, khi muốn Tạo kiểm toán cơ bản, nên đưa tất cả các sự kiện có thể kiểm toán, được xác định dưới cả hai dạng cơ bản và tối thiểu, vào trong PP/ST, thông qua sử dụng các hoạt động chỉ định phù hợp, ngoại trừ các sự kiện mức cao hơn cung cấp nhiều chi tiết hơn các sự kiện mức thấp hơn. Khi muốn Tạo kiểm toán chi tiết, nên đưa tất cả các sự kiện có thể kiểm toán (tối thiểu, cơ sở và chi tiết) vào trong PP/ST.

Trong lớp FAU: Kiểm toán an toàn, các quy tắc quản lý kiểm toán sẽ được giải thích chi tiết hơn.

6.1.3. Cấu trúc thành phần

Hình 5 biểu diễn cấu trúc thành phần chức năng.

Hình 5 - Cấu trúc thành phần chức năng

6.1.3.1. Định danh thành phần

Điều khoản định danh thành phần này cung cấp thông tin mô tả cần thiết để định danh, phân nhóm, đăng ký và tham chiếu chéo cho một thành phần. Sau đây là các phần được cung cấp cho mỗi thành phần chức năng.

Tên duy nhất: Tên phản ánh mục đích của các thành phần.

Tên viết tắt: Dạng viết tắt duy nhất của tên thành phần chức năng. Tên viết tắt này sử dụng như là tên tham chiếu chính cho việc phân nhóm, đăng ký và thực hiện tham chiếu chéo của thành phần. Tên viết tắt này biểu thị lớp và họ mà thành phần này trực thuộc và số thành phần bên trong họ.

Danh sách phân cấp: Một danh sách của các thành phần khác mà thành phần này phân cấp và dựa vào đó thành phần này có thể được sử dụng để đáp ứng sự phụ thuộc với các thành phần đã được liệt kê.

6.1.3.2. Các phần tử chức năng

Tập các phần tử được cung cấp cho mỗi thành phần. Mỗi phần tử này được định nghĩa riêng và chứa chính nó.

Một phần tử chức năng là một yêu cầu chức năng an toàn mà nếu phân chia nhỏ hơn thì kết quả đánh giá sẽ không còn ý nghĩa. Nó là yêu cầu chức năng an toàn nhỏ nhất được xác định và chấp nhận trong TCVN 7809.

Khi xây dựng các gói, các PP và ST, không được phép lựa chọn chỉ một hoặc nhiều phần tử từ một thành phần. Tập đầy đủ các phần tử của một thành phần phải được lựa chọn từ một PP, ST hoặc gói.

Một dạng viết tắt duy nhất của tên phần tử chức năng được cung cấp. Ví dụ tên yêu cầu FDP_IFF.4.2 đọc như sau: F - yêu cầu chức năng; DP - lớp "Bảo vệ dữ liệu người dùng"; IFF - Họ "Các chức năng kiểm soát luồng thông tin"; 4 - tên của thành phần thứ tư "Loại trừ từng phần các luồng thông tin không hợp pháp"; 2 - phần tử thứ 2 của thành phần.

6.1.3.3. Mối phụ thuộc

Mối phụ thuộc giữa các thành phần chức năng tăng lên khi một thành phần tự nó không đủ khả năng và độ tin cậy về chức năng, hoặc tương tác, với các thành phần khác về các chức năng phù hợp của nó.

Mỗi thành phần chức năng cung cấp một danh sách đầy đủ các mối phụ thuộc với các thành phần chức năng và đảm bảo khác. Một vài thành phần có thể liệt kê "không phụ thuộc". Các thành phần phụ thuộc trên có thể có sự phụ thuộc trong các thành phần khác. Danh sách được cung cấp trong các thành phần sẽ là các mối phụ thuộc trực tiếp. Đó chỉ là sự tham chiếu đến các yêu cầu chức năng đòi hỏi đối với các yêu cầu này để thực hiện công việc của nó chính xác. Các mối phụ thuộc gián tiếp, nghĩa là các phụ thuộc là kết quả từ sự phụ thuộc vào các thành phần, thì có thể xem trong Phụ lục A của TCVN 7809-2. Chú ý rằng trong một vài trường hợp, sự phụ thuộc là tùy chọn, trong đó số các yêu cầu chức năng được cung cấp, tại đó mỗi thành phần của chúng có thể đáp ứng đầy đủ sự phụ thuộc (xem ví dụ FDP_UIT.1 Toàn vẹn trao đổi dữ liệu).

Danh sách phụ thuộc xác định các thành phần đảm bảo hoặc thành phần chức năng tối thiểu cần thiết để thỏa mãn các yêu cầu an toàn liên quan đến một thành phần xác định. Các thành phần được phân cấp theo thành phần đã định danh có thể được sử dụng để thỏa mãn mối phụ thuộc.

Các mối phụ thuộc chỉ ra trong phần này của TCVN 7809 là bắt buộc. Chúng phải được thỏa mãn trong PP hoặc ST. Trong các tình huống cụ thể, các mối phụ thuộc xác định có thể không được áp dụng. Tác giả PP/ST thông qua việc cung cấp sở cứ vì sao nó không được áp dụng, có thể bỏ đi các mối phụ thuộc với các thành phần ra ngoài gói, PP hoặc ST.

6.2. Danh mục thành phần

Nhóm của các thành phần trong phần này của TCVN 7809 không phản ánh bất kỳ sự phân loại chính thức nào.

Phần này của TCVN 7809 chứa các lớp của họ và các thành phần, chúng được phân nhóm dựa trên cơ sở của các chức năng hoặc mục đích liên quan, được biểu diễn theo thứ tự chữ cái. Bắt đầu của mỗi lớp là một biểu đồ thông tin chỉ ra phân loại của mỗi lớp, chỉ ra các họ trong mỗi lớp và các tp trong mỗi họ. Biểu đồ là một chỉ dẫn hữu ích cho quan hệ phân cấp có thể tồn tại giữa các thành phần.

Trong việc mô tả các thành phần chức năng, có một điều khoản nhỏ xác định các mối phụ thuộc giữa thành phần và bất kỳ các thành phần nào khác.

Trong mỗi lớp, một hình vẽ mô tả phân cấp lớp tương tự như Hình 6 được cung cấp. Trong Hình 6, họ đầu tiên, Họ 1, chứa ba thành phần phân cấp, tại đó cả hai thành phần 2 và thành phần 3 có thể sử dụng để thỏa mãn các mối phụ thuộc vào thành phần 1. Thành phần 3 được phân cấp theo thành phần 2 và có thể được sử dụng để thỏa mãn sự phụ thuộc vào thành phần 2.

Hình 6 - Biểu đồ phân cấp lớp đơn giản

Trong họ 2 có ba thành phần, trong đó không phải tất cả được phân cấp. Các thành phần 1 và 2 không phân cấp theo các thành phần khác. Thành phần 3 được phân cấp theo thành phần 2, có thể dùng để thỏa mãn mối phụ thuộc vào thành phần 2, nhưng không thỏa mãn sự phụ thuộc vào thành phần 1.

Trong họ 3, các thành phần 2, 3 và 4 được phân cấp theo thành phần 1. Các thành phần 2 và 3 được phân cấp theo thành phần 1, nhưng không so sánh được chúng. Thành phần 4 phân cấp theo thành phần 2 và 3.

Những biểu đồ này bổ sung cho văn bản của họ và tạo ra định danh các mối quan hệ dễ dàng hơn. Chúng không thay thế cho ghi chú "phân cấp cho:" trong mỗi thành phần, đó là đòi hỏi bắt buộc về phân cấp cho mỗi thành phần.

6.2.1. Nhấn mạnh các thay đổi thành phần

Mối quan hệ giữa các thành phần trong một họ được nhấn mạnh qua việc sử dụng in đậm. Cách in đậm này dùng cho in đậm các yêu cầu mới. Với các thành phần phân cấp, các yêu cầu được in đậm khi chúng được cải tiến hoặc sửa đổi từ các yêu cầu của thành phần trước đó. Ngoài ra, bất kỳ hoạt động được phép nào mới hoặc được cải tiến từ thành phần trước đó đều được nhấn mạnh qua sử dụng kiểu in đậm.

7. Lớp FAU: Kiểm toán an toàn

Kiểm toán an toàn liên quan tới việc nhận biết, ghi lại, lưu trữ và phân tích thông tin liên quan đến các hoạt động an toàn liên quan (ví dụ các hoạt động được kiểm soát bởi TSF). Các kết quả kiểm toán được ghi lại có thể được kiểm tra để quyết định các hoạt động an toàn liên quan nào cần được thực hiện và ai (người dùng nào) có trách nhiệm với nó.

Hình 7 - Phân cấp lớp FAU: Kiểm toán an toàn

7.1. Phản hồi tự động kiểm toán an toàn (FAU_ARP)

7.1.1. Hành xử của họ

Họ này định nghĩa phản hồi cần được thực hiện trong trường hợp phát hiện các sự kiện chỉ ra các khả năng phá hoại an toàn.

7.1.2. Phân mức thành phần

Tại các cảnh báo an toàn FAU_ARP.1, TSF cần được thực hiện trong các trường hợp có phá hoại an toàn được phát hiện.

7.1.3. Quản lý của FAU_ARP.1

Các hành động sau đây được xem xét cho các chức năng quản lý trong FMT.

a) Quản lý (thêm, bớt hoặc điều chỉnh) các hành động

7.1.4. Kiểm toán FAU_ARP.1

Các hành động sau nên có khả năng kiểm toán, nếu FAU_GEN Tạo các dữ liệu kiểm toán an toàn được đặt trong PP/ST.

a) Tối thiểu: thực hiện các hành động do có các vi phạm an toàn sắp xảy ra.

7.1.5. Cảnh báo an toàn Fau_ARP.1

Phân cấp từ: không có các thành phần nào.

Các mối phụ thuộc: FAU.SAA.1 Phân tích khả năng vi phạm.

7.1.5.1. FAU_ARP.1.1

TSF cần thực hiện [chỉ định: danh sách các hành động] khi phát hiện một khả năng vi phạm an toàn.

7.2. Tạo các dữ liệu kiểm toán an toàn (FAU_GEN)

7.2.1. Hành xử của họ

Họ này định nghĩa các yêu cầu cho việc ghi lại sự xuất hiện của các sự kiện an toàn liên quan được thực hiện dưới sự kiểm soát của TSF. Họ này xác định các mức kiểm toán, liệt kê các kiểu sự kiện mà có thể kiểm toán được bởi TSF, và xác định tập nhỏ nhất của các thông tin liên quan đến kiểm toán được cung cấp bên trong nhiều kiểu hồ sơ kiểm toán.

7.2.2. Phân mức thành phần

FAU_GEN.1 Tạo dữ liệu kiểm toán, định nghĩa mức của các sự kiện có thể kiểm toán và chỉ ra danh sách dữ liệu cần được ghi lại trong mỗi bản ghi.

Tại FAU_GEN.2 Kết hợp định danh người dùng, TSF cần kết hợp các sự kiện có thể kiểm toán theo từng định danh người dùng riêng biệt.

7.2.3. Quản lý của FAU_GEN.1, FAU_GEN.2

Không có các hoạt động quản lý nào.

7.2.4. Kiểm toán của FAU_GEN.1, FAU_GEN.2

Không có sự kiện có thể kiểm toán nào.

7.2.5. Tạo dữ liệu kiểm toán FAU_GEN.1

Phân cấp từ: không có các thành phần nào.

Các mối phụ thuộc: FPT_STM.1 Các nhãn thời gian tin cậy.

7.2.5.1. FAU_GEN.1.1

TSF cần có khả năng tạo ra một bản ghi kiểm toán cho các sự kiện có thể kiểm toán được sau:

a) Khởi động và tắt các chức năng kiểm toán;

b) Tất cả các sự kiện có thể kiểm toán được cho [lựa chọn, chọn một trong số: tối thiểu, cơ bản, chi tiết, không xác định] và

c) [Chỉ định: Các sự kiện có thể kiểm toán được định nghĩa cụ thể khác].

7.2.5.2. FAU_GEN.1.2

TSF cần ghi lại trong mỗi bản ghi kiểm toán ít nhất các thông tin sau đây:

a) Ngày và giờ của sự kiện, kiểu sự kiện, định danh chủ thể (nếu có), và đầu ra (thành công hoặc lỗi) của sự kiện; và

b) Với mỗi kiểu sự kiện kiểm toán, dựa trên định nghĩa các sự kiện có thể kiểm toán của các thành phần chức năng có trong PP/ST, [chỉ định: thông tin liên quan kiểm toán khác]

7.2.6. FAU_GEN.2 Kết hợp định danh người dùng

Phân cấp từ: không có các thành phần nào.

Các mối phụ thuộc:       FAU_GEN.1 Tạo dữ liệu kiểm toán

                                    FIA_UID.1 Định thời cho định danh

7.2.6.1. FAU_GEN.2.1

Đối với các sự kiện kiểm toán có được từ các hành động của người dùng đã định danh, TSF cần có khả năng kết hợp mỗi sự kiện có thể kiểm toán với định danh của người dùng đã gây ra sự kiện.

7.3. Phân tích kiểm toán an toàn (FAU_SAA)

7.3.1. Hành xử của họ

Họ này định nghĩa các yêu cầu cho tự động hóa, nghĩa là phân tích các hoạt động hệ thống và dữ liệu kiểm toán để tìm kiếm các phá hoại an toàn thực tế có thể xảy ra. Phân tích có thể thực hiện với sự hỗ trợ của phát hiện xâm nhập hoặc phản ứng tự động với một vi phạm an toàn sẽ xảy ra.

Các hành động này cần được thực hiện dựa trên phát hiện, có thể được xác định qua Họ phản ứng tự động kiểm toán an toàn (FAU_ARP).

7.3.2. Phân mức thành phần

Trong FAU_SAA.1 Phân tích khả năng vi phạm, phát hiện ngưỡng cơ sở dựa trên cơ sở của tập quy tắc được yêu cầu.

Trong FAU_SAA.2 Phát hiện bất thường dựa trên mô tả tóm tắt, TSD duy trì các mô tả riêng về sử dụng hệ thống, tại đó các mô tả biểu diễn các mẫu liên quan đến quá khứ thường được thực hiện bởi các thành viên của nhóm mô tả đích. Một nhóm mô tả đích tham chiếu đến một nhóm của một hoặc nhiều cá nhân (ví dụ một người dùng đơn, nhiều người dùng chia sẻ một nhóm ID hoặc tài khoản nhóm, nhiều người dùng vận hành dưới các vai trò được chỉ định trước, người dùng của toàn bộ hệ thống hoặc một nút mạng); đó là người tương tác với TSF. Mỗi thành viên của nhóm hồ sơ đích được chỉ định một loại nghi ngờ riêng, nó đại diện cho việc làm thế nào mà các hoạt động tương ứng hiện thời của các thành viên thực hiện thiết lập mẫu để biểu diễn trong các mô tả.

Trong FAU_SAA.3 Thử nghiệm tấn công đơn giản, TSF cần có thể phát hiện sự xuất hiện của các sự kiện với các dấu hiệu mà đại diện cho một dấu hiệu nguy cơ đến thực thi TSP. Tìm kiếm các sự kiện với các dấu hiệu này có thể xuất hiện trong thời gian thực hoặc trong thời gian phân tích chế độ xử lý mẻ (batch mode) với các thông tin được thu thập hậu kỳ (post-collection).

Trong FAU_SAA.4 Thử nghiệm tấn công phức tạp, TSF cần đại diện và phát hiện các kịch bản xâm nhập nhiều bước. TSF có thể so sánh các sự kiện hệ thống (có thể thực hiện bởi nhiều cá nhân) với các sự kiện liên tiếp được biết để đại diện cho toàn bộ các kịch bản xâm nhập. TSF cần có thể chỉ ra khi một sự kiện có dấu hiệu hoặc các sự kiện liên tiếp được tìm thấy chỉ ra khả năng vi phạm từ các SFR.

7.3.3. Quản lý của FAU_SAA.1

Các hành động sau có thể được cân nhắc cho các chức năng quản lý trong FMT:

a) Duy trì các quy tắc bởi (thêm, thay đổi, xóa) các quy tắc từ tập các quy tắc.

7.3.4. Quản lý của FAU_SAA.2

Các hành động sau có thể được cân nhắc cho các chức năng quản lý trong FMT:

a) Duy trì (Xóa, thay đổi, thêm) nhóm người dùng trong nhóm mô tả đích.

7.3.5. Quản lý của FAU_SAA.3

Các hành động sau có thể được cân nhắc cho các chức năng quản lý trong FMT:

a) Duy trì (Xóa, thay đổi, thêm) tập con của các sự kiện hệ thống.

7.3.6. Quản lý của FAU_SAA.4

Các hành động sau có thể được cân nhắc cho các chức năng quản lý trong FMT:

a) Duy trì (Xóa, thay đổi, thêm) tập con của các sự kiện hệ thống;

b) Duy trì (Xóa, thay đổi, thêm) tập liên tiếp của các sự kiện hệ thống.

7.3.7. Kiểm toán của FAU_SAA.1, FAU_SAA.2, FAU_SAA.3, FAU_SAA.4

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn đặt trong PP/ST:

a) Tối thiểu: Bật hoặc tắt bất kỳ một cơ chế phân tích nào;

b) Tối thiểu: Các phản hồi tự động được thực hiện bởi công cụ.

7.3.8. FAU_SAA.1 Phân tích khả năng phá hoại

Phân cấp từ: Không có thành phần nào.

Các mối phụ thuộc: FAU_GEN.1 Tạo dữ liệu kiểm toán.

7.3.8.1. FAU_SAA.1.1

TSF cần cung cấp một tập các quy tắc để giám sát các sự kiện đã kiểm toán và dựa trên những quy tắc này chỉ ra các khả năng phá hoại việc thực thi các SFR.

7.3.8.2. FAU_SAA.1.2

TSF cần thực thi các quy tắc sau cho việc giám sát các sự kiện đã kiểm toán:

a) Tích lũy hoặc kết hợp của [chỉ định: tập con các sự kiện đã kiểm toán xác định trước] được biết để chỉ ra khả năng phá hoại an toàn;

b) [chỉ định: bất kỳ quy tắc nào khác]

7.3.9. FAU_SAA.2 Phát hiện bất thường dựa trên mô tả tóm tắt

Phân cấp từ: Không có thành phần nào.

Các mối phụ thuộc: FIA_UID.1 Định thời cho định danh.

7.3.9.1. FAU_SAA.2.1

TSF cần có khả năng duy trì mô tả sử dụng hệ thống, tại đó một mô tả riêng đại diện cho các mẫu quá khứ về việc sử dụng được thực hiện bởi các thành viên của [chỉ định: Nhóm mô tả mục tiêu].

7.3.9.2. FAU_SAA.2.2

TSF cần có khả năng duy trì một xếp hạng nghi ngờ với mỗi người dùng với các hoạt động được ghi lại trong mô tả tóm tắt, khi đó xếp hạng nghi ngờ đại diện cho mức độ mà hoạt động của người dùng hiện thời được tìm thấy không mâu thuẫn với các mẫu được thiết lập được biểu diễn trong mô tả tóm tắt.

7.3.9.3. FAU_SAA.2.3

TSF cần có khả năng chỉ ra các phá hoại thực thi các SFR sẽ xảy ra khi xếp hạng nghi ngờ người dùng vượt quá các điều kiện ngưỡng cho phép [chỉ định: các điều kiện theo đó các hoạt động bất thường được báo cáo bởi TSF].

7.3.10. FAU_SAA.3 Thử nghiệm tấn công đơn giản

Phân cấp từ: không có thành phần nào.

Các mối phụ thuộc: Không có phụ thuộc nào.

7.3.10.1. FAU_SAA.3.1

TSF cần có khả năng duy trì một biểu diễn nội bộ cho các sự kiện có dấu hiệu [chỉ định: một tập con của các sự kiện hệ thống] có thể chỉ ra sự phá hoại việc thực thi của các SFR.

7.3.10.2. FAU_SAA.3.2

TSF cần có khả năng so sánh các sự kiện có dấu hiệu với các bản ghi về hoạt động của hệ thống nhận được từ việc kiểm tra của [chỉ định: thông tin được dùng để xác định hoạt động của hệ thống].

7.3.10.3. FAU_SAA.3.3

TSF cần có khả năng biểu thị một phá hoại tiềm năng việc thực thi các SFR khi sự kiện hệ thống trùng với một sự kiện có dấu hiệu biểu thị khả năng phá hoại tiềm năng việc thực thi các SFR.

7.3.11. FAU_SAA.4 Thử nghiệm tấn công phức tạp

Phân cấp từ: FAU_SAA.3 Thử nghiệm tấn công đơn giản.

Các mối phụ thuộc: Không có phụ thuộc nào.

7.3.11.1. FAU_SAA.4.1

TSF cần có khả năng duy trì một biểu diễn nội bộ cho các sự kiện liên tiếp của các kịch bản xâm nhập [chỉ định: danh sách liên tiếp của các sự kiện hệ thống mà sự hiện diện của chúng là đại diện cho các kịch bản xâm nhập được biết] và các sự kiện có dấu hiệu tiếp theo [chỉ định: một tập con của các sự kiện hệ thống] có thể chỉ ra sự phá hoại việc thực thi các SFR.

7.3.11.2. FAU_SAA.4.2

TSF cần có khả năng so sánh các sự kiện có dấu hiệu và chuỗi các sự kiện với các bản ghi về hoạt động của hệ thống nhận được từ việc kiểm tra của [chỉ định: thông tin được dùng để xác định hoạt động của hệ thống].

7.3.11.3. FAU_SAA.4.3

TSF cần có khả năng biểu thị một phá hoại tiềm tàng việc thực thi các SFR khi sự kiện hệ thống trùng với một sự kiện có dấu hiệu hoặc chuỗi các sự kiện biểu thị khả năng phá hoại tiềm năng việc thực thi các SFR.

7.4. Soát xét kiểm toán an toàn (FAU_SAR)

7.4.1. Hành xử của họ

Họ này định nghĩa các yêu cầu cho các công cụ kiểm toán cần phải sẵn sàng cho người dùng có thẩm quyền để hỗ trợ xem lại dữ liệu kiểm toán.

7.4.2. Phân mức thành phần

FAU_SAR.1 Soát xét kiểm toán, cung cấp khả năng đọc thông tin từ các bản ghi kiểm toán.

FAU_SAR.2 Soát xét kiểm toán có hạn chế, yêu cầu không có người dùng khác, ngoại trừ những ai đã được định danh trong soát xét kiểm toán FAU_SAR.1 có thể đọc được thông tin.

FAU_SAR.3 Soát xét kiểm toán có lựa chọn, yêu cầu các công cụ soát xét kiểm toán để lựa chọn dữ liệu kiểm toán cần được xem lại dựa trên các tiêu chí.

7.4.3. Quản lý của FAU_SAR.1

Các hành động sau có thể được cân nhắc cho các chức năng quản lý trong FMT:

a) Duy trì (Xóa, thay đổi, thêm) của nhóm các người dùng với việc đọc quyền truy nhập đến các hồ sơ kiểm toán.

7.4.4. Quản lý của FAU_SAR.2, FAU_SAR.3

Không có các hoạt động quản lý nào.

7.4.5. Kiểm toán của FAU_SAR.1

Các hành động sau đây có thể được kiểm toán, nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn chứa trong PP/ST:

a) Cơ sở: đọc thông tin từ các hồ sơ kiểm toán.

7.4.6. Kiểm toán của FAU_SAR.2

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn chứa trong PP/ST:

a) Cơ sở: Số lần thử đọc tin không thành công từ các bản ghi kiểm toán.

7.4.7. Kiểm toán của FAU_SAR.3

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

a) Chi tiết: Các tham số được sử dụng để xem lại.

7.4.8. FAU_SAR.1 Soát xét kiểm toán

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc: FAU_GEN.1 Tạo dữ liệu kiểm toán.

7.4.8.1. FAU_SAR.1.1

TSF cần cung cấp [chỉ định: người dùng có thẩm quyền] khả năng đọc [chỉ định: danh sách của các thông tin kiểm toán] từ các hồ sơ kiểm toán.

7.4.8.2. FAU_SAR.1.2

TSF cần cung cấp các hồ sơ kiểm toán theo cách thức phù hợp cho người dùng để giải thích thông tin.

7.4.9. FAU_SAR.2 Soát xét kiểm toán có hạn chế

Phân cấp từ: Không có thành phần nào.

Các mối phụ thuộc: FAU_SAR.1 Soát xét kiểm toán.

7.4.9.1. FAU_SAR.2.1

TSF cần ngăn cản tất cả người dùng truy cập đọc các hồ sơ kiểm toán, ngoại trừ những người dùng được cấp phép truy cập đọc rõ ràng.

7.4.10. FAU_SAR.3 Soát xét kiểm toán có chọn lựa

Phân cấp từ: Không có thành phần nào.

Các mối phụ thuộc: FAU_SAR.1 Soát xét kiểm toán.

7.4.10.1. FAU_SAR.3.1

TSF cần cung cấp khả năng áp dụng [chỉ định: các phương pháp chọn lựa và/hoặc sắp xếp] các dữ liệu kiểm toán dựa trên [chỉ định: tiêu chí với các quan hệ logic].

7.5. Lựa chọn sự kiện kiểm toán an toàn (FAU_SEL)

7.5.1. Hành xử của họ

Họ này định nghĩa các yêu cầu để lựa chọn các sự kiện cần được kiểm toán trong thời gian hoạt động của TOE từ tập tất cả các sự kiện có thể kiểm toán.

7.5.2. Phân mức thành phần

FAU_SEL.1 Kiểm toán lựa chọn, đòi hỏi chọn ra tập các sự kiện cần được kiểm toán từ tập tất cả các sự kiện có thể được kiểm toán, xác định trong FAU_GEN.1 Tạo dữ liệu kiểm toán, dựa trên các thuộc tính được chỉ ra bởi tác giả PP/ST.

7.5.3. Quản lý của FAU_SEL.1

Các hành động sau sẽ được xem xét cho các chức năng quản lý trong FMT:

a) Duy trì các quyền để xem/thay đổi các sự kiện kiểm toán.

7.5.4. Kiểm toán của FAU_SEL.1

Các hành động sau có khả năng kiểm toán, nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được chứa trong PP/ST:

a) Tối thiểu: tất cả các thay đổi đến cấu hình kiểm tra mà xuất hiện khi các chức năng thu thập kiểm toán được vận hành.

7.5.5. FAU_SEL.1 Kiểm toán lựa chọn

Phân cấp từ: không có thành phần nào.

Các mối phụ thuộc:       FAU_GEN.1 Tạo dữ liệu kiểm toán

                                    FMT_MTD.1 Quản lý dữ liệu TSF

7.5.5.1. FAU_SEL.1.1

TSF cần có khả năng chọn ra các tập sự kiện đã kiểm toán từ tập tất cả các sự kiện có thể kiểm toán, dựa trên các thuộc tính sau đây:

a) [lựa chọn: định danh đối tượng, định danh người dùng, định danh chủ thể, định danh máy chủ, kiểu sự kiện]

b) [chỉ định: danh sách các thuộc tính bổ sung mà việc lựa chọn kiểm toán dựa theo]

7.6. Lưu trữ sự kiện kiểm toán an toàn (FAU_STG)

7.6.1. Hành xử của họ

Họ này định nghĩa các yêu cầu cho TSF để có thể tạo ra và duy trì một dấu vết kiểm toán an toàn. Các bản ghi kiểm toán đã lưu tham chiếu đến các bản ghi có trong dấu vết kiểm toán, và không phải là các bản ghi kiểm toán đã gọi ra (vào bộ nhớ tạm thời) thông qua lựa chọn.

7.6.2. Phân mức thành phần

Tại FAU_STG.1 Lưu trữ các vết kiểm toán có bảo vệ, các yêu cầu được đặt trong vết kiểm toán. Nó sẽ được bảo vệ chống lại việc xóa hay thay đổi trái phép.

FAU_STG.2 Đảm bảo sự sẵn sàng của dữ liệu kiểm toán, xác định các đảm bảo mà TSF duy trì trên dữ liệu kiểm toán được đưa ra trong sự xuất hiện một điều kiện không mong muốn.

FAU_STG.3 Hành động trong trường hợp có thể mất mát dữ liệu kiểm toán, xác định các hành động cần thực hiện nếu ngưỡng trong vết an toàn bị vượt quá.

FAU_STG.4 Ngăn chặn mất mát dữ liệu kiểm toán, xác định các hành động cần thực hiện trong trường hợp vết kiểm toán bị đầy.

7.6.3. Quản lý của FAU_STG.1

Không có các hoạt động quản lý nào

7.6.4. Quản lý của FAU_STG.2

Các hành động sau có thể được cân nhắc cho các chức năng quản lý trong FMT:

a) Duy trì các tham số kiểm soát khả năng lưu trữ kiểm toán.

7.6.5. Quản lý của FAU_STG.3

Các hành động sau cần xem xét cho các chức năng quản lý trong FMT:

a) Duy trì ngưỡng;

b) Duy trì (xóa, thay đổi, thêm) các hành động cần được thực hiện trong trường hợp lỗi lưu trữ kiểm toán sẽ xảy ra.

7.6.6. Quản lý của FAU_STG.4

Các hành động sau có thể được cân nhắc cho các chức năng quản lý trong FMT:

a) Duy trì (xóa, thay đổi, thêm) các hành động cần được thực hiện trong trường hợp có lỗi lưu trữ kiểm toán.

7.6.7. Kiểm toán của FAU_STG.1, FAU_STG.2

Không có các sự kiện có thể kiểm toán nào.

7.6.8. Kiểm toán của FAU_STG.3

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

a) Cơ sở: Các hành động thực hiện do bị vượt quá ngưỡng.

7.6.9. Kiểm toán của FAU_STG.4

Các hành động sau đây có thể được kiểm toán, nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

a) Cơ sở: Các hành động thực hiện do lỗi lưu trữ kiểm toán.

7.6.10. FAU_STG.1 Lưu trữ vết kiểm toán có bảo vệ

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc: FAU_GEN.1 Tạo dữ liệu kiểm toán.

7.6.10.1. FAU_STG.1.1

TSF cần bảo vệ các hồ sơ kiểm toán đã lưu trong vết kiểm toán chống lại việc xóa trái phép

7.6.10.2. FAU_STG.1.2

TSF cần có khả năng [lựa chọn, chọn một trong số: ngăn chặn, phát hiện] các thay đổi trái phép vào các bản ghi kiểm toán đã lưu trữ trong vết kiểm toán.

7.6.11. FAU_STG.2 Đảm bảo sự sẵn sàng của dữ liệu kiểm toán

Phân cấp từ:                 FAU_STG.1 Lưu trữ vết an toàn có bảo vệ

Các mối phụ thuộc:       FAU_GEN.1 Tạo dữ liệu kiểm toán

7.6.11.1. FAU_STG.2.1

TSF cần bảo vệ các hồ sơ kiểm toán đã lưu trong vết kiểm toán chống lại việc xóa trái phép.

7.6.11.2. FAU_STG.2.2

TSF cần có khả năng [lựa chọn, chọn một trong số: ngăn chặn, phát hiện] các thay đổi trái phép vào các bản ghi kiểm toán đã lưu trữ trong vết kiểm toán.

7.6.11.3. FAU_STG.2.3

TSF cần đảm bảo rằng [chỉ định: đơn vị đo việc lưu trữ hồ sơ kiểm toán] các hồ sơ kiểm tra sẽ được duy trì khi các hành động sau xuất hiện: [lựa chọn: tràn bộ nhớ lưu kiểm toán, lỗi, tấn công].

7.6.12. FAU_STG.3 Hành động trong trường hợp dữ liệu kiểm toán có thể bị mất

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc: FAU_STG.1 Lưu trữ vết an toàn có bảo vệ.

7.6.12.1. FAU_STG.3.1

TSF cần [chỉ định: các hành động cần được thực hiện trong trường hợp lỗi lưu trữ an toàn có thể xảy ra] nếu vết kiểm toán vượt quá [chỉ định: giới hạn được định nghĩa trước].

7.6.13. FAU_STG.4 Ngăn chặn mất dữ liệu kiểm toán

Phân cấp từ: FAU_STG.3 Hành động trong trường hợp dữ liệu kiểm toán có thể bị mất.

Các mối phụ thuộc: FAU_STG.1 Lưu trữ vết an toàn có bảo vệ.

7.6.13.1. FAU_STG.4.1

TSF cần [lựa chọn, chọn một trong số: "Lờ đi các sự kiện đã kiểm toán", "ngăn chặn các sự kiện đã kiểm toán, ngoại trừ các sự kiện này được lấy ra bởi người dùng có thẩm quyền với các quyền đặc biệt", "Viết đè lên hồ sơ kiểm toán lưu trữ lâu nhất"] và [chỉ định: các hành động khác trong trường hợp lỗi lưu trữ kiểm toán] nếu vết kiểm toán đầy.

8. Lớp FCO: Truyền thông

Lớp này quy định hai họ liên quan đặc biệt đến việc đảm bảo danh tính của phần tử tham gia trong trao đổi dữ liệu. Các họ này liên quan đến việc đảm bảo danh tính người tạo ra thông tin đã truyền đi (kiểm chứng thông tin) và đảm bảo danh tính người nhận thông tin đã truyền đi (kiểm chứng người nhận). Các họ này đảm bảo rằng người tạo ra thông tin không thể từ chối việc gửi đi các thông điệp hoặc người nhận từ chối việc đã nhận nó.

Hình 8 - phân cấp lớp FCO: Truyền thông

8.1. Không chối bỏ nguồn gốc (FCO_NRO)

8.1.1. Hành xử của họ

Không chối bỏ nguồn gốc đảm bảo rằng nguồn gốc của thông tin không thể từ chối việc đã gửi tin đi. Họ này yêu cầu TSF quy định một phương pháp để đảm bảo rằng chủ thể đã nhận thông tin qua quá trình trao đổi dữ liệu được cung cấp một bằng chứng về nguồn gốc thông tin. Bằng chứng này có thể được thẩm định hoặc qua chủ thể này hoặc các chủ thể khác.

8.1.2. Phân mức thành phần

FCO_NRO.1 Lựa chọn kiểm chứng nguồn gốc, đòi hỏi TSF quy định các chủ thể với khả năng yêu cầu chứng cứ về nguồn gốc thông tin.

FCO_NRO.2 Thực thi kiểm chứng nguồn gốc thông tin, đòi hỏi TSF luôn tạo ra chứng cứ về nguồn gốc của thông tin được truyền.

8.1.3. Quản lý của FCO_NRO.1, FCO_NRO.2

Các hành động sau được xem xét cho các chức năng quản lý FMT

a) Quản lý các thay đổi kiểu thông tin, lĩnh vực, các thuộc tính của người tạo ra thông tin và người nhận chứng cứ

8.1.4. Kiểm toán của FCO_NRO.1

Các hành động sau đây cần được kiểm tra nếu FAU_GEN Tạo dữ liệu kiểm tra được đặt trong PP/ST

a) Tối thiểu: Xác định người dùng mà yêu cầu chứng cứ về nguồn gốc được tạo ra

b) Tối thiểu: Viện chứng đến dịch vụ không thể từ chối

c) Cơ sở: Định danh thông tin, đích và một bản sao của chứng cứ được quy định

d) Chi tiết: Xác định người dùng mà đòi hỏi thẩm tra chứng cứ

8.1.5. Kiểm toán của FCO_NRO.2

Các hành động sau đây cần được kiểm tra nếu FAU_GEN Tạo dữ liệu kiểm tra được đặt trong PP/ST

d) Tối thiểu: Viện chứng đến dịch vụ không thể từ chối

e) Cơ sở: Định danh thông tin, đích và một bản sao của chứng cứ được quy định

f) Chi tiết: Xác định người dùng mà đòi hỏi thẩm tra chứng cứ

8.1.6. FCO_NRO.1 Lựa chọn kiểm chứng nguồn gốc

Phân cấp từ: Không có thành phần nào.

Các mối phụ thuộc: FIA_UID.1 Định thời cho định danh

8.1.6.1. FCO_NRO.1.1

TSF cần có khả năng tạo ra chứng cứ về nguồn gốc thông tin được truyền [chỉ định: danh sách kiểu thông tin] tại yêu cầu của [chỉ định: bên gửi, bên nhận, [chỉ định: danh sách các đối tác thứ 3]].

8.1.6.2. FCO_NRO.1.2

TSF cần có khả năng liên quan đến [chỉ định: danh sách các thuộc tính] người tạo ra thông tin và [chỉ định: danh sách các trường thông tin] của thông tin được cung cấp chứng cứ.

8.1.6.3. FCO_NRO.1.3

TSF cần cung cấp khả năng thẩm tra chứng cứ về nguồn gốc của thông tin [lựa chọn: bên gửi, người nhận, [chỉ định: danh sách của đối tác thứ 3]] được cho [chỉ định: các giới hạn về chứng cứ của nguồn gốc].

8.1.7. FCO_NRO.2 Thực thi kiểm chứng nguồn gốc

Phân cấp từ: FCO_NRO.1 Lựa chọn kiểm chứng nguồn gốc

Các mối phụ thuộc: FIA_UID.1 Định thời cho định danh

8.1.7.1. FCO_NRO.2.1

TSF cần thực thi để tạo ra các chứng cứ về nguồn gốc thông tin được truyền [chỉ định: danh sách các kiểu thông tin] tại tất cả các thời gian.

8.1.7.2. FCO_NRO.2.2

TSF cần có khả năng liên quan đến [chỉ định: danh sách các thuộc tính] người tạo ra thông tin và [chỉ định: danh sách các trường thông tin] của thông tin được cung cấp chứng cứ.

8.1.7.3. FCO_NRO.2.3

TSF cần có khả năng thẩm tra chứng cứ về nguồn gốc của thông tin [lựa chọn: bên gửi, người nhận, [chỉ định: danh sách của đối tác thứ 3]] được cho [chỉ định: các giới hạn về chứng cứ của nguồn gốc].

8.2. Không thể từ chối của bên nhận (FCO_NRR)

8.2.1. Hành xử của họ

Không thể từ chối của bên nhận đảm bảo rằng người nhận thông tin không thể từ chối việc nhận thành công thông tin. Họ này đòi hỏi, TSF cung cấp một phương pháp để đảm bảo rằng một chủ thể truyền thông tin trong thời gian trao đổi dữ liệu được cung cấp một chứng cứ về việc nhận thông tin. Chứng cứ này có thể được thẩm tra bởi chủ thể này hoặc các chủ thể khác.

8.2.2. Phân mức thành phần

FCO_NRR.1 Lựa chọn kiểm chứng bên nhận, yêu cầu TSF để cung cấp cho chủ thể khả năng đòi hỏi chứng cứ của việc nhận thông tin.

FCO_NRR.2 Thực thi kiểm chứng bên nhận, đòi hỏi TSF luôn tạo ra chứng cứ nhận cho các thông tin đã nhận.

8.2.3. Quản lý của FCO_NRR.1, FCO_NRR.2

Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:

a) Quản lý các thay đổi về kiểu thông tin, trường tin, các thuộc tính của người gửi và người nhận là đối tác thứ 3 về chứng cứ.

8.2.4. Kiểm toán của FCO_NRR.1

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

a) Tối thiểu: Xác định người dùng mà đòi hỏi chứng cứ của việc nhận sẽ được tạo ra.

b) Tối thiểu: Viện chứng dịch vụ không thể từ chối.

c) Cơ sở: Định danh thông tin, đích đến và một bản sao của thông tin được quy định.

d) Chi tiết: Xác định người dùng mà đòi hỏi việc thẩm tra chứng cứ.

8.2.5. Kiểm toán của FCO_NRR.2

Các hành động sau đây có thể được kiểm toán, nếu FAU_GEN Tạo dữ liệu kiểm toán được đặt trong PP/ST:

a) Tối thiểu: Viện chứng dịch vụ không thể từ chối.

b) Cơ sở: Định danh thông tin, đích đến và một bản sao của thông tin được quy định.

c) Chi tiết: Xác định người dùng mà đòi hỏi việc thẩm tra chứng cứ.

8.2.6. FCO_NRR.1 Lựa chọn kiểm chứng bên nhận

Phân cấp từ: Không có thành phần nào.

Các mối phụ thuộc: FIA_UID.1 Định thời cho định danh.

8.2.6.1. FCO_NRR.1.1

TSF cần có khả năng tạo ra chứng cứ nhận tin cho [chỉ định: danh sách của các kiểu thông tin] đã nhận theo các đòi hỏi của [lựa chọn: người gửi, người nhận, [chỉ định: danh sách các đối tác thứ ba]].

8.2.6.2. FCO_NRR.1.2

TSF cần có khả năng kết nối các [chỉ định: danh sách các thuộc tính] của người nhận thông tin, và [chỉ định: danh sách của các trường thông tin] của thông tin cho áp dụng các chứng cứ.

8.2.6.3. FCO_NRR.1.3

TSF cần cung cấp khả năng thẩm tra chứng cứ nhận thông tin tới [lựa chọn: người gửi, người nhận, [chỉ định: danh sách của đối tác thứ ba]] dựa trên [chỉ định: các giới hạn trong chứng cứ của việc nhận].

8.2.7. FCO_NRR.2 Thực thi kiểm chứng bên nhận

Phân cấp từ: FCO_NRR.1 lựa chọn kiểm chứng bên nhận.

Các mối phụ thuộc: FIA_UID.1 Định thời cho định danh.

8.2.7.1. FCO_NRR.2.1

TSF cần thực thi việc tạo chứng cứ nhận thông tin cho [chỉ định: danh sách các kiểu thông tin] đã nhận tại mọi thời điểm.

8.2.7.2. FCO_NRR.2.2

TSF cần có khả năng kết nối các [chỉ định: danh sách các thuộc tính] của người nhận thông tin, và [chỉ định: danh sách của các trường thông tin] của thông tin cho áp dụng các chứng cứ.

8.2.7.3. FCO_NRR.2.3

TSF cần cung cấp khả năng thẩm tra chứng cứ nhận thông tin tới [lựa chọn: người gửi, người nhận, [chỉ định: danh sách của đối tác thứ ba]] dựa trên [chỉ định: các giới hạn trong chứng cứ của việc nhận].

9. Class FCS: Hỗ trợ mật mã

TSF có thể triển khai các chức năng mã hóa để giúp thỏa mãn một số mục tiêu an toàn mức cao. Chúng bao gồm (nhưng không giới hạn): định danh và xác thực, không thể từ chối, đường dẫn tin cậy, kênh tin cậy và phân tích dữ liệu. Lớp này được sử dụng khi TOE thực hiện các chức năng mã hóa, việc thực hiện này có thể dưới dạng phần cứng, phần sụn hoặc phần mềm.

FCS: Lớp hỗ trợ mật mã được tạo dưới hai họ: Quản lý khóa mật mã (FCS_CKM) và vận hành mật mã (FCS_COP). Hộ quản lý khóa mật mã (FCS_CKM) đề cập đến các khía cạnh quản lý của các khóa mật mã, trong khi họ vận hành mật mã (FCS_COP) lại quan tâm đến việc sử dụng vận hành của các khóa mã này.

Hình 9 - Phân cấp lớp FCS: Hỗ trợ mật mã

9.1. Quản lý khóa mật mã (FCS_CKM)

9.1.1. Hành xử của họ

Các khóa mật mã phải được quản lý trong suốt chu trình tồn tại chúng. Họ này dùng để hỗ trợ chu trình này và định nghĩa các yêu cầu đối với các hoạt động sau: Tạo khóa mật mã, phân bố khóa mật mã, truy nhập khóa mật mã và hủy bỏ khóa mật mã. Họ này nên được đưa vào mỗi khi có các yêu cầu chức năng quản lý mã khóa mật mã.

9.1.2. Phân mức thành phần

FCS_CKM.1 Tạo khóa mật mã, đòi hỏi khóa mật mã được tạo ra phù hợp với một thuật toán riêng với kích thước khóa có thể dựa trên một tiêu chuẩn được ấn định.

FCS_CKM.2 Phân phối khóa mật mã, đòi hỏi các khóa mật mã được phân phối phù hợp với một phương pháp phân phối riêng mà có thể dựa trên một tiêu chuẩn được ấn định.

FCS_CKM.3 Truy nhập khóa mật mã, đòi hỏi truy nhập đến các khóa mã phải được thực hiện phù hợp với một phương pháp truy nhập riêng mà có thể dựa trên tiêu chuẩn được ấn định.

FCS_CKM.4 Hủy bỏ khóa mật mã, đòi hỏi các khóa hóa bị hủy bỏ phù hợp với phương pháp hủy bỏ riêng mà có thể dựa trên tiêu chuẩn được ấn định.

9.1.3. Quản lý của FCS_CKM.1, FCS_CKM.2, FCS_CKM.3, FCS_CKM.4

Không có các hoạt động quản lý nào.

9.1.4. Kiểm toán của FCS_CKM.1, FCS_CKM.2, FCS_CKM.3, FCS_CKM.4

Các hành động sau có thể được kiểm toán, nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

a) Tối thiểu: thành công và lỗi của các hoạt động.

b) Cơ sở: Các thuộc tính của đối tượng, và giá trị của đối tượng ngoại trừ bất kỳ thông tin nhạy cảm nào (ví dụ khóa bí mật hoặc khóa riêng).

9.1.5. FCS_CKM.1 Tạo khóa mật mã

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc: [FCS_CKM.2 Phân phối khóa mật mã hoặc

FCS_COP.1 Hoạt động mật mã]

FCS_CKM.4 Hủy bỏ khóa mật mã

9.1.5.1. FCS_CKM.1.1

TSF cần tạo ra các khóa mật mã phù hợp với các thuật toán tạo khóa mật mã được chỉ ra [chỉ định: thuật toán tạo khóa mật mã] và chỉ ra kích thước khóa được mật mã [chỉ định: kích thước khóa mật mã] mà đáp ứng theo [chỉ định: danh sách các tiêu chuẩn].

9.1.6. FCS_CKM.2 Phân phối khóa mật mã

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc: [FDP_ITC.1 Nhập vào dữ liệu người dùng không có các thuộc tính an toàn, hoặc

FDP_ITC.2 Nhập dữ liệu người dùng có các thuộc tính an toàn, hoặc

FCS_CKM.1 Tạo khóa mật mã]

FCS_CKM.4 Hủy bỏ khóa mật mã

9.1.6.1. FCS_CKM.2.1  

TSF cần phân phối các khóa mật mã phù hợp với phương pháp phân phối khóa mật mã được chỉ ra [chỉ định: phương pháp phân phối khóa mật mã] mà đáp ứng theo [chỉ định: danh sách các tiêu chuẩn].

9.1.7. FCS_CKM.3 Truy nhập khóa mật mã

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc: [FDP_ITC.1 Nhập vào dữ liệu người dùng không có các thuộc tính an toàn, hoặc

FDP_ITC.2 Nhập vào dữ liệu người dùng có các thuộc tính an toàn, hoặc

FCS_CKM.1 Tạo khóa mật mã]

FCS_CKM.4 Hủy bỏ khóa mật mã

9.1.7.1. FCS_CKM.3.1

TSF cần thực hiện [chỉ định: kiểu truy nhập khóa mật mã] phù hợp với phương pháp truy nhập khóa mật mã được chỉ ra [chỉ định: phương pháp truy cập khóa mật mã] đáp ứng theo [chỉ định: danh sách các tiêu chuẩn].

9.1.8. FCS_CKM.4 Hủy bỏ khóa mật mã

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc: [FDP_ITC.1 Nhập vào dữ liệu người dùng không có các thuộc tính an toàn, hoặc

FDP_ITC.2 Nhập vào dữ liệu người dùng có các thuộc tính an toàn, hoặc

FCS_CKM.1 Tạo khóa mật mã]

9.1.8.1. FCS_CKM.4.1

TSF cần hủy bỏ các khóa mật mã phù hợp với phương pháp hủy khóa mật mã được chỉ ra [chỉ định: phương pháp hủy bỏ khóa mật mã] đáp ứng theo: [chỉ định: danh sách các tiêu chuẩn].

9.2. Hoạt động mật mã (FCS_COP)

9.2.1. Hành xử của họ

Theo yêu cầu cho hoạt động mật mã vận hành chính xác, hoạt động này cần phải được thực hiện phù hợp với một thuật toán được chỉ ra và với một khóa mật mã có kích thước được chỉ ra. Họ này chứa các yêu cầu cho các hoạt động mật mã được thực hiện.

Kiểu các hoạt động mật mã gồm mã hóa và giải mã dữ liệu, tạo chữ ký điện tử và thẩm tra, tạo kiểm tra chẵn lẻ mật mã để đảm bảo toàn vẹn và thẩm tra kiểm tra chẵn lẻ, băm an toàn (liệt kê thông điệp), mã hóa và giải mã khóa mật mã, thỏa thuận khóa mật mã.

9.2.2. Phân mức thành phần

FCS_COP.1 hoạt động mật mã, đòi hỏi một hoạt động mật mã được thực hiện phù hợp với một thuật toán được chỉ ra và với một khóa mật mã có kích thước được chỉ ra. Thuật toán được chỉ ra và các kích thước khóa mật mã có thể dựa trên một tiêu chuẩn được ấn định.

9.2.3. Quản lý của FCS_COP.1

Không có các hoạt động quản lý nào.

9.2.4. Kiểm toán của FCS_COP.1

Các hành động sau có thể được kiểm toán, nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

a) Tối thiểu: thành công và lỗi, và kiểu của các hoạt động mật mã

b) Cơ sở: Bất kỳ một chế độ mật mã được ứng dụng nào của hoạt động, các thuộc tính của chủ thể và các thuộc tính đối tượng.

9.2.5. FCS_COP.1 Hoạt động mật mã

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc: [FDP_ITC.1 Nhập vào dữ liệu người dùng không có các thuộc tính an toàn, hoặc

FDP_ITC.2 Nhập vào dữ liệu người dùng có các thuộc tính an toàn, hoặc

FCS_CKM.1 Tạo khóa mật mã]

FCS_CKM.4 Hủy bỏ khóa mật mã

9.2.5.1. FCS_COP.1.1

TSF cần thực hiện [chỉ định: danh sách các hoạt động mật mã] phù hợp với thuật toán mật mã được chỉ ra [chỉ định: thuật toán mật mã] và kích thước khóa mật mã [chỉ định: kích thước khóa mật mã] mà đáp ứng theo [chỉ định: danh sách các tiêu chuẩn].

10. Lớp FDP: Bảo vệ dữ liệu người dùng

Lớp này chứa các họ chỉ ra các yêu cầu cho các chức năng an toàn TOE và các chính sách chức năng an toàn TOE liên quan đến bảo vệ dữ liệu người dùng. FDP: bảo vệ dữ liệu người dùng được chia thành bốn nhóm thuộc của các họ (được liệt kê bên dưới) mà đề cập đến dữ liệu người dùng bên trong một TOE, trong thời gian nhập, xuất và lưu trữ cũng như các thuộc tính an toàn trực tiếp liên quan đến dữ liệu người dùng.

Các họ trong lớp này được tổ chức thành bốn nhóm sau:

a) Các chính sách chức năng an toàn bảo vệ dữ liệu người dùng:

• Chính sách kiểm soát truy nhập (FDP_ACC); và

• Chính sách kiểm soát luồng thông tin (FDP_IFC)

Các thành phần trong những họ này cho phép tác giả PP/ST đặt tên cho các chính sách chức năng an toàn bảo vệ dữ liệu người dùng và định nghĩa phạm vi kiểm soát của chính sách, sự cần thiết để đề cập đến các mục tiêu an toàn. Tên của các chính sách này có nghĩa được sử dụng liên tục phần còn lại của các thành phần chức năng mà có một hoạt động gọi phép ấn định hoặc lựa chọn "kiểm soát truy nhập SFP" hoặc "kiểm soát luồng thông tin SFPs". Các quy tắc định nghĩa chức năng kiểm soát truy nhập và kiểm soát luồng thông tin SFP sẽ được định nghĩa trong các họ (một cách lần lượt) các hàm kiểm soát truy nhập (FDP_ACF) và các hàm kiểm soát luồng thông tin (FDP_IF) (tương ứng).

b) Các dạng bảo vệ dữ liệu người dùng:

• Các chức năng kiểm soát truy nhập (FDP_ACF)

• Các chức năng kiểm soát luồng thông tin (FDP_IFF);

• Vận chuyển nội bộ TOE (FDP_ITT);

• Bảo vệ thông tin còn dư thừa (FDP_RIP);

• Khôi phục lại (FDP_ROL) và

• Toàn vẹn dữ liệu đã lưu trữ (FDP_SDI)

c) Lưu trữ ngoại tuyến, nhập và xuất

• Xác thực dữ liệu (FDP_DAU)

• Xuất dữ liệu ra khỏi TOE (FDP_ETC)

• Nhập dữ liệu từ ngoài TOE (FDP_ITC)

Các thành phần trong các họ này đề cập chuyển đổi các giá trị đáng tin cậy vào trong hoặc ra ngoài của TOE.

d) Truyền thông Liên-TSF

• Bảo vệ truyền bí mật dữ liệu người dùng liên-TSF (FDP_UCT); và

• Bảo vệ truyền toàn vẹn dữ liệu người dùng liên-TSF (FDP_UIT)

Các thành phần trong các họ này đề cập đến sự truyền thông giữa TSF của TOE và các sản phẩm IT được tin cậy khác.

Hình 10 - Phân cấp lớp FDP: Bảo vệ dữ liệu người dùng

10.1. Chính sách kiểm soát truy nhập (FDP_ACC)

10.1.1. Hành xử của họ

Họ này xác định các SFP kiểm soát truy nhập (Theo tên) và định nghĩa phạm vi kiểm soát của các chính sách mà định dạng việc xác định phần kiểm soát truy nhập của TSP. Phạm vi kiểm soát này được mô tả bởi 3 tập: Các chủ thể dưới kiểm soát của chính sách, các đối tượng dưới kiểm soát của chính sách và các hoạt động giữa các chủ thể được kiểm soát và đối tượng được kiểm soát mà được bao trùm bởi chính sách. Tiêu chí này cho phép tồn tại nhiều chính sách, mỗi cái có một tên duy nhất.

Điều này đạt được bởi các thành phần khởi tạo từ họ này một lần cho mỗi chính sách kiểm soát truy nhập được đặt tên. Quy tắc này định nghĩa chức năng của kiểm soát truy nhập SFP mà sẽ được định nghĩa bởi các họ khác như các chức năng kiểm soát truy nhập (FDP_ACF) và toàn vẹn dữ liệu lưu trữ (FDP_SDI). Các tên của các kiểm soát truy nhập, được xác định ở đây trong chính sách kiểm soát truy nhập (FDP_ACC) có nghĩa là được sử dụng liên tục phần còn lại của các thành phần chức năng mà có một hoạt động gọi phép ấn định hoặc phép chọn của "kiểm soát truy nhập SFP".

10.1.2. Phân mức thành phần

FDP_ACC.1 kiểm soát truy nhập tập con, đòi hỏi mỗi cái chỉ ra kiểm soát truy nhập SFP được đặt trong một tập con của các hoạt động có thể trong một tập con của các đối tượng trong TOE.

FDP_ACC.2 Kiểm soát truy nhập toàn bộ, đòi hỏi mỗi cái chỉ ra kiểm soát truy nhập SFP bao trùm tất cả các hoạt động của chủ thể và đối tượng được bao trùm bởi SFP. Nếu các yêu cầu thêm mà tất cả các đối tượng và hoạt động với TSC được bao trùm bởi ít nhất một kiểm soát truy nhập SFP được chỉ ra.

10.1.3. Quản lý của FDP_ACC.1, FDP_ACC.2

Không có các hoạt động quản lý nào.

10.1.4. Kiểm toán của FDP_ACC.1, FDP_ACC.2

Không có sự kiện có thể kiểm toán nào.

10.1.5. FDP_ACC.1 Kiểm soát truy nhập tập con

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc: FDP_ACF.1 Kiểm soát truy nhập dựa trên các thuộc tính an toàn.

10.1.5.1. FDP_ACC.1.1

TSF cần thực thi [chỉ định: Kiểm soát truy nhập SFP] trong [chỉ định: danh sách các chủ đề, đối tượng và các hoạt động giữa các chủ thể và đối tượng bao trùm bởi SFP].

10.1.6. FDP_ACC.2 Kiểm soát truy nhập toàn bộ

Phân cấp từ: FDP_ACC.1 Kiểm soát truy nhập tập con.

Các mối phụ thuộc: FDP_ACF.1 Kiểm soát truy nhập dựa trên các thuộc tính an toàn.

10.1.6.1. FDP_ACC.2.1

TSF cần thực thi [chỉ định: Kiểm soát truy nhập SFP] trong [chỉ định: danh sách các chủ thể, đối tượng, và tất cả các hoạt động giữa các chủ thể và đối tượng bao trùm bởi SFP].

10.1.6.2. FDP_ACC.2.2

TSF cần đảm bảo rằng tất cả các hoạt động giữa bất kỳ chủ thể nào trong TSC và bất kỳ đối tượng nào bên trong TSC được bao trùm bởi một kiểm soát truy nhập SFP.

10.2. Các chức năng kiểm soát truy nhập (FDP_ACF)

10.2.1. Hành xử của họ

Họ này mô tả các quy tắc cho các chức năng riêng mà có thể thực hiện chính sách kiểm soát truy nhập được đặt tên là chính sách kiểm soát truy nhập (FDP_ACC). Chính sách kiểm soát truy nhập (FDP_ACC) chỉ ra phạm vi kiểm soát của chính sách.

10.2.2. Phân mức thành phần

Họ này đề cập đến các thuộc tính an toàn thông thường và đặc điểm của các chính sách. Thành phần trong họ này có nghĩa là cần được sử dụng để mô tả các quy tắc cho chức năng mà thực hiện SFP như được chỉ ra trong chính sách kiểm soát truy nhập (FDP_ACC). Tác giả PP/ST có thể lặp lại thành phần này để đề cập đến nhiều chính sách trong TOE.

FDP_ACF.1 Thuộc tính an toàn dựa trên kiểm soát truy nhập, thuộc tính an toàn dựa trên kiểm soát truy nhập cho phép TSF thực thi truy nhập dựa trên các thuộc tính an toàn và nhóm các thuộc tính được đặt tên. Thêm vào đó, TSF có thể có khả năng cấp phép hoặc từ chối truy nhập với đối tượng dựa trên các thuộc tính an toàn.

10.2.3. Quản lý của FDP_ACF.1

Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:

a) Quản lý các thuộc tính sử dụng để đưa ra quyết định cho phép hoặc từ chối truy nhập.

10.2.4. Kiểm soát của FDP_ACF.1

Các hành động sau đây có thể được kiểm toán, nếu FAU_GEN Tạo dữ liệu kiểm tra được đặt trong PP/ST:

a) Tối thiểu: Các yêu cầu thực hiện thành công trong vận hành một đối tượng được bao bọc bởi SFP.

b) Cơ sở: Tất cả các yêu cầu thực hiện vận hành một đối tượng được bao bọc bởi SFP.

c) Chi tiết: các thuộc tính an toàn đặc biệt được sử dụng trong thực hiện kiểm tra truy nhập.

10.2.5. FDP_ACF.1 Kiểm soát truy nhập dựa trên thuộc tính an toàn

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc:       FDP_ACC.1 Kiểm soát truy nhập tập con

                                    FDP_MSA.3 Khởi tạo thuộc tính tĩnh.

10.2.5.1. FDP_ACF.1.1

TSF cần thực thi [chỉ định: Kiểm soát truy nhập SFP] đến các đối tượng dựa trên [chỉ định: Danh sách các chủ thể và đối tượng được kiểm soát dưới SFP đã chỉ định, và với danh sách, các thuộc tính an toàn tương ứng SFP, hoặc các nhóm đã gắn tên của các thuộc tính an toàn tương ứng SFP].

10.2.5.2. FDP_ACF.1.2

TSF cần thực thi các quy tắc sau để quyết định nếu một hoạt động giữa các chủ thể được kiểm soát và các đối tượng được kiểm soát cho phép: [chỉ định: các quy tắc quản lý truy nhập giữa các chủ thể được kiểm soát và các đối tượng được kiểm soát sử dụng các hoạt động có kiểm soát với các đối tượng được kiểm soát]

10.2.5.3. FDP_ACF.1.3

TSF cần cấp phép truy nhập rõ ràng cho các chủ thể đến các đối tượng dựa trên các quy tắc sau: [chỉ định: các quy tắc, dựa trên các thuộc tính an toàn, để cấp phép truy nhập rõ ràng cho các chủ thể đến các đối tượng].

10.2.5.4. FDP_ACF.1.4

TSF cần từ chối rõ ràng truy nhập của các chủ thể đến các đối tượng dựa trên [chỉ định: các quy tắc, dựa trên các thuộc tính an toàn, để từ chối rõ ràng truy nhập của các chủ thể đến các đối tượng].

10.3. Xác thực dữ liệu (FDP_DAU)

10.3.1. Hành xử của họ

Xác thực dữ liệu cho phép một thực thể chấp nhận trách nhiệm xác thực thông tin (ví dụ, các chữ ký số). Họ này cung cấp một phương pháp quy định sự đảm bảo tính hợp lệ của một đơn vị đặc biệt của dữ liệu mà có thể được sử dụng để thẩm tra nội dung thông tin giả mạo hoặc thay đổi lừa dối. Trái lại với FAU: Kiểm tra an toàn, họ này được dự định cung cấp các dữ liệu tĩnh hơn là các dữ liệu mà đang được truyền đi.

10.3.2. Phân mức thành phần

FDP_DAU.1 Xác thực dữ liệu cơ sở, đòi hỏi TSF có khả năng tạo một sự đảm bảo của xác thực với các nội dung thông tin của các đối tượng (ví dụ tài liệu).

FDP_DAU.2 Xác thực dữ liệu với chỉ ra người đảm bảo thêm vào các yêu cầu mà TSF có khả năng thiết lập định danh của đối tượng mà cung cấp đảm bảo xác thực.

10.3.3. Quản lý của FDP_DAU.1, FDP_DAU.2

Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:

a) Chỉ định hoặc thay đổi đối tượng, để có thể được cấu hình được xác thực dữ liệu đã áp dụng.

10.3.4. Kiểm toán của FDP_DAU.1

Các hành động sau đây có thể được kiểm toán, nếu FAU_GEN Tạo dữ liệu kiểm toán được đặt trong PP/ST:

a) Tối thiểu: Tạo thành công các chứng cứ có giá trị.

b) Cơ sở: Tạo không thành công các chứng cứ có giá trị.

c) Chi tiết: Định danh của chủ thể mà yêu cầu chứng cứ.

10.3.5. Kiểm toán của FDP_DAU.2

Các hành động sau đây có thể được kiểm toán, nếu FAU_GEN Tạo dữ liệu kiểm toán được đặt trong PP/ST:

a) Tối thiểu: Tạo thành công các chứng cứ có giá trị.

b) Cơ sở: Tạo không thành công các chứng cứ có giá trị.

c) Chi tiết: Định danh của chủ thể mà yêu cầu chứng cứ.

d) Chi tiết: Định danh của chủ thể tạo ra chứng cứ.

10.3.6. FDP_DAU.1 Xác thực dữ liệu cơ sở

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc: Không có phụ thuộc nào.

10.3.6.1. FDP_DAU.1.1

TSF cần cung cấp khả năng tạo chứng cứ mà có thể được sử dụng như sự đảm bảo của xác định tính hợp lệ của [chỉ định: danh sách của các đối tượng hoặc các kiểu thông tin].

10.3.6.2. FDP_DAU.1.2

TSF cần cung cấp [chỉ định: danh sách của các chủ thể] với khả năng thẩm tra chứng cứ có tính hợp lệ của các thông tin đã xác định.

10.3.7. FDP_DAU.2 Xác thực dữ liệu với định danh người đảm bảo

Phân cấp từ: FDP_DAU.1 Xác thực dữ liệu cơ sở.

Các mối phụ thuộc: FIA_UID.1 Định thời cho định danh.

10.3.7.1. FDP_DAU.2.1

TSF cần cung cấp khả năng tạo chứng cứ mà có thể được sử dụng như sự đảm bảo của xác định tính hợp lệ của [chỉ định: danh sách của các đối tượng hoặc các kiểu thông tin].

10.3.7.2. FDP_DAU.2.2

TSF cần cung cấp [chỉ định: danh sách của các chủ thể] với khả năng thẩm tra chứng cứ có tính hợp lệ của các thông tin đã xác định và định danh của người dùng đã tạo ra chứng cứ.

10.4. Xuất dữ liệu từ TOE (FDP_ETC)

10.4.1. Hành xử của họ

Họ này định nghĩa các chức năng để xuất dữ liệu người dùng ra ngoài TOE như các thuộc tính an toàn của nó và sự bảo vệ không chỉ được bảo toàn mà còn được bỏ qua khi nó được xuất ra. Nó được quan tâm với các giới hạn trong xuất và với sự phối hợp của các thuộc tính an toàn với dữ liệu người dùng được xuất ra.

10.4.2. Phân mức thành phần

FDP_ETC.1 xuất dữ liệu người dùng không có các thuộc tính an toàn, đòi hỏi TSF thực thi các SFP phù hợp khi xuất ra ngoài dữ liệu người dùng TSF. Dữ liệu người dùng, được xuất bởi chức năng này được xuất ra mà không có các thuộc tính an toàn kết hợp với nó.

FDP_ETC.2 Xuất dữ liệu người dùng với các thuộc tính an toàn, đòi hỏi TSF thực thi các SFP phù hợp sử dụng một chức năng chính xác và đơn nghĩa kết hợp với các thuộc tính an toàn với dữ liệu người dùng được xuất ra.

10.4.3. Quản lý của FDP_ETC.1

Không có các hoạt động quản lý nào.

10.4.4. Quản lý của FDP_ETC.2

Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:

a) Các quy tắc kiểm soát xuất bổ sung có thể được cấu hình bởi người dùng trong một vai trò định nghĩa trước.

10.4.5. Kiểm toán của FDP_ETC.1, FDP_ETC.2

Các hành động sau đây có thể được kiểm toán, nếu FAU_GEN Tạo dữ liệu kiểm toán được đặt trong PP/ST

a) Tối thiểu: Xuất thành công thông tin.

b) Cơ sở: Tất cả các nỗ lực để xuất thông tin.

10.4.6. FDP_ETC.1 Xuất dữ liệu người dùng không có các thuộc tính an toàn

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc:       [FDP_ACC.1 Kiểm soát truy nhập tập con, hoặc

                                    FDP_ETC.1 Kiểm soát luồng thông tin tập con].

10.4.6.1. FDP_ETC.1.1

TSF cần thực thi [chỉ định: kiểm soát truy nhập SFP và/hoặc kiểm soát luồng thông tin SFP] khi xuất dữ liệu người dùng, được kiểm soát dưới SFP, bên ngoài của TOE.

10.4.6.2. FDP_ETC.1.2

TSF cần xuất dữ liệu người dùng không có các thuộc tính an toàn kết hợp với dữ liệu người dùng.

10.4.7. FDP_ETC.2 Xuất dữ liệu người dùng với các thuộc tính an toàn

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc:       [FDP_ACC.1 Kiểm soát truy nhập tập con, hoặc

                                    FDP_IFC.1 Kiểm soát luồng thông tin tập con]

10.4.7.1. FDP_ETC.2.1

TSF cần thực thi [chỉ định: kiểm soát truy nhập SFP và/hoặc kiểm soát luồng thông tin SFP] khi xuất dữ liệu người dùng, được kiểm soát dưới SFP, bên ngoài của TOE.

10.4.7.2. FDP_ETC.2.2

TSF cần xuất dữ liệu người dùng với các thuộc tính an toàn kết hợp với dữ liệu người dùng.

10.4.7.3. FDP_ETC.2.3

TSF cần đảm bảo rằng các thuộc tính an toàn, khi xuất ra ngoài TOE là duy nhất được kết hợp với dữ liệu người dùng được xuất ra.

10.4.7.4. FDP_ETC.2.4

TSF thực thi các quy tắc sau khi dữ liệu người dùng được xuất ra từ TOE: [chỉ định: các quy tắc kiểm soát dữ liệu xuất ra bổ sung].

10.5. Chính sách kiểm soát luồng thông tin (FDP_IFC)

10.5.1. Hành xử của họ

Họ này chỉ ra kiểm soát luồng thông tin SFPs (theo tên) và định nghĩa phạm vi kiểm soát của mỗi chính sách kiểm soát luồng thông tin SFP. Phạm vi kiểm soát được biểu diễn với ba tập: Các chủ thể chịu sự kiểm soát của chính sách, thông tin dưới sự kiểm soát của chính sách và các hoạt động gây ra chuyển luồng thông tin có kiểm soát ra và vào chủ thể kiểm soát bao trùm bởi chính sách. Các tiêu chí cho phép nhiều chính sách tồn tại, mỗi cái có một tên duy nhất. Điều này thực hiện bằng việc lặp lại các thành phần từ họ này với mỗi chính sách kiểm soát luồng thông tin đã đặt tên. Các quy tắc định nghĩa các chức năng của kiểm soát luồng thông tin SFP sẽ được định nghĩa bởi các họ khác như các chức năng kiểm soát luồng thông tin (FDP_IFF) và Xuất dữ liệu ra ngoài TOE (FDP_ETC). Tên của kiểm soát luồng thông tin SFP xác định chính sách kiểm soát luồng thông tin (FDP_IFC) có nghĩa là được sử dụng liên tục phần còn lại của các thành phần chức năng mà có một hoạt động gọi phép ấn định hoặc phép chọn của "kiểm soát luồng thông tin SFP".

Cơ chế TSF kiểm soát luồng tin phù hợp với chính sách kiểm soát luồng thông tin SFP. Các hoạt động mà có thể thay đổi các thuộc tính an toàn của thông tin là không được phép nói chung, do điều đó sẽ phá hoại việc kiểm soát luồng thông tin SFP. Mặc dù các hoạt động như thế sẽ được giới hạn như các trường hợp ngoại lệ để kiểm soát luồng thông tin nếu được chỉ ra rõ ràng.

10.5.2. Phân mức thành phần

FDP_IFC.1 Kiểm soát luồng thông tin tập con, đòi hỏi mỗi kiểm soát luồng thông tin được chỉ ra SFP được đặt tại vị trí cho tập con của các hoạt động có thể trong tập con của các luồng thông tin trong TOE.

FDP_IFC.2 Kiểm soát luồng thông tin đầy đủ, đòi hỏi mỗi kiểm soát luồng thông tin được xác định SFP bao trùm tất cả các hoạt động trên các chủ thể và thông tin được bao trùm bởi SFP. Nếu các yêu cầu thêm với tất cả thông tin chuyển tới và hoạt động với TSC được bao trùm ít nhất bởi một kiểm soát luồng thông tin được xác định SFP. Trong sự kết nối với thành phần FPT_RVM.1, điều này mang lại khía cạnh "luôn viện dẫn" của giám sát tham chiếu.

10.5.3. Quản lý của FDP_IFC.1, FDP_IFC.2

Không có các hoạt động quản lý nào.

10.5.4. Kiểm tra của FDP_IFC.1, FDP_IFC.2

Không có các hoạt động quản lý nào.

10.5.5. FDP_IFC.1 Kiểm soát luồng thông tin tập con

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc: FDP_IFF.1.1 Các thuộc tính đơn giản

10.5.5.1. FDP_IFC.1.1

TSF cần thực thi [chỉ định: kiểm soát luồng thông tin SFP] trong [chỉ định: danh sách của các chủ thể, thông tin và các hoạt động mà là nguyên nhân thông tin được kiểm soát chuyển tới và từ các chủ thể được kiểm soát bao trùm bởi SFP]

10.5.6. FDP_IFC Kiểm soát luồng thông tin đầy đủ

Phân cấp từ: FDP_IFC.1 Kiểm soát luồng thông tin tập con

Các mối phụ thuộc: FDP_IFF Các thuộc tính an toàn đơn giản.

10.5.6.1. FDP_IFC.2.1

TSF cần thực thi [chỉ định: kiểm soát luồng thông tin SFP] trong [chỉ định: danh sách của các chủ thể và thông tin] và tất cả các hoạt động mà là nguyên nhân thông tin chuyển tới và từ các chủ thể được bao trùm bởi SFP].

10.5.6.2. FDP_IFC.2.2

TSF cần đảm bảo rằng tất cả các hoạt động mà là nguyên nhân bất kỳ thông tin trong TSC được chuyển tới và từ chủ thể trong TSC được bao trùm bởi kiểm soát luồng thông tin SFP.

10.6. Các chức năng kiểm soát luồng thông tin (FDP_IFF)

10.6.1. Hành xử của họ

Họ này mô tả các quy tắc cho các chức năng riêng mà thực hiện kiểm soát luồng thông tin SFP được đặt tên trong chính sách kiểm soát luồng thông tin (FDP_IFC), mà cũng chỉ ra phạm vi kiểm soát của chính sách. Nó bao gồm hai kiểu yêu cầu: kiểu thứ nhất đề cập đến chức năng kiểm soát luồng thông tin và kiểu thứ hai đề cập các luồng thông tin không được phép (ví dụ các kênh che đậy). Sự phân chia này tăng lên bởi vì các vấn đề liên quan đến các luồng thông tin không được phép, trong một số trường hợp nhạy cảm, nó trực giao với phần còn lại của kiểm soát luồng thông tin SFP. Theo tính tự nhiên của chúng phá vỡ kiểm soát luồng thông tin dẫn đến phá hoại chính sách. Do đó, chúng đòi hỏi các chức năng đặc biệt trong cả việc giới hạn và ngăn chặn sự xuất hiện của chúng.

10.6.2. Phân mức thành phần

FDP_IFF.1 Các thuộc tính an toàn đơn giản, đòi hỏi các thuộc tính an toàn trên thông tin, và trong các chủ thể là nguyên nhân thông tin chuyển tới và trong các chủ thể mà hành động như là bên nhận thông tin đó. Nó chỉ ra các quy tắc này cần được thực thi bởi chức năng và mô tả các thuộc tính an toàn được lấy từ chức năng như thế nào.

FDP_IFF.2 Các thuộc tính an toàn phân cấp mở rộng các yêu cầu của FDP_IFF.1 Các thuộc tính an toàn đơn giản, bằng cách đòi hỏi tất cả SFP kiểm soát luồng thông tin trong tập các SFP sử dụng các thuộc tính an toàn phân cấp tạo thành một lưới mắt cáo (như định nghĩa trong toán học). FDP_IFF.2.6 được dẫn xuất từ các đặc tính của lưới mắt cáo về mặt toán học. Một lưới mắt cáo bao gồm một tập các phần tử với một mối quan hệ đặt hàng với thuộc tính đã định nghĩa ở dòng đầu tiên; một giới hạn dưới lớn nhất mà tại đó phần tử duy nhất trong tập lớn hơn hay bằng (trong mối quan hệ đặt hàng) với mọi phần tử khác của lưới mắt cáo; và một giới hạn trên bé nhất mà tại đó phần tử duy nhất trong tập nhỏ hơn hoặc bằng với mọi phần tử khác của lưới mắt cáo.

FDP_IFF.3 Giới hạn các luồng thông tin bất hợp pháp, đòi hỏi SFP bao trùm các luồng thông tin bất hợp pháp, song không cần thiết phải loại trừ chúng.

FDP_IFF.4 Loại trừ từng phần các luồng thông tin bất hợp pháp, đòi hỏi SFP bao trùm một số (nhưng không cần thiết là tất cả) các luồng thông tin bất hợp pháp.

FDP_IFF.5 Không chứa các luồng thông tin bất hợp pháp, đòi hỏi SFP bao trùm phần loại trừ của tất cả các luồng thông tin bất hợp pháp.

FDP_IFF.6 Giám sát các luồng thông tin bất hợp pháp, đòi hỏi SFP giám sát các luồng thông tin bất hợp pháp về khả năng tối đa và danh nghĩa.

10.6.3. Quản lý của FDP_IFF.1, FDP_IFF.2

Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:

a) Quản lý các thuộc tính sử dụng để thực hiện các quyết định dựa trên truy nhập.

10.6.4. Quản lý của FDP_IFF.3, FDP_IFF.4, FDP_IFF.5

Không có các hoạt động quản lý nào.

10.6.5. Quản lý của FDP_IFF.6

Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:

a) Bật hoặc tắt chức năng giám sát

b) Thay đổi khả năng tối đa khi có sự giảm sát xuất hiện.

10.6.6. Kiểm toán của FDP_IFF.1, FDP_IFF.2, FDP_IFF.5

Các hành động sau đây có thể được kiểm toán, nếu FAU_GEN Tạo dữ liệu kiểm toán được đặt trong PP/ST:

a) Tối thiểu: Các quyết định cho phép các luồng thông tin được yêu cầu

b) Cơ sở: Tất cả các quyết định dựa trên các đòi hỏi về luồng thông tin.

c) Chi tiết: Các thuộc tính an toàn đặc biệt sử dụng để ra quyết định về thực thi luồng thông tin.

d) Chi tiết: Một vài tập con đặc biệt của thông tin được đưa đến dựa trên các đích chính sách (ví dụ Kiểm tra về vật liệu đánh giá thấp)

10.6.7. Kiểm toán của FDP_IFF.3, FDP_IFF.4, FDP_IFF.6

Các hành động sau đây có thể được kiểm toán, nếu FAU_GEN Tạo dữ liệu kiểm toán được đặt trong PP/ST:

a) Tối thiểu: Các quyết định cho phép các luồng thông tin được yêu cầu

b) Cơ sở: Tất cả các quyết định dựa trên các đòi hỏi về luồng thông tin

c) Cơ sở: Sử dụng các kênh luồng thông tin không hợp pháp được xác định

d) Chi tiết: Các thuộc tính an toàn đặc biệt sử dụng để ra quyết định về thực thi luồng thông tin.

e) Chi tiết: Một vài tập con đặc biệt của thông tin được đưa đến dựa trên các đích chính sách (ví dụ Kiểm tra về vật liệu đánh giá thấp).

f) Chi tiết: Sử dụng các kênh luồng thông tin không hợp pháp được xác định với khả năng loại trừ tối đa vượt quá một giá trị danh nghĩa.

10.6.8. FDP_IFF.1 Các thuộc tính an toàn đơn giản

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc:       FDP_IFC.1 Kiểm soát luồng thông tin tập con

                                    FMT_MSA.3 Khởi tạo thuộc tính tĩnh

10.6.8.1. FDP_IFF.1.1

TSF cần thực thi [chỉ định: Kiểm soát luồng thông tin SFP] dựa trên các kiểu chủ thể và các thuộc tính an toàn thông tin sau: [chỉ định: danh sách các chủ thể và thông tin được kiểm soát dưới SFP được chỉ ra và với mỗi cái có các thuộc tính an toàn].

10.6.8.2. FDP_IFF.1.2

TSF cần cho phép thông tin đến từ giữa các chủ thể được kiểm soát và thông tin được kiểm soát qua hoạt động kiểm soát nếu các quy tắc sau được thực hiện: [chỉ định: với mỗi hoạt động, mối quan hệ dựa trên các thuộc tính an toàn cần phải áp dụng giữa chủ thể và các thuộc tính an toàn thông tin].

10.6.8.3. FDP_IFF.1.3

TSF cần thực thi [chỉ định: các quy tắc kiểm soát luồng thông tin SFP bổ sung]

10.6.8.4. FDP_IFF.1.4

TSF cần cấp phép rõ ràng một luồng thông tin dựa trên những quy tắc sau đây: [chỉ định: các quy tắc, dựa theo các thuộc tính an toàn, cấp phép rõ ràng cho các luồng thông tin].

10.6.8.5. FDP_IFF.1.5

TSF cần cấp phép rõ ràng một luồng thông tin dựa trên những quy tắc sau đây: [chỉ định: các quy tắc, dựa theo các thuộc tính an toàn, từ chối rõ ràng các luồng thông tin].

10.6.9. FDP_IFF.2 Các thuộc tính an toàn phân cấp

Phân cấp: FDP_IFF.1 Các thuộc tính an toàn đơn giản.

Các mối phụ thuộc:       FDP_IFC.1 Kiểm soát luồng thông tin tập con

                                    FMT_MSA.3 Khởi tạo thuộc tính tĩnh

10.6.9.1. FDP_IFF.2.1

TSF cần thực thi [chỉ định: kiểm soát luồng thông tin SFP] dựa trên các kiểu chủ thể và các thuộc tính an toàn thông tin sau: [chỉ định: danh sách các chủ thể và thông tin được kiểm soát dưới SFP được chỉ ra và với mỗi cái có các thuộc tính an toàn].

10.6.9.2. FDP_IFF.2.2

TSF cần cho phép thông tin đến từ giữa các chủ thể được kiểm soát và thông tin được kiểm soát qua hoạt động kiểm soát nếu các quy tắc sau, dựa theo mối quan hệ đặt hàng giữa các thuộc tính an toàn, được thực hiện: [chỉ định: với mỗi hoạt động, mối quan hệ dựa trên các thuộc tính an toàn cần phải áp dụng giữa chủ thể và các thuộc tính an toàn thông tin].

10.6.9.3. FDP_IFF.2.3

TSF cần thực thi [chỉ định: các quy tắc kiểm soát luồng thông tin SFP bổ sung]

10.6.9.4. FDP_IFF.2.4

TSF cần cấp phép rõ ràng một luồng thông tin dựa trên những quy tắc sau đây: [chỉ định: các quy tắc, dựa theo các thuộc tính an toàn, cấp phép rõ ràng cho các luồng thông tin].

10.6.9.5. FDP_IFF.2.5

TSF cần từ chối rõ ràng một luồng thông tin dựa trên những quy tắc sau đây: [chỉ định: các quy tắc dựa theo các thuộc tính an toàn, từ chối rõ ràng các luồng thông tin].

10.6.9.6. FDP_IFF.2.6

a) Tồn tại một chức năng yêu cầu sao cho với hai thuộc tính an toàn hợp lệ, thì chức năng này sẽ quyết định các thuộc tính an toàn giống nhau, hoặc một thuộc tính an toàn lớn hơn cái còn lại, hoặc các thuộc tính an toàn không thể so sánh được.

b) Tồn tại "biên trên nhỏ nhất" trong tập các thuộc tính an toàn, sao cho, với bất kỳ hai thuộc tính an toàn hợp lệ nào, sẽ có một thuộc tính an toàn hợp lệ lớn hơn hoặc bằng hai thuộc tính an toàn hợp lệ kia, và

c) Tồn tại một "biên dưới lớn nhất" trong tập các thuộc tính an toàn, sao cho, với bất kỳ hai thuộc tính an toàn hợp lệ nào, sẽ có một thuộc tính an toàn hợp lệ không lớn hơn hai thuộc tính an toàn hợp lệ kia.

10.6.10. FDP_IFF.3 Giới hạn các luồng thông tin bất hợp pháp

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc: FDP_IFC.1 Kiểm soát luồng thông tin tập con

10.6.10.1. FDP_IFF.3.1

TSF cần thực thi [chỉ định: kiểm soát luồng thông tin SFP] để giới hạn khả năng của [chỉ định: các kiểu luồng thông tin bất hợp pháp] đến một [chỉ định: khả năng tối đa].

10.6.11. FDP_IFF.4 Loại trừ từng phần các luồng thông tin bất hợp pháp

Phân cấp từ: FDP_IFF.2 Giới hạn các luồng thông tin bất hợp pháp.

Các mối phụ thuộc: FDP_IFF.1 Kiểm soát luồng thông tin tập con.

10.6.11.1. FDP_IFF.4.1

TSF cần thực thi [chỉ định: Kiểm soát luồng thông tin SFP] để giới hạn khả năng của [chỉ định: các kiểu luồng thông tin bất hợp pháp] đến một [chỉ định: khả năng tối đa].

10.6.11.2. FDP_IFF.4.2

TSF cần ngăn chặn [chỉ định: các kiểu luồng thông tin bất hợp pháp]

10.6.12. FDP_IFF.5 Không có các luồng thông tin bất hợp pháp

Phân cấp từ: FDP_IFF.4 Loại trừ từng phần các luồng thông tin bất hợp pháp.

Các mối phụ thuộc: FDP_IFC.1 Kiểm soát luồng thông tin tập con.

10.6.12.1. FDP_IFF.5.1

TSF cần đảm bảo rằng không có luồng thông tin bất hợp pháp tồn tại để phá hỏng [chỉ định: tên của kiểm soát luồng thông tin SFP]

10.6.13. FDP_IFF.6

TSF cần thực thi [chỉ định: Kiểm soát luồng thông tin SFP] để giám sát [chỉ định: các kiểu luồng thông tin không hợp pháp] khi nó vượt quá [chỉ định: khả năng tối đa]

10.7. Nhập dữ liệu từ bên ngoài TOE (FDP_TOE)

10.7.1. Hành xử của họ

Họ này định nghĩa các cơ chế để đưa dữ liệu người dùng vào trong TOE như vậy nó có các thuộc tính an toàn tương ứng và được bảo vệ phù hợp. Nó được quan tâm với các giới hạn trong nhập, quyết định các thuộc tính an toàn mong muốn và trình bày các thuộc tính an toàn kết hợp với dữ liệu người dùng.

10.7.2. Phân mức thành phần

FDP_ITC.1 Nhập dữ liệu người dùng không có các thuộc tính an toàn, đòi hỏi các thuộc tính an toàn biểu diễn chính xác dữ liệu người dùng và được hỗ trợ phân tách từ đối tượng này.

FDP_ITC.2 Nhập dữ liệu người dùng với các thuộc tính an toàn, đòi hỏi các thuộc tính an toàn biểu diễn chính xác dữ liệu người dùng và kết hợp chính xác và rõ ràng với dữ liệu người dùng từ bên ngoài TSC.

10.7.3. Quản lý của FDP_ITC.1, FDP_ITC.2

Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:

a) Thay đổi các quy tắc kiểm soát bổ sung sử dụng cho nhập dữ liệu.

10.7.4. Kiểm toán của FDP_ITC.1, FDP_ITC.2

Các hành động sau đây có thể được kiểm toán, nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn chứa trong PP/ST:

a) Tối thiểu: nhập vào thành công dữ liệu người dùng, bao gồm bất kỳ các thuộc tính an toàn nào

b) Cơ sở: Tất cả các nỗ lực để nhập vào dữ liệu người dùng, bao gồm bất kỳ các thuộc tính an toàn nào.

c) Chi tiết: Các đặc tả của các thuộc tính an toàn cho dữ liệu an toàn được nhập vào được quy định bởi người dùng có ủy quyền.

10.7.5. FDP_ITC.1 Nhập dữ liệu người dùng không có các thuộc tính an toàn

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc:       [FDP_ACC.1 Kiểm soát truy cập tập con, hoặc

                                    FDP_IFC.1 Kiểm soát luồng thông tin tập con

                                    FMT_MSA.3 Khởi tạo các thuộc tính tĩnh

10.7.5.1. FDP_ITC.1.1

TSF cần thực thi [chỉ định: kiểm soát truy nhập SFP và/hoặc kiểm soát luồng thông tin SFP] khi nhập dữ liệu người dùng, kiểm soát dưới SFP, từ bên ngoài TOE.

10.7.5.2. FDP_ITC.1.2

TSF cần bỏ qua bất kỳ các thuộc tính an toàn nào kết hợp với dữ liệu người dùng khi nhập dữ liệu người dùng từ bên ngoài TOE.

10.7.5.3. FDP_ITC.1.3

TSF cần thực thi các quy tắc sau đây khi nhập dữ liệu người dùng được kiểm soát dưới SFP từ bên ngoài của TSC: [chỉ định: các quy tắc kiểm soát bổ sung]

10.7.6. FDP_ITC.2 Nhập dữ liệu người dùng với các thuộc tính an toàn

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc:       [FDP_ACC.1 Kiểm soát truy nhập tập con, hoặc

                                    FDP_IFC.1 Kiểm soát luồng thông tin tập con]

                                    [FTP_ITC.1 Kênh tin cậy liên-TSF, hoặc

                                    FTP_TRP.1 đường dẫn tin cậy]

                                    FPT_TDC.1 Nhất quán dữ liệu TSF cơ bản liên-TSF

10.7.6.1. FDP_ITC.2.1

TSF cần thực thi [chỉ định: kiểm soát truy nhập SFP và/hoặc kiểm soát luồng thông tin SFP] khi nhập dữ liệu người dùng, được kiểm soát dưới SFP, từ bên ngoài của TOE.

10.7.6.2. FDP_ITC.2.2

TSF cần sử dụng các thuộc tính an toàn kết hợp với dữ liệu người dùng được nhập vào.

10.7.6.3. FDP_ITC.2.3

TSF cần đảm bảo rằng giao thức sử dụng để cung cấp với sự kết hợp rõ ràng giữa các thuộc tính an toàn và dữ liệu người dùng nhận được.

10.7.6.4. FDP_ITC.2.4

TSF cần đảm bảo rằng việc biểu diễn các thuộc tính an toàn của dữ liệu người dùng được nhập vào như là nguồn dữ liệu người dùng dự định.

10.7.6.5. FDP_ITC.2.5

TSF cần thực thi các quy tắc sau đây khi nhập dữ liệu người dùng được kiểm soát dưới SFP từ bên ngoài TSC: [chỉ định: các quy tắc kiểm soát nhập bổ sung].

10.8. Vận chuyển nội bộ TOE (FDP_ITT)

10.8.1. Hành xử của họ

Họ này quy định các yêu cầu đề cập đến bảo vệ dữ liệu người dùng khi nó được chuyển giao giữa các phần của TOE qua một kênh bên trong. Điều này có thể trái ngược với các họ Bảo vệ vận chuyển bí mật dữ liệu người dùng liên - TSF (FDP_UCT) và Bảo vệ vận chuyển toàn vẹn dữ liệu người dùng liên-TSF (FDP_UIT), cung cấp tính năng bảo vệ dữ liệu người dùng khi vận chuyển chúng giữa các TSF khác nhau qua các kênh bên ngoài, và Xuất dữ liệu từ TOE (FDP_ETC), Nhập dữ liệu từ bên ngoài TOE (FDP_ITC) đề cập đến việc vận chuyển trung gian TSF cho dữ liệu ra khỏi TOE và từ bên ngoài vào TOE.

10.8.2. Phân mức thành phần

FDP_ITT.1 Bảo vệ vận chuyển nội bộ cơ sở, đòi hỏi dữ liệu người dùng được bảo vệ khi truyền giữa các phần của TOE.

FDP_ITT.2 Phân chia truyền tải theo thuộc tính, đòi hỏi phân chia dữ liệu dựa trên giá trị của các thuộc tính liên quan-SFP trong thành phần đầu tiên được bổ sung.

FDP_ITT.3 Giám sát toàn vẹn, đòi hỏi TSF giám sát dữ liệu người dùng được truyền giữa các phần của TOE với các lỗi toàn vẹn dữ liệu được chỉ ra.

FDP_ITT.4 Giám sát toàn vẹn dựa trên các thuộc tính, mở rộng đến thành phần thứ ba với việc cho phép định dạng giám sát toàn vẹn về khác biệt của các thuộc tính SFP liên quan.

10.8.3. Quản lý của FDP_ITT.1, FDP_ITT.2

Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:

a) Nếu TSF quy định nhiều phương pháp để bảo vệ dữ liệu người dùng trong thời gian truyền giữa các phần vật lý được phân tách bởi TOE, TSF có thể đưa ra các tập phân vai được định nghĩa trước với khả năng lựa chọn phương pháp sẽ được sử dụng.

10.8.4. Quản lý của FDP_ITT.3, FDP_ITT.4

Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:

a) Đặc tả của các hoạt động được thực hiện dựa trên phát hiện lỗi toàn vẹn có thể được cấu hình

10.8.5. Kiểm toán của FDP_ITT.1, FDP_ITT.2

Các hành động sau đây có thể được kiểm toán, nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn chứa trong PP/ST:

a) Tối thiểu: các chuyển giao thành công dữ liệu người dùng, bao gồm xác định phương pháp bảo vệ được sử dụng.

b) Cơ sở: Tất cả các nỗ lực để chuyển giao dữ liệu người dùng, bao gồm phương pháp bảo vệ được sử dụng và bất kỳ lỗi nào xuất hiện.

10.8.6. Kiểm toán của FDP_ITT.3, FDP_ITT.4

Các hành động sau đây có thể được kiểm toán, nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn chứa trong PP/ST:

a) Tối thiểu: các chuyển giao thành công dữ liệu người dùng, bao gồm xác định phương pháp bảo vệ toàn vẹn được sử dụng.

b) Cơ sở: Tất cả các nỗ lực để chuyển giao dữ liệu người dùng, bao gồm phương pháp bảo vệ toàn vẹn được sử dụng và bất kỳ lỗi nào xuất hiện.

c) Cơ sở: Các nỗ lực không được ủy quyền để thay đổi phương pháp bảo vệ toàn vẹn.

d) Chi tiết: Hành động được thực hiện dựa trên phát hiện về lỗi toàn vẹn.

10.8.7. FDP_ITT.1 Bảo vệ vận chuyển nội bộ cơ sở

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc:       [FDP_ACC.1 Kiểm soát truy nhập tập con, hoặc

                                    FDP_IFC.1 Kiểm soát luồng thông tin tập con]

10.8.7.1. FDP_ITT.1.1

TSF cần thực thi [chỉ định: kiểm soát truy nhập SFP và/hoặc kiểm soát luồng thông tin SFP] để ngăn chặn [lựa chọn: phơi bày, thay đổi, không sử dụng được] với dữ liệu người dùng khi nó được truyền giữa các phần vật lý phân tách của TOE.

10.8.8. FDP_ITT.2 Phân tách truyền tải bởi các thuộc tính

Phân cấp từ: FDP_ITT.1 Bảo vệ vận chuyển nội bộ cơ sở

Các mối phụ thuộc:       [FDP_ACC.1 Kiểm soát truy nhập tập con, hoặc

                                    FDP_IFC.1 Kiểm soát luồng thông tin tập con]

10.8.8.1. FDP_ITT.2.1

TSF cần thực thi [chỉ định: kiểm soát truy nhập SFP và/hoặc kiểm soát luồng thông tin SFP] để ngăn chặn [lựa chọn: phơi bày, thay đổi, không sử dụng được] với dữ liệu người dùng khi nó được truyền giữa các phần vật lý phân tách của TOE.

10.8.8.2. FDP_ITT.2.2

TSF cần phân tách dữ liệu kiểm soát bởi SFP khi truyền tải các thành phần của TOE, dựa trên các giá trị sau: [chỉ định: các thuộc tính an toàn đòi hỏi phân tách].

10.8.9. FDP_ITT.3 Giám sát toàn vẹn

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc:       [FDP_ACC.1 Kiểm soát truy nhập tập con, hoặc

                                    FDP_IFC.1 Kiểm soát luồng thông tin tập con]

                                    FDP_ITT.1 Bảo vệ vận chuyển nội bộ cơ sở

10.8.9.1. FDP_ITT.3.1

TSF cần thực thi [chỉ định: Kiểm soát truy nhập SFP và/hoặc kiểm soát luồng thông tin SFP] thông qua giám sát dữ liệu người dùng được truyền giữa các phần vật lý phân tách của TOE theo các lỗi sau: [chỉ định: các lỗi toàn vẹn].

10.8.9.2. FDP_ITT.3.2

Dựa trên các phát hiện về toàn vẹn dữ liệu, TSF cần [chỉ định: chỉ ra các hành động được thực hiện dựa trên lỗi toàn vẹn dữ liệu].

10.8.10. FDP_ITT.4 Giám sát toàn vẹn dựa trên thuộc tính

Phân cấp từ FDP_ITT.3 giám sát toàn vẹn

Các mối phụ thuộc:       [FDP_ACC.1 Kiểm soát truy nhập tập con, hoặc

                                    FDP_IFC.1 Kiểm soát luồng thông tin tập con]

                                    FDP_ITT.2 Phân tách truyền theo thuộc tính

10.8.10.1. FDP_ITT.4.1

TSF cần thực thi [chỉ định: Kiểm soát truy nhập SFP và/hoặc kiểm soát luồng thông tin SFP] thông qua giám sát dữ liệu người dùng được truyền giữa các phần vật lý phân tách của TOE theo các lỗi sau: [chỉ định: các lỗi toàn vẹn], dựa theo các thuộc tính sau: [chỉ định: các thuộc tính an toàn đòi hỏi phân tách truyền kênh].

10.8.10.2. FDP_ITT.4.2

Dựa trên các phát hiện về toàn vẹn dữ liệu, TSF cần [chỉ định: chỉ ra các hành động được thực hiện dựa trên lỗi toàn vẹn dữ liệu].

10.9. Bảo vệ thông tin dư thừa (FDP_RIP)

10.9.1. Hành xử của họ

Họ này đề cập đến sự cần thiết đảm bảo rằng các thông tin bị xóa sẽ không thể truy nhập sau đó, và các đối tượng được tạo gần nhất không chứa các thông tin mà không thể truy nhập. Họ này đòi hỏi bảo vệ thông tin được xóa hoặc giải phóng lô-gic, nhưng vẫn có thể được biểu diễn bên trong tài nguyên có kiểm soát của TSF và do vậy có thể được cấp phát lại cho đối tượng khác.

10.9.2. Phân mức thành phần

FDP_RIP.1 Bảo vệ thông tin dư thừa tập con, yêu cầu TSF đảm bảo rằng bất kỳ nội dung thông tin dư thừa nào của bất kỳ nguồn nào là không sẵn sàng với một tập con được định nghĩa của các đối tượng trong TSC dựa trên cấp phát hoặc hủy cấp phát tài nguyên.

FDP_RIP.2 Bảo vệ thông tin dư thừa đầy đủ, yêu cầu TSF đảm bảo rằng bất kỳ nội dung thông tin dư thừa của bất kỳ nguồn nào là không sẵn sàng với tất cả các đối tượng dựa trên cấp phát hoặc hủy cấp phát tài nguyên.

10.9.3. Quản lý của FDP_RIP.1, FDP_RIP.2

Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:

a) Lựa chọn khi thực hiện bảo vệ thông tin dư thừa (ví dụ dựa trên cấp phát hoặc hủy cấp phát) có thể được cấu hình bên trong TOE

10.9.4. Kiểm toán của FDP_RIP.1, FDP_RIP.2

Không có sự kiện có thể kiểm toán nào.

10.9.5. FDP_RIP.1 Bảo vệ thông tin dư thừa tập con

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc: Không có mối phụ thuộc nào.

10.9.5.1. FDP_RIP.1.1

TSF cần đảm bảo rằng bất kỳ nội dung thông tin trước đó của một tài nguyên được thực hiện không sẵn sàng [chỉ định: cấp phát của tài nguyên cho, hủy cấp phát của tài nguyên từ] theo các đối tượng: [chỉ định: danh sách của các đối tượng]

10.9.6. FDP_RIP.2 Bảo vệ thông tin dư thừa đầy đủ

Phân cấp từ: FDP_RIP.1 Bảo vệ thông tin dư thừa tập con

Các mối phụ thuộc: Không phụ thuộc

10.9.6.1. FDP_RIP.2.1

TSF cần đảm bảo bất kỳ nội dung thông tin trước đó của tài nguyên được thực hiện không sẵn có dựa trên [lựa chọn: cấp phát tài nguyên cho, hủy cấp phát của các tài nguyên từ] tất cả các đối tượng.

10.10. Khôi phục (FDP_ROL)

10.10.1. Hành xử của họ

Hoạt động khôi phục (rollback) liên quan đến việc hoàn lại thao tác hoặc chuỗi các thao tác, được giới hạn bởi một hạn định ví dụ như chu kỳ thời gian, quay trở lại trạng thái biết trước đó. Rollback cho khả năng hoàn lại các hiệu ứng của một thao tác hoặc chuỗi thao tác nhằm bảo toàn tính toàn vẹn của dữ liệu người dùng.

10.10.2. Phân mức thành phần

FDP_ROL.1 Trở lại trạng thái trước cơ bản đề cập đến sự cần thiết hoặc dưới một số giới hạn các hoạt động bên trong các ranh giới được định nghĩa.

FDP_ROL.2 Trở lại trạng thái trước nâng cao đề cập đến sự cần thiết quay lại trạng thái trước đó hoặc không thực hiện tất cả các hoạt động bên trong ranh giới được định nghĩa.

10.10.3. Quản lý của FDP_ROL.1, FDP_ROL.2

Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:

a) Giới hạn biên theo đó việc trở lại trạng thái trước đó có thể được thực hiện và các mẫu được cấu hình bên trong TOE

b) Cho phép thực hiện hoạt động quay lại trạng thái trước có thể bị ngăn cản với tập phân vai được định nghĩa tốt.

10.10.4. Kiểm toán của FDP_ROL.1, FDP_ROL.2

Các hành động sau đây có thể được kiểm toán, nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn chứa trong PP/ST:

a) Tối thiểu: tất cả các hoạt động thực hiện thành công để quay trở lại trạng thái trước đó

b) Cơ sở: Tất cả các nỗ lực để thực hiện quay trở lại trạng thái trước đó

c) Chi tiết: Tất cả các nỗ lực để thực hiện quay trở lại trạng thái trước đó, bao gồm việc định danh các kiểu thực hiện quay trở lại trạng thái trước

10.10.5. FDP_ROL.1 Khôi phục cơ bản

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc:       [FDP_ACC.1 Kiểm soát truy nhập tập con, hoặc

                                    FDP_IFC.1 Kiểm soát luồng thông tin tập con]

10.10.5.1. FDP_ROL.1.1

TSF cần thực thi [chỉ định: kiểm soát truy nhập SFP và/hoặc kiểm soát luồng thông tin SFP] để cho phép khôi phục lại trạng thái trước đó của [chỉ định: danh sách các hoạt động] dựa trên [chỉ định: thông tin và/hoặc danh sách của các đối tượng]

10.10.5.2. FDP_ROL.1.2

TSF cần cho phép các hoạt động để quay lại trạng thái trước đó bên trong [chỉ định: giới hạn biên cho việc khôi phục lại trạng thái trước đó].

10.10.6. FDP_ROL.2 Khôi phục cải tiến

Phân cấp từ: FDP_ROL.1 Khôi phục cơ bản

Các mối phụ thuộc:       [FDP_ACC.1 Kiểm soát truy nhập tập con, hoặc

                                    FDP_IFC.1 Kiềm soát luồng thông tin tập con]

10.10.6.1. FDP_ROL.2.1

TSF cần thực thi [chỉ định: kiểm soát truy nhập SFP và/hoặc kiểm soát luồng thông tin SFP] để cho phép khôi phục lại toàn bộ hoạt động trên [chỉ định: danh sách các đối tượng]

10.10.6.2. FDP_ROL.2.2

TSF cần cho phép các hoạt động có thể khôi phục lại trong khoảng [chỉ định: giới hạn biên cho việc khôi phục có thể thực hiện]

10.11. Toàn vẹn dữ liệu lưu trữ (FDP_SDI)

10.11.1. Hành xử của họ

Họ này quy định các yêu cầu đề cập đến việc bảo vệ dữ liệu người dùng khi nó được lưu trữ trong TSC. Các lỗi toàn vẹn có thể ảnh hưởng đến việc lưu trữ dữ liệu người dùng trong bộ nhớ hoặc trong thiết bị lưu trữ. Họ này khác với chuyển giao TOE nội bộ (FDP_ITT) mà bảo vệ dữ liệu người dùng khỏi các lỗi toàn vẹn khi đang được truyền bên trong TOE.

10.11.2. Phân mức thành phần

FDP_SDI.1 Giám sát toàn vẹn dữ liệu lưu trữ, đòi hỏi bộ giám sát dữ liệu người dùng SF được lưu trữ trong TSC cho các lỗi toàn vẹn được chỉ ra

FDP_SDI.2 Giám sát toàn vẹn dữ liệu lưu trữ và các hành động thêm vào để bổ sung cho khả năng đến thành phần đầu tiên bởi việc cho phép các hoạt động được thực hiện như kết quả của phát hiện lỗi.

10.11.3. Quản lý của FDP_SDI.1

Không có các hoạt động quản lý nào.

10.11.4. Quản lý của FDP_SDI.2

Các hành động sau đây có thể được kiểm toán, nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn chứa trong PP/ST:

a) Tối thiểu: Các nỗ lực thành công để soát xét sự toàn vẹn của dữ liệu người dùng, bao gồm biểu thị của các kết quả soát xét

b) Cơ sở: Tất cả các nỗ lực để soát xét toàn vẹn của dữ liệu, bao gồm biểu thị của các kết quả soát xét nếu được thực hiện.

c) Chi tiết: Kiểu lỗi toàn vẹn mà đã xuất hiện

d) Chi tiết: Các hành động được thực hiện dựa trên phát hiện về các lỗi toàn diện.

10.11.6. Kiểm toán của FDP_SDI.2

Các hành động sau đây có thể được kiểm tra nếu FAU_GEN Tạo dữ liệu kiểm tra được đặt trong PP/ST:

e) Tối thiểu: Các nỗ lực thành công để soát xét sự toàn vẹn của dữ liệu người dùng, bao gồm biểu thị của các kết quả soát xét

f) Cơ sở: Tất cả các nỗ lực để soát xét sự toàn vẹn của dữ liệu, bao gồm biểu thị của các kết quả soát xét nếu được thực hiện.

g) Chi tiết: Kiểu lỗi toàn vẹn mà đã xuất hiện

h) Chi tiết: Các hành động được thực hiện dựa trên phát hiện về các lỗi toàn diện.

10.11.7. FDP_SDI.1 Giám sát toàn vẹn dữ liệu lưu trữ

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc: Không phụ thuộc

10.11.7.1. FDP_SDI.1.1

TSF cần giám sát dữ liệu người dùng được lưu trữ trong TSF cho [chỉ định: các lỗi toàn vẹn] trong tất cả các đối tượng, dựa trên các thuộc tính sau: [chỉ thị: các thuộc tính dữ liệu người dùng].

10.11.8. FDP_SDI.2 Giám sát toàn vẹn dữ liệu lưu trữ và hành động

Phân cấp từ: FDP_SDI.1 Giám sát toàn vẹn lưu trữ dữ liệu

Các mối phụ thuộc: không phụ thuộc

10.11.8.1. FDP_SDI.2.1

TSF cần giám sát dữ liệu người dùng được lưu trữ trong TSC cho [chỉ thị: các lỗi toàn vẹn] trên tất cả các đối tượng, dựa trên các thuộc tính sau: [chỉ thị: các thuộc tính dữ liệu người dùng]

10.11.8.2. FDP_SDI.2.2

Dựa trên phát hiện về lỗi toàn vẹn dữ liệu, TSF cần [chỉ thị: hành động được thực hiện]

10.12. Bảo vệ vận chuyển bí mật dữ liệu người dùng liên-TSF (FDP_UCT)

10.12.1. Hành xử của họ

Họ này định nghĩa các yêu cầu để đảm bảo sự tin cậy của dữ liệu người dùng khi nó được chuyển giao sử dụng kênh ngoài giữa các TOE khác nhau hoặc người dùng trong các TOE khác nhau.

10.12.2. Phân mức thành phần

Trong FDP_UCT.1 Trao đổi dữ liệu tin cậy cơ bản, mục đích đặt ra là bảo vệ chống lại sự khai thác dữ liệu người dùng khi truyền.

10.12.3. Quản lý của FDP_UCT.1

Không có các hoạt động quản lý nào

10.12.4. Kiểm toán của FDP_UCT.1

Các hành động sau đây có thể được kiểm toán, nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn chứa trong PP/ST:

a) Tối thiểu: Định danh của bất kỳ người dùng hoặc thực thể nào sử dụng các cơ chế trao đổi dữ liệu.

b) Cơ sở: Định danh của bất kỳ người dùng hoặc thực thể không được ủy quyền nào cố gắng sử dụng các cơ chế trao đổi dữ liệu.

c) Cơ sở: Một tham chiếu đến tên hoặc thông tin đánh chỉ mục hữu ích khác trong việc xác định dữ liệu người dùng được truyền hay nhận. Nó bao gồm các thuộc tính an toàn kết hợp với thông tin.

10.12.5. FDP_UCT.1 Bí mật trao đổi dữ liệu cơ bản

Phân cấp từ: Không có các thành phần nào

Các mối phụ thuộc:       [FTP_ICT.1 Kênh tin cậy TSF, hoặc

                                    FTP_TRP.1 Đường dẫn tin cậy]

                                    [FDP_ACC.1 Kiểm soát truy nhập tập con, hoặc

                                    FDP_IFC.1 Kiểm soát luồng thông tin tập con]

10.12.5.1.FDP_UCT.1.1

TSF cần thực thi [chỉ thị: kiểm soát truy nhập SFP và/hoặc kiểm soát luồng thông tin SFP] có thể [lựa chọn: truyền, nhận] đến các đối tượng theo cách thức được bảo vệ từ việc khai thác không được cấp phép.

10.13. Bảo vệ vận chuyển toàn vẹn dữ liệu người dùng liên-TSF (FDP_UIT)

10.13.1. Hành xử của họ

Họ này định nghĩa các yêu cầu cho quy định sự toàn vẹn của dữ liệu người dùng trong việc truyền giữa TSF và các sản phẩm IT được tin cậy khác và khôi phục từ các lỗi có thể được phát hiện. Tại mức tối thiểu,họ này giám sát sự toàn vẹn của dữ liệu người dùng với các thay đổi. Thêm vào đó, họ này hỗ trợ các cách khác nhau của việc chỉnh sửa các lỗi toàn vẹn được xác định.

10.13.2. Phân mức thành phần

FDP_UIT.1 Toàn vẹn trao đổi dữ liệu đề cập đến sự phát hiện các thay đổi, xóa, thêm, lặp lại lỗi trong dữ liệu người dùng được truyền.

FDP_UIT.2 Khôi phục trao đổi dữ liệu nguồn đề cập đến việc khôi phục dữ liệu người dùng gốc với việc nhận TSF với sự giúp đỡ từ sản phẩm CNTT có nguồn gốc đáng tin cậy.

FDP_UIT.3 Khôi phục trao đổi dữ liệu đích đề cập đến việc khôi phục dữ liệu người dùng với việc nhận TSF của nó mà không có bất kỳ sự trợ giúp nào từ các sản phẩm IT có nguồn gốc tin cậy.

10.13.3. Quản lý của FDP_UIT.1, FDP_UIT.2, FDP_UIT.3

Không có các hoạt động quản lý nào.

10.13.4. Kiểm toán của FDP_UIT.1

Các hành động sau đây có thể được kiểm toán, nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn chứa trong PP/ST:

a) Tối thiểu: Định danh của bất kỳ người dùng hoặc thực thể nào sử dụng các cơ chế trao đổi dữ liệu

b) Cơ sở: Định danh của bất kỳ người dùng hoặc cố gắng sử dụng các cơ chế trao đổi dữ liệu, nhưng lại không được ủy quyền để làm điều đó.

c) Cơ sở: Một tham chiếu đến tên hoặc thông tin đánh chỉ mục đích hữu ích khác trong việc xác định dữ liệu người dùng được truyền hay nhận. Nó bao gồm các thuộc tính an toàn kết hợp với thông tin.

d) Cơ sở: bất kỳ nỗ lực xác định nào để ngăn chặn việc truyền dữ liệu người dùng

e) Chi tiết: các kiểu và/hoặc các ảnh hưởng của bất kỳ sự thay đổi được phát hiện trong truyền dữ liệu người dùng.

10.13.5. Kiểm toán của FDP_UIT.2, FDP_UIT.3

Các hành động sau đây có thể được kiểm tra nếu FAU_GEN Tạo dữ liệu kiểm tra được đặt trong PP/ST

a) Tối thiểu: Định danh của bất kỳ người dùng hoặc thực thể nào sử dụng các cơ chế trao đổi dữ liệu.

b) Tối thiểu: Khối phục thành công các lỗi bao gồm kiểu của lỗi đã được phát hiện

c) Cơ sở: Định danh của bất kỳ người dùng hoặc cố gắng sử dụng các cơ chế trao đổi dữ liệu, nhưng lại không được ủy quyền để làm điều đó.

d) Cơ sở: Một tham chiếu đến tên hoặc thông tin đánh chỉ mục hữu ích khác trong việc xác định dữ liệu người dùng được truyền hay nhận. Nó bao gồm các thuộc tính an toàn kết hợp với thông tin.

e) Cơ sở: bất kỳ nỗ lực xác định nào để ngăn chặn việc truyền dữ liệu người dùng

f) Chi tiết: các kiểu và/hoặc các ảnh hưởng của bất kỳ sự thay đổi được phát hiện trong truyền dữ liệu người dùng.

10.13.6. FDP_UIT.1 Toàn vẹn trao đổi dữ liệu

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc:       [FDP_ACC.1 Kiểm soát truy nhập tập con, hoặc

                                    FDP_IFC.1 Kiểm soát luồng thông tin tập con]

                                    FDP_UIT.1 Toàn vẹn trao đổi dữ liệu, hoặc

                                    FTP_ITC.1 Kênh tin cậy liên-TSF]

10.13.6.1. FDP_UIT.1.1

TSF cần thực thi [chỉ định: Kiểm soát truy nhập SFP và/hoặc kiểm soát luồng thông tin SFP] có thể [lựa chọn: truyền, nhận] dữ liệu người dùng theo cách thức được bảo vệ từ [lựa chọn: thay đổi, xóa, chèn, lặp lại] các lỗi.

10.13.6.2. FDP_UIT1.2

TSF cần có khả năng quyết định nhận dữ liệu người dùng, có hay không với [lựa chọn: thay đổi, xóa, thêm, lặp lại] xuất hiện.

10.13.7. FDP_UIT.2 Khôi phục trao đổi dữ liệu gốc

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc:       [FDP_ACC.1 Kiểm soát truy nhập tập con, hoặc

                                    FDP_IFC.1 kiểm soát luồng thông tin tập con]

                                    FDP_UIT.1 Toàn vẹn trao đổi dữ liệu, hoặc

                                    FTP_ITC.1 Kênh tin cậy liên-TSF]

10.13.7.1. FDP_UIT.2.1

TSF cần thực thi [chỉ định: kiểm soát truy nhập SFP và/hoặc kiểm soát luồng thông tin SFP] có thể khôi phục từ [chỉ thị: danh sách của các lỗi có thể khôi phục] với sự trợ giúp của các sản phẩm IT có nguồn gốc tin cậy.

10.13.8. FDP_UIT.3 Khôi phục trao đổi dữ liệu đích

Phân cấp từ: FDP_UIT khôi phục trao đổi dữ liệu nguồn

Các mối phụ thuộc:       [FDP_ACC.1 Kiểm soát truy nhập tập con, hoặc

                                    FDP_IFC.1 Kiểm soát luồng thông tin tập con]

                                    FDP_UIT.1 Toàn vẹn trao đổi dữ liệu, hoặc

                                    FTP_ITC.1 Kênh tin cậy liên-TSF]

10.13.8.1. FDP_UIT.3.1

TSF cần thực thi [chỉ định: kiểm soát truy nhập SFP và/hoặc kiểm soát luồng thông tin SFP] có thể khôi phục từ [chỉ thị: danh sách của các lỗi có thể khôi phục] không có bất kỳ sự trợ giúp nào từ các sản phẩm IT có nguồn gốc tin cậy.

11. Lớp FIA: Định danh và xác thực

Các họ trong lớp này gửi những yêu cầu cho những chức năng để thiết lập và xác minh một định danh người dùng đã được yêu cầu.

Yêu cầu định danh và xác thực để đảm bảo rằng người dùng sẽ có các thuộc tính an toàn (ví dụ như: định danh, nhóm, các quy tắc, các mức an toàn hay toàn vẹn).

Danh tính rõ ràng của người dùng có thẩm quyền và việc kết hợp đúng các thuộc tính an toàn với người dùng và các chủ thể then chốt để bắt buộc các chính sách an ninh không mong muốn. Các họ trong lớp này đề cập đến việc xác định và xác minh danh tính của người dùng, xác định người có thẩm quyền của họ để tương tác với TOE, và với việc kết hợp đúng của các thuộc tính an toàn đối với người dùng có thẩm quyền. Các lớp khác của yêu cầu (bảo vệ dữ liệu người dùng, kiểm toán an toàn) phụ thuộc vào việc định danh và xác thực chính xác người dùng thì mới có hiệu lực.

Hình 11 - Phân cấp lớp FIA: Định danh và xác thực

11.1. Các lỗi xác thực (FIA_AFL)

11.1.1. Hành xử của họ

Họ này bao gồm các yêu cầu để định nghĩa các giá trị cho một vài số lượng thử chứng thực mà không thành công và các hành động TSF trong các trường hợp lỗi thử xác thực. Những tham số, không hạn chế, bao gồm số lượng thử xác thực bị lỗi và các ngưỡng thời gian.

11.1.2. Phân mức thành phần

FIA_AFL.1 Xử lý lỗi xác thực, yêu cầu TSF có thể giới hạn các quá trình thiết lập phiên sau khi xác định được số việc thử xác thực thất bại. Sau khi giới hạn quá trình thiết lập phiên, nó cũng yêu cầu TSF có thể khóa tài khoản người dùng hoặc điểm vào (máy trạm) từ lúc thử nghiệm cho tới khi xảy ra điều kiện mà người quản trị đã định nghĩa.

11.1.3. Quản lý của FIA_AFL.1

Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:

a) Quản lý các ngưỡng của việc thử xác thực không thành công.

b) Quản lý các hành động được tạo ra trong sự kiện của lỗi xác thực.

11.1.4. Kiểm toán của FIA_AFL.1

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

a) Tối thiểu: Đạt được ngưỡng cho việc thử xác thực không thành công và thực hiện các hành động (khóa đầu cuối), sau đó là việc phục hồi trở về trạng thái bình thường (mở lại đầu cuối).

11.1.5. Xử lý lỗi xác thực FIA_AFL.1

Phân cấp từ: Không có các thành phần nào

Các mối phụ thuộc: FIA_UAU.1 Định thời cho xác thực

11.1.5.1. FIA_AFL.1.1

TSF cần phát hiện [việc lựa chọn: [ấn định: số nguyên dương] khi nhà quản trị thiết lập số nguyên dương với điều kiện là [chỉ định: khoảng giá trị cho phép] và việc thử xác thực không thành công xuất hiện liên quan tới [chỉ định: danh sách các sự kiện xác thực].

11.1.5.2. FIA_AFL.1.2

Khi số lượng việc thử xác thực không thành công được xác định hoặc phụ trội thì TSF sẽ thực hiện [chỉ định: danh sách các hành động].

11.2. Định nghĩa thuộc tính người dùng (FIA_ATD)

11.2.1. Hành xử của họ

Tất cả người dùng có thẩm quyền có thể có một tập thuộc tính an toàn, những thuộc tính khác định danh người dùng được sử dụng để thực thi TSP. Họ này xác định các yêu cầu về thuộc tính an toàn người dùng liên đới với những người dùng cần để trợ giúp TSP.

11.2.2. Phân mức thành phần

FIA_ATD.1 Xác định thuộc tính người dùng cho phép các thuộc tính an toàn người dùng đối với mỗi người dùng để duy trì một cách riêng lẻ.

11.2.3. Quản lý của FIA_ATD.1

Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:

a) Nếu việc ấn định quá mức ấn định, người quản trị có thẩm quyền phải định nghĩa thêm các thuộc tính an toàn cho người dùng.

11.2.4. Kiểm toán của FIA_ATD.1

Không có các sự kiện có thể kiểm toán nào.

11.2.5. FIA_ATD.1 Định nghĩa thuộc tính người dùng

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc: Không có sự phụ thuộc.

11.2.5.1. FIA_ATD.1.1

TSF cần duy trì danh sách các thuộc tính an toàn mà thuộc về người dùng riêng lẻ: [chỉ định: danh sách các thuộc tính an toàn].

11.3. Đặc tả các của các bí mật (FIA_SOS)

11.3.1. Hành xử của họ

Họ này định nghĩa các yêu cầu về kỹ thuật để thực thi các tỷ lệ đặc trưng được định nghĩa trong vấn đề bảo mật đã đề cập cũng như là mới phát sinh để đáp ứng tỷ lệ đã định nghĩa.

11.3.2. Phân mức thành phần

FIA_SOS.1 Thẩm tra bảo mật, yêu cầu TSF xác minh các vấn đề bảo mật được thấy trong tỷ lệ đặc trưng đã được định nghĩa.

FIA_SOS.2 TSF Tạo ra các bí mật, yêu cầu TSF có thể phát sinh các vấn đề bảo mật nhận thấy trong tỷ lệ đặc trưng đã định nghĩa.

11.3.3. Quản lý của FIA_SOS.1

Các hành động sau có thể liên quan tới các chức năng quản lý trong FMT:

a) Quản lý các tỷ lệ để xác minh vấn đề bảo mật.

11.3.4. Quản lý của FIA_SOS.2

Các hành động sau đây có thể liên quan tới các chức năng quản lý trong FMT:

a) Quản lý các tỷ lệ để phát sinh vấn đề bảo mật

11.3.5. Kiểm toán của FIA_SOS.1, FIA_SOS.2

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

a) Tối thiểu: Việc loại bỏ bởi TSF trong bất kỳ thử nghiệm bảo mật nào.

b) Cơ sở: Việc loại bỏ hoặc chấp nhận bởi TSF trong bất kỳ thử nghiệm bảo mật nào

c) Chi tiết: Định danh của bất kỳ sự thay đổi tới tỷ lệ đặc trưng đã định nghĩa.

11.3.6. FIA_SOS.1 Thẩm tra của các bí mật

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc: Không có sự phụ thuộc nào.

11.3.6.1. FIA_SOS.1.1

TSF cần cung cấp một cơ chế để thẩm tra các bí mật đã thỏa mãn [chỉ định: một đơn vị đo chất lượng định nghĩa trước].

11.3.7. FIA_SOS.2 Tạo các bí mật TSF

Phân cấp từ: Không có các thành phần nào

Các mối phụ thuộc: Không có sự phụ thuộc.

11.3.7.1. FIA_SOS.2.1

TSF cần cung cấp một cơ chế để thẩm tra bí mật đã thỏa mãn [chỉ định: một đơn vị đo chất lượng định nghĩa trước].

11.3.7.2. FIA_SOS.2.2

TSF cần có khả năng thực thi việc sử dụng các bí mật đã tạo ra cho TSF cho [chỉ định: danh sách các chức năng của TSF].

11.4. Xác thực người dùng (FIA_UAU)

11.4.1. Hành xử của họ

Họ này định nghĩa các kiểu cơ chế xác thực người dùng được trợ giúp bởi TSF. Họ này cũng định nghĩa các thuộc tính được yêu cầu trong cơ chế xác thực người dùng phải là các thuộc tính cơ sở.

11.4.2. Phân mức thành phần

FIA_UAU.1 Định thời cho xác thực, cho phép một người dùng thực thi ưu tiên các hành động nào đó hơn là xác thực danh tính của một người dùng.

FIA_UAU.2 Xác thực người dùng trước khi hành động, yêu cầu người dùng là phải được xác thực trước khi bất kỳ hành động nào được cho phép bởi TSF.

FIA_UAU.3 Xác thực không thể giả mạo, yêu cầu cơ chế xác thực có thể phát hiện và ngăn chặn việc sử dụng dữ liệu xác thực đã được giả mạo hay sao chép.

FIA_UAU.4 Các cơ chế xác thực dùng đơn chiếc, yêu cầu một cơ chế thực tính toán với dữ liệu xác thực sử dụng riêng lẻ.

FIA_UAU.5 Các cơ chế đa xác thực, yêu cầu các cơ chế xác thực khác nhau được cung cấp và được sử dụng để xác định danh tính người dùng trong các sự kiện cụ thể.

FIA_UAU.6 Xác thực lại, yêu cầu khả năng để xác định các sự kiện cho người dùng cần được xác thực.

FIA_UAU.7 Phản hồi xác thực có bảo vệ, yêu cầu những thông tin phản hồi hạn chế được quy định cho người dùng trong việc xác thực.

11.4.3. Quản lý của FIA_UAU.1

Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:

a) Quản lý dữ liệu xác thực bởi người quản trị.

b) Quản lý dữ liệu xác thực bởi người dùng cộng tác

c) Quản lý danh sách các hành động mà có thể được thực hiện trước khi người dùng được xác thực.

11.4.4. Quản lý của FIA_UAU.2

Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:

a) Quản lý dữ liệu xác thực bởi người quản trị

b) Quản lý dữ liệu xác thực bởi người dùng cộng tác với dữ liệu này.

11.4.5. Quản lý của FIA_UAU.3, FIA_UAU.4, FIA_UAU.7

Không có các hoạt động quản lý nào.

11.4.6. Quản lý của FIA_UAU.5

Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:

a) Quản lý các cơ chế xác thực

b) Quản lý các quy tắc xác thực

11.4.7. Quản lý của FIA_UAU.6

Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:

a) Nếu người quản trị có thẩm quyền có thể yêu cầu xác thực lại, việc quản lý gồm một yêu cầu xác thực lại.

11.4.8. Kiểm toán của FIA_UAU.1

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

a) Tối thiểu: Sử dụng cơ chế xác thực không thành công

b) Cơ sở: Sử dụng tất cả các cơ chế xác thực

c) Chi tiết: Tất cả các hành động trung gian TSF được thực thi trước khi xác thực người dùng.

11.4.9. Kiểm toán của FIA_UAU.2

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

a) Tối thiểu: Sử dụng cơ chế xác thực không thành công

b) Cơ sở: Sử dụng tất cả cơ chế xác thực.

11.4.10. Kiểm toán của FIA_UAU.3

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

a) Tối thiểu: Phát hiện các dữ liệu xác thực giả mạo.

b) Cơ sở: Tất cả các độ đo trực tiếp được thực hiện và các kết quả kiểm toán trên dữ liệu giả mạo.

11.4.11. Kiểm toán của FIA_UAU.4

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

a) Tối thiểu: Việc thử dùng lại các dữ liệu xác thực.

11.4.12. Kiểm toán của FIA_UAU.5

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

a) Tối thiểu: quyết định cuối cùng vào việc xác thực.

b) Cơ sở: Kết quả của mỗi cơ chế hoạt động cùng với quyết định cuối cùng.

11.4.13. Kiểm toán của FIA_UAU.6

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

a) Tối thiểu: Lỗi xác thực lại;

b) Cơ sở: Tất cả việc thử xác thực lại.

11.4.14. Kiểm toán của FIA_UAU.7

Không có sự kiện có thể kiểm toán nào.

11.4.15. FIA_UAU.1 Định thời cho xác thực

Phân cấp từ: Không có các thành phần nào

Các mối phụ thuộc: FIA_UID.1 Định thời cho định danh

11.4.15.1. FIA_UAU.1.1

TSF cần cho phép [chỉ định: danh sách các hành động trung gian TSF] đại diện cho người dùng thực hiện trước khi người dùng được xác thực.

11.4.15.2. FIA_UAU.1.2

TSF cần yêu cầu người dùng phải xác thực thành công trước khi cho phép các hành động trung gian TSF khác đại diện cho người dùng đó.

11.4.16. FIA_UAU.2 Xác thực người dùng trước khi hành động

Phân cấp từ: FIA_UAU.1 Định thời cho xác thực

Các mối phụ thuộc: FIA_UID.1 Định thời cho định danh

11.4.16.1. FIA_UAU.2.1

TSF cần yêu cầu mỗi người dùng xác thực thành công trước khi cho phép các hành động trung gian TSF khác đại diện cho người dùng đó.

11.4.17. FIA_UAU.3 Xác thực không thể giả mạo

Phân cấp từ: Không có các thành phần nào

Các mối phụ thuộc: Không có sự phụ thuộc

11.4.17.1. FIA_UAU.3.1

TSF cần [lựa chọn: phát hiện, ngăn chặn] việc sử dụng dữ liệu xác thực đã bị giả mạo bởi một người dùng TSF nào đó.

11.4.17.2. FIA_UAU.3.2

TSF cần [lựa chọn: phát hiện, ngăn chặn] việc sử dụng của dữ liệu xác thực đã được sao chép từ một người dùng TSF khác.

11.4.18. FIA_UAU.4 Các cơ chế xác thực đơn

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc: Không có sự phụ thuộc nào.

11.4.18.1. FIA_UAU.4.1

TSF cần ngăn chặn việc sử dụng lại dữ liệu xác thực liên quan tới [chỉ định: cơ chế xác thực định danh].

11.4.19. FIA_UAU.5 Cơ chế đa xác thực

Phân cấp từ: Không có các thành phần nào

Các mối phụ thuộc: Không có sự phụ thuộc nào.

11.4.19.1. FIA_UAU.5.1

TSF cần cung cấp [Chỉ định: danh sách cơ chế đa xác thực] để trợ giúp xác thực người dùng.

11.4.19.2. FIA_UAU.5.2

TSF cần xác thực bất kỳ định danh yêu cầu của người dùng nào tuân theo [chỉ định: các quy tắc miêu tả các cơ chế đa xác thực quy định việc xác thực như thế nào].

11.4.20. FIA_UAU.6 Xác thực lại

Phân cấp từ: Không có các thành phần nào

Sự Các mối phụ thuộc: Không có sự phụ thuộc nào.

11.4.20.1. FIA_UAU.6.1

TSF cần xác thực lại người dùng dưới các điều kiện [chỉ định: danh sách các điều kiện dưới mỗi việc xác thực lại được yêu cầu]

11.4.21. FIA_UAU.7 Phản hồi xác thực có bảo vệ

Phân cấp từ: Không có các thành phần nào

Các mối phụ thuộc: FIA_UAU.1 Định thời cho xác thực

11.4.21.1. FIA_UAU.7.1

TSF cần cung cấp chỉ các [chỉ định: danh sách phản hồi] tới người trong khi việc xác thực là đang được tiến hành.

11.5. Định danh người dùng (FIA_UID)

11.5.1. Hành xử của họ

Họ này định nghĩa các điều kiện mà người dùng sẽ được yêu cầu để định danh chúng trước khi thực hiện bất kỳ các hành động khác đã được dàn xếp bởi TSF và điều kiện này yêu cầu định danh người dùng.

11.5.2. Phân mức thành phần

FIA_UID.1 Định thời cho định danh, cho phép người dùng thực hiện các hành động chắc chắn trước khi được định danh bởi TSF.

FIA_UID.2 Định danh người dùng trước khi bất kỳ hành động, yêu cầu người dùng định danh trước khi hành động được cho phép bởi TSF.

11.5.3. Quản lý của FIA_UID.1

Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:

a) Quản lý định danh người dùng

b) Nếu một người quản trị có thẩm quyền có thể: thay đổi các hành động được phép trước khi định danh, quản lý các danh sách hành động.

11.5.4. Quản lý của FIA_UID.2

Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:

a) Quản lý định danh người dùng

11.5.5. Kiểm toán của FIA_UID.1, FIA_UID.2

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

a) Tối thiểu: Sử dụng cơ chế định danh người dùng không thành công, bao gồm định danh người dùng được quy định.

b) Cơ sở: Tất cả sử dụng cơ chế định danh người dùng, bao gồm định danh người dùng được quy định.

11.5.6. FIA_UID.1 Định thời cho định danh

Phân cấp từ: Không có các thành phần nào

Các mối phụ thuộc: Không có sự phụ thuộc nào.

11.5.6.1. FIA_UID.1.1

TSF cần cho phép [chỉ định: danh sách các hành động trung gian TSF] trợ giúp người dùng thực hiện trước khi người dùng được định danh.

11.5.6.2. FIA_UID.1.2

TSF cần yêu cầu mỗi người dùng phải xác định thành công trước khi cho phép các hành động trung gian TSF đại diện cho người dùng đó.

11.5.7. FIA_UID.2 Định danh người dùng trước khi hành động

Phân cấp từ: FIA_UID.1 Định thời cho định danh

Các mối phụ thuộc: Không có sự phụ thuộc nào.

11.5.7.1. FIA_UID.2.1

TSF cần yêu cầu mỗi người dùng xác định danh tính trước khi cho phép bất kỳ các hành động trung gian TSF đại diện cho người dùng đó.

11.6. Liên kết chủ thể - người dùng (FIA_USB)

11.6.1. Hành xử của họ

Một người dùng được xác thực hành động đặc trưng về một chủ đích để sử dụng TOE. Các thuộc tính an toàn người dùng là được kết hợp (tổng thể hoặc từng phần) với chủ đích này. Họ này định nghĩa các yêu cầu để tạo và duy trì sự kết hợp của các thuộc tính an toàn người dùng tới một hành động chủ đích phía đại diện cho người dùng.

11.6.2. Phân mức thành phần

FIA_USB.1 Liên kết chủ thể - người dùng yêu cầu sự ấn định của bất kỳ quy tắc nào bao trùm việc trợ giúp giữa các thuộc tính người dùng và các thuộc tính chủ thể vào trong cái mà chúng được ánh xạ.

11.6.3. Quản lý của FIA_USB.1

Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:

a) Người quản trị có thẩm quyền có thể định nghĩa mặc định các thuộc tính an toàn chủ thể.

b) Người quản trị có thẩm quyền có thể thay đổi các thuộc tính an toàn chủ thể.

11.6.4. Kiểm toán của FIA_USB.1

Các hành động sau nên được kiểm toán, nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đưa vào trong PP/ST:

a) Tối thiểu: Ràng buộc các thuộc tính an toàn người dùng tới một vấn đề là không thành công (ví dụ: việc tạo ra một chủ thể).

b) Cơ sở: Việc thành công hay thất bại của vấn đề ràng buộc các thuộc tính an toàn người dùng tới một chủ thể (ví dụ: việc thành công hay thất bại để tạo một chủ thể)

11.6.5. FIA_USB.1 Liên kết chủ thể - người dùng

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc: FIA_ATD.1 Định nghĩa thuộc tính người dùng

11.6.5.1. FIA_USB.1.1

TSF cần kết hợp các thuộc tính an toàn người dùng với các chủ thể hành động bên phía đại diện của người dùng đó: [chỉ định: danh sách các thuộc tính an toàn người dùng].

11.6.5.2. FIA_USB.1.2

TSF cần thực thi các quy tắc sau dựa trên phía liên kết của các thuộc tính an toàn người dùng lúc khởi tạo với các chủ đề hành động dựa trên phía đại diện của người dùng: [chỉ định: các quy tắc cho liên kết ban đầu của các thuộc tính].

11.6.5.3. FIA_USB.1.3

TSF cần thực thi các quy tắc chủ yếu sau thay đổi các thuộc tính an toàn người dùng được liên kết với các chủ thể hành động bên phía đại diện người dùng: [chỉ định: các quy tắc để thay đổi các thuộc tính].

12. Lớp FMT: Quản lý an toàn

Lớp này được dùng để chỉ định quản lý một vài lĩnh vực của TSF: các thuộc tính an toàn, các chức năng và dữ liệu TSF. Các quy tắc quản lý khác nhau và sự tương tác giữa chúng có thể được chỉ rõ như là sự phân tách khả năng.

Lớp này có một vài mục tiêu sau:

a) Quản lý dữ liệu TSF, ví dụ như là: tiêu đề

b) Quản lý các thuộc tính an toàn, ví dụ như là: các Danh sách kiểm soát truy cập và danh sách Năng lực.

c) Quản lý các chức năng của TSF, ví dụ như là: việc lựa chọn các chức năng và các quy tắc hay các điều kiện tác động đến hành vi của TSF.

d) Định nghĩa các vai trò an toàn.

Hình 12 - Sự phân cấp lớp FMT: Quản lý an toàn

12.1. Quản lý các chức năng trong TSF (FMT_MOF)

12.1.1. Hành xử của họ

Họ này cho phép người dùng có thẩm quyền điều khiển thông qua việc quản lý các chức năng trong TSF. Ví dụ về các chức năng trong TSF bao gồm các chức năng kiểm tra và các chức năng đa xác thực.

12.1.2. Phân mức thành phần

FMT_MOF.1 Quản lý hành xử của các chức năng an toàn, cho phép người dùng có thẩm quyền (các quy tắc) để quản lý cơ chế hoạt động của chức năng trong TSF mà sử dụng các quy tắc hay có các điều kiện đặc biệt có thể được quản lý.

12.1.3. Quản lý của FMT_MOF.1

Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:

a) Quản lý nhóm các quy tắc có thể tương tác với các chức năng trong TSF.

12.1.4. Kiểm toán của FMT_MOF.1

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

a) Cơ sở: tất cả sự thay đổi trong hành vi của các chức năng trong TSF.

12.1.5. FMT_MOF.1 Các cơ chế hoạt động của quản lý chức năng an toàn

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc:       FMT_SMR.1 Các vai trò an toàn

                                    FMT_SMF.1 Đặc tả các chức năng quản lý

12.1.5.1. FMT_MOF.1.1

TSF cần hạn chế khả năng tới [lựa chọn: xác định cơ chế hoạt động như tắt, bật, thay đổi cơ chế hoạt động] của các chức năng [chỉ định: danh sách các chức năng] cho tới  [chỉ định: các quy tắc định danh có thẩm quyền].

12.2. Quản lý các thuộc tính an toàn (FMT_MSA)

12.2.1. Hành xử của họ

Họ này cho phép người dùng có thẩm quyền điều khiển qua việc quản lý các thuộc tính an toàn. Việc quản lý này phải bao gồm các khả năng hiển thị và thay đổi các thuộc tính an toàn.

12.2.2. Phân mức thành phần

FMT_MSA.1 Quản lý các thuộc tính an toàn, cho phép người dùng có thẩm quyền (các quy tắc) để quản lý các thuộc tính an toàn đã định rõ.

FMT_MSA.2 Các thuộc tính an toàn, đảm bảo rằng các giá trị được ấn định tới các thuộc tính an toàn là hợp lý và lưu ý tới trạng thái an toàn.

FMT_MSA.3 Khởi tạo thuộc tính tĩnh, đảm bảo rằng các giá trị mặc định của các thuộc tính an toàn hoặc là cho phép hoặc là hạn chế một cách thích hợp.

FMT_MSA.4 Kế thừa giá trị thuộc tính an toàn, cho phép quy tắc/chính sách xác định giá trị được thừa kế bởi một thuộc tính an toàn.

12.2.3. Quản lý của FMT_MSA.1

Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:

a) Quản lý nhóm các quy tắc mà có thể tương tác với các thuộc tính an toàn.

b) Quản lý các quy tắc xác định giá trị kế thừa bởi thuộc tính an toàn.

12.2.4. Quản lý của FMT_MSA.2

Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:

a) Quản lý các quy tắc xác định giá trị kế thừa bởi thuộc tính an toàn

12.2.5. Quản lý của FMT_MSA.3

Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:

a) Quản lý nhóm các quy tắc mà có thể xác định các giá trị khởi tạo.

b) Quản lý việc thiết lập cho phép hoặc giới hạn các giá trị mặc định cho việc đưa ra điều khiển truy cập SFP.

c) Quản lý các quy tắc xác định giá trị kế thừa bởi thuộc tính an toàn.

12.2.6. Quản lý của FMT_MSA.4

Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:

a) Đặc tả vai trò được phép thiết lập hoặc thay đổi thuộc tính an toàn.

12.2.7. Kiểm toán của FMT_MSA.1

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

a) Cơ sở: Tất cả sự thay đổi các giá trị của các thuộc tính an toàn.

12.2.8 Kiểm toán của FMT_MSA.2

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

a) Tối thiểu: Tất cả các giá trị từ chối và được quy định cho thuộc tính an toàn.

b) Chi tiết: Tất cả các giá trị an toàn được quy định và chấp thuận cho thuộc tính an toàn.

12.2.9. Kiểm toán của FMT_MSA.3

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

a) Cơ sở: Sự thay đổi các thiết lập mặc định của các quy tắc cho phép hoặc cấm.

b) Cơ sở: Tất cả sự thay đổi các giá trị khởi tạo của các thuộc tính an toàn.

12.2.10. Kiểm toán của FMT_MSA.4

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

a) Sự thay đổi thuộc tính an toàn, có thể với và/hoặc giá trị thuộc tính an toàn đã được thay đổi.

12.2.11. FMT_MSA.1 Quản lý các thuộc tính an toàn

Phân cấp từ: Không có các thành phần nào

Các mối phụ thuộc:

[FDP_ACC.1 Kiểm soát truy cập tập con, hoặc

FDP_IFC.1 Kiểm soát luồng thông tin tập con]

FMT_SMR.1 Các vai trò an toàn

FMT_SMF.1 Đặc tả các chức năng quản lý

12.2.11.1. FMT_MSA.1.1

TSF cần thực thi [chỉ định: điều khiển truy cập SFP, điều khiển luồng thông tin SFP] để hạn chế khả năng [lựa chọn: thay đổi mặc định, yêu cầu, thay đổi, xóa, [chỉ định: các thuật toán khác]] các thuộc tính an toàn [chỉ định: danh sách các thuộc tính an toàn] tới [chỉ định: các vai trò đã xác định và cấp phép].

12.2.12. FMT_MSA.2 Các thuộc tính an toàn

Phân cấp từ: Không có các thành phần nào

Các mối phụ thuộc:       [FDP_ACC.1 Kiểm soát truy cập tập con, hoặc

                                    FDP_IFC.1 Kiểm soát luồng thông tin con]

                                    FMT_MSA.1 Quản lý các thuộc tính an toàn

                                    FMT_SMR.1 Các vai trò an toàn

12.2.12.1. FMT_MSA.2.1

TSF cần đảm bảo rằng chỉ có những giá trị an toàn mới được chấp nhận cho [Chỉ định: Danh sách các thuộc tính an toàn].

12.2.13. FMT_MSA.3 Khởi tạo các thuộc tính tĩnh

Phân cấp từ: Không có các thành phần nào

Các mối phụ thuộc:       FMT_MSA.1 Quản lý các thuộc tính an toàn

                                    FMT_SMR.1 Các vai trò an toàn

12.2.13.1. FMT_MSA.3.1

TSF cần thực thi [chỉ định: kiểm soát truy cập SFP, kiểm soát luồng thông tin SFP] để cung cấp [lựa chọn, chọn một trong: ngăn cấm, cho phép, [chỉ định: thuộc tính khác]] các giá trị mặc định cho các thuộc tính an toàn được sử dụng để thực thi SFP.

12.2.13.2. FMT_MSA.3.2

TSF cần cho phép [chỉ định: các vai trò đã xác định và cấp phép] để đặc tả các giá trị khởi tạo khác thay cho các giá trị mặc định khi một đối tượng hay thông tin được tạo.

12.2.14. FMT_MSA.4

Phân cấp từ: Không có thành phần khác

Các mối phụ thuộc:       [FDP_ACC.1 Kiểm soát truy nhập tập con, hoặc

                                    FDP_IFC.1 Kiểm soát luồng thông tin tập con]

12.2.14.1. FMT_MSA.4.1

TSF cần sử dụng những quy tắc sau để thiết lập giá trị các thuộc tính an toàn: [chỉ định: quy tắc cho các thiết lập giá trị của thuộc tính an toàn].

12.3. Quản lý dữ liệu TSF (FMT_MTD)

12.3.1. Hành xử của họ

Họ này cho phép người dùng có thẩm quyền (các quy tắc) điều khiển qua quản lý dữ liệu TSF. Ví dụ dữ liệu TSF bao gồm thông tin kiểm toán, khóa, cấu hình hệ thống và các tham số cấu hình TSF khác.

12.3.2. Phân mức thành phần

FMT_MTD.1 Quản lý dữ liệu TSF, cho phép người dùng có thẩm quyền quản lý dữ liệu TSF.

FMT_MTD.2 Quản lý hạn chế trên dữ liệu TSF, xác định hành động được tạo ra nếu sự hạn chế dữ liệu TSF là đạt được hoặc vượt quá.

FMT_MTD.3 Dữ liệu TSF an toàn, đảm bảo rằng các giá trị được ấn định tới dữ liệu TSF là hợp lý với trạng thái an toàn.

12.3.3. Quản lý của FMT_MTD.1

Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:

a) Quản lý nhóm các quy tắc mà có thể tương tác với dữ liệu TSF.

12.3.4. Quản lý của FMT_MTD.2

Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:

a) Quản lý nhóm các quy tắc mà có thể tương tác với sự hạn chế trên dữ liệu TSF.

12.3.5. Quản lý của FMT_MTD.3

Không có các hoạt động quản lý nào.

12.3.6. Kiểm toán của FMT_MTD.1

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

a) Cơ sở: Tất cả việc thay đổi giá trị của dữ liệu TSF.

12.3.7. Kiểm toán của FMT_MTD.2

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

a) Cơ sở: Tất cả việc thay đổi tới việc hạn chế trên dữ liệu TSF.

b) Cơ sở: Tất cả việc thay đổi trong các hành động sinh ra trong trường hợp vi phạm sự hạn chế đó.

12.3.8. Kiểm toán của FMT_MTD.3

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

a) Tối thiểu: Tất cả các giá trị bị từ chối của dữ liệu TSF

12.3.9. FMT_MTD.1 Quản lý dữ liệu TSF

Phân cấp từ: Không có các thành phần nào

Các mối phụ thuộc:       FMT_SMR.1 Các vai trò an toàn

                                    FMT_SMF.1 Đặc tả các chức năng quản lý

12.3.9.1. FMT_MTD.1.1

TSF cần hạn chế khả năng [sự lựa chọn: thay đổi mặc định, thay đổi, xóa, xóa [chỉ định: các thuật toán khác]] [chỉ định: danh sách dữ liệu TSF] tới [chỉ định: các vai trò đã xác định và cấp phép].

12.3.10. FMT_MTD.2 Quản lý các hạn chế trên dữ liệu TSF

Phân cấp từ: Không có các thành phần nào

Các mối phụ thuộc:       FMT_MTD.1 Quản lý dữ liệu TSF

                                    FMT_SMR.1 Các vai trò an toàn

12.3.10.1. FMT_MTD.2.1

TSF cần hạn chế việc xác định hạn chế đối với [chỉ định: danh sách dữ liệu TSF] tới [chỉ định: các vai trò đã xác định và cấp phép]

12.3.10.2. FMT_MTD.2.2

TSF cần thực thi các hành động sau, nếu dữ liệu TSF là đạt hoặc vượt quá các hạn chế đã chỉ ra: [chỉ định: các hành động cần thực hiện]

12.3.11. FMT_MTD.3 Dữ liệu TSF an toàn

Phân cấp từ: Không có các thành phần nào

Các mối phụ thuộc: FMT_MTD.1 Quản lý dữ liệu TSF.

12.3.11.1. FMT_MTD.3.1

TSF cần đảm bảo rằng chỉ có các giá trị an toàn mới được chấp nhận cho dữ liệu TSF.

12.4. Hủy bỏ (FMT_REV)

12.4.1. Hành xử của họ

Họ này đề cập đến việc hủy bỏ các thuộc tính an toàn đối với một vài thực thể trong TOE.

12.4.2. Phân mức thành phần

FMT_REV.1 Hủy bỏ, cung cấp cho việc hủy bỏ các thuộc tính an toàn được bắt buộc tại một vài mốc thời gian.

12.4.3. Quản lý của FMT_REV.1

Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:

a) Quản lý nhóm các quy tắc mà có thể giúp cho việc thu hồi các thuộc tính an toàn.

b) Quản lý danh sách người dùng, chủ đề, đối tượng và các nguồn khác cho việc có thể thu hồi.

c) Quản lý các quy tắc thu hồi.

12.4.4. Kiểm toán của FMT_REV.1

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

a) Tối thiểu: Việc thu hồi các thuộc tính an toàn là không thành công.

b) Cơ sở: Tất cả việc thử để hủy bỏ các thuộc tính an toàn

12.4.5. FMT_REV.1 Hủy bỏ

Phân cấp từ: Không có các thành phần nào

Các mối phụ thuộc: FMT_SMR.1 Các vai trò an toàn

12.4.5.1. FMT_REV.1.1

TSF cần hạn chế khả năng lấy lại [chỉ định: danh sách các thuộc tính an toàn] liên quan tới [lựa chọn: người dùng, chủ thể, đối tượng, [chỉ định: các tài nguyên bổ sung khác]] dưới sự kiểm soát của TSC để [chỉ định: các vai trò đã xác định và cấp phép]

12.4.5.2. FMT_REV.1.2

TSF cần thực thi các quy tắc [chỉ định: đặc tả các quy tắc hủy bỏ]

12.5. Hết hạn thuộc tính an toàn [FMT_SAE]

12.5.1. Hành xử của họ

Họ này nhằm vào khả năng để thực thi các hạn chế về thời gian đối với giá trị các thuộc tính an toàn.

12.5.2. Phân mức thành phần

FMT_SAE.1 Giấy phép hạn chế thời gian, quy định khả năng đối với người dùng có thẩm quyền để xác định một thời gian tới hạn trên các thuộc tính an toàn đã xác định.

12.5.3. Quản lý của FMT_SAE.1

Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:

a) Quản lý danh sách các thuộc tính an toàn đối với giới hạn được trợ giúp.

b) Các hành động được thực hiện nếu thời gian tới hạn là đã qua

12.5.4. Kiểm toán của FMT_SAE.1

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

a) Cơ sở: Xác định thời gian tới hạn đối với thuộc tính

b) Cơ sở: Hành động xảy ra đúng với giới hạn thời gian

12.5.5. FMT_SAE.1 Cấp giấy phép hạn chế thời gian

Phân cấp từ: Không có các thành phần nào khác

Các mối phụ thuộc:       FMT_SMR.1 Các vai trò an toàn

                                    FMT_STM.1 Nhãn thời gian tin cậy

12.5.5.1. FMT_SAE.1.1

TSF cần hạn chế khả năng để xác định thời gian tới hạn đối với [chỉ định: danh sách các thuộc tính an toàn đối với giới hạn được trợ giúp] để [chỉ định: các vai trò đã xác định và cấp phép]

12.5.5.2. FMT_SAE.1.2

Đối với mỗi thuộc tính an toàn này, TSF cần có khả năng [chỉ định: danh sách các hành động thực hiện đối với mỗi thuộc tính an toàn] sau khi thời gian tới hạn cho thuộc tính an toàn được chỉ định đã qua.

12.6. Đặc tả các chức năng quản lý (FMT_SMF)

12.6.1. Hành xử của họ

Họ này cho phép việc xác định các chức năng quản lý được quy định bởi TOE. Các chức năng quản lý TFI cho phép người quản trị các tham số để điều khiển hoạt động của các lĩnh vực liên quan đến an toàn của TOE, như là: các thuộc tính bảo vệ dữ liệu để xác định các tham số để điều khiển thuật toán lĩnh vực liên quan đến an toàn của TOE, như là: thuộc tính bảo vệ dữ liệu, thuộc tính bảo vệ TOE, thuộc tính kiểm tra, các thuộc tính xác thực và định danh. Các chức năng quản lý cũng bao gồm các chức năng đó được thực thi bởi một người điều khiển để đảm bảo rằng hành động tiếp theo của TOE, như là sao lưu và phục hồi. Họ này làm việc trong sự kết hợp với các thành phần khác trong FMT: Các lớp quản lý an toàn: thành phần trong họ này gọi là các chức năng quản lý, và các họ khác trong FMT: quản lý an toàn hạn chế khả năng sử dụng các chức năng quản lý này.

12.6.2. Phân mức thành phần

FMT_SMF.1 Đặc tả các chức năng quản lý, yêu cầu TSF cung cấp các chức năng quản lý cụ thể.

12.6.3. Quản lý của FMT_SMF.1

Không có các hoạt động quản lý nào.

12.6.4. Kiểm toán của FMT_SMF.1

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

a) Tối thiểu: Sử dụng các chức năng quản lý

12.6.5. FMT_SMF.1 Định rõ các chức năng quản lý

Phân cấp từ: Không có các thành phần nào

Các mối phụ thuộc: Không có sự phụ thuộc nào

12.6.5.1. FMT_SMF.1.1

TSF cần có khả năng thực thi các chức năng quản lý an toàn sau: [chỉ định: danh sách các chức năng quản lý an toàn được quy định bởi TSF]

12.7. Các quy tắc quản lý an toàn (FMT_SMR)

12.7.1. Hành xử của họ

Họ này là được dùng để điều khiển việc ấn định các quy tắc khác nhau tới người dùng. Các khả năng của các quy tắc này với khía cạnh quản lý an toàn được miêu tả trong các họ khác trong lớp.

12.7.2. Phân mức thành phần

FMT_SMR.1 Các vai trò an toàn xác định các vai trò với các khía cạnh an toàn mà TSF thừa nhận.

FMT_SMR.2 Hạn chế về các vai trò an toàn, xác định rằng ngoài việc đặc tả các vai trò, còn có các quy tắc kiểm soát các mối quan hệ giữa các vai trò.

FMT_SMR.3 Chỉ định các vai trò, yêu cầu rõ rằng được đưa ra tới TSF để thừa nhận một quy tắc.

12.7.3. Quản lý của FMT_SMR.1

Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:

a) Quản lý nhóm người dùng là một phần của quy tắc.

12.7.4. Quản lý của FMT_SMR.2

Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:

a) Quản lý nhóm người dùng là một phần của quy tắc.

b) Quản lý các điều kiện mà các quy tắc phải thỏa mãn

12.7.5. Quản lý của FMT_SMR.3

Không có các hoạt động quản lý nào.

12.7.6. Kiểm toán của FMT_SMR.1

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

a) Tối thiểu: sự thay đổi tới nhóm người dùng là một phần của quy tắc

b) Chi tiết: mọi việc sử dụng quyền của quy tắc.

12.7.7. Kiểm toán của FMT_SMR.2

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

a) Tối thiểu: Sự thay đổi các nhóm người dùng là một phần của quy tắc

b) Tối thiểu: Việc sử dụng các quy tắc không thành công giúp đưa ra các điều kiện trên quy tắc đó.

c) Chi tiết: mọi việc sử dụng quyền của quy tắc.

12.7.8. Kiểm toán của FMT_SMR.3

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

a) Tối thiểu: Yêu cầu rõ ràng nhằm thừa nhận một quy tắc

12.7.9. FMT_SMR.1 Các quy tắc an toàn

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc: FIA_UID.1 Định thời cho định danh

12.7.9.1. FMT_SMR.1.1

TSF cần duy trì các vai trò [chỉ định: các vai trò đã xác định và cấp phép]

12.7.9.2. FMT_SMR.1.2

TSF cần có khả năng liên kết người dùng với các vai trò.

12.7.10. FMT_SMR.2 Hạn chế về các vai trò an toàn

Phân cấp từ: FMT_SMR.1 Các vai trò an toàn

Các mối phụ thuộc: FIA_UID.1 Định thời cho định danh

12.7.10.1. FMT_SMR.2.1

TSF cần duy trì các vai trò: [chỉ định: các vai trò đã xác định và cấp phép]

12.7.10.2. FMT_SMR.2.2

TSF cần có khả năng liên kết người dùng với vai trò.

12.7.10.3. FMT_SMR.2.3

TSF cần đảm bảo rằng các điều kiện [chỉ định: các điều kiện cho các vai trò khác nhau] được thỏa mãn.

12.7.11. FMT_SMR.3 Chỉ định các vai trò

Phân cấp từ: Không có các thành phần nào

Các mối phụ thuộc: FMT_SMR.1 Các vai trò liên quan

12.7.11.1. FMT_SMR.3.1

TSF cần có một yêu cầu rõ ràng để thừa nhận các vai trò sau: [chỉ định: các vai trò].

13. Lớp FPR: Riêng tư

Lớp này chứa các yêu cầu riêng tư. Các yêu cầu này giúp bảo vệ người dùng chống tiết lộ và lợi dụng danh tính các người khác.

Hình 13 - Phân cấp lớp FPR: Riêng tư

13.1. Nặc danh (FPR_ANO)

13.2. Hành xử của họ

Họ này cho phép người dùng có thể sử dụng một tài nguyên hoặc dịch vụ không cần biết định danh người dùng. Các yêu cầu nặc danh phục vụ cho bảo vệ danh tính người dùng. Nặc danh không dự tính để bảo vệ danh tính chủ thể.

13.1.2. Phân mức thành phần

FPR_ANO.1 Nặc danh, yêu cầu các người dùng khác hoặc các chủ thể khác không được có khả năng xác định danh tính một người dùng trong phạm vi một chủ thể hoặc một hoạt động.

FPR_ANO.2 Nặc danh không níu kéo thông tin, cải thiện các yêu cầu của FPR_ANO.1 Nặc danh bằng cách đảm bảo rằng TSF không hỏi danh tính người dùng.

13.1.3. Quản lý của FPR_ANO.1, FPR_ANO.2

Không có các hoạt động quản lý nào.

13.1.4. Kiểm toán của FPR_ANO.1, FPR_ANO.2

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

b) Tối thiểu: Viện dẫn cơ chế nặc danh.

13.1.5. FPR_ANO.1 Nặc danh

Phân cấp tới: Không có các thành phần nào

Các mối phụ thuộc: Không có.

13.1.5.1. FPR_ANO.1.1

TSF cần đảm bảo rằng [chỉ định: tập các người dùng và/hoặc chủ thể] không có khả năng xác định tên người dùng thật ràng buộc tới [chỉ định: danh sách các chủ thể và/hoặc hoạt động và/hoặc đối tượng].

12.1.6. FPR_ANO.2 Nặc danh không có thông tin níu kéo

Phân cấp tới: FPR_ANO.1 Nặc danh

Các mối phụ thuộc: Không có

13.1.6.1. FPR_ANO.2.1

TSF cần đảm bảo rằng [chỉ định: tập các người dùng và/hoặc chủ thể] không có khả năng xác định tên người dùng thật ràng buộc tới [chỉ định: danh sách các chủ thể và/hoặc hoạt động và/hoặc đối tượng].

13.1.6.2. FPR_ANO.2.2

TSF cần cho [chỉ định: danh sách các dịch vụ] tới [chỉ định: danh sách các chủ thể] không có bất kỳ tham chiếu níu kéo nào đến tên thật của người dùng.

13.2. Biệt danh (FPR_PSE)

13.2.1. Hành xử của họ

Họ này đảm bảo rằng một người sử dụng một tài nguyên hoặc dịch vụ không để lộ danh tính người dùng, song vẫn có thể chịu trách nhiệm về việc sử dụng.

13.2.2. Phân mức thành phần

FPR_PSE.1 Biệt danh yêu cầu một tập các người dùng và/hoặc chủ thể không được có khả năng xác định danh tính người dùng ràng buộc bởi một chủ thể hoặc hoạt động, song người dùng này vẫn phải chịu trách nhiệm về các hành động của họ.

FPR_PSE.2 Biệt danh nghịch đảo yêu cầu TSF có năng lực xác định danh tính người dùng chính thức dựa trên một bí danh đã quy định.

FPR_PSE.3 Biệt danh dấu tên yêu cầu TSF theo dõi các quy tắc cấu trúc nhất định cho bí danh để định danh người dùng.

13.2.3. Quản lý của FPR_PSE.1, FPR_PSE.2, FPR_PSE.3

Không có các hoạt động quản lý nào.

13.2.4. Kiểm toán của FPR_PSE.1, FPR_PSE.2, FPR_PSE.3

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

b) Tối thiểu: Chủ thể/người dùng được yêu cầu kiểm toán danh tính người dùng.

13.2.5. FPR_PSE.1 Biệt danh

Phân cấp tới: Không có thành phần nào.

Các mối phụ thuộc: Không có

13.2.5.1. FPR_PSE.1.1

TSF cần đảm bảo rằng [chỉ định: tập các người dùng và/hoặc chủ thể] không có khả năng xác định tên người dùng thật ràng buộc tới [chỉ định: danh sách các chủ thể và/hoặc hoạt động và/hoặc đối tượng].

13.2.5.2. FPR_PSE.1.2

TSF cần khả năng cho [chỉ định: số các bí danh] bí danh của tên người dùng thật tới [chỉ định: danh sách các chủ thể].

13.2.5.3. FPR_PSE.1.3

TSF cần [chọn lựa, chọn một trong: Xác định một bí danh cho người dùng, chấp nhận các bí danh từ người dùng và kiểm tra xem nó có tuân thủ theo [chỉ định: đơn vị bí danh].

13.2.6. FPR_PSE.2 Biệt danh nghịch đảo

Phân cấp tới: FPR_PSE.1 Biệt danh

Các mối phụ thuộc: FIA_UID.1 Định thời cho định danh

13.2.6.1. FPR_PSE.2.1

TSF cần đảm bảo rằng [chỉ định: tập các người dùng và/hoặc chủ thể] không có khả năng xác định tên người dùng thật ràng buộc với [chỉ định: danh sách các chủ thể và/hoặc hoạt động và/hoặc đối tượng].

13.2.6.2. FPR_PSE.2.2

TSF cần khả năng cho [chỉ định: số các bí danh] bí danh của tên người dùng thật tới [chỉ định: danh sách các chủ thể]

13.2.6.3. FPR_PSE.2.3

TSF cần [Chọn lựa, chọn một trong: Xác định một bí danh cho người dùng, chấp nhận các bí danh từ người dùng] và kiểm tra xem nó có tuân thủ theo [chỉ định: đơn vị bí danh].

13.2.6.4. FPR_PSE.2.4

TSF cần cung cấp [Chọn lựa: một người dùng có thẩm quyền, [chỉ định: danh sách các chủ thể tin cậy]] có năng lực xác định danh tính người dùng dựa trên các bí danh đã quy định chỉ trong điều kiện sau [chỉ định: danh sách các điều kiện].

13.2.7. FPR_PSE.3 Biệt danh bí danh

Phân cấp tới; FPR_PSE.1 Biệt danh.

Các mối phụ thuộc: Không có.

13.2.7.1. FPR_PSE.3.1

TSF cần đảm bảo rằng [chỉ định: tập các người dùng và/hoặc chủ thể] không có khả năng xác định tên người dùng thật ràng buộc với [chỉ định: danh sách các chủ thể và/hoặc hoạt động và/hoặc đối tượng].

13.2.7.2. FPR_PSE.3.2

TSF cần có khả năng cung cấp [chỉ định: số các bí danh] bí danh của tên người dùng thật tới [chỉ định: danh sách các chủ thể].

13.2.7.3. FPR_PSE.3.3

TSF cần [Chọn lựa: chọn một trong: Xác định một bí danh cho người dùng, chấp nhận các bí danh từ người dùng] và kiểm tra xem nó có tuân thủ theo [chỉ định: đơn vị bí danh].

13.2.7.4. FPR_PSE.3.4

TSF cần cung cấp một bí danh tới một tên người dùng thật và bí danh này cần trùng với bí danh cho trước theo điều kiện [chỉ định: danh sách các điều kiện], nếu không bí danh đã quy định cần không liên quan đến bí danh đã quy định trước đó.

13.3. Tính không thể liên kết (FPR_UNL)

13.3.1. Hành xử của họ

Họ này đảm bảo rằng một người dùng có thể sử dụng nhiều lần các tài nguyên và dịch vụ và không có khả năng liên kết các sử dụng đó với nhau được.

13.3.2. Phân mức thành phần

FPR_UNL.1 Tính không thể liên kết yêu cầu người dùng / chủ thể không được có khả năng xác định xem có đúng là cùng một người dùng đã gây ra các hoạt động đặc trưng xác định trong hệ thống.

13.3.3. Quản lý của FPR_UNL.1

Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:

b) Quản lý chức năng không thể liên kết.

13.3.4. Kiểm toán của FPR_UNL.1

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

b) Tối thiểu: Viễn dẫn cơ chế không thể liên kết.

13.3.5. FPR_UNL.1.1 Tính không thể liên kết

Phân cấp tới: Không có thành phần nào.

Các mối phụ thuộc: Không có.

13.3.5.1. FPR_UNL.1.1

TSF cần đảm bảo rằng [chỉ định: tập các người dùng và/hoặc chủ thể] không có khả năng xác định xem [chỉ định: danh sách các hoạt động][lựa chọn: gây ra bởi người dùng, liên quan như sau [chỉ định: danh sách các quan hệ]].

13.4. Tính không thể quan sát (FPR_UNO)

13.4.1. Hành xử của họ

Họ này đảm bảo rằng một người dùng có thể sử dụng một tài nguyên hoặc dịch vụ mà không có người nào khác, đặc biệt là đối tác thứ ba, có khả năng quan sát được tài nguyên hoặc dịch vụ đang sử dụng.

13.4.2. Phân mức thành phần

FPR_UNO.1 Tính không thể quan sát yêu cầu các người dùng và/hoặc chủ thể không được có khả năng xác định xem một hoạt động nào đang được thực hiện.

FPR_UNO.2 Tính không thể quan sát ảnh hưởng cấp phát thông tin yêu cầu TSF quy định các cơ chế xác định để tránh việc tập trung các thông tin liên quan đến sự riêng tư bên trong TOE. Sự tập trung đó có thể ảnh hưởng đến tính không thể quan sát nếu xảy ra một thỏa hiệp an toàn thông tin.

FPR_UNO.3 Tính không thể quan sát không có thông tin níu kéo yêu cầu TSF không được thử tìm cách lấy thông tin liên quan riêng tư để dùng cho thỏa hiệp tính không thể quan sát được.

FPR_UNO.4 Tính quan sát được dùng có thẩm quyền yêu cầu TSF quy định một hoặc nhiều người dùng có thẩm quyền, có năng lực quan sát sự sử dụng các tài nguyên và/hoặc dịch vụ.

13.4.3. Quản lý của FPR_UNO.1, FPR_UNO.2

Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:

a) Quản lý hành vi của chức năng không thể quan sát được.

13.4.4. Quản lý của FPR_UNO.3

Không có các hành động quản lý nào

13.4.5. Quản lý của FPR_UNO.4

Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:

a) Danh sách các người dùng có thẩm quyền có khả năng xác định việc xảy ra các hoạt động.

13.4.6. Kiểm toán của FPR_UNO.1, FPR_UNO.2

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

a) Tối thiểu: Viện dẫn cơ chế cho tính không thể quan sát được.

13.4.7. Kiểm toán của FPR_UNO.3

Không có các sự kiện kiểm toán nào.

13.4.8. Kiểm toán của FPR_UNO.4

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

a) Tối thiểu: Quan sát việc sử dụng một tài nguyên hoặc dịch vụ bởi một người dùng hoặc một chủ thể.

13.4.9. FPR_UNO.1 Tính không thể quan sát

Phân cấp từ: Không có các thành phần nào

Các mối phụ thuộc: Không có

13.4.9.1. FPR_UNO.1.1

TSF cần đảm bảo rằng [chỉ định: danh sách các người dùng và/hoặc chủ thể] không có khả năng quan sát được hoạt động [chỉ định: danh sách các hoạt động] trên [chỉ định: danh sách các đối tượng] thông qua [chỉ định: danh sách các người dùng và/hoặc chủ thể được bảo vệ].

13.4.10. FPR_UNO.2 Tính không thể quan sát ảnh hưởng đến cấp phát thông tin

Phân cấp từ: FPR_UNO.1 Tính không thể quan sát

Các mối phụ thuộc: Không có.

13.4.10.1. FPR_UNO.2.1

TSF cần đảm bảo rằng [chỉ định: danh sách các người dùng và/hoặc chủ thể] không có khả năng quan sát được hoạt động [Chỉ định: danh sách các hoạt động] trên [Chỉ định: danh sách các đối tượng] thông qua [Chỉ định: danh sách các người dùng và/hoặc chủ thể được bảo vệ].

13.4.10.2. FPR_UNO.2.2

TSF cần cấp phát [Chỉ định: Thông tin liên quan tính không thể quan sát được] trong số các phần của TOE sao cho điều kiện sau được giữ suốt thời gian tồn tại của thông tin [Chỉ định: danh sách các điều kiện].

13.4.11. FPR_UNO.3 Tính không thể quan sát không có thông tin níu kéo

Phân cấp từ: Không có thành phần nào.

Các mối phụ thuộc: FPR_UNO.1 Tính không thể quan sát.

13.4.11.1. FPR_UNO.3.1

TSF cần quy định [Chỉ định: danh sách các dịch vụ] cho [Chỉ định: danh sách các chủ thể] không níu kéo tham chiếu đến [Chỉ định: thông tin liên quan tính riêng tư].

13.4.12. FPR_UNO.4 Tính quan sát được người dùng có thẩm quyền

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc: Không có.

13.4.12.1. FPR_UNO.4.1

TSF cần quy định [Chỉ định: tập các người dùng có thẩm quyền] với năng lực quan sát việc sử dụng của [Chỉ định: danh sách các tài nguyên và/hoặc dịch vụ].

14. Lớp FPT: bảo vệ TSF

Lớp này bao gồm các họ yêu cầu chức năng liên quan đến tính toàn vẹn và sự quản lý của các cơ chế tạo thành TSF và tính toàn vẹn của dữ liệu TSF. Trong một số trường hợp, các họ trong lớp này có thể xuất hiện trong các thành phần lặp lại trong FDP: Lớp bảo vệ dữ liệu người dùng; chúng có thể được triển khai bằng việc sử dụng các cơ chế giống nhau. Mặc dù vậy, FDP: Bảo vệ dữ liệu người dùng tập trung vào bảo vệ dữ liệu người dùng, trong khi FPT: Bảo vệ TSF tập trung vào bảo vệ dữ liệu TSF. Thực tế, các thành phần trong FPT: Bảo vệ lớp TSF là cần thiết để đưa ra các yêu cầu mà các SFP trong TOE không bị xâm phạm hoặc vượt qua.

Từ việc xem xét lớp này, liên quan đến TSF, có ba phần tử quan trọng:

a) Việc triển khai TSF, trong đó thực hiện và triển khai các cơ chế để thực thi các SFR.

b) Dữ liệu TSF, đó là các cơ sở dữ liệu quản trị dùng để hướng dẫn thực thi các SFR.

c) Các thực thể bên ngoài mà TSF có thể tương tác với để thực thi các SFR.

Hình 14 - Sự phân cấp lớp FPT: Bảo vệ TSF

14.1. An toàn khi có lỗi (FPT_FLS)

14.1.1. Hành xử của họ

Các yêu cầu của họ này đảm bảo rằng TOE sẽ luôn thực thi các SFR của nó trong sự xuất hiện các danh mục lỗi trong TSF.

14.1.2. Phân mức thành phần

Họ này bao gồm chỉ một thành phần, FPT_FLS.1 Lỗi với sự bảo toàn trạng thái an toàn, yêu cầu TSF duy trì một trạng thái an toàn khi đối mặt với các lỗi được xác định.

14.1.3. Quản lý của FPT_FLS.1

Không có các hoạt động quản lý nào.

14.1.4. Kiểm toán của FPT_FLS.1

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

a) Cơ sở: lỗi của TSF.

14.1.5. FPT_FLS.1 Lỗi với bảo toàn trạng thái an toàn

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc: Không có sự phụ thuộc.

14.1.5.1. FPT_FLS.1.1

TSF cần phải duy trì một trạng thái an toàn khi xảy ra các kiểu lỗi sau: [chỉ định: danh sách các loại lỗi trong TSF].

14.2. Tính sẵn sàng xuất dữ liệu TSF (FPT_ITA)

14.2.1. Hành xử của họ

Họ này định nghĩa các quy tắc cho việc duy trì tính sẵn sàng chuyển dữ liệu TSF giữa TSF và một sản phẩm IT tin cậy khác. Dữ liệu này, ví dụ là dữ liệu quan trọng của TSF như là mật khẩu, khóa, dữ liệu kiểm toán hoặc mã thực thi TSF.

14.2.2. Phân mức thành phần

Họ này bao gồm chỉ một thành phần FPT_ITA.1 Tính sẵn sàng liên-TSF trong khoảng đơn vị đo tính sẵn sàng được định nghĩa trước. Thành phần này yêu cầu TSF đảm bảo, với một mức độ xác định có thể xảy ra, tính sẵn sàng của dữ liệu TSF quy định cho một sản phẩm IT tin cậy khác.

14.2.3. Quản lý của FPT_ITA.1

Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:

a) quản lý danh sách các loại dữ liệu TSF phải sẵn sàng đối với một sản phẩm IT tin cậy khác.

14.2.4. Kiểm toán của FPT_ITA.1

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

a) Tối thiểu: sự thiếu dữ liệu TSF khi được yêu cầu bởi một TOE.

14.2.5. FPT_ITA.1 Tính sẵn sàng liên TSF trong hệ tính sẵn sàng được định nghĩa

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc: Không có sự phụ thuộc.

14.1.5.1. FPT_ITA.1.1

TSF cần đảm bảo tính sẵn sàng của [chỉ định: danh sách các kiểu dữ liệu TSF] quy định một sản phẩm IT tin cậy khác trong [chỉ định: một đơn vị đo tính sẵn sàng được định nghĩa trước] đưa ra theo các điều kiện [chỉ định: các điều kiện đảm bảo tính sẵn sàng].

14.3. Tính bí mật của dữ liệu TSF xuất ra (FPT_ITC)

14.3.1. Hành xử của họ

Họ này định nghĩa các quy tắc bảo vệ dữ liệu từ việc xâm phạm không có quyền vào dữ liệu trong khi truyền giữa TSF và một sản phẩm IT tin cậy khác. Dữ liệu này có thể, ví dụ dữ liệu quan trọng của TSF như mật khẩu, mã khóa, dữ liệu kiểm toán hoặc mã thực thi TSF.

14.3.2. Phân mức thành phần

Họ này bao gồm chỉ một thành phần, FPT_ITC.1 Tính bí mật liên-TSF trong quá trình truyền tải, đòi hỏi TSF bảo đảm rằng dữ liệu được truyền giữa TSF và một sản phẩm IT tin cậy khác được bảo vệ khỏi xâm phạm trong quá trình truyền.

14.3.3. Quản lý của FPT_ITC.1

Không có các hoạt động quản lý nào.

14.3.4. Kiểm toán của FPT_ITC.1

Không có các hoạt động quản lý nào.

14.3.5. FPT_ITC.1 Độ tin cậy liên TSF trong quá trình truyền tải

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc: Không có sự phụ thuộc.

14.3.5.1. FPT_ITC.1.1

TSF cần bảo vệ tất cả dữ liệu TSF được truyền từ TSF đến một sản phẩm IT tin cậy khác khỏi sự xâm phạm bất hợp pháp trong quá trình truyền.

14.4. Tính toàn vẹn của dữ liệu TSF xuất ra (FPT_ITI)

14.4.1. Hành xử của họ

Họ này định nghĩa các quy tắc bảo vệ khỏi sự thay đổi bất hợp pháp dữ liệu TSF trong quá trình truyền giữa TSF và một sản phẩm IT tin cậy khác. Dữ liệu này ví dụ là dữ liệu TSF quan trọng như mật khẩu, mã khóa, dữ liệu kiểm toán hoặc mã thực thi TSF.

14.4.2. Phân mức thành phần

FPT_ITI.1 Phát hiện sửa đổi liên-TSF, cung cấp khả năng phát hiện sự thay đổi dữ liệu TSF trong quá trình truyền giữa TSF và sản phẩm IT tin cậy khác, với giả thiết rằng sản phẩm IT tin cậy khác đó có nhận biết được cơ chế sử dụng.

FPT_ITI.2 Phát hiện và chỉnh sửa thay đổi liên-TSF, cung cấp khả năng cho một sản phẩm IT tin cậy khác không những phát hiện sự thay đổi mà còn sửa sự thay đổi dữ liệu với giả thiết rằng sản phẩm IT tin cậy khác đó có nhận biết được chế độ sử dụng.

14.4.3. Quản lý của FPT_ITI.1

Không có các hoạt động quản lý nào.

14.4.4. Quản lý của FPT_ITI.2

Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:

a) Quản lý các dữ liệu TSF mà TSF có thể sửa chữa sự thay đổi trong quá trình truyền.

b) Quản lý các kiểu hoạt động mà TSF có thể thực hiện nếu dữ liệu TSF bị thay đổi trong quá trình truyền.

14.4.5. Kiểm toán của FPT_ITI.1

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

a) Tối thiểu: phát hiện sự thay đổi dữ liệu TSF trong quá trình truyền.

b) Cơ sở: hoạt động đưa ra trên phát hiện sự thay đổi dữ liệu TSF trong quá trình truyền.

14.4.6. Kiểm toán của FPT_ITI.2

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

a) Tối thiểu: phát hiện sự thay đổi dữ liệu TSF trong quá trình truyền.

b) Cơ sở: hành động đưa ra dựa theo phát hiện sự thay đổi dữ liệu TSF được truyền.

c) Cơ sở: sử dụng các cơ chế sửa lỗi.

14.4.7. FPT_ITI.1 Phát hiện sự thay đổi liên-TSF

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc: Không có sự phụ thuộc.

14.4.7.1. FPT_ITI.1.1

TSF cần cung cấp khả năng phát hiện sự thay đổi của tất cả dữ liệu TSF trong quá trình truyền giữa TSF và một sản phẩm IT tin cậy từ xa với hệ: [chỉ định: một đơn vị thay đổi xác định].

14.4.7.2. FPT_ITI.1.2

TSF cần cung cấp khả năng kiểm tra tính toàn vẹn của tất cả dữ liệu TSF được truyền giữa TSF và một sản phẩm IT tin cậy từ xa và thực hiện [chỉ định: hoạt động cần thực hiện] nếu sự thay đổi được phát hiện.

14.4.8. FPT_ITI.2 Phát hiện và chỉnh sửa thay đổi liên-TSF

Phân cấp từ: FPT_ITI.1 Phát hiện sự thay đổi liên-TSF

Các mối phụ thuộc: Không có sự phụ thuộc.

14.4.8.1. FPT_ITI.2.1

TSF cần cung cấp khả năng phát hiện sự thay đổi của tất cả dữ liệu TSF trong quá trình truyền giữa TSF và một sản phẩm IT tin cậy khác trong theo hệ sau: [chỉ định: một đơn vị thay đổi xác định]

14.4.8.2. FPT_ITI.2.2

TSF cần cung cấp khả năng phát hiện sự thay đổi của tất cả dữ liệu truyền giữa TSF và một sản phẩm IT tin cậy khác và thực hiện [chỉ định: hành động được đưa ra] nếu phát hiện sự thay đổi.

14.4.8.3. FPT_ITI.2.3

TSF cần cung cấp khả năng sửa lỗi [chỉ định: kiểu thay đổi] của tất cả dữ liệu TSF được truyền giữa TSF và một sản phẩm IT tin cậy khác.

14.5. Vận chuyển dữ liệu nội bộ TOE TSF (FPT_ITT)

14.5.1. Hành xử của họ

Họ này đưa ra các yêu cầu đề cập đến việc bảo vệ dữ liệu TSF khi nó được truyền giữa các phần khác nhau bên trong TOE qua một kênh nội bộ.

14.5.2. Phân mức thành phần

FPT_ITT.1 Bảo vệ vận chuyển dữ liệu nội bộ TSF, yêu cầu dữ liệu TSF được bảo vệ khi truyền giữa các phần khác nhau trong TOE.

FPT_ITT.2 Phân chia vận chuyển dữ liệu, yêu cầu TSF phân chia dữ liệu người dùng từ dữ liệu TSF trong quá trình truyền.

FPT_ITT.3 Giám sát tính toàn vẹn dữ liệu, yêu cầu dữ liệu TSF được truyền giữa các thành phần khác nhau của TOE được giám sát các lỗi về toàn vẹn xác định trước.

14.5.3. Quản lý của FPT_ITT.1

Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:

a) Quản lý các loại chống sự thay đổi mà TSF cần bảo vệ;

b) Quản lý các cơ chế sử dụng để cung cấp khả năng bảo vệ dữ liệu trong quá trình truyền giữa các phần khác nhau của TSF.

14.5.4. Quản lý của FPT_ITT.2

Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:

a) quản lý các loại chống lại sự thay đổi mà TSF bảo vệ.

b) quản lý các cơ chế sử dụng để cung cấp khả năng bảo vệ dữ liệu trong quá trình truyền giữa các phần khác nhau của TSF.

c) quản lý cơ chế phân chia.

14.5.5. Quản lý của FPT_ITT.3

Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:

a) quản lý các loại chống lại sự thay đổi mà TSF bảo vệ.

b) quản lý các cơ chế sử dụng để cung cấp khả năng bảo vệ dữ liệu trong quá trình truyền giữa các phần khác nhau của TSF.

c) quản lý các kiểu thay đổi dữ liệu TSF mà TSF cần phát hiện.

d) Quản lý các hoạt động được đưa ra.

14.5.6. Kiểm toán của FPT_ITT.1, FPT_ITT.2

Không có sự kiện có thể kiểm toán nào.

14.5.7. Kiểm toán của FPT_ITT.3

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

a) Tối thiểu: phát hiện sự thay đổi dữ liệu TSF;

b) Cơ sở: đưa ra hành động dựa theo sự phát hiện lỗi toàn vẹn.

14.5.8. FPT_ITTI.1 Bảo vệ vận chuyển dữ liệu nội bộ TSF cơ bản

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc: Không có sự phụ thuộc.

14.5.8.1. FPT_ITT.1.1

TSF cần bảo vệ dữ liệu TSF từ [lựa chọn: xâm phạm, thay đổi] khi nó được truyền giữa các phần khác nhau của TOE.

14.5.9. FPT_ITT.2 Phân chia vận chuyển dữ liệu TSF

Phân cấp từ: FPT_ITT.1 Bảo vệ vận chuyển dữ liệu nội bộ TSF cơ bản.

Các mối phụ thuộc: Không có sự phụ thuộc.

14.5.9.1. FPT_ITT.2.1

TSF cần bảo vệ dữ liệu từ [lựa chọn: xâm phạm, thay đổi] khi nó được truyền giữa các phần khác nhau của TOE.

14.5.9.2. FPT_ITT.2.2

TSF cần phân tách dữ liệu người dùng từ dữ liệu TSF khi dữ liệu đó được truyền giữa các phần khác nhau của TOE.

14.5.10. FPT_ITT.3 Giám sát tính toàn vẹn dữ liệu TSF

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc: FPT_ITT.1 Bảo vệ vận chuyển dữ liệu nội bộ TSF cơ bản.

14.5.10.1. FPT_ITT.3.1

TSF cần có khả năng phát hiện [lựa chọn:thay đổi dữ liệu, thay thế dữ liệu, sắp xếp lại dữ liệu, xóa dữ liệu, [chỉ định: các lỗi toàn vẹn khác]] đối với dữ liệu TSF được truyền giữa các thành phần khác nhau của TOE.

 14.5.10.2. FPT_ITT.3.2

Khi phát hiện lỗi toàn vẹn dữ liệu, TSF cần thực hiện các hành động sau: [Chỉ định: xác định hành động cần thực hiện].

14.6. Bảo vệ vật lý TSF (FPT_PHP)

14.6.1. Hành xử của họ

Bảo vệ các thành phần vật lý TSF tham chiếu đến giới hạn quyền truy nhập vật lý đến TSF, và sự ngăn chặn chúng, và bảo vệ trước thay đổi vật lý trái phép, hoặc thay thế trong TSF.

Các yêu cầu đối với các thành phần trong họ này đảm bảo rằng TSF được bảo vệ khỏi sự giả mạo và sự can thiệp vật lý. Để thỏa mãn các yêu cầu đó thì các kết quả các thành phần này trong TSF được đóng gói và sử dụng như là một kiểu mà sự xâm phạm vật lý được phát hiện, hoặc sự phản ứng với xâm phạm vật lý bị ngăn chặn. Không có các thành phần này, các chức năng của một TSF bị mất tác dụng trong môi trường mà ở đó sự phá hủy vật lý không được ngăn chặn. Họ này cũng quy định các yêu cầu về cách mà TSF phản ứng lại các xâm phạm vật lý.

14.6.2. Phân mức thành phần

FPT_PHP.1 phát hiện thụ động với tấn công vật lý, cung cấp các đặc trưng chỉ ra khi một thiết bị TSF hoặc phần tử TSF là chủ thể bị xâm phạm. Tuy nhiên thông báo về xâm phạm không tự động; một người dùng được phép sẽ phải thực hiện một chức năng quản lý an toàn, hoặc thực hiện thẩm tra thủ công để xác định xem có hiện tượng xâm phạm xảy ra hay không.

FPT_PHP.2 Thông báo tấn công vật lý, cung cấp thông báo tự động về một tấn công với một tập các xâm phạm vật lý đã được xác định.

FPT_PHP.3 Phản ứng lại tấn công vật lý, cung cấp các đặc trưng để ngăn chặn hoặc chống lại sự xâm phạm đến các thiết bị và các phần tử TSF.

14.6.3. Quản lý của FPT_PHP.1

Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:

a) Quản lý người sử dụng hay các quyền mà nó xác định liệu tấn công vật lý có thể xảy ra.

14.6.4. Quản lý của FPT_PHP.2

Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:

a) Quản lý người sử dụng hay quyền mà họ nhận được thông báo vệ sự xâm nhập.

b) Quản lý danh sách các thiết bị mà nó sẽ thông báo chỉ ra người hoặc vai trò của họ về sự xâm nhập.

14.6.5. Quản lý của FPT_PHP.3

Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:

a) Quản lý các phản ứng tự động với sự xâm phạm vật lý.

14.6.6. Kiểm toán của FPT_PHP.1

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

a) Tối thiểu: Nếu phát hiện bởi các phương tiện IT, sự phát hiện xâm nhập.

14.6.7. Kiểm toán của FPT_PHP.2

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

a) Tối thiểu: phát hiện xâm nhập.

14.6.8. Kiểm toán của FPT_PHP.3

Không có sự kiện có thể kiểm toán nào.

14.6.9. FPT_PHP.1 Phát hiện thụ động tấn công vật lý

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc: Không có sự phụ thuộc.

14.6.9.1. FPT_PHP.1.1

TSF cần cung cấp khả năng phát hiện rõ ràng về tấn công vật lý có thể làm tồn tại đến TSF.

14.6.9.2. FPT_PHP.1.2

TSF cần cung cấp khả năng xác định liệu có xảy ra tấn công vật lý đến các thiết bị hoặc phần tử của TSF.

14.6.10. FPT_PHP.2 Thông báo tấn công vật lý

Phân cấp từ: FPT_PHP.1 Phát hiện thụ động tấn công vật lý

Các mối phụ thuộc: FMT_MOF.1 Quản lý các hành xử của chức năng an toàn.

14.6.10.1. FPT_PHP.2.1

TSF cần cung cấp khả năng phát hiện rõ ràng về tấn công vật lý có thể làm tổn hại đến TSF.

14.6.10.2. FPT_PHP.2.2

TSF cần cung cấp khả năng xác định liệu tấn công vật lý có thể xảy ra đối với các thiết bị hoặc phần tử TSF.

14.6.10.3. FPT_PHP.2.3

Với [chỉ định: danh sách các thiết bị/phần tử TSF có yêu cầu phát hiện tích cực], TSF cần giám sát các thiết bị và phần tử và thông báo [chỉ định: một người sử dụng hay một vai trò đã xác định] khi xảy ra tấn công vật lý với các thiết bị hoặc phần tử TSF.

14.6.11. FPT_PHP.3 Chống tấn công vật lý

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc: Không có sự phụ thuộc.

14.6.11.1. FPT_PHP.3.1

TSF cần chống lại [chỉ định: các kịch bản tấn công vật lý] đối với [chỉ định: danh sách các thiết bị/phần tử TSF] bằng việc phản ứng một cách tự động sao cho TSP không bị vi phạm.

14.7. Khôi phục tin cậy (FPT_RCV)

14.7.1. Hành xử của họ

Các yêu cầu của họ này đảm bảo rằng TSF có thể xác định TOE được khởi động mà không có khả năng bảo vệ và có thể khôi phục sau khi bị ngừng hoạt động. Họ này rất quan trọng bởi vì trạng thái khởi động TSF xác định sự bảo vệ các trạng thái tiếp theo.

14.7.2. Phân mức thành phần

FPT_RCV.1 Khôi phục thủ công, cho phép một TOE quy định cơ chế can thiệp của con người vào trạng thái an toàn.

FPT_RCV.2 Tự động khôi phục, quy định tối thiểu một dạng dịch vụ khôi phục sự gián đoạn trạng thái an toàn mà không cần can thiệp của con người, khôi phục các gián đoạn khác có thể vẫn cần sự can thiệp của con người.

FPT_RCV.3 Tự động khôi phục không làm tổn hại lớn cũng cung cấp khả năng khôi phục tự động nhưng nó mạnh hơn bằng cách ngăn chặn các tổn thất lớn đối với các đối tượng được bảo vệ.

FPT_RCV.4 Chức năng khôi phục, cung cấp khả năng khôi phục ở mức SF đặc biệt, đảm bảo khôi phục dữ liệu TSF sang trạng thái an toàn hoàn toàn.

14.7.3. Quản lý của FPT_RCV.1

Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:

a) Quản lý việc ai có quyền khôi phục trong chế độ bảo trì

14.7.4. Quản lý của FPT_RCV.2, FPT_RCV.3

Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:

a) Quản lý có quyền khôi phục trong chế độ bảo trì.

b) Quản lý danh sách lỗi/gián đoạn dịch vụ có thể kiểm soát thông qua các thủ tục tự động

14.7.5. Quản lý của FPT_RCV.4

Không có hoạt động quản lý nào.

14.7.6. Kiểm toán của FPT_RCV.1, FPT_RCV.2, FPT_RCV.3

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

a) Tối thiểu: thực tế lỗi hoặc gián đoạn dịch vụ có thể xảy ra.

b) Tối thiểu: bắt đầu hoạt động lại một cách bình thường.

c) Cơ sở: loại lỗi hoặc gián đoạn dịch vụ.

14.7.7. Kiểm toán của FPT_RCV.4

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

a) Tối thiểu: nếu có thể, tính không thể trở về trạng thái an toàn sau lỗi của một chức năng an toàn.

b) Cơ sở: nếu có thể, sự phát hiện lỗi của một chức năng an toàn.

14.7.8. FPT_RCV.1 Khôi phục thủ công

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc: AGD_OPE.1 Hướng dẫn người dùng vận hành.

14.7.8.1. FPT_RCV.1.1

Sau khi [chỉ định: danh sách lỗi/gián đoạn dịch vụ] TSF cần đưa ra chế độ bảo trì mà ở đó cung cấp khả năng trở về trạng thái an toàn.

14.7.9. FPT_RCV.2 Khôi phục tự động

Phân cấp từ: FPT_TCV.1 Khôi phục thủ công

Các mối phụ thuộc: AGD_OPE.1 Hướng dẫn người dùng vận hành.

14.7.9.1. FPT_RCV.2.1

Khi tự động khôi phục từ [chỉ định: danh sách lỗi/gián đoạn dịch vụ] là không thể, thì TSF cần về chế độ bảo trì, có khả năng quay trở lại trạng thái an toàn.

14.7.9.2. FPT_RCV.2.2

Với [chỉ định: danh sách lỗi/gián đoạn dịch vụ] TSF cần bảo đảm TOE trở về trạng thái an toàn sử dụng các thủ tục tự động

14.7.10. FPT_RCV.3 Khôi phục tự động tránh tổn thất lớn

Phân cấp từ: FPT_RCV.2 Khôi phục tự động.

Các mối phụ thuộc: AGD_OPE.1 Hướng dẫn người dùng vận hành.

14.7.10.1. FPT_RCV.3.1

Khi khôi phục tự động từ [chỉ định: danh sách lỗi/gián đoạn dịch vụ] là không thể, TSF cần chuyển sang chế độ bảo trì, nơi có khả năng quay trở lại trạng thái an toàn.

14.7.10.2. FPT_RCV.3.2

Với [chỉ định: danh sách lỗi/gián đoạn dịch vụ], TSF cần đảm bảo TOE quay trở lại trạng thái an toàn sử dụng các thủ tục tự động.

14.7.10.3. FPT_RCV.3.3

Các chức năng quy định bởi TSF để khôi phục lỗi hoặc gián đoạn dịch vụ cần đảm bảo rằng trạng thái khởi động an toàn được khôi phục không vượt quá [chỉ định: số lượng] đối với tổn thất dữ liệu TSF hoặc đối tượng trong TSC.

14.7.10.4. FPT_RCV.3.4

TSF cần cung cấp khả năng xác định các đối tượng có hoặc không có khả năng khôi phục.

14.7.11. FPT_RCV.4 Khôi phục chức năng

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc: Không có sự phụ thuộc.

14.7.11.1. FPT_RCV.4.1

TSF cần đảm bảo [chỉ định: danh sách SFs và các kịch bản lỗi] có đặc tính là hoặc SF hoàn thành thành công hoặc chỉ ra các kịch bản lỗi, khôi phục về trạng thái an toàn và phù hợp.

14.8. Phát hiện chạy lại (FPT_RPL)

14.8.1. Hành xử của họ

Họ này đề cập đến việc phát hiện và chạy lại với các loại thực thể trước đó (ví dụ: tin nhắn, yêu cầu dịch vụ, đáp ứng dịch vụ) và các hoạt động tiếp theo để sửa lỗi. Trong trường hợp này vị trí chạy lại được phát hiện và như vậy nó có thể ngăn ngừa một cách hiệu quả.

14.8.2. Phân mức thành phần

Họ này bao gồm chỉ một thành phần FPT_RPL.1 Phát hiện chạy lại, nó đòi hỏi TSF có khả năng phát hiện các thực thể xác định chạy lại.

14.8.3. Quản lý của FPT_RPL.1

Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:

a) Quản lý danh sách các thực thể xác định được phát hiện chạy lại.

b) Quản lý danh sách các hoạt động cần đưa ra trong trường hợp chạy lại.

14.8.4. Kiểm toán của FPT_RPL.1

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

a) Cơ sở: phát hiện các tấn công chạy lại

b) Chi tiết: Hoạt động đưa ra dựa trên các hoạt động cụ thể.

14.8.5. FPT_RPL.1 Phát hiện chạy lại

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc: Không có sự phụ thuộc.

14.8.5.1. FPT_RPL.1.1

TSF cần phát hiện chạy lại theo các thực thể như sau: [chỉ định: danh sách các thực thể xác định].

14.8.5.2. FPT_RPL.1.2

TSF cần thực hiện [Chỉ định: danh sách các hoạt động cụ thể] khi phát hiện chạy lại.

14.9. Giao thức đồng bộ trạng thái (FPT_SSP)

14.9.1. Hành xử của họ

Hệ thống phân tán có thể có độ phức tạp hơn nhiều so với các hệ thống tập trung vì các trạng thái khác nhau giữa các phần của hệ thống, và vì độ trễ trong truyền thông. Trong hầu hết các trường hợp đồng bộ trạng thái giữa các chức năng phân tán cần phải có một giao thức trao đổi, không chỉ đơn giản là một hành động. Khi xuất hiện điểm yếu trong môi trường phân tán của các giao thức này thì cần có nhiều hơn các giao thức bảo vệ phức tạp hơn.

Giao thức đồng bộ trạng thái (FPT_SSP) thiết lập yêu cầu cho các chức năng an toàn trọng yếu nhất định của TSF để sử dụng giao thức tin cậy này. Giao thức đồng bộ trạng thái đảm bảo rằng hai thành phần phân tán của TOE (ví dụ như các máy chủ) được đồng bộ trạng thái sau khi có hành động an toàn thích hợp.

14.9.2. Phân mức thành phần

FPT_SSP.1 Xác nhận tin cậy đơn, đòi hỏi chỉ một xác nhận đơn giản từ phía người nhận dữ liệu.

FPT_SSP.2 Xác nhận tin cậy tương hỗ, đòi hỏi xác nhận từ cả hai phía trao đổi dữ liệu.

14.9.3. Quản lý của FPT_SSP.1, FPT_SSP.2

Không có các hoạt động quản lý nào.

14.9.4. Kiểm toán của FPT_SSP.1, FPT_SSP.2

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

a) Tối thiểu: nhận được thông báo lỗi khi có nhu cầu.

14.9.5. FPT_SSP.1 Xác nhận tin cậy một chiều (đơn)

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc: FPT_ITT.1 Bảo vệ vận chuyển dữ liệu nội bộ TSF cơ bản.

14.9.5.1. FPT_SSP.1.1

TSF cần xác nhận, khi có yêu cầu của một bộ phận khác trong TSF, cho nơi nhận truyền dữ liệu TSF không thay đổi.

14.9.6. FPT_SSP.2 Xác nhận tin cậy hai chiều

Phân cấp từ: FPT_SSP.1 Xác nhận tin cậy đơn giản.

Các mối phụ thuộc: FPT_ITT.1 Bảo vệ vận chuyển dữ liệu nội bộ TSF cơ bản.

14.9.6.1. FPT_SSP.2.1

TSF cần xác nhận, khi có yêu cầu của một bộ phận khác trong TSF, cho nơi nhận truyền dữ liệu TSF không thay đổi.

14.9.6.2. FPT_SSP.2.2

TSF cần đảm bảo rằng các thành phần tương ứng của TSF nhận biết được trạng thái đúng của dữ liệu truyền trong số các thành phần khác nhau, sử dụng các xác nhận.

14.10. Nhãn thời gian (FPT_STM)

14.10.1. Hành xử của họ

Họ này xác định các yêu cầu cho chức năng nhãn thời gian tin cậy trong TOE.

14.10.2. Phân mức thành phần

Họ này bao gồm chỉ một thành phần, FPT_STM.1 Các nhãn thời gian tin cậy, nó đòi hỏi TSF quy định các nhãn thời gian tin cậy cho các chức năng TSF.

14.10.3. Quản lý của FPT_STM.1

Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:

a) Quản lý thời gian.

14.10.4. Kiểm toán của FPT_STM.1

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

a) Tối thiểu: thay đổi thời gian

b) Chi tiết: quy định một nhãn thời gian.

14.10.5. FPT_STM.1 Thẻ thời gian tin cậy

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc: Không có sự phụ thuộc.

14.10.5.1. FPT_STM.1.1

TSF cần có khả năng quy định các nhãn thời gian tin cậy.

14.11. Tính nhất quán dữ liệu liên-TSF (FPT_TDC)

14.11.1. Hành xử của họ

Trong môi trường hệ thống phân tán hoặc phức hợp, một TOE có thể cần trao đổi dữ liệu TSF (ví dụ các thuộc tính SFP liên quan đến dữ liệu, thông tin kiểm toán, thông tin định danh) với các sản phẩm IT tin cậy khác, họ này định nghĩa các yêu cầu cho việc chia sẻ và thể hiện tính nhất quán của các thuộc tính này giữa TSF và TOE và các sản phẩm IT tin cậy khác.

14.11.2. Phân mức thành phần

FPT_TDC.1 Tính nhất quán dữ liệu TSF cơ sở liên-TSF đòi hỏi TSF cung cấp khả năng đảm bảo tính nhất quán của các thuộc tính giữa các TSF.

14.11.3. Quản lý của FPT_TDC.1

Không có các hoạt động quản lý nào.

14.11.4. Kiểm toán của FPT_TDC.1

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

a) Tối thiểu: sử dụng thành công các cơ chế nhất quán dữ liệu TSF.

b) Cơ sở: sử dụng các cơ chế nhất quán dữ liệu TSF.

c) Cơ sở: xác định dữ liệu TSF nào được chuyển đổi.

d) Cơ sở: phát hiện thay đổi dữ liệu.

14.11.5. FPT_TDC.1 Tính nhất quán dữ liệu TSF cơ bản liên-TSF

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc: Không có sự phụ thuộc.

14.11.5.1. FPT_TDC.1.1

TSF cần cung cấp khả năng giải nghĩa một cách nhất quán [chỉ định: danh sách kiểu dữ liệu TSF] khi chia sẻ giữa TSF và sản phẩm CNTT tin cậy khác.

14.11.5.2. FPT_TDC.1.2

TSF cần sử dụng [chỉ định: danh sách các quy tắc chuyển đổi được áp dụng bởi TSF] khi giải nghĩa dữ liệu TSF từ sản phẩm IT tin cậy khác.

14.12. Kiểm thử các thực thể bên ngoài (FPT_TEE)

14.12.1. Hành xử của họ

Họ này định nghĩa các yêu cầu cho TSF thực thi các kiểm thử trên một hoặc nhiều thực thể bên ngoài.

Thành phần này không được tính đến để áp dụng cho con người.

Các thực thể bên ngoài có thể bao gồm các ứng dụng chạy trên TOE, phần cứng hay phần mềm chạy "bên dưới" TOE (chẳng hạn như các nền tảng, các hệ điều hành v.v…) hay các ứng dụng/hộp kết nối với TOE (như các hệ thống phát hiện xâm nhập, tường lửa, các máy chủ đăng nhập, các máy chủ thời gian v.v…).

14.12.2. Phân mức thành phần

FPT_TEE.1 Kiểm thử các thực thể bên ngoài, cung cấp các kiểm thử về các thực thể bên ngoài nhờ TSF.

14.12.3. Quản lý của FPT_TEE.1

Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:

a) Quản lý với các điều kiện mà theo đó các kiểm thử của các thực thể bên ngoài xảy ra, chẳng hạn như trong quá trình khởi động ban đầu, khoảng thời gian quy định, hay dưới các điều kiện đặc biệt;

b) Quản lý theo khoảng thời gian nếu thích hợp.

14.12.4. Kiểm toán cho FPT_TEE.1

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

a) Cơ sở: Việc thực hiện việc kiểm thử của các thực thể bên ngoài và các kết quả kiểm thử.

14.12.5. FPT_TEE.1 Kiểm thử các thực thể bên ngoài

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc: Không có sự phụ thuộc.

6.1.1.3. FPT_TEE.1.1

TSF cần chạy một bộ các kiểm thử [lựa chọn: trong suốt thời gian khởi động ban đầu, định kỳ trong quá trình hoạt động bình thường, tại các yêu cầu của người dùng có thẩm quyền, [chỉ định: các điều kiện khác]] để kiểm tra việc thực hiện của [chỉ định: danh sách các thuộc tính của các thực thể bên ngoài].

6.1.1.4. FPT_TEE.1.2

Nếu các kiểm thử thất bại, TSF cần [chỉ định: các hành động]

14.13. Tính nhất quán bản sao dữ liệu bên trong TOE TSF (FPT_TRC)

14.13.1. Hành xử của họ

Các yêu cầu của họ này cần thiết để đảm bảo tính nhất quán của dữ liệu khi dữ liệu được sao lưu trong TOE. Dữ liệu như vậy có thể trở thành không nhất quán nếu kênh truyền bên trong giữa các bộ phận của TOE làm ngưng hoạt động. Nếu TOE được xây dựng bên trong như một là một mạng và một phần các kết nối mạng TOE bị đứt thì điều này có thể xảy ra khi phần đó trở là không kích hoạt.

14.13.2. Phân mức thành phần

Họ này bao gồm chỉ một thành phần, FPT_TRC.1 - tính nhất quán trong TSF các yêu cầu này là TSF đảm bảo tính nhất quán của dữ liệu TSF khi nó được sao lưu tại nhiều nơi.

14.13.3. Quản lý của FPT_TRC.1

Không có các hoạt động quản lý nào.

14.13.4. Kiểm toán của FPT_TRC.1

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

a) Tối thiểu: Khôi phục tính nhất quán theo khôi phục kết nối.

b) Cơ sở: Phát hiện tính không nhất quán của dữ liệu TSF.

14.13.5. FPT_TRC.1 Tính nhất quán bên trong TSF

Phân cấp từ: Không có thành phần khác.

Các mối phụ thuộc: FPT_ITT.1 Bảo vệ truyền dữ liệu trong TSF cơ bản.

14.13.5.1. FPT_TRC.1.1

TSF cần đảm bảo dữ liệu TSF là nhất quán khi sao chép giữa các phần của TOE.

14.13.5.2. FPT_TRC.1.2

Khi các phần của TOE chứa dữ liệu sao chép TSF bị gián đoạn, TSF cần đảm bảo tính nhất quán của dữ liệu sao chép TSF từ khi kết nối lại trước khi xử lý bất cứ yêu cầu nào cho [chỉ định: danh sách các SF phụ thuộc vào tính nhất quán sao chép dữ liệu TSF].

14.14. Tự kiểm tra TSF (FPT_TST)

14.14.1. Hành xử của họ

Họ này định nghĩa các yêu cầu cho việc tự kiểm tra TSF tập trung vào một số hoạt động chuẩn mong muốn. Ví dụ các giao diện đối với các chức năng thực thi và các hoạt động số học lấy mẫu trên cơ sở các phần quan trọng của TOE. Các kiểm tra này có thể thực hiện tại lúc khởi tạo, định kỳ, tại lúc có yêu cầu của người đủ thẩm quyền, hoặc khi thỏa mãn các điều kiện khác. Các hoạt động có thể được đưa ra bởi TOE như là kết quả của việc tự kiểm tra được định nghĩa trong các họ khác.

Các yêu cầu của họ cũng cần thiết để phát hiện sự gián đoạn của mã thực thi TSF (ví dụ phần mềm TSF) và dữ liệu TSF bởi các lỗi khác mà không cần thiết phải dừng hoạt động của TOE (nó được kiểm soát bởi các họ khác) các kiểm tra này phải được thực hiện bởi vì các lỗi đó có thể không cần thiết phải bảo vệ. Các lỗi như vậy có thể xảy ra hoặc vì các chế độ lỗi không được dự đoán trước hoặc liên quan đến sai sót trong thiết kế phần cứng, phần mềm, hoặc bởi vì sự gián đoạn cố ý của TSF vì không phù hợp logic và/hoặc sự bảo vệ vật lý.

14.14.2. Phân mức thành phần

FPT_TST.1 TSF kiểm tra, cung cấp khả năng kiểm tra hoạt động đúng của TSF. Các kiểm tra này có thể được thực hiện tại thời điểm khởi động, định kỳ, hoặc theo yêu cầu của người có thẩm quyền, hay khi các điều kiện khác thỏa mãn. Nó cũng cung cấp khả năng kiểm tra tính toàn vẹn của dữ liệu TSF và mã thực thi.

14.14.3. Quản lý của FPT_TST.1

Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:

a) Quản lý các điều kiện để TSF tự kiểm tra, ví dụ trong khi khởi động, khoảng thời gian đều đặn hoặc theo một số điều kiện cụ thể.

b) Quản lý khoảng thời gian thích hợp.

14.14.4. Kiểm toán của FPT_TST.1

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

a) Cơ sở: thực hiện tự kiểm tra TSF và các kết quả kiểm tra.

14.14.5. FPT_TST.1 kiểm tra TSF

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc: Không có sự phụ thuộc.

14.14.5.1. FPT_TST.1.1

TSF cần thực hiện một bộ các tự kiểm tra [lựa chọn: trong quá trình khởi tạo, hoạt động một cách định kỳ, tại thời điểm yêu cầu của người có thẩm quyền, ở các điều kiện [chỉ định: các điều kiện cho tự kiểm tra]] để chứng tỏ hoạt động của TSF là đúng đắn. [lựa chọn: [ấn định: các bộ phận của TSF], TSF].

14.14.5.2. FPT_TST.1.2

TSF cần quy định cho người sử dụng hợp pháp khả năng kiểm tra tính toàn vẹn của [lựa chọn: [chỉ định: các bộ phận của TSF], dữ liệu TSF].

14.14.5.3. FPT_TST.1.3

TSF cần quy định cho người sử dụng hợp pháp khả năng kiểm tra tính toàn vẹn của mã thực thi được lưu trong TSF.

15. Lớp FRU: Sử dụng tài nguyên

Lớp này giới thiệu 3 họ hỗ trợ cho tính sẵn sàng của các tài nguyên được yêu cầu, chẳng hạn như về khả năng xử lý và/hay dung lượng dự trữ. Họ khả năng chịu lỗi (Faul Tolerance) quy định sự bảo vệ đối với khả năng không sẵn sàng do lỗi của TOE gây ra. Họ Quyền ưu tiên của dịch vụ (Priority of Service) đảm bảo tài nguyên sẽ được cấp phát cho những nhiệm vụ quan trọng hơn và tài nguyên đó không thể giữ độc quyền bởi những nhiệm vụ có quyền ưu tiên thấp hơn. Họ Cấp phát tài nguyên (Resource Allocation) đưa ra giới hạn về việc sử dụng các tài nguyên sẵn có, vì thế sẽ ngăn chặn việc người dùng chiếm dụng độc quyền tài nguyên.

Hình 15 - Phân rã lớp FRU: Sử dụng tài nguyên

15.1. Khả năng chịu lỗi (FRU_FLT)

15.1.1. Hành xử của họ

Các yêu cầu của họ này đảm bảo rằng TOE sẽ duy trì hoạt động chính xác ngay cả khi có lỗi.

15.1.2. Phân mức thành phần

FRU_FLT.1 Khả năng chịu lỗi suy giảm, yêu cầu TOE vẫn hoạt động chính xác với những khả năng xác định trong sự kiện lỗi xác định.

FRU_FLT.2 Khả năng chịu lỗi giới hạn (Limited fault tolerance), yêu cầu TOE vẫn hoạt động chính xác ở mọi khả năng trong sự kiện lỗi xác định.

15.1.3. Quản lý của FRU_FLT.1, FRU_FLT.2

Không có các hoạt động quản lý nào.

15.1.4. Kiểm toán của FRU_FLT.1

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

a) Tối thiểu: Bất cứ lỗi nào được phát hiện bởi TSF.

b) Cơ sở: Tất cả những khả năng mà TOE bị gián đoạn do lỗi.

15.1.5. Kiểm toán của FRU_FLT.2

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

a) Tối thiểu: Bất cứ lỗi nào được phát hiện bởi TSF.

15.1.6. FRU_FLT.1 Khả năng chịu lỗi suy giảm

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc: FPT_FLS.1 Lỗi với việc bảo toàn trạng thái an toàn.

15.1.6.1. FRU_FLT.1.1

TSF cần đảm bảo hoạt động của [chỉ định: danh sách các khả năng của TOE] khi xuất hiện các lỗi sau: [chỉ định: danh sách các loại lỗi].

15.1.7. FRU_FLT.2 Khả năng chịu lỗi giới hạn

Phân cấp từ: FRU_FLT.1 Khả năng chịu lỗi suy giảm

Các mối phụ thuộc: FPT_FLS.1 Lỗi với việc bảo toàn trạng thái an toàn.

15.1.7.1. FRU_FLT.2.1

TSF cần đảm bảo hoạt động của tất cả các khả năng của TOE khi các lỗi sau xuất hiện: [chỉ định: danh sách các loại lỗi].

15.2. Ưu tiên dịch vụ (FRU_PRS)

15.2.1. Hành xử của họ

Những yêu cầu này của họ cho phép TSF kiểm soát việc sử dụng tài nguyên trong TSC bởi người dùng và các chủ thể sao cho các hoạt động ưu tiên trong TSC sẽ luôn được hoàn thành mà không bị can thiệp hay trễ quá mức do các hoạt động có độ ưu tiên thấp hơn gây ra.

15.2.2. Phân mức thành phần

FRU_PRS.1 Ưu tiên dịch vụ có giới hạn, quy định các mức ưu tiên cho một chủ thể sử dụng một tập con tài nguyên của chủ thể trong TSC.

FRU_PRS.2 Ưu tiên dịch vụ đầy đủ, quy định các mức ưu tiên cho việc sử dụng tất cả các tài nguyên của một chủ thể trong TSC.

15.2.3. Quản lý của FRU_PRS.1, FRU_PRS.2

Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:

a) Chỉ định các mức ưu tiên cho mỗi chủ thể trong TSF.

15.2.4. Kiểm toán của FRU_PRS.1, FRU_PRS.2

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

a) Tối thiểu: Từ chối hoạt động dựa trên việc sử dụng mức ưu tiên bên trong một cấp phát.

b) Cơ sở: Mọi khả năng sử dụng chức năng cấp phát liên quan đến mức ưu tiên của các chức năng dịch vụ.

15.2.5. FRU_PRS.1 Ưu tiên dịch vụ có giới hạn

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc: Không có sự phụ thuộc.

15.2.5.1. FRU_PRS.1.1

TSF cần ấn định một mức ưu tiên cho mỗi chủ thể trong TSF.

15.2.5.2. FRU_PRS.1.2

TSF cần đảm bảo rằng mỗi truy nhập tới [chỉ định: các tài nguyên được kiểm soát] phải được dàn xếp trên cơ sở các chủ thể được ấn định quyền ưu tiên.

15.2.6. FRU_PRS.2 Quyền ưu tiên dịch vụ đầy đủ

Phân cấp từ: FRU_PRS.1 Ưu tiên dịch vụ có giới hạn.

Các mối phụ thuộc: Không có sự phụ thuộc.

15.2.6.1. FRU_PRS.2.1

TSF cần ấn định một mức ưu tiên cho mỗi chủ thể trong TSF.

15.2.6.2. FRU_PRS.2.2

TSF cần đảm bảo rằng mỗi truy nhập tới tất cả các tài nguyên có thể chia sẻ cần được dàn xếp trên nền tảng các chủ thể được ấn định ưu tiên.

15.3. Cấp phát tài nguyên (FRU_RSA)

15.3.1. Hành xử của họ

Các yêu cầu của họ này cho phép TSF kiểm soát việc sử dụng các tài nguyên bởi người dùng và các chủ thể, sao cho việc từ chối dịch vụ không xảy ra bởi sự độc chiếm không được phép của các tài nguyên.

15.3.2. Phân mức thành phần

FRU_RSA.1: Chỉ tiêu tối đa, quy định các yêu cầu cho các cơ chế định mức để đảm bảo rằng người dùng và chủ thể không độc chiếm một tài nguyên đã được kiểm soát.

FRU_RSA.2: Chỉ tiêu tối đa và tối thiểu, quy định các yêu cầu cho các cơ chế định mức để đảm bảo rằng người dùng và chủ thể sẽ luôn có ít nhất một tài nguyên cụ thể tối thiểu và họ sẽ không thể độc chiếm một tài nguyên đã được kiểm soát.

15.3.3. Quản lý của FRU_RSA.1

Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:

a) Định rõ những giới hạn tối đa cho một tài nguyên cho các nhóm và/hay người dùng cụ thể và/hay các chủ thể bởi nhà quản trị.

15.3.4. Quản lý của FRU_RSA.2

Các hành động sau có thể được xem xét cho các chức năng quản lý trong FMT:

a) Định rõ các giới hạn tối đa và tối thiểu cho một tài nguyên cho các nhóm và/hay những người dùng và/hay các chủ thể bởi nhà quản trị.

15.3.5. Kiểm toán của FRU_RSA.1, FRU_RSA.2

Các hành động sau có thể được kiểm toán nếu FAU_GEN tạo dữ liệu kiểm toán an toàn chứa trong PP/ST:

a) Tối thiểu: Loại trừ hoạt động cấp phát do những giới hạn về tài nguyên.

b) Cơ sở: Mọi khả năng sử dụng chức năng cấp phát dưới sự kiểm soát của TSF.]

15.3.6. FRU_RSA.1 Các chỉ tiêu tối đa

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc: Không có sự phụ thuộc.

15.3.6.1. FRU_RSA.1.1

TSF cần tuân theo các chỉ tiêu tối đa của các tài nguyên sau [chỉ định: các tài nguyên được kiểm soát] mà [lựa chọn: người dùng cụ thể, nhóm những người dùng xác định, các chủ thể] có thể sử dụng [lựa chọn: đồng thời trên một khoảng thời gian cụ thể].

15.3.7. FRU_RSA.2 Các chỉ tiêu tối đa và tối thiểu

Phân cấp tới: FRU_RSA.1 Các chỉ tiêu tối đa

Các mối phụ thuộc: Không phụ thuộc.

15.3.7.1. FRU_RSA.2.1

TSF cần thực thi các chỉ tiêu tối đa của các tài nguyên sau [chỉ định: các tài nguyên được kiểm soát] mà [lựa chọn: người dùng cụ thể, nhóm những người dùng xác định] có thể sử dụng [lựa chọn: đồng thời, trên một khoảng thời gian cụ thể].

15.3.7.2. FRU_RSA.2.2

TSF cần đảm bảo việc quy định số lượng tối thiểu của mỗi [chỉ định: các tài nguyên được kiểm soát] sẵn có cho [lựa chọn: người dùng cụ thể, nhóm những người dùng xác định, các chủ thể] để sử dụng [lựa chọn: đồng thời, trên một khoảng thời gian cụ thể].

16. Lớp FTA: Truy nhập TOE

Họ này định rõ các yêu cầu về chức năng điều khiển thiết lập phiên người dùng.

16.1. Giới hạn trên phạm vi các thuộc tính có thể lựa chọn (FTA_LSA)

16.1.1. Hành xử của họ

Họ này định nghĩa những yêu cầu cho việc giới hạn phạm vi các thuộc tính an toàn phiên mà người dùng có thể lựa chọn cho một phiên.

Hình 16 - Phân rã lớp FTA: truy nhập TOE

16.1.2. Phân mức thành phần

FTA_LSA.1 Giới hạn trên phạm vi các thuộc tính có thể lựa chọn, quy định yêu cầu cho một TOE để giới hạn phạm vi các thuộc tính an toàn trong suốt quá trình thiết lập phiên.

16.1.3. Quản lý của FTA_LSA.1

Các hành động theo có thể xem xét cho các chức năng quản lý trong FMT:

a) Quản lý phạm vi các thuộc tính an toàn phiên bởi nhà quản trị.

16.1.4. Kiểm toán của FTA_LSA.1

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

a) Tối thiểu: Tất cả các nỗ lực không đạt được khi lựa chọn các thuộc tính an toàn phiên;

b) Cơ sở: Tất cả các cố gắng khi lựa chọn các thuộc tính an toàn phiên;

c) Chi tiết: Giữ lại các giá trị của mỗi thuộc tính an toàn phiên.

16.1.5. FTA_LSA.1 Giới hạn trên phạm vi các thuộc tính có thể lựa chọn

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc: Không có sự phụ thuộc.

16.1.5.1. FTA_LSA.1.1

TSF cần hạn chế phạm vi của các thuộc tính an toàn phiên [chỉ định: các thuộc tính an toàn phiên], dựa trên cơ sở [chỉ định: các thuộc tính].

16.2. Giới hạn về nhiều phiên diễn ra đồng thời (FTA_MCS)

16.2.1. Hành xử của họ

Họ này định nghĩa các yêu cầu để đưa ra các giới hạn trên một số phiên diễn ra đồng thời thuộc cùng người dùng.

16.2.2. Phân mức thành  phần

FTA_MCS.1 Giới hạn cơ sở trên đa phiên đồng thời, quy định những giới hạn áp dụng cho tất cả người dùng TSF.

FTA_MCS.2 Giới hạn thuộc tính mỗi người dùng trên cơ sở mở rộng các phiên làm việc đồng thời FTA_MCS.1 thông qua việc yêu cầu khả năng chỉ ra các giới hạn về số phiên làm việc đồng thời trên cơ sở các thuộc tính an toàn liên quan.

16.2.3. Quản lý của FTA_MCS.1

Các hành động theo có thể xem xét cho các chức năng quản lý trong FMT:

a) Quản lý một số lượng cho phép tối đa các phiên người dùng đồng thời bởi nhà quản trị.

16.2.4. Quản lý của FTA_MCS.2

Các hành động theo có thể xem xét cho các chức năng quản lý trong FMT:

a) Quản lý các quy tắc quản trị số lượng cho phép tối đa các phiên người dùng đồng thời bởi nhà quản trị.

16.2.5. Kiểm toán của FTA_MCS.1, FTA_MCS.2

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

a) Tối thiểu: Loại trừ một phiên mới dựa trên cơ sở giới hạn nhiều phiên đồng thời.

b) Chi tiết: Giữ lại một số phiên người dùng đang diễn ra đồng thời và các thuộc tính an toàn người dùng.

16.2.6. FTA_MCS.1 Giới hạn cơ sở trên đa phiên đồng thời

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc: FTA_UID.1 Định thời cho định danh.

16.2.6.1. FTA_MCS.1.1

TSF cần hạn chế số lượng tối đa các phiên đồng thời thuộc cùng người dùng.

16.2.6.2. FTA_MCS.1.2

Mặc định, TSF phải tuân thủ giới hạn [chỉ định: số mặc định] phiên cho mỗi người dùng.

16.2.7. FTA_MCS.2 Giới hạn thuộc tính mỗi người dùng cho nhiều phiên đồng thời

Phân cấp từ: FTA_MCS.1 Giới hạn cơ sở trên đa phiên đồng thời.

Các mối phụ thuộc: FIA_UID.1 Định thời cho định danh.

16.2.7.1. FTA_MCS.2.1

TSF cần hạn chế số lượng tối đa các phiên đồng thời thuộc cùng người dùng theo quy tắc [chỉ định: các quy tắc về số các phiên đồng thời tối đa].

16.2.7.2. FTA_MCS.2.2

Mặc định, TSF cần thực thi giới hạn [chỉ định: số mặc định] số phiên người dùng.

16.3. Khóa và chấm dứt phiên (FTA_SSL)

16.3.1. Hành xử của họ

Họ này định nghĩa những yêu cầu đối với TSF để quy định khả năng khóa, mở khóa TSF đã khởi đầu và người dùng đã khởi đầu của các phiên tương tác.

16.3.2. Phân cấp thành phần

FTA_SSL.1 Khóa phiên TSF đã khởi đầu gồm việc khóa hệ thống đã khởi đầu của một phiên tương tác sau một khoảng thời gian nhất định khi không có hoạt động người dùng.

FTA_SSL.2 Khóa phiên người dùng đã khởi đầu, quy định những khả năng cho người dùng khóa hay mở khóa các phiên tương tác mà người dùng đó đang sử dụng.

FTA_SSL.3 Kết thúc TSF đã khởi đầu, quy định những yêu cầu cho phép TSF kết thúc phiên làm việc sau một khoảng thời gian không có hoạt động người dùng.

FTA_SSL.4 Kết thúc phiên người dùng đã khởi đầu, quy định khả năng cho người dùng để chấm dứt các phiên tương tác của chính người dùng.

16.3.3. Quản lý của FTA_SSL.1

Các hành động theo có thể xem xét cho các chức năng quản lý trong FMT:

a) Đặc tả về thời gian không có hoạt động người dùng sau khi lock-out diễn ra đối với mỗi người dùng cụ thể.

b) Đặc tả thời gian mặc định không có hoạt động người dùng sau khi lock-out diễn ra.

c) Quản lý các sự kiện diễn ra trước khi mở khóa một phiên.

16.3.4. Quản lý của FTA_SSL.2

Các hành động theo có thể xem xét cho các chức năng quản lý trong FMT:

a) Quản lý các sự kiện diễn ra trước khi mở khóa một phiên.

16.3.5. Quản lý của FTA_SSL.3

Các hành động theo có thể xem xét cho các chức năng quản lý trong FMT:

a) Đặc tả thời gian không có hoạt động người dùng sau khi kết thúc một phiên tương tác diễn ra đối với từng người dùng cụ thể.

b) Đặc tả thời gian mặc định không có người dùng sau khi kết thúc một phiên tương tác diễn ra.

16.3.6. Quản lý của FTA_SSL.4

Không có các hoạt động quản lý nào.

16.3.7. Kiểm toán của FTA_SSL.1, FTA_SSL.2

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

a) Tối thiểu: Khóa một phiên tương tác bởi cơ chế khóa phiên.

b) Tối thiểu: Mở khóa thành công một phiên tương tác.

c) Cơ sở: Bất kỳ sự nỗ lực nào để mở khóa một phiên tương tác.

16.3.8. Kiểm toán của FTA_SSL.3

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

a) Tối thiểu: Kết thúc một phiên tương tác nhờ cơ chế khóa phiên.

16.3.9. Kiểm toán của FTA_SSL.4

Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:

a) Tối thiểu: Kết thúc một phiên tương tác bởi người dùng.

16.3.10. FTA_SSL.1 Khóa phiên khỏi tạo bởi TSF

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc: FIA_UAU.1 Định thời cho xác thực.

16.3.10.1. FTA_SSL.1.1

TSF cần khóa một phiên tương tác sau [chỉ định: khoảng thời gian không có hoạt động người dùng] nhờ:

a) Xóa hoặc ghi đè các thiết bị hiển thị, làm cho những nội dung hiện tại không thể đọc;

b) Cấm mọi hoạt động của các thiết bị hiển thị / truy nhập dữ liệu người dùng nếu không phải là mở khóa phiên.

16.3.10.2. FTA_SSL.1.2

TSF cần yêu cầu các sự kiện sau diễn ra trước khi mở khóa phiên: [chỉ định: các sự kiện diễn ra].

16.3.11. FTA_SSL.2 Khóa khởi tạo bởi người dùng

Phân cấp từ: Không có các thành phần nào.

Các mối phụ thuộc: FIA_UAU.1 Định thời cho xác thực.

16.3.11.1. FTA_SSL.2.1

TSF cần cho phép việc khóa khởi tạo bởi người dùng cho phiên tương tác của chính họ thông qua: