ISO - IEC 15408 2 Español

12/6/2014 ISO / IEC 15408-2
http://translate.googleusercontent.com/translate_f 1/206
Pgina 1
Nmero de referencia
ISO / IEC 15408-2:2008 (E)
ISO / IEC 2008
INTERNACIONAL
ESTNDAR
ISO / IEC
15408-2
Tercera edicin
2008-08-15
Versin corregida
2011-06-01
Tecnologa de la informacin - Seguridad
Criterios de evaluacin de TI - tcnicas
seguridad -
Parte 2:
Componentes funcionales de seguridad
Tecnologas de informacin de l'- Tcnicas de scurit - Critres
d'valuation pour la scurit TI -
Partie 2: Composants fonctionnels de scurit
12/6/2014 ISO / IEC 15408-2
Pgina 2
ISO / IEC 15408-2:2008 (E)
COPYRIGHT PROTEGIDO DOCUMENTO
ISO / IEC 2008
Todos los derechos reservados.
A menos que se especifique lo contrario, ninguna parte de esta publicacin puede ser reproducida o utilizada de ninguna forma ni por ningn medio,
electrnico o mecnico, de fotocopia o de microfilm, sin previa autorizacin por escrito recibida de ISO en la direccin abajo o
Organismo miembro de ISO en el pas del solicitante.
La oficina de derechos de autor ISO
Case postale 56 CH-1211 Ginebra 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Publicado en Suiza
ii
ISO / IEC 2008 - Todos los derechos reservados
Pgina 3
ISO / IEC 15408-2:2008 (E)
Contenido
Pgina
12/6/2014 ISO / IEC 15408-2
iii
Prefacio ........................................................................................................................................................xviii
Introduction.......................................................................................................................................................xx
1 Scope......................................................................................................................................................1
2 Normativo references............................................................................................................................1
3 Trminos y definiciones, smbolos y abreviaturas .......................................... ......................... 1
4 Overview.................................................................................................................................................1
4.1 Organizacin de esta parte de la norma ISO / IEC 15408 ......................................... ................................................ 1
5 Requisitos funcionales paradigma .....................................................................................................2
6 Seguridad funcional components..........................................................................................................5
6.1 Overview.................................................................................................................................................5
6.1.1 La estructura de clases ......................................................................................................................................5
6.1.2 Familia structure.....................................................................................................................................6
6.1.3 Componente structure............................................................................................................................8
6.2 Componente catalogue...........................................................................................................................9
6.2.1 Cambios de componentes destacando .....................................................................................................10
7 Clase FAU: Seguridad audit...................................................................................................................10
7.1 Respuesta automtica Auditora de seguridad (FAU_ARP) ........................................... .................................... 11
7.1.1 Familia Behaviour.................................................................................................................................11
7.1.2 Nivelacin de componentes ...........................................................................................................................11
7.1.3 Gestin de FAU_ARP.1 ...............................................................................................................11
7.1.4 Auditora de FAU_ARP.1............................................................................................................................11
7.1.5 FAU_ARP.1 Seguridad alarms...............................................................................................................11
7.2 La generacin de datos de auditora de seguridad (FAU_GEN) ........................................... ........................................... 11
7.2.3 Gestin de FAU_GEN.1, FAU_GEN.2 ......................................... ................................................ 11
7.2.4 Auditora de FAU_GEN.1, FAU_GEN.2 .....................................................................................................11
7.2.5 FAU_GEN.1 generacin de los datos de auditora ....................................................................................................12
7.2.6 Identidad del usuario FAU_GEN.2 association...............................................................................................12
7.3 Anlisis de las auditoras de seguridad (FAU_SAA) ...................................................................................................12
7.3.3 Gestin de FAU_SAA.1 ...............................................................................................................13
7.3.4 Gestin de FAU_SAA.2 ...............................................................................................................13
7.3.5 Gestin de FAU_SAA.3 ...............................................................................................................13
7.3.6 Gestin de FAU_SAA.4 ...............................................................................................................13
7.3.7 Auditora de FAU_SAA.1, FAU_SAA.2, FAU_SAA.3, FAU_SAA.4 ................................. ......................... 13
7.3.8 FAU_SAA.1 anlisis Potencial violacin ............................................ ............................................... 13
7.3.9 Perfil FAU_SAA.2 basado deteccin de anomalas ........................................... ....................................... 14
7.3.10 FAU_SAA.3 heurstica simple ataque ......................................... .................................................. ..... 14
7.3.11 FAU_SAA.4 ataque Complex heuristics.............................................................................................15
7.4 Examen de auditora de seguridad (FAU_SAR) ......................................................................................................15
7.4.3 Gestin de FAU_SAR.1 ...............................................................................................................15
7.4.4 Gestin de FAU_SAR.2, FAU_SAR.3 ......................................... ................................................ 15
7.4.5 Auditora de FAU_SAR.1............................................................................................................................15
Pgina 4
ISO / IEC 15408-2:2008 (E)
7.4.8 Examen de auditora FAU_SAR.1 ....................................................................................................................16
7.4.9 FAU_SAR.2 examen de auditora restringido ............................................ .................................................. .... 16
7.4.10 revisin FAU_SAR.3 auditora seleccionable ......................................... .................................................. ....... 16
7.5 Seleccin de eventos de auditora de seguridad (FAU_SEL) ........................................... ............................................. 16
7.5.3 Gestin de FAU_SEL.1................................................................................................................17
7.5.4 Auditora de FAU_SEL.1.............................................................................................................................17
7.5.5 FAU_SEL.1 auditora selectiva .................................................................................................................17
7.6 Almacenamiento de eventos de auditora de seguridad (FAU_STG) ........................................... ............................................... 17
7.6.3 Gestin de FAU_STG.1................................................................................................................18
7.6.4 Gestin de FAU_STG.2................................................................................................................18
7.6.5 Gestin de FAU_STG.3................................................................................................................18
7.6.6 Gestin de FAU_STG.4................................................................................................................18
7.6.7 Auditora de FAU_STG.1, FAU_STG.2.......................................................................................................18
12/6/2014 ISO / IEC 15408-2
iv
7.6.8 Auditora de FAU_STG.3.............................................................................................................................18 7.6.9 Auditora de FAU_STG.4.............................................................................................................................18
7.6.10 FAU_STG.1 auditora Protegida almacenamiento rastro ........................................ .................................................. 18
7.6.11 FAU_STG.2 Garantas de disponibilidad de los datos de auditora ....................................... ..................................... 19
7.6.12 FAU_STG.3 Actuacin en caso de una posible prdida de datos de auditora .................................... ............................... 19
7.6.13 Prevencin FAU_STG.4 de auditora prdida de datos ....................................... .................................................. 19
8 Clase FCO: Comunicacin ...............................................................................................................20
8.1 No repudio de origen (FCO_NRO)...............................................................................................20
8.1.3 Gestin de FCO_NRO.1, FCO_NRO.2 ......................................... ............................................... 20
8.1.4 Auditora de FCO_NRO.1............................................................................................................................20
8.1.5 Auditora de FCO_NRO.2............................................................................................................................21
8.1.6 FCO_NRO.1 prueba selectiva de origin................................................................................................21
8.1.7 FCO_NRO.2 forzada prueba de origin................................................................................................21
8.2 No repudio de recepcin (FCO_NRR).............................................................................................22
8.2.3 Gestin de FCO_NRR.1, FCO_NRR.2 ......................................... ............................................... 22
8.2.4 Auditora de FCO_NRR.1............................................................................................................................22
8.2.5 Auditora de FCO_NRR.2............................................................................................................................22
8.2.6 FCO_NRR.1 prueba selectiva de recibo ........................................... .................................................. 0.22
8.2.7 FCO_NRR.2 Forzadas prueba de recibo ........................................... .................................................. 0.23
9 Clase FCS: criptogrficos support....................................................................................................24
9.1 La gestin de claves de cifrado (FCS_CKM) ............................................ ....................................... 24
9.1.3 Gestin de FCS_CKM.1, FCS_CKM.2, FCS_CKM.3, FCS_CKM.4 ................................. .......... 25
9.1.4 Auditora de FCS_CKM.1, FCS_CKM.2, FCS_CKM.3, FCS_CKM.4 ................................. ....................... 25
9.1.5 La generacin de claves de cifrado FCS_CKM.1 ............................................ .......................................... 25
9.1.6 Distribucin de la clave de cifrado FCS_CKM.2 ............................................ ......................................... 25
9.1.7 Clave criptogrfica FCS_CKM.3 access.............................................................................................25
9.1.8 FCS_CKM.4 criptogrfico destruccin clave ............................................ ......................................... 26
9.2 Operacin criptogrfica (FCS_COP) ............................................. .................................................. 0.26
9.2.3 Gestin de FCS_COP.1 ...............................................................................................................26
9.2.4 Auditora de FCS_COP.1 ............................................................................................................................26
9.2.5 FCS_COP.1 criptogrficos operation................................................................................................27
10 Clase FDP: Los datos de usuario protection........................................................................................................27
10.1 Poltica de control de acceso (FDP_ACC) .....................................................................................................29
Pgina 5
ISO / IEC 15408-2:2008 (E)
10.1.2 nivelacin de componentes ...........................................................................................................................30
Gestin 10.1.3 de FDP_ACC.1, FDP_ACC.2 ...................................... .................................................. 0.30
10.1.4 Auditora de FDP_ACC.1, FDP_ACC.2......................................................................................................30
Control de acceso 10.1.5 FDP_ACC.1 Subset ...................................................................................................30
10.1.6 FDP_ACC.2 Acceso completo control...............................................................................................30
10.2 Funciones de control de acceso (FDP_ACF) ............................................ .................................................. 0.30
Gestin 10.2.3 de FDP_ACF.1 ...............................................................................................................31
10.2.4 Auditora de FDP_ACF.1 ............................................................................................................................31
....................................... Control de acceso basado en atributo 10.2.5 FDP_ACF.1 Seguridad ............................... 31
10.3 Autenticacin de datos (FDP_DAU).........................................................................................................32
Gestin 10.3.3 de FDP_DAU.1, FDP_DAU.2 ...................................... .................................................. 0.32
10.3.4 Auditora de FDP_DAU.1............................................................................................................................32
10.3.5 Auditora de FDP_DAU.2............................................................................................................................32
10.3.6 FDP_DAU.1 Bsico de Datos Authentication.............................................................................................32
10.3.7 FDP_DAU.2 datos de autenticacin con la identidad del Garante ...................................... .................... 33
10.4 Exportar desde el TOE (FDP_ETC) .......................................................................................................33
10.4.3 Gestin de FDP_ETC.1................................................................................................................33
10.4.4 Gestin de FDP_ETC.2................................................................................................................33
10.4.5 Auditora de FDP_ETC.1, FDP_ETC.2.......................................................................................................33
10.4.6 FDP_ETC.1 Exportacin de los datos de usuario sin atributos de seguridad ..................................... ...................... 34
10.4.7 FDP_ETC.2 Exportacin de los datos de usuario con atributos de seguridad ..................................... ............................ 34
10.5 Poltica de control de flujo de la informacin (FDP_IFC) ........................................... ............................................ 34
12/6/2014 ISO / IEC 15408-2
v
Gestin 10.5.3 de FDP_IFC.1, FDP_IFC.2.............................................................................................35
10.5.4 Auditora de FDP_IFC.1, FDP_IFC.2..........................................................................................................35
Informacin 10.5.5 FDP_IFC.1 subconjunto de control de flujo ........................................ ............................................. 35
10.5.6 FDP_IFC.2 Informacin completa de control de flujo ........................................ ......................................... 35
10.6 Funciones de control de flujo de la informacin (FDP_IFF) ........................................... ....................................... 35
Gestin 10.6.3 de FDP_IFF.1, FDP_IFF.2..............................................................................................36
10.6.4 Gestin de FDP_IFF.3, FDP_IFF.4, FDP_IFF.5 .................................. ........................................ 36
10.6.5 Gestin de FDP_IFF.6..................................................................................................................36
10.6.6 Auditora de FDP_IFF.1, FDP_IFF.2, FDP_IFF.5 .................................. .................................................. 36 ...
10.6.7 Auditora de FDP_IFF.3, FDP_IFF.4, FDP_IFF.6 .................................. .................................................. 37 ...
10.6.8 FDP_IFF.1 seguridad simple attributes................................................................................................37
10.6.9 FDP_IFF.2 seguridad jerrquica atributos ......................................... .............................................. 37
Fluye 10.6.10 FDP_IFF.3 Limited informacin ilcita ........................................ ............................................... 38
10.6.11 FDP_IFF.4 Eliminacin parcial de la informacin ilcita fluye ...................................... .......................... 39
10.6.12 FDP_IFF.5 No hay informacin ilcita flows...............................................................................................39
10.6.13 FDP_IFF.6 informacin Ilcito de monitoreo de flujo ........................................ ........................................... 39
10.7 Importacin desde fuera del TOE (FDP_ITC) ......................................... .............................................. 39
Gestin 10.7.3 de FDP_ITC.1, FDP_ITC.2.............................................................................................40
10.7.4 Auditora de FDP_ITC.1, FDP_ITC.2..........................................................................................................40
10.7.5 FDP_ITC.1 Importacin de datos de usuario sin atributos de seguridad ..................................... ........................ 40
10.7.6 FDP_ITC.2 Importacin de los datos de usuario con atributos de seguridad ..................................... ............................. 40
10.8 Transferencia TOE Interna (FDP_ITT).........................................................................................................41
Gestin 10.8.3 de FDP_ITT.1, FDP_ITT.2..............................................................................................41
Pgina 6
ISO / IEC 15408-2:2008 (E)
Gestin 10.8.4 de FDP_ITT.3, FDP_ITT.4..............................................................................................42
10.8.5 Auditora de FDP_ITT.1, FDP_ITT.2...........................................................................................................42
10.8.6 Auditora de FDP_ITT.3, FDP_ITT.4...........................................................................................................42
10.8.7 FDP_ITT.1 bsico de proteccin interno de transferencia ........................................ ........................................... 42
10.8.8 FDP_ITT.2 Transmisin separacin por atributo ........................................ ..................................... 42
Monitoreo 10.8.9 FDP_ITT.3 Integridad ..........................................................................................................43
10.8.10 FDP_ITT.4 basada en atributos vigilancia de la integridad ....................................... ....................................... 43
10.9 Proteccin de la informacin residual (FDP_RIP) ............................................ .......................................... 43
Gestin 10.9.3 de FDP_RIP.1, FDP_RIP.2.............................................................................................44
10.9.4 Auditora de FDP_RIP.1, FDP_RIP.2..........................................................................................................44
10.9.5 FDP_RIP.1 Subset proteccin de la informacin residual ........................................ ................................. 44
10.9.6 Proteccin FDP_RIP.2 informacin completa residual ........................................ ....................................... 44
10.10 Rollback (FDP_ROL)............................................................................................................................44
10.10.3 Gestin de FDP_ROL.1, FDP_ROL.2..........................................................................................45
10.10.4 Auditora de FDP_ROL.1, FDP_ROL.2.......................................................................................................45
10.10.5 FDP_ROL.1 bsico rollback..................................................................................................................45
10.10.6 FDP_ROL.2 Avanzada rollback..........................................................................................................45
10.11 integridad de los datos almacenados (FDP_SDI) .........................................................................................................46
10.11.3 Gestin de FDP_SDI.1 .................................................................................................................46
10.11.4 Gestin de FDP_SDI.2 .................................................................................................................46
10.11.5 Auditora de FDP_SDI.1 ..............................................................................................................................46
10.11.6 Auditora de FDP_SDI.2 ..............................................................................................................................46
10.11.7 monitoreo FDP_SDI.1 integridad de los datos almacenados ........................................ ............................................. 46
Monitoreo 10.11.8 integridad FDP_SDI.2 datos almacenados y la accin ...................................... ............................ 47
10.12 Inter-TSF proteccin transferencia confidencialidad de los datos de usuario (FDP_UCT) ...................................... ......... 47
10.12.3 Gestin de FDP_UCT.1................................................................................................................47
10.12.4 Auditora de FDP_UCT.1.............................................................................................................................47
10.12.5 FDP_UCT.1 bsico confidencialidad intercambio de datos ........................................ ..................................... 47
10.13 Inter-TSF proteccin transferencia integridad de los datos de usuario (FDP_UIT) ...................................... ..................... 48
10.13.3 Gestin de FDP_UIT.1, FDP_UIT.2, FDP_UIT.3 .................................. ....................................... 48
10.13.4 Auditora de FDP_UIT.1 ..............................................................................................................................48
12/6/2014 ISO / IEC 15408-2
vi
10.13.5 Auditora de FDP_UIT.2, FDP_UIT.3 ..........................................................................................................48
10.13.6 integridad FDP_UIT.1 El intercambio de datos ...................................................................................................49
Recuperacin de intercambio de datos 10.13.7 FDP_UIT.2 Fuente ........................................ ............................................. 49
10.13.8 recuperacin intercambio de datos FDP_UIT.3 Destino ........................................ ...................................... 49
11 Clase FIA: Identificacin y authentication.....................................................................................50
11.1 Los errores de autenticacin (FIA_AFL)......................................................................................................51
11.1.3 Gestin de FIA_AFL.1..................................................................................................................52
11.1.4 Auditora de FIA_AFL.1...............................................................................................................................52
11.1.5 FIA_AFL.1 autenticacin manejo fracaso ......................................... .............................................. 52
11.2 Definicin de atributo de usuario (FIA_ATD)....................................................................................................52
Gestin 11.2.3 de FIA_ATD.1 .................................................................................................................52
11.2.4 Auditora de FIA_ATD.1 ..............................................................................................................................52
11.2.5 atributo FIA_ATD.1 usuario definition...................................................................................................53
11.3 Especificacin de los secretos (FIA_SOS)....................................................................................................53
Pgina 7
ISO / IEC 15408-2:2008 (E)
11.3.3 Gestin de FIA_SOS.1.................................................................................................................53
11.3.4 Gestin de FIA_SOS.2.................................................................................................................53
11.3.5 Auditora de FIA_SOS.1, FIA_SOS.2.........................................................................................................53
11.3.6 FIA_SOS.1 Verificacin de los secretos .....................................................................................................53
11.3.7 FIA_SOS.2 TSF Generacin de secretos ........................................ .................................................. .... 54
11.4 La autenticacin de usuarios (FIA_UAU)..........................................................................................................54
11.4.3 Gestin de FIA_UAU.1.................................................................................................................54
11.4.4 Gestin de FIA_UAU.2.................................................................................................................55
11.4.5 Gestin de FIA_UAU.3, FIA_UAU.4, FIA_UAU.7 .................................. ..................................... 55
11.4.6 Gestin de FIA_UAU.5.................................................................................................................55
11.4.7 Gestin de FIA_UAU.6.................................................................................................................55
11.4.8 Auditora de FIA_UAU.1 .............................................................................................................................55
11.4.15 FIA_UAU.1 Momento de la authentication.................................................................................................56
11.4.16 autenticacin FIA_UAU.2 usuario antes de cualquier accin ....................................... ................................... 56
11.4.17 FIA_UAU.3 autenticacin infalsificable .......................................... .................................................. 57
04/11/18 FIA_UAU.4 de un solo uso de mecanismos de autenticacin ....................................... ................................. 57
04/11/19 FIA_UAU.5 mecanismos de autenticacin mltiples ......................................... .................................... 57
04/11/20 FIA_UAU.6 Re-autenticacin ............................................................................................................57
11/04/21 retroalimentacin FIA_UAU.7 validacin protegida ......................................... ....................................... 57
11.5 Identificacin del usuario (FIA_UID)..............................................................................................................58
Gestin 11.5.3 de FIA_UID.1 ..................................................................................................................58
Gestin 11.5.4 de FIA_UID.2 ..................................................................................................................58
11.5.5 Auditora de FIA_UID.1, FIA_UID.2............................................................................................................58
11.5.6 FIA_UID.1 Momento de la identification.....................................................................................................58
11.5.7 identificacin FIA_UID.2 usuario antes de cualquier accin ....................................... ....................................... 59
11.6 El usuario sujeta la unin (FIA_USB)........................................................................................................59
11.6.3 Gestin de FIA_USB.1.................................................................................................................59
11.6.4 Auditora de FIA_USB.1..............................................................................................................................59
11.6.5 FIA_USB.1 el usuario sujeta la unin .......................................................................................................59
12 FMT Clase: Seguridad management.....................................................................................................60
12.1 Gestin de funciones en TSF (FMT_MOF) .......................................... ........................................ 61
12.1.3 Gestin de FMT_MOF.1...............................................................................................................61
12.1.4 Auditora de FMT_MOF.1............................................................................................................................62
12.1.5 FMT_MOF.1 Gestin de la seguridad de las funciones de comportamiento ....................................... ..................... 62
12.2 Gestin de los atributos de seguridad (FMT_MSA) ........................................... .................................... 62
12/6/2014 ISO / IEC 15408-2
vii
12.2.2 nivelacin de componentes ...........................................................................................................................62 12.2.3 Gestin de FMT_MSA.1...............................................................................................................62
12.2.4 Gestin de FMT_MSA.2...............................................................................................................62
12.2.5 Gestin de FMT_MSA.3...............................................................................................................63
12.2.6 Gestin de FMT_MSA.4...............................................................................................................63
12.2.7 Auditora de FMT_MSA.1............................................................................................................................63
Pgina 8
ISO / IEC 15408-2:2008 (E)
viii
12.2.11 FMT_MSA.1 Gestin de atributos de seguridad ........................................ ....................................... 63
12.2.12 FMT_MSA.2 seguridad Secure atributos ......................................... .................................................. .. 64
12.2.13 FMT_MSA.3 atributo esttico initialisation..........................................................................................64
Atributo 12.2.14 FMT_MSA.4 Seguridad valor herencia ........................................ ..................................... 64
12.3 Gestin de los datos TSF (FMT_MTD)................................................................................................65
Gestin 12.3.3 de FMT_MTD.1 ...............................................................................................................65
Gestin 12.3.4 de FMT_MTD.2 ...............................................................................................................65
Gestin 12.3.5 de FMT_MTD.3 ...............................................................................................................65
12.3.6 Auditora de FMT_MTD.1............................................................................................................................65
12.3.9 FMT_MTD.1 Gestin de TSF data...............................................................................................65
12.3.10 FMT_MTD.2 Gestin de lmites en los datos TSF ...................................... ......................................... 66
12.3.11 FMT_MTD.3 datos TSF Secure .............................................................................................................66
12.4 Revocacin (FMT_REV) .......................................................................................................................66
12.4.3 Gestin de FMT_REV.1................................................................................................................66
12.4.4 Auditora de FMT_REV.1.............................................................................................................................67
12.4.5 FMT_REV.1 Revocation.......................................................................................................................67
12.5 Caducidad atributo Seguridad (FMT_SAE)...........................................................................................67
12.5.3 Gestin de FMT_SAE.1................................................................................................................67
12.5.4 Auditora de FMT_SAE.1.............................................................................................................................67
12.5.5 FMT_SAE.1 tiempo limitado- authorisation.............................................................................................67
12.6 Especificacin de las funciones de gestin (FMT_SMF) ........................................... ........................... 68
Gestin 12.6.3 de FMT_SMF.1 ...............................................................................................................68
12.6.4 Auditora de FMT_SMF.1 ............................................................................................................................68
12.6.5 FMT_SMF.1 especificacin de las funciones de gestin ........................................ .............................. 68
12.7 Las funciones de gestin de seguridad (FMT_SMR)...........................................................................................68
12.7.3 Gestin de FMT_SMR.1...............................................................................................................69
12.7.4 Gestin de FMT_SMR.2...............................................................................................................69
12.7.5 Gestin de FMT_SMR.3...............................................................................................................69
12.7.6 Auditora de FMT_SMR.1............................................................................................................................69
12.7.9 FMT_SMR.1 Seguridad roles..................................................................................................................69
12/07/10 FMT_SMR.2 Restricciones en los roles de seguridad ........................................ ............................................... 70
12/07/11 papeles FMT_SMR.3 Suponiendo ..............................................................................................................70
13 FPR Clase: Privacidad ..............................................................................................................................71
13.1 Anonimato (FPR_ANO)........................................................................................................................71
Gestin 13.1.3 de FPR_ANO.1, ...................................... FPR_ANO.2 .................................................. 0.71
13.1.4 Auditora de FPR_ANO.1, FPR_ANO.2......................................................................................................71
13.1.5 FPR_ANO.1 Anonymity.......................................................................................................................72
13.1.6 FPR_ANO.2 anonimato sin solicitar informacin ........................................ ........................... 72
13.2 Seudnimos (FPR_PSE) ..................................................................................................................72
12/6/2014 ISO / IEC 15408-2
Pgina 9
ISO / IEC 15408-2:2008 (E)
ix
13.2.3 Gestin de FPR_PSE.1, FPR_PSE.2, FPR_PSE.3 .................................. ................................... 72
13.2.4 Auditora de FPR_PSE.1, FPR_PSE.2, FPR_PSE.3 .................................. ................................................ 72
13.2.5 FPR_PSE.1 Pseudonymity..................................................................................................................73
13.2.6 FPR_PSE.2 seudonimia Reversible .......................................... .................................................. .. 73
13.2.7 FPR_PSE.3 Alias pseudonymity........................................................................................................73
13.3 Imposibilidad de vinculacin (FPR_UNL) .....................................................................................................................74
Gestin 13.3.3 de FPR_UNL.1 ...............................................................................................................74
13.3.4 Auditora de FPR_UNL.1 ............................................................................................................................74
13.3.5 FPR_UNL.1 Unlinkability.....................................................................................................................74
13.4 Inobservabilidad (FPR_UNO)...............................................................................................................74
Gestin 13.4.3 de FPR_UNO.1, ...................................... FPR_UNO.2 .................................................. 0.75
13.4.4 Gestin de FPR_UNO.3...............................................................................................................75
13.4.5 Gestin de FPR_UNO.4...............................................................................................................75
13.4.6 Auditora de FPR_UNO.1, FPR_UNO.2 .....................................................................................................75
13.4.7 Auditora de FPR_UNO.3............................................................................................................................75
13.4.8 Auditora de FPR_UNO.4............................................................................................................................75
13.4.9 FPR_UNO.1 inobservabilidad ..............................................................................................................75
13.4.10 FPR_UNO.2 Asignacin de informacin impactando inobservabilidad ....................................... .......... 76
13.4.11 FPR_UNO.3 inobservabilidad sin solicitar informacin ........................................ ................... 76
13.4.12 FPR_UNO.4 Autorizado usuario observabilidad ......................................... ............................................. 76
14 Clase FPT: Proteccin del TSF ......................................................................................................76
14.1 Fail secure (FPT_FLS).........................................................................................................................77
14.1.3 Gestin de FPT_FLS.1.................................................................................................................78
14.1.4 Auditora de FPT_FLS.1 .............................................................................................................................78
14.1.5 FPT_FLS.1 Fracaso con la preservacin de las condiciones de seguridad ...................................... ................................ 78
14.2 La disponibilidad de los datos exportados TSF (FPT_ITA) .......................................... ........................................... 78
14.2.3 Gestin de FPT_ITA.1..................................................................................................................78
14.2.4 Auditora de FPT_ITA.1 ..............................................................................................................................78
14.2.5 FPT_ITA.1 Inter-TSF disponibilidad dentro de una disponibilidad ................................... mtrica definida .......... 78
14.3 Confidencialidad de los datos exportados TSF (FPT_ITC) .......................................... .................................... 79
14.3.3 Gestin de FPT_ITC.1..................................................................................................................79
14.3.4 Auditora de FPT_ITC.1 ..............................................................................................................................79
14.3.5 FPT_ITC.1 Inter-TSF confidencialidad durante la transmisin ...................................... ......................... 79
14.4 Integridad de los datos TSF exportado (FPT_ITI)...........................................................................................79
Gestin 14.4.3 de FPT_ITI.1 ...................................................................................................................80
Gestin 14.4.4 de FPT_ITI.2 ...................................................................................................................80
14.4.5 Auditora de FPT_ITI.1................................................................................................................................80
14.4.6 Auditora de FPT_ITI.2................................................................................................................................80
Deteccin 14.4.7 FPT_ITI.1 Inter-TSF de ...................................... modificacin ............................................ 80
Deteccin 14.4.8 FPT_ITI.2 Inter-TSF y la correccin de la modificacin .................................... .................... 80
14.5 La transferencia de datos TSF TOE Interna (FPT_ITT) .......................................... ............................................... 81
14.5.3 Gestin de FPT_ITT.1..................................................................................................................81
14.5.4 Gestin de FPT_ITT.2..................................................................................................................81
14.5.5 Gestin de FPT_ITT.3..................................................................................................................81
14.5.6 Auditora de FPT_ITT.1, FPT_ITT.2............................................................................................................82
Pgina 10
ISO / IEC 15408-2:2008 (E)
14.5.7 Auditora de FPT_ITT.3...............................................................................................................................82
14.5.8 FPT_ITT.1 bsico de proteccin de transferencia de datos TSF interna ...................................... .............................. 82
14.5.9 Transferencia de datos TSF FPT_ITT.2 separation............................................................................................82
12/6/2014 ISO / IEC 15408-2
x
14.5.10 FPT_ITT.3 TSF monitoreo de integridad de datos ........................................ .................................................. 82 14.6 Proteccin fsica TSF (FPT_PHP) ............................................ .................................................. .... 83
Gestin 14.6.3 de FPT_PHP.1 ................................................................................................................83
Gestin 14.6.4 de FPT_PHP.2 ................................................................................................................83
Gestin 14.6.5 de FPT_PHP.3 ................................................................................................................83
14.6.6 Auditora de FPT_PHP.1 .............................................................................................................................83
14.6.9 FPT_PHP.1 deteccin pasiva de ataque fsico ....................................... ...................................... 84
14.6.10 FPT_PHP.2 Notificacin de ataque fsico ........................................ ............................................... 84
14.6.11 FPT_PHP.3 Resistencia al ataque fsico ........................................ ................................................ 84
14.7 Recuperacin de confianza (FPT_RCV)..............................................................................................................85
14.7.3 Gestin de FPT_RCV.1................................................................................................................85
Gestin 14.7.4 de FPT_RCV.2, FPT_RCV.3 ...................................... .................................................. .. 85
14.7.5 Gestin de FPT_RCV.4................................................................................................................85
14.7.6 Auditora de FPT_RCV.1, FPT_RCV.2, FPT_RCV.3 .................................. ................................................ 85
14.7.7 Auditora de FPT_RCV.4.............................................................................................................................85
14.7.8 Manual FPT_RCV.1 recovery..............................................................................................................86
14.7.9 FPT_RCV.2 Automatizado recovery........................................................................................................86
07/14/10 FPT_RCV.3 recuperacin automatizada y sin prdida indebida ....................................... ............................... 86
14.7.11 recuperacin FPT_RCV.4 Funcin ...........................................................................................................87
14.8 Deteccin Replay (FPT_RPL)...............................................................................................................87
Gestin 14.8.3 de FPT_RPL.1 ................................................................................................................87
14.8.4 Auditora de FPT_RPL.1 .............................................................................................................................87
14.8.5 FPT_RPL.1 Replay detection..............................................................................................................87
14.9 Protocolo de sincrona Estado (FPT_SSP)................................................................................................88
Gestin 14.9.3 de FPT_SSP.1, FPT_SSP.2 ...................................... .................................................. 88 ...
14.9.4 Auditora de FPT_SSP.1, FPT_SSP.2 ........................................................................................................88
14.9.5 FPT_SSP.1 reconocimiento confianza simple ......................................... ........................................ 88
14.9.6 FPT_SSP.2 mutuo reconocimiento de confianza ......................................... ......................................... 88
14.10 Las marcas de tiempo (FPT_STM).....................................................................................................................89
14.10.3 Gestin de FPT_STM.1................................................................................................................89
14.10.4 Auditora de FPT_STM.1.............................................................................................................................89
14.10.5 FPT_STM.1 tiempo fiable stamps.......................................................................................................89
14.11 consistencia de los datos entre TSF TSF (FPT_TDC) ........................................ ............................................. 89
14.11.3 Gestin de FPT_TDC.1 ................................................................................................................89
14.11.4 Auditora de FPT_TDC.1 .............................................................................................................................89
14.11.5 FPT_TDC.1 Inter-TSF consistencia de los datos TSF bsica ..................................... ..................................... 90
14.12 Pruebas de entidades externas (FPT_TEE)..............................................................................................90
14.12.3 Gestin de FPT_TEE.1.................................................................................................................90
14.12.4 Auditora de FPT_TEE.1..............................................................................................................................90
14.12.5 Prueba FPT_TEE.1 de entidades externas ........................................ .................................................. 90 ...
14.13 TSF TOE interna coherencia de replicacin de datos (FPT_TRC) ........................................ .................... 91
Pgina 11
ISO / IEC 15408-2:2008 (E)
14.13.3 Gestin de FPT_TRC.1................................................................................................................91
14.13.4 Auditora de FPT_TRC.1.............................................................................................................................91
14.13.5 FPT_TRC.1 TSF Interna consistency................................................................................................91
Autotest 14.14 TSF (FPT_TST) ......................................................................................................................92
14.14.3 Gestin de FPT_TST.1.................................................................................................................92
14.14.4 Auditora de FPT_TST.1 .............................................................................................................................92
Pruebas TSF 14.14.5 FPT_TST.1 .......................................................................................................................92
15 FRU Clase: Recursos utilisation........................................................................................................93
15.1 La tolerancia a fallos (FRU_FLT)..................................................................................................................93
12/6/2014 ISO / IEC 15408-2
xi
15.1.3 Gestin de FRU_FLT.1, FRU_FLT.2...........................................................................................93
15.1.4 Auditora de FRU_FLT.1.............................................................................................................................93
15.1.5 Auditora de FRU_FLT.2.............................................................................................................................93
15.1.6 tolerancia FRU_FLT.1 culpa degradado ......................................... .................................................. ..... 94
15.1.7 FRU_FLT.2 culpa Limited tolerance....................................................................................................94
15.2 Prioridad de servicio (FRU_PRS)............................................................................................................94
15.2.3 Gestin de FRU_PRS.1, FRU_PRS.2 ...................................... .................................................. 0.94
15.2.4 Auditora de FRU_PRS.1, FRU_PRS.2 ......................................................................................................94
15.2.5 FRU_PRS.1 prioridad limitada de service..............................................................................................94
15.2.6 FRU_PRS.2 prioridad completa de service....................................................................................................95
15.3 La asignacin de recursos (FRU_RSA)........................................................................................................95
15.3.3 Gestin de FRU_RSA.1 ...............................................................................................................95
15.3.4 Gestin de FRU_RSA.2 ...............................................................................................................95
15.3.5 Auditora de FRU_RSA.1, FRU_RSA.2......................................................................................................96
15.3.6 FRU_RSA.1 mxima quotas............................................................................................................96
15.3.7 FRU_RSA.2 mnimos y cuotas mximas ........................................ ............................................ 96
16 Clase FTA: acceso TOE ......................................................................................................................97
16.1 Limitacin al alcance de atributos seleccionables (FTA_LSA) ......................................... ....................... 97
16.1.3 Gestin de FTA_LSA.1................................................................................................................97
16.1.4 Auditora de FTA_LSA.1.............................................................................................................................97
16.1.5 FTA_LSA.1 Limitacin en el alcance de atributos seleccionables ...................................... .......................... 98
16.2 Limitacin en varias sesiones simultneas (FTA_MCS) .......................................... ...................... 98
Gestin 16.2.3 de FTA_MCS.1 ...............................................................................................................98
Gestin 16.2.4 de FTA_MCS.2 ...............................................................................................................98
16.2.5 Auditora de FTA_MCS.1, FTA_MCS.2......................................................................................................98
16.2.6 FTA_MCS.1 limitacin bsica en varias sesiones simultneas ...................................... ................ 98
16.2.7 FTA_MCS.2 Per limitacin atributo de usuario en mltiples sesiones concurrentes .................................. 99
16.3 Cierre y finalizacin de sesin (FTA_SSL) ........................................... ......................................... 99
Gestin 16.3.3 de FTA_SSL.1 ................................................................................................................99
Gestin 16.3.4 de FTA_SSL.2 ................................................................................................................99
Gestin 16.3.5 de FTA_SSL.3 ................................................................................................................99
Gestin 16.3.6 de FTA_SSL.4 ..............................................................................................................100
16.3.7 Auditora de FTA_SSL.1, FTA_SSL.2......................................................................................................100
16.3.8 Auditora de FTA_SSL.3...........................................................................................................................100
Pgina 12
ISO / IEC 15408-2:2008 (E)
16.3.9 Auditora de FTA_SSL.4 ...........................................................................................................................100
16.3.10 FTA_SSL.1 TSF-iniciado ....................................... Cierre de sesin ................................................ 100
16.3.11 FTA_SSL.2 bloqueo iniciado por el usuario ....................................................................................................100
Terminacin iniciada por TSF 16/03/12 FTA_SSL.3 ........................................ .................................................. .... 101
03/16/13 FTA_SSL.4 terminacin iniciada por el usuario ........................................ .................................................. ... 101
16.4 Acceso TOE banners (FTA_TAB)......................................................................................................101
16.4.1 Familia Behaviour...............................................................................................................................101
16.4.2 nivelacin de componentes .........................................................................................................................101
16.4.3 Gestin de FTA_TAB.1..............................................................................................................101
16.4.4 Auditora de FTA_TAB.1...........................................................................................................................101
16.4.5 FTA_TAB.1 Defecto banners de acceso TOE ........................................ ................................................ 101
16.5 Historial de acceso TOE (FTA_TAH)........................................................................................................102
16.5.3 Gestin de FTA_TAH.1..............................................................................................................102
16.5.4 Auditora de FTA_TAH.1...........................................................................................................................102
16.5.5 Acceso FTA_TAH.1 TOE history.......................................................................................................102
16.6 Establecimiento de la sesin TOE (FTA_TSE) ............................................ .............................................. 102
Gestin 16.6.3 de FTA_TSE.1 ..............................................................................................................103
16.6.4 Auditora de FTA_TSE.1 ...........................................................................................................................103
16.6.5 sesin FTA_TSE.1 TOE establishment..........................................................................................103
17 Clase FTP: Trusted path/channels...................................................................................................103
17.1 Canal Inter-TSF confianza (FTP_ITC) .......................................... .................................................. ... 104
12/6/2014 ISO / IEC 15408-2
xii
17.1.2 nivelacin de componentes .........................................................................................................................104 17.1.3 Gestin de FTP_ITC.1................................................................................................................104
17.1.4 Auditora de FTP_ITC.1.............................................................................................................................104
17.1.5 FTP_ITC.1 Inter-TSF confiar channel...............................................................................................104
17.2 Ruta de confianza (FTP_TRP)....................................................................................................................105
Gestin 17.2.3 de FTP_TRP.1 ..............................................................................................................105
17.2.4 Auditora de FTP_TRP.1 ...........................................................................................................................105
17.2.5 FTP_TRP.1 Trusted path...................................................................................................................105
Anexo A (normativo) Seguridad notas de aplicacin los requisitos funcionales ........................................ ....... 107
A.1 Estructura de las notas .......................................................................................................................107
A.1.1 Clase structure...................................................................................................................................107
A.1.2 Familia structure.................................................................................................................................108
A.1.3 Estructura de componentes ........................................................................................................................109
A.2 Tablas de dependencia ............................................................................................................................109
Anexo B (normativo) Clases funcionales, familias y componentes ...................................... ................. 115
Anexo C (normativo) Clase FAU: Auditora de seguridad ........................................ .................................................. 116
C.1 Requisitos de auditora en un entorno distribuido ............................................ .............................. 116
C.2 Respuesta automtica Auditora de seguridad (FAU_ARP) ........................................... .................................. 117
C.2.1 Notas para el usuario ..........................................................................................................................................117
C.2.2 FAU_ARP.1 Seguridad alarms.............................................................................................................117
C.3 La generacin de datos de auditora de seguridad (FAU_GEN) ........................................... ......................................... 118
C.3.2 Datos de auditora FAU_GEN.1 generation...................................................................................................119
C.3.3 Identidad del usuario FAU_GEN.2 association.............................................................................................120
C.4 Anlisis de las auditoras de seguridad (FAU_SAA) ............................................ .................................................. ... 120
C.4.2 FAU_SAA.1 anlisis Potencial violacin ............................................ ............................................. 120
C.4.3 Perfil FAU_SAA.2 basado deteccin de anomalas ........................................... ..................................... 121
C.4.4 FAU_SAA.3 ataque simple heuristics...............................................................................................122
C.4.5 FAU_SAA.4 ataque Complex heuristics...........................................................................................122
Pgina 13
ISO / IEC 15408-2:2008 (E)
C.5 Examen de auditora de seguridad (FAU_SAR) ....................................................................................................123
C.5.2 Examen de auditora FAU_SAR.1 ..................................................................................................................124
C.5.3 FAU_SAR.2 auditora restringido review................................................................................................124
C.5.4 Auditora FAU_SAR.3 seleccionable review................................................................................................124
C.6 Seleccin de eventos de auditora de seguridad (FAU_SEL) ........................................... ........................................... 125
C.6.2 FAU_SEL.1 Selectivo audit...............................................................................................................125
C.7 Almacenamiento de eventos de auditora de seguridad (FAU_STG) ........................................... ............................................. 125
C.7.2 FAU_STG.1 Protegida auditora almacenamiento rastro ........................................... ............................................. 126
C.7.3 FAU_STG.2 Garantas de disponibilidad de los datos de auditora .......................................... ................................ 126
C.7.4 FAU_STG.3 Actuacin en caso de una posible prdida de datos de auditora ....................................... .......................... 126
C.7.5 Prevencin de prdida de datos FAU_STG.4 auditora .......................................... ............................................ 127
Anexo D (normativo) Clase FCO: Communication......................................................................................128
D.1 No repudio de origen (FCO_NRO) .......................................... .................................................. 128
D.1.1 Notas para el usuario ..........................................................................................................................................128
D.1.2 FCO_NRO.1 prueba selectiva de origin..............................................................................................129
D.1.3 FCO_NRO.2 forzada prueba de origin..............................................................................................129
D.2 No repudio de recepcin (FCO_NRR)...........................................................................................130
D.2.1 Notas para el usuario ..........................................................................................................................................130
D.2.2 FCO_NRR.1 prueba selectiva de receipt............................................................................................130
D.2.3 FCO_NRR.2 Forzadas prueba de receipt............................................................................................131
Anexo E (normativo) Clase FCS: Apoyo criptogrfico ........................................ ................................... 132
E.1 La gestin de claves de cifrado (FCS_CKM) ............................................ ..................................... 133
E.1.1 Notas para el usuario ..........................................................................................................................................133
E.1.2 La generacin de claves de cifrado FCS_CKM.1 ............................................ ........................................ 134
E.1.3 Distribucin de la clave de cifrado FCS_CKM.2 ............................................ ....................................... 134
E.1.4 FCS_CKM.3 criptogrfico clave de acceso ............................................ .............................................. 134
E.1.5 FCS_CKM.4 criptogrfico destruccin clave ............................................ ....................................... 135
E.2 Operacin criptogrfica (FCS_COP)..............................................................................................135
E.2.1 Notas para el usuario ..........................................................................................................................................135
E.2.2 Operacin criptogrfica FCS_COP.1 ............................................. ................................................ 136
Anexo F (normativo) Clase FDP: Usuario proteccin de datos ....................................... ........................................ 137
F.1 Poltica de control de acceso (FDP_ACC)...................................................................................................140
F.1.1 Notas para el usuario ..........................................................................................................................................140
F.1.2 Control de acceso FDP_ACC.1 Subset ............................................ .................................................. ... 140
12/6/2014 ISO / IEC 15408-2
xiii
F.1.3 FDP_ACC.2 Acceso completo control.............................................................................................141
F.2 Funciones de control de acceso (FDP_ACF) ............................................ ................................................. 141
F.2.2 Atributo FDP_ACF.1 Seguridad control de acceso basado .......................................... .......................... 141
F.3 Autenticacin de datos (FDP_DAU).......................................................................................................143
F.3.2 FDP_DAU.1 Bsico de Datos Authentication...........................................................................................143
F.3.3 FDP_DAU.2 datos de autenticacin con la identidad del Garante ......................................... ............... 143
F.4 Exportar desde el TOE (FDP_ETC) .....................................................................................................143
F.4.2 FDP_ETC.1 Exportacin de los datos de usuario sin atributos de seguridad ........................................ ................. 144
F.4.3 FDP_ETC.2 Exportacin de los datos de usuario con atributos de seguridad ........................................ ....................... 144
F.5 Poltica de control de flujo de la informacin (FDP_IFC) ........................................... .......................................... 145
F.5.2 Informacin FDP_IFC.1 subconjunto de control de flujo ........................................... ........................................ 146
F.5.3 FDP_IFC.2 Informacin completa de control de flujo ........................................... .................................... 146
F.6 Funciones de control de flujo de la informacin (FDP_IFF) ........................................... ..................................... 146
F.6.2 FDP_IFF.1 seguridad simple attributes..............................................................................................147
F.6.3 Atributos de seguridad FDP_IFF.2 jerrquicas ............................................ ......................................... 148
F.6.4 Fluye FDP_IFF.3 Limited informacin ilcita ........................................... .......................................... 149
Pgina 14
ISO / IEC 15408-2:2008 (E)
F.6.5 FDP_IFF.4 Eliminacin parcial de la informacin ilcita fluye ......................................... ..................... 149
F.6.6 FDP_IFF.5 No hay informacin ilcita flows.............................................................................................150
F.6.7 Informacin FDP_IFF.6 Ilcito de monitoreo de flujo ........................................... ...................................... 150
F.7 Importacin desde fuera del TOE (FDP_ITC) ......................................... ............................................ 151
F.7.2 FDP_ITC.1 Importacin de datos de usuario sin atributos de seguridad ........................................ ................... 152
F.7.3 FDP_ITC.2 Importacin de datos de usuario con atributos de seguridad ........................................ ......................... 152
F.8 Transferencia TOE Interna (FDP_ITT).......................................................................................................152
F.8.2 FDP_ITT.1 bsico de proteccin interno de transferencia ........................................... ...................................... 153
F.8.3 Separacin FDP_ITT.2 Transmisin por atributo ........................................... ................................ 153
F.8.4 Monitoreo FDP_ITT.3 Integridad ........................................................................................................153
F.8.5 FDP_ITT.4 supervisin de integridad basada en atributos .......................................... .................................. 154
F.9 Proteccin de la informacin residual (FDP_RIP) ............................................ ........................................ 155
F.9.2 FDP_RIP.1 Subset proteccin de la informacin residual ........................................... ............................ 156
F.9.3 FDP_RIP.2 proteccin de la informacin residual completa ........................................... .................................. 156
F.10 Rollback (FDP_ROL)..........................................................................................................................156
F.10.1 notas de usuario ..........................................................................................................................................156
F.10.2 FDP_ROL.1 bsico rollback................................................................................................................157
F.10.3 FDP_ROL.2 Avanzada rollback........................................................................................................157
F.11 Integridad de los datos almacenados (FDP_SDI) .......................................................................................................158
F.11.2 FDP_SDI.1 Almacenado monitoreo de integridad de datos ........................................ ........................................... 158
Monitoreo de integridad de los datos almacenados y F.11.3 FDP_SDI.2 accin ...................................... .......................... 158
F.12 Inter-TSF proteccin transferencia confidencialidad de los datos de usuario (FDP_UCT) ....................................... ...... 158
F.12.2 FDP_UCT.1 bsico confidencialidad intercambio de datos ........................................ ................................... 159
F.13 Inter-TSF proteccin transferencia integridad de los datos de usuario (FDP_UIT) ....................................... .................. 159
Integridad intercambio F.13.2 FDP_UIT.1 datos ......................................... .................................................. ...... 159
Recuperacin de intercambio de datos F.13.3 FDP_UIT.2 Fuente ........................................ ........................................... 160
Recuperacin de intercambio de datos de destino F.13.4 FDP_UIT.3 ........................................ .................................... 160
Anexo G (normativo) Clase FIA: Identificacin y autenticacin ....................................... .................... 161
G.1 Los errores de autenticacin (FIA_AFL)....................................................................................................162
G.1.1 notas de usuario ..........................................................................................................................................162
G.1.2 FIA_AFL.1 autenticacin manejo fracaso ......................................... ............................................ 163
G.2 Definicin de atributo de usuario (FIA_ATD)..................................................................................................164
Atributo User G.2.2 FIA_ATD.1 definition.................................................................................................164
G.3 Especificacin de los secretos (FIA_SOS)..................................................................................................164
G.3.2 FIA_SOS.1 Verificacin de secrets....................................................................................................165
G.3.3 FIA_SOS.2 TSF Generacin de secretos ........................................ .................................................. .. 165
G.4 La autenticacin de usuarios (FIA_UAU) ........................................................................................................165
G.4.2 FIA_UAU.1 Momento de autenticacin ......................................... .................................................. .... 165
G.4.3 FIA_UAU.2 La autenticacin del usuario antes de que cualquier accin ....................................... .................................. 166
G.4.4 FIA_UAU.3 autenticacin infalsificable .......................................... ................................................ 166
G.4.5 FIA_UAU.4 mecanismos de un solo uso de autenticacin ....................................... ............................... 166
12/6/2014 ISO / IEC 15408-2
xiv
G.4.6 FIA_UAU.5 mecanismos de autenticacin mltiples ......................................... .................................. 167
G.4.7 FIA_UAU.6 Re-authenticating...........................................................................................................167
G.4.8 FIA_UAU.7 retroalimentacin validacin protegida ......................................... ..................................... 168
G.5 Identificacin del usuario (FIA_UID)............................................................................................................168
G.5.2 FIA_UID.1 Momento de la identificacin ...................................................................................................168
G.5.3 FIA_UID.2 identificacin del usuario antes de que cualquier accin ....................................... ..................................... 168
G.6 El usuario sujeta la unin (FIA_USB) ......................................................................................................169
Pgina 15
ISO / IEC 15408-2:2008 (E)
G.6.2 FIA_USB.1 vinculante usuario-sujeto .....................................................................................................169
Anexo H (normativo) Clase FMT: Gestin de la seguridad ........................................ .................................... 170
H.1 Gestin de funciones en TSF (FMT_MOF) .......................................... ...................................... 171
H.1.1 Notas para el usuario ..........................................................................................................................................171
H.1.2 Gestin FMT_MOF.1 de funciones de seguridad comportamiento .......................................... ................ 172
H.2 Gestin de los atributos de seguridad (FMT_MSA) ........................................... .................................. 172
H.2.2 Gestin FMT_MSA.1 de atributos de seguridad ........................................... ................................. 173
H.2.3 FMT_MSA.2 seguridad Secure attributes...........................................................................................173
H.2.4 Atributo FMT_MSA.3 esttico initialisation........................................................................................174
H.2.5 Atributo FMT_MSA.4 Seguridad valor herencia ........................................... ................................ 174
H.3 Gestin de los datos de TSF (FMT_MTD) ........................................... .................................................. 174
H.3.2 Gestin FMT_MTD.1 de los datos TSF ........................................... .................................................. 174
H.3.3 Gestin FMT_MTD.2 de lmites en los datos TSF ......................................... .................................... 175
H.3.4 FMT_MTD.3 Proteja los datos TSF ...........................................................................................................175
H.4 Revocacin (FMT_REV).....................................................................................................................176
H.4.2 FMT_REV.1 Revocacin ....................................................................................................................176
A.5 Caducidad atributo Seguridad (FMT_SAE) ............................................ ............................................ 176
H.5.2 FMT_SAE.1 tiempo limitado- authorisation...........................................................................................177
H.6 Especificacin de las funciones de gestin (FMT_SMF) ........................................... ......................... 177
H.6.2 FMT_SMF.1 especificacin de las funciones de gestin ........................................... ........................ 177
H.7 Las funciones de gestin de seguridad (FMT_SMR).........................................................................................177
H.7.2 Papeles FMT_SMR.1 Seguridad ...............................................................................................................178
H.7.3 FMT_SMR.2 Restricciones de roles de seguridad ........................................... ......................................... 178
H.7.4 FMT_SMR.3 Asumiendo los roles ............................................................................................................178
Anexo I (normativo) Clase FPR: Privacidad ......................................................................................................179
I.1 Anonimato (FPR_ANO) .....................................................................................................................180
I.1.1 Notas para el usuario ..........................................................................................................................................180
I.1.2 FPR_ANO.1 Anonymity.....................................................................................................................181
I.1.3 FPR_ANO.2 anonimato sin solicitar informacin ........................................... ...................... 181
I.2 Seudnimos (FPR_PSE) ................................................................................................................182
I.2.2 FPR_PSE.1 Pseudonymity................................................................................................................183
I.2.3 FPR_PSE.2 seudonimia Reversible ............................................. ............................................... 183
I.2.4 FPR_PSE.3 Alias pseudonymity......................................................................................................184
I.3 Imposibilidad de vinculacin (FPR_UNL) ...................................................................................................................185
I.3.2 FPR_UNL.1 Unlinkability...................................................................................................................186
I.4 Inobservabilidad (FPR_UNO).............................................................................................................186
I.4.2 FPR_UNO.1 inobservabilidad ............................................................................................................187
I.4.3 FPR_UNO.2 Asignacin de informacin impactando inobservabilidad .......................................... ..... 187
I.4.4 FPR_UNO.3 inobservabilidad sin solicitar informacin ........................................... .............. 188
I.4.5 FPR_UNO.4 Autorizado usuario observabilidad ............................................ ........................................ 189
Anexo J (Normativo) Clase FPT: Proteccin del TSF ...................................... ........................................ 190
J.1 Fail secure (FPT_FLS).......................................................................................................................192
J.1.1 Notas para el usuario ..........................................................................................................................................192
J.1.2 Si no FPT_FLS.1 con preservacin de las condiciones de seguridad ......................................... ........................... 192
J.2 La disponibilidad de los datos exportados TSF (FPT_ITA) .......................................... ......................................... 192
J.2.2 FPT_ITA.1 Inter-TSF disponibilidad dentro de una disponibilidad ...................................... mtrica definida ..... 192
J.3 Confidencialidad de los datos exportados TSF (FPT_ITC) .......................................... .................................. 193
12/6/2014 ISO / IEC 15408-2
ISO / IEC 2008 - Todos los derechos reservados xv
Pgina 16
ISO / IEC 15408-2:2008 (E)
xvi
J.3.2 Confidencialidad FPT_ITC.1 Inter-TSF durante ......................................... transmisin .................... 193
J.4 Integridad de los datos exportados TSF (FPT_ITI) .......................................... ............................................... 193
J.4.2 Deteccin FPT_ITI.1 Inter-TSF de ......................................... modificacin ....................................... 193
J.4.3 Deteccin y correccin de ....................................... modificacin FPT_ITI.2 Inter-TSF ............... 194
J.5 La transferencia de datos TSF TOE Interna (FPT_ITT) .......................................... ............................................. 194
J.5.2 Evaluador notes..................................................................................................................................194
J.5.3 FPT_ITT.1 bsico de proteccin de transferencia de datos TSF interno ......................................... ......................... 195
J.5.4 La transferencia de datos FPT_ITT.2 TSF separation..........................................................................................195
J.5.5 FPT_ITT.3 TSF monitoreo de integridad de datos ........................................... ............................................. 195
J.6 Proteccin fsica TSF (FPT_PHP) ............................................ .................................................. .. 195
J.6.2 Deteccin FPT_PHP.1 pasiva de ataque fsico .......................................... ................................. 196
J.6.3 FPT_PHP.2 Notificacin de ataque fsico ........................................... .......................................... 196
J.6.4 FPT_PHP.3 Resistencia al ataque fsico ........................................... ........................................... 196
J.7 Recuperacin de confianza (FPT_RCV)............................................................................................................197
J.7.2 Manual FPT_RCV.1 recovery............................................................................................................198
J.7.3 FPT_RCV.2 Automatizado recovery......................................................................................................199
J.7.4 Recuperacin FPT_RCV.3 automatizada y sin prdida indebida .......................................... .......................... 199
J.7.5 Recuperacin de la funcin FPT_RCV.4 .........................................................................................................200
J.8 Deteccin Replay (FPT_RPL).............................................................................................................200
J.8.2 FPT_RPL.1 Replay detection............................................................................................................200
J.9 Protocolo de sincrona Estado (FPT_SSP)..............................................................................................201
J.9.2 FPT_SSP.1 simple acuse confianza ............................................ ................................... 201
J.9.3 Reconocimiento mutuo de confianza FPT_SSP.2 ............................................ .................................... 201
J.10 Las marcas de tiempo (FPT_STM)...................................................................................................................201
Notas J.10.1 usuario ..........................................................................................................................................201
J.10.2 FPT_STM.1 tiempo fiable stamps.....................................................................................................201
J.11 Inter-TSF consistencia de los datos TSF (FPT_TDC) ......................................... .......................................... 202
Notas J.11.1 usuario ..........................................................................................................................................202
J.11.2 FPT_TDC.1 Inter-TSF consistencia de los datos TSF bsica ..................................... ................................... 202
J.12 Pruebas de entidades externas (FPT_TEE)............................................................................................202
Notas J.12.1 usuario ..........................................................................................................................................202
J.12.2 Evaluador notes..................................................................................................................................203
J.12.3 Testing FPT_TEE.1 de entidades externas ........................................ .................................................. 0.203
J.13 TSF TOE interna coherencia de replicacin de datos (FPT_TRC) ......................................... ................. 204
Notas J.13.1 usuario ..........................................................................................................................................204
J.13.2 FPT_TRC.1 TSF Interna consistency..............................................................................................204
J.14 Autotest TSF (FPT_TST) ....................................................................................................................204
Notas J.14.1 usuario ..........................................................................................................................................204
J.14.2 FPT_TST.1 TSF testing......................................................................................................................204
Anexo K (Normativo) Clase FRU: La utilizacin de recursos ........................................ ....................................... 206
K.1 La tolerancia a fallos (FRU_FLT)................................................................................................................206
K.1.1 Notas para el usuario ..........................................................................................................................................206
K.1.2 FRU_FLT.1 Degradado culpa tolerance...............................................................................................207
K.1.3 Tolerancia a fallos FRU_FLT.2 Limited ..................................................................................................207
K.2 Prioridad de servicio (FRU_PRS) ..........................................................................................................207
K.2.2 FRU_PRS.1 prioridad limitada de service............................................................................................208
K.2.3 FRU_PRS.2 prioridad completa de servicio ..................................................................................................208
K.3 La asignacin de recursos (FRU_RSA) ......................................................................................................208
K.3.2 Cuotas Mximo FRU_RSA.1 ..........................................................................................................209
K.3.3 FRU_RSA.2 mnimos y cuotas mximas ........................................... ....................................... 209
Anexo L (Normativo) Clase FTA: TOE access..............................................................................................211
Pgina 17
ISO / IEC 15408-2:2008 (E)
L.1 Limitacin al alcance de atributos seleccionables (FTA_LSA) ......................................... ..................... 211
12/6/2014 ISO / IEC 15408-2
xvii
L.1.1 Notas para el usuario ..........................................................................................................................................211
L.1.2 FTA_LSA.1 Limitacin en el alcance de atributos seleccionables ......................................... ..................... 212
L.2 Limitacin en varias sesiones simultneas (FTA_MCS) .......................................... .................... 212
L.2.2 FTA_MCS.1 limitacin bsica en varias sesiones simultneas ......................................... ........... 212
L.2.3 FTA_MCS.2 Per limitacin atributo de usuario en mltiples sesiones concurrentes ................................ 212
L.3 Cierre y finalizacin de sesin (FTA_SSL) ........................................... ....................................... 213
L.3.2 Iniciado por el TSF FTA_SSL.1 bloqueo sesin .......................................... ............................................. 213
L.3.3 Iniciado por el usuario FTA_SSL.2 locking....................................................................................................214
L.3.4 Iniciado por el TSF FTA_SSL.3 termination..............................................................................................214
L.3.5 Iniciado por el usuario FTA_SSL.4 termination.............................................................................................214
L.4 Acceso TOE banners (FTA_TAB) .....................................................................................................214
L.4.2 FTA_TAB.1 acceso predeterminados TOE banners ........................................... ............................................ 215
L.5 Historial de acceso TOE (FTA_TAH) .......................................................................................................215
L.5.2 Acceso TOE FTA_TAH.1 history.......................................................................................................215
L.6 Establecimiento de la sesin TOE (FTA_TSE)..........................................................................................215
L.6.2 Establecimiento FTA_TSE.1 sesin TOE ............................................ ............................................. 216
Anexo M (normativo) Clase FTP: ruta de confianza / canales ...................................... ..................................... 217
M.1 Canal Inter-TSF confianza (FTP_ITC)...............................................................................................217
M.1.1 notas de usuario ..........................................................................................................................................217
M.1.2 FTP_ITC.1 Inter-TSF confiaba ....................................... canal .................................................. ..... 217
M.2 Ruta segura (FTP_TRP) ...................................................................................................................218
M.2.1 notas de usuario ..........................................................................................................................................218
M.2.2 FTP_TRP.1 Trusted path...................................................................................................................218
Pgina 18
ISO / IEC 15408-2:2008 (E)
Prefacio
ISO (Organizacin Internacional de Normalizacin) e IEC (Comisin Electrotcnica Internacional
Comisin) forman el sistema especializado para la normalizacin mundial. Los organismos nacionales que son miembros de
ISO e IEC participan en el desarrollo de Normas Internacionales a travs de comits tcnicos
establecido por la organizacin respectiva, para atender campos particulares de la actividad tcnica. ISO e IEC
comits tcnicos colaboran en campos de inters mutuo. Otras organizaciones internacionales, gubernamentales
y no gubernamentales, en coordinacin con ISO e IEC, tambin participan en el trabajo. En el campo de la informacin
tecnologa, ISO e IEC han establecido un comit tcnico conjunto ISO / IEC JTC 1.
12/6/2014 ISO / IEC 15408-2
xviii
Las Normas Internacionales se redactan de acuerdo con las reglas establecidas en las Directivas ISO / IEC, Parte 2.
La tarea principal del comit tcnico conjunto es preparar Normas Internacionales. Proyecto Internacional
Normas aprobadas por el comit tcnico conjunto se circulan a los organismos nacionales para votacin. La publicacin como
Norma Internacional requiere la aprobacin por al menos el 75% de los organismos nacionales con derecho a voto.
Se llama la atencin la posibilidad de que algunos de los elementos de este documento puedan ser objeto de patente
derechos. ISO e IEC no se hace responsable de la identificacin de cualquiera o todos los derechos de patente.
ISO / IEC 15408-2 fue preparada por el Comit Tcnico Conjunto ISO / IEC JTC 1, Tecnologa de la informacin ,
Subcomit SC 27, IT Tcnicas de seguridad . El texto idntico de la norma ISO / IEC 15408 es una publicacin de la
Common Criteria Proyecto Patrocinio Organizaciones como criterios comunes para la Tecnologa de la Informacin de Seguridad
Evaluacin. Las fuentes en XML comn para ambas publicaciones se puede encontrar en h ttp :/ / www.oc.ccn.cni.es / xml
Esta tercera edicin anula y sustituye a la segunda edicin (ISO / IEC 15408-2:2005), que ha sido
revisada tcnicamente.
ISO / IEC 15408 consta de las siguientes partes, bajo el ttulo general de tecnologa de la informacin - Seguridad
tcnicas - Criterios de evaluacin de la seguridad de TI :
Parte 1: Introduccin y modelo general
Parte 2: componentes funcionales de seguridad
Parte 3: Componentes de aseguramiento de la seguridad
Esta versin corregida de la norma ISO / IEC 15408-2:2008 incorpora correcciones de redaccin miscelneos principalmente
relacionada con FDP_UTC, FDP_UIT, FDP_ACF.1.4, FAU_SEL.1.1, FPT_TST.1, FDP_ITT.4, y FPT_TEE.
Pgina 19
ISO / IEC 15408-2:2008 (E)
Aviso Legal
Las organizaciones no gubernamentales que figuran a continuacin han contribuido al desarrollo de esta versin del Common
Criterios para la Tecnologa de la Informacin de Seguridad de Evaluaciones. A medida que los cotitulares de los derechos de autor en el Common
Criterios para la Tecnologa de la Informacin de Seguridad de las evaluaciones, la versin 3.1, partes 1 a 3 (se llama CC 3.1), se
otorgo licencia no exclusiva a la norma ISO / IEC para usar CC 3.1 en el continuo desarrollo / mantenimiento de
el 15408 norma internacional ISO / IEC. Sin embargo, estas organizaciones no gubernamentales se reservan el derecho de usar,
copiar, distribuir, traducir o modificar CC 3.1 como mejor les parezca.
Australia / Nueva Zelanda: La Direccin de Seales de Defensa y de las Comunicaciones del Gobierno
Oficina de Seguridad, respectivamente;
Canad: Communications Security Establishment;
Francia: Direction Centrale de la Scurit des Systmes d'Information;
Alemania: Bundesamt fr Sicherheit in der Informationstechnik;
Japn: Agencia de Promocin de Tecnologa de la Informacin;
Pases Bajos: Holanda Comunicaciones Nacionales Agencia de Seguridad;
Espaa: Ministerio de Administraciones Pblicas y el Centro Criptolgico Nacional;
Reino Unido: Comunicaciones-Electronic Security Group;
Estados Unidos: La Agencia de Seguridad Nacional y el Instituto Nacional de Estndares y
Tecnologa.
12/6/2014 ISO / IEC 15408-2
xix
Pgina 20
ISO / IEC 15408-2:2008 (E)
Introduccin
Componentes funcionales de seguridad, tal como se define en esta parte de la norma ISO / IEC 15408, son la base para la seguridad
requisitos funcionales expresadas en un perfil de proteccin (PP) o un objetivo de seguridad (ST). Estos requisitos
describir el comportamiento de seguridad deseada se espera de un Objeto de Evaluacin (TOE) y estn destinados a satisfacer
los objetivos de seguridad como se indica en un PP o un ST. Estos requisitos describen las propiedades de seguridad que los usuarios
puede detectar mediante la interaccin directa (es decir, entradas, salidas) con la informtica o por la respuesta de TI a los estmulos.
Componentes funcionales de Seguridad expresan los requisitos de seguridad previstos para contrarrestar las amenazas de la supuesta
entorno operativo de la TOE y / o cubrir las polticas de seguridad organizativas identificadas y
supuestos.
La audiencia para esta parte de la norma ISO / IEC 15408 incluye los consumidores, desarrolladores y evaluadores de TI segura
productos. ISO / IEC 15408-1:2009, clusula 5 proporciona informacin adicional sobre el pblico objetivo de
ISO / IEC 15408, y en el uso de la norma ISO / IEC 15408 por los grupos que componen el pblico objetivo. Estos
grupos pueden usar esta parte de la norma ISO / IEC 5408 de la siguiente manera:
a) Los consumidores, que utilizan esta parte de la ISO / IEC 15408 al seleccionar los componentes para expresar funcional
requisitos para satisfacer los objetivos de seguridad expresadas en un PP o ST. ISO / IEC 15408-1:2009, clusula 6
proporciona informacin ms detallada sobre la relacin entre los objetivos y la seguridad de seguridad
requisitos.
b) Los desarrolladores, que responden a las necesidades reales o percibidas de seguridad de los consumidores en la construccin de un TOE,
pueden encontrar un mtodo estandarizado para comprender los requisitos de esta parte de la norma ISO / IEC 15408. Ellos
Tambin puede utilizar el contenido de esta parte de la norma ISO / IEC 15408 como base para definir an ms la seguridad del TOE
funcionalidad y mecanismos que cumplan con estos requisitos.
c) Los evaluadores, que utilizan los requisitos funcionales definidos en esta parte de la norma ISO / IEC 15408 en la verificacin de que el
Requisitos funcionales TOE expresadas en el PP o ST cumplen los objetivos de seguridad de TI y que todos
dependencias se registran y se muestran para estar satisfechos. Los evaluadores tambin deben usar esta parte del
ISO / IEC 15408 para ayudar a determinar si un determinado satisface TOE requisitos establecidos.
12/6/2014 ISO / IEC 15408-2
xx
Pgina 21
NORMA INTERNACIONAL ISO / IEC 15408-2:2008 (E)
Tecnologa de la informacin - Tcnicas de seguridad - Evaluacin
criterios de seguridad de TI -
Parte 2:
Componentes funcionales de seguridad
1 mbito de aplicacin
Esta parte de la Norma ISO / IEC 15408 define la estructura requerida y el contenido de los componentes funcionales de seguridad para
el propsito de la evaluacin de la seguridad. Incluye un catlogo de componentes funcionales que se reunir con el comn
requisitos de funcionalidad de seguridad de muchos productos de TI.
2 Referencias normativas
Los siguientes documentos de referencia son indispensables para la aplicacin de este documento. Por fecha
referencias, slo se aplica la edicin citada. Para las referencias sin fecha se aplica la ltima edicin de la referencia
documento (incluyendo cualquier modificacin).
ISO / IEC 15408-1, Tecnologa de la informacin - Tcnicas de seguridad - Criterios de evaluacin de la seguridad de TI -
Parte 1: Introduccin y modelo general
3 Trminos y definiciones, smbolos y abreviaturas
Para los fines de este documento, los trminos, las definiciones, smbolos y trminos abreviados dan en
Aplica la norma ISO / IEC 15408-1.
4 Informacin general
Requisitos funcionales ISO / IEC 15408 y la seguridad asociados descritos en este documento no estn destinados a ser un
respuesta definitiva a todos los problemas de seguridad de TI. Ms bien, la norma ISO / IEC 15408 ofrece un conjunto de bien entendido
requisitos funcionales de seguridad que se pueden utilizar para crear productos de confianza que refleja las necesidades de la
mercado. Estos requisitos funcionales de seguridad se presentan como el estado actual de la tcnica en los requisitos
especificacin y evaluacin.
Esta parte de la Norma ISO / IEC 15408 no pretende incluir todos los posibles requisitos de seguridad funcionales, pero
ms bien contiene las que se conocen y acord ser de valor en esta parte de la norma ISO / IEC 15408 autores en el
momento del lanzamiento.
Dado que el conocimiento y las necesidades de los consumidores pueden cambiar, los requisitos funcionales de esta parte del
12/6/2014 ISO / IEC 15408-2
1
ISO / IEC 15408 tendr que ser mantenido. Se prev que algunos autores PP / ST pueden tener necesidades de seguridad
(todava) no cubiertas por los componentes de requisitos funcionales en esta parte de la norma ISO / IEC 15408. En esos casos, el
PP / ST autor podr optar por considerar el uso de requisitos funcionales no tomados de la norma ISO / IEC 15408 (denominada
como extensibilidad), tal como se explica en el Anexo s A y B de la norma ISO / IEC 15408-1:2009.
4.1 Organizacin de esta parte de la norma ISO / IEC 15408
Clusula 5 describe el paradigma utilizado en los requisitos funcionales de seguridad de esta parte de la norma ISO / IEC 15408.
Clusula 6 presenta el catlogo de esta parte de la norma ISO / IEC 15408 componentes funcionales mientras que las clusulas 7
a travs de 17 describir las clases funcionales.
Pgina 22
ISO / IEC 15408-2:2008 (E)
Anexo A proporciona informacin explicativa para los usuarios potenciales de los componentes funcionales que incluyen un
tabla de referencia cruzada completa de las dependencias de los componentes funcionales.
Anexo B t ediante Anexo M proporcionan la informacin explicativa para las clases funcionales. Este material debe
ser visto como instrucciones normativas sobre cmo aplicar las operaciones pertinentes y seleccione apropiada de auditora o
informacin documentacin; el uso del verbo auxiliar debe significa que la instruccin es fuertemente
prefieren, pero otras pueden ser justificables. Cuando se dan diferentes opciones, la eleccin se deja al PP / ST
autor.
Los que PPs autor o ST deben referirse a la clusula 2 de la norma ISO / IEC 15408-1:2009 para estructuras relevantes, reglas,
y orientacin:
a) ISO / IEC 15408-1:2009, clusula 3 d recisa los trminos utilizados en la norma ISO / IEC 15408.
b) ISO / IEC 15408-1:2009, Anexo A d e las multas de la estructura para el STB.
c) ISO / IEC 15408-1:2009, Anexo B d ef ines la estructura de los PP.
5 Requisitos funcionales paradigma
Esta clusula describe el paradigma utilizado en los requisitos funcionales de seguridad de esta parte de la norma ISO / IEC 15408.
Conceptos claves discutidos se resaltan en negrita / cursiva. Este numeral no pretende reemplazar o sustituir
cualquiera de los trminos que se encuentran en la norma ISO / IEC 15408-1:2009, clusula 3 .
Esta parte de la Norma ISO / IEC 15408 es un catlogo de componentes funcionales de seguridad que se puede especificar para un objetivo
de Evaluacin (TOE) . A TOE es un conjunto de software, firmware y / o hardware, posiblemente acompaados por el usuario
y documentacin de orientacin administrador. A TOE puede contener recursos como medios de almacenamiento electrnico
(Por ejemplo, la memoria principal, el espacio en disco), dispositivos perifricos (por ejemplo, impresoras), y la capacidad de clculo (por ejemplo, tiempo de CPU)
que pueden ser utilizados para el procesamiento y almacenamiento de la informacin y es el objeto de una evaluacin.
Evaluacin TOE se ocupa principalmente de asegurar que un conjunto definido de requisitos funcionales de seguridad
(SFR) se aplica sobre los recursos TOE. Los SFR definen las reglas por las que el TOE gobierna el acceso a
y el uso de sus recursos, y por lo tanto la informacin y servicios controlado por el TOE.
Los SFRs pueden definir mltiples polticas de seguridad en funciones (SFP) para representar las reglas que el TOE debe
cumplir. Cada una de estas SFP debe especificar su mbito de control , mediante la definicin de los sujetos, objetos, recursos o
la informacin y las operaciones a las que se aplica. Todos los programas de alimentacin complementaria son implementadas por la TSF (ver abajo), cuya
mecanismos de hacer cumplir las reglas definidas en los SFR y proporcionan capacidades necesarias.
Las partes de un TOE que deben ser invocado por la aplicacin correcta de la SFR son colectivamente
denominada la funcionalidad TOE Seguridad (TSF) . La TSF consta de todo el hardware, software y
firmware de un dedo del pie que est directa o indirectamente invocada para la aplicacin de la seguridad.
El TOE puede ser un producto monoltico que contiene el hardware, firmware y software.
Alternativamente, un dedo puede ser un producto distribuido que consta internamente de mltiples partes separadas. Cada uno de
estas partes del TOE proporciona un servicio en particular para el dedo, y est conectado a las otras partes de la
TOE a travs de un canal de comunicacin interna . Este canal puede ser tan pequeo como un bus del procesador, o pueden
abarcar una red interna a la TOE.
Cuando el TOE se compone de varias partes, cada parte del TOE puede tener su propia parte de la TSF que
intercambios de usuario y datos de TSF a travs de canales de comunicacin interna con otras partes de la TSF. Este
interaccin se llama transferencia TOE interna . En este caso las partes separadas de la TSF forman abstractamente la
compuesta TSF, que hace cumplir las SFR.
Interfaces de TOE se pueden localizar en la TOE en particular, o pueden permitir la interaccin con otros productos de TI
sobre canales de comunicacin externos . Estas interacciones externas con otros productos de TI pueden tomar dos
formas:
12/6/2014 ISO / IEC 15408-2
2
Pgina 23
ISO / IEC 15408-2:2008 (E)
3
a) Los SFRs de la otra "de confianza de TI producto" y las SFRs del TOE han sido administrativamente
coordinado y el otro producto de TI de confianza se supone para hacer cumplir sus SFRs correctamente (por ejemplo, por ser
evaluado por separado). Los intercambios de informacin en esta situacin se llaman transferencias entre TSF , ya que
estn entre las TSF de productos confiables distintas.
b) El otro producto de TI no puede ser de confianza, puede ser llamado un "producto de TI confiable". Por lo tanto sus SFRs
sean desconocidos o no su aplicacin no se considera digno de confianza. Intercambios de TSF mediadas
informacin en esta situacin se llama transferencias fuera del TOE , ya que no hay TSF (o su poltica
caractersticas son desconocidas) en el otro producto de TI.
El conjunto de interfaces, ya sea interactiva (interfaz hombre-mquina) o programtica (de programacin de aplicaciones
interfaz), a travs del cual se accede a los recursos que estn mediadas por el TSF, o se obtiene la informacin
de la TSF, que se conoce como la interfaz de TSF (TSFI) . El TSFI define los lmites de la TOE
funcionalidad que prev la aplicacin de la SFR.
Los usuarios se encuentran fuera del TOE. Sin embargo, con el fin de solicitar que los servicios de ser realizadas por el dedo del pie que estn
con sujecin a las reglas definidas en la SFR, los usuarios interactan con el TOE travs del TSFIs. Hay dos tipos de
usuarios de inters para esta parte de la norma ISO IEC 15408 /: los usuarios humanos y entidades externos de TI . Los usuarios humanos puede
adems se diferencian como usuarios humanos locales , lo que significa que interactan directamente con el OE a travs de dispositivos TOE
(por ejemplo, estaciones de trabajo), o los usuarios humanos a distancia , lo que significa que interactan indirectamente con el TOE a travs de otro de TI
producto.
Un perodo de la interaccin entre los usuarios y la TSF se conoce como un usuario sesin . Establecimiento de usuario
sesiones pueden ser controladas sobre la base de una variedad de consideraciones, por ejemplo: la autenticacin de usuario, la hora del da,
mtodo de acceso a la TOE, y el nmero de sesiones simultneas permitidas (por usuario o en total).
Esta parte de la Norma ISO / IEC 15408 se utiliza el trmino autorizado para significar un usuario que posee los derechos y / o
privilegios necesarios para realizar una operacin. El trmino usuario autorizado , por lo tanto, indica que se trata
permitido para un usuario para realizar una operacin especfica o un conjunto de operaciones segn la definicin del SFR.
Para expresar los requisitos que exigen la separacin de funciones de administrador, el importe de la garanta funcional
componentes (desde FMT_SMR familia) afirman explcitamente que administrativos papeles son obligatorios. Un rol es un pre-
conjunto definido de normas que establecen las interacciones permitidas entre un usuario que opera en ese papel y el OE. La
TOE puede apoyar la definicin de cualquier nmero de roles. Por ejemplo, las funciones relacionadas con la operacin segura de un
TOE puede incluir "Administrador de auditora" y "Administrador de cuentas de usuario".
TOE contienen recursos que pueden ser utilizados para el procesamiento y almacenamiento de informacin. El objetivo principal de
TSF es la aplicacin completa y correcta de los SFRs sobre los recursos y la informacin que el
Controles de los pies.
Recursos TOE pueden estructurarse y utilizarse de muchas maneras diferentes. Sin embargo, esta parte de la norma ISO / IEC 15408
hace una distincin especfica que permite la especificacin de propiedades de seguridad deseados. Todas las entidades que pueden
ser creado a partir de recursos puede caracterizarse en una de dos maneras. Las entidades pueden ser activos, lo que significa que
que son la causa de las acciones que se producen interno para las operaciones de TOE y causar que se realizarn en
informacin. Alternativamente, las entidades pueden ser pasivos, lo que significa que son o bien el recipiente del que
informacin tenga su origen oa la que se almacena la informacin.
Entidades activas en el TOE que realizan operaciones sobre los objetos se conocen como los sujetos . Varios tipos de
Pueden existir temas dentro de un TOE:
a) las personas que actan en nombre de un usuario autorizado (por ejemplo, los procesos de UNIX);
b) aquellos que actan como un proceso funcional especfica que a su vez puede actuar en nombre de varios usuarios (por ejemplo,
funciona como se podran encontrar en las arquitecturas cliente / servidor); o
c) aquellos que actan como parte de la propia TOE (por ejemplo, los procesos de no actuar en nombre de un usuario).
Esta parte de la Norma ISO / IEC 15408 se ocupa de la ejecucin de la SFR sobre tipos de sujetos como los enumerados
anteriormente.
Pgina 24
ISO / IEC 15408-2:2008 (E)
12/6/2014 ISO / IEC 15408-2
4
Entidades pasivas del TOE que contienen o recibir informacin y sobre los que los sujetos realizan operaciones
son llamados objetos . En el caso en que un sujeto (un ente activo) es el blanco de una operacin (por ejemplo,
la comunicacin entre procesos), un sujeto puede tambin ser actu en como un objeto.
Los objetos pueden contener informacin . Este concepto es necesario para especificar las polticas de control del flujo de informacin
abordado en la clase FDP.
Los usuarios, temas, informacin, objetos, sesiones y recursos controlados por las reglas de la SFR pueden poseer
ciertos atributos que contienen informacin que es utilizada por el TOE para su correcto funcionamiento. Algunos atributos,
tales como los nombres de archivo, puede ser para propsitos informativos o pueden ser utilizados para identificar los recursos individuales, mientras
otras, como la informacin de control de acceso, pueden existir especficamente para la ejecucin de la SFR. Estos
ltimos atributos se refieren generalmente como " atributos de seguridad ". El atributo palabra se puede utilizar como un
taquigrafa, en algunos lugares de esta parte de la norma ISO / IEC 15408 para la palabra "atributo de seguridad". Sin embargo, no importa
qu, puede ser necesario el uso previsto de la informacin de atributos para tener controles en atributos como
dictada por la SFR.
Los datos de una TOE se clasifica como datos de usuario o datos de TSF. Figura 1 De picts esta relacin. datos de usuario es
la informacin almacenada en los recursos TOE que se pueden utilizar para los usuarios, de acuerdo con los SFR y
sobre la que el TSF coloca ningn significado especial. Por ejemplo, el contenido de un mensaje de correo electrnico es
los datos de usuario. TSF datos es la informacin utilizada por la TSF en la toma de decisiones como lo exigen los SFR. TSF datos
puede estar influenciada por los usuarios si lo permite el SFR. Los atributos de seguridad, los datos de autenticacin, TSF interna
variables de estado utilizadas por las reglas definidas en los SFR o utilizadas para la proteccin de la TSF y el acceso
entradas de la lista de control son ejemplos de datos de TSF.
Hay varios programas de alimentacin complementaria que se aplican a la proteccin de datos, tales como los SFP de control de acceso y el flujo de informacin
SFP de control . Los mecanismos que implementan los SFP de control de acceso basan sus decisiones de poltica en los atributos
de los usuarios, recursos, sujetos, objetos, sesiones, los datos de estado TSF y las operaciones en el mbito de
de control. Estos atributos se utilizan en el conjunto de normas que rigen las operaciones que los sujetos pueden realizar en
objetos.
Los mecanismos que implementan programas de alimentacin complementaria de informacin de control de flujo basan sus decisiones de poltica sobre los atributos de
los temas y la informacin en el mbito del control y el conjunto de normas que rigen las operaciones de
temas relativos a la informacin. Los atributos de la informacin, que puede estar asociado con los atributos de la
recipiente o puede derivarse de los datos en el recipiente, se quedan con la informacin a medida que es procesada por el
TSF.
Figura 1 - Relacin entre los datos de usuario y datos de TSF
Dos tipos especficos de datos TSF corregidas por esta parte de la ISO / IEC 15408 puede ser, pero no necesariamente, el
misma. Estos son los datos de autenticacin y secretos .
Datos de autenticacin se utiliza para comprobar la identidad declarada de un usuario que solicita los servicios de un TOE. El ms
forma comn de datos de autenticacin es la contrasea, que depende de que se mantiene en secreto con el fin de ser un
mecanismo de seguridad eficaz. Sin embargo, no todas las formas de datos de autenticacin deben mantenerse en secreto. Biometric
dispositivos de autenticacin (por ejemplo, los lectores de huellas digitales, escneres de retina) no se basan en el hecho de que los datos se mantiene
secreto, sino ms bien que los datos es algo que slo un usuario posee y que no puede ser falsificada.
Pgina 25
ISO / IEC 15408-2:2008 (E)
Los secretos plazo, tal como se utiliza en esta parte de la norma ISO / IEC 15408, si bien son aplicables a la autenticacin de datos, est destinado a
tambin ser aplicables a otros tipos de datos que deben ser mantenidas en secreto con el fin de hacer cumplir un programa de alimentacin especfico. Para
ejemplo, un mecanismo de canal de confianza que se basa en la criptografa de preservar la confidencialidad de la
informacin que se transmite a travs del canal slo puede ser tan fuerte como el mtodo utilizado para mantener el
claves criptogrficas secretas contra la divulgacin no autorizada.
Por lo tanto, algunos, pero no todos, los datos de autenticacin tiene que ser mantenido en secreto y algunos, aunque no todos, son secretos
utilizado como datos de autenticacin. La Figura 2 muestra la relacin entre los secretos y los datos de autenticacin. En el
Figura de los tipos de datos que se encuentran tpicamente en los datos de autenticacin y las subclusulas secretos son
indicado.
12/6/2014 ISO / IEC 15408-2
5
Figura 2 - Relacin entre "datos de autenticacin" y "secretos"
Componentes funcionales 6 Seguridad
6.1 Informacin general
Esta clusula define el contenido y la presentacin de los requisitos funcionales de la norma ISO / IEC 15408, y
proporciona orientacin sobre la organizacin de los requisitos para los nuevos componentes que se incluirn en un ST. La
requisitos funcionales se expresan en las clases, familias y componentes.
6.1.1 La estructura de clases
La Figura 3 ilustra la estructura de clase funcional en forma de diagrama. Cada clase funcional incluye una clase
nombrar, introduccin clase, y uno o ms familias funcionales.
Figura 3 - Estructura Clase funcional
Pgina 26
ISO / IEC 15408-2:2008 (E)
6.1.1.1 Nombre de clase
El nombre de la clase subclusula proporciona la informacin necesaria para identificar y clasificar una clase funcional. Cada
clase funcional tiene un nombre nico. La informacin categrica consta de un nombre corto de tres caracteres.
El nombre corto de la clase se utiliza en la especificacin de los nombres cortos de las familias de esa clase.
6.1.1.2 Introduccin de Clase
La introduccin de clase se establece la voluntad comn o enfoque de las familias para satisfacer la seguridad
objetivos. La definicin de clases funcionales no refleja ninguna taxonoma formal en la especificacin de la
requisitos.
La introduccin clase proporciona una figura que describe las familias en esta clase y la jerarqua de la
componentes en cada familia, tal como se explica en 6 0.2.
6.1.2 La estructura familiar
La figura 4 ilustra la estructura de la familia funcional en forma de diagrama.
12/6/2014 ISO / IEC 15408-2
6
Figura 4 - Estructura de la familia funcional
6.1.2.1 Nombre familiar
El nombre de la familia subclusula proporciona informacin categrica y descriptivo necesario identificar y
categorizar una familia funcional. Cada familia funcional tiene un nombre nico. La informacin categrica consiste
de un nombre corto de siete caracteres, con los tres primeros idntico al nombre corto de la clase seguido de un
un subrayado y el nombre corto de la familia de la siguiente XXX_YYY. La forma corta nica del apellido
proporciona el nombre de referencia principal para los componentes.
6.1.2.2 El comportamiento de la familia
El comportamiento de la familia es la descripcin narrativa de la familia funcional que indica su objetivo de seguridad y un
Descripcin general de los requisitos funcionales. Estos se describen en mayor detalle a continuacin:
a) Los objetivos de seguridad de la familia de direcciones un problema de seguridad que puede ser resuelto con la ayuda de un
Dedo del pie que incorpora un componente de esta familia;
b) La descripcin de los requisitos funcionales se resumen todos los requisitos que se incluyen en el
componente (s). La descripcin est dirigida a los autores de los PP, STS y paquetes funcionales que deseen
evaluar si la familia es relevante para sus necesidades especficas.
Pgina 27
ISO / IEC 15408-2:2008 (E)
6.1.2.3 Nivelacin de componentes
Familias funcionales contienen uno o ms componentes, uno cualquiera de los cuales puede ser seleccionado para su inclusin en PPS,
ST y paquetes funcionales. El objetivo de este apartado es proporcionar informacin a los usuarios en la seleccin de un
componente funcional apropiada una vez que la familia ha sido identificada como una parte necesaria o til de
sus requisitos de seguridad.
Este numeral de la descripcin de una familia funcional describe los componentes disponibles, y su razn de ser.
Los detalles exactos de los componentes estn contenidos dentro de cada componente.
Las relaciones entre los componentes dentro de una familia funcional pueden o no pueden ser jerrquica. La
componente es jerrquica a otra si ofrece ms seguridad.
Como se explica en 6.2 las descripciones de las familias proporcionan un resumen grfico de la jerarqua de la
componentes en una familia.
6.1.2.4 Administracin
Los de gestin de clusulas contienen informacin para los autores PP / ST considerar como actividades de gestin de
un componente dado. Las clusulas de referencia componentes de la clase de gestin (FMT), y proporcionan
orientacin con respecto a las actividades de gestin posibles que se pueden aplicar a travs de operaciones con esos componentes.
Un autor de PP / ST puede seleccionar los componentes de gestin indicados o puede incluir la gestin de otros
requisitos que no figuran las actividades de gestin detalle. Como tal, la informacin debe ser considerada
informativo.
6.1.2.5 Auditora
Las auditoras requisitos contienen sucesos comprobables para los autores PP / ST para seleccionar, si los requisitos de la
clase FAU: Auditora de seguridad, estn incluidos en el PP / ST. Estos requisitos incluyen los eventos relevantes de seguridad en
trminos de los diversos niveles de detalle con el apoyo de los componentes de la generacin de los datos de auditora de seguridad
(FAU_GEN) fam ilia. Por ejemplo, una nota de auditora puede incluir acciones que son, en trminos de: Minimal - fundado
el uso del mecanismo de seguridad; Bsico - cualquier uso del mecanismo de seguridad, as como informacin relevante
con respecto a los atributos de seguridad que implica; Completo - los cambios de configuracin realizados en el mecanismo,
12/6/2014 ISO / IEC 15408-2
7
incluyendo los valores de configuracin reales antes y despus del cambio.
Debe observarse que la categorizacin de los eventos auditables es jerrquica. Por ejemplo, cuando bsico
Se desea Generacin de auditora, todos los sucesos comprobables que se considere que tanto mnimo y bsico deben incluirse
en el PP / ST a travs de la utilizacin de la operacin de asignacin apropiado, excepto cuando el evento de nivel ms alto
simplemente proporciona ms detalle que el evento de nivel inferior. Cuando se desea Generacin de auditora detallada, toda
eventos auditables identificados (Minimal, bsica y de detalle) deben ser incluidos en el PP / ST.
En la clase FAU: Auditora de Seguridad de las normas que rigen la auditora se explican con ms detalle.
Pgina 28
ISO / IEC 15408-2:2008 (E)
6.1.3 Estructura de componentes
La Figura 5 ilustra la estructura de componente funcional.
Figura 5 - Estructura componente funcional
6.1.3.1 Identificacin de los componentes
La subclusula identificacin de componentes proporciona informacin descriptiva necesaria para identificar, categorizar,
registrar y referencias cruzadas de un componente. A continuacin se proporciona como parte de cada componente funcional:
Un nombre nico . El nombre refleja el propsito del componente.
Un nombre corto . Una forma corta nica del nombre del componente funcional. Este nombre corto sirve como el principal
nombre de referencia para la categorizacin, el registro y la referencia cruzada del componente. Este nombre corto
refleja la clase y la familia a la que pertenece el componente y el nmero de componentes dentro de la familia.
A jerrquico-a la lista . Una lista de otros componentes que este componente es jerrquica a y para el cual esta
componente se puede utilizar para satisfacer las dependencias de los componentes indicados.
6.1.3.2 Elementos funcionales
Se proporciona un conjunto de elementos para cada componente. Cada elemento se define individualmente y es autnomo.
Un elemento funcional es un requisito funcional de seguridad que si se deben dividir adems no producira una significativa
resultado de la evaluacin. Es el requisito funcional de seguridad ms pequeo identificado y reconocido en la norma ISO / IEC 15408.
Cuando los paquetes de construccin, PP y / o ST, no se le permite seleccionar slo uno o ms elementos de una
12/6/2014 ISO / IEC 15408-2
8
componente. El conjunto completo de elementos de un componente debe ser seleccionada para su inclusin en un PP, ST o paquete.
Se proporciona una forma corta nica del nombre del elemento funcional. Por ejemplo, el nombre de requisito
FDP_IFF.4.2 dice lo siguiente: F - requisito funcional, DP - clase "de proteccin de datos de usuario", _IFF - familia
"Flujo de informacin las funciones de control", 0,4 - cuarto componente denominado "eliminacin parcial de la informacin ilcita fluye",
0,2 - segundo elemento del componente.
6.1.3.3 Dependencias
Dependencias entre los componentes funcionales surgen cuando un componente no es autosuficiente y depende de la
funcionalidad o interaccin con otro elemento para su propio funcionamiento adecuado.
Pgina 29
ISO / IEC 15408-2:2008 (E)
Cada componente funcional ofrece una lista completa de las dependencias a otros trabajos para atestiguar y funcional
componentes. Algunos componentes pueden enumerar "No hay dependencias". Los componentes dependan puede a su vez
tener dependencias de otros componentes. La lista que figura en los componentes ser la directa
dependencias. Eso es slo referencias a los requisitos funcionales que se requieren para este requisito de
realizar su trabajo correctamente. Las dependencias indirectas, que son las dependencias que resultan de la dependido
dependiendo de los componentes se pueden encontrar en un NEX A de esta parte de la norma ISO / IEC 15408. Cabe sealar que en algunos casos la
dependencia es opcional en la que se proporcionan una serie de requisitos funcionales, donde cada uno de ellos
sera suficiente para satisfacer la dependencia (ver por ejemplo la integridad de cambio FDP_UIT.1 de datos).
La lista de dependencias identifica los componentes funcionales o de garanta de mnimos necesarios para satisfacer la seguridad
requisitos asociados con un componente identificado. Los componentes que son jerrquica a la identificado
componente tambin se puede utilizar para satisfacer la dependencia.
Las dependencias que se indican en esta parte de la norma ISO / IEC 15408 son normativas. Ellos deben cumplirse dentro de un
PP / ST. En las situaciones especficas de las dependencias indicadas podran no ser aplicables. El autor de PP / ST, por
indicacin de los fundamentos de por qu no es el caso, puede dejar al dependa componente del paquete,
PP o ST.
6.2 Catlogo de componentes
La agrupacin de los componentes de esta parte de la norma ISO / IEC 15408 no refleja ninguna taxonoma formal.
Esta parte de la Norma ISO / IEC 15408 contiene clases de familias y componentes, que son agrupaciones speros en la
base de la funcin o propsito relacionado, presenta en orden alfabtico. Al inicio de cada clase es un informativo
Diagrama que indica la taxonoma de cada clase, indicando las familias en cada categora y los componentes en
cada familia. El diagrama es un indicador til de la relacin jerrquica que pueda existir entre
componentes.
En la descripcin de los componentes funcionales, un subclusula identifica las dependencias entre el
componente y cualquier otro componente.
En cada clase una figura que describe la jerarqua de la familia similar a la Figura 6 , se proporciona. En la Figura 6 la primera
familia, de la familia 1, contiene tres componentes jerrquicos, en los que el componente 2 y el componente 3 pueden ser ambas
utilizado para satisfacer las dependencias en el componente 1. Componente 3 es jerrquica al componente 2 y puede ser tambin
utilizado para satisfacer las dependencias en el componente 2.
Diagrama de la descomposicin de clase de la muestra - la figura 6
En la familia de 2 hay tres componentes no todos los cuales son jerrquica. Componentes 1 y 2 son jerrquica
a ningn otro componente. Componente 3 es jerrquica al componente 2, y se puede utilizar para satisfacer
dependencias de componente 2, pero no para satisfacer las dependencias en el componente 1.
En Familia 3, los componentes 2, 3, y 4 son jerrquicos al componente 1. Componentes 2 y 3 son ambos
12/6/2014 ISO / IEC 15408-2
9
jerrquica al componente 1, pero no comparable. Componente 4 es jerrquica para los dos componentes 2 y
componente 3.
Pgina 30
ISO / IEC 15408-2:2008 (E)
10
Estos esquemas son solamente para complementar el texto de las familias y facilitar la identificacin de las relaciones
ms fcil. No sustituyen a la "jerrquica a:" nota en cada componente que es la afirmacin obligatoria de
jerarqua para cada componente.
6.2.1 cambios de componentes destacando
La relacin entre los componentes dentro de una familia se pone de relieve utilizando una negrita convencin. Esta negrita
convencin pide la negrita de todos los nuevos requisitos. Para los componentes jerrquicos, los requisitos son
en negrita cuando estn potenciados o modificados ms all de los requisitos del componente anterior. Adems,
cualquier operacin de nuevos o mejorados permitidas ms all del componente anterior tambin se destacan el uso de negrita
escriba.
7 Clase FAU: Auditora de seguridad
La auditora de seguridad implica reconocer, registrar, almacenar y analizar la informacin relacionada con la seguridad
actividades pertinentes (es decir, las actividades controladas por el TSF). Los registros de auditora resultantes pueden ser examinados para
determinar las actividades pertinentes de seguridad se llevaron a cabo y quin (qu usuario) es responsable de ellos.
Figura 7 - FAU: Seguridad clase de auditora descomposicin
Pgina 31
ISO / IEC 15408-2:2008 (E)
12/6/2014 ISO / IEC 15408-2
11
Respuesta automtica 7.1 Auditora de seguridad (FAU_ARP)
7.1.1 Familia Comportamiento
Esta familia define la respuesta que deben adoptarse en caso de eventos detectados que indican un potencial para la seguridad
violacin.
7.1.2 nivelacin de componentes
En las alarmas FAU_ARP.1 Seguridad, th e TSF debe tomar medidas en caso de que se detecte una posible violacin de la seguridad.
7.1.3 Gestin de FAU_ARP.1
Las siguientes acciones podran ser consideradas para las funciones de gestin en FMT:
a) la gestin (alta, baja o modificacin) de las acciones.
7.1.4 Auditora de FAU_ARP.1
Las siguientes acciones deben ser auditable si la generacin de datos de auditora FAU_GEN seguridad est incluido en el
PP / ST:
a) Mnimo: Las acciones tomadas por los posibles violacines de seguridad.
7.1.5 alarmas FAU_ARP.1 Seguridad
Jerrquica para: No hay otros componentes.
Dependencias: Anlisis violacin potencial FAU_SAA.1
7.1.5.1 FAU_ARP.1.1
La TSF debe tomar [asignacin: lista de acciones ] ante la deteccin de una posible violacin de la seguridad.
Generacin de los datos 7.2 Auditora de seguridad (FAU_GEN)
Esta familia define requisitos para el registro de la ocurrencia de los eventos relevantes de seguridad que se llevan a cabo bajo
Control de TSF. Esta familia identifica el nivel de auditora, se enumeran los tipos de eventos que sern auditables
por el TSF, e identifica el conjunto mnimo de informacin relacionados con la auditora que se debe proporcionar dentro de varios
Tipos de registros de auditora.
Generacin de datos FAU_GEN.1 Auditora defi ne el nivel de los eventos auditables y especifica la lista de datos que debern
registrarse en cada registro.
En FAU_GEN.2 asociacin identidad del usuario, t l TSF debe asociar eventos auditables a las identidades de usuario individuales.
7.2.3 Gestin de FAU_GEN.1, FAU_GEN.2
No hay actividad de gestin prevista.
7.2.4 Auditora de FAU_GEN.1, FAU_GEN.2
No hay eventos auditables previstas.
Pgina 32
ISO / IEC 15408-2:2008 (E)
7.2.5 generacin de los datos FAU_GEN.1 Auditora
Dependencias: FPT_STM.1 marcas de tiempo fiables
7.2.5.1 FAU_GEN.1.1
12/6/2014 ISO / IEC 15408-2
12
La TSF debe ser capaz de generar un registro de auditora de los siguientes eventos auditables:
a) Puesta en marcha y parada de las funciones de auditora;
b) Todos los sucesos comprobables para la [seleccin, elegir uno de: mnimo, bsico, detallado, no especificado ]
nivel de auditora; y
c) [asignacin: otros eventos auditables definidos especficamente ].
7.2.5.2 FAU_GEN.1.2
La TSF debe registrar dentro de cada registro de auditora, al menos, la siguiente informacin:
a) Fecha y hora del evento, tipo de evento, identidad de objeto (si se aplica), y el resultado
(xito o fracaso) del evento; y
b) Para cada tipo de evento de auditora, basndose en las definiciones de eventos auditables de los componentes funcionales
incluido en el PP / ST, [asignacin: otra auditora de la informacin pertinente ].
7.2.6 asociacin identidad FAU_GEN.2 usuario
Dependencias: FAU_GEN.1 generacin de los datos de auditora
FIA_UID.1 Momento de la identificacin
7.2.6.1 FAU_GEN.2.1
Para los eventos de auditora que resulten de las acciones de los usuarios identificados, la TSF debe ser capaz de asociar cada
evento auditable con la identidad del usuario que caus el evento.
7.3 anlisis de las auditoras de seguridad (FAU_SAA)
Esta familia define requisitos para medios automticos que analizan la actividad del sistema y de los datos de auditora en busca de
posibles o reales violacines de seguridad. Este anlisis puede trabajar en apoyo de deteccin de intrusos, o automtico
respuesta a una potencial violacin de la seguridad.
Las acciones a realizar sobre la base de la deteccin se pueden especificar utilizando la respuesta automtica de auditora de seguridad
(FAU_ARP) fa milia si lo deseas.
En FAU_SAA.1 anlisis de potencial violacin , la deteccin del umbral de base a partir de una regla fija establecida es
requerida.
En FAU_SAA.2 perfil basado deteccin de anomalas, t l TSF mantiene perfiles individuales de uso del sistema, donde
un perfil representa los patrones histricos de uso realizadas por miembros del grupo de destino de perfil. Un perfil
grupo objetivo se refiere a un grupo de una o ms personas (por ejemplo, un nico usuario, los usuarios que comparten un ID de grupo o
Pgina 33
ISO / IEC 15408-2:2008 (E)
cuenta de grupo, los usuarios que operan con un papel asignado, los usuarios de un sistema o nodo de red) que
interactuar con el TSF. Cada miembro de un grupo objetivo perfiles se le asigna una calificacin individual sospecha de que
representa lo bien que la actividad actual de ese miembro corresponde a los patrones establecidos de uso
representado en el perfil. Este anlisis se puede realizar en tiempo de ejecucin o durante un lote de modo despus de la recoleccin
anlisis.
En FAU_SAA.3 heurstica simple ataque, la TSF debe ser capaz de detectar la ocurrencia de eventos de firma
que representan una amenaza significativa para la ejecucin de la SFR. Esta bsqueda de eventos de firma puede ocurrir en
en tiempo real o durante un anlisis en modo por lotes despus de la recoleccin.
En FAU_SAA.4 heurstica de ataque complejos, t l TSF debe ser capaz de representar y detectar mltiples pasos de intrusiones
escenarios. La TSF es capaz de comparar los eventos del sistema (posiblemente realizadas por varios individuos) contra
secuencias de eventos conocidos para representar a la totalidad de los escenarios de intrusin. La TSF debe ser capaz de indicar cundo un
evento de la firma o la secuencia de eventos se encuentra que indica una posible violacin de la ejecucin de la SFR.
7.3.3 Gestin de FAU_SAA.1
a) el mantenimiento de las normas por parte de (adicin, modificacin, supresin) de las reglas del conjunto de reglas.
12/6/2014 ISO / IEC 15408-2
13
a) mantenimiento (supresin, modificacin, adicin) del grupo de usuarios en el grupo de destino de perfil.
a) mantenimiento (supresin, modificacin, adicin) del subconjunto de los eventos del sistema.
a) mantenimiento (supresin, modificacin, adicin) del subconjunto de los eventos del sistema;
b) mantenimiento (supresin, modificacin, adicin) del conjunto de la secuencia de eventos del sistema.
7.3.7 Auditora de FAU_SAA.1, FAU_SAA.2, FAU_SAA.3, FAU_SAA.4
PP / ST:
a) Mnimo: Activacin y desactivacin de cualquiera de los mecanismos de anlisis;
b) mnimos: respuestas automatizadas realizadas por la herramienta.
7.3.8 FAU_SAA.1 anlisis Potencial violacin
Pgina 34
ISO / IEC 15408-2:2008 (E)
7.3.8.1 FAU_SAA.1.1
La TSF debe ser capaz de aplicar un conjunto de reglas en la vigilancia de los eventos auditados y en base a estos
normas indican una violacin potencial de la aplicacin de la SFR.
7.3.8.2 FAU_SAA.1.2
La TSF debe aplicar las siguientes reglas para el seguimiento de los eventos auditados:
a) La acumulacin o combinacin de [asignacin: subconjunto de incidentes auditables definidos ] sabe que
indicar una potencial violacin de la seguridad;
b) [asignacin: cualquier otra regla ].
Deteccin de anomalas 7.3.9 FAU_SAA.2 Perfil basada
Dependencias: FIA_UID.1 Momento de la identificacin
7.3.9.1 FAU_SAA.2.1
La TSF debe ser capaz de mantener perfiles de uso del sistema, donde un perfil individual representa la
patrones histricos de uso realizado por el miembro (s) de [asignacin: el grupo objetivo perfil ].
7.3.9.2 FAU_SAA.2.2
La TSF debe ser capaz de mantener una calificacin de sospecha asociado con cada usuario cuya actividad es
registrada en un perfil, en donde la calificacin de sospecha representa el grado en el cual la corriente del usuario
la actividad se encontr incompatible con los patrones establecidos de uso representado en el perfil.
12/6/2014 ISO / IEC 15408-2
14
7.3.9.3 FAU_SAA.2.3
La TSF debe ser capaz de indicar una posible violacin de la ejecucin de los SFR cuando de un usuario
calificacin sospecha excede las siguientes condiciones mnimas [asignacin: condiciones bajo las cuales
actividad anmala es reportado por la TSF ].
7.3.10 FAU_SAA.3 heurstica simple ataque
Dependencias: No hay dependencias.
7.3.10.1 FAU_SAA.3.1
La TSF debe ser capaz de mantener una representacin interna de los siguientes eventos de firma
[Asignacin: un subconjunto de los eventos del sistema ] que pueden indicar una violacin de la ejecucin de la SFR.
7.3.10.2 FAU_SAA.3.2
La TSF debe ser capaz de comparar los eventos de firmas contra el registro de la actividad del sistema
perceptible a partir de un examen de [asignacin: la informacin que se utilizar para determinar el sistema
actividad ].
7.3.10.3 FAU_SAA.3.3
La TSF debe ser capaz de indicar una posible violacin de la ejecucin de los SFR cuando un sistema
evento se encuentra para que coincida con un evento de la firma que indica una posible violacin de la ejecucin de la
SFR.
Pgina 35
ISO / IEC 15408-2:2008 (E)
7.3.11 FAU_SAA.4 heurstica de ataque complejos
Jerrquica para: FAU_SAA.3 heurstica simple ataque
7.3.11.1 FAU_SAA.4.1
La TSF debe ser capaz de mantener una representacin interna de las siguientes secuencias de eventos de conocido
escenarios de intrusin [asignacin: lista de secuencias de eventos del sistema cuya ocurrencia son
representante de escenarios de penetracin conocidos ] y los siguientes acontecimientos de la firma [asignacin: un subconjunto
de eventos del sistema ] que pueden indicar una potencial violacin de la ejecucin de la SFR.
7.3.11.2 FAU_SAA.4.2
La TSF debe ser capaz de comparar los acontecimientos de la firma y las secuencias de eventos con el registro del sistema
actividad perceptible a partir de un examen de [asignacin: la informacin que se utilizar para determinar el sistema
actividad ].
7.3.11.3 FAU_SAA.4.3
La TSF debe ser capaz de indicar una posible violacin de la ejecucin de los SFR cuando el sistema de actividad es
encontrado para que coincida con un evento de firma de secuencia o evento que indica una posible violacin de la ejecucin de las
los SFR.
7.4 Revisin de Auditora de Seguridad (FAU_SAR)
Esta familia define los requisitos para las herramientas de auditora que deben estar disponibles para los usuarios autorizados para asistir en la
revisin de los datos de auditora.
FAU_SAR.1 Examen de auditora, pr ovides la capacidad de leer la informacin de los registros de auditora.
FAU_SAR.2 examen de auditora Restringido, exige que no haya otros usuarios excepto aquellos que han sido
i identificados n FAU_SAR.1 revisin Auditora t sombrero puedo leer la informacin.
FAU_SAR.3 seleccionable examen de auditora, r equiere herramientas de revisin de auditora para seleccionar los datos de auditora que se analizar teniendo en
en criterios.
7.4.3 Gestin de FAU_SAR.1
12/6/2014 ISO / IEC 15408-2
15
a) mantenimiento (supresin, modificacin, adicin) del grupo de usuarios con acceso de lectura derecho de la auditora
registros.
7.4.4 Gestin de FAU_SAR.2, FAU_SAR.3
7.4.5 Auditora de FAU_SAR.1
PP / ST:
a) bsica: Lectura de la informacin de los registros de auditora.
Pgina 36
ISO / IEC 15408-2:2008 (E)
PP / ST:
a) bsica: Intentos sin xito de leer la informacin de los registros de auditora.
PP / ST:
a) Detallado: los parmetros utilizados para la visualizacin.
7.4.8 revisin FAU_SAR.1 Auditora
7.4.8.1 FAU_SAR.1.1
La TSF debe proporcionar [asignacin: usuarios autorizados ] con la capacidad de leer [asignacin: lista de
auditora de la informacin ] a partir de los registros de auditora.
7.4.8.2 FAU_SAR.1.2
La TSF debe proporcionar los registros de auditora de una manera adecuada para el usuario para interpretar la informacin.
7.4.9 FAU_SAR.2 restringido examen de auditora
Dependencias: Examen de auditora FAU_SAR.1
7.4.9.1 FAU_SAR.2.1
La TSF debe prohibir a todos los usuarios acceso de lectura a los registros de auditora, salvo aquellos usuarios que han sido
otorgado lectura acceso explcito.
7.4.10 revisin FAU_SAR.3 auditora seleccionable
Dependencias: Examen de auditora FAU_SAR.1
7.4.10.1 FAU_SAR.3.1
La TSF debe ofrecer la capacidad de aplicar [asignacin: los mtodos de seleccin y / o pedidos ] de auditora
datos basados en [asignacin: criterios con relaciones lgicas ].
Seleccin de eventos 7.5 Auditora de seguridad (FAU_SEL)
12/6/2014 ISO / IEC 15408-2
16
Esta familia define requisitos para seleccionar el conjunto de eventos que se van a auditar durante el funcionamiento TOE del conjunto de
todos los eventos auditables.
Pgina 37
ISO / IEC 15408-2:2008 (E)
17
FAU_SEL.1 auditora selectiva, r equiere la posibilidad de seleccionar el conjunto de eventos a auditar a partir del conjunto de todos los
eventos auditables, identific i n FAU_GEN.1 la generacin de datos de auditora, como fundamento los atributos de la que determine la
PP / ST autor.
7.5.3 Gestin de FAU_SEL.1
a) el mantenimiento de los derechos para ver / modificar los eventos de auditora.
7.5.4 Auditora de FAU_SEL.1
PP / ST:
a) Mnimo: Todas las modificaciones de la configuracin de auditora que se producen mientras que las funciones de recopilacin de auditora son
operativo.
7.5.5 FAU_SEL.1 auditora selectiva
Gestin FMT_MTD.1 de datos TSF
7.5.5.1 FAU_SEL.1.1
La TSF debe ser capaz de seleccionar el conjunto de eventos a auditar a partir del conjunto de todos los eventos auditables
sobre la base de los siguientes atributos:
a) [seleccin: objeto de identidad, la identidad del usuario, la identidad de sujeto, identidad del host, tipo de evento ]
b) [asignacin: lista de atributos adicionales que la selectividad de auditora se basa en ]
Almacenamiento de eventos 7.6 Auditora de seguridad (FAU_STG)
Esta familia define los requisitos para la TSF para ser capaz de crear y mantener un registro de auditora seguro. Almacenado
registros de auditora se refiere a aquellos registros dentro de la pista de auditora, y no a los registros de auditora que se han recuperado
(Para el almacenamiento temporal) a travs de la seleccin.
En FAU_STG.1 Protegida almacenamiento pista de auditora, r equirements se colocan en la pista de auditora. Se protegida
de eliminacin y / o modificacin no autorizada.
FAU_STG.2 Garantas de disponibilidad de los datos de auditora, especifica las garantas que la TSF mantiene por encima del
datos de auditora dada la ocurrencia de una condicin no deseada.
FAU_STG.3 Actuacin en caso de una posible prdida de datos de auditora, s acciones pecifies que deben adoptarse en caso de un umbral sobre la auditora
se supera sendero.
Prevencin FAU_STG.4 de prdida de datos de auditora, espe cifies acciones en caso de que el registro de auditora est lleno.
12/6/2014 ISO / IEC 15408-2
Pgina 38
ISO / IEC 15408-2:2008 (E)
18
7.6.3 Gestin de FAU_STG.1
a) el mantenimiento de los parmetros que controlan la capacidad de almacenamiento de auditora.
a) el mantenimiento del umbral;
b) mantenimiento (supresin, modificacin, adicin) de las acciones que deben adoptarse en caso de almacenamiento de auditora inminente
fracaso.
a) mantenimiento (supresin, modificacin, adicin) de las acciones que deben adoptarse en caso de fallo de almacenamiento de auditora.
7.6.7 Auditora de FAU_STG.1, FAU_STG.2
7.6.8 Auditora de FAU_STG.3
PP / ST:
a) Bsicas: Las acciones tomadas por haber excedido un umbral.
7.6.9 Auditora de FAU_STG.4
PP / ST:
a) Bsicas: Las acciones tomadas por el fallo de almacenamiento de auditora.
7.6.10 FAU_STG.1 auditora Protegida almacenamiento rastro
7.6.10.1 FAU_STG.1.1
La TSF debe proteger los registros de auditora almacenados en el registro de auditora de la destruccin no autorizadas.
7.6.10.2 FAU_STG.1.2
La TSF debe ser capaz de [seleccin, elegir uno de: prevenir, detectar ] modificaciones no autorizadas en la
registros de auditora almacenados en el registro de auditora.
Pgina 39
ISO / IEC 15408-2:2008 (E)
7.6.11 FAU_STG.2 Garantas de disponibilidad de los datos de auditora
Jerrquica para: FAU_STG.1 Protegida auditora almacenamiento rastro
12/6/2014 ISO / IEC 15408-2
19
7.6.11.1 FAU_STG.2.1
La TSF debe proteger los registros de auditora almacenados en el registro de auditora de la destruccin no autorizadas.
7.6.11.2 FAU_STG.2.2
La TSF debe ser capaz de [seleccin, elegir uno de: prevenir, detectar ] modificaciones no autorizadas en el almacenado
registros de auditora en el registro de auditora.
7.6.11.3 FAU_STG.2.3
La TSF debe garantizar que [Asignacin: mtrica para guardar los registros de auditora ] registros de auditora almacenados sern
mantenida cuando las siguientes condiciones se dan: [seleccin: el agotamiento de almacenamiento de auditora, el fracaso, el ataque ].
7.6.12 FAU_STG.3 Actuacin en caso de una posible prdida de datos de auditora
Dependencias: FAU_STG.1 Protegida auditora almacenamiento rastro
7.6.12.1 FAU_STG.3.1
La TSF debe [asignacin: acciones a tomar en caso de un posible fallo de almacenamiento de auditora ] si la auditora
rastro excede [asignacin: lmite predefinido ].
7.6.13 Prevencin FAU_STG.4 de prdida de datos de auditora
Jerrquica para: FAU_STG.3 Actuacin en caso de una posible prdida de datos de auditora
Dependencias: FAU_STG.1 Protegida auditora almacenamiento rastro
7.6.13.1 FAU_STG.4.1
La TSF debe [seleccin, elegir uno de: "ignorar eventos auditados", "prevenir eventos auditados, excepto
las adoptadas por el usuario autorizado con derechos especiales "," sobrescribe los registros de auditora ms antiguos almacenados " ]
y [asignacin: otras acciones que deben adoptarse en caso de fallo de almacenamiento de auditora ] si el registro de auditora est lleno.
Pgina 40
ISO / IEC 15408-2:2008 (E)
8 Clase FCO: Comunicacin
Esta clase proporciona dos familias que especficamente se ocupan de asegurar la identidad de la parte que participe en una
intercambio de datos. Estas familias estn relacionadas con asegurar la identidad del originador de la informacin transmitida
(Prueba de origen) y asegurando la identidad del destinatario de la informacin transmitida (prueba de recibo). Estos
familias aseguran que un autor no puede negar haber enviado el mensaje, ni pueden negar que el destinatario
recibido.
Figura 8 - FCO: Comunicacin clase descomposicin
12/6/2014 ISO / IEC 15408-2
20
8.1 No repudio de origen (FCO_NRO)
No repudio de origen garantiza que el autor de la informacin no puede negar haber enviado con xito la
informacin. Esta familia requiere que el TSF proporcionar un mtodo para asegurar que un sujeto que recibe
informacin durante un intercambio de datos se proporciona con la evidencia del origen de la informacin. Esta evidencia
entonces puede ser verificado por cualquiera este tema u otros temas.
FCO_NRO.1 prueba selectiva de origen, requiere la TSF para proporcionar los sujetos con la capacidad de peticin
evidencia de origen de la informacin.
Prueba FCO_NRO.2 forzada de origen, r equiere que el TSF siempre generan evidencia de origen para transmisin
informacin.
8.1.3 Gestin de FCO_NRO.1, FCO_NRO.2
a) La gestin de los cambios en los tipos de informacin, los campos, los atributos originales y los destinatarios de las pruebas.
8.1.4 Auditora de FCO_NRO.1
PP / ST:
a) Mnimo: La identidad del usuario que solicit que las pruebas de origen se generara.
b) Minimal: La invocacin del servicio de no repudio.
c) bsica: Identificacin de la informacin, el destino, y una copia de las pruebas presentadas.
d) Datos individuales: La identidad del usuario que solicit la verificacin de las pruebas.
Pgina 41
ISO / IEC 15408-2:2008 (E)
8.1.5 Auditora de FCO_NRO.2
PP / ST:
a) Mnimo: La invocacin del servicio de no repudio.
b) bsica: Identificacin de la informacin, el destino, y una copia de las pruebas presentadas.
c) Datos individuales: La identidad del usuario que solicit la verificacin de las pruebas.
8.1.6 FCO_NRO.1 prueba selectiva de origen
8.1.6.1 FCO_NRO.1.1
La TSF debe ser capaz de generar evidencia de origen para transmisin [asignacin: lista de informacin
tipos ] a peticin de la [seleccin: originales, receptores, [asignacin: lista de terceros] ].
8.1.6.2 FCO_NRO.1.2
La TSF debe ser capaz de relacionar la [asignacin: lista de atributos ] del autor de la informacin,
y el [asignacin: lista de campos de informacin ] de la informacin a la que se aplica la evidencia.
8.1.6.3 FCO_NRO.1.3
12/6/2014 ISO / IEC 15408-2
21
La TSF debe ofrecer la posibilidad de verificar la evidencia de origen de la informacin para [seleccin:
originador, destinatario, [asignacin: lista de terceros] ] dado [asignacin: limitaciones en la evidencia
de origen ].
8.1.7 FCO_NRO.2 forzada prueba de origen
Jerrquica para: FCO_NRO.1 prueba selectiva de origen
8.1.7.1 FCO_NRO.2.1
La TSF debe aplicar la generacin de evidencia de origen para transmisin [asignacin: lista de informacin
tipos ] en todo momento.
8.1.7.2 FCO_NRO.2.2
La TSF debe ser capaz de relacionar la [asignacin: lista de atributos ] del autor de la informacin, y la
[Asignacin: lista de campos de informacin ] de la informacin a la que se aplica la evidencia.
8.1.7.3 FCO_NRO.2.3
La TSF debe ofrecer la posibilidad de verificar la evidencia de origen de la informacin para [seleccin: emisor,
receptor, [asignacin: lista de terceros] ] dado [asignacin: limitaciones de las pruebas de origen ].
Pgina 42
ISO / IEC 15408-2:2008 (E)
8.2 No repudio de recepcin (FCO_NRR)
No repudio de recibo se garantiza que el receptor de la informacin no puede negarse a recibir con xito la
informacin. Esta familia requiere que el TSF proporcionar un mtodo para asegurar que un sujeto que transmite
informacin durante un intercambio de datos se proporciona con la evidencia de la recepcin de la informacin. Esta evidencia puede
luego ser verificada por cualquiera de este tema u otros temas.
FCO_NRR.1 prueba selectiva de la recepcin, requiere de la TSF para proporcionar los sujetos con una capacidad de peticin
evidencia de la recepcin de la informacin.
Prueba FCO_NRR.2 forzada de recibo, r equiere que el TSF siempre genera un acuse de recibo para recibir
informacin.
8.2.3 Gestin de FCO_NRR.1, FCO_NRR.2
a) La gestin de los cambios en los tipos de informacin, los campos, los atributos originales y los terceros destinatarios
de pruebas.
8.2.4 Auditora de FCO_NRR.1
PP / ST:
a) Mnimo: La identidad del usuario que solicit que las pruebas de recepcin se generara.
b) Minimal: La invocacin del servicio de no repudio.
c) bsica: Identificacin de la informacin, el destino, y una copia de las pruebas presentadas.
d) Datos individuales: La identidad del usuario que solicit la verificacin de las pruebas.
8.2.5 Auditora de FCO_NRR.2
PP / ST:
12/6/2014 ISO / IEC 15408-2
22
a) Mnimo: La invocacin del servicio de no repudio.
b) bsica: Identificacin de la informacin, el destino, y una copia de las pruebas presentadas.
c) Datos individuales: La identidad del usuario que solicit la verificacin de las pruebas.
8.2.6 FCO_NRR.1 prueba selectiva de recibo
8.2.6.1 FCO_NRR.1.1
La TSF debe ser capaz de generar un acuse de recibo para recibir [asignacin: lista de informacin
tipos ] a peticin de la [seleccin: originales, receptores, [asignacin: lista de terceros] ].
Pgina 43
ISO / IEC 15408-2:2008 (E)
8.2.6.2 FCO_NRR.1.2
La TSF debe ser capaz de relacionar la [asignacin: lista de atributos ] del destinatario de la informacin,
y el [asignacin: lista de campos de informacin ] de la informacin a la que se aplica la evidencia.
8.2.6.3 FCO_NRR.1.3
La TSF debe ofrecer la posibilidad de verificar la evidencia de la recepcin de la informacin a la [seleccin:
originador, destinatario, [asignacin: lista de terceros] ] dado [asignacin: limitaciones en la evidencia
de recepcin ].
8.2.7 FCO_NRR.2 forzada prueba de recibo
Jerrquica para: FCO_NRR.1 prueba selectiva de recibo
8.2.7.1 FCO_NRR.2.1
La TSF debe aplicar la generacin de un acuse de recibo para recibir [asignacin: lista de informacin
tipos ] en todo momento.
8.2.7.2 FCO_NRR.2.2
La TSF debe ser capaz de relacionar la [asignacin: lista de atributos ] del destinatario de la informacin, y la
[Asignacin: lista de campos de informacin ] de la informacin a la que se aplica la evidencia.
8.2.7.3 FCO_NRR.2.3
La TSF debe ofrecer la posibilidad de verificar la evidencia de la recepcin de la informacin a la [seleccin: emisor,
receptor, [asignacin: lista de terceros] ] dado [asignacin: limitaciones de las pruebas de recepcin ].
12/6/2014 ISO / IEC 15408-2
23
Pgina 44
ISO / IEC 15408-2:2008 (E)
24
9 Clase FCS: Apoyo criptogrfico
La TSF puede emplear la funcionalidad criptogrfica para ayudar a satisfacer varios objetivos de seguridad de alto nivel. Estos
incluir (pero no se limitan a): identificacin y autenticacin, no repudio, ruta de confianza, el canal de confianza
y separacin de datos. Esta clase se utiliza cuando el TOE implementa funciones criptogrficas, la
implementacin de lo que podra ser en el hardware, firmware y / o software.
Los FCS: Apoyo criptogrfico clase se compone de dos familias: la gestin de claves criptogrficas
(FCS_CKM) una operacin criptogrfica nd (FCS_COP). La gestin de claves de cifrado (FCS_CKM)
familia ocupa de los aspectos de gestin de claves criptogrficas, mientras que la operacin de cifrado
(FCS_COP) fa milia se ocupa de la utilizacin prctica de esas claves criptogrficas.
Figura 9 - FCS: Clase de Apoyo criptogrfico descomposicin
9.1 de gestin de claves de cifrado (FCS_CKM)
Las claves criptogrficas deben ser manejados a travs de su ciclo de vida. Esta familia tiene la intencin de apoyar esa
ciclo de vida y, consecuentemente, define los requisitos para las siguientes actividades: generacin de claves criptogrficas,
distribucin de claves criptogrficas, acceso de claves criptogrficas y destruccin de claves criptogrficas. Esta familia debe
incluir de ser hay requisitos funcionales para la gestin de claves criptogrficas.
La generacin de claves de cifrado FCS_CKM.1, r equiere claves criptogrficas que se generen de acuerdo con un
especificada algoritmo y tamaos de clave que puede basarse en un estndar asignado.
Distribucin de la clave de cifrado FCS_CKM.2, r equiere claves criptogrficas que se distribuirn de acuerdo con un
mtodo de distribucin especificada, que puede basarse en un estndar asignado.
FCS_CKM.3 criptogrfico clave de acceso, r equiere acceso a claves criptogrficas que se deben realizar de conformidad
con un mtodo de acceso especificada que puede estar basado en una norma asignada.
FCS_CKM.4 criptogrfico Destruccin de claves, r equiere claves criptogrficas para ser destruidos de acuerdo con un
mtodo de destruccin especificado que puede estar basado en un estndar asignado.
12/6/2014 ISO / IEC 15408-2
Pgina 45
ISO / IEC 15408-2:2008 (E)
25
9.1.3 Gestin de FCS_CKM.1, FCS_CKM.2, FCS_CKM.3, FCS_CKM.4
9.1.4 Auditora de FCS_CKM.1, FCS_CKM.2, FCS_CKM.3, FCS_CKM.4
PP / ST:
a) Mnimo: El xito y el fracaso de la actividad.
b) Bsico: El atributo (s) objeto y valor del objeto (s) con exclusin de toda informacin sensible (por ejemplo, en secreto o
claves privadas).
9.1.5 FCS_CKM.1 criptogrfico de generacin de claves
Dependencias: [ distribucin de claves FCS_CKM.2 criptogrfico, o
Operacin criptogrfica FCS_COP.1]
Destruccin de claves de cifrado FCS_CKM.4
9.1.5.1 FCS_CKM.1.1
La TSF debe generar las claves de cifrado de acuerdo con una clave criptogrfica especificada
algoritmo de generacin [asignacin: algoritmo de generacin de claves criptogrficas ] y especifique
tamaos criptogrficos de clave [asignacin: tamaos de clave ] que cumplan con lo siguiente: [asignacin:
lista de normas ].
9.1.6 FCS_CKM.2 distribucin de claves criptogrficas
Dependencias: [ FDP_ITC.1 Importacin de datos de usuario sin atributos de seguridad, o
FDP_ITC.2 Importacin de datos de usuario con atributos de seguridad, o
La generacin de claves de cifrado FCS_CKM.1]
9.1.6.1 FCS_CKM.2.1
La TSF debe distribuir claves criptogrficas de acuerdo con una clave criptogrfica especificada
mtodo de distribucin [asignacin: mtodo de distribucin de claves criptogrficas ] que cumpla con lo siguiente:
[Asignacin: lista de estndares ].
9.1.7 FCS_CKM.3 acceso de claves criptogrficas
Pgina 46
ISO / IEC 15408-2:2008 (E)
9.1.7.1 FCS_CKM.3.1
La TSF debe realizar [asignacin: tipo de acceso a claves criptogrficas ] de acuerdo con un determinado
mtodo de acceso de claves criptogrficas [asignacin: mtodo de acceso a claves criptogrficas ] que responde a las
12/6/2014 ISO / IEC 15408-2
26
siguiente: [asignacin: lista de estndares ].
9.1.8 FCS_CKM.4 criptogrfico Destruccin de claves
9.1.8.1 FCS_CKM.4.1
La TSF debe destruir las claves de cifrado de acuerdo con una clave criptogrfica especificada
mtodo de destruccin [asignacin: mtodo de destruccin de claves criptogrficas ] que cumpla con lo siguiente:
[Asignacin: lista de estndares ].
9.2 operacin criptogrfica (FCS_COP)
Para que una operacin criptogrfica para que funcione correctamente, la operacin debe llevarse a cabo de conformidad
con un algoritmo y una clave criptogrfica de un tamao especificado. Esta familia se debe incluir
siempre que existan requisitos para las operaciones criptogrficas que se deben realizar.
Operaciones criptogrficas tpicas incluyen el cifrado y / o descifrado de datos, generacin de la firma digital y / o
la verificacin, la generacin de la suma de comprobacin criptogrfica de integridad y / o la verificacin de la suma de comprobacin, control seguro
(Resumen del mensaje), el cifrado de claves criptogrficas y / o descifrado, y acuerdo de claves criptogrficas.
FCS_COP.1 operacin criptogrfica, R equires una operacin criptogrfica para ser realizado de acuerdo con
un algoritmo y una clave criptogrfica de tamaos especificados. El algoritmo y se especifica
tamaos de clave se pueden basar en un estndar asignado.
9.2.3 Gestin de FCS_COP.1
9.2.4 Auditora de FCS_COP.1
PP / ST:
a) Mnimo: El xito y el fracaso, y el tipo de operacin criptogrfica.
b) bsica: Cualquier modo de aplicacin criptogrfica (s) de la operacin, los atributos y los atributos de los objetos sujetos.
Pgina 47
ISO / IEC 15408-2:2008 (E)
9.2.5 operacin criptogrfica FCS_COP.1
9.2.5.1 FCS_COP.1.1
La TSF debe realizar [asignacin: lista de las operaciones criptogrficas ] de acuerdo con un determinado
12/6/2014 ISO / IEC 15408-2
27
algoritmo criptogrfico [asignacin: algoritmo de cifrado ] y tamaos de clave [Asignacin: tamaos de clave ] que cumplan con lo siguiente: [asignacin: lista de estndares ].
10 Clase FDP: proteccin de los datos del usuario
Esta clase contiene familias que especifican los requisitos relacionados con la proteccin de los datos del usuario. FDP: proteccin de los datos del usuario
se divide en cuatro grupos de familias (listados abajo) que los datos de usuario de direcciones dentro de un TOE, durante la importacin, exportacin,
y almacenamiento, as como los atributos de seguridad directamente relacionada con los datos de usuario.
Las familias de esta clase se organizan en cuatro grupos:
a) polticas de funcin de seguridad de proteccin de datos de los usuarios:
Poltica de control de acceso (FDP_ACC); y
Poltica de control de flujo de la informacin (FDP_IFC).

Los componentes de estas familias permiten que el autor PP / ST para nombrar la funcin de seguridad de proteccin de datos de usuario
polticas y definen el alcance de la fiscalizacin de la poltica, necesaria para hacer frente a los objetivos de seguridad. La
nombres de estas polticas estn destinados a ser utilizados en el resto de los componentes funcionales que
someterse a una operacin que requiere de una asignacin o seleccin de un "SFP de control de acceso" o una "informacin
SFP de control de flujo ". Las reglas que definen la funcionalidad del flujo de control denominado el acceso y la informacin
SFP de control se definirn en las funciones de control de acceso (FDP_ACF) y el control del flujo de informacin
funciones (FDP_IFF) f as familias (respectivamente).
b) las formas de proteccin de datos de usuario:
Funciones de control de acceso (FDP_ACF);
Funciones de control de flujo de la informacin (FDP_IFF);
Transferencia TOE Interna (FDP_ITT);

Proteccin de la informacin residual (FDP_RIP);
Rollback (FDP_ROL); y
Integridad de los datos almacenados (FDP_SDI).

c) el almacenamiento fuera de lnea, la importacin y exportacin:
Autenticacin de datos (FDP_DAU);
Pgina 48
ISO / IEC 15408-2:2008 (E)
Exportar desde el TOE (FDP_ETC);
Importacin desde fuera del TOE (FDP_ITC).

Los componentes de estas familias frente a la transferencia confiable dentro o fuera del TOE.
d) La comunicacin entre TSF:
Proteccin Inter-TSF transferencia confidencialidad de los datos de usuario (FDP_UCT); y
Proteccin de la integridad de transferencia de datos de usuario Inter-TSF (FDP_UIT).

Los componentes de estas familias frente a la comunicacin entre la TSF del TOE y otro de confianza
Productos de TI.
12/6/2014 ISO / IEC 15408-2
28
Pgina 49
ISO / IEC 15408-2:2008 (E)
12/6/2014 ISO / IEC 15408-2
29
Figura 10 - FDP: Usuario clase de proteccin de datos de descomposicin
Poltica de control de acceso de 10.1 (FDP_ACC)
Esta familia identifica los SFP de control de acceso (por nombre) y define el alcance de la fiscalizacin de las polticas que
formar la parte de control de acceso identificado de los SFR relacionados con la SFP. Este mbito de aplicacin de control es
que se caracteriza por tres conjuntos: los sujetos bajo control de la poltica, los objetos bajo el control de la poltica,
y las operaciones entre sujetos y objetos controlados que estn cubiertos por la pliza. La
criterios permite que existan mltiples polticas, cada una con un nombre nico. Esto se logra mediante la iteracin
componentes de esta familia una vez para cada poltica de control de acceso con nombre. Las reglas que definen la funcionalidad
de un SFP de control de acceso se define por otras familias a dichas funciones de control de acceso s (FDP_ACF) y
Exportar desde el TOE (FDP_ETC). T l los nombres de los SFP de control de acceso identificados en este trabajo de control de acceso
Pgina 50
ISO / IEC 15408-2:2008 (E)
poltica (FDP_ACC) un re destinado a ser utilizado en todo el resto de los componentes funcionales que tienen un
operacin que exige una asignacin o seleccin de un "SFP de control de acceso."
Control de acceso FDP_ACC.1 Subset, re requiere que cada SFP de control de acceso que se identifiquen estar en su lugar para un subconjunto
de las posibles operaciones en un subconjunto de los objetos en el TOE.
Control de acceso completa FDP_ACC.2, re requiere que cada cubierta SFP de control de acceso que se identifiquen todas las operaciones
en sujetos y objetos cubiertos por dicho SFP. Se requiere, adems, que todos los objetos y las operaciones protegidas por
la TSF estn cubiertos por al menos una identificado SFP de control de acceso.
Gestin 10.1.3 de FDP_ACC.1, FDP_ACC.2
10.1.4 Auditora de FDP_ACC.1, FDP_ACC.2
Control de acceso 10.1.5 FDP_ACC.1 Subset
Dependencias: Control de acceso basado atributo FDP_ACF.1 Seguridad
10.1.5.1 FDP_ACC.1.1
La TSF debe aplicar la [asignacin: SFP de control de acceso ] en [asignacin: lista de sujetos, objetos,
y las operaciones entre sujetos y objetos cubiertos por la SFP ].
Control de acceso completa 10.1.6 FDP_ACC.2
Jerrquica para: Control de acceso FDP_ACC.1 Subset
Dependencias: Control de acceso basado atributo FDP_ACF.1 Seguridad
10.1.6.1 FDP_ACC.2.1
La TSF debe aplicar la [asignacin: SFP de control de acceso ] en [asignacin: lista de sujetos y objetos ] y
todas las operaciones entre sujetos y objetos cubiertos por la SFP.
10.1.6.2 FDP_ACC.2.2
La TSF debe garantizar que todas las operaciones entre cualquier sujeto controlado por la TSF y cualquier objeto
controlado por el TSF estn cubiertos por un SFP de control de acceso.
Funciones de control de acceso 10.2 (FDP_ACF)
12/6/2014 ISO / IEC 15408-2
30
Esta familia se describen las reglas para las funciones especficas que pueden implementar una poltica de control de acceso con nombre en
Poltica de control de acceso (FDP_ACC). poltica de control de acceso (FDP_ACC) especifica el mbito de control de la
poltica.
Esta familia se ocupa del uso de atributos de seguridad y caractersticas de las polticas. El componente dentro de esta familia
est destinado a ser utilizado para describir las normas para la funcin que implementa la SFP como se identifica en el acceso
Pgina 51
ISO / IEC 15408-2:2008 (E)
poltica de control (FDP_ACC). El autor PP / ST tambin puede repetir este componente para abordar mltiples polticas en
TOE.
Control de acceso basado atributo FDP_ACF.1 Seguridad S de control de acceso basado en atributo eguridad permite la TSF para
forzar un acceso como fundamento los atributos de seguridad y grupos de atributos con nombre. Por otra parte, la TSF puede
tener la capacidad de autorizar o negar explcitamente el acceso a un objeto como fundamento los atributos de seguridad.
Gestin 10.2.3 de FDP_ACF.1
a) La gestin de los atributos que se utilizan para hacer que el acceso o la negacin explcita decisiones basadas.
10.2.4 Auditora de FDP_ACF.1
PP / ST:
a) Mnimo: Peticiones exitosas para llevar a cabo una operacin en un objeto cubierto por la SFP.
b) bsica: Todas las solicitudes para llevar a cabo una operacin en un objeto cubierto por la SFP.
c) Detallado: Los atributos de seguridad especficos que se utilizan en la fabricacin de una comprobacin de acceso.
Control de acceso basado atributo 10.2.5 FDP_ACF.1 Seguridad
Dependencias: Control de acceso FDP_ACC.1 Subset
FMT_MSA.3 esttico atributo de inicializacin
10.2.5.1 FDP_ACF.1.1
La TSF debe aplicar la [asignacin: SFP de control de acceso ] para objetos en funcin de lo siguiente:
[Asignacin: lista de sujetos y objetos controlados bajo la SFP indicado, y para cada uno, la SFP-
atributos de seguridad pertinentes, o llamado grupos de atributos de seguridad SFP-pertinentes ].
10.2.5.2 FDP_ACF.1.2
La TSF debe aplicar las siguientes reglas para determinar si una operacin entre sujetos y
se permite objetos controlados: [asignacin: reglas que rigen el acceso entre sujetos y
objetos controlados, con operaciones controladas sobre objetos controlados ].
10.2.5.3 FDP_ACF.1.3
La TSF debe autorizar explcitamente el acceso de sujetos a objetos en funcin de los siguientes adicional
reglas: [asignacin: reglas, basado en los atributos de seguridad, que autoricen explcitamente el acceso de los sujetos a
objetos ].
10.2.5.4 FDP_ACF.1.4
La TSF debe negar explcitamente el acceso de sujetos a objetos en funcin de las siguientes reglas adicionales:
[Asignacin: normas, sobre la base de atributos de seguridad, que niegan explcitamente el acceso de sujetos a objetos ].
12/6/2014 ISO / IEC 15408-2
ISO / IEC 2008 - Todos los derechos reservados 31
Pgina 52
ISO / IEC 15408-2:2008 (E)
32
10.3 autenticacin de datos (FDP_DAU)
Autenticacin de datos permite a la entidad a aceptar responsabilidad por la autenticidad de la informacin (por ejemplo, por
la firma digital de ella). Esta familia proporciona un mtodo para proporcionar una garanta de la validez de una unidad especfica de
de datos que se puede utilizar posteriormente para verificar que el contenido de informacin no ha sido falsificada o fraudulentamente
modificado. En contraste con la FAU: auditora de seguridad, esta familia est destinado a ser aplicado a los datos "estticos" en lugar de
datos que se estn transfiriendo.
Datos de autenticacin FDP_DAU.1 Basic, r equiere que el TSF es capaz de generar una garanta de
autenticidad de la informacin contenida en los objetos (por ejemplo, documentos).
FDP_DAU.2 datos de autenticacin con la identidad de un Garante dditionally requiere que el TSF es capaz de
establecer la identidad del sujeto que proporcion la garanta de autenticidad.
Gestin 10.3.3 de FDP_DAU.1, FDP_DAU.2
a) La asignacin o modificacin de los objetos para los que se puede aplicar la autenticacin de datos podran ser
configurable.
10.3.4 Auditora de FDP_DAU.1
PP / ST:
a) Mnimo: generacin con xito de las pruebas de validez.
b) bsica: generacin sin xito de las pruebas de validez.
c) Datos individuales: La identidad del sujeto que solicita la prueba.
10.3.5 Auditora de FDP_DAU.2
PP / ST:
a) Mnimo: generacin con xito de las pruebas de validez.
b) bsica: generacin sin xito de las pruebas de validez.
c) Datos individuales: La identidad del sujeto que solicita la prueba.
d) Datos individuales: La identidad del sujeto que ha generado la evidencia.
10.3.6 FDP_DAU.1 autenticacin bsica de datos
10.3.6.1 FDP_DAU.1.1
La TSF debe proporcionar una capacidad para generar evidencia de que puede ser utilizado como una garanta de la validez
de [asignacin: lista de objetos o tipos de informacin ].
Pgina 53
ISO / IEC 15408-2:2008 (E)
10.3.6.2 FDP_DAU.1.2
12/6/2014 ISO / IEC 15408-2
33
La TSF debe proporcionar [asignacin: lista de temas ] con la posibilidad de verificar la evidencia de la validez de
la informacin indicada.
10.3.7 FDP_DAU.2 datos de autenticacin con la identidad del Garante
Jerrquica para: Datos de autenticacin FDP_DAU.1 bsico
10.3.7.1 FDP_DAU.2.1
La TSF debe proporcionar una capacidad para generar evidencia de que puede ser utilizado como una garanta de la validez de los
[Asignacin: lista de objetos o tipos de informacin ].
10.3.7.2 FDP_DAU.2.2
La TSF debe proporcionar [asignacin: lista de temas ] con la posibilidad de verificar la evidencia de la validez de la
se indica la informacin y la identidad del usuario que ha generado la evidencia.
10.4 Exportar en el TOE (FDP_ETC)
Esta familia define funciones para exportar mediada TSF de datos de usuario en el TOE de forma que su seguridad
atributos y proteccin, ya sea se pueden conservar de manera explcita o pueden ser ignorados una vez que ha sido exportado. Es
preocupados por las limitaciones a la exportacin y con la asociacin de atributos de seguridad con los datos del usuario exportados.
FDP_ETC.1 Exportacin de los datos de usuario sin atributos de seguridad , requiere que el TSF cumplir la adecuada
SFP al exportar datos de usuario fuera de la TSF. Los datos de usuario que se exporta por esta funcin se exporta
sin sus atributos de seguridad asociados.
FDP_ETC.2 Exportacin de los datos de usuario con atributos de seguridad , requiere que el TSF hacer cumplir los programas de alimentacin complementaria
adecuadas
el uso de una funcin que asocia con precisin y sin ambigedades los atributos de seguridad con los datos de usuario que es
exportado.
Gestin 10.4.3 de FDP_ETC.1
Gestin 10.4.4 de FDP_ETC.2
a) Las normas de control de exportacin adicionales podran ser configurables por un usuario en un papel definido.
10.4.5 Auditora de FDP_ETC.1, FDP_ETC.2
PP / ST:
a) Mnimo: exportacin exitosa de la informacin.
b) Bsico: Todos los intentos de exportar la informacin.
Pgina 54
ISO / IEC 15408-2:2008 (E)
10.4.6 FDP_ETC.1 Exportacin de los datos de usuario sin atributos de seguridad
Dependencias: [ FDP_ACC.1 Subset control de acceso, o
El control del flujo de informacin FDP_IFC.1 Subset]
10.4.6.1 FDP_ETC.1.1
La TSF debe aplicar la [asignacin: SFP de control de acceso (s) y / o SFP (s) de control de flujo de informacin ]
al exportar datos de usuario, controlados por el SFP (s), en las afueras de la TOE.
12/6/2014 ISO / IEC 15408-2
34
10.4.6.2 FDP_ETC.1.2
La TSF debe exportar los datos de usuario sin atributos de seguridad asociados de los datos de usuario.
10.4.7 FDP_ETC.2 Exportacin de los datos de usuario con atributos de seguridad
10.4.7.1 FDP_ETC.2.1
al exportar datos de usuario, controlados por el SFP (s), en las afueras de la TOE.
10.4.7.2 FDP_ETC.2.2
La TSF debe exportar los datos de usuario con atributos de seguridad asociados de los datos de usuario.
10.4.7.3 FDP_ETC.2.3
La TSF debe garantizar que los atributos de seguridad, cuando se exporten fuera de la TOE, estn inequvocamente
asociado con los datos de usuario exportados.
10.4.7.4 FDP_ETC.2.4
La TSF debe aplicar las siguientes reglas cuando los datos de usuario se exporta desde el TOE: [asignacin:
normas de control de exportacin adicionales ].
Poltica de control de flujo 10.5 Informacin (FDP_IFC)
Esta familia identifica los SFP de control del flujo de informacin (por nombre) y define el mbito de aplicacin de control para cada
denominada Informacin SFP de control de flujo. Este mbito de control se caracteriza por tres conjuntos: los temas que se
control de la poltica, la informacin bajo el control de la poltica y las operaciones que causan controlada
la informacin fluya hacia y desde los sujetos controlados cubiertos por la pliza. El criterio permite que mltiples polticas para
existen, cada uno con un nombre nico. Esto se logra mediante la iteracin componentes de esta familia de una vez por
cada una poltica de control de flujo de informacin con nombre. Las reglas que definen la funcionalidad de un flujo de informacin
control de la SFP se definir por otras familias, como las funciones de control del flujo de la informacin (FDP_IFF) y Exportacin
del TOE (FDP_ETC). Th nombres correos de los SFP de control del flujo de informacin identificados en este trabajo Flujo de informacin
poltica de control (FDP_IFC) estn destinados a ser utilizada en todo el resto de los componentes funcionales que
someterse a una operacin que requiere de una asignacin o seleccin de un "SFP de control del flujo de la informacin."
Pgina 55
ISO / IEC 15408-2:2008 (E)
El mecanismo de TSF controla el flujo de informacin de acuerdo con la SFP de control de flujo de informacin.
Operaciones que podran cambiar los atributos de seguridad de la informacin no estn generalmente permitidos ya que esto
estar en violacin de un SFP de control del flujo de informacin. Sin embargo, estas operaciones pueden ser permitidos como excepciones
a la SFP de control del flujo de informacin, si se especifica de forma explcita.
Informacin de control de flujo FDP_IFC.1 Subset, requiere que cada uno identificado SFP de control del flujo de informacin estarn en
colocar para un subconjunto de las posibles operaciones en un subconjunto de los flujos de informacin en el TOE.
FDP_IFC.2 Informacin completa de control de flujo, r equiere que cada dato que se Cover Flow SFP de control
todas las operaciones sobre los temas y la informacin que se refiere dicha SFP. Se requiere, adems, que todos los flujos de informacin
y operaciones controladas por el TSF estn cubiertas por al menos uno identificado SFP de control de flujo de informacin.
Gestin 10.5.3 de FDP_IFC.1, FDP_IFC.2
10.5.4 Auditora de FDP_IFC.1, FDP_IFC.2
El control del flujo de informacin 10.5.5 FDP_IFC.1 Subset
12/6/2014 ISO / IEC 15408-2
35
Dependencias: FDP_IFF.1 atributos de seguridad simples
10.5.5.1 FDP_IFC.1.1
La TSF debe aplicar la [asignacin: SFP de control del flujo de informacin ] de [asignacin: lista de temas,
informacin, y las operaciones que la informacin causa controlado fluya hacia y desde los sujetos controlados
cubierto por la SFP ].
10.5.6 FDP_IFC.2 Informacin completa de control de flujo
Jerrquica para: El control del flujo de informacin FDP_IFC.1 Subset
Dependencias: FDP_IFF.1 atributos de seguridad simples
10.5.6.1 FDP_IFC.2.1
La TSF debe aplicar la [asignacin: SFP de control del flujo de informacin ] de [asignacin: lista de temas y
la informacin ] y todas las operaciones que hacen que la informacin fluya hacia y desde temas cubiertos por la SFP.
10.5.6.2 FDP_IFC.2.2
La TSF debe garantizar que todas las operaciones que causen cualquier informacin en el TOE fluyan hacia y desde cualquier
tema en el TOE estn cubiertos por un SFP de control del flujo de informacin.
Funciones de control de flujo de 10,6 de la Informacin (FDP_IFF)
Esta familia se describen las reglas para las funciones especficas que pueden implementar los programas de alimentacin complementaria de control del flujo de informacin
Nombrado en I nformacin poltica de control de flujo (FDP_IFC), w hich tambin especifica el alcance del control de la poltica. Lo
se compone de dos tipos de requisitos: uno frente a los problemas de la funcin de flujo de informacin comn y una
abordar segunda informacin flujos ilcitos (por ejemplo, canales encubiertos). Esta divisin surge porque los temas
relativas a los flujos de informacin ilcitos son, en algn sentido, ortogonal al resto de un control del flujo de informacin
Pgina 56
ISO / IEC 15408-2:2008 (E)
SFP. Por su naturaleza que sirven para eludir la SFP de control del flujo de informacin que resulta en una violacin de la poltica. Como
tales, requieren funciones especiales para limitar o prevenir su ocurrencia.
Atributos de seguridad simples FDP_IFF.1, requiere los atributos de seguridad de la informacin, y sobre temas que causan
que la informacin fluya y sujetos que actan como receptores de esa informacin. Se especifican las reglas que
debe ser protegido por la funcin, y describe cmo los atributos de seguridad se derivan de la funcin.
FDP_IFF.2 jerrquicas Attribut seguridad es amplan en los requisitos de seguridad FDP_IFF.1 simple
atributos , al exigir que todos los SFP de control del flujo de informacin en el conjunto de los SFR utilizan la seguridad jerrquica
atributos que forman un entramado (como se define en las matemticas). FDP_IFF.2.6 se deriva de la matemtica
propiedades de una celosa. Una red consiste en un conjunto de elementos con una relacin de pedidos con la propiedad
definido en la primera vieta, una cota superior mnima que es el elemento nico en el conjunto que es mayor o igual (en
la relacin de pedido) que cualquier otro elemento de la red, y un extremo inferior, que es el
elemento nico en el conjunto que es menor o igual que cualquier otro elemento de la red.
FDP_IFF.3 limitada informacin ilcita flujo s, requiere de la SFP para cubrir la informacin ilcita flujos, pero no
necesariamente eliminarlos.
FDP_IFF.4 eliminacin parcial de ilcito flujo de informacin s, requiere la SFP para cubrir la eliminacin de algunos (pero
no necesariamente todos) los flujos de informacin ilcita.
FDP_IFF.5 fluye Ninguna informacin ilcita, requiere SFP para cubrir la eliminacin de todos los flujos de informacin ilcita.
Informacin de monitoreo de flujo FDP_IFF.6 ilcita, requiere de la SFP para supervisar la informacin ilcita fluye por especificada
y capacidades mximas.
Gestin 10.6.3 de FDP_IFF.1, FDP_IFF.2
a) La gestin de los atributos que se utilizan para tomar decisiones basadas en el acceso explcito.
Gestin 10.6.4 de FDP_IFF.3, FDP_IFF.4, FDP_IFF.5
12/6/2014 ISO / IEC 15408-2
36
Gestin 10.6.5 de FDP_IFF.6
a) La activacin o desactivacin de la funcin de supervisin.
b) Modificacin de la capacidad mxima a la que se produce la monitorizacin.
10.6.6 Auditora de FDP_IFF.1, FDP_IFF.2, FDP_IFF.5
PP / ST:
a) Mnimos: Decisiones para permitir informacin solicitada flujos.
b) bsica: Todas las decisiones sobre las solicitudes de flujo de informacin.
c) Detallado: Los atributos de seguridad especficos que se utilizan en la fabricacin de un flujo de informacin de decisiones de ejecucin.
d) Datos individuales: Algunos subconjuntos especficos de la informacin que ha fluido en base a los objetivos de poltica (por ejemplo, la auditora
de material degradado).
Pgina 57
ISO / IEC 15408-2:2008 (E)
10.6.7 Auditora de FDP_IFF.3, FDP_IFF.4, FDP_IFF.6
PP / ST:
a) Mnimos: Decisiones para permitir informacin solicitada flujos.
b) bsica: Todas las decisiones sobre las solicitudes de flujo de informacin.
c) Bsico: El uso de los canales de flujo de informacin ilcitos identificados.
d) Detallado: Los atributos de seguridad especficos que se utilizan en la fabricacin de un flujo de informacin de decisiones de ejecucin.
e) Datos individuales: Algunos subconjuntos especficos de la informacin que ha fluido en base a los objetivos de poltica (por ejemplo, la auditora
de material degradado).
f) Detallada: El uso de los canales de flujo de informacin ilcitos identificados con capacidad mxima estimada
superior a un valor determinado.
10.6.8 FDP_IFF.1 atributos de seguridad simples
Dependencias: El control del flujo de informacin FDP_IFC.1 Subset
10.6.8.1 FDP_IFF.1.1
La TSF debe aplicar la [asignacin: SFP de control del flujo de informacin ] sobre la base de los siguientes tipos de
atribuye tema y la informacin de seguridad: [asignacin: lista de temas y la informacin controlada
bajo la SFP indicado, y para cada uno, los atributos de seguridad ].
10.6.8.2 FDP_IFF.1.2
La TSF debe permitir un flujo de informacin entre un sujeto y la informacin controlada controlada a travs de
una operacin controlada si las reglas siguientes se cumplen: [asignacin: para cada operacin, la seguridad
relacin basada en atributos que deben mantener entre sujeto y seguridad de la informacin de atributos ].
10.6.8.3 FDP_IFF.1.3
La TSF debe aplicar la [asignacin: reglas SFP de control del flujo de informacin adicionales ].
10.6.8.4 FDP_IFF.1.4
La TSF debe autorizar explcitamente un flujo de informacin en base a las siguientes reglas: [asignacin:
normas, sobre la base de atributos de seguridad, que autoricen explcitamente los flujos de informacin ].
10.6.8.5 FDP_IFF.1.5
12/6/2014 ISO / IEC 15408-2
37
La TSF debe negar explcitamente un flujo de informacin en base a las siguientes reglas: [asignacin: reglas,
basado en los atributos de seguridad, que niegan explcitamente los flujos de informacin ].
10.6.9 FDP_IFF.2 atributos de seguridad Jerrquico
Jerrquica para: FDP_IFF.1 atributos de seguridad simples
Pgina 58
ISO / IEC 15408-2:2008 (E)
10.6.9.1 FDP_IFF.2.1
La TSF debe aplicar la [asignacin: SFP de control del flujo de informacin ] sobre la base de los siguientes tipos de objeto
y los atributos de seguridad de la informacin: [asignacin: lista de temas e informacin controlados por el indicado
SFP, y para cada uno, los atributos de seguridad ].
10.6.9.2 FDP_IFF.2.2
La TSF debe permitir un flujo de informacin entre un sujeto y la informacin controlada controlada a travs de un
operacin controlada si las siguientes reglas, basadas en las relaciones entre los atributos de seguridad de pedido
sostener: [asignacin: para cada operacin, la relacin basada en atributos de seguridad que debe tener entre sujeto
y los atributos de seguridad de la informacin ].
10.6.9.3 FDP_IFF.2.3
La TSF debe aplicar la [asignacin: reglas SFP de control del flujo de informacin adicionales ].
10.6.9.4 FDP_IFF.2.4
La TSF debe autorizar explcitamente un flujo de informacin en base a las siguientes reglas: [asignacin: reglas, basadas
en los atributos de seguridad, que autoricen explcitamente los flujos de informacin ].
10.6.9.5 FDP_IFF.2.5
La TSF debe negar explcitamente un flujo de informacin en base a las siguientes reglas: [asignacin: reglas, basado en
atributos de seguridad, que niegan explcitamente los flujos de informacin ].
10.6.9.6 FDP_IFF.2.6
La TSF debe aplicar las siguientes relaciones de ningn tipo de seguridad de control de flujo de dos informacin vlida
atributos:
a) Si existe una funcin ordenadora que, dadas dos atributos de seguridad vlidos, determina si el
atributos de seguridad son iguales, si un atributo de seguridad es mayor que la otra, o si la seguridad
atributos son incomparables; y
b) Existe un "lmite superior menos" en el conjunto de atributos de seguridad, de forma que, teniendo en cuenta cualesquiera dos vlida
atributos de seguridad, no es un atributo de seguridad vlido que es mayor que o igual a los dos vlida
los atributos de seguridad; y
c) Existe un "extremo inferior" en el conjunto de atributos de seguridad, de forma que, teniendo en cuenta cualquiera de los dos
atributos de seguridad vlidos, existe un atributo de seguridad vlida que no sea superior a los dos vlida
los atributos de seguridad.
Fluye 10.6.10 FDP_IFF.3 Limited informacin ilcita
10.6.10.1 FDP_IFF.3.1
La TSF debe aplicar la [asignacin: SFP de control del flujo de informacin ] para limitar la capacidad de los
[Asignacin: tipos de informacin ilcita flujos ] a un [asignacin: la capacidad mxima ].
12/6/2014 ISO / IEC 15408-2
38
Pgina 59
ISO / IEC 15408-2:2008 (E)
39
10.6.11 FDP_IFF.4 Eliminacin parcial de la informacin ilcita fluye
Jerrquica para: Fluye FDP_IFF.3 Limited informacin ilcita
10.6.11.1 FDP_IFF.4.1
La TSF debe aplicar la [asignacin: SFP de control del flujo de informacin ] para limitar la capacidad de [asignacin:
tipos de informacin ilcita flujos ] a un [asignacin: la capacidad mxima ].
10.6.11.2 FDP_IFF.4.2
La TSF debe evitar [asignacin: tipos de informacin ilcita flujos ].
Fluye 10.6.12 FDP_IFF.5 No hay informacin ilcita
Jerrquica para: FDP_IFF.4 Eliminacin parcial de la informacin ilcita fluye
10.6.12.1 FDP_IFF.5.1
La TSF debe garantizar que no existan flujos de informacin ilcitos para eludir [asignacin: Nombre de
la informacin de control de flujo SFP ].
10.6.13 FDP_IFF.6 informacin Ilcito de monitoreo de flujo
10.6.13.1 FDP_IFF.6.1
La TSF debe aplicar las [asignacin: SFP de control del flujo de informacin ] para vigilar [asignacin: tipos
de informacin de flujos ilcitos ] cuando supera el [asignacin: la capacidad mxima ].
10.7 Importacin desde fuera del TOE (FDP_ITC)
Esta familia define los mecanismos para la importacin mediada TSF de datos de usuario en el TOE de forma que tenga
los atributos de seguridad apropiada y est protegido de manera apropiada. Esto tiene que ver con las limitaciones a la importacin,
determinacin de atributos de seguridad deseados, y la interpretacin de los atributos de seguridad asociados con el usuario
datos.
FDP_ITC.1 Importacin de datos de usuario sin atributos de seguridad, requiere que la seguridad atribuye correctamente
representar los datos de usuario y se suministran por separado del objeto.
FDP_ITC.2 Importacin de datos de usuario con atributos de seguridad, r equiere que los atributos de seguridad representan correctamente el
datos de usuario y estn exacta y sin ambigedades asociadas con los datos de usuario importados desde fuera del
TOE.
Pgina 60
ISO / IEC 15408-2:2008 (E)
12/6/2014 ISO / IEC 15408-2
40
Gestin 10.7.3 de FDP_ITC.1, FDP_ITC.2
a) La modificacin de las reglas de control adicionales que se utilizan para la importacin.
10.7.4 Auditora de FDP_ITC.1, FDP_ITC.2
PP / ST:
a) Mnimo: Successful importacin de datos de los usuarios, incluyendo los atributos de seguridad.
b) Bsico: Todos los intentos de importar los datos de usuario, incluidas posibles atributos de seguridad.
c) Detallada: La especificacin de los atributos de seguridad de los datos de usuario importados suministrados por un usuario autorizado.
10.7.5 FDP_ITC.1 Importacin de datos de usuario sin atributos de seguridad
10.7.5.1 FDP_ITC.1.1
al importar datos de usuario, controlados por el SFP, desde fuera del TOE.
10.7.5.2 FDP_ITC.1.2
La TSF debe ignorar los atributos de seguridad asociados a los datos de usuario cuando se importan desde fuera
TOE.
10.7.5.3 FDP_ITC.1.3
La TSF debe aplicar las siguientes reglas para la importacin de datos de usuario controladas en virtud del SFP de
fuera del TOE: [asignacin: reglas de control de importacin adicionales ].
10.7.6 FDP_ITC.2 Importacin de datos de usuario con atributos de seguridad
[ FTP_ITC.1 Inter-TSF confiaba canal, o
Ruta FTP_TRP.1 Segura]
FPT_TDC.1 Inter-TSF TSF consistencia de los datos bsicos
Pgina 61
ISO / IEC 15408-2:2008 (E)
10.7.6.1 FDP_ITC.2.1
al importar datos de usuario, controlados por el SFP, desde fuera del TOE.
10.7.6.2 FDP_ITC.2.2
La TSF debe utilizar los atributos de seguridad asociados a los datos de usuario importados.
10.7.6.3 FDP_ITC.2.3
12/6/2014 ISO / IEC 15408-2
41
La TSF debe garantizar que el protocolo utilizado prev la asociacin inequvoca entre el
atributos de seguridad y los datos de usuario recibidos.
10.7.6.4 FDP_ITC.2.4
La TSF debe garantizar que la interpretacin de los atributos de seguridad de los datos de usuario importados es tan
pretendido por la fuente de los datos de usuario.
10.7.6.5 FDP_ITC.2.5
La TSF debe aplicar las siguientes reglas para la importacin de datos de usuario controladas en virtud del SFP de
fuera del TOE: [asignacin: reglas de control de importacin adicionales ].
10.8 Transferencia TOE Interna (FDP_ITT)
Esta familia proporciona los requisitos que se ocupan de la proteccin de los datos de usuario cuando se transfiere entre
partes separadas de una TDT a travs de un canal interno. Esto puede ser contrastado con el de datos de usuario Inter-TSF
proteccin de la confidencialidad de transferencia (FDP_UCT) y la proteccin de la integridad de la transferencia de datos de usuario de Inter-TSF (FDP_UIT)
familias, que proporcionan proteccin para los datos de usuario cuando se transfiere entre las TSF distintas a travs de un externo
canal y Exportar en el TOE (FDP_ETC) una importacin nd desde fuera del TOE (FDP_ITC), que la direccin
Transferencia mediada por TSF de datos hacia o desde fuera del TOE.
FDP_ITT.1 bsico de proteccin internos de transferencia , requiere que los datos de los usuarios pueden proteger las transmisiones entre
partes del TOE.
Separacin FDP_ITT.2 Transmisin por atributo , requiere la separacin de los datos basado en el valor de la SFP-
atributos relevantes en adicin a la primera componente.
Monitoreo FDP_ITT.3 Integridad, requiere que los datos de usuario del monitor TSF transmiten entre partes del TOE
por fallos de integridad identificados.
FDP_ITT.4 supervisin de integridad basada en atributos se expande en el tercer componente al permitir que la forma de
vigilancia de la integridad a diferir en atributo SFP-relevante.
Gestin 10.8.3 de FDP_ITT.1, FDP_ITT.2
a) Si el TSF proporciona mltiples mtodos para proteger los datos del usuario durante la transmisin entre fsicamente
partes de la TOE separados, la TSF podra proporcionar un papel pre-definido con la capacidad de seleccionar el mtodo
que se utilizar.
Pgina 62
ISO / IEC 15408-2:2008 (E)
Gestin 10.8.4 de FDP_ITT.3, FDP_ITT.4
a) La especificacin de las acciones que se deben tomar cuando se detecta un error de integridad podra ser configurable.
10.8.5 Auditora de FDP_ITT.1, FDP_ITT.2
PP / ST:
a) Mnimos: transferencias exitosas de los datos del usuario, incluyendo la identificacin del mtodo de proteccin utilizado.
b) Bsico: Todos los intentos de transferir los datos del usuario, incluyendo el mtodo de proteccin utilizado y cualquier error que
ocurrido.
10.8.6 Auditora de FDP_ITT.3, FDP_ITT.4
PP / ST:
a) Mnimos: transferencias exitosas de los datos del usuario, incluyendo la identificacin del mtodo de proteccin de integridad utilizado.
12/6/2014 ISO / IEC 15408-2
42
b) Bsico: Todos los intentos de transferir los datos del usuario, incluyendo el mtodo de proteccin de la integridad utilizados y los errores
que ocurri.
c) bsica: intentos no autorizados para cambiar el mtodo de proteccin de la integridad.
d) Datos individuales: La accin tomada cuando se detecta un error de integridad.
10.8.7 FDP_ITT.1 bsico de proteccin interno de transferencia
10.8.7.1 FDP_ITT.1.1
para evitar que la [seleccin: la divulgacin, modificacin, prdida de uso ] de los datos de usuario cuando se transmite
entre partes fsicamente separados del TOE.
10.8.8 FDP_ITT.2 Transmisin separacin por atributo
Jerrquica para: FDP_ITT.1 bsico de proteccin interno de transferencia
10.8.8.1 FDP_ITT.2.1
La TSF debe aplicar la [asignacin: SFP de control de acceso (s) y / o SFP (s) de control de flujo de informacin ] para
evitar que la [seleccin: la divulgacin, modificacin, prdida de uso ] de los datos de usuario cuando se transmite entre
partes fsicamente separados del dedo.
Pgina 63
ISO / IEC 15408-2:2008 (E)
10.8.8.2 FDP_ITT.2.2
La TSF debe separar los datos controlados por la SFP (s) cuando se transmiten entre fsicamente separados-
partes de la TOE, basado en los valores de los siguientes: [asignacin: atributos de seguridad que requieren
separacin ].
Monitoreo 10.8.9 FDP_ITT.3 Integridad
FDP_ITT.1 bsico de proteccin interno de transferencia
10.8.9.1 FDP_ITT.3.1
para supervisar los datos de usuario transmitidos entre partes fsicamente separados del TOE para el siguiente
errores: [asignacin: errores de integridad ].
10.8.9.2 FDP_ITT.3.2
Tras la deteccin de un error de integridad de los datos, la TSF debe [asignacin: especificar la accin a tomar
al error de integridad ].
10.8.10 FDP_ITT.4 supervisin de integridad basada en atributos
Jerrquica para: Monitoreo FDP_ITT.3 Integridad
12/6/2014 ISO / IEC 15408-2
43
FDP_ITT.2 Transmisin separacin por atributo
10.8.10.1 FDP_ITT.4.1
La TSF debe aplicar la [asignacin: SFP de control de acceso (s) y / o SFP (s) de control de flujo de informacin ] para
supervisar los datos de usuario transmitidos entre partes fsicamente separados del TOE para los siguientes errores:
[Asignacin: errores de integridad ], sobre la base de los siguientes atributos: [asignacin: los atributos de seguridad que
requerir canales de transmisin separados ].
10.8.10.2 FDP_ITT.4.2
Tras la deteccin de un error de integridad de los datos, la TSF debe [asignacin: especificar la accin a tomar en
error de integridad ].
10.9 Residual proteccin de la informacin (FDP_RIP)
Esta familia se refiere a la necesidad de asegurar que los datos contenidos en un recurso no est disponible cuando el
recurso se desasignada de un objeto y reasignado a un objeto diferente. Esta familia necesita proteccin
de los datos contenidos en un recurso que ha sido eliminado lgica o liberado, pero todava puede estar presente dentro de
el recurso controlado-TSF que a su vez puede ser reasignada a otro objeto.
Pgina 64
ISO / IEC 15408-2:2008 (E)
FDP_RIP.1 Subset proteccin de la informacin residual, requiere que el TSF asegurar que cualquier informacin residual
contenido de cualquier recurso no est disponible a un subconjunto definido de los objetos controlados por el TSF sobre la
la asignacin o cancelacin de asignacin de recursos.
FDP_RIP.2 completa proteccin de la informacin residual, requiere que el TSF asegurar que cualquier informacin residual
contenido de cualquier recurso no est disponible para todos los objetos sobre la asignacin o cancelacin de asignacin del recurso.
Gestin 10.9.3 de FDP_RIP.1, FDP_RIP.2
a) La eleccin de cundo realizar la proteccin de la informacin residual (es decir, sobre la asignacin o cancelacin de asignacin) podra
sean configurables dentro del TOE.
10.9.4 Auditora de FDP_RIP.1, FDP_RIP.2
10.9.5 FDP_RIP.1 Subset proteccin de la informacin residual
10.9.5.1 FDP_RIP.1.1
La TSF debe garantizar que todo el contenido de la informacin previa de un recurso se hace disponible al
la [seleccin: la asignacin de los recursos para, cancelacin de asignacin del recurso de ] los siguientes objetos:
[Asignacin: lista de objetos ].
10.9.6 Proteccin FDP_RIP.2 informacin completa residual
Jerrquica para: FDP_RIP.1 Subset proteccin de la informacin residual
10.9.6.1 FDP_RIP.2.1
La TSF debe garantizar que todo el contenido de la informacin previa de un recurso se hace disponible en el
[Seleccin: la asignacin de los recursos para, cancelacin de asignacin del recurso de ] todos los objetos.
10.10 Rollback (FDP_ROL)
12/6/2014 ISO / IEC 15408-2
44
La operacin de reversin implica deshacer la ltima operacin o una serie de operaciones, delimitado por un lmite,
tales como un perodo de tiempo, y el retorno a un estado conocido anterior. Rollback ofrece la posibilidad de deshacer la
efectos de una operacin o serie de operaciones para preservar la integridad de los datos de usuario.
FDP_ROL.1 bsico rollback un ddresses la necesidad de revertir o deshacer un nmero limitado de operaciones dentro de la
lmites definidos.
FDP_ROL.2 avanzada rollback ad vestidos de la necesidad de revertir o deshacer todas las operaciones dentro de la definida
lmites.
Pgina 65
ISO / IEC 15408-2:2008 (E)
10.10.3 Gestin de FDP_ROL.1, FDP_ROL.2
a) El plazo lmite para la cual se puede realizar la reversin podra ser un elemento configurable en el TOE.
b) La autorizacin para llevar a cabo una operacin de reversin podra limitarse a un papel bien definido.
10.10.4 Auditora de FDP_ROL.1, FDP_ROL.2
PP / ST:
a) Mnimo: Todas las operaciones de rollback exitosos.
b) Bsico: Todos los intentos para llevar a cabo operaciones de rollback.
c) detallada: Todos los intentos para llevar a cabo operaciones de rollback, incluyendo la identificacin de los tipos de operaciones
deshecho.
10.10.5 FDP_ROL.1 rollback bsico
10.10.5.1 FDP_ROL.1.1
La TSF debe aplicar [asignacin: SFP (s) de control de acceso y / o informacin de la SFP (s) de control de flujo ] para
permitir la retrotraccin de la [asignacin: lista de operaciones ] en el [asignacin: informacin y / o de la lista
de objetos ].
10.10.5.2 FDP_ROL.1.2
La TSF debe permitir operaciones que revertirse dentro de [asignacin: lmite de frontera a la que
rollback puede llevar a cabo ].
10.10.6 FDP_ROL.2 rollback Avanzada
Jerrquica para: Rollback FDP_ROL.1 bsico
10.10.6.1 FDP_ROL.2.1
La TSF debe aplicar [asignacin: SFP (s) de control de acceso y / o informacin de la SFP (s) de control de flujo ] para permitir
el desmantelamiento de todas las operaciones en el [asignacin: lista de objetos ].
10.10.6.2 FDP_ROL.2.2
La TSF debe permitir operaciones que revertirse dentro de [asignacin: lmite lmite al que puede deshacer
realizar ].
12/6/2014 ISO / IEC 15408-2
45
Pgina 66
ISO / IEC 15408-2:2008 (E)
46
10.11 integridad de los datos almacenados (FDP_SDI)
Esta familia proporciona los requisitos que se ocupan de la proteccin de los datos del usuario mientras se almacena dentro de contenedores
controlado por el TSF. Errores de integridad pueden afectar a los datos de usuario almacenados en la memoria o en un dispositivo de almacenamiento. Este
familia difiere de la transferencia TOE Interna (FDP_ITT) que protege los datos de usuario de errores de integridad, mientras que
ser trasladado dentro del TOE.
FDP_SDI.1 almacenado monitoreo de integridad de datos, requiere que el TSF monitorear los datos del usuario almacenados en contenedores
controlado por el TSF de errores de integridad identificados.
Monitoreo FDP_SDI.2 integridad de los datos almacenados y de la accin de un dds la capacidad adicional de la primera componente por
teniendo en cuenta las acciones a tomar como resultado de una deteccin de errores.
10.11.3 Gestin de FDP_SDI.1
10.11.4 Gestin de FDP_SDI.2
a) Las medidas que deben adoptarse tras la deteccin de un error de integridad pueden ser configurable.
10.11.5 Auditora de FDP_SDI.1
PP / ST:
a) Mnimos: intentos exitosos para comprobar la integridad de los datos del usuario, incluida una indicacin de los resultados de
el cheque.
b) Bsicos: Todos los intentos para comprobar la integridad de los datos del usuario, incluyendo una indicacin de los resultados de la verificacin, si
realizado.
c) Datos individuales: El tipo de error de integridad que se produjo.
10.11.6 Auditora de FDP_SDI.2
PP / ST:
a) Mnimos: intentos exitosos para comprobar la integridad de los datos del usuario, incluida una indicacin de los resultados de
el cheque.
b) Bsicos: Todos los intentos para comprobar la integridad de los datos del usuario, incluyendo una indicacin de los resultados de la verificacin, si
realizado.
c) Datos individuales: El tipo de error de integridad que se produjo.
d) Datos individuales: La accin tomada cuando se detecta un error de integridad.
10.11.7 FDP_SDI.1 almacenado monitoreo de integridad de datos
Pgina 67
ISO / IEC 15408-2:2008 (E)
12/6/2014 ISO / IEC 15408-2
47
10.11.7.1 FDP_SDI.1.1
La TSF debe supervisar los datos de usuario almacenados en contenedores controlados por la TSF para [asignacin: la integridad
errores ] en todos los objetos, con base en los siguientes atributos: [asignacin: atributos de datos de usuario ].
10.11.8 monitoreo y accin FDP_SDI.2 integridad de los datos almacenados
Jerrquica para: FDP_SDI.1 almacenado monitoreo de integridad de datos
10.11.8.1 FDP_SDI.2.1
La TSF debe supervisar los datos de usuario almacenados en contenedores controlados por la TSF para [asignacin: errores de integridad ]
en todos los objetos, con base en los siguientes atributos: [asignacin: atributos de datos de usuario ].
10.11.8.2 FDP_SDI.2.2
Tras la deteccin de un error de integridad de los datos, la TSF debe [asignacin: medidas que deben adoptarse ].
10.12 Inter-TSF proteccin transferencia confidencialidad de los datos de usuario (FDP_UCT)
Esta familia define los requisitos para garantizar la confidencialidad de los datos de usuario cuando se transfiere mediante
un canal externo entre el TOE y otro producto de TI de confianza.
En el intercambio de datos FDP_UCT.1 bsico confidencialidad, t l objetivo es proporcionar proteccin contra la divulgacin de usuario
los datos mientras estn en trnsito.
10.12.3 Gestin de FDP_UCT.1
10.12.4 Auditora de FDP_UCT.1
PP / ST:
a) Mnimo: La identidad de cualquier usuario o un objeto utilizando los mecanismos de intercambio de datos.
b) bsica: La identidad de cualquier usuario no autorizado o sujeto de intentar utilizar los mecanismos de intercambio de datos.
c) Bsico: Una referencia a los nombres u otra informacin de indexacin de utilidad en la identificacin de los datos del usuario que fue
transmitida o recibida. Esto podra incluir atributos de seguridad asociados con la informacin.
10.12.5 FDP_UCT.1 bsico confidencialidad intercambio de datos
Dependencias: [ FTP_ITC.1 Inter-TSF confiaba canal, o
[ FDP_ACC.1 Subset control de acceso, o
Pgina 68
ISO / IEC 15408-2:2008 (E)
10.12.5.1 FDP_UCT.1.1
para [seleccin: transmisin, recepcin ] los datos del usuario de una manera protegida contra la divulgacin no autorizada.
10.13 Inter-TSF proteccin transferencia integridad de los datos de usuario (FDP_UIT)
12/6/2014 ISO / IEC 15408-2
48
Esta familia define los requisitos para proporcionar la integridad de los datos del usuario en trnsito entre el OE y
otro producto de TI confiable y recuperacin de errores detectables. Como mnimo, esta familia supervisa la
integridad de los datos del usuario para las modificaciones. Adems, esta familia es compatible con diferentes formas de corregir detectado
errores de integridad.
FDP_UIT.1 Datos integridad de intercambio de anuncios vestidos de deteccin de modificaciones, supresiones, inserciones, y reproduccin
errores de los datos de usuario transmitidos.
Anuncios de recuperacin de intercambio de datos FDP_UIT.2 Fuente vestidos de recuperacin de los datos de los usuarios originales de la TSF receptora
con la ayuda del producto de las TI fuente de confianza.
Anuncios de recuperacin de intercambio de datos FDP_UIT.3 Destino vestidos de recuperacin de los datos de los usuarios originales de la recepcin
TSF por s sola sin ninguna ayuda de la fuente de confianza de TI producto.
10.13.3 Gestin de FDP_UIT.1, FDP_UIT.2, FDP_UIT.3
10.13.4 Auditora de FDP_UIT.1
PP / ST:
b) bsica: La identidad de cualquier usuario o un objeto de tratar de usar los mecanismos de intercambio de datos de usuario, sino que
no est autorizado para hacerlo.
c) Bsico: Una referencia a los nombres u otra informacin de indexacin de utilidad en la identificacin de los datos del usuario que fue
transmitida o recibida. Esto podra incluir atributos de seguridad asociados con los datos de usuario.
d) bsica: Cualquier intento identificados para bloquear la transmisin de datos de usuario.
e) Detallado: Los tipos y / o los efectos de las modificaciones detectadas de datos de usuario transmitidos.
10.13.5 Auditora de FDP_UIT.2, FDP_UIT.3
PP / ST:
b) Minimal: La recuperacin exitosa de los errores, incluyendo que tipo de error que se ha detectado.
c) bsica: La identidad de cualquier usuario o un objeto de tratar de usar los mecanismos de intercambio de datos de usuario, sino que
no est autorizado para hacerlo.
Pgina 69
ISO / IEC 15408-2:2008 (E)
d) Bsico: Una referencia a los nombres u otra informacin de indexacin de utilidad en la identificacin de los datos del usuario que fue
transmitida o recibida. Esto podra incluir atributos de seguridad asociados con los datos de usuario.
e) bsica: Cualquier intento identificados para bloquear la transmisin de datos de usuario.
f) Detallada: Los tipos y / o los efectos de las modificaciones detectadas de datos de usuario transmitidos.
10.13.6 integridad FDP_UIT.1 El intercambio de datos
[ FTP_ITC.1 Inter-TSF confiaba canal, o
10.13.6.1 FDP_UIT.1.1
12/6/2014 ISO / IEC 15408-2
49
para [seleccin: transmisin, recepcin ] los datos del usuario de una manera protegida de [seleccin: la modificacin,
eliminacin, insercin de reproduccin ] errores.
10.13.6.2 FDP_UIT.1.2
La TSF debe ser capaz de determinar la recepcin de datos de los usuarios, ya sea [seleccin: la modificacin, supresin,
insercin, repeticin ] se ha producido.
Recuperacin de intercambio de datos 10.13.7 FDP_UIT.2 Fuente
[ integridad intercambio FDP_UIT.1 datos, o
Canal FTP_ITC.1 Inter-TSF de confianza]
10.13.7.1 FDP_UIT.2.1
ser capaz de recuperarse de [asignacin: lista de errores recuperables ] con la ayuda de la fuente de confianza
Productos de TI.
10.13.8 recuperacin intercambio de datos FDP_UIT.3 Destino
Jerrquica para: Recuperacin de intercambio de datos FDP_UIT.2 Fuente
[ integridad intercambio FDP_UIT.1 datos, o
Canal FTP_ITC.1 Inter-TSF de confianza]
Pgina 70
ISO / IEC 15408-2:2008 (E)
10.13.8.1 FDP_UIT.3.1
La TSF debe aplicar la [asignacin: SFP de control de acceso (s) y / o informacin de la SFP (s) de control de flujo ] para ser
capaz de recuperarse de [asignacin: lista de errores recuperables ] sin ninguna ayuda de la fuente de confianza de TI
producto.
11 Clase FIA: Identificacin y autenticacin
Las familias de esta clase frente a los requisitos para las funciones de establecer y verificar la identidad del usuario reclamado.
Se requiere identificacin y autenticacin para garantizar que los usuarios se relacionan con la seguridad adecuada
atributos (por ejemplo, los niveles de identidad, grupos, funciones, seguridad o integridad).
La identificacin inequvoca de los usuarios autorizados y la asociacin correcta de atributos de seguridad con
los usuarios y los temas es fundamental para la aplicacin de las polticas de seguridad previstos. Las familias de esta clase
lidiar con la determinacin y la verificacin de la identidad de los usuarios, la determinacin de su autoridad para interactuar con el TOE,
y con la asociacin correcta de los atributos de seguridad de cada usuario autorizado. Otras clases de requisitos
(Por ejemplo, usuario de Proteccin de Datos, Seguridad Audit) dependen de la identificacin y autenticacin de la correcta
los usuarios con el fin de ser eficaces.
12/6/2014 ISO / IEC 15408-2
50
Pgina 71
ISO / IEC 15408-2:2008 (E)
Figura 11 - FIA: Identificacin y autenticacin de la clase de descomposicin
12/6/2014 ISO / IEC 15408-2
51
11.1 Los errores de autenticacin (FIA_AFL)
Esta familia contiene los requisitos para la definicin de valores para algn nmero de autenticacin incorrecta
intentos y acciones de TSF en casos de fracasos de intentos de autenticacin. Los parmetros incluyen, pero no se limitan
a, el nmero de intentos de autenticacin fallidos y umbrales de tiempo.
Manejo de la insuficiencia FIA_AFL.1 Autenticacin, requiere que el TSF poder terminar la sesin
proceso de establecimiento despus de un nmero determinado de intentos fallidos de autenticacin de usuario. Tambin requiere
que, despus de la terminacin del proceso de establecimiento de la sesin, la TSF sea capaz de desactivar la cuenta de usuario o
Pgina 72
ISO / IEC 15408-2:2008 (E)
el punto de entrada (por ejemplo, estacin de trabajo) de la que se hicieron los intentos hasta que un administrador-definido
condicin ocurre.
Gestin 11.1.3 de FIA_AFL.1
a) La gestin del umbral de intentos de autenticacin fallidos;
b) la gestin de las acciones que se deben tomar en caso de un error de autenticacin.
11.1.4 Auditora de FIA_AFL.1
PP / ST:
a) Mnimo: el alcance del umbral para los intentos de autenticacin fallidos y las acciones (por ejemplo,
desactivacin de un terminal) tomada y la posterior, en su caso, la restauracin al estado normal (por ejemplo, re-
habilitacin de un terminal).
Tratamiento de fallos 11.1.5 FIA_AFL.1 autenticacin
Dependencias: FIA_UAU.1 Momento de autenticacin
11.1.5.1 FIA_AFL.1.1
La TSF debe detectar cuando [seleccin: [asignacin: nmero entero positivo], un administrador
entero positivo configurable dentro de [asignacin: rango de valores aceptables] ] fallidos
los intentos de autenticacin se producen en relacin con [asignacin: lista de eventos de autenticacin ].
11.1.5.2 FIA_AFL.1.2
Cuando el nmero definido de intentos de autenticacin fallidos ha sido [seleccin: cumplido,
superado ], la TSF debe [asignacin: lista de acciones ].
Definicin de atributo 11,2 Usuario (FIA_ATD)
Todos los usuarios autorizados pueden tener un conjunto de atributos de seguridad, aparte de la identidad del usuario, que se utiliza para hacer cumplir
los SFR. Esta familia define los requisitos para la participacin de los atributos de seguridad de los usuarios con los usuarios como sea necesario para
apoyar la TSF en la toma de decisiones de seguridad.
FIA_ATD.1 definicin de atributo de usuario, permite a los atributos de seguridad de usuario para cada usuario que se mantenga de forma individual.
Gestin 11.2.3 de FIA_ATD.1
a) si as se indica en la asignacin, el administrador autorizado podra ser capaz de definir la seguridad adicional
atributos para los usuarios.
12/6/2014 ISO / IEC 15408-2
52
11.2.4 Auditora de FIA_ATD.1
Pgina 73
ISO / IEC 15408-2:2008 (E)
53
11.2.5 definicin de atributo FIA_ATD.1 usuario
11.2.5.1 FIA_ATD.1.1
La TSF debe mantener la siguiente lista de atributos de seguridad que pertenecen a usuarios individuales:
[Asignacin: lista de atributos de seguridad ].
11.3 Especificacin de los secretos (FIA_SOS)
Esta familia define requisitos para los mecanismos que hacen cumplir las mtricas de calidad definidos en la proporcionados secretos y
generar secretos para satisfacer la mtrica definida.
FIA_SOS.1 Verificacin de secretos, requiere la TSF para verificar que los secretos se encuentran los indicadores de calidad definidos.
FIA_SOS.2 TSF Generacin de secretos, r equiere la TSF para poder generar secretos que cumplen definido
mtricas de calidad.
Gestin 11.3.3 de FIA_SOS.1
a) la gestin de la mtrica utilizada para verificar los secretos.
Gestin 11.3.4 de FIA_SOS.2
a) la gestin de la mtrica utilizada para generar los secretos.
11.3.5 Auditora de FIA_SOS.1, FIA_SOS.2
PP / ST:
a) Mnimo: Rechazo por el TSF de cualquier secreto probado;
b) bsica: Rechazo o aceptacin por el TSF de cualquier secreto probado;
c) detallada: Identificacin de cualquier cambio en los parmetros de calidad definidos.
11.3.6 FIA_SOS.1 Verificacin de los secretos
11.3.6.1 FIA_SOS.1.1
La TSF debe proporcionar un mecanismo para verificar que cumplen con los secretos [asignacin: una mtrica de calidad definida ].
Pgina 74
12/6/2014 ISO / IEC 15408-2
ISO / IEC 15408-2:2008 (E)
54
11.3.7 Generacin FIA_SOS.2 TSF de secretos
11.3.7.1 FIA_SOS.2.1
La TSF debe proporcionar un mecanismo para generar secretos que cumplan [asignacin: una calidad definida
mtrica ].
11.3.7.2 FIA_SOS.2.2
La TSF debe ser capaz de imponer el uso de TSF genera secretos para [asignacin: lista de TSF
funciones ].
11.4 La autenticacin de usuarios (FIA_UAU)
Esta familia define los tipos de mecanismos de autenticacin de usuarios que admite el TSF. Esta familia tambin
define los atributos necesarios en los que deben basarse los mecanismos de autenticacin de usuario.
FIA_UAU.1 Momento de autenticacin, una llows un usuario para realizar ciertas acciones antes de la autenticacin del
la identidad del usuario.
FIA_UAU.2 La autenticacin del usuario antes de cualquier accin, requiere que los usuarios se autentican antes de cualquier otro
accin ser permitida por el TSF.
FIA_UAU.3 autenticacin infalsificable U autenticacin nforgeable, requiere el mecanismo de autenticacin para
ser capaz de detectar e impedir el uso de datos de autentificacin que se ha forjado o copiados.
FIA_UAU.4 mecanismos de autenticacin de un solo uso, requiere un mecanismo de autenticacin que opera con
datos de autenticacin de un solo uso.
FIA_UAU.5 mltiples mecanismos de autenticacin, requiere que los diferentes mecanismos de autenticacin sean
prestado y utilizado para autenticar la identidad del usuario para eventos especficos.
FIA_UAU.6 Re-autenticacin, requiere la capacidad de especificar los eventos para los que el usuario tiene que ser re-
autenticada.
FIA_UAU.7 Protegida retroalimentacin autenticacin, r equiere que la informacin de retroalimentacin se proporciona es restringida a
el usuario durante la autenticacin.
Gestin 11.4.3 de FIA_UAU.1
a) La gestin de los datos de autenticacin por un administrador;
b) La gestin de los datos de autenticacin, el usuario asociado;
c) la gestin de la lista de acciones que se pueden tomar antes de que el usuario est autenticado.
Pgina 75
ISO / IEC 15408-2:2008 (E)
a) La gestin de los datos de autenticacin por un administrador;
b) La gestin de los datos de autenticacin, el usuario asociado a estos datos.
12/6/2014 ISO / IEC 15408-2
55
11.4.5 Gestin de FIA_UAU.3, FIA_UAU.4, FIA_UAU.7
a) la gestin de los mecanismos de autenticacin;
b) la gestin de las reglas para la autenticacin.
a) si un administrador autorizado puede solicitar re-autenticacin, la gestin incluye un re-
solicitud de autenticacin.
11.4.8 Auditora de FIA_UAU.1
PP / ST:
a) Mnimo: haber quedado desierto el mecanismo de autenticacin;
b) bsica: Todo uso del mecanismo de autenticacin;
c) detallada: Todas las acciones mediadas TSF realizadas antes de la autenticacin del usuario.
PP / ST:
a) Mnimo: haber quedado desierto el mecanismo de autenticacin;
b) bsica: Todo el uso del mecanismo de autenticacin.
PP / ST:
a) Mnimo: Deteccin de datos de autenticacin fraudulenta;
b) bsica: Todas las medidas inmediatas tomadas y los resultados de los controles sobre los datos fraudulentos.
Pgina 76
ISO / IEC 15408-2:2008 (E)
PP / ST:
a) Mnimo: Los intentos de reutilizar los datos de autenticacin.
PP / ST:
a) Mnimo: La decisin final sobre la autenticacin;
b) Bsico: El resultado de cada mecanismo se activa junto con la decisin final.
12/6/2014 ISO / IEC 15408-2
56
PP / ST:
a) Mnimo: Fracaso de reautenticacin;
b) Bsico: Todos los intentos de reautenticacin.
11.4.15 FIA_UAU.1 Momento de autenticacin
11.4.15.1 FIA_UAU.1.1
La TSF debe permitir [asignacin: lista de acciones mediadas TSF ] en nombre del usuario a realizar
antes de que el usuario est autenticado.
11.4.15.2 FIA_UAU.1.2
La TSF debe exigir que cada usuario se autentica correctamente antes de permitir que cualquier otra TSF-
acciones mediadas por cuenta de ese usuario.
11.4.16 autenticacin FIA_UAU.2 usuario antes de cualquier accin
Jerrquica para: FIA_UAU.1 Momento de autenticacin
11.4.16.1 FIA_UAU.2.1
La TSF debe exigir que cada usuario se autentica correctamente antes de permitir que cualquier otra mediada por TSF
acciones en nombre de ese usuario.
Pgina 77
ISO / IEC 15408-2:2008 (E)
11.4.17 FIA_UAU.3 autenticacin infalsificable
11.4.17.1 FIA_UAU.3.1
La TSF debe [seleccin: detectar, prevenir ] el uso de datos de autentificacin que se ha forjado por cualquier usuario
del TSF.
11.4.17.2 FIA_UAU.3.2
La TSF debe [seleccin: detectar, prevenir ] el uso de datos de autentificacin que se ha copiado de cualquier
otro usuario del TSF.
04/11/18 FIA_UAU.4 de un solo uso de mecanismos de autenticacin
11.4.18.1 FIA_UAU.4.1
La TSF debe evitar la reutilizacin de los datos de autenticacin relacionados con [asignacin: autentificacin identificado
mecanismo (s) ].
04/11/19 FIA_UAU.5 mecanismos de autenticacin mltiples
12/6/2014 ISO / IEC 15408-2
57
11.4.19.1 FIA_UAU.5.1
La TSF debe proporcionar [asignacin: lista de mltiples mecanismos de autenticacin ] para apoyar el usuario
la autenticacin.
11.4.19.2 FIA_UAU.5.2
La TSF debe autenticar la identidad declarada de cualquier usuario de acuerdo con el [asignacin: reglas que describe
cmo los mltiples mecanismos de autenticacin proporcionan autenticacin ].
04/11/20 FIA_UAU.6 Re-autenticacin
11.4.20.1 FIA_UAU.6.1
La TSF debe volver a autenticar al usuario en las condiciones [asignacin: lista de condiciones bajo las
Se requiere que re-autenticacin ].
11/04/21 FIA_UAU.7 Protegida retroalimentacin autenticacin
Pgina 78
ISO / IEC 15408-2:2008 (E)
11.4.21.1 FIA_UAU.7.1
La TSF debe proporcionar slo [asignacin: lista de votaciones ] para el usuario, mientras que la autenticacin est en
progreso.
11.5 Identificacin de Usuario (FIA_UID)
Esta familia define las condiciones en las que se exigir a los usuarios que se identifiquen antes de
la realizacin de cualesquiera otras actuaciones que se van a la mediacin de la TSF y que requieren la identificacin del usuario.
FIA_UID.1 Momento de la identificacin, permite a los usuarios realizar ciertas acciones antes de ser identificado por el TSF.
FIA_UID.2 identificacin del usuario antes de cualquier accin , requiere que los usuarios se identifican antes que cualquier otro
accin ser permitida por el TSF.
Gestin 11.5.3 de FIA_UID.1
a) la gestin de las identidades de los usuarios;
b) si un administrador autorizado puede cambiar las acciones permitidas antes de la identificacin, el manejo de la
listas de acciones.
Gestin 11.5.4 de FIA_UID.2
a) la gestin de las identidades de usuario.
11.5.5 Auditora de FIA_UID.1, FIA_UID.2
PP / ST:
a) Mnimo: haber quedado desierto el mecanismo de identificacin del usuario, incluyendo la identidad de usuario proporcionada;
12/6/2014 ISO / IEC 15408-2
58
b) bsica: Todo el uso del mecanismo de identificacin del usuario, incluyendo la identidad de usuario proporcionada.
11.5.6 FIA_UID.1 Momento de la identificacin
11.5.6.1 FIA_UID.1.1
La TSF debe permitir [asignacin: lista de acciones mediadas por TSF ] en nombre del usuario que se deben realizar
antes de que se identifique el usuario.
11.5.6.2 FIA_UID.1.2
La TSF debe exigir que cada usuario sea identificado con xito antes de permitir que cualquier otra mediada por TSF
acciones en nombre de ese usuario.
Pgina 79
ISO / IEC 15408-2:2008 (E)
11.5.7 identificacin FIA_UID.2 usuario antes de cualquier accin
Jerrquica para: FIA_UID.1 Momento de la identificacin
11.5.7.1 FIA_UID.2.1
La TSF debe exigir que cada usuario sea identificado con xito antes de permitir que las dems acciones mediadas por TSF
en nombre de ese usuario.
11.6 el usuario sujeta la unin (FIA_USB)
Un usuario autenticado, con el fin de utilizar el TOE, tpicamente activa un sujeto. Los atributos de seguridad del usuario son
asociado (total o parcialmente) con este tema. Esta familia define requisitos para crear y mantener la
asociacin de seguridad del usuario atribuye a un sujeto que acta en nombre del usuario.
FIA_USB.1 usuario-sujeto vinculante, requiere la especificacin de las normas que rigen la relacin entre el
atributos de usuario y los atributos del objeto en el que se asignan.
Gestin 11.6.3 de FIA_USB.1
a) un administrador autorizado puede definir los atributos de seguridad sujeta por defecto.
b) un administrador autorizado puede cambiar los atributos de seguridad en cuestin.
11.6.4 Auditora de FIA_USB.1
PP / ST:
a) Mnimo: Sin xito la unin de la seguridad del usuario atribuye a un sujeto (por ejemplo, creacin de un sujeto).
b) Bsico: El xito y el fracaso de la unin de la seguridad del usuario atribuye a un sujeto (por ejemplo, el xito o el fracaso de
crear un objeto).
11.6.5 FIA_USB.1 el usuario sujeta la unin
Dependencias: Definicin de atributo FIA_ATD.1 usuario
11.6.5.1 FIA_USB.1.1
La TSF debe asociar los siguientes atributos de seguridad del usuario con los sujetos que actan en nombre de
ese usuario: [asignacin: lista de atributos de seguridad de usuario ].
12/6/2014 ISO / IEC 15408-2
59
11.6.5.2 FIA_USB.1.2
La TSF debe aplicar las siguientes reglas sobre la asociacin inicial de los atributos de seguridad de los usuarios con
los sujetos que actan en el nombre de los usuarios: [asignacin: reglas para la asociacin inicial de atributos ].
Pgina 80
ISO / IEC 15408-2:2008 (E)
60
11.6.5.3 FIA_USB.1.3
La TSF debe aplicar las siguientes normas que rigen los cambios en los atributos de seguridad de usuario asociados
con los sujetos que actan en el nombre de los usuarios: [asignacin: reglas para el cambio de atributos ].
12 Clase FMT: Gestin de la seguridad
Esta clase est diseada para especificar la gestin de varios aspectos de la TSF: atributos de seguridad, datos de TSF
y funciones. Las diferentes funciones de gestin y su interaccin, como la separacin de la capacidad, pueden ser
especificado.
Esta clase tiene varios objetivos:
a) La gestin de los datos de la TSF, que incluyen, por ejemplo, las banderas;
b) la gestin de los atributos de seguridad, que incluyen, por ejemplo, las listas de control de acceso, y Capacidad
Listas;
c) la gestin de las funciones de la TSF, que incluye, por ejemplo, la seleccin de funciones y reglas o
condiciones que influyen en el comportamiento de la TSF;
d) la definicin de los roles de seguridad.
12/6/2014 ISO / IEC 15408-2
Pgina 81
ISO / IEC 15408-2:2008 (E)
61
Figura 12 - FMT: clase de gestin de seguridad de descomposicin
12.1 Gestin de funciones en TSF (FMT_MOF)
Esta familia permite a los usuarios autorizados el control sobre la gestin de las funciones de la TSF. Ejemplos de
funciones en el TSF incluyen las funciones de auditora y de las mltiples funciones de autenticacin.
Gestin FMT_MOF.1 de funciones de seguridad de comportamiento cols mnimos los usuarios autorizados (roles) para gestionar el
comportamiento de las funciones de la TSF que utilizan reglas o que tienen condiciones especficas que puedan ser manejables.
Gestin 12.1.3 de FMT_MOF.1
a) la gestin del grupo de funciones que pueden interactuar con las funciones de la TSF;
Pgina 82
ISO / IEC 15408-2:2008 (E)
12.1.4 Auditora de FMT_MOF.1
PP / ST:
12/6/2014 ISO / IEC 15408-2
62
a) bsica: Todas las modificaciones en el comportamiento de las funciones de la TSF.
12.1.5 FMT_MOF.1 Gestin de las funciones de seguridad de la conducta
Dependencias: Papeles FMT_SMR.1 Seguridad
FMT_SMF.1 Especificacin de funciones de gestin de
12.1.5.1 FMT_MOF.1.1
La TSF debe restringir la capacidad de [seleccin: determinar el comportamiento de, deshabilitar, habilitar, modificar el
comportamiento de las funciones] [asignacin: lista de funciones ] a [asignacin: el autorizado identificado
papeles ].
12.2 Gestin de los atributos de seguridad (FMT_MSA)
Esta familia permite a los usuarios autorizados el control sobre la gestin de los atributos de seguridad. Esta gestin
podra incluir capacidades para la visualizacin y modificacin de los atributos de seguridad.
Gestin FMT_MSA.1 de atributos de seguridad a llows usuarios autorizados (roles) para gestionar la especificada
los atributos de seguridad.
FMT_MSA.2 seguridad Secure atributos e nsures que los valores asignados a los atributos de seguridad son vlidos con
respecto al estado seguro.
FMT_MSA.3 esttico atributo de inicializacin asegura que los valores por defecto de los atributos de seguridad estn debidamente
ya sea permisiva o restrictiva en la naturaleza.
Atributo FMT_MSA.4 Seguridad de valor de herencia cols mnimos las reglas / polticas que se especifiquen que dictarn la
valor para ser heredado por un atributo de seguridad.
Gestin 12.2.3 de FMT_MSA.1
a) la gestin del grupo de funciones que pueden interactuar con los atributos de seguridad;
b) la gestin de reglas por las cuales los atributos de seguridad heredan los valores especificados.
a) La gestin de reglas por las cuales los atributos de seguridad heredan valores especificados.
Pgina 83
ISO / IEC 15408-2:2008 (E)
a) la gestin del grupo de papeles que pueden especificar los valores iniciales;
b) la gestin de la configuracin permisiva o restrictiva de los valores predeterminados de un SFP de control de acceso determinada;
c) la gestin de reglas por las cuales los atributos de seguridad heredan los valores especificados.
a) especificacin de la funcin permite establecer o modificar los atributos de seguridad.
12/6/2014 ISO / IEC 15408-2
63
12.2.7 Auditora de FMT_MSA.1
PP / ST:
a) bsica: Todas las modificaciones de los valores de los atributos de seguridad.
PP / ST:
a) Mnimo: Todas ofrecido y rechazado los valores de un atributo de seguridad.
b) detallada: Todos los ofrecidos y aceptados los valores seguros para un atributo de seguridad.
PP / ST:
a) bsica: Modificaciones de la configuracin por defecto de las normas permisivas o restrictivas.
b) bsica: Todas las modificaciones de los valores iniciales de los atributos de seguridad.
PP / ST:
a) Bsicas: Las modificaciones de los atributos de seguridad, posiblemente con la edad y / o valores de atributos de seguridad que
se han modificado.
12.2.11 FMT_MSA.1 Gestin de atributos de seguridad
Papeles FMT_SMR.1 Seguridad
Pgina 84
ISO / IEC 15408-2:2008 (E)
12.2.11.1 FMT_MSA.1.1
La TSF debe aplicar la [asignacin: SFP (s) de control de acceso, SFP (s) de control de flujo de informacin ] para
restringir la capacidad de [seleccin: change_default, consultar, modificar, eliminar, [asignacin: otras operaciones] ]
los atributos de seguridad [asignacin: lista de atributos de seguridad ] en [asignacin: la autorizada
papeles identificados ].
02/12/12 FMT_MSA.2 atributos de seguridad Secure
Gestin FMT_MSA.1 de atributos de seguridad
12.2.12.1 FMT_MSA.2.1
La TSF debe garantizar que slo los valores seguros son aceptados para [asignacin: lista de atributos de seguridad ].
12.2.13 FMT_MSA.3 esttico inicializacin atributo
Dependencias: Gestin FMT_MSA.1 de atributos de seguridad
12/6/2014 ISO / IEC 15408-2
64
12.2.13.1 FMT_MSA.3.1
La TSF debe aplicar la [asignacin: SFP de control de acceso, el flujo de informacin de control de la SFP ] para proporcionar
[Seleccin, elegir uno de: restrictiva, permisiva, [asignacin: otros bienes] ] valores predeterminados para
atributos de seguridad que se utilizan para hacer cumplir la SFP.
12.2.13.2 FMT_MSA.3.2
La TSF debe permitir que el [asignacin: los roles identificados autorizados ] para especificar inicial alternativa
valores para anular los valores por defecto cuando se crea un objeto o informacin.
12.2.14 FMT_MSA.4 Seguridad valor del atributo de herencia
12.2.14.1 FMT_MSA.4.1
La TSF debe utilizar las siguientes reglas para establecer el valor de los atributos de seguridad: [asignacin: reglas para
establecer los valores de los atributos de seguridad ].
Pgina 85
ISO / IEC 15408-2:2008 (E)
12.3 Gestin de los datos de TSF (FMT_MTD)
Esta familia permite a los usuarios autorizados (roles) de control de la gestin de datos de la TSF. Ejemplos de datos TSF
incluir informacin de auditora, el reloj y otros parmetros de configuracin de TSF.
Gestin FMT_MTD.1 de los datos TSF todos ows usuarios autorizados para administrar los datos de TSF.
Gestin FMT_MTD.2 de lmites en espe datos TSF cifies la accin a tomar si los lmites en los datos de TSF son
alcanzado o superado.
FMT_MTD.3 Asegure TSF ens datos das que los valores asignados a los datos de TSF son vlidos con respecto a la seguridad
estado.
Gestin 12.3.3 de FMT_MTD.1
a) la gestin del grupo de funciones que pueden interactuar con los datos de la TSF.
a) la gestin del grupo de funciones que pueden interactuar con los lmites de los datos de la TSF.
12.3.6 Auditora de FMT_MTD.1
PP / ST:
a) bsica: Todas las modificaciones de los valores de los datos de la TSF.
12/6/2014 ISO / IEC 15408-2
65
PP / ST:
a) bsica: Todas las modificaciones de los lmites de los datos TSF.
b) bsica: Todas las modificaciones en las medidas que deben adoptarse en caso de violacin de los lmites.
PP / ST:
a) Mnimo: Todos los valores de los datos TSF rechazada.
12.3.9 FMT_MTD.1 Gestin de los datos TSF
Pgina 86
ISO / IEC 15408-2:2008 (E)
12.3.9.1 FMT_MTD.1.1
La TSF debe restringir la capacidad de [seleccin: change_default, consultar, modificar, borrar, claro,
[Asignacin: otras operaciones] ] de [asignacin: lista de datos de la TSF ] que [Asignacin: la autorizacin
papeles identificados ].
12.3.10 FMT_MTD.2 Gestin de lmites en los datos TSF
Dependencias: Gestin FMT_MTD.1 de datos TSF
12.3.10.1 FMT_MTD.2.1
La TSF debe restringir la especificacin de los lmites de [asignacin: lista de datos de la TSF ] que [Asignacin:
los papeles identificados autorizados ].
12.3.10.2 FMT_MTD.2.2
La TSF debe tomar las siguientes acciones, si los datos estn en TSF, o superar, los lmites que se indican:
[Asignacin: acciones a tomar ].
12.3.11 FMT_MTD.3 datos TSF Secure
Dependencias: Gestin FMT_MTD.1 de datos TSF
12.3.11.1 FMT_MTD.3.1
La TSF debe garantizar que slo los valores seguros son aceptados para [asignacin: lista de datos TSF ].
12.4 Revocacin (FMT_REV)
Esta direcciones familiares revocacin de atributos de seguridad para una variedad de entidades dentro de un TOE.
FMT_REV.1 revocacin prov ides para la revocacin de atributos de seguridad que deba ejecutarse en algn momento en el tiempo.
Gestin 12.4.3 de FMT_REV.1
12/6/2014 ISO / IEC 15408-2
66
a) la gestin del grupo de papeles que pueden invocar la revocacin de los atributos de seguridad;
b) la gestin de las listas de usuarios, sujetos, objetos y otros recursos para que la revocacin sea posible;
c) la gestin de las reglas de revocacin.
Pgina 87
ISO / IEC 15408-2:2008 (E)
67
12.4.4 Auditora de FMT_REV.1
PP / ST:
a) Mnimo: revocacin frustrado de los atributos de seguridad.
b) Bsico: Todos los intentos de revocar los atributos de seguridad.
12.4.5 FMT_REV.1 Revocacin
12.4.5.1 FMT_REV.1.1
La TSF debe restringir la capacidad de revocar [asignacin: lista de atributos de seguridad ] asociado a la
[Seleccin: los usuarios, los sujetos, objetos, [asignacin: otros recursos adicionales] ] bajo el control de la
TSF que [Asignacin: los roles identificados autorizados ].
12.4.5.2 FMT_REV.1.2
La TSF debe aplicar las reglas [asignacin: especificacin de reglas de revocacin ].
Caducidad atributo 12.5 Seguridad (FMT_SAE)
Esta familia se refiere a la capacidad de hacer cumplir los plazos de validez de los atributos de seguridad.
Autorizacin FMT_SAE.1 tiempo limitado-pr ovides la capacidad de un usuario autorizado para especificar una caducidad
tiempo en los atributos de seguridad especificados.
Gestin 12.5.3 de FMT_SAE.1
a) la gestin de la lista de atributos de seguridad para los que la expiracin se va a apoyar;
b) las acciones a tomar si ha pasado la fecha de caducidad.
12.5.4 Auditora de FMT_SAE.1
PP / ST:
a) bsica: Especificacin de la fecha de caducidad de un atributo;
b) bsica: Medidas adoptadas por atribuir caducidad.
12.5.5 FMT_SAE.1 autorizacin limitada en el tiempo
FPT_STM.1 marcas de tiempo fiables
12/6/2014 ISO / IEC 15408-2
Pgina 88
ISO / IEC 15408-2:2008 (E)
68
12.5.5.1 FMT_SAE.1.1
La TSF debe restringir la capacidad de especificar una fecha de caducidad para [asignacin: lista de seguridad
atributos para los cuales vencimiento se va a apoyar ] a [asignacin: los roles identificados autorizados ].
12.5.5.2 FMT_SAE.1.2
Para cada uno de estos atributos de seguridad, la TSF debe ser capaz de [asignacin: lista de las acciones que se deben tomar
para cada atributo de seguridad ] despus de la fecha de caducidad para el atributo de seguridad indicada ha pasado.
12.6 Especificacin de las funciones de gestin (FMT_SMF)
Esta familia permite la especificacin de las funciones de gestin que ha de proporcionar el TOE. Administracin
funciones proporcionan TSFI que permiten a los administradores definir los parmetros que controlan el funcionamiento de la seguridad-
aspectos relacionados con la TOE, como atributos de proteccin de datos, atributos de proteccin para los dedos, los atributos de la auditora, y
atributos de identificacin y autenticacin. Las funciones de gestin tambin incluyen las funciones llevadas a cabo por
operador para garantizar el funcionamiento continuo de la TOE, tales como copias de seguridad y recuperacin. Esta familia trabaja en
junto con los otros componentes de la FMT: Gestin de la seguridad c lass: el componente de esta familia
pide a cabo las funciones de gestin, y otras familias en FMT: res de gestin de seguridad trito la capacidad de utilizar
estas funciones de gestin.
FMT_SMF.1 Especificacin de funciones de gestin de r equiere que el TSF proporciona una gestin especfica
funciones.
Gestin 12.6.3 de FMT_SMF.1
12.6.4 Auditora de FMT_SMF.1
PP / ST:
a) Mnimo: El uso de las funciones de gestin.
12.6.5 FMT_SMF.1 Especificacin de funciones de gestin de
12.6.5.1 FMT_SMF.1.1
La TSF debe ser capaz de realizar las siguientes funciones de administracin: [asignacin: lista de
funciones de gestin a ser provistos por el TSF ].
12.7 roles de gestin de seguridad (FMT_SMR)
Esta familia est destinado a controlar la asignacin de diferentes funciones a los usuarios. Las capacidades de estos roles con
respecto a la gestin de la seguridad se describen en el resto de las familias de esta clase.
Pgina 89
ISO / IEC 15408-2:2008 (E)
12/6/2014 ISO / IEC 15408-2
69
Papeles FMT_SMR.1 Seguridad sp ecifies los roles con respecto a la seguridad de que el TSF reconoce.
Restricciones FMT_SMR.2 sobre los roles de seguridad spe cifies que, adems de la especificacin de las funciones, hay
reglas que controlan la relacin entre las funciones.
FMT_SMR.3 Asumiendo roles req uires que una peticin explcita se da a la TSF para asumir un papel.
Gestin 12.7.3 de FMT_SMR.1
a) la gestin del grupo de usuarios que forman parte de un papel.
a) la gestin del grupo de usuarios que forman parte de un papel;
b) la gestin de las condiciones que los papeles deben satisfacer.
12.7.6 Auditora de FMT_SMR.1
PP / ST:
a) Mnimo: modificaciones en el grupo de usuarios que forman parte de un papel.
b) Datos individuales: cada uso de los derechos de un papel.
PP / ST:
a) Mnimo: modificaciones en el grupo de usuarios que forman parte de un papel.
b) Minimal: intentos fallidos de utilizar un papel, debido a las condiciones dadas en los roles.
c) Datos individuales: cada uso de los derechos de un papel.
PP / ST:
a) Mnimo: peticin explcita de asumir un papel.
12.7.9 papeles FMT_SMR.1 Seguridad
Pgina 90
ISO / IEC 15408-2:2008 (E)
12.7.9.1 FMT_SMR.1.1
La TSF debe mantener los papeles [asignacin: los roles identificados autorizados ].
12.7.9.2 FMT_SMR.1.2
La TSF debe ser capaz de asociar a los usuarios con roles.
12/07/10 FMT_SMR.2 Restricciones a las funciones de seguridad
Jerrquica para: Papeles FMT_SMR.1 Seguridad
12/6/2014 ISO / IEC 15408-2
70
12.7.10.1 FMT_SMR.2.1
La TSF debe mantener los roles: [asignacin: autorizados roles identificados ].
12.7.10.2 FMT_SMR.2.2
La TSF debe ser capaz de asociar a los usuarios con roles.
12.7.10.3 FMT_SMR.2.3
La TSF debe garantizar que las condiciones [asignacin: condiciones para los diferentes roles ] estn satisfechos.
12/07/11 papeles FMT_SMR.3 Suponiendo
12.7.11.1 FMT_SMR.3.1
La TSF debe requerir una solicitud explcita para asumir las siguientes funciones: [asignacin: los roles ].
Pgina 91
ISO / IEC 15408-2:2008 (E)
13 Clase FPR: Privacidad
Esta clase contiene los requisitos de privacidad. Estos requisitos proporcionan una proteccin del usuario contra el descubrimiento y
el uso indebido de la identidad de otros usuarios.
12/6/2014 ISO / IEC 15408-2
71
Figura 13 - FPR: Privacidad clase descomposicin
13.1 El anonimato (FPR_ANO)
Esta familia asegura que un usuario puede utilizar un recurso o servicio sin revelar la identidad del usuario. La
los requisitos para el anonimato proporcionan proteccin de la identidad del usuario. El anonimato no est diseado para proteger el
identidad del sujeto.
FPR_ANO.1 anonimato, re requiere que otros usuarios o sujetos son incapaces de determinar la identidad de un usuario
unido a un sujeto o la operacin.
FPR_ANO.2 anonimato sin solicitar informaci n aumenta los requisitos de FPR_ANO.1 Anonimato
asegurando que el TSF no pide la identidad del usuario.
Gestin 13.1.3 de FPR_ANO.1, FPR_ANO.2
13.1.4 Auditora de FPR_ANO.1, FPR_ANO.2
PP / ST:
a) Mnimo: La invocacin del mecanismo de anonimato.
Pgina 92
ISO / IEC 15408-2:2008 (E)
13.1.5 FPR_ANO.1 Anonimato
13.1.5.1 FPR_ANO.1.1
La TSF debe garantizar que [Asignacin: conjunto de usuarios y / o sujetos ] no son capaces de determinar la verdadera
Nombre de usuario vinculado a [asignacin: lista de temas y / u operaciones y / u objetos ].
13.1.6 FPR_ANO.2 anonimato sin solicitar informacin
Jerrquica para: FPR_ANO.1 Anonimato
13.1.6.1 FPR_ANO.2.1
La TSF debe garantizar que [Asignacin: conjunto de usuarios y / o sujetos ] no son capaces de determinar el usuario real
nombrar con destino a [asignacin: lista de temas y / u operaciones y / u objetos ].
13.1.6.2 FPR_ANO.2.2
La TSF debe proporcionar [asignacin: lista de servicios ] que [Asignacin: lista de temas ] sin solicitar
cualquier referencia al nombre de usuario real.
13.2 seudnimos (FPR_PSE)
Esta familia asegura que un usuario puede utilizar un recurso o servicio, sin revelar su identidad de usuario, pero todava puede
ser responsable de ese uso.
FPR_PSE.1 seudonimia requ IRES que un conjunto de usuarios y / o sujetos son incapaces de determinar la identidad de
12/6/2014 ISO / IEC 15408-2
72
un usuario enlazado a un objeto u operacin, pero que este usuario es todava responsable de sus acciones.
FPR_PSE.2 seudonimia reversible, re requiere la TSF para proporcionar una capacidad de determinar el usuario original
identidad sobre la base de un alias de proporcionado.
FPR_PSE.3 Alias seudnimos, req uires la TSF que seguir ciertas reglas de construccin para el alias para el usuario
identidad.
Gestin 13.2.3 de FPR_PSE.1, FPR_PSE.2, FPR_PSE.3
13.2.4 Auditora de FPR_PSE.1, FPR_PSE.2, FPR_PSE.3
PP / ST:
a) Mnimo: El sujeto / usuario que solicit la resolucin de la identidad del usuario debe ser auditado.
Pgina 93
ISO / IEC 15408-2:2008 (E)
13.2.5 FPR_PSE.1 seudonimia
13.2.5.1 FPR_PSE.1.1
La TSF debe garantizar que [Asignacin: conjunto de usuarios y / o sujetos ] no son capaces de determinar la verdadera
Nombre de usuario vinculado a [asignacin: lista de temas y / u operaciones y / u objetos ].
13.2.5.2 FPR_PSE.1.2
La TSF debe ser capaz de proporcionar [asignacin: nmero de alias ] alias del nombre de usuario real para
[Asignacin: lista de temas ].
13.2.5.3 FPR_PSE.1.3
La TSF debe [seleccin, elegir uno de: determinar un alias para un usuario, acepte el alias del usuario ]
y comprobar que se ajusta a la [asignacin: alias mtrica ].
13.2.6 FPR_PSE.2 seudonimia Reversible
Jerrquica para: FPR_PSE.1 seudonimia
13.2.6.1 FPR_PSE.2.1
13.2.6.2 FPR_PSE.2.2
13.2.6.3 FPR_PSE.2.3
La TSF debe [seleccin, elegir uno de: determinar un alias para un usuario, acepte el alias del usuario ] y
verificar que se ajusta a la [asignacin: alias mtrica ].
13.2.6.4 FPR_PSE.2.4
La TSF debe proporcionar [seleccin: un usuario autorizado, [asignacin: lista de temas de confianza] ] un
capacidad de determinar la identidad del usuario en base a los alias proporcionadas solamente bajo las siguientes
[Asignacin: lista de condiciones ].
13.2.7 FPR_PSE.3 Alias seudonimia
12/6/2014 ISO / IEC 15408-2
73
Jerrquica para: FPR_PSE.1 seudonimia
13.2.7.1 FPR_PSE.3.1
Pgina 94
ISO / IEC 15408-2:2008 (E)
13.2.7.2 FPR_PSE.3.2
13.2.7.3 FPR_PSE.3.3
La TSF debe [seleccin, elegir uno de: determinar un alias para un usuario, acepte el alias del usuario ] y
verificar que se ajusta a la [asignacin: alias mtrica ].
13.2.7.4 FPR_PSE.3.4
La TSF debe proporcionar un alias para el nombre de usuario real que ser idntica a un alias proporcionado
anteriormente con el siguiente [asignacin: lista de condiciones ] de lo contrario el alias proporcionada deber
sin relacin a proporcionadas anteriormente alias.
13.3 imposibilidad de vinculacin (FPR_UNL)
Esta familia asegura que un usuario puede hacer mltiples usos de los recursos o servicios sin que los dems la posibilidad de
vincular estos usos juntos.
FPR_UNL.1 imposibilidad de vinculacin, requiere que los usuarios y / o sujetos son incapaces de determinar si el mismo usuario
causado ciertas operaciones especficas.
Gestin 13.3.3 de FPR_UNL.1
a) la gestin de la funcin de imposibilidad de vinculacin.
13.3.4 Auditora de FPR_UNL.1
PP / ST:
a) Mnimo: La invocacin del mecanismo de imposibilidad de vinculacin.
13.3.5 FPR_UNL.1 imposibilidad de vinculacin
13.3.5.1 FPR_UNL.1.1
La TSF debe garantizar que [Asignacin: conjunto de usuarios y / o sujetos ] no son capaces de determinar si
[Asignacin: lista de operaciones ] [seleccin: fueron causadas por el mismo usuario, se relacionan como
siguiente [asignacin: lista de relaciones] ].
13.4 inobservabilidad (FPR_UNO)
Esta familia asegura que un usuario puede utilizar un recurso o servicio sin otros, especialmente tercera partes, siendo
podido observar que se est utilizando el recurso o servicio.
12/6/2014 ISO / IEC 15408-2
74
Pgina 95
ISO / IEC 15408-2:2008 (E)
75
FPR_UNO.1 imposibilidad de observacin r equiere que los usuarios y / o sujetos no pueden determinar si una operacin es
que se realiza.
FPR_UNO.2 Asignacin de informacin impactando imposibilidad de observacin requiere que el TSF proporciona especfico
mecanismos para evitar la concentracin de la privacidad de la informacin relacionada en el TOE. Tales concentraciones
podra afectar inobservabilidad si se produce un riesgo de seguridad.
FPR_UNO.3 inobservabilidad sin solicitar informacin, requiere que el TSF no trata de obtener privacidad
informacin relacionada que pueda ser utilizada para comprometer inobservabilidad.
FPR_UNO.4 Autorizado usuario observabilidad, requiere la TSF para proporcionar uno o ms usuarios autorizados con un
la capacidad para observar el uso de los recursos y / o servicios.
Gestin 13.4.3 de FPR_UNO.1, FPR_UNO.2
a) la gestin del comportamiento de la funcin imposibilidad de observacin.
13.4.4 Gestin de FPR_UNO.3
13.4.5 Gestin de FPR_UNO.4
a) la lista de usuarios autorizados que son capaces de determinar la ocurrencia de operaciones.
13.4.6 Auditora de FPR_UNO.1, FPR_UNO.2
PP / ST:
a) Mnimo: La invocacin del mecanismo de imposibilidad de observacin.
13.4.7 Auditora de FPR_UNO.3
13.4.8 Auditora de FPR_UNO.4
PP / ST:
a) Mnimo: La observacin de la utilizacin de un recurso o servicio por un usuario o materia.
13.4.9 FPR_UNO.1 inobservabilidad
Pgina 96
ISO / IEC 15408-2:2008 (E)
12/6/2014 ISO / IEC 15408-2
76
13.4.9.1 FPR_UNO.1.1
La TSF debe garantizar que [asignacin: lista de usuarios y / o sujetos ] no son capaces de observar la
operacin [asignacin: lista de operaciones ] de [asignacin: lista de objetos ] por [asignacin: lista de
usuarios y / o sujetos protegidos ].
13.4.10 FPR_UNO.2 Asignacin de informacin impactando inobservabilidad
Jerrquica para: FPR_UNO.1 inobservabilidad
13.4.10.1 FPR_UNO.2.1
La TSF debe garantizar que [asignacin: lista de usuarios y / o sujetos ] no son capaces de observar el funcionamiento
[Asignacin: lista de operaciones ] de [asignacin: lista de objetos ] por [asignacin: lista de usuarios y / o protegidas
temas ].
13.4.10.2 FPR_UNO.2.2
La TSF debe asignar el [asignacin: inobservabilidad informacin relacionada ] entre las diferentes partes del
TOE tal que cumplen las siguientes condiciones durante la vida til de la informacin: [asignacin:
lista de condiciones ].
13.4.11 FPR_UNO.3 inobservabilidad sin solicitar informacin
Dependencias: FPR_UNO.1 inobservabilidad
13.4.11.1 FPR_UNO.3.1
La TSF debe proporcionar [asignacin: lista de servicios ] que [Asignacin: lista de temas ] sin solicitar
cualquier referencia a [asignacin: la informacin relacionada con la privacidad ].
13.4.12 FPR_UNO.4 Autorizado usuario observabilidad
13.4.12.1 FPR_UNO.4.1
La TSF debe proporcionar [asignacin: conjunto de usuarios autorizados ] con la capacidad de observar el uso
de [asignacin: lista de recursos y / o servicios ].
14 Clase FPT: Proteccin del TSF
Esta clase contiene familias de requisitos funcionales que se relacionan con la integridad y la gestin de la
mecanismos que constituyen el TSF y para la integridad de los datos TSF. En cierto sentido, las familias de esta clase puede
parecen duplicar componentes en el FDP: proteccin de datos de usuario de clase; incluso pueden ser implementados utilizando
los mismos mecanismos. Sin embargo, FDP : proteccin de los datos del usuario fo centra en la proteccin de datos de usuario, mientras FPT:
Proteccin del TSF se centra en la proteccin de los datos TSF. De hecho, los componentes de la FPT: Proteccin de la
TSF clase son necesarios para proporcionar los requisitos que los programas de alimentacin complementaria en el TOE no pueden ser manipulados o
anulada.
Desde el punto de vista de esta clase, con respecto a la TSF hay tres elementos importantes:
a) la aplicacin del TSF, que ejecuta e implementa los mecanismos que hacen cumplir la SFR.
Pgina 97
ISO / IEC 15408-2:2008 (E)
b) Los datos de la TSF, que son las bases de datos administrativas que rigen la aplicacin de la SFR.
c) Las entidades externas que el TSF puede interactuar con el fin de hacer cumplir la SFR.
12/6/2014 ISO / IEC 15408-2
77
Figura 14 - FPT: Proteccin de la clase de descomposicin TSF
14.1 fail secure (FPT_FLS)
Los requisitos de esta familia aseguran que el TOE siempre har cumplir sus SFRs en caso de identificar
categoras de fallos en la TSF.
Pgina 98
ISO / IEC 15408-2:2008 (E)
Esta familia se compone de un solo componente, F Falla PT_FLS.1 con la preservacin de las condiciones de seguridad, que
requiere que el TSF preservar las condiciones de seguridad en la cara de los fallos detectados.
Gestin 14.1.3 de FPT_FLS.1
14.1.4 Auditora de FPT_FLS.1
PP / ST:
a) bsica: Fracaso de la TSF.
14.1.5 El incumplimiento FPT_FLS.1 con la preservacin de las condiciones de seguridad
14.1.5.1 FPT_FLS.1.1
12/6/2014 ISO / IEC 15408-2
78
La TSF debe mantener un estado seguro cuando se producen los siguientes tipos de errores: [asignacin: lista de
tipos de fallos en la TSF ].
14.2 Disponibilidad de los datos TSF exportados (FPT_ITA)
Esta familia define las normas para la prevencin de la prdida de la disponibilidad de datos de TSF se mueve entre la TSF y
otro producto de TI de confianza. Estos datos podran, por ejemplo, ser TSF datos crticos tales como contraseas, claves, auditora
datos, o TSF cdigo ejecutable.
Esta familia se compone de un solo componente, FP T_ITA.1 Inter-TSF disponibilidad dentro de una disponibilidad definida
mtrica. Este componente requiere que el TSF asegurar, en un grado determinado de la probabilidad, la disponibilidad de
Datos TSF prestados a otro producto de TI de confianza.
Gestin 14.2.3 de FPT_ITA.1
a) la gestin de la lista de tipos de datos de TSF que deben estar a disposicin de otro producto de TI de confianza.
14.2.4 Auditora de FPT_ITA.1
PP / ST:
a) Mnimo: la ausencia de datos TSF cuando sea requerido por una TOE.
14.2.5 FPT_ITA.1 Inter-TSF disponibilidad dentro de una mtrica definida disponibilidad
Pgina 99
ISO / IEC 15408-2:2008 (E)
14.2.5.1 FPT_ITA.1.1
La TSF debe garantizar la disponibilidad de [asignacin: lista de tipos de datos de la TSF ] proporcionado a otro
producto de TI confiable dentro de [asignacin: una mtrica disponibilidad definida ] dadas las siguientes condiciones
[Asignacin: las condiciones para garantizar la disponibilidad ].
14.3 Confidencialidad de los datos TSF exportados (FPT_ITC)
Esta familia define las normas para la proteccin contra la divulgacin no autorizada de datos TSF durante su transmisin
entre la TSF y otro producto de TI de confianza. Estos datos podran, por ejemplo, ser TSF datos crticos tales como
contraseas, claves, datos de auditora, o TSF cdigo ejecutable.
Esta familia se compone de un solo componente, confidencialidad FPT_ITC.1 Inter-TSF durante su transmisin , lo que
requiere que el TSF garantizar que los datos transmitidos entre el TSF y otro producto de TI de confianza es
protegida contra la divulgacin durante el transporte.
Gestin 14.3.3 de FPT_ITC.1
14.3.4 Auditora de FPT_ITC.1
Confidencialidad 14.3.5 FPT_ITC.1 Inter-TSF durante su transmisin
14.3.5.1 FPT_ITC.1.1
12/6/2014 ISO / IEC 15408-2
79
La TSF debe proteger todos los datos transmitidos desde el TSF TSF a otro producto de TI de confianza desde
divulgacin no autorizada durante la transmisin.
14.4 Integridad de los datos TSF exportados (FPT_ITI)
Esta familia define las normas para la proteccin, la modificacin no autorizada de los datos de la TSF durante
transmisin entre la TSF y otro producto de TI de confianza. Estos datos podran, por ejemplo, ser TSF crtico
datos como contraseas, claves, datos de auditora, o TSF cdigo ejecutable.
Deteccin FPT_ITI.1 Inter-TSF de modificacin, proporciona la capacidad de detectar la modificacin de los datos de TSF durante
transmisin entre la TSF y otro producto de TI de confianza, bajo el supuesto de que otro de confianza de TI
producto es consciente del mecanismo utilizado.
Deteccin y correccin de la modificacin FPT_ITI.2 Inter-TSF, ofrece la posibilidad de otro producto de TI de confianza
no slo para detectar la modificacin, pero para corregir los datos de TSF modificados bajo el supuesto de que otro de confianza de TI
producto es consciente del mecanismo utilizado.
Pgina 100
ISO / IEC 15408-2:2008 (E)
Gestin 14.4.3 de FPT_ITI.1
Gestin 14.4.4 de FPT_ITI.2
a) la gestin de los tipos de datos que el TSF TSF debe tratar de corregir si se modifican durante el transporte;
b) la gestin de los tipos de accin que el TSF podra tomar si los datos TSF es modificado en trnsito.
14.4.5 Auditora de FPT_ITI.1
PP / ST:
a) Mnimo: la deteccin de la modificacin de los datos de TSF transmitidos.
b) bsica: las medidas adoptadas despus de la deteccin de la modificacin de los datos TSF transmitidos.
14.4.6 Auditora de FPT_ITI.2
PP / ST:
a) Mnimo: la deteccin de la modificacin de los datos de TSF transmitidos.
b) bsica: las medidas adoptadas despus de la deteccin de la modificacin de los datos TSF transmitidos.
c) bsica: el uso del mecanismo de correccin.
Deteccin 14.4.7 FPT_ITI.1 Inter-TSF de la modificacin
14.4.7.1 FPT_ITI.1.1
La TSF debe ofrecer la capacidad de detectar la modificacin de todos los datos de la TSF durante su transmisin
entre la TSF y otro producto de confianza de TI dentro de las siguientes mediciones: [asignacin: una definida
mtrica modificacin ].
14.4.7.2 FPT_ITI.1.2
12/6/2014 ISO / IEC 15408-2
80
La TSF debe ofrecer la posibilidad de verificar la integridad de todos los datos transmitidos entre el TSF TSF
y otro producto de TI de confianza y realizar [asignacin: medidas que deben adoptarse ] si las modificaciones son
detectado.
Deteccin y correccin de la modificacin 14.4.8 FPT_ITI.2 Inter-TSF
Jerrquica para: Deteccin FPT_ITI.1 Inter-TSF de la modificacin
Pgina 101
ISO / IEC 15408-2:2008 (E)
14.4.8.1 FPT_ITI.2.1
La TSF debe ofrecer la capacidad de detectar la modificacin de todos los datos de la TSF durante su transmisin entre la
TSF y otro producto de TI de confianza dentro de las siguientes mediciones: [asignacin: una mtrica definida modificacin ].
14.4.8.2 FPT_ITI.2.2
La TSF debe ofrecer la posibilidad de verificar la integridad de todos los datos de la TSF transmitidos entre la TSF y
otro producto de confianza de TI y realizar [asignacin: medidas que deben adoptarse ] si se detectan modificaciones.
14.4.8.3 FPT_ITI.2.3
La TSF debe ofrecer la capacidad para corregir [asignacin: tipo de modificacin ] de todos los datos TSF
transmitida entre el TSF y otro producto de TI de confianza.
14.5 TOE interna de transferencia de datos TSF (FPT_ITT)
Esta familia proporciona los requisitos que se ocupan de la proteccin de los datos TSF cuando se transfiere entre separada
partes de un TOE travs de un canal interno.
FPT_ITT.1 bsico de proteccin de transferencia de datos TSF interno, requiere que los datos TSF ser protegidos cuando se transmiten
entre partes separadas del TOE.
FPT_ITT.2 TSF separacin transferencia de datos, requiere que los datos de usuario por separado a partir de datos de TSF TSF durante
transmisin.
FPT_ITT.3 TSF monitoreo de integridad de datos, requiere que los datos TSF transmiten entre partes separadas del
TOE es monitoreado por fallos de integridad identificados.
Gestin 14.5.3 de FPT_ITT.1
a) la gestin de los tipos de modificacin respecto al cual la TSF debe proteger;
b) la gestin del mecanismo utilizado para proporcionar la proteccin de los datos en trnsito entre diferentes
partes de la TSF.
partes de la TSF;
c) la gestin del mecanismo de separacin.
12/6/2014 ISO / IEC 15408-2
81
Pgina 102
ISO / IEC 15408-2:2008 (E)
82
partes de la TSF;
c) la gestin de los tipos de modificacin de los datos de la TSF TSF debe tratar de detectar;
d) la gestin de la accin> s que se tomar.
14.5.6 Auditora de FPT_ITT.1, FPT_ITT.2
14.5.7 Auditora de FPT_ITT.3
PP / ST:
a) Mnimo: la deteccin de la modificacin de los datos de TSF;
b) bsica: las medidas adoptadas tras la deteccin de un error de integridad.
14.5.8 FPT_ITT.1 bsico de proteccin de transferencia de datos TSF interna
14.5.8.1 FPT_ITT.1.1
La TSF debe proteger los datos de la TSF [seleccin: la divulgacin, modificacin ] cuando se transmite
entre partes separadas del TOE.
14.5.9 FPT_ITT.2 TSF separacin de transferencia de datos
Jerrquica para: FPT_ITT.1 bsico de proteccin de transferencia de datos TSF interna
14.5.9.1 FPT_ITT.2.1
La TSF debe proteger los datos de la TSF [seleccin: la divulgacin, modificacin ] cuando se transmite entre
partes separadas del TOE.
14.5.9.2 FPT_ITT.2.2
La TSF debe separar los datos del usuario a partir de datos de TSF cuando tales datos se transmiten entre partes separadas
del TOE.
14.5.10 FPT_ITT.3 TSF monitoreo de integridad de datos
Dependencias: FPT_ITT.1 bsico de proteccin de transferencia de datos TSF interna
14.5.10.1 FPT_ITT.3.1
La TSF debe ser capaz de detectar [seleccin: la modificacin de los datos, la sustitucin de datos, re-ordenamiento de
de datos, la eliminacin de datos, [asignacin: otros errores de integridad] ] para los datos TSF transmitida entre separada
partes del TOE.
Pgina 103
ISO / IEC 15408-2:2008 (E)
12/6/2014 ISO / IEC 15408-2
83
14.5.10.2 FPT_ITT.3.2
Tras la deteccin de un error de integridad de los datos, la TSF debe tomar las siguientes medidas: [asignacin: especificar
la accin a tomar ].
Proteccin fsica 14.6 TSF (FPT_PHP)
TSF componentes de proteccin fsica se refieren a las restricciones de acceso fsico no autorizado a la TSF, y para
la disuasin y la resistencia a, la modificacin fsica no autorizado, o la sustitucin de la TSF.
Los requisitos de los componentes de esta familia aseguran que el TSF est protegido de la manipulacin fsica y
interferencia. La satisfaccin de los requerimientos de estos componentes da como resultado la TSF est envasados y utilizadas en
de tal manera que la manipulacin fsica es detectable, o la resistencia a la manipulacin indebida fsica se aplica. Sin
estos componentes, las funciones de proteccin de una TSF pierden su eficacia en entornos en fsica
el dao no puede ser prevenido. Esta familia tambin proporciona los requisitos relativos a la forma en la TSF debe responder a
manipulacin fsica intentos.
Deteccin FPT_PHP.1 pasiva de ataque fsico, establece las caractersticas que indican cuando un dispositivo TSF o
Elemento TSF est sujeta a la manipulacin. Sin embargo, la notificacin de la manipulacin no es automtica; un usuario autorizado
debe invocar una funcin administrativa de seguridad o llevar a cabo la inspeccin manual para determinar si la manipulacin tiene
ocurrido.
FPT_PHP.2 Notificacin de ataque fsico, prev la notificacin automtica de manipulacin para un determinado
subconjunto de penetraciones fsicas.
FPT_PHP.3 Resistencia al ataque fsico, p roporciona para las caractersticas que previenen o se resisten a la manipulacin fsica con
TSF dispositivos y elementos de TSF.
Gestin 14.6.3 de FPT_PHP.1
a) la gestin del usuario o funcin que determina si se ha producido manipulacin fsica.
a) la gestin del usuario o rol que consigue informado sobre las intrusiones;
b) la gestin de la lista de dispositivos que deben informar al usuario indicado o papel sobre la intrusin.
a) la gestin de las respuestas automticas a la manipulacin fsica.
14.6.6 Auditora de FPT_PHP.1
PP / ST:
a) Mnimo: si la deteccin por medios informticos, deteccin de intrusin.
Pgina 104
ISO / IEC 15408-2:2008 (E)
PP / ST:
a) Mnimo: deteccin de intrusin.
12/6/2014 ISO / IEC 15408-2
84
14.6.9 FPT_PHP.1 deteccin pasiva de ataque fsico
14.6.9.1 FPT_PHP.1.1
La TSF debe proporcionar una deteccin inequvoca de manipulacin fsica que pudiera comprometer la TSF.
14.6.9.2 FPT_PHP.1.2
La TSF debe ofrecer la posibilidad de determinar si la manipulacin fsica de los dispositivos de la TSF
o se ha producido elementos de la TSF.
14.6.10 FPT_PHP.2 Notificacin de ataque fsico
Jerrquica para: Deteccin FPT_PHP.1 pasiva de ataque fsico
Dependencias: Gestin FMT_MOF.1 de funciones de seguridad comportamiento
14.6.10.1 FPT_PHP.2.1
La TSF debe proporcionar una deteccin inequvoca de manipulacin fsica que pudiera comprometer la TSF.
14.6.10.2 FPT_PHP.2.2
La TSF debe ofrecer la posibilidad de determinar si la manipulacin fsica de los dispositivos de la TSF TSF o de
se ha producido elementos.
14.6.10.3 FPT_PHP.2.3
Para [asignacin: se requiere la lista de dispositivos / TSF elementos para los que la deteccin activa ], la TSF debe
monitorizar los dispositivos y elementos y notificar [asignacin: un usuario o rol designado ] cuando fsica
manipulacin de los dispositivos de la TSF o elementos de la TSF ha ocurrido.
14.6.11 FPT_PHP.3 Resistencia a la agresin fsica
14.6.11.1 FPT_PHP.3.1
La TSF debe resistir [asignacin: escenarios de manipulacin fsica ] a la [asignacin: lista de TSF
dispositivos / elementos ] respondiendo tal forma automtica que las SFR siempre se hacen cumplir.
Pgina 105
ISO / IEC 15408-2:2008 (E)
14.7 recuperacin de confianza (FPT_RCV)
Los requisitos de esta familia aseguran que el TSF puede determinar que el TOE se pone en marcha sin
compromiso de proteccin y puede recuperar sin la proteccin de compromiso despus de la discontinuidad de las operaciones. Este
la familia es importante porque el estado de puesta en marcha de la TSF determina la proteccin de los estados siguientes.
FPT_RCV.1 Manual de recuperacin, un llows un dedo del pie para proporcionar slo los mecanismos que implican la intervencin humana para
volver a un estado seguro.
Recuperacin FPT_RCV.2 automatizado, Pro proporciona, para al menos un tipo de discontinuidad del servicio, la recuperacin a un seguro
Estado sin intervencin humana; recuperacin para otras discontinuidades puede requerir intervencin humana.
Recuperacin FPT_RCV.3 automatizada y sin prdida indebida, un lso prev la recuperacin automatizada, pero fortalece
los requisitos de no permitir la prdida indebida de bienes protegidos.
Recuperacin de la funcin FPT_RCV.4, p roporciona para la recuperacin en el nivel de funciones particulares, asegurando ya sea
completar con xito o rollback de los datos TSF a un estado seguro.
12/6/2014 ISO / IEC 15408-2
85
Gestin 14.7.3 de FPT_RCV.1
a) Gestin de quin puede tener acceso a la capacidad de restaurar en el modo de mantenimiento.
Gestin 14.7.4 de FPT_RCV.2, FPT_RCV.3
a) Gestin de quin puede tener acceso a la capacidad de restaurar en el modo de mantenimiento;
b) la gestin de la lista de discontinuidades fracasos / servicios que se manejan a travs de la automtica
procedimientos.
Gestin 14.7.5 de FPT_RCV.4
14.7.6 Auditora de FPT_RCV.1, FPT_RCV.2, FPT_RCV.3
PP / ST:
a) Mnimo: el hecho de que se produjo un error o servicio discontinuidad;
b) Minimal: reanudacin de la aplicacin regular;
c) bsica: tipo de falla o servicio discontinuidad.
14.7.7 Auditora de FPT_RCV.4
PP / ST:
a) Mnimo: si es posible, la imposibilidad de volver a un estado seguro despus de un fallo de la TSF;
Pgina 106
ISO / IEC 15408-2:2008 (E)
b) bsica: si es posible, la deteccin de un fallo de una funcin.
14.7.8 FPT_RCV.1 Manual de recuperacin
Dependencias: AGD_OPE.1 gua de usuario Operacional
14.7.8.1 FPT_RCV.1.1
Despus de [asignacin: lista de fallos / discontinuidades de servicios ] la TSF pasar a un modo de mantenimiento
donde se ofrece la posibilidad de volver a un estado seguro.
Recuperacin 14.7.9 FPT_RCV.2 Automatizado
Jerrquico de: FPT_RCV.1 Manual de recuperacin
14.7.9.1 FPT_RCV.2.1
Cuando la recuperacin automatizada de [asignacin: lista de discontinuidades fallas / Servicio ] no es posible, la TSF
pasar a un modo de mantenimiento en el que se proporciona la posibilidad de volver a un estado seguro.
14.7.9.2 FPT_RCV.2.2
Para [asignacin: lista de discontinuidades fallas / Servicio ], la TSF debe garantizar el retorno de la TOE
un estado seguro mediante procedimientos automatizados.
07/14/10 FPT_RCV.3 recuperacin automatizada y sin prdida indebida
Jerrquico de: recuperacin FPT_RCV.2 Automatizado
12/6/2014 ISO / IEC 15408-2
86
14.7.10.1 FPT_RCV.3.1
Cuando la recuperacin automatizada de [asignacin: lista de discontinuidades fallas / Servicio ] no es posible, la TSF
pasar a un modo de mantenimiento en el que se proporciona la posibilidad de volver a un estado seguro.
14.7.10.2 FPT_RCV.3.2
Para [asignacin: lista de discontinuidades fallas / Servicio ], la TSF debe garantizar el retorno de la TOE a un seguro
estado utilizando procedimientos automatizados.
14.7.10.3 FPT_RCV.3.3
Las funciones proporcionadas por la TSF para recuperarse de un fallo o discontinuidad del servicio se asegurarn de que
el estado inicial seguro que se restablezca sin exceder [asignacin: cuantificacin ] por la prdida de datos de TSF
u objetos bajo el control de la TSF.
14.7.10.4 FPT_RCV.3.4
La TSF debe ofrecer la capacidad para determinar los objetos que fueron o no fueron capaces de ser
recuperado.
Pgina 107
ISO / IEC 15408-2:2008 (E)
14.7.11 recuperacin FPT_RCV.4 Funcin
14.7.11.1 FPT_RCV.4.1
La TSF debe garantizar que [asignacin: lista de funciones y situaciones de fallo ] tienen la propiedad de que
la funcin o bien se realiza correctamente, o para los escenarios de fallo indicados, se recupera a un
estado consistente y seguro.
14.8 Deteccin Replay (FPT_RPL)
Esta familia se ocupa de la deteccin de la repeticin de varios tipos de entidades (por ejemplo, los mensajes, las solicitudes de servicio,
respuestas de servicio) y las acciones posteriores para corregir. En el caso en el que la repeticin puede ser detectada, este
efectivamente lo impide.
La familia se compone de un solo componente, deteccin FPT_RPL.1 Replay, que exige que la TSF debe
ser capaz de detectar la repeticin de las entidades identificadas.
Gestin 14.8.3 de FPT_RPL.1
a) la gestin de la lista de entidades identificadas para los que se detect la repeticin;
b) la gestin de la lista de acciones que se deben tomar en caso de repeticin.
14.8.4 Auditora de FPT_RPL.1
PP / ST:
ataques de repeticin detectadas: a) Basic.
b) detallada: Acciones a tomar en base a las acciones especficas.
14.8.5 Deteccin FPT_RPL.1 Replay
12/6/2014 ISO / IEC 15408-2
87
14.8.5.1 FPT_RPL.1.1
La TSF debe detectar la repeticin de las siguientes entidades: [asignacin: lista de entidades identificadas ].
14.8.5.2 FPT_RPL.1.2
La TSF debe realizar [asignacin: lista de acciones especficas ] cuando se detecta replay.
Pgina 108
ISO / IEC 15408-2:2008 (E)
Protocolo sincrona 14.9 Estado (FPT_SSP)
TOE distribuidos pueden dar lugar a una mayor complejidad de las TOE monolticos a travs de la posibilidad de
diferencias en el estado entre partes del TOE, y por medio de los retrasos en la comunicacin. En la mayora de los casos
sincronizacin de estado entre las funciones distribuidas implica un protocolo de intercambio, no una simple accin.
Cuando existe malicia en el entorno distribuido de estos protocolos, los protocolos defensivas son ms complejos
requerida.
Protocolo de sincrona Estado (FPT_SSP) es tablece la obligacin para ciertas funciones crticas de la TSF para
utilizar este protocolo de confianza . Protocolo de sincrona Estado (FPT_SSP) asegura que dos partes distribuidas de la TOE
(Por ejemplo, los ejrcitos) han sincronizado sus estados despus de una accin relevante para la seguridad.
FPT_SSP.1 reconocimiento confianza simple, re requiere slo un simple reconocimiento por parte del receptor de datos.
Reconocimiento mutuo de confianza FPT_SSP.2, r equiere reconocimiento mutuo del intercambio de datos.
Gestin 14.9.3 de FPT_SSP.1, FPT_SSP.2
14.9.4 Auditora de FPT_SSP.1, FPT_SSP.2
PP / ST:
a) Mnimo: falta de recepcin de un acuse de recibo cuando se espera.
14.9.5 FPT_SSP.1 reconocimiento confianza simple
14.9.5.1 FPT_SSP.1.1
La TSF debe reconocer, a peticin de otra parte de la TSF, la recepcin de un sin modificar
La transmisin de datos TSF.
Reconocimiento mutuo de confianza 14.9.6 FPT_SSP.2
Jerrquica para: FPT_SSP.1 reconocimiento confianza simple
14.9.6.1 FPT_SSP.2.1
La TSF debe reconocer, a peticin de otra parte de la TSF, la recepcin de una TSF sin modificar
la transmisin de datos.
14.9.6.2 FPT_SSP.2.2
La TSF debe garantizar que las partes pertinentes de la TSF saben el estado correcto de los datos transmitidos
12/6/2014 ISO / IEC 15408-2
88
entre sus diferentes partes, con agradecimientos.
Pgina 109
ISO / IEC 15408-2:2008 (E)
89
14.10 Las marcas de tiempo (FPT_STM)
Esta familia se ocupa de los requisitos para una funcin de sello de tiempo de confianza dentro de una TOE.
Esta familia se compone de un solo componente, FPT_STM.1 marcas de tiempo fiable, que requiere que el TSF
proporcionar marcas de tiempo fiables para las funciones de TSF.
14.10.3 Gestin de FPT_STM.1
a) la gestin del tiempo.
14.10.4 Auditora de FPT_STM.1
PP / ST:
a) Mnimos: cambios en el tiempo.
b) detallada: proporcionar una indicacin de la hora.
14.10.5 FPT_STM.1 marcas de tiempo fiables
14.10.5.1 FPT_STM.1.1
La TSF debe ser capaz de proporcionar marcas de tiempo fiables.
14.11 consistencia de los datos entre TSF TSF (FPT_TDC)
En un entorno distribuido, una TOE puede necesitar para intercambiar datos de TSF (por ejemplo, los SFP-atributos asociados con
de datos, la informacin de auditora, la informacin de identificacin) con otro producto de TI confiable, Esta familia define el
requisitos para el intercambio y la interpretacin uniforme de estos atributos entre la TSF del TOE y una
diferentes productos de TI de confianza.
FPT_TDC.1 Inter-TSF coherencia bsica de datos TSF, r equiere que el TSF proporcionan la capacidad para asegurar
consistencia de atributos entre TSF.
14.11.3 Gestin de FPT_TDC.1
14.11.4 Auditora de FPT_TDC.1
PP / ST:
Pgina 110
12/6/2014 ISO / IEC 15408-2
ISO / IEC 15408-2:2008 (E)
90
a) Mnimo: El uso exitoso de TSF mecanismos de consistencia de datos.
b) Bsico: El uso de los mecanismos de coherencia de datos de TSF.
c) bsica: Identificacin de los cuales los datos de TSF se han interpretado.
d) bsica: Deteccin de datos TSF modificados.
14.11.5 FPT_TDC.1 Inter-TSF TSF consistencia de los datos bsicos
14.11.5.1 FPT_TDC.1.1
La TSF debe ofrecer la capacidad de interpretar constantemente [asignacin: lista de tipos de datos de la TSF ] cuando
compartida entre la TSF y otro producto de TI de confianza.
14.11.5.2 FPT_TDC.1.2
La TSF debe utilizar [asignacin: lista de reglas de interpretacin que deben aplicar la TSF ] al interpretar
los datos de TSF de otro producto de TI de confianza.
14.12 Prueba de entidades externas (FPT_TEE)
Esta familia define requisitos para la TSF para llevar a cabo pruebas en una o ms entidades externas.
Este componente no est destinado a ser aplicado a los usuarios humanos.
Las entidades externas pueden incluir aplicaciones que se ejecutan en el TOE, hardware o software que se ejecuta "por debajo" de la
TOE (plataformas, sistemas operativos, etc) o aplicaciones / cajas conectadas a la TOE (deteccin de intrusos
sistemas, cortafuegos, servidores de acceso, servidores de tiempo etc.)
Pruebas FPT_TEE.1 de entidades externas, ofrece para las pruebas de las entidades externas por el TSF.
14.12.3 Gestin de FPT_TEE.1
a) la gestin de las condiciones bajo las que se produce la prueba de entidades externas, como durante la formacin inicial
puesta en marcha, el intervalo regular, o bajo condiciones especficas;
b) La gestin del intervalo de tiempo en su caso.
14.12.4 Auditora de FPT_TEE.1
PP / ST:
a) bsica: Ejecucin de las pruebas de las entidades externas y los resultados de las pruebas.
14.12.5 Prueba FPT_TEE.1 de entidades externas
Pgina 111
ISO / IEC 15408-2:2008 (E)
14.12.5.1 FPT_TEE.1.1
La TSF debe ejecutar una serie de pruebas [seleccin: durante la primera puesta en marcha, peridicamente durante el funcionamiento normal
operacin, a solicitud de un usuario autorizado, [asignacin: otras condiciones] ] para comprobar la
cumplimiento de [asignacin: lista de propiedades de las entidades externas ].
12/6/2014 ISO / IEC 15408-2
91
14.12.5.2 FPT_TEE.1.2
Si la prueba falla, la TSF debe [asignacin: la accin (s) ].
14.13 TSF TOE interna coherencia de replicacin de datos (FPT_TRC)
Se necesitan los requisitos de esta familia para garantizar la coherencia de los datos TSF cuando tales datos son
replicado interna a la TOE. Tales datos pueden ser incompatibles si el canal interno entre las partes de la
TOE deja de funcionar. Si el TOE se estructura internamente como una red y las partes de la red TOE
conexiones se rompen, esto puede ocurrir cuando las piezas se convierten en discapacitados.
Esta familia se compone de un solo componente, FPT_TRC.1 TSF interna consistencia, que exige que la
TSF garantizar la coherencia de los datos TSF que se replica en varios lugares.
14.13.3 Gestin de FPT_TRC.1
14.13.4 Auditora de FPT_TRC.1
PP / ST:
a) Mnimo: restaurar la consistencia despus de la reconexin.
b) bsica: inconsistencia detectada entre los datos de la TSF.
14.13.5 FPT_TRC.1 TSF interna consistencia
14.13.5.1 FPT_TRC.1.1
La TSF debe garantizar que los datos TSF es consistente cuando se replican entre partes del TOE.
14.13.5.2 FPT_TRC.1.2
Cuando se desconectan partes del TOE que contiene datos de TSF replicados, la TSF debe garantizar la
la consistencia de los datos TSF replicados al volver a conectarse antes de procesar cualquier solicitud de
[Asignacin: lista de las funciones que dependen de la replicacin de datos TSF consistencia ].
Pgina 112
ISO / IEC 15408-2:2008 (E)
Autotest 14.14 TSF (FPT_TST)
La familia define los requisitos para el autodiagnstico de la TSF respecto de algunos correcta esperada
operacin. Ejemplos son interfaces para las funciones de aplicacin, y las operaciones aritmticas de ejemplo en crtico
partes del TOE. Estas pruebas se pueden realizar en la puesta en marcha, peridicamente, a peticin del usuario autorizado,
o cuando se cumplen otras condiciones. Las acciones a ser tomadas por el TOE como el resultado de las pruebas de auto se definen
en otras familias.
Tambin son necesarios los requisitos de esta familia para detectar la corrupcin de los datos TSF TSF y s (es decir, TSF
cdigo ejecutable o TSF componente de hardware) por diversas fallas que no se detienen necesariamente del TOE
operacin (que sera manejado por otras familias). Estos controles deben ser realizados debido a que estos
fallas pueden no necesariamente ser prevenidos. Tales fallas pueden ocurrir ya sea debido a un fallo imprevisto
modos o descuidos asociados en el diseo de hardware, firmware o software, o por la maliciosa
corrupcin de la TSF debido a la proteccin lgica y / o fsica inadecuada.
12/6/2014 ISO / IEC 15408-2
92
Pruebas TSF FPT_TST.1, ofrece la posibilidad de probar el correcto funcionamiento de la TSF. Estas pruebas pueden ser
realizado en la puesta en marcha, peridicamente, a peticin del usuario autorizado, o cuando se cumplan otras condiciones. Lo
Tambin ofrece la posibilidad de verificar la integridad de los datos de la TSF y la propia TSF.
14.14.3 Gestin de FPT_TST.1
a) la gestin de las condiciones bajo las que se produce la prueba de auto TSF, como en la primera puesta en marcha, regular
intervalo, o bajo condiciones especficas;
b) La gestin del intervalo de tiempo en su caso.
14.14.4 Auditora de FPT_TST.1
PP / ST:
a) bsica: Ejecucin de las pruebas de auto TSF y los resultados de las pruebas.
Pruebas TSF 14.14.5 FPT_TST.1
14.14.5.1 FPT_TST.1.1
La TSF debe ejecutar una serie de pruebas de auto [seleccin: durante la primera puesta en marcha, peridicamente durante el funcionamiento normal
operacin, a peticin del usuario autorizado, en las condiciones [asignacin: condiciones en las que
autotest debe ocurrir] ] para demostrar el correcto funcionamiento de [seleccin: [asignacin: partes de TSF],
la TSF ].
14.14.5.2 FPT_TST.1.2
La TSF debe proporcionar a los usuarios autorizados la capacidad de verificar la integridad de [seleccin:
[Asignacin: partes de los datos de la TSF], los datos TSF ].
Pgina 113
ISO / IEC 15408-2:2008 (E)
14.14.5.3 FPT_TST.1.3
La TSF debe proporcionar a los usuarios autorizados la capacidad de verificar la integridad de [seleccin:
[Asignacin: partes de TSF], TSF ].
FRU 15 Class: La utilizacin de recursos
Esta clase proporciona tres familias que apoyan a la disponibilidad de los recursos necesarios, tales como el procesamiento de
capacidad y / o capacidad de almacenamiento. La tolerancia a fallos de la familia proporciona proteccin contra la falta de disponibilidad de
capacidades causados por el fallo de la TOE. La prioridad de la familia de servicio asegura que los recursos sern
asignado a las tareas ms importantes o crticos en el tiempo y no pueden ser monopolizados por tareas de menor prioridad. La
de asignacin de recursos de la familia proporciona lmites sobre el uso de los recursos disponibles, por lo tanto, evitar que los usuarios
monopolizar los recursos.
Figura 15 - FRU: Recurso clase de utilizacin de descomposicin
15.1 Tolerancia a fallos (FRU_FLT)
12/6/2014 ISO / IEC 15408-2
93
Los requisitos de esta familia aseguran que el TOE mantendr un correcto funcionamiento incluso en caso de
fracasos.
FRU_FLT.1 Degradado de tolerancia a fallos, re requiere la TOE para continuar el funcionamiento correcto de las capacidades identificadas
en el caso de los fallos detectados.
Tolerancia a fallos FRU_FLT.2 Limited, requiere que el TOE para continuar el funcionamiento correcto de todas las capacidades en el
caso de los fallos detectados.
15.1.3 Gestin de FRU_FLT.1, FRU_FLT.2
15.1.4 Auditora de FRU_FLT.1
PP / ST:
a) Mnimo: Cualquier fallo detectado por el TSF.
b) bsica: Todas las capacidades de TOE se interrumpieron debido a un fallo.
15.1.5 Auditora de FRU_FLT.2
PP / ST:
Pgina 114
ISO / IEC 15408-2:2008 (E)
a) Mnimo: Cualquier fallo detectado por el TSF.
15.1.6 FRU_FLT.1 tolerancia a fallos degradado
Dependencias: Si no FPT_FLS.1 con preservacin de las condiciones de seguridad
15.1.6.1 FRU_FLT.1.1
La TSF debe garantizar el funcionamiento de [asignacin: lista de capacidades TOE ] cuando la siguiente
fracasos ocurren: [asignacin: lista de tipo de fallos ].
Tolerancia a fallos 15.1.7 FRU_FLT.2 Limited
Jerrquica para: FRU_FLT.1 tolerancia a fallos degradado
Dependencias: Si no FPT_FLS.1 con preservacin de las condiciones de seguridad
15.1.7.1 FRU_FLT.2.1
La TSF debe garantizar el funcionamiento de todas las capacidades de la TOE cuando ocurran los siguientes fallos:
[Asignacin: lista de tipo de fallos ].
15.2 Prioridad de servicio (FRU_PRS)
Los requisitos de esta familia permiten la TSF para controlar el uso de los recursos bajo el control de la TSF por
los usuarios y los sujetos de tal manera que las actividades de alta prioridad en el marco del control de la TSF siempre se lograrn
sin interferencia indebida o retraso causado por las actividades de baja prioridad.
FRU_PRS.1 limitada prioridad del servicio, proporciona prioridades para el uso de un sujeto de un subconjunto de los recursos
bajo el control de la TSF.
FRU_PRS.2 prioridad completa de servicio, proporciona las prioridades para el uso de un tema de todos los recursos en el marco del
control de la TSF.
15.2.3 Gestin de FRU_PRS.1, FRU_PRS.2
12/6/2014 ISO / IEC 15408-2
94
a) la asignacin de prioridades a cada tema en el TSF.
15.2.4 Auditora de FRU_PRS.1, FRU_PRS.2
PP / ST:
a) Mnimo: Rechazo de la operacin basado en el uso de prioridad dentro de una asignacin.
b) bsica: Todos los intentos de usos de la funcin de asignacin que implica la prioridad de las funciones de servicio.
15.2.5 FRU_PRS.1 prioridad limitada de servicio
Pgina 115
ISO / IEC 15408-2:2008 (E)
15.2.5.1 FRU_PRS.1.1
La TSF debe asignar una prioridad a cada sujeto en el TSF.
15.2.5.2 FRU_PRS.1.2
La TSF debe garantizar que cada acceso a [asignacin: controlado recursos ] deber ser mediado en el
base de los sujetos asignados prioridad.
15.2.6 FRU_PRS.2 prioridad completa de servicio
Jerrquica para: Prioridad FRU_PRS.1 limitada de servicio
15.2.6.1 FRU_PRS.2.1
La TSF debe asignar una prioridad a cada sujeto en el TSF.
15.2.6.2 FRU_PRS.2.2
La TSF debe garantizar que cada acceso a todos los recursos que se pueden compartir , se medi en la base de la
los sujetos asignan prioridad.
15.3 La asignacin de recursos (FRU_RSA)
Los requisitos de esta familia permiten la TSF para controlar el uso de recursos por parte de los usuarios y los sujetos de tal manera que
denegacin de servicio no se producir debido a la monopolizacin no autorizado de recursos.
Cuotas Mximo FRU_RSA.1, p roporciona requisitos para los mecanismos de cuotas que garantizan que los usuarios y
los sujetos no monopolizar un recurso controlado.
FRU_RSA.2 mnimo y cupos mximos, pr ovides requisitos para los mecanismos de cuotas que aseguren que
los usuarios y los sujetos tendrn siempre al menos un mnimo de un recurso especificado y que no sern capaces
monopolizar un recurso controlado.
15.3.3 Gestin de FRU_RSA.1
a) especificar los lmites mximos para un recurso para grupos y / o usuarios y / o sujetos individuales por un
administrador.
15.3.4 Gestin de FRU_RSA.2
12/6/2014 ISO / IEC 15408-2
95
a) especificar los lmites mximos para un recurso mnimo y para los grupos y / o usuarios y / o sujetos individuales por un administrador.
Pgina 116
ISO / IEC 15408-2:2008 (E)
96
15.3.5 Auditora de FRU_RSA.1, FRU_RSA.2
PP / ST:
a) Mnimo: Rechazo de la operacin de asignacin debido a los lmites de recursos.
b) Bsico: Todos los intentos de los usos de las funciones de asignacin de recursos para los recursos que se encuentran bajo el control de la
TSF.
15.3.6 FRU_RSA.1 cuotas mximas
15.3.6.1 FRU_RSA.1.1
La TSF debe aplicar las cuotas mximas de los siguientes recursos: [asignacin: controlado
recursos ] que [seleccin: usuario individual, grupo definido de usuarios, temas ] puede utilizar [seleccin:
al mismo tiempo, durante un perodo determinado de tiempo ].
15.3.7 FRU_RSA.2 mnimos y cuotas mximas
Jerrquica para: Cuotas Mximo FRU_RSA.1
15.3.7.1 FRU_RSA.2.1
La TSF debe aplicar las cuotas mximas de los siguientes recursos [asignacin: control de recursos ] que
[Seleccin: usuario individual, grupo definido de usuarios, temas ] puede utilizar [seleccin: al mismo tiempo, a travs de una
especificado perodo de tiempo ].
15.3.7.2 FRU_RSA.2.2
La TSF debe garantizar la prestacin de la cantidad mnima de cada [asignacin: recurso controlado ]
que est disponible para [seleccin: un usuario individual, grupo definido de usuarios, los sujetos ] para utilizar [seleccin:
al mismo tiempo, durante un perodo determinado de tiempo ].
12/6/2014 ISO / IEC 15408-2
Pgina 117
ISO / IEC 15408-2:2008 (E)
97
16 Clase FTA: acceso TOE
Esta familia se especifican los requisitos funcionales para controlar el establecimiento de la sesin de un usuario.
Figura 16 - FTA: clase de acceso TOE descomposicin
16.1 Limitacin de alcance de atributos seleccionables (FTA_LSA)
Esta familia define requisitos para limitar el alcance de la sesin de los atributos de seguridad que un usuario puede seleccionar para una
sesin.
FTA_LSA.1 limitacin en el alcance de atributos seleccionables, proporciona el requisito de un TOE limitar el alcance
de la sesin de los atributos de seguridad durante el establecimiento de la sesin.
Gestin 16.1.3 de FTA_LSA.1
a) La gestin del alcance de la seguridad de sesin atribuye por un administrador.
16.1.4 Auditora de FTA_LSA.1
PP / ST:
a) Mnimo: Todos intentos fallido de la seleccin de un atributo de seguridad de sesin.
b) Bsico: Todos los intentos de la seleccin de un atributo de seguridad de sesin.
c) detallada: Captura de los valores de cada uno los atributos de seguridad de sesin.
Pgina 118
ISO / IEC 15408-2:2008 (E)
16.1.5 FTA_LSA.1 Limitacin en el alcance de atributos seleccionables
12/6/2014 ISO / IEC 15408-2
98
16.1.5.1 FTA_LSA.1.1
La TSF debe restringir el alcance de los atributos de seguridad de sesin [asignacin: seguridad de sesin
atributos ], sobre la base de [asignacin: atributos ].
16.2 Limitacin de las mltiples sesiones concurrentes (FTA_MCS)
Esta familia define requisitos para colocar lmites en el nmero de sesiones simultneas que pertenecen a la misma
de usuario.
FTA_MCS.1 limitacin bsica en varias sesiones simultneas, pr ovides limitaciones que se aplican a todos los usuarios de la
TSF.
FTA_MCS.2 Por limitacin de atributos de usuario en mltiples concurrentes sesin s extiende limitacin FTA_MCS.1 bsico
en varias sesiones simultneas , al exigir la posibilidad de especificar las limitaciones sobre el nmero de concurrentes
sesiones sobre la base de los atributos de seguridad relacionados.
Gestin 16.2.3 de FTA_MCS.1
a) la gestin del nmero mximo permitido de las sesiones de usuario simultneas por un administrador.
Gestin 16.2.4 de FTA_MCS.2
a) la gestin de las reglas que rigen el nmero mximo permitido de las sesiones de usuario simultneas por un
administrador.
16.2.5 Auditora de FTA_MCS.1, FTA_MCS.2
PP / ST:
a) Mnimo: Rechazo de una nueva sesin basada en la limitacin de las mltiples sesiones concurrentes.
b) detallada: Captura del nmero de sesiones de usuario concurrentes actualmente y el atributo (s) de seguridad del usuario.
16.2.6 FTA_MCS.1 limitacin bsica en varias sesiones simultneas
16.2.6.1 FTA_MCS.1.1
La TSF debe restringir el nmero mximo de sesiones simultneas que pertenecen al mismo usuario.
Pgina 119
ISO / IEC 15408-2:2008 (E)
16.2.6.2 FTA_MCS.1.2
La TSF debe aplicar, por defecto, un lmite de [asignacin: nmero por defecto ] sesiones por usuario.
16.2.7 FTA_MCS.2 Por usuario atributo limitacin en varias sesiones simultneas
Jerrquica para: FTA_MCS.1 limitacin bsica en varias sesiones simultneas
16.2.7.1 FTA_MCS.2.1
La TSF debe restringir el nmero mximo de sesiones simultneas que pertenecen al mismo usuario segn
a las reglas [asignacin: reglas para el nmero de sesiones simultneas mximas ].
16.2.7.2 FTA_MCS.2.2
12/6/2014 ISO / IEC 15408-2
99
La TSF debe aplicar, por defecto, un lmite de [asignacin: nmero por defecto ] sesiones por usuario.
Bloqueo 16,3 y finalizacin de sesin (FTA_SSL)
Esta familia define requisitos para la TSF para proporcionar la capacidad de TSF-iniciado y promovido por el usuario
bloqueo, desbloqueo, y la terminacin de las sesiones interactivas.
Cierre la sesin iniciada por el TSF FTA_SSL.1 en sistema incluye iniciar el bloqueo de una sesin interactiva despus de un
especificado perodo de inactividad del usuario.
FTA_SSL.2 de bloqueo iniciada por el usuario, proporciona capacidades para el usuario para bloquear y desbloquear propia del usuario
sesiones interactivas.
Terminacin iniciada por TSF FTA_SSL.3, proporciona los requisitos para la TSF para terminar la sesin despus de un
especificado perodo de inactividad del usuario.
FTA_SSL.4 terminacin iniciada por el usuario, p roporciona capacidades para el usuario de rescindir el usuario del propio interactivo
sesiones.
Gestin 16.3.3 de FTA_SSL.1
a) especificacin del tiempo de inactividad tras el cual se produce bloqueo de un usuario individual;
b) especificacin de la hora predeterminada de inactividad despus del cual se produce bloqueo;
c) la gestin de los eventos que deben ocurrir antes de desbloquear la sesin.
a) la gestin de los eventos que deben ocurrir antes de desbloquear la sesin.
Pgina 120
ISO / IEC 15408-2:2008 (E)
a) especificacin del tiempo de inactividad del usuario despus de que la terminacin de la sesin interactiva se produce una
usuario individual;
b) especificacin de la hora predeterminada de inactividad despus del cual se produce la terminacin de la sesin interactiva.
16.3.7 Auditora de FTA_SSL.1, FTA_SSL.2
PP / ST:
a) Mnimo: Bloqueo de una sesin interactiva con el mecanismo de cierre de sesin.
b) Minimal: Successful desbloqueo de una sesin interactiva.
c) bsica: Cualquier intento de desbloquear una sesin interactiva.
16.3.8 Auditora de FTA_SSL.3
PP / ST:
a) Mnimo: Terminacin de una sesin interactiva con el mecanismo de cierre de sesin.
16.3.9 Auditora de FTA_SSL.4
12/6/2014 ISO / IEC 15408-2
100
PP / ST:
a) Mnimo: Terminacin de una sesin interactiva por el usuario.
Cierre la sesin iniciada por el TSF 16.3.10 FTA_SSL.1
16.3.10.1 FTA_SSL.1.1
La TSF debe bloquear una sesin interactiva despus de [asignacin: intervalo de tiempo de inactividad del usuario ] a travs de:
a) compensacin o sobrescribir los dispositivos de visualizacin, por lo que el contenido actual ilegible;
b) que impide cualquier actividad de los dispositivos de acceso a datos / pantalla del usuario se aparte de abrir la sesin.
16.3.10.2 FTA_SSL.1.2
La TSF debe exigir a los siguientes eventos que se produzcan antes de abrir la sesin: [asignacin:
eventos que ocurran ].
16.3.11 FTA_SSL.2 bloqueo iniciado por el usuario
Pgina 121
ISO / IEC 15408-2:2008 (E)
16.3.11.1 FTA_SSL.2.1
La TSF debe permitir bloqueo iniciado por el usuario de la propia sesin interactiva del usuario, a travs de:
a) compensacin o sobrescribir los dispositivos de visualizacin, por lo que el contenido actual ilegible;
b) que impide cualquier actividad de los dispositivos de acceso a datos / pantalla del usuario se aparte de abrir la sesin.
16.3.11.2 FTA_SSL.2.2
La TSF debe exigir a los siguientes eventos que se produzcan antes de abrir la sesin: [asignacin:
eventos que ocurran ].
Terminacin TSF-iniciado 16/03/12 FTA_SSL.3
16.3.12.1 FTA_SSL.3.1
La TSF debe terminar una sesin interactiva despus de un [asignacin: intervalo de tiempo de inactividad del usuario ].
03/16/13 FTA_SSL.4 terminacin iniciada por el usuario
16.3.13.1 FTA_SSL.4.1
La TSF debe permitir la terminacin iniciada por el usuario de la propia sesin interactiva del usuario.
16.4 banners de acceso TOE (FTA_TAB)
Esta familia define requisitos para mostrar un mensaje de advertencia configurable asesoramiento a los usuarios en cuanto a la
uso adecuado del TOE.
12/6/2014 ISO / IEC 15408-2
101
FTA_TAB.1 acceso predeterminados TOE banners, p roporciona el requisito de un TOE Acceso Banner. Esta bandera es
aparece antes del establecimiento del dilogo para una sesin.
Gestin 16.4.3 de FTA_TAB.1
a) el mantenimiento de la bandera por el administrador autorizado.
16.4.4 Auditora de FTA_TAB.1
16.4.5 FTA_TAB.1 Defecto banners de acceso TOE
Pgina 122
ISO / IEC 15408-2:2008 (E)
16.4.5.1 FTA_TAB.1.1
Antes de establecer una sesin de usuario, la TSF debe mostrar un mensaje de advertencia consultiva sobre
uso no autorizado de la TOE.
16.5 historial de acceso TOE (FTA_TAH)
Esta familia define requisitos para la TSF para mostrar a un usuario, al establecimiento de sesin exitoso, un
historia de los intentos exitosos y fallidos de acceso a la cuenta del usuario.
FTA_TAH.1 historial de acceso TOE, pr ovides el requisito de un TOE para ver la informacin relacionada con la anterior
los intentos de establecer una sesin.
Gestin 16.5.3 de FTA_TAH.1
16.5.4 Auditora de FTA_TAH.1
16.5.5 historia FTA_TAH.1 acceso TOE
16.5.5.1 FTA_TAH.1.1
Una vez establecida la sesin con xito, la TSF debe mostrar la [seleccin: fecha, hora y mtodo,
ubicacin ] del ltimo establecimiento de sesin con xito para el usuario.
16.5.5.2 FTA_TAH.1.2
Una vez establecida la sesin con xito, la TSF debe mostrar la [seleccin: fecha, hora y mtodo,
ubicacin ] del ltimo intento fallido de establecimiento de la sesin y el nmero de xito
los intentos desde el ltimo perodo de sesiones establecimiento exitoso.
16.5.5.3 FTA_TAH.1.3
El TSF no har que desaparezca la informacin del historial de acceso desde la interfaz de usuario sin dar al usuario
una oportunidad para revisar la informacin.
Establecimiento de la sesin 16.6 TOE (FTA_TSE)
12/6/2014 ISO / IEC 15408-2
102
Esta familia define requisitos para denegar un permiso de usuario para establecer una sesin con el TOE.
Establecimiento FTA_TSE.1 sesin TOE, establece los requisitos para denegar a los usuarios el acceso a la TOE basada
en atributos.
Pgina 123
ISO / IEC 15408-2:2008 (E)
103
Gestin 16.6.3 de FTA_TSE.1
a) la gestin de las condiciones de establecimiento de la sesin por el administrador autorizado.
16.6.4 Auditora de FTA_TSE.1
PP / ST:
a) Mnimo: Denegacin de un establecimiento de la sesin debido al mecanismo de establecimiento de la sesin.
b) Bsico: Todos los intentos de establecimiento de una sesin de usuario.
c) detallada: Captura del valor de los parmetros de acceso seleccionados (por ejemplo, la ubicacin de acceso, tiempo de
de acceso).
16.6.5 establecimiento de sesin FTA_TSE.1 TOE
16.6.5.1 FTA_TSE.1.1
La TSF debe ser capaz de negar el establecimiento de sesin basado en [asignacin: atributos ].
17 Clase FTP: Trusted ruta / canales
Las familias de esta clase se especifican los requisitos para una ruta de comunicacin de confianza entre los usuarios y la TSF, y
para un canal de comunicacin confiable entre la TSF y otros productos de TI de confianza. Caminos y de confianza
canales tienen las siguientes caractersticas generales:
El camino de comunicaciones se construye utilizando los canales de comunicacin internos y externos (como
apropiado para el componente) que aislar un subconjunto identificado de los datos de la TSF y los comandos del
resto de la TSF y datos de usuario.
El uso de la va de comunicacin puede ser iniciado por el usuario y / o la TSF (segn corresponda a la
componente).
El camino de comunicaciones es capaz de proporcionar la seguridad de que el usuario se est comunicando con la
correcta TSF, y que la TSF se est comunicando con el usuario correcto (segn sea apropiado para el componente).
En este paradigma, un canal de confianza es un canal de comunicacin que puede ser iniciado por cualquier lado de la
canal, y proporciona caractersticas de no repudio con respecto a la identidad de los lados del canal.
Una ruta de confianza proporciona un medio para que los usuarios realizar funciones a travs de una interaccin directa con el seguro
TSF. Ruta de confianza es generalmente deseable para las acciones del usuario, como la identificacin y / o autenticacin inicial, pero
Tambin puede ser deseable en otros momentos durante la sesin de un usuario. Intercambios ruta de confianza pueden ser iniciados por un usuario
o la TSF. Las respuestas de los usuarios a travs de la ruta de confianza estn garantizados para estar protegidos frente a posibles modificaciones por o
divulgacin de las aplicaciones son de confianza.
12/6/2014 ISO / IEC 15408-2
Pgina 124
ISO / IEC 15408-2:2008 (E)
104
Figura 17 - FTP: Trusted ruta / canales clase descomposicin
17.1 Inter-TSF canal de confianza (FTP_ITC)
Esta familia define requisitos para la creacin de un canal de confianza entre la TSF y otros confiaron en TI
productos para el desempeo de las operaciones crticas de seguridad. Esta familia debe incluirse siempre que haya
requisitos para la comunicacin segura de datos de usuario o TSF entre la punta y el otro de confianza de TI
productos.
FTP_ITC.1 Inter-TSF canal de confianza, requiere que el TSF proporciona un canal de comunicacin de confianza
entre el mismo y otro producto de TI de confianza.
Gestin 17.1.3 de FTP_ITC.1
a) Configuracin de las acciones que requieren de canal de confianza, si es compatible.
17.1.4 Auditora de FTP_ITC.1
PP / ST:
a) Mnimo: Fracaso de las funciones de canal de confianza.
b) Minimal: Identificacin del iniciador y el destino de funciones de canal de confianza que han fallado.
c) bsica: Todas las tentativas de los usos de las funciones de canal de confianza.
d) Bsico: Identificacin del iniciador y el destino de todas las funciones de canal de confianza.
17.1.5 FTP_ITC.1 Inter-TSF confiaba canal
17.1.5.1 FTP_ITC.1.1
La TSF debe proporcionar un canal de comunicacin entre l y otro producto de TI de confianza que es
lgicamente distinto de otros canales de comunicacin y proporciona la identificacin segura de su fin
puntos y la proteccin de los datos del canal de modificacin o divulgacin.
Pgina 125
ISO / IEC 15408-2:2008 (E)
17.1.5.2 FTP_ITC.1.2
La TSF debe permitir a [seleccin: la TSF, otro producto de TI de confianza ] para iniciar la comunicacin a travs de la
12/6/2014 ISO / IEC 15408-2
105
canal de confianza.
17.1.5.3 FTP_ITC.1.3
La TSF debe iniciar la comunicacin a travs del canal de confianza para [asignacin: lista de funciones para
que se requiere un canal de confianza ].
17.2 ruta segura (FTP_TRP)
Esta familia define los requisitos para establecer y mantener una comunicacin de confianza para o de los usuarios y la
TSF. Una ruta de confianza puede ser requerida por cualquier interaccin relevante para la seguridad. Intercambios ruta de confianza pueden ser
iniciado por un usuario durante una interaccin con el TSF, o la TSF puede establecer la comunicacin con el usuario
a travs de una ruta de confianza.
Ruta FTP_TRP.1 confianza, r equiere que se proporcione una ruta de confianza entre la TSF y un usuario para un conjunto de
eventos definidos por un autor PP / ST. El usuario y / o la TSF pueden tener la capacidad de iniciar la ruta de confianza.
Gestin 17.2.3 de FTP_TRP.1
a) Configuracin de las acciones que requieren ruta de confianza, si es compatible.
17.2.4 Auditora de FTP_TRP.1
PP / ST:
a) Mnimos: Fallas de los tipos de trayectoria de confianza.
b) Minimal: Identificacin del usuario asociado a todas las fallas de ruta de confianza, si est disponible.
c) bsica: Todas las tentativas de los usos de las funciones de trayectoria de confianza.
d) Bsico: Identificacin del usuario asociado a todas las invocaciones de ruta de confianza, si est disponible.
17.2.5 camino FTP_TRP.1 Trusted
17.2.5.1 FTP_TRP.1.1
La TSF debe proporcionar una ruta de comunicacin entre l y [seleccin: remotos, locales ] usuarios, esto es
lgicamente distinta de otras vas de comunicacin y proporciona la identificacin segura de su fin
puntos y la proteccin de los datos comunicados de [seleccin: modificaciones, divulgacin,
[Asignacin: otros tipos de integridad o violacin de confidencialidad] ].
Pgina 126
ISO / IEC 15408-2:2008 (E)
17.2.5.2 FTP_TRP.1.2
La TSF debe permitir a [seleccin: la TSF, los usuarios locales, usuarios remotos ] para iniciar la comunicacin a travs de la
ruta de confianza.
17.2.5.3 FTP_TRP.1.3
La TSF debe exigir la utilizacin de la va de confianza para [seleccin: la autenticacin de usuario inicial,
[Asignacin: Se requiere otros servicios para los que confiaron en ruta] ].
12/6/2014 ISO / IEC 15408-2
106
Pgina 127
ISO / IEC 15408-2:2008 (E)
Anexo A
(Normativo)
Notas de seguridad los requisitos funcionales de la aplicacin
Este anexo contiene orientaciones adicionales para las familias y los componentes definidos en los elementos de esta parte
de la norma ISO / IEC 15408, que pueda ser requerida por los usuarios, desarrolladores o evaluadores para utilizar los componentes. A
facilitar la bsqueda de la informacin adecuada, la presentacin de las clases, las familias y los componentes de este
anexo es similar a la presentacin dentro de los elementos.
Estructura de las notas A.1
Esta clusula define el contenido y la presentacin de las notas relacionadas con los requisitos funcionales de
ISO / IEC 15408.
Estructura A.1.1 Clase
Figura A.1 b elow ilustra la estructura de la clase funcional en este anexo.
12/6/2014 ISO / IEC 15408-2
107
Figura A.1 - estructura de clase funcional
Nombre A.1.1.1 Clase
Este es el nombre nico de la clase definida dentro de los elementos normativos de esta parte de la norma ISO / IEC 15408.
Introduccin A.1.1.2 Clase
La introduccin de clases en este anexo se ofrece informacin sobre el uso de las familias y los componentes de la
clase. Esta informacin se completa con el diagrama informativo que describe la organizacin de cada clase
con las familias de cada clase y la relacin jerrquica entre los componentes de cada familia.
Pgina 128
ISO / IEC 15408-2:2008 (E)
Estructura A.1.2 Familia
Figura A.2 ilustra la estructura familiar funcional para notas de aplicacin en forma de diagrama.
Figura A.2 - estructura familiar funcional para notas de aplicacin
Nombre A.1.2.1 Familia
Este es el nombre nico de la familia se define dentro de los elementos normativos de esta parte de la norma ISO / IEC 15408.
A.1.2.2 notas de usuario
Las notas de usuario contienen informacin adicional que sea de inters para los usuarios potenciales de la familia, es decir PP, ST
y los autores de paquetes funcionales, y los desarrolladores de las TOE que incorporan los componentes funcionales. La
presentacin es informativa, y podra cubrir las advertencias acerca de las limitaciones de uso y las zonas donde especfica
puede ser necesaria la atencin cuando se utilizan los componentes.
Notas A.1.2.3 Evaluador
Las notas evaluador contienen ninguna informacin que sea de inters para los desarrolladores y evaluadores de las TOE que la reclamacin
el cumplimiento de un componente de la familia. La presentacin es de carcter informativo y puede cubrir una variedad de reas
donde podra ser necesaria una atencin especial en la evaluacin de la TOE. Esto puede incluir aclaraciones del significado
y la especificacin de la forma de interpretar los requisitos, as como advertencias y avisos de inters especfico para
12/6/2014 ISO / IEC 15408-2
108
evaluadores.
Estas notas de usuario y evaluador Notas subclusulas no son obligatorios y aparecen slo si es apropiado.
Pgina 129
ISO / IEC 15408-2:2008 (E)
Estructura A.1.3 Componente
Figura A.3 ilustra la estructura de componentes funcionales para las notas de aplicacin.
Figura A.3 - estructura de componentes funcionales
A.1.3.1 identificacin de componentes
Este es el nombre exclusivo del componente definido dentro de los elementos normativos de esta parte de la norma ISO / IEC
15408.
A.1.3.2 Componentes fundamento y la aplicacin Notas
Cualquier informacin especfica relacionada con el componente se puede encontrar en esta subclusula.
La justificacin contiene los detalles de las razones que refinan las declaraciones generales sobre justificacin de la
nivel especfico, y slo se debe utilizar si se requiere la amplificacin especfica de grado.
Las notas de aplicacin contienen refinamiento adicional en trminos de calificacin de la narrativa en lo que respecta a una
componente especfico. Este refinamiento puede pertenecer a las notas de usuarios y / o notas evaluador como se describe en
A.1.2. Este refinamiento se puede utilizar para explicar la naturaleza de las dependencias (por ejemplo, informacin compartida, o
operacin compartida).
Este numeral no es obligatorio y slo aparece si es apropiado.
A.1.3.3 operaciones permitidas
Esta porcin de cada componente contiene asesoramiento en relacin con las operaciones permitidas del componente.
Este numeral no es obligatorio y slo aparece si es apropiado.
Tablas de dependencia A.2
12/6/2014 ISO / IEC 15408-2
109
En las siguientes tablas de dependencia de los componentes funcionales muestran su directo, indirecto y opcional
dependencias. Cada uno de los componentes que es una dependencia de algn componente funcional se asigna un
la columna. Cada componente funcional se asigna una fila. El valor en la celda de la tabla indica si la columna
componente de etiqueta es necesaria directamente (indicado por una cruz "X"), de manera indirecta requerida (indicado por un guin "-"), o
opcionalmente requerida (indicado por una "o") por el componente de etiqueta de la fila. Un ejemplo de un componente opcional
dependencias es FDP_ETC.1 Exportacin de los datos de usuario sin atributos de seguridad , que requiere ya sea FDP_ACC.1
Subconjunto de control de acceso o informacin de FDP_IFC.1 subconjunto de control de flujo a estar presente. As que si FDP_ACC.1 Subset
control de acceso est presente, la informacin de control de flujo FDP_IFC.1 subconjunto no es necesario y viceversa. Si no hay
carcter se presenta, el componente no depende de otro componente.
Pgina 130
ISO / IEC 15408-2:2008 (E)
FAU_GE
N.1
F
La
U_
SA
A.1
F
La
U_
SAR
0.1
FA
U_
S
T
G.1
FIA_UI
D.1
FM
T_
M
T
D.
1
FM
T_
SM
F.1
FM
T_
SM
R.1
FP
T_
S
T
M
.
1
FAU_ARP.1 - X -
FAU_GEN.1 X
FAU_GEN.2 X X -
FAU_SAA.1 X -
FAU_SAA.2 X
FAU_SAA.3
FAU_SAA.4
FAU_SAR.1 X -
FAU_SAR.2 - X -
FAU_SAR.3 - X -
FAU_SEL.1 X - X - - -
FAU_STG.1 X -
FAU_STG.2 X -
FAU_STG.3 - X -
FAU_STG.4 - X -
Tabla A.1 - tabla de dependencias para la clase FAU: Auditora de seguridad
FIA_UI
D.1
FCO_NRO.1 X
FCO_NRO.2 X
FCO_NRR.1 X
FCO_NRR.2 X
Tabla A.2 - tabla de dependencias para la clase FCO: Comunicacin
FCS
_
C
K
M
.
1
FCS
_
C
K
M
.
2
FCS
_
C
K
M
.
4
F
C
S_CO
P.1
F
D
P_
ACC.1
F
D
P_
ACF
.
1
FDP
_
IFC.
1
FDP
_
IFF.
1
FDP
_
ITC.
1
FDP
_
ITC.
2
FIA_UI
D.1
FM
T_
M
S
La
.
1
FM
T_
M
S
La
.
3
FM
T_
SM
F.1
FM
T_
SM
R.1
FP
T_
TDC.
1
FTP
_
Yo
TC.
1
FTP
_
T
RP.1
FCS_CKM.1 - O X O - - - - - - - - - - - - - -
FCS_CKM.2 O - X - - - - - OO - - - - - - - -
FCS_CKM.3 O - X - - - - - OO - - - - - - - -
FCS_CKM.4 O - - - - - - - OO - - - - - - - -
FCS_COP.1 O - X - - - - - OO - - - - - - - -
Tabla A.3 - tabla de dependencias para la clase FCS: Apoyo criptogrfico
12/6/2014 ISO / IEC 15408-2
110
Pgina 131
ISO / IEC 15408-2:2008 (E)
111
F
D
P_
ACC.1
F
D
P_
ACF
.
1
FDP
_
IFC.
1
FDP
_
IFF.
1
FDP
_
ITT.
1
FDP
_
ITT.
2
FDP
_
UIT.
1
FIA_UI
D.1
FM
T_
M
S
La
.
1
FM
T_
M
S
La
.
3
FM
T_
SM
F.1
FM
T_
SM
R.1
FP
T_
TDC.
1
FTP
_
Yo
TC.
1
FTP
_
T
RP.1
FDP_ACC.1 - X - - - - - - -
FDP_ACC.2 - X - - - - - - -
FDP_ACF.1 X - - - - - X - -
FDP_DAU.1
FDP_DAU.2 X
FDP_ETC.1 O - O - - - - - -
FDP_ETC.2 O - O - - - - - -
FDP_IFC.1 - - - X - - - - -
FDP_IFC.2 - - - X - - - - -
FDP_IFF.1 - - X - - - X - -
FDP_IFF.2 - - X - - - X - -
FDP_IFF.3 - - X - - - - - -
FDP_IFF.4 - - X - - - - - -
FDP_IFF.5 - - X - - - - - -
FDP_IFF.6 - - X - - - - - -
FDP_ITC.1 O - O - - - X - -
FDP_ITC.2 O - O - - - - - - X O O
FDP_ITT.1 O - O - - - - - -
FDP_ITT.2 O - O - - - - - -
FDP_ITT.3 O - O - X - - - - -
FDP_ITT.4 O - O - X - - - - -
FDP_RIP.1
FDP_RIP.2
FDP_ROL.1 O - O - - - - - -
FDP_ROL.2 O - O - - - - - -
FDP_SDI.1
FDP_SDI.2
FDP_UCT.1 O - O - - - - - - O O
FDP_UIT.1 O - O - - - - - - O O
FDP_UIT.2 O - O - O - - - - - O -
FDP_UIT.3 O - O - O - - - - - O -
Cuadro A.4 - tabla de dependencias para la clase FDP: proteccin de los datos del usuario
Pgina 132
ISO / IEC 15408-2:2008 (E)
12/6/2014 ISO / IEC 15408-2
112
FYo A_
AT
D.1
FIA
_
U
La
U.1
FIA_UI
D.1
FIA_AFL.1 X -
FIA_ATD.1
FIA_SOS.1
FIA_SOS.2
FIA_UAU.1 X
FIA_UAU.2 X
FIA_UAU.3
FIA_UAU.4
FIA_UAU.5
FIA_UAU.6
FIA_UAU.7 X -
FIA_UID.1
FIA_UID.2
FIA_USB.1 X
Cuadro A.5 - tabla de dependencias para la clase FIA: Identificacin y autenticacin
F
D
P_
ACC.1
F
D
P_
ACF
.
1
FDP
_
IFC.
1
FDP
_
IFF.
1
FIA_UI
D.1
FM
T_
M
S
La
.
1
FM
T_
M
S
La
.
3
FM
T_
M
T
D.
1
FM
T_
SM
F.1
FM
T_
SM
R.1
FP
T_
S
T
M
.
1
FMT_MOF.1 - X X
FMT_MSA.1 O - O - - - - X X
FMT_MSA.2 O - O - - X - - X
FMT_MSA.3 - - - - - X - - X
FMT_MSA.4 O - O - - - - - -
FMT_MTD.1 - X X
FMT_MTD.2 - X - X
FMT_MTD.3 - X - -
FMT_REV.1 - X
FMT_SAE.1 - X X
FMT_SMF.1
FMT_SMR.1 X
FMT_SMR.2 X
FMT_SMR.3 - X
Cuadro A.6 - tabla de dependencias para la clase FMT: Gestin de la seguridad
Pgina 133
ISO / IEC 15408-2:2008 (E)
FIA_UI
D.1
FPR_UNO.
1
FPR_ANO.1
FPR_ANO.2
FPR_PSE.1
FPR_PSE.2 X
FPR_PSE.3
FPR_UNL.1
12/6/2014 ISO / IEC 15408-2
113
FPR_UNO.1
FPR_UNO.2
FPR_UNO.3 X
FPR_UNO.4
Cuadro A.7 - tabla de dependencias para la clase FPR: Privacidad
AG
D_O
P
E.1
FIA_UI
D.1
FM
T_
M
O
F.1
FM
T_
SM
F.1
FM
T_
SM
R.1
FP
T_
ITT.1
FPT_FLS.1
FPT_ITA.1
FPT_ITC.1
FPT_ITI.1
FPT_ITI.2
FPT_ITT.1
FPT_ITT.2
FPT_ITT.3 X
FPT_PHP.1
FPT_PHP.2 - X - -
FPT_PHP.3
FPT_RCV.1 X
FPT_RCV.2 X
FPT_RCV.3 X
FPT_RCV.4
FPT_RPL.1
FPT_SSP.1 X
FPT_SSP.2 X
FPT_STM.1
FPT_TDC.1
FPT_TEE.1
FPT_TRC.1 X
FPT_TST.1
Cuadro A.8 - tabla de dependencias para la clase FPT: Proteccin del TSF
Pgina 134
ISO / IEC 15408-2:2008 (E)
FP
T_
Florida
S
.
1
FRU_FLT.1 X
FRU_FLT.2 X
FRU_PRS.1
FRU_PRS.2
FRU_RSA.1
FRU_RSA.2
Cuadro A.9 - Mesa de Dependencia para FRU Clase: Utilizacin de recursos
FIA
_
U
La
U.1
FIA_UI
D.1
FTA_LSA.1
12/6/2014 ISO / IEC 15408-2
114
FTA_MCS.1 X
FTA_MCS.2 X
FTA_SSL.1 X -
FTA_SSL.2 X -
FTA_SSL.3
FTA_SSL.4
FTA_TAB.1
FTA_TAH.1
FTA_TSE.1
Cuadro A.10 - Tabla de Dependencia para la clase FTA: acceso TOE
Pgina 135
ISO / IEC 15408-2:2008 (E)
Anexo B
(Normativo)
Clases funcionales, familias y componentes
Los siguientes anexos Anexo C t ediante Anexo M proporcionan las notas de aplicacin para las clases funcionales
definida en el cuerpo principal de esta parte de la norma ISO / IEC 15408.
12/6/2014 ISO / IEC 15408-2
115
Pgina 136
ISO / IEC 15408-2:2008 (E)
Anexo C
(Normativo)
Clase FAU: Auditora de seguridad
ISO / IEC 15408 familias de auditora permiten a los autores PP / ST la capacidad de definir los requisitos para el control de usuario
actividades y, en algunos casos, la deteccin de violacines reales, posibles o inminentes de la aplicacin de la SFR.
Funciones de auditora de seguridad del TOE se definen para ayudar a los eventos relevantes para la seguridad del monitor, y tener un efecto disuasorio
contra violacines de seguridad. Los requisitos de las familias de auditora se refieren a las funciones que incluyen los datos de auditora
proteccin, formato de registro y seleccin de eventos, as como herramientas de anlisis, alarmas de violacin, y en tiempo real
anlisis. La pista de auditora se debe presentar en formato legible por humanos, ya sea directamente (por ejemplo, el almacenamiento de la auditora
sendero en formato legible por humanos) o indirectamente (por ejemplo, utilizando herramientas de reduccin de auditora), o ambos.
Durante el desarrollo de los requisitos de auditora de seguridad, el autor PP / ST debera tomar nota de las interrelaciones
entre las familias y los componentes de auditora. Existe la posibilidad de especificar un conjunto de requisitos de auditora que
cumplir con las listas de dependencias familia / componentes, mientras que al mismo tiempo resulta en una auditora deficiente
funcin (por ejemplo, una funcin de auditora que requiere que todos los eventos relevantes de seguridad para ser auditados, pero sin la selectividad
para su control en cualquier criterio razonable como usuario individual o un objeto).
Requisitos de auditora C.1 en un entorno distribuido
La aplicacin de los requisitos de auditora de redes y otros sistemas de gran tamao puede diferir significativamente de
los necesarios para sistemas aislados. Los sistemas ms grandes, ms complejas y activas requieren ms reflexin
respecto a la cual la auditora de datos para recolectar y cmo debe ser gestionado, debido a la bajada de viabilidad
interpretacin (o incluso el almacenamiento) lo que se recogi. La nocin tradicional de una lista de horas-ordenado o "rastro" de
eventos auditados pueden no ser aplicables en una red asncrona global con arbitrariamente muchos eventos que ocurren
a la vez.
Adems, los diferentes hosts y servidores en un TOE distribuidas pueden tener diferentes polticas y valores de nombres.
Presentacin nombres simblicos para la revisin de auditora puede requerir una convencin amplia red para evitar redundancias y
"conflictos de nombres."
Un depsito de auditora multi-objeto, partes de la cual se puede acceder por una potencialmente gran variedad de autorizacin
usuarios, pueden ser necesarias si los repositorios de auditora han de cumplir una funcin til en sistemas distribuidos.
Por ltimo, el uso indebido de la autoridad por los usuarios autorizados debern dirigirse al evitar sistemticamente el almacenamiento local
de los datos de auditora relacionada con las acciones del administrador.
12/6/2014 ISO / IEC 15408-2
116
Pgina 137
ISO / IEC 15408-2:2008 (E)
Figura C.1 muestra la descomposicin de esta clase en sus componentes constitutivos.
Figura C.1 - FAU: Seguridad clase de auditora descomposicin
Respuesta automtica de auditora C.2 Seguridad (FAU_ARP)
Notas de usuario C.2.1
La familia de respuesta automtica de auditora de seguridad describe los requisitos para el manejo de eventos de auditora. La
requisito podra incluir requisitos para alarmas o accin TSF (respuesta automtica). Por ejemplo, el TSF
podra incluir la generacin de alarmas en tiempo real, la terminacin del proceso de ofender, incapacitante de un servicio,
o desconexin o invalidacin de una cuenta de usuario.
Un evento de auditora se define como un "potencial violacin de la seguridad", si as se indica por el anlisis de las auditoras de seguridad
(FAU_SAA) componentes.
Alarmas C.2.2 FAU_ARP.1 Seguridad
C.2.2.1 notas de aplicacin de usuario
Una accin se debe tomar para las medidas de seguimiento en el caso de una alarma. Esta accin puede ser la de informar al
usuario autorizado, para presentar al usuario autorizado con un conjunto de posibles acciones de contencin, o tomar
acciones correctivas. El calendario de las acciones debe ser considerado cuidadosamente por el autor PP / ST.
12/6/2014 ISO / IEC 15408-2
117
Pgina 138
ISO / IEC 15408-2:2008 (E)
118
Operaciones C.2.2.2
C.2.2.2.1 Asignacin
En FAU_ARP.1.1, t l PP / ST autor debe especificar las acciones que se deben tomar en caso de un valor potencial
violacin. Un ejemplo de una lista de este tipo es: "informar al usuario autorizado, desactivar el objeto que cre el
posible violacin de seguridad ". Tambin puede especificar que la accin a tomar puede ser especificado por un representante autorizado
de usuario.
La generacin de datos de auditora C.3 Seguridad (FAU_GEN)
La auditora de la familia de generacin de datos de seguridad incluye los requisitos para especificar los eventos de auditora que deben ser
generado por la TSF para los eventos relevantes para la seguridad.
Esta familia se presenta de una manera que evite una dependencia de todos los componentes que requieren el apoyo de auditora.
Cada componente tiene una subclusula de auditora desarrollado en el que los eventos a auditar para esa rea funcional
se enumeran. Cuando el autor de PP / ST monta el PP / ST, los elementos del rea de auditora se utilizan para completar el
variable en este componente. Por lo tanto, la especificacin de lo que podra ser auditados por un rea funcional se localiza en
esa rea funcional.
La lista de eventos auditables es totalmente dependiente de las otras familias funcionales dentro del PP / ST. Cada familia
Por lo tanto, la definicin debe incluir una lista de sus eventos auditables especficos de la familia. Cada evento auditable en la lista
eventos de auditables especificados en la familia funcional debe corresponder a uno de los niveles de eventos de auditora
generacin se especifica en esta familia (es decir, mnima, bsica y detallada). Esto proporciona el autor de PP / ST con
informacin necesaria para garantizar que todos los eventos auditables apropiados se especifican en el PP / ST. La siguiente
ejemplo muestra cmo los eventos auditables han de especificarse en las familias funcionales apropiados:
"Las siguientes acciones deben ser auditable si la generacin de datos de auditora de seguridad (FAU_GEN) i que est incluido en el
PP / ST:
a) Mnimo: El uso exitoso de las funciones de administracin de atributos de seguridad del usuario.
b) Bsico: Todos los intentos de los usos de las funciones de administracin de atributos de seguridad del usuario.
c) Bsico: Identificacin de los cuales los atributos de seguridad de usuario se han modificado.
d) Datos individuales: Con la excepcin de los elementos de datos de atributos sensibles especficos (por ejemplo, contraseas, cifrado
teclas), los nuevos valores de los atributos deben ser capturados ".
Para cada componente funcional que se elija, los sucesos comprobables que se indican en dicho componente, en
y por debajo del nivel indicado en la generacin de los datos de seguridad de auditora (FAU_GEN) sh Ould ser auditable. Si, por
ejemplo, en el ejemplo anterior "Basic" sera seleccionado en Seguridad auditora generacin de los datos (FAU_GEN),
los eventos auditables de los apartados a), b) yc) deberan ser auditable.
Observe que la categorizacin de los sucesos comprobables es jerrquica. Por ejemplo, cuando bsico Generacin de Auditora
se desea, todos los eventos auditables identificados como mnimos o de base, deben tambin ser incluidos en el
PP / ST a travs de la utilizacin de la operacin de asignacin apropiado, excepto cuando el evento de nivel ms alto simplemente
proporciona ms detalle que el evento de nivel inferior. Cuando se desea Generacin de auditora detallada, todos identificados
eventos auditables (mnimos, bsicos y detallados) deben ser incluidos en el PP / ST.
Un autor de PP / ST podr decidir incluir otros eventos auditables all de las requeridas para un nivel dado de auditora.
Por ejemplo, el PP / ST puede reclamar capacidades de auditora slo mnimos, mientras incluyendo la mayor parte de la base
capacidades, ya los pocos excluidos conflicto capacidades con otras limitaciones PP / ST (por ejemplo, porque se
requerirn la recopilacin de datos no disponibles).
La funcionalidad que crea el evento auditable debe ser especificado en el PP o ST como funcional
requisito.
Pgina 139
ISO / IEC 15408-2:2008 (E)
12/6/2014 ISO / IEC 15408-2
119
Los siguientes son ejemplos de los tipos de los eventos que deben ser definidas como auditable en cada PP / ST
componente funcional:
a) Introduccin de objetos dentro del control de la TSF en el espacio de direcciones de un sujeto;
b) Supresin de los objetos;
c) La distribucin o la revocacin de los derechos de acceso o capacidades;
d) Los cambios de sujeto u objeto atributos de seguridad;
e) Poltica de cheques realizados por el TSF, como resultado de una solicitud de un sujeto;
f) El uso de los derechos de acceso para eludir un control de la poltica;
g) El uso de las funciones de identificacin y autenticacin;
h) Las medidas adoptadas por un operador, y / o usuario autorizado (por ejemplo, supresin de un mecanismo de proteccin TSF como
etiquetas legibles);
i) Importacin / exportacin de datos desde / a un medio extrable (por ejemplo, la salida impresa, cintas, disquetes).
C.3.2 generacin de los datos de auditora FAU_GEN.1
Este componente define los requisitos para identificar los eventos auditables para que los registros de auditora deben ser
genera, as como la informacin que debe facilitarse en los registros de auditora.
FAU_GEN.1 Auditora de generacin de datos por s misma podra ser utilizada cuando los SFR no requieren que usuario individual
identidades estar asociados con eventos de auditora. Esto podra ser apropiado cuando el PP / ST tambin contiene privacidad
requisitos. Si la identidad de usuario debe incorporar d FAU_GEN.2 asociacin de identidad de usuario podra ser utilizado en
Adems.
Si el sujeto es un usuario, la identidad del usuario se puede registrar como la identidad del sujeto. La identidad del usuario puede
i todava no ha verificado f La autenticacin de usuarios (FIA_UAU) no se ha aplicado. Por lo tanto en el ejemplo de un
no vlido de inicio de sesin de la identidad del usuario reclamado se debe registrar. Se debe considerar para indicar cuando un grabado
identidad no ha sido autenticada.
Notas C.3.2.2 Evaluador
Hay una dependencia de T iempo sellos (FPT_STM). Si la correccin de tiempo no es un problema para este TOE,
eliminacin de esta dependencia podra estar justificada.
Operaciones C.3.2.3
C.3.2.3.1 Seleccin
En FAU_GEN.1.1, el autor PP / ST debe seleccionar el nivel de los eventos auditables llamados en la auditora
subclusula de otros componentes funcionales incluidos en el PP / ST. Este nivel es uno de los siguientes: "mnimo",
"Bsico", "detalle" o "no especificada".
C.3.2.3.2 Asignacin
En FAU_GEN.1.1, t l PP / ST autor debe asignar una lista de otros eventos auditables definidos especficamente para ser
incluido en la lista de eventos auditables. La asignacin puede comprender ninguno, o eventos que podran ser auditable
eventos de un requisito funcional que son de un nivel de auditora superior a la solicitada en b), as como los eventos
generada a travs del uso de una interfaz de programacin de la aplicacin especificada (API).
Pgina 140
ISO / IEC 15408-2:2008 (E)
En FAU_GEN.1.2, t l PP / ST autor debe asignar, para cada uno de los eventos auditables incluidos en el PP / ST, ya sea un
lista de otra auditora de la informacin que deber figurar en los registros de eventos de auditora o ninguna.
C.3.3 FAU_GEN.2 asociacin identidad del usuario
Este componente se refiere a la exigencia de responsabilidad de los sucesos comprobables a nivel de usuario individual
identidad. Este componente debe utilizarse adems t o FAU_GEN.1 la generacin de datos de auditora.
12/6/2014 ISO / IEC 15408-2
120
Existe un conflicto potencial entre el requisitos de privacidad de la auditora y. Para fines de auditora puede ser
conveniente saber quin realiza una accin. El usuario puede querer mantener su / sus acciones a mismo / ay
no ser identificado por otras personas (por ejemplo, un sitio con las ofertas de empleo). O podra ser necesario en el Organizacional
Poltica de Seguridad de que la identidad de los usuarios debe ser protegido. En esos casos, los objetivos de la auditora y
privacidad puede contradecirse. Por lo tanto, si se selecciona este requisito y la privacidad es importante,
inclusin de la pseudonimity usuario componente puede ser considerado. Requisitos relativos a la determinacin de la verdadera
nombre de usuario en funcin de su seudnimo se especifican en la clase privacidad.
Si la identidad del usuario an no ha sido verificado a travs de la autenticacin, en el caso de un inicio de sesin vlido el
la identidad del usuario reclamado debe ser registrada. Se debe considerar para indicar cuando una identidad registrada no tiene
sido autenticado.
Anlisis de auditora C.4 Seguridad (FAU_SAA)
Esta familia define requisitos para medios automticos que analizan la actividad del sistema y de los datos de auditora en busca de
posibles o reales violacines de seguridad. Este anlisis puede trabajar en apoyo de deteccin de intrusos, o automtico
respuesta a una potencial violacin de la seguridad.
La accin a realizar por la TSF en la deteccin de una posible violacin se define en la auditora de seguridad
de respuesta automtica (FAU_ARP) componentes.
Para el anlisis en tiempo real, datos de auditora pueden ser transformados en un formato til para el tratamiento automatizado, pero en un
diferente formato til para la entrega a los usuarios autorizados para su revisin.
C.4.2 FAU_SAA.1 anlisis Potencial violacin
Este componente se utiliza para especificar el conjunto de eventos auditables cuya existencia real o acumulados
celebrada para indicar una posible violacin de la ejecucin de los SFR, y cualquier regla que se utilizarn para llevar a cabo la
anlisis de violacin.
Operaciones C.4.2.2
C.4.2.2.1 Asignacin
En FAU_SAA.1.2, el autor PP / ST debe identificar el subconjunto de incidentes auditables definidos cuya ocurrencia
o la necesidad de ocurrencia acumulada para ser detectado como una indicacin de una posible violacin de la ejecucin de las
los SFR.
En FAU_SAA.1.2, t l PP / ST autor debe especificar todas las dems normas que la TSF debe utilizar en su anlisis de
la pista de auditora. Esas reglas podran incluir requisitos especficos para expresar las necesidades de los acontecimientos que se producen en
un cierto perodo de tiempo (por ejemplo, el perodo de das, la duracin). Si no hay reglas adicionales que el TSF debe
utilizar en el anlisis de la pista de auditora, esta tarea se puede completar con "ninguno".
Pgina 141
ISO / IEC 15408-2:2008 (E)
Deteccin de anomalas C.4.3 FAU_SAA.2 Perfil basada
Un perfil es una estructura que caracteriza el comportamiento de los usuarios y / o sujetos; que representa cmo el
usuarios / sujetos interactan con el TSF en una variedad de maneras. Los patrones de uso se establecen con respecto a la
diversos tipos de actividad de los usuarios / sujetos realizan (por ejemplo, los patrones de las excepciones planteadas, los patrones de los recursos
utilizacin (cuando, que, cmo), los patrones de las acciones realizadas). Las formas en que los distintos tipos de actividad
se registran en el perfil (por ejemplo, medidas de recursos, contadores de eventos, temporizadores) se conocen como la mtrica del perfil .
Cada perfil representa los patrones esperados de uso realizadas por miembros del grupo destinatario perfil .
Este patrn puede estar basado en el uso anterior (patrones histricos) o en condiciones normales de uso para los usuarios de los grupos objetivo similares
(Comportamiento esperado). Un grupo destino de perfil se refiere a uno o ms usuarios que interactan con el TSF. La
la actividad de cada miembro del grupo de perfil es utilizado por la herramienta de anlisis en el establecimiento de los patrones de uso
representado en el perfil. Los siguientes son algunos ejemplos de perfil grupos objetivo:
a) la cuenta de usuario individual : un perfil para cada usuario;
b) Grupo de ID o de grupo de cuentas : un perfil para todos los usuarios que poseen el mismo ID de grupo o funcionan con
la misma cuenta de grupo;
12/6/2014 ISO / IEC 15408-2
121
c) Papel de funcionamiento : un perfil para todos los usuarios que comparten un papel operativo dado;
d) Sistema : un perfil para todos los usuarios de un sistema.
Cada miembro de un grupo objetivo perfiles se le asigna un individuo calificacin sospecha que representa cmo de cerca
nueva actividad de ese miembro corresponde a los patrones establecidos de uso representado en el perfil de grupo.
La sofisticacin de la herramienta de deteccin de anomalas depender en gran medida por el nmero de perfil de destino
grupos requeridos por el PP / ST y de la complejidad de las mtricas perfil requerido.
El autor PP / ST debe enumerar especficamente qu actividad deben ser controlados y / o analizados por el
TSF. El autor PP / ST tambin debe identificar especficamente qu informacin relativa a la actividad es necesario
para la construccin de los perfiles de uso.
FAU_SAA.2 perfil basado deteccin de anomalas r equiere que el TSF mantener perfiles de uso del sistema. La
palabra mantener implica que el detector de anomalas activamente actualiza el perfil de uso basada en la nueva actividad
realizado por los miembros de destino perfil. Es importante aqu que los parmetros para la representacin de la actividad del usuario son
definido por el autor de PP / ST. Por ejemplo, puede haber un millar de acciones diferentes que un individuo puede ser
capaz de realizar, pero el detector de anomala puede elegir para supervisar un subconjunto de esa actividad. Anmalo
actividad se integra en el perfil al igual que la actividad no anmala (suponiendo que la herramienta est monitoreando los
acciones). Las cosas que pueden haber aparecido anmala hace cuatro meses, podran con el tiempo convertirse en la norma (y
viceversa) como cambian las obligaciones laborales de los usuarios. El TSF no sera capaz de captar esta nocin si fuera filtrada
actividad anmala de los algoritmos de actualizacin del perfil.
Notificacin de administracin debe ser proporcionada de tal manera que el usuario autorizado entiende la importancia de
la calificacin de la sospecha.
El autor PP / ST debe definir cmo interpretar calificaciones sospecha y las condiciones bajo las cuales anmala
actividad est indicada para la auditora de seguridad de respuesta automtica (FAU_ARP ) mecanismo.
Operaciones C.4.3.2
C.4.3.2.1 Asignacin
En FAU_SAA.2.1, el autor PP / ST debe especificar el grupo de destino de perfil. Un nico PP / ST puede incluir
perfil mltiples grupos destinatarios.
Pgina 142
ISO / IEC 15408-2:2008 (E)
En FAU_SAA.2.3, el autor PP / ST debe especificar las condiciones bajo las cuales la actividad anmala se reporta por
la TSF. Las condiciones pueden incluir la calificacin de la sospecha de llegar a un cierto valor, o basarse en el tipo de
actividad anmala observada.
C.4.4 FAU_SAA.3 heurstica de ataque simple
En la prctica, es en el mejor de raro cuando una herramienta de anlisis puede detectar con certeza cuando una violacin de la seguridad es
inminente. Sin embargo, s existen algunos eventos del sistema que son tan importantes que siempre son dignos de
revisin independiente. Ejemplo de este tipo de eventos incluye la eliminacin de un archivo de datos de seguridad TSF clave (por ejemplo, el
archivo de contraseas) o la actividad como un usuario remoto intentar obtener privilegios administrativos. Estos eventos son
referido como acontecimientos de la firma en que su aparicin en el aislamiento del resto de la actividad del sistema son
indicativo de la actividad intrusiva.
La complejidad de una determinada herramienta depender en gran medida de las tareas definidas por el autor PP / ST en
identificar el conjunto base de acontecimientos de la firma .
El autor PP / ST debe enumerar especficamente qu eventos deben ser controlados por el TSF con el fin de
realizar el anlisis. El autor de PP / ST debe identificar especficamente lo que la informacin relativa al evento es
necesaria para determinar si el evento se asigna a un evento de la firma.
el evento y las posibles respuestas apropiadas.
Se hizo un esfuerzo en la especificacin de estos requisitos para evitar una dependencia de los datos de auditora como el nico
de entrada para la actividad del sistema de vigilancia. Esto se hizo en reconocimiento de la existencia de desarrollado previamente
herramientas de deteccin de intrusos que no realizan sus anlisis de la actividad del sistema slo a travs de la utilizacin de la auditora
datos (ejemplos de otros datos de entrada incluyen datagramas de red, datos de recursos / contabilidad, o combinaciones de
diversos datos del sistema).
Los elementos de FAU_SAA.3 heursticas simples ataque d o no requieren que el TSF aplicacin de la inmediata
heurstica de ataque sean los mismos TSF cuya actividad se est supervisando. Por lo tanto, uno puede desarrollar una intrusin
12/6/2014 ISO / IEC 15408-2
122
componente de deteccin que funciona independientemente del sistema cuya actividad del sistema se est analizando.
Operaciones C.4.4.2
C.4.4.2.1 Asignacin
En FAU_SAA.3.1, el autor PP / ST debe identificar un subconjunto de base de los eventos del sistema cuya ocurrencia, en
aislamiento del resto de la actividad del sistema, puede indicar una violacin de la ejecucin de la SFR. Estos incluyen
eventos que por s mismos indican una clara violacin a la ejecucin de los SFR, o cuya ocurrencia es
tan importantes que justifican las acciones.
En FAU_SAA.3.2, t l PP / ST autor debe especificar la informacin que se utiliza para determinar la actividad del sistema. Este
informacin son los datos de entrada utilizados por la herramienta de anlisis para determinar la actividad del sistema que se ha producido en
TOE. Estos datos pueden incluir datos de auditora, combinaciones de datos de auditora con otros datos del sistema, o puede consistir en
de datos distintos de los datos de auditora. El autor PP / ST debe definir lo que precisamente los acontecimientos y sucesos del sistema
atributos estn siendo monitoreados dentro de los datos de entrada.
Heurstica de ataque C.4.5 FAU_SAA.4 complejos
En la prctica, es en el mejor de raro cuando una herramienta de anlisis puede detectar con certeza cuando una violacin de la seguridad es
inminente. Sin embargo, s existen algunos eventos del sistema, que son tan importantes que siempre son dignos de
revisin independiente. Ejemplo de este tipo de eventos incluye la eliminacin de un archivo de datos de seguridad TSF clave (por ejemplo, el
archivo de contraseas) o la actividad como un usuario remoto intentar obtener privilegios administrativos. Estos eventos son
referido como acontecimientos de la firma en que su aparicin en el aislamiento del resto de la actividad del sistema son
Pgina 143
ISO / IEC 15408-2:2008 (E)
indicativo de la actividad intrusiva. Secuencias de eventos son un conjunto ordenado de eventos distintivos que pueden indicar
actividad intrusiva.
La complejidad de una determinada herramienta depender en gran medida de las tareas definidas por el autor PP / ST en
identificar el conjunto base de los eventos de firma y secuencias de eventos.
El autor PP / ST debe enumerar especficamente qu eventos deben ser controlados por el TSF con el fin de
realizar el anlisis. El autor de PP / ST debe identificar especficamente lo que la informacin relativa al evento es
necesaria para determinar si el evento se asigna a un evento de la firma.
el evento y las posibles respuestas apropiadas.
Se hizo un esfuerzo en la especificacin de estos requisitos para evitar una dependencia de los datos de auditora como el nico
de entrada para la actividad del sistema de vigilancia. Esto se hizo en reconocimiento de la existencia de desarrollado previamente
herramientas de deteccin de intrusos que no realizan sus anlisis de la actividad del sistema slo a travs de la utilizacin de la auditora
datos (ejemplos de otros datos de entrada incluyen datagramas de red, datos de recursos / contabilidad, o combinaciones de
diversos datos del sistema). Nivelacin, por lo tanto, requiere que el autor PP / ST para especificar el tipo de datos de entrada se utiliza para
supervisar la actividad del sistema.
Los elementos de FAU_SAA.4 heurstica de ataque complejos d o no requieren que el TSF aplicacin de la compleja
heurstica de ataque sean los mismos TSF cuya actividad se est supervisando. Por lo tanto, uno puede desarrollar una intrusin
componente de deteccin que funciona independientemente del sistema cuya actividad del sistema se est analizando.
Operaciones C.4.5.2
C.4.5.2.1 Asignacin
En FAU_SAA.4.1, el autor PP / ST debe identificar un conjunto base de la lista de secuencias de eventos del sistema, cuya
ocurrencia son representativos de escenarios de penetracin conocidos. Estas secuencias de eventos representan conocido
escenarios de penetracin. Cada evento representado en la secuencia debe asignar a un evento de sistema supervisado,
de tal manera que a medida que se realizan los eventos del sistema, estn obligados (asignada) para el caso de la penetracin conocido
secuencias.
En FAU_SAA.4.1, el autor PP / ST debe identificar un subconjunto de base de los eventos del sistema cuya ocurrencia, en
aislamiento del resto de la actividad del sistema, puede indicar una violacin de la ejecucin de la SFR. Estos incluyen
eventos que por s mismos indican una clara violacin a la SFR, o cuya ocurrencia es tan significativa que
accin warrant.
En FAU_SAA.4.2, t l PP / ST autor debe especificar la informacin que se utiliza para determinar la actividad del sistema. Este
informacin son los datos de entrada utilizados por la herramienta de anlisis para determinar la actividad del sistema que se ha producido en
TOE. Estos datos pueden incluir datos de auditora, combinaciones de datos de auditora con otros datos del sistema, o puede consistir en
de datos distintos de los datos de auditora. El autor PP / ST debe definir lo que precisamente los acontecimientos y sucesos del sistema
atributos estn siendo monitoreados dentro de los datos de entrada.
12/6/2014 ISO / IEC 15408-2
123
Examen de auditora C.5 Seguridad (FAU_SAR)
El examen de auditora de seguridad de la familia define los requisitos relacionados con la revisin de la informacin de auditora.
Estas funciones deben permitir la seleccin de auditora de pre-almacenamiento o despus de almacenamiento que incluye, por ejemplo, la capacidad
revisar selectivamente:
las acciones de uno o ms usuarios (por ejemplo, de identificacin, de autenticacin, de entrada TOE, y control de acceso
acciones);
las acciones realizadas en un objeto o TOE recurso especfico;

Pgina 144
ISO / IEC 15408-2:2008 (E)
todo de un conjunto especificado de excepciones auditados; o
acciones asociadas a un atributo especfico SFR.

La distincin entre los exmenes de auditora se basa en la funcionalidad. Revisin de Auditora (solamente) abarca la capacidad de
ver los datos de auditora. Revisin seleccionable es ms sofisticado y requiere la capacidad de seleccionar subconjuntos de auditora
datos basados en un criterio nico o mltiples criterios con las relaciones lgicas (es decir, y / o), y el orden de los datos de auditora
antes de que se revisa.
C.5.2 Examen de auditora FAU_SAR.1
C.5.2.1 Justificacin
Este componente proporcionar a los usuarios autorizados la capacidad para obtener e interpretar la informacin. En caso de
usuarios humanos esta informacin tiene que estar en una presentacin comprensible humana. En caso de IT externa
entidades la informacin que necesita para ser representado de forma inequvoca en forma electrnica.
Este componente se utiliza para especificar que los usuarios y / o los usuarios autorizados puedan leer los registros de auditora. Estos auditora
registros sern proporcionados de manera adecuada al usuario. Hay diferentes tipos de usuarios (usuarios humanos,
usuarios de la mquina), que pueden tener diferentes necesidades.
El contenido de los registros de auditora que se pueden ver se puede especificar.
Operaciones C.5.2.3
C.5.2.3.1 Asignacin
En FAU_SAR.1.1, el autor PP / ST debe especificar los usuarios autorizados que pueden utilizar esta capacidad. Si
apropiarse del autor PP / ST puede incluir funciones de seguridad (ver papeles FMT_SMR.1 Seguridad).
En FAU_SAR.1.1, t l PP / ST autor debe especificar el tipo de informacin que el usuario especificado est permitido
obtener de los registros de auditora. Algunos ejemplos son "todos", "identidad del sujeto", "toda la informacin perteneciente a auditar los registros
referencia a este usuario ". Cuando se emplea la SFR, FAU_SAR.1, no es necesario repetir, con todo detalle, la
lista de la informacin de auditora primero se especifica en FAU_GEN.1. El uso de trminos tales como "todos" o "toda la informacin de auditora" ayudar
en la eliminacin de la ambigedad y la mayor necesidad de un anlisis comparativo entre los dos requisitos de seguridad.
C.5.3 FAU_SAR.2 Restricted examen de auditora
Este componente se especifica que cualquier usuario no identificados en FAU_SAR.1 revisin Auditora wi no ser capaz de leer el
auditar los registros.
C.5.4 FAU_SAR.3 seleccionable examen de auditora
Este componente se utiliza para especificar que debera ser posible llevar a cabo la seleccin de los datos de auditora a ser
revisado. Si se basa en varios criterios, tales criterios deben relacionarse junto con lgica (es decir, "y" u "o")
las relaciones, y las herramientas deben proporcionar la capacidad de manipular los datos de auditora (por ejemplo, clasificar, filtrar).
Operaciones C.5.4.2
C.5.4.2.1 Asignacin
12/6/2014 ISO / IEC 15408-2
124
En FAU_SAR.3.1, t l PP / ST autor debe especificar si la capacidad para seleccionar y / o los datos de auditora orden es
requerida de la TSF.
Pgina 145
ISO / IEC 15408-2:2008 (E)
125
En FAU_SAR.3.1, t l PP / ST autor debe asignar los criterios, posiblemente con relaciones lgicas, para ser utilizado a
seleccione los datos de auditora para la revisin. Las relaciones lgicas estn destinadas a especificar si la operacin puede ser en
un atributo individual o un conjunto de atributos. Un ejemplo de esta tarea podra ser: "la aplicacin, el usuario
cuenta y / o la ubicacin. " En este caso, la operacin podra especificarse utilizando cualquier combinacin de los tres
atributos: la aplicacin, la cuenta de usuario y la ubicacin.
Seleccin de eventos de auditora C.6 Seguridad (FAU_SEL)
La familia de la seleccin de eventos de auditora de seguridad proporciona los requisitos relacionados con la capacidad de identificar qu
de los posibles sucesos comprobables deben ser controladas. Los eventos auditables se definen en la informacin de auditora de seguridad
generacin (FAU_GEN) fa milia, pero esos eventos deben ser definidos como siendo seleccionable en este componente para
auditar.
Esta familia asegura que es posible para mantener la pista de auditora se convierta en tan grande que se vuelve intil,
mediante la definicin de la granularidad adecuada de los eventos de auditora de seguridad seleccionados.
C.6.2 FAU_SEL.1 auditora selectiva
Este componente se definen los criterios de seleccin utilizados, y los subconjuntos auditados resultantes del conjunto de todas las auditable
eventos, basados en los atributos de usuario, los atributos temticos, atributos de los objetos, o los tipos de eventos.
La existencia de identidades de usuarios individuales no se asume para este componente. Esto permite que para los dedos, tales como
Los routers que no sean compatibles con la nocin de los usuarios.
Para un entorno distribuido, la identidad de acogida podra ser utilizado como un criterio de seleccin para los eventos que se van a auditar.
La funcin de administracin de F MT_MTD.1 Gestin de los datos TSF ser manejar los derechos de los usuarios autorizados a
consultar o modificar las selecciones.
Operaciones C.6.2.2
C.6.2.2.1 Seleccin
En FAU_SEL.1.1, t l PP / ST autor debe seleccionar si la seguridad de los atributos sobre los que la selectividad de auditora es
basado, est relacionada con el objeto de identidad, la identidad del usuario, la identidad de sujeto, identidad del host, o el tipo de evento.
C.6.2.2.2 Asignacin
En FAU_SEL.1.1, t l PP / ST autor debe especificar los atributos adicionales sobre los que la selectividad de auditora es
basado. Si no hay reglas adicionales sobre los que se basa la selectividad de auditora, esta tarea puede ser completada
con "ninguno".
Almacenamiento de eventos de auditora C.7 Seguridad (FAU_STG)
La familia de almacenamiento de eventos de auditora de seguridad describe los requisitos para el almacenamiento de los datos de auditora para su uso posterior, incluyendo
requisitos que controlan la prdida de informacin de auditora debido a un fallo TOE, el ataque y / o el agotamiento de almacenamiento
espacio.
Pgina 146
12/6/2014 ISO / IEC 15408-2
ISO / IEC 15408-2:2008 (E)
126
C.7.2 FAU_STG.1 Protegida auditora almacenamiento rastro
En un entorno distribuido, como la ubicacin de la pista de auditora se encuentra en la TSF, pero no necesariamente co-ubicada con
la funcin de la generacin de los datos de auditora, el autor PP / ST podra solicitar la autenticacin del autor de la
registro de auditora, o el no repudio del origen del registro antes de guardar este registro en la pista de auditora.
La TSF proteger a los registros de auditora almacenados en el registro de auditora de eliminacin y modificacin no autorizada. Es
seal que en algunos TOE auditor (papel) podra no estar autorizado para eliminar los registros de auditora para un determinado
perodo de tiempo.
Operaciones C.7.2.2
C.7.2.2.1 Seleccin
En FAU_STG.1.2, el autor PP / ST debe especificar si el TSF debe evitar o ser capaz de detectar slo
modificaciones de los registros de auditora almacenados en el registro de auditora. Slo una de estas opciones se puede elegir.
Garantas C.7.3 FAU_STG.2 de disponibilidad de los datos de auditora
Este componente permite al autor PP / ST para especificar a qu parmetros la pista de auditora debe cumplir.
En un entorno distribuido, como la ubicacin de la pista de auditora se encuentra en la TSF, pero no necesariamente co-ubicada con
la funcin de la generacin de los datos de auditora, el autor PP / ST podra solicitar la autenticacin del autor de la
registro de auditora, o el no repudio del origen del registro antes de guardar este registro en la pista de auditora.
Operaciones C.7.3.2
C.7.3.2.1 Seleccin
En FAU_STG.2.2, el autor PP / ST debe especificar si el TSF debe evitar o ser capaz de detectar slo
modificaciones de los registros de auditora almacenados en el registro de auditora. Slo una de estas opciones se puede elegir.
C.7.3.2.2 Asignacin
En FAU_STG.2.3, el autor de PP / ST debe especificar la mtrica que la TSF debe garantizar con respecto a la
almacena los registros de auditora. Esta medida limita la prdida de datos mediante la enumeracin de la cantidad de registros que deben mantenerse,
o el tiempo que los registros estn garantizados para ser mantenida. Un ejemplo de la mtrica podra ser "100000"
lo que indica que 100.000 registros de auditora se pueden almacenar.
C.7.3.2.3 Seleccin
En FAU_STG.2.3, t l PP / ST autor debe especificar la condicin bajo la cual la TSF debe todava ser capaz de
mantener una cantidad definida de los datos de auditora. Esta condicin puede ser cualquiera de los siguientes: el agotamiento de almacenamiento de auditora,
fracaso, ataque.
C.7.4 FAU_STG.3 Actuacin en caso de una posible prdida de datos de auditora
Este componente requiere que se tomarn las acciones cuando la pista de auditora supera ciertos lmites predefinidos.
Pgina 147
ISO / IEC 15408-2:2008 (E)
Operaciones C.7.4.2
C.7.4.2.1 Asignacin
En FAU_STG.3.1, t l PP / ST autor debe indicar el lmite pre-definido. Si las funciones de gestin indican
que este nmero puede ser cambiado por el usuario autorizado, este valor es el valor predeterminado. El autor de PP / ST
podran optar por dejar que el usuario autorizado a definir este lmite. En ese caso, la asignacin puede ser por ejemplo "un
lmite fijado por el usuario autorizado ".
12/6/2014 ISO / IEC 15408-2
127
En FAU_STG.3.1, el autor PP / ST debe especificar las acciones que se deben tomar en caso de auditora inminente
fallo de almacenamiento indicado por la superacin del umbral. Acciones pueden incluir informar a un usuario autorizado.
C.7.5 Prevencin FAU_STG.4 de prdida de datos de auditora
Este componente especifica el comportamiento de la TOE, si el registro de auditora est lleno: o bien los registros de auditora se ignoran, o
TOE se congela de tal manera que no hay eventos auditados pueden tener lugar. El requisito, adems, que no importa lo
el requisito se crea una instancia, el usuario autorizado con derechos especficos en este sentido, se puede seguir generando
eventos auditados (acciones). La razn es que de lo contrario el usuario autorizado ni siquiera poda restablecer el TOE.
Se debe considerar que la eleccin de la accin a ser tomada por el TSF en el caso de almacenamiento de auditora
agotamiento, como ignorar los acontecimientos, lo que proporciona una mayor disponibilidad de la TOE, tambin permitir que las acciones a ser
realizado sin estar registrado y sin que el usuario tener que rendir cuentas.
Operaciones C.7.5.2
C.7.5.2.1 Seleccin
En FAU_STG.4.1, t l PP / ST autor debe seleccionar si la TSF debe ignorar las acciones auditadas, o si
debe evitar las acciones auditadas suceda, o si los registros de auditora antiguos deben ser eliminados
cuando el TSF puede almacenar registros de auditora ya no importa. Slo una de estas opciones se puede elegir.
C.7.5.2.2 Asignacin
En FAU_STG.4.1, t l PP / ST autor debe especificar otras acciones que se deben tomar en caso de un almacenamiento de auditora
fracaso, tales como informar al usuario autorizado. Si no hay ninguna otra accin a tomar en caso de un almacenamiento de auditora
fracaso, esta tarea se puede completar con "ninguno".
Pgina 148
ISO / IEC 15408-2:2008 (E)
Anexo D
(Normativo)
Clase FCO: Comunicacin
Esta clase describe los requisitos especficamente de inters para los dedos que se utilizan para el transporte de
informacin. Las familias dentro de este acuerdo de la clase con el no repudio.
En esta clase se utiliza el concepto de "informacin". Esta informacin debe ser interpretada como el objeto de ser
comunicado, y podra contener un mensaje electrnico electrnico, un archivo o un conjunto de tipos de atributos predefinidos.
En la literatura, los trminos "a prueba de recibo" y "prueba de origen" son trminos de uso comn. Sin embargo, es
reconoci que el trmino "prueba" podra interpretarse en un sentido legal implicar una forma de matemtica
razn de ser. Los componentes de esta clase interpretan el uso de facto de la palabra "prueba" en el contexto de
"Evidencia" de que el TSF demuestra el transporte no repudiado de tipos de informacin.
12/6/2014 ISO / IEC 15408-2
128
Figura D.1 muestra la descomposicin de esta clase en sus componentes constitutivos.
Figura D.1 - FCO: Comunicacin clase descomposicin
D.1 no repudio de origen (FCO_NRO)
D.1.1 notas de usuario
No repudio de origen define los requisitos para acreditar a los usuarios / temas sobre la identidad de la
creador de alguna informacin. El autor no puede negar haber enviado con xito la informacin porque
pruebas de origen (por ejemplo, la firma digital) proporciona evidencia de la unin entre el iniciador y el
informacin enviada. El destinatario o un tercero puede verificar la evidencia de origen. Esta evidencia no debe ser
forjable.
Si la informacin o los atributos asociados se alteran de ninguna manera, la validacin de las pruebas de origen podra
fallar. Por lo tanto, un autor de PP / ST debe considerar la inclusin de requisitos de integridad de un tal s Datos FDP_UIT.1
integridad de cambio en el PP / ST.
En el no repudio hay varios papeles de distintos actores, cada uno de los cuales se podran combinar en una o ms
sujetos. La primera funcin es un tema que pide pruebas de origen (slo en FCO_NRO.1 prueba selectiva de
origen ). El segundo papel es el receptor y / o de otros temas a los que se presentasen las pruebas (por ejemplo, un notario).
La tercera funcin es un tema que solicita la verificacin de las pruebas de origen, por ejemplo, un destinatario o un tercero
fiesta como un rbitro.
El autor PP / ST debe especificar las condiciones que deben cumplirse para poder verificar la validez de la
pruebas. Un ejemplo de una condicin que podra especificarse es donde debe tener lugar la verificacin de pruebas
dentro de las 24 horas. Estas condiciones, por lo tanto, permiten la adaptacin del no repudio a los requisitos legales,
tales como ser capaz de proporcionar pruebas durante varios aos.
En la mayora de los casos, la identidad del receptor ser la identidad del usuario que recibi la transmisin. En
algunos casos, el autor PP / ST no quiere que la identidad del usuario que se va a exportar. En ese caso, el PP / ST
Pgina 149
ISO / IEC 15408-2:2008 (E)
autor debe considerar si es conveniente incluir esta clase, o si la identidad del transporte
proveedor de servicios o la identidad del husped debe ser utilizado.
Adems de (o en lugar de) la identidad del usuario, un autor de PP / ST podra estar ms preocupado por el tiempo de la
informacin fue transmitida. Por ejemplo, las solicitudes de propuestas deben ser transmitidos antes de una fecha determinada en
Para ser considerado. En tales casos, estos requisitos se pueden personalizar para proporcionar una indicacin de la hora
indicacin (tiempo de origen).
D.1.2 FCO_NRO.1 prueba selectiva de origen
Operaciones D.1.2.1
D.1.2.1.1 Asignacin
En FCO_NRO.1.1, th e PP / ST autor deber rellenar los tipos de informacin sujeta a la prueba de origen
de funcin, por ejemplo, mensajes de correo electrnico.
D.1.2.1.2 Seleccin
En FCO_NRO.1.1, t l PP / ST autor debe especificar el usuario / sujeto que puede solicitar pruebas de origen.
D.1.2.1.3 Asignacin
En FCO_NRO.1.1, t l PP / ST autor, depende de la seleccin, debe especificar los terceros que pueden
solicitar pruebas de origen. Un tercero podra ser un rbitro, juez o cuerpo legal.
En FCO_NRO.1.2, el autor PP / ST debe completar la lista de los atributos que se pueden vincular a la informacin;
por ejemplo, el originador de identidad, fecha de origen y el lugar de origen.
En FCO_NRO.1.2, th e PP / ST autor debe rellenar la lista de campos de informacin dentro de la informacin sobre la cual
los atributos proporcionan evidencia de origen, tales como el cuerpo de un mensaje.
12/6/2014 ISO / IEC 15408-2
129
D.1.2.1.4 Seleccin
En FCO_NRO.1.3, th e PP / ST autor debe especificar el usuario / sujeto que pueda verificar la evidencia de origen.
D.1.2.1.5 Asignacin
En FCO_NRO.1.3, el autor PP / ST debe rellenar la lista de limitaciones bajo las cuales las pruebas pueden ser
verificada. Por ejemplo, la evidencia slo puede ser verificada dentro de un intervalo de tiempo de 24 horas. La cesin de
"Inmediata" o "indefinido" es aceptable.
verificar la evidencia de origen.
Prueba D.1.3 FCO_NRO.2 forzada de origen
Operaciones D.1.3.1
D.1.3.1.1 Asignacin
En FCO_NRO.2.1, th e PP / ST autor deber rellenar los tipos de informacin sujeta a la prueba de origen
En FCO_NRO.2.2, el autor PP / ST debe completar la lista de los atributos que se pueden vincular a la informacin;
por ejemplo, el originador de identidad, fecha de origen y el lugar de origen.
En FCO_NRO.2.2, th e PP / ST autor debe rellenar la lista de campos de informacin dentro de la informacin sobre la cual
los atributos proporcionan evidencia de origen, tales como el cuerpo de un mensaje.
Pgina 150
ISO / IEC 15408-2:2008 (E)
D.1.3.1.2 Seleccin
En FCO_NRO.2.3, th e PP / ST autor debe especificar el usuario / sujeto que pueda verificar la evidencia de origen.
D.1.3.1.3 Asignacin
En FCO_NRO.2.3, el autor PP / ST debe rellenar la lista de limitaciones bajo las cuales las pruebas pueden ser
verificar la evidencia de origen. Un tercero podra ser un rbitro, juez o cuerpo legal.
D.2 No repudio de recepcin (FCO_NRR)
D.2.1 notas de usuario
No repudio de recepcin define los requisitos para proporcionar evidencia a otros usuarios / asignaturas que el
la informacin fue recibida por el destinatario. El receptor no puede negar xito de haber recibido la
informacin debido a la evidencia de la recepcin (firma digital, por ejemplo) proporciona evidencia de la unin entre el
Atributos de destinatario y la informacin. El originador o un tercero pueden verificar la constancia de su recepcin. Este
pruebas no debe ser forjable.
Cabe sealar que la presentacin de pruebas de que se ha recibido la informacin no implica necesariamente
que la informacin se ha ledo o comprendido, pero slo entrega.
Si la informacin o los atributos asociados se alteran de ninguna manera, la validacin de las pruebas de recepcin con
respecto a la informacin original puede fallar. Por lo tanto, un autor de PP / ST debe considerar la inclusin de la integridad
requisitos tales como la integridad de cambio FDP_UIT.1 datos en el PP / ST.
En el no repudio, hay varios papeles de distintos actores, cada uno de los cuales se podran combinar en una o ms
sujetos. La primera funcin es un tema que solicita un acuse de recibo (slo en FCO_NRR.1 prueba selectiva de
recibo ). La segunda funcin es el receptor y / o otros sujetos a los que se proporciona la evidencia, (por ejemplo, una
notario). La tercera funcin es un tema que solicita la verificacin de la constancia de su recepcin, por ejemplo, un
originador o de un tercero, como un rbitro.
El autor PP / ST debe especificar las condiciones que deben cumplirse para poder verificar la validez de la
pruebas. Un ejemplo de una condicin que podra especificarse es donde debe tener lugar la verificacin de pruebas
dentro de las 24 horas. Estas condiciones, por lo tanto, permiten la adaptacin del no repudio a los requisitos legales,
tales como ser capaz de proporcionar pruebas durante varios aos.
En la mayora de los casos, la identidad del receptor ser la identidad del usuario que recibi la transmisin. En
12/6/2014 ISO / IEC 15408-2
130
algunos casos, el autor PP / ST no quiere que la identidad del usuario que se va a exportar. En ese caso, el PP / ST
autor debe considerar si es conveniente incluir esta clase, o si la identidad del transporte
proveedor de servicios o la identidad del husped debe ser utilizado.
Adems de (o en lugar de) la identidad del usuario, un autor de PP / ST podra estar ms preocupado por el tiempo de la
se recibi informacin. Por ejemplo, cuando una oferta expira en una fecha determinada, los pedidos deben ser recibidos
antes de una fecha determinada con el fin de ser considerado. En tales casos, estos requisitos se pueden personalizar para
proporcionar una indicacin de fecha y hora (hora de recepcin).
D.2.2 FCO_NRR.1 prueba selectiva de recibo
Operaciones D.2.2.1
D.2.2.1.1 Asignacin
En FCO_NRR.1.1, t l PP / ST autor deber rellenar los tipos de informacin sujeta a la prueba de la recepcin
Pgina 151
ISO / IEC 15408-2:2008 (E)
D.2.2.1.2 Seleccin
En FCO_NRR.1.1, t l PP / ST autor debe especificar el usuario / sujeto que puede solicitar un acuse de recibo.
D.2.2.1.3 Asignacin
En FCO_NRR.1.1, t l PP / ST autor, depende de la seleccin, debera especificar las terceras personas que pueden
solicitar acuse de recibo. Un tercero podra ser un rbitro, juez o cuerpo legal.
En FCO_NRR.1.2, el autor PP / SAN debe completar la lista de los atributos que deben estar relacionados con la informacin,
por ejemplo, la identidad del destinatario, la hora de recepcin, y el lugar de la recepcin.
En FCO_NRR.1.2, t l PP / ST autor debe rellenar la lista de campos de informacin con los campos de la
informacin sobre la cual los atributos proporcionan evidencia de la recepcin, tales como el cuerpo de un mensaje.
D.2.2.1.4 Seleccin
En FCO_NRR.1.3, t l PP / ST autor debe especificar el usuario / asignaturas que puedan verificar el acuse de recibo.
D.2.2.1.5 Asignacin
En FCO_NRR.1.3, el autor PP / ST debe rellenar la lista de limitaciones bajo las cuales las pruebas pueden ser
En FCO_NRR.1.3, t l PP / SAN autor, depende de la seleccin, debe especificar los terceros que pueden
verificar el acuse de recibo.
Prueba D.2.3 FCO_NRR.2 forzada de recibo
Operaciones D.2.3.1
D.2.3.1.1 Asignacin
En FCO_NRR.2.1, t l PP / ST autor deber rellenar los tipos de informacin sujeta a la prueba de la recepcin
funcin, por ejemplo, mensajes de correo electrnico.
En FCO_NRR.2.2, el autor PP / ST debe completar la lista de los atributos que se pueden vincular a la informacin;
por ejemplo, la identidad del destinatario, la hora de recepcin, y el lugar de la recepcin.
En FCO_NRR.2.2, t l PP / ST autor debe rellenar la lista de campos de informacin con los campos de la
informacin sobre la cual los atributos proporcionan evidencia de la recepcin, tales como el cuerpo de un mensaje.
D.2.3.1.2 Seleccin
En FCO_NRR.2.3, t l PP / ST autor debe especificar el usuario / asignaturas que puedan verificar el acuse de recibo.
D.2.3.1.3 Asignacin
En FCO_NRR.2.3, el autor PP / ST debe rellenar la lista de limitaciones bajo las cuales las pruebas pueden ser
En FCO_NRR.2.3, t l PP / ST autor, depende de la seleccin, debe especificar los terceros que pueden
12/6/2014 ISO / IEC 15408-2
131
verificar el acuse de recibo. Un tercero podra ser un rbitro, juez o cuerpo legal.
Pgina 152
ISO / IEC 15408-2:2008 (E)
132
Anexo E
(Normativo)
Clase FCS: Apoyo criptogrfico
La TSF puede emplear la funcionalidad criptogrfica para ayudar a satisfacer varios objetivos de seguridad de alto nivel. Estos
incluir (pero no se limitan a): identificacin y autenticacin, no repudio, ruta de confianza, el canal de confianza
y separacin de datos. Esta clase se utiliza cuando el TOE implementa funciones criptogrficas, la
implementacin de lo que podra ser en el hardware, firmware y / o software.
Los FCS: Apoyo criptogrfico clase se compone de dos familias: la gestin de claves criptogrficas
(FCS_CKM) una operacin criptogrfica nd (FCS_COP). La gestin de claves de cifrado (FCS_CKM)
familia ocupa de los aspectos de gestin de claves criptogrficas, mientras que la operacin de cifrado
(FCS_COP) fa milia se ocupa de la utilizacin prctica de esas claves criptogrficas.
Para cada mtodo criptogrfico de generacin de claves implementado por el TOE, si la hay, el autor de PP / ST debe
seleccionar la generacin de claves de cifrado FCS_CKM.1 componente.
Para cada mtodo de distribucin de claves criptogrficas implementado por el TOE, si la hay, el autor de PP / ST debe
seleccionar la distribucin de la clave de cifrado FCS_CKM.2 componente.
Para cada mtodo de acceso clave criptogrfica implementado por el TOE, si la hay, el autor de PP / ST debe seleccionar
la clave de acceso FCS_CKM.3 criptogrfico componente.
Para cada mtodo de destruccin de claves criptogrficas implementado por el TOE, si la hay, el autor de PP / ST debe
seleccionar la destruccin clave criptogrfica FCS_CKM.4 componente.
Para cada operacin criptogrfica (como la firma digital, cifrado de datos, de acuerdo de claves, hash seguro,
etc) realizado por el TOE, si la hay, el autor PP / ST debe seleccionar th e FCS_COP.1 operacin criptogrfica
componente.
Funcionalidad de cifrado se puede utilizar para cumplir los objetivos especificados en clas s FCO: Comunicacin, y en
familias de autenticacin de datos (FDP_DAU), integridad de los datos almacenados (FDP_SDI), Inter-TSF confidencialidad de los datos de usuario
transferir proteccin (FDP_UCT), la proteccin de transferencia de integridad de los datos de usuario Inter-TSF (FDP_UIT), Especificacin de
secretos (FIA_SOS), U autentificacin ser (FIA_UAU), para cumplir con una variedad de objetivos. En los casos en los
funcionalidad criptogrfica se utiliza para cumplir con los objetivos de otras clases, los componentes funcionales individuales
especificar los objetivos que la funcionalidad criptogrfica debe satisfacer. Los objetivos en clas s FCS: criptogrficos
el apoyo se debe utilizar cuando la funcionalidad criptogrfica del TOE es buscado por los consumidores.
12/6/2014 ISO / IEC 15408-2
Pgina 153
ISO / IEC 15408-2:2008 (E)
133
Figura E.1 muestra la descomposicin de esta clase en sus componentes constitutivos.
Figura E.1 - FCS: Clase de Apoyo criptogrfico descomposicin
La gestin de claves de cifrado E.1 (FCS_CKM)
Notas de usuario E.1.1
Las claves criptogrficas deben ser administrados durante toda su vida. Los eventos tpicos en el ciclo de vida de un
clave criptogrfica incluye (pero no se limitan a): la generacin, la distribucin, la entrada, el almacenamiento, el acceso (por ejemplo, copia de seguridad,
custodia, archivo, recuperacin) y la destruccin.
La inclusin de otras etapas depende de la estrategia de gestin de claves est aplicando, como el TOE
no tiene por qu estar involucrado en todo el ciclo de vida de claves (por ejemplo, el TOE slo puede generar y distribuir criptogrfica
teclas).
Esta familia tiene por objeto apoyar el ciclo de vida de claves criptogrficas y en consecuencia define los requisitos para
las siguientes actividades: generacin de claves criptogrficas, distribucin de claves criptogrficas, acceso a claves criptogrficas
y la destruccin de claves criptogrficas. Esta familia debe incluirse siempre que haya requisitos funcionales
para la gestin de claves criptogrficas.
Si la generacin de datos de auditora de seguridad (FAU_GEN) S eguridad Auditora de generacin de datos est incluido en el PP / ST a continuacin, en
el contexto de los hechos objeto de la auditora:
a) Los atributos de los objetos pueden incluir el usuario asignado a la clave criptogrfica, el rol del usuario, el
operacin criptogrfica que la clave de cifrado se va a utilizar para, el identificador de clave criptogrfica y
el perodo de validez de claves criptogrficas.
b) El valor del objeto puede incluir los valores de la clave de cifrado (s) y los parmetros de exclusin de cualquier informacin sensible
informacin (como claves criptogrficas secretas o privadas).
Tpicamente, los nmeros aleatorios se usan para generar claves criptogrficas. Si este es el caso, TH es FCS_CKM.1
La generacin de claves de cifrado se debe utilizar en lugar de la FIA_SOS.2 componente TSF Generacin de
secretos. En los casos en que se requiere la generacin de nmeros al azar para otros fines que para la generacin de
claves criptogrficas, el componente FIA_SOS.2 TSF generacin de secretos deben ser utilizados.
Pgina 154
ISO / IEC 15408-2:2008 (E)
La generacin de claves de cifrado E.1.2 FCS_CKM.1
E.1.2.1 Notas de la aplicacin de usuario
Este componente requiere los tamaos de clave y el mtodo utilizados para generar las claves de cifrado para ser
12/6/2014 ISO / IEC 15408-2
134
especificada, esto puede ser de acuerdo con un estndar asignado. Se debe utilizar para especificar el criptogrfica
tamaos de clave y el mtodo (por ejemplo, algoritmo) utilizados para generar las claves criptogrficas. Slo una instancia del
se necesita componente para el mismo mtodo y mltiples tamaos de clave. El tamao de la clave podra ser comn o diferente
para las diversas entidades, y podra ser o bien la seal de entrada o la salida del mtodo.
E.1.2.2 Operaciones
E.1.2.2.1 Asignacin
En FCS_CKM.1.1, t l PP / ST autor debe especificar el algoritmo de generacin de claves criptogrficas para ser utilizado.
En FCS_CKM.1.1, el autor PP / ST debe especificar los tamaos de clave que se utilizarn. Los tamaos de clave
especificada debe ser apropiado para el algoritmo y su uso previsto.
En FCS_CKM.1.1, t l PP / ST autor debe especificar el estndar asignado que documenta el mtodo utilizado para
generar claves criptogrficas. El estndar asignado puede comprender ninguna, una o ms normas reales
publicaciones, por ejemplo, de nivel internacional, nacional, de la industria o de las normas de organizacin.
Distribucin de la clave de cifrado E.1.3 FCS_CKM.2
Este componente requiere que el mtodo utilizado para distribuir las claves criptogrficas que se especifiquen, esto puede ser en
arreglo a una norma asignada.
E.1.3.2 Operaciones
E.1.3.2.1 Asignacin
En FCS_CKM.2.1, t l PP / ST autor debe especificar el mtodo de distribucin de claves criptogrficas para ser utilizado.
distribuir claves criptogrficas. El estndar asignado puede comprender ninguna, una o ms normas reales
E.1.4 FCS_CKM.3 criptogrfico clave de acceso
Este componente requiere el mtodo utilizado para acceder a las claves criptogrficas ser especificada, esto puede ser en
E.1.4.2 Operaciones
E.1.4.2.1 Asignacin
En FCS_CKM.3.1, el autor PP / ST debe especificar el tipo de acceso clave criptogrfica que se utiliza.
Ejemplos de tipos de acceso clave criptogrfica incluyen (pero no se limitan a) de copia de seguridad de claves criptogrficas,
archivstica criptogrfico de clave, depsito de claves de cifrado y la recuperacin de claves criptogrficas.
En FCS_CKM.3.1, t l PP / ST autor debe especificar el mtodo de acceso a claves criptogrficas que se utilizar.
Pgina 155
ISO / IEC 15408-2:2008 (E)
acceso a claves criptogrficas. El estndar asignado puede comprender ninguna, una o ms normas reales
Destruccin de claves E.1.5 FCS_CKM.4 criptogrficos
Este componente requiere que el mtodo utilizado para destruir especificarse claves criptogrficas, esto puede ser en
E.1.5.2 Operaciones
E.1.5.2.1 Asignacin
En FCS_CKM.4.1, el autor de PP / ST debe especificar el mtodo de clave de la destruccin a ser usado para destruir
claves criptogrficas.
12/6/2014 ISO / IEC 15408-2
135
En FCS_CKM.4.1, t l PP / SAN autor debe especificar el estndar asignado que documenta al mtodo utilizado para
destruir las claves criptogrficas. El estndar asignado puede comprender ninguna, una o ms normas reales
E.2 operacin criptogrfica (FCS_COP)
Notas de usuario E.2.1
Una operacin criptogrfica puede tener el modo (s) de cifrado de operacin asociada con ella. Si este es el caso,
a continuacin, se debe especificar el modo de cifrado (s). Ejemplos de modos de cifrado de atencin es de cifrado
encadenamiento de bloques, el modo de realimentacin de salida, modo de libro de cdigo electrnico, y el modo de cifrado de.
Operaciones criptogrficas pueden ser utilizados para apoyar uno o ms servicios de seguridad del TOE. El criptogrficos
operacin (FCS_COP) C omponente puede necesitar ser iterado ms de una vez en funcin de:
a) la aplicacin de usuario para el que se est utilizando el servicio de seguridad,
b) el uso de diferentes algoritmos criptogrficos y / o tamaos de clave,
c) el tipo o la sensibilidad de los datos que estn siendo operados.
Si la generacin de datos de auditora de seguridad (FAU_GEN) S de generacin de datos de auditora ecurity est incluido en el PP / ST a continuacin, en
el contexto de los sucesos de operacin de cifrado que est siendo auditada:
a) El tipo de operacin criptogrfica pueden incluir la generacin de firmas digitales y / o verificacin,
la generacin de la suma de comprobacin criptogrfica de integridad y / o para la verificacin de la suma de comprobacin, control seguro
(Resumen del mensaje) el clculo, el cifrado de datos y / o descifrado, el cifrado de claves criptogrficas y / o
descifrado, el acuerdo de claves criptogrficas y la generacin de nmeros aleatorios.
b) Los sujetos atributos pueden incluir papel sujeto (s) y usuario (s) asociados con el sujeto.
c) Los atributos de los objetos pueden incluir el usuario asignado a la clave criptogrfica, el papel de usuario, cifrado
operacin de la clave de cifrado se va a utilizar para, identificador de clave criptogrfica, y la clave criptogrfica
perodo de validez.
Pgina 156
ISO / IEC 15408-2:2008 (E)
Operacin E.2.2 FCS_COP.1 criptogrficos
Este componente requiere el algoritmo de cifrado y tamao de clave utilizada para realizar criptogrfico especificado
operacin (s) que puede estar basado en una norma asignada.
E.2.2.2 Operaciones
E.2.2.2.1 Asignacin
En FCS_COP.1.1, el autor PP / ST debera especificar las operaciones criptogrficas que se realiza. Tpico
operaciones criptogrficas incluyen la generacin de firma digital y / o verificacin, suma de control criptogrfica
generacin de integridad y / o para la verificacin de la suma de comprobacin, control seguro (resumen del mensaje) el clculo, los datos
cifrado y / o descifrado, el cifrado de claves criptogrficas y / o descifrado, el acuerdo de claves criptogrficas
y la generacin de nmero aleatorio. La operacin criptogrfica se puede realizar en los datos de usuario o datos de TSF.
En FCS_COP.1.1, el autor de PP / ST debe especificar el algoritmo de cifrado a ser utilizado. Tpico
algoritmos criptogrficos incluyen, pero no se limitan a, DES, RSA e IDEA.
En FCS_COP.1.1, t l PP / ST autor debe especificar los tamaos de clave que se utilizarn. Los tamaos de clave
especificada debe ser apropiado para el algoritmo y su uso previsto.
En FCS_COP.1.1, t l PP / ST autor debe especificar el estndar asignado que documenta cmo los identifican
operacin criptogrfica (s) se llevan a cabo. El estndar asignado puede comprender ninguno, uno o ms real
publicaciones de estndares, por ejemplo, de nivel internacional, nacional, de la industria o de las normas de organizacin.
12/6/2014 ISO / IEC 15408-2
136
Pgina 157
ISO / IEC 15408-2:2008 (E)
Anexo F
(Normativo)
Clase FDP: proteccin de los datos del usuario
Esta clase contiene familias que especifican los requisitos relacionados con la proteccin de los datos del usuario. Esta clase difiere de la FIA
y FPT en ese FDP: proteccin de los datos de usuario especifica los componentes de proteccin de datos de usuario, especifica la FIA
componentes para proteger los atributos asociados con el usuario, y FPT especifica componentes para proteger TSF
informacin.
La clase no contiene requisitos explcitos para los controles tradicionales de acceso obligatorio (MAC) o
Controles de Acceso Discrecional (DAC tradicional); sin embargo, tales requisitos pueden ser construidos utilizando
componentes de esta clase.
FDP: proteccin de los datos del usuario doe s no trata explcitamente la confidencialidad, integridad o disponibilidad, ya que los tres son
ms a menudo entrelazadas en la poltica y los mecanismos. Sin embargo, la poltica de seguridad del TOE debe adecuadamente
cubrir estos tres objetivos en el PP / ST.
Un ltimo aspecto de esta clase es que especifica el control de acceso en trminos de "operaciones". Una operacin se define como
un tipo especfico de acceso sobre un objeto especfico. Depende del nivel de abstraccin del autor PP / ST
si estas operaciones se describen como "leer" y / o "escribir" las operaciones, o como operaciones ms complejas
tales como "actualizar la base de datos".
Las polticas de control de acceso son las condiciones que controlan el acceso a la informacin contenida. Los atributos
representar atributos del recipiente. Una vez que la informacin est fuera del recipiente, el descriptor de acceso es libre de
modificar dicha informacin, incluyendo escribir la informacin en un recipiente diferente con diferentes atributos. Por
Por el contrario, un flujo de informacin de las polticas de control de acceso a la informacin, independientemente del contenedor. La
atributos de la informacin, que pueden estar asociados con los atributos del envase (o no, como en
el caso de una base de datos multi-nivel) se quede con la informacin a medida que avanza. El descriptor de acceso no tiene la
capacidad, en ausencia de una autorizacin expresa, para cambiar los atributos de la informacin.
Esta clase no est destinado a ser una taxonoma completa de las polticas de acceso de TI, ya que otros pueden ser imaginados. Aquellos
polticas incluidas aqu son simplemente aquellos para los que la experiencia actual con los sistemas reales proporciona una base para
especificar los requisitos. Puede haber otras formas de intenciones que no son capturados en las definiciones aqu.
Por ejemplo, uno podra imaginar una meta de que los controles (y definido por el usuario) impuesta por el usuario en la informacin
flujo (por ejemplo, una aplicacin automatizada de la NO EXTERIOR manejo de advertencia). Tales conceptos podran ser
12/6/2014 ISO / IEC 15408-2
137
manejados como refinamientos de o ampliaciones de la FDP: proteccin de datos de usuario de componentes.
Por ltimo, es importante cuando se mira en los componentes i n FDP: Usuario protecci de datos n recordar que estos
componentes son los requisitos para las funciones que pueden ser implementadas por un mecanismo que tambin sirve o
podra servir a otro propsito. Por ejemplo, es posible construir una poltica de control de acceso ( control de acceso
poltica (FDP_ACC)) t sombrero usa etiquetas (FDP_IFF.1 atributos de seguridad simples) como la base del control de acceso
mecanismo.
Un conjunto de SFR puede abarcar muchas de las polticas de seguridad de funcin (SFP), cada uno a ser identificados por las dos polticas
componentes orientados Una poltica de control de cceso (FDP_ACC), una poltica de control de flujo de informacin nd (FDP_IFC). Estos
polticas tpicamente tendrn aspectos de confidencialidad, integridad y disponibilidad en cuenta segn sea necesario, para
satisfacer los requisitos de los pies. Se debe tener cuidado para asegurar que todos los objetos estn cubiertas por al menos un SFP
y que no existen los conflictos derivados de la aplicacin de los mltiples programas de alimentacin complementaria.
Cuando se construye un PP / ST utilizando componentes de la FD P: Usuario proteccin de datos cl culo, la siguiente informacin
proporciona orientacin sobre dnde buscar y qu seleccionar de la clase.
Los requisitos establecidos en la F DP: proteccin de datos de usuario de clase se definen en trminos de un conjunto de SFR que se
implementar un SFP. Dado que una TOE puede implementar mltiples SFP simultneamente, el autor PP / ST debe especificar
Pgina 158
ISO / IEC 15408-2:2008 (E)
el nombre de cada SFP, por lo que se puede hacer referencia a otras familias. Este nombre se utilizar en cada
componente seleccionado para indicar que se est utilizando como parte de la definicin de los requisitos para que la SFP. Este
permite al autor para indicar fcilmente el alcance de las operaciones, tales como objetos cubiertos, las operaciones cubiertas,
usuarios autorizados, etc
Cada instancia de un componente se puede aplicar a una sola SFP. Por lo tanto, si se especifica un SFP en un componente
entonces este SFP se aplicar a todos los elementos de este componente. Los componentes se pueden crear instancias mltiples
veces dentro de un PP / ST para tener en cuenta diferentes polticas si as se desea.
La clave para la seleccin de los componentes de esta familia es tener un conjunto bien definido de objetivos de seguridad para TOE
permitir la seleccin adecuada de los componentes de los dos componentes de la poltica; poltica de control de acceso (FDP_ACC)
y Flujo de informacin poltica de control (FDP_IFC) . En la poltica de control de acceso (FDP_ACC) y el flujo de informacin
poltica de control (FDP_IFC) r espectively, todas las polticas de control de acceso y todas las polticas de control de flujo de la informacin son
nombrado. Adems, el alcance de la fiscalizacin de estos componentes en funcin de los sujetos, objetos y
las operaciones relacionadas con esta funcionalidad de seguridad. Los nombres de estas polticas estn destinados a ser utilizados en todo
el resto de los componentes funcionales que tienen una operacin que requiere una asignacin o seleccin de
un "control de acceso SFP" o un "control de flujo de informacin SFP". Las reglas que definen la funcionalidad de la
SFP de control del flujo de control de acceso y el nombre de informacin se definen en las funciones de control de acceso
(FDP_ACF) un d Informacin funciones de control de flujo (FDP_IFF) familias (respectivamente).
Los siguientes pasos son una gua sobre cmo se aplica esta clase en la construccin de un PP / ST:
a) Identificar las polticas que se aplican desde la poltica de control de acceso (FDP_ACC), y el flujo de informacin
(FDP_IFC) poltica de control de las familias. Estas familias definen el alcance del control de la poltica, la granularidad de
controlar y pueden identificar algunas reglas a seguir con la poltica.
b) Identificar los componentes y realizar cualquier operacin aplicable en los componentes de la poltica. La
operaciones de asignacin se puede realizar en general (por ejemplo, con una declaracin "Todos los archivos") o especficamente
("Los archivos de" A "," B ", etc) dependiendo del nivel de detalle que se conoce.
c) Identificar los componentes de funcin de aplicacin de las funciones de control de acceso (FDP_ACF) y
Funciones de control de flujo de la informacin (FDP_IFF) las familias para hacer frente a las familias de directivas con nombre de acceso
poltica de control (FDP_ACC) una poltica de control de flujo de informacin nd (FDP_IFC). Realizar las operaciones para hacer
los componentes definen las reglas a ser aplicadas por las directivas con nombre. Esto debera hacer que los componentes
ajustarse a los requisitos de la funcin seleccionada o previstos para ser construido.
d) Identificar que tendr la capacidad de controlar y cambiar los atributos de seguridad en virtud de la funcin, por ejemplo, slo
un administrador de seguridad, slo el propietario del objeto, etc Seleccione los componentes apropiados de FMT:
Gestin de la seguridad de un nd realizar las operaciones. Matices pueden ser tiles para identificar desaparecidos
caractersticas, como que algunos o todos los cambios se deben hacer a travs de ruta de confianza.
e) Identificar los componentes apropiados de la F MT: Gestin de la seguridad para los valores iniciales para el nuevo
objetos y sujetos.
f) Identificar los componentes de rollback aplicables desde el Rollback (FDP_ROL) f amilia.
g) Identificar los requisitos de proteccin de la informacin residuales aplicables a partir de la R informacin esidual
proteccin (FDP_RIP) f amilia.
h) Identificar los componentes de importacin o de exportacin aplicables, y cmo se deben manejar los atributos de seguridad
durante la importacin y exportacin, a la importacin desde fuera del TOE (FDP_ITC) y Exportar en el TOE
(FDP_ETC) f as familias.
12/6/2014 ISO / IEC 15408-2
138
i) Identificar los componentes de comunicacin TOE internos aplicables a partir de la que la transferencia TOE nternal
(FDP_ITT) f amilia.
j) Identificar los requisitos para la proteccin de la integridad de la informacin almacenada en la integridad de los datos almacenados
(FDP_SDI).
Pgina 159
ISO / IEC 15408-2:2008 (E)
139
k) Identificar los componentes de comunicacin entre TSF aplicables a partir de la De la confidencialidad de datos de usuario ter-TSF
proteccin de transferencia (FDP_UCT) o r Inter-TSF proteccin transferencia integridad de los datos de usuario (FDP_UIT) familias.
Figura F.1 muestra la descomposicin de esta clase en sus componentes constitutivos.
Figura F.1 - FDP: Usuario clase de proteccin de datos de descomposicin
12/6/2014 ISO / IEC 15408-2
Pgina 160
ISO / IEC 15408-2:2008 (E)
140
Poltica de control de acceso F.1 (FDP_ACC)
F.1.1 notas de usuario
Esta familia se basa en el concepto de controles arbitrarios en la interaccin de los sujetos y objetos. La
alcance y finalidad de los controles se basa en los atributos del descriptor de acceso (sujeto), los atributos de la
est accediendo contenedor (objeto), las acciones (operaciones) y las reglas de control de acceso asociada.
Los componentes de esta familia son capaces de identificar los SFP de control de acceso (por nombre) para ser aplicadas por
los tradicionales Control de Acceso Discrecional (DAC) mecanismos. Adems, define los sujetos, objetos y
operaciones que estn cubiertos por los SFP de control de acceso identificados. Las reglas que definen la funcionalidad de un
SFP de control de acceso se define por otras familias, a tales funciones de control de acceso s (FDP_ACF) y la exportacin
del TOE (FDP_ETC). T l los nombres de los SFP de control de acceso definidas en la poltica de control de acceso
(FDP_ACC) AR correo destinado a ser utilizado en todo el resto de los componentes funcionales que tienen un
operacin que exige una asignacin o seleccin de un "SFP de control de acceso."
La SFP de control de acceso abarca un conjunto de trillizos: sujeto, objeto, y las operaciones. Por lo tanto, un sujeto puede ser
cubierto por mltiples SFP de control de acceso pero slo con respecto a una operacin diferente o un objeto diferente. De
Por supuesto, el mismo se aplica a los objetos y las operaciones.
Un aspecto crtico de una funcin de control de acceso que impone un SFP de control de acceso es la capacidad para que los usuarios
modificar los atributos que intervienen en las decisiones de control de acceso. Th poltica de control electrnico de acceso (FDP_ACC) familia hace
no abordar estos aspectos. Algunos de estos requisitos se quedan sin definir, pero se puede agregar como refinamientos,
mientras que otros estn cubiertos en otras partes de otras familias y clases como un s FMT: gestin de la seguridad.
No hay requisitos de auditora en la poltica de control de acceso (FDP_ACC) como esta familia especifica de control de acceso
Requisitos SFP. Requisitos de auditora se encuentran en las familias especificando funciones para satisfacer el acceso
SFP de control identificados en esta familia.
Esta familia ofrece un autor de PP / ST la posibilidad de especificar una serie de polticas, por ejemplo, un acceso fijo
SFP de control que se aplicar a un mbito de control, y un programa de alimentacin de control de acceso flexible para ser definido para un
diferente mbito de control. Para especificar ms de una poltica de control de acceso, los componentes de esta familia
se pueden repetir varias veces en un PP / ST para diferentes subconjuntos de operaciones y objetos. Esta voluntad
acomodar las TOE que contienen mltiples polticas, abordando cada uno un determinado conjunto de operaciones y objetos.
En otras palabras, el autor PP / ST debe especificar la informacin requerida en el componente de ACC para cada uno de
los SFP de control de acceso que el TSF har cumplir. Por ejemplo, una TOE que incorpora tres de control de acceso
SFP, cada uno cubre slo un subconjunto de los objetos, temas, y las operaciones dentro de la TOE, contendr una
FDP_ACC.1 Subconjunto de control de acceso c omponente para cada uno de los tres SFP de control de acceso, lo que exige un
total de thre e FDP_ACC.1 subconjunto de control de acceso componentes.
Control de acceso F.1.2 FDP_ACC.1 Subset
F.1.2.1 Notas de la aplicacin de usuario
Los trminos objeto y sujeto se refieren a elementos genricos en el TOE. Para que una poltica sea implementable, el
las entidades deben estar claramente identificados. Para un PP, los objetos y las operaciones pueden ser expresados como tipos, tales como:
objetos con nombre, repositorios de datos, observan accesos, etc Para una TOE especfica estos trminos genricos (sujeto,
objeto) debe ser refinados, por ejemplo, archivos, registros, los puertos, los demonios, convocatorias, etc
Este componente se especifica que la pliza cubre un conjunto bien definido de las operaciones en algn subconjunto de la
objetos. Se coloca ninguna restriccin sobre las operaciones fuera del conjunto - incluyendo las operaciones sobre los objetos para los que
otras operaciones son controladas.
F.1.2.2 Operaciones
F.1.2.2.1 Asignacin
En FDP_ACC.1.1, el autor PP / ST debe especificar un nombre nico SFP de control de acceso que deban hacer cumplir
la TSF.
Pgina 161
ISO / IEC 15408-2:2008 (E)
En FDP_ACC.1.1, t l PP / ST autor debe especificar la lista de sujetos, objetos y las operaciones entre sujetos
y objetos cubiertos por la SFP.
12/6/2014 ISO / IEC 15408-2
141
Control de acceso completa F.1.3 FDP_ACC.2
Este componente requiere que todas las posibles operaciones sobre objetos, que se incluyen en la SFP, estn cubiertos por
un SFP de control de acceso.
El autor PP / ST debe demostrar que cada combinacin de objetos y sujetos est cubierto por un acceso
SFP control.
F.1.3.2 Operaciones
F.1.3.2.1 Asignacin
En FDP_ACC.2.1, el autor PP / ST debe especificar un nombre nico SFP de control de acceso que deban hacer cumplir
la TSF.
En FDP_ACC.2.1, t l PP / ST autor debe especificar la lista de sujetos y objetos cubiertos por la SFP. Todo
operaciones entre los sujetos y los objetos sern cubiertas por el SFP.
Funciones de control de acceso F.2 (FDP_ACF)
Esta familia se describen las reglas para las funciones especficas que pueden implementar una poltica de control de acceso con nombre en
Poltica de control de acceso (FDP_ACC) wh ich tambin especifica el alcance del control de la poltica.
Esta familia proporciona un autor PP / ST la capacidad para describir las reglas de control de acceso. Esto resulta en una
TOE donde el acceso a los objetos no cambiar. Un ejemplo de un objeto, es "mensaje del da",
que slo es legible por todos, y cambiante slo por el administrador autorizado. Esta familia tambin proporciona la
PP / ST autor con la capacidad de describir las normas que establecen excepciones a las reglas de control de acceso general.
Tales excepciones seran permitir o denegar la autorizacin para acceder a un objeto, ya sea de forma explcita.
No hay componentes explcitos para especificar otras posibles funciones, como el control de dos personas, la secuencia
reglas para las operaciones o los controles de exclusin. Sin embargo, estos mecanismos, as como tradicional DAC
mecanismos, se pueden representar con los componentes existentes, mediante la cuidadosa redaccin de las reglas de control de acceso.
Una variedad de funcionalidad de control de acceso aceptable puede ser especificado en esta familia, tales como:
Listas de control de acceso (ACL)
Especificaciones de control de acceso basadas en el tiempo

Especificaciones de control de acceso basado en Origen
Atributos de control de acceso controlado por sus propietarios
Control de acceso basado atributo F.2.2 FDP_ACF.1 Seguridad
Este componente proporciona los requisitos para un mecanismo que interviene en el control de acceso basado en la seguridad
atributos asociados a los sujetos y objetos. Cada objeto y el sujeto tiene un conjunto de atributos asociados,
tales como la ubicacin, el tiempo de la creacin, los derechos de acceso (por ejemplo, listas de control de acceso (ACL)). Este componente permite
Pgina 162
ISO / IEC 15408-2:2008 (E)
el autor de PP / ST para especificar los atributos que se utilizarn para la mediacin de control de acceso. Este componente
admite un rgimen de control de acceso, el uso de estos atributos, que se determine.
Los ejemplos de los atributos que un autor de PP / ST podra asignar se presentan en los siguientes prrafos.
Un atributo de identidad puede estar asociada con los usuarios, los sujetos u objetos que se utilizarn para la mediacin. Ejemplos de
tales atributos pueden ser el nombre de la imagen del programa utilizado en la creacin del sujeto, o una garanta
atributo asignado a la imagen del programa.
Una vez atributo puede utilizarse para especificar que el acceso ser autorizado durante ciertas horas del da, durante
ciertos das de la semana, o durante un determinado ao calendario.
Un atributo de ubicacin podra especificar si la ubicacin es la ubicacin de la solicitud de la operacin, el
ubicacin en la que se llevar a cabo la operacin, o ambos. Se podra basarse en tablas internas para traducir el
interfaces lgicas de la TSF en lugares como a travs de los lugares de conexin, lugares de CPU, etc
12/6/2014 ISO / IEC 15408-2
142
Un atributo de agrupacin permite que un solo grupo de usuarios a estar asociada con una operacin para los fines de
control de acceso. Si es necesario, la operacin de refinamiento se debe utilizar para especificar el nmero mximo de
grupos definibles, el nmero mximo de miembros de un grupo, y el nmero mximo de grupos a los que un usuario
al mismo tiempo puede ser asociado.
Este componente tambin proporciona los requisitos para las funciones de seguridad de control de acceso para poder explcitamente
autorizar o denegar el acceso a un objeto como fundamento los atributos de seguridad. Esto podra ser utilizado para proporcionar privilegio,
los derechos de acceso, o autorizaciones de acceso dentro de la TOE. Tales privilegios, derechos o autorizaciones podran aplicarse a
los usuarios, los sujetos (que representan a los usuarios o aplicaciones), y objetos.
F.2.2.2 Operaciones
F.2.2.2.1 Asignacin
En FDP_ACF.1.1, el autor PP / ST debe especificar un nombre de SFP de control de acceso que el TSF debe aplicar.
El nombre de la SFP de control de acceso, y el mbito de control para que la poltica se definen en los componentes de
Poltica de control de acceso (FDP_ACC).
En FDP_ACF.1.1, el autor PP / ST debe especificar, por cada uno controlado sujeto y objeto, la seguridad
atributos y / o grupos con nombre de atributos de seguridad que la funcin va a utilizar en la especificacin de las reglas.
Por ejemplo, tales atributos pueden ser cosas tales como la identidad del usuario, la identidad sujeto, papel, hora del da,
ubicacin, ACL, o cualquier otro atributo especificado por el autor de PP / ST. Grupos de atributos de seguridad con nombre puede
ser especificado para proporcionar un medio conveniente para referirse a varios atributos de seguridad. Los grupos con nombre podra
proporcionar una forma til para asociar "roles" que defin n de gestin de Seguridad roles (FMT_SMR), un nd todos de su
atributos relevantes, con los sujetos. En otras palabras, cada funcin podra referirse a un grupo llamado de los atributos.
En FDP_ACF.1.2, el autor PP / ST debe especificar las reglas que rigen el acceso SFP entre sujetos
y objetos usando operaciones controladas sobre objetos controlados controlada. Estas reglas especifican cuando el acceso es
concedido o denegado. Puede especificar las funciones generales de control de acceso (por ejemplo, los bits de permiso tpicos) o granular
funciones de control de acceso (ACL) por ejemplo.
En FDP_ACF.1.3, el autor PP / ST debera especificar las normas, sobre la base de atributos de seguridad, que de forma explcita
autorizar el acceso de los sujetos a los objetos que se utilizarn para autorizar explcitamente el acceso. Estas reglas estn en
adems de los especificados i n FDP_ACF.1.1. Ellos estn incluidos en FDP_ACF.1.3 ya que estn destinadas a
contener excepciones a las reglas en FDP_ACF.1.1. Un ejemplo de reglas para autorizar explcitamente el acceso se basa
en un vector de privilegio asociado a un tema que siempre garantiza el acceso a los objetos cubiertos por el acceso
la SFP de control que haya sido especificado. Si no se desea tal capacidad, entonces el autor de PP / ST debe especificar
"Ninguno".
En FDP_ACF.1.4, t l PP / ST autor debe especificar las reglas, en base a los atributos de seguridad, que se niegan de forma explcita
el acceso de los sujetos a los objetos. Estas reglas son adicionales a los especificados i n FDP_ACF.1.1 . Ellos son
incluido en FDP_ACF.1.4 , ya que estn destinados a contener excepciones a las reglas en FDP_ACF.1.1. Un
ejemplo de reglas para denegar explcitamente el acceso se basa en un vector de privilegio asociado con un tema que siempre
Pgina 163
ISO / IEC 15408-2:2008 (E)
niega el acceso a los objetos cubiertos por la SFP de control de acceso que se ha especificado. Si tal capacidad no es
deseada, entonces el autor PP / ST debe especificar "none".
Autenticacin de datos F.3 (FDP_DAU)
Esta familia describe funciones especficas que pueden ser utilizados para autenticar los datos "estticos".
Los componentes de esta familia se van a utilizar cuando no es un requisito para la autenticacin de los datos "estticos", es decir,
donde los datos se va a firmar, pero que no se transmite. (Tenga en cuenta que el no repudio de origen (FCO_NRO) familia
prev el no repudio de origen de la informacin recibida durante el intercambio de datos.)
Datos de autenticacin F.3.2 FDP_DAU.1 bsico
Este componente puede ser satisfecha por las funciones hash unidireccionales (suma de comprobacin criptogrfica, huellas digitales, mensajes
digerir), para generar un valor hash para un documento definitivo que puede usarse como verificacin de la validez o
autenticidad de su contenido de informacin.
F.3.2.2 Operaciones
F.3.2.2.1 Asignacin
En FDP_DAU.1.1, t l PP / ST autor debe especificar la lista de objetos o tipos de informacin para los que el TSF
12/6/2014 ISO / IEC 15408-2
143
deber ser capaz de generar pruebas de autenticacin de datos.
En FDP_DAU.1.2, t l PP / ST autor debe especificar la lista de temas que tendrn la capacidad de verificar los datos
pruebas de autenticacin para los objetos identificados en el elemento anterior. La lista de temas podra ser muy
especfica, si se conocen los sujetos, o podra ser ms genrico y se refieren a un "tipo" de sujetos tales como
papel identificado.
F.3.3 FDP_DAU.2 datos Autenticacin con Identidad de Garante
Este componente, adems, requiere la capacidad de verificar la identidad del usuario que proporciona la garanta de
autenticidad (por ejemplo, una tercera parte de confianza).
F.3.3.2 Operaciones
F.3.3.2.1 Asignacin
En FDP_DAU.2.1, t l PP / ST autor debe especificar la lista de objetos o tipos de informacin para los que el TSF
deber ser capaz de generar pruebas de autenticacin de datos.
En FDP_DAU.2.2, t l PP / ST autor debe especificar la lista de temas que tendrn la capacidad de verificar los datos
pruebas de autenticacin para los objetos identificados en el elemento anterior, as como la identidad del usuario que
creado las pruebas de autenticacin de datos.
F.4 Exportar en el TOE (FDP_ETC)
Esta familia define funciones para exportar mediada TSF de datos de usuario en el TOE de forma que su seguridad
atributos o bien se puede conservar de manera explcita o puede ser ignorada una vez que ha sido exportado. La consistencia de estos
atributos de seguridad se abordan b y consistencia de los datos entre TSF TSF (FPT_TDC).
Pgina 164
ISO / IEC 15408-2:2008 (E)
Exportar desde el TOE (FDP_ETC) est preocupado por limitaciones a la exportacin y la asociacin de atributos de seguridad
con los datos de usuario exportados.
Esta familia, y de la correspondiente importacin famil y de importacin desde fuera del TOE (FDP_ITC), frente a la forma en la
TOE se ocupa de los datos de usuario transferidos dentro y fuera de su control. En principio esta familia se ocupa de la
Exportadora mediada TSF de datos de usuario y sus atributos relacionados con la seguridad.
Una variedad de actividades podra estar involucrado aqu:
a) la exportacin de los datos del usuario sin atributos de seguridad;
b) la exportacin de datos de usuario que incluye los atributos de seguridad donde los dos estn asociados entre s y la
los atributos de seguridad de forma inequvoca representan los datos de los usuarios exportados.
Si hay varios programas de alimentacin complementaria (control de acceso y / o control de flujo de la informacin), entonces puede ser apropiado para iterar
estos componentes una vez para cada llamada SFP.
F.4.2 FDP_ETC.1 Exportacin de los datos de usuario sin atributos de seguridad
Este componente se utiliza para especificar el exportador mediada TSF de los datos del usuario sin la exportacin de su seguridad
atributos.
F.4.2.2 Operaciones
F.4.2.2.1 Asignacin
En FDP_ETC.1.1, t l PP / ST autor debe especificar el SFP de control de acceso (s) y / o el flujo de informacin de control
SFP (s) que se aplica al exportar los datos del usuario. Los datos de usuario que esta funcin exportaciones pertenecern al mbito de
la asignacin de estos programas de alimentacin complementaria.
F.4.3 FDP_ETC.2 Exportacin de los datos de usuario con atributos de seguridad
Los datos de usuario se exporta junto con sus atributos de seguridad. Los atributos de seguridad son inequvocamente
asociado con los datos de usuario. Hay varias maneras de lograr esta asociacin. Una manera en que esto puede ser
12/6/2014 ISO / IEC 15408-2
144
alcanzado es por ubicar juntos fsicamente los datos de usuario y los atributos de seguridad (por ejemplo, el mismo disquete), o por
el uso de tcnicas criptogrficas como firmas seguras para asociar los atributos y los datos del usuario. I nter-
TSF canal de confianza (FTP_ITC) co ULD puede utilizar para asegurar que los atributos se reciben correctamente en el otro
confianza IT producto noc e consistencia de datos entre TSF TSF (FPT_TDC) se puede utilizar para asegurarse de que los
atributos se interpretan correctamente. Adems , ruta de confianza (FTP_TRP) se podra utilizar para asegurarse de que el
exportacin est siendo iniciado por el usuario adecuado.
F.4.3.2 Operaciones
F.4.3.2.1 Asignacin
En FDP_ETC.2.1, t l PP / ST autor debe especificar el SFP de control de acceso (s) y / o el flujo de informacin de control
SFP (s) que se aplica al exportar los datos del usuario. Los datos de usuario que esta funcin exportaciones pertenecern al mbito de
la asignacin de estos programas de alimentacin complementaria.
En FDP_ETC.2.4, t l PP / ST autor debe especificar todas las normas de control de exportacin adicionales o "ninguna" si no
hay reglas de control de exportacin adicionales. Estas reglas se harn cumplir por el TSF, adems del acceso
SFP de control y / o de informacin SFP de control de flujo que he seleccionado n FDP_ETC.2.1.
Pgina 165
ISO / IEC 15408-2:2008 (E)
Poltica de control de flujo de informacin F.5 (FDP_IFC)
Esta familia abarca la identificacin de los SFP de control del flujo de informacin; y para cada, especifica el alcance de
control de la SFP.
Las componentes de esta familia son capaces de identificar los SFP de control del flujo de informacin que deban hacer cumplir
los mecanismos tradicionales de control de acceso obligatorios que se encontraran en un dedo del pie. Sin embargo, se van
ms all de los mecanismos MAC tradicionales y se puede utilizar para identificar y describir la no injerencia
polticas y estatales-transiciones. Adems, define los temas bajo el control de la poltica, la informacin bajo
control de la poltica, y las operaciones que hacen que la informacin controlada fluya hacia y desde los sujetos controlados
para cada SFP de control del flujo de informacin en el TOE. El SFP de control de flujo de informacin se define por otra
las familias, tales como funciones de control de flujo de la informacin (FDP_IF F) y la exportacin de la TOE (FDP_ETC). La
SFP de control del flujo de informacin con nombre aqu en Poltica de control del flujo (FDP_IFC) estn destinados a ser utilizados
en el resto de los componentes funcionales que tienen una operacin que requiere una asignacin o
seleccin de un "SFP de control del flujo de la informacin."
Estos componentes son bastante flexibles. Permiten el dominio de control de flujo que se especifica y no hay
requisito de que el mecanismo se basa en etiquetas. Los diferentes elementos de la informacin de control de flujo
componentes tambin permiten diferentes grados de excepcin a la poltica.
Cada SFP abarca un conjunto de trillizos: sujeto, la informacin y las operaciones que hacen que la informacin fluya hacia y
de los sujetos. Algunas polticas de control de flujos de informacin pueden estar en un nivel muy bajo de detalle y de forma explcita
describir los sujetos en trminos de los procesos dentro de un sistema operativo. Otras polticas de control del flujo de informacin
puede estar en un nivel alto y describir los sujetos en el sentido genrico de los usuarios o los canales de entrada / salida. Si el
poltica de control de flujo de la informacin est en un nivel demasiado alto de detalle, es posible que no define claramente la seguridad de TI deseada
funciones. En estos casos, es ms conveniente incluir las descripciones de las polticas de control del flujo de informacin
como objetivos. A continuacin, las funciones de seguridad de TI deseados se pueden especificar como un apoyo a esos objetivos.
En el segundo componente (F DP_IFC.2 La informacin completa de control de flujo), cada informacin de control de flujo SFP
cubrir todas las operaciones posibles que hacen que la informacin se refiere el citado SFP fluya hacia y desde los sujetos
cubierto por dicho SFP. Adems, tendr que ser cubierta por un SFP todos los flujos de informacin. Por lo tanto para cada uno
accin que hace que la informacin fluya, habr un conjunto de reglas que definen si se permite que la accin. Si
hay varios programas de alimentacin complementaria que sean aplicables para un flujo de informacin dado, todos los SFP involucradas deben permitir este flujo
antes de que se permite que tenga lugar.
Un SFP de control del flujo de informacin abarca un conjunto bien definido de operaciones. La cobertura puede ser SFP
"Completar" con respecto a algunos flujos de informacin, o puede abordar slo algunas de las operaciones que afectan
el flujo de informacin.
Un SFP de control de acceso controla el acceso a los objetos que contienen informacin. Un SFP de control del flujo de informacin
controla el acceso a la informacin, independiente de su contenedor. Los atributos de la informacin, que puede
estar asociados con los atributos del recipiente (o no, como en el caso de una base de datos de mltiples niveles) estancia
con la informacin a medida que fluye. El descriptor de acceso no tiene la capacidad, en ausencia de una explcita
autorizacin, para cambiar los atributos de la informacin.
Los flujos de informacin y las operaciones se pueden expresar en mltiples niveles. En el caso de un ST, la informacin
flujos y operaciones pueden ser especificadas en un nivel especfico del sistema: los paquetes TCP / IP que fluyen a travs de un cortafuegos
sobre la base de direcciones IP conocidas. Para un PP, los flujos y las operaciones de informacin pueden ser expresados como
12/6/2014 ISO / IEC 15408-2
145
tipos: correo electrnico, bases de datos, observar accesos, etc
Los componentes de esta familia se pueden aplicar varias veces en un PP / ST para diferentes subconjuntos de operaciones y
objetos. Esto acomodar TOE que contienen varias polticas, el problema a cada uno un conjunto particular de
objetos, sujetos y operaciones.
Pgina 166
ISO / IEC 15408-2:2008 (E)
El control del flujo de informacin F.5.2 FDP_IFC.1 Subset
Este componente requiere que una poltica de control de flujo de informacin se aplica a un subconjunto de las posibles operaciones en
TOE.
F.5.2.2 Operaciones
F.5.2.2.1 Asignacin
En FDP_IFC.1.1, el autor PP / ST debe especificar un control del flujo de informacin de nombre nico SFP ser
forzada por el TSF.
En FDP_IFC.1.1, el autor PP / ST debe especificar la lista de temas, la informacin y las operaciones que causa
informacin controlada a fluir hacia y desde los sujetos controlados cubiertos por la SFP. Como se mencion anteriormente, la
lista de temas podra estar en varios niveles de detalle en funcin de las necesidades del autor PP / ST. Podra
especificar los usuarios, mquinas o procesos, por ejemplo. La informacin podra referirse a los datos como el correo electrnico o la red
protocolos u objetos ms especficos similares a los especificados en una poltica de control de acceso. Si la informacin
que se especifica est contenido dentro de un objeto que est sujeto a una poltica de control de acceso, tanto en el acceso
poltica de control y la informacin de poltica de control de flujo debe ser ejecutada antes de que la informacin especificada podra fluir
hacia o desde el objeto.
F.5.3 FDP_IFC.2 Informacin completa de control de flujo
Este componente requiere que todas las operaciones posibles que causan que la informacin fluya hacia y desde los sujetos
incluido en la SFP, que estn cubiertos por un SFP de control del flujo de informacin.
El autor PP / ST debe demostrar que cada combinacin de los flujos de informacin y los sujetos est cubierto por un
SFP de control del flujo de informacin.
F.5.3.2 Operaciones
F.5.3.2.1 Asignacin
En FDP_IFC.2.1, el autor PP / ST debe especificar un control del flujo de informacin de nombre nico SFP ser
forzada por el TSF.
En FDP_IFC.2.1, el autor PP / ST debe especificar la lista de temas e informacin que sern cubiertos por
la SFP. Todas las operaciones que hacen que la informacin fluya hacia y desde los sujetos sern cubiertas por el SFP. Como
mencionado anteriormente, la lista de temas podra ser en varios niveles de detalle en funcin de las necesidades de la PP / ST
autor. Puede especificar usuarios, mquinas o procesos, por ejemplo. La informacin podra referirse a los datos, como
correo electrnico o protocolos de red, o ms especficas objetos similares a los especificados en una poltica de control de acceso.
Si la informacin que se especifica est contenida dentro de un objeto que est sujeto a una poltica de control de acceso,
tanto de la poltica de control de acceso y la informacin de la poltica de control de flujo debe aplicarse antes de que la especificada
informacin podra fluir hacia o desde el objeto.
Funciones de control de flujo de informacin F.6 (FDP_IFF)
Esta familia se describen las reglas para las funciones especficas que pueden implementar los programas de alimentacin complementaria de control del flujo de informacin
Nombrado en I nformacin poltica de control de flujo (FDP_IFC), w hich tambin especifica el alcance de la fiscalizacin de las polticas. Lo
consta de dos "rboles:" uno que abordan las cuestiones de la funcin de control del flujo de informacin comn, y un segundo
informacin de direccionamiento ilcito fluye (es decir, canales encubiertos) con respecto al control de flujo de uno o ms informacin
SFP. Esta divisin se debe a que las cuestiones relativas a los flujos de informacin ilcitos son, en algn sentido,
12/6/2014 ISO / IEC 15408-2
146 ISO / IEC 2008 - Todos los derechos reservados
Pgina 167
ISO / IEC 15408-2:2008 (E)
147
ortogonal al resto de un SFP. Los flujos de informacin ilcitas son flujos en violacin de la poltica; por lo tanto no son una
cuestin de poltica.
Con el fin de poner en prctica una fuerte proteccin contra la divulgacin o modificacin en la cara de software no fiable,
Se requieren controles sobre el flujo de informacin. Los controles de acceso por s solas no son suficientes, ya que slo controlan
el acceso a los contenedores, lo que permite la informacin que contienen fluya, sin controles, a lo largo de un sistema.
En esta familia, se utiliza la expresin "tipos de informacin ilcita fluye". Esta frase puede ser usado para referirse a la
categorizacin de los flujos como "Canales de almacenamiento" o "Canales Timing", o puede referirse a la mejora de las categorizaciones
un reflejo de las necesidades de un autor PP / ST.
La flexibilidad de estos componentes permite la definicin de una poltica de privilegios con la seguridad en FDP_IFF.1 simple
atributos y los atributos de seguridad FDP_IFF.2 jerrquica para permitir la derivacin controlada de todo o parte de un
particular, la SFP. Si hay una necesidad de un enfoque predefinido a la SFP de derivacin, el autor de PP / ST debe considerar
la incorporacin de una poltica de privilegios.
Atributos de seguridad simple F.6.2 FDP_IFF.1
Este componente requiere los atributos de seguridad de la informacin, y sobre temas que hacen que la informacin fluya
y los sujetos que actan como receptores de esa informacin. Los atributos de los contenedores de la informacin
Tambin debe tenerse en cuenta si se desea que deberan jugar un papel en las decisiones de control de flujo de informacin o si
que estn cubiertos por una poltica de control de acceso. Este componente especifica las reglas fundamentales que se aplican, y
describe cmo se han obtenido los atributos de seguridad.
Este componente no especifica los detalles de cmo se asigna un atributo de seguridad (es decir, el usuario frente al proceso).
La flexibilidad en la poltica es provista teniendo asignaciones que permiten la especificacin de la poltica y la funcin adicional
requisitos, segn sea necesario.
Este componente tambin proporciona los requisitos para las funciones de control de flujo de informacin para poder explcitamente
autorizar y denegar un flujo de informacin como fundamento los atributos de seguridad. Esto podra ser utilizado para implementar un
poltica de privilegios que cubre las excepciones a la poltica bsica definida en este componente.
F.6.2.2 Operaciones
F.6.2.2.1 Asignacin
En FDP_IFF.1.1, el autor PP / ST debe especificar los SFP de control del flujo de informacin impuestas por la TSF. La
nombre de la SFP de control del flujo de informacin, y el alcance de control para que la poltica se definen en los componentes
de la poltica de control de flujo de la informacin (FDP_IFC).
En FDP_IFF.1.1, el autor PP / ST deber especificar, para cada tipo de objeto controlado y la informacin, la
atributos de seguridad que son relevantes para la especificacin de las normas SFP. Por ejemplo, tales atributos de seguridad
pueden ser cosas como el identificador de objeto, etiqueta de sensibilidad tema, etiqueta aclaramiento tema, la informacin
etiqueta de sensibilidad, etc Los tipos de atributos de seguridad deberan ser suficientes para satisfacer las necesidades ambientales.
En FDP_IFF.1.2, el autor PP / ST debe especificar para cada operacin, la relacin basada en atributos de seguridad
que debe mantener entre el sujeto y la informacin de los atributos de seguridad que el TSF har cumplir.
En FDP_IFF.1.3, el autor PP / ST debe especificar todas las normas SFP de control del flujo de informacin adicionales que el
TSF es hacer cumplir. Esto incluye todas las reglas de la SFP que, o bien no estn basados en los atributos de seguridad de la
la informacin y el sujeto o normas que modifican automticamente los atributos de seguridad de la informacin o sujetos
como resultado de una operacin de acceso. Un ejemplo del primer caso es una norma de la SFP controlar un umbral
valor para los tipos especficos de informacin. Esto sera, por ejemplo, ser el caso cuando el flujo de informacin SFP
contiene normas sobre el acceso a los datos estadsticos en los que un sujeto slo se le permite acceder a este tipo de informacin
hasta un nmero especfico de accesos. Un ejemplo del segundo caso sera una regla que indica bajo el cual
condiciones y cmo los atributos de seguridad de un sujeto o de objeto de cambio como el resultado de una operacin de acceso.
Pgina 168
ISO / IEC 15408-2:2008 (E)
Algunas polticas de flujo de informacin, por ejemplo, pueden limitar el nmero de operaciones de acceso a la informacin con
12/6/2014 ISO / IEC 15408-2
148
los atributos de seguridad especfico. Si no hay reglas adicionales a continuacin, el autor PP / ST debera especificar "none".
En FDP_IFF.1.4, el autor PP / ST debera especificar las normas, sobre la base de atributos de seguridad, que de forma explcita
autorizar los flujos de informacin. Estas reglas son adicionales a los especificados en los elementos anteriores. Ellos son
incluido en FDP_IFF.1.4 un s que estn destinados a contener excepciones a las normas de los elementos anteriores. Un
ejemplo de reglas para autorizar explcitamente los flujos de informacin se basa en un vector de privilegio asociado con un
tema que siempre concede el tema de la capacidad de causar un flujo de informacin para la informacin que est cubierta por
la SFP que se ha especificado. Si no se desea tal capacidad, entonces el autor de PP / ST debe especificar
"Ninguno".
En FDP_IFF.1.5, el autor PP / ST debe especificar las reglas, basadas en los atributos de seguridad, que se niegan de forma explcita
los flujos de informacin. Estas reglas son adicionales a los especificados en los elementos anteriores. Estn incluidos
en FDP_IFF.1.5 un s que estn destinados a contener excepciones a las reglas de los elementos anteriores. Un ejemplo
de reglas para denegar explcitamente los flujos de informacin se basa en un vector de privilegio asociado a un tema que siempre
niega el tema de la capacidad de causar un flujo de informacin para la informacin que est cubierta por la SFP que tiene
ha especificado. Si no se desea tal capacidad, entonces el autor PP / ST debe especificar "none".
Atributos de seguridad F.6.3 FDP_IFF.2 jerrquicos
Este componente requiere que la SFP de control del flujo de informacin llamado utiliza los atributos de seguridad jerrquico que
formar una celosa.
Es importante tener en cuenta que los requisitos de relacin jerrquica identificados en FDP_IFF.2.4 necesitan slo se aplican
a los atributos de seguridad de control de flujo de informacin para los programas de alimentacin complementaria de control del flujo de informacin que se han identificado
en FDP_IFF.2.1. Este componente no est destinado a aplicarse a otros programas de alimentacin complementaria, como SFP de control de acceso.
FDP_IFF.2.6 frases con los requisitos para el conjunto de atributos de seguridad para formar un enrejado. Un nmero de
polticas de flujo de la informacin definidos en la literatura y aplicadas en productos de TI se basan en un conjunto de seguridad
atributos que forman una celosa. FDP_IFF.2.6 se incluye especficamente para hacer frente a este tipo de flujo de informacin
polticas.
Si se da el caso de que los SFP de control del flujo de informacin mltiple han de especificarse, y que cada uno de estos programas de alimentacin complementaria se
tienen sus propios atributos de seguridad que no estn relacionados entre s, entonces el autor PP / ST debe repetir este
componente una vez para cada uno de esos SFP. De lo contrario, podra surgir un conflicto con los subtemas de FDP_IFF.2.4
ya no existirn las relaciones requeridas.
F.6.3.2 Operaciones
F.6.3.2.1 Asignacin
En FDP_IFF.2.1, el autor PP / ST deber especificar, para cada tipo de objeto controlado y la informacin, la
atributos de seguridad que son relevantes para la especificacin de las normas SFP. Por ejemplo, tales atributos de seguridad
pueden ser cosas como el identificador de objeto, etiqueta de sensibilidad tema, etiqueta aclaramiento tema, la informacin
etiqueta de sensibilidad, etc Los tipos de atributos de seguridad deberan ser suficientes para satisfacer las necesidades ambientales.
En FDP_IFF.2.2, el autor PP / ST debe especificar para cada operacin, la relacin basada en atributos de seguridad
que debe mantener entre el sujeto y la informacin de los atributos de seguridad que el TSF har cumplir. Estos
las relaciones deben estar basadas en las relaciones de ordenacin entre los atributos de seguridad.
En FDP_IFF.2.3, el autor PP / ST debe especificar todas las normas SFP de control del flujo de informacin adicionales que el
TSF es hacer cumplir. Esto incluye todas las reglas de la SFP que, o bien no estn basados en los atributos de seguridad de la
la informacin y el sujeto o normas que modifican automticamente los atributos de seguridad de la informacin o sujetos
Pgina 169
ISO / IEC 15408-2:2008 (E)
como resultado de una operacin de acceso. Un ejemplo del primer caso es una norma de la SFP controlar un umbral
valor para los tipos especficos de informacin. Esto sera, por ejemplo, ser el caso cuando el flujo de informacin SFP
contiene normas sobre el acceso a los datos estadsticos en los que un sujeto slo se le permite acceder a este tipo de informacin
hasta un nmero especfico de accesos. Un ejemplo del segundo caso sera una regla que indica bajo el cual
condiciones y cmo los atributos de seguridad de un sujeto o de objeto de cambio como el resultado de una operacin de acceso.
Algunas polticas de flujo de informacin, por ejemplo, pueden limitar el nmero de operaciones de acceso a la informacin con
los atributos de seguridad especfico. Si no hay reglas adicionales a continuacin, el autor PP / ST debera especificar "none".
En FDP_IFF.2.4, el autor PP / ST debera especificar las normas, sobre la base de atributos de seguridad, que de forma explcita
autorizar los flujos de informacin. Estas reglas son adicionales a los especificados en los elementos anteriores. Ellos son
incluido en FDP_IFF.2.4 un s que estn destinados a contener excepciones a las normas de los elementos anteriores. Un
ejemplo de reglas para autorizar explcitamente los flujos de informacin se basa en un vector de privilegio asociado con un
tema que siempre concede el tema de la capacidad de causar un flujo de informacin para la informacin que est cubierta por
12/6/2014 ISO / IEC 15408-2
149
la SFP que se ha especificado. Si no se desea tal capacidad, entonces el autor de PP / ST debe especificar
"Ninguno".
En FDP_IFF.2.5, el autor PP / ST debe especificar las reglas, basadas en los atributos de seguridad, que se niegan de forma explcita
los flujos de informacin. Estas reglas son adicionales a los especificados en los elementos anteriores. Estn incluidos
en FDP_IFF.2.5 un s que estn destinados a contener excepciones a las reglas de los elementos anteriores. Un ejemplo
de reglas para denegar explcitamente los flujos de informacin se basa en un vector de privilegio asociado a un tema que siempre
niega el tema de la capacidad de causar un flujo de informacin para la informacin que est cubierta por la SFP que tiene
ha especificado. Si no se desea tal capacidad, entonces el autor PP / ST debe especificar "none".
F.6.4 fluye FDP_IFF.3 limitada informacin ilcita
Este componente debe ser utilizado cuando al menos uno de los programas de alimentacin complementaria que requiere control de la informacin ilcita fluye
no requiere la eliminacin de los flujos.
Para los flujos de informacin ilcita especificada, deben proporcionarse determinadas capacidades mximas. Adems un PP / ST
autor tiene la posibilidad de especificar si los flujos de informacin ilcitos deben ser auditados.
F.6.4.2 Operaciones
F.6.4.2.1 Asignacin
En FDP_IFF.3.1, el autor PP / ST debe especificar los tipos de flujos de informacin ilcitos que estn sujetos a una
limitacin de la capacidad mxima.
En FDP_IFF.3.1, el autor PP / ST debe especificar la capacidad mxima permitida para cualquier ilcito identificado
los flujos de informacin.
F.6.5 FDP_IFF.4 Eliminacin parcial de la informacin ilcita fluye
Este componente debe utilizarse cuando todos los programas de alimentacin complementaria que requiera el control de los flujos de informacin ilcitas requieren
eliminacin de algunas (pero no necesariamente todos) informacin ilcita fluye.
Pgina 170
ISO / IEC 15408-2:2008 (E)
F.6.5.2 Operaciones
F.6.5.2.1 Asignacin
En FDP_IFF.4.1, el autor PP / ST debe especificar los tipos de flujos de informacin ilcitos que estn sujetos a una
limitacin de la capacidad mxima.
En FDP_IFF.4.1, el autor PP / ST debe especificar la capacidad mxima permitida para cualquier ilcito identificado
los flujos de informacin.
En FDP_IFF.4.2, t l PP / ST autor debe especificar el tipo de informacin ilcita fluye a eliminar. Esta lista
no puede estar vaco ya que este componente requiere que algunos flujos de informacin ilcitos deben ser eliminados.
F.6.6 fluye FDP_IFF.5 informacin No ilcito
Este componente debe utilizarse cuando los programas de alimentacin complementaria que requieren un control de los flujos de informacin ilcitas requieren
la eliminacin de toda la informacin ilcita fluye. Sin embargo, el autor de PP / ST debe considerar cuidadosamente el potencial
impacto que la eliminacin de toda la informacin de los flujos ilcitos podra tener en la operacin funcional normal de la TOE.
12/6/2014 ISO / IEC 15408-2
150
Muchas aplicaciones prcticas han demostrado que existe una relacin indirecta entre la informacin ilcita flujos
y la funcionalidad normal dentro de un TOE y la eliminacin de toda la informacin de los flujos ilcitos puede resultar en menos de lo deseado
funcionalidad.
F.6.6.2 Operaciones
F.6.6.2.1 Asignacin
En FDP_IFF.5.1, el autor PP / ST debe especificar el SFP de control del flujo de informacin para que la informacin ilcita
flujos son para ser eliminado. El nombre de la SFP de control de flujo de informacin, y el alcance de control para que
la poltica se define en los componentes de la I nformacin poltica de control de flujo (FDP_IFC).
Vigilancia del flujo de informacin F.6.7 FDP_IFF.6 Ilcito
Este componente debe ser utilizada cuando se desea que el TSF proporciona la capacidad de controlar el uso de drogas ilcitas
flujos de informacin que excedan la capacidad especificada. Si se desea que tales flujos ser auditados, entonces este
componente podra servir como la fuente de los eventos de auditora para ser utilizados por los componentes de la S eguridad datos de auditora
generacin (FAU_GEN) f amilia.
F.6.7.2 Operaciones
F.6.7.2.1 Asignacin
En FDP_IFF.6.1, el autor PP / ST debe especificar los tipos de flujos de informacin ilcitos que sern monitoreadas para
superior a la capacidad mxima.
En FDP_IFF.6.1, el autor PP / ST debe especificar la capacidad mxima por encima del cual los flujos de informacin ilcita
ser objeto de seguimiento por el TSF.
Pgina 171
ISO / IEC 15408-2:2008 (E)
F.7 importacin desde fuera del TOE (FDP_ITC)
Esta familia define los mecanismos para la importacin mediada TSF de datos de usuario de fuera de la TOE en el TOE
de tal manera que los atributos de seguridad de datos de usuario pueden ser preservados. La consistencia de estos atributos de seguridad son
dirigida por la coherencia de datos entre TSF TSF (FPT_TDC).
Importacin desde fuera del TOE (FDP_ITC) i s preocupados por las limitaciones a la importacin, la especificacin del usuario
los atributos de seguridad, y la asociacin de atributos de seguridad de los datos del usuario.
Esta familia, y el correspondiente fami exportacin ly Exportar en el TOE (FDP_ETC) , frente a cmo el TOE
se ocupa de los datos del usuario fuera de su control. Esta familia est preocupada con la asignacin y la abstraccin del usuario
los atributos de seguridad de los datos.
Una variedad de actividades podra estar involucrado aqu:
a) la importacin de datos de usuario de un medio sin formato (por ejemplo, disco floppy, cinta, escner, seal de vdeo o auditora),
sin incluir los atributos de seguridad, y delimita materialmente el medio para indicar su contenido;
b) la importacin de datos de usuarios, incluidos los atributos de seguridad, de un medio y la verificacin de que la seguridad de los objetos
atributos son apropiadas;
c) la importacin de datos de usuarios, incluidos los atributos de seguridad, a partir de un medio usando una tcnica de sellado criptogrfico
para proteger la asociacin de datos de usuario y los atributos de seguridad.
Esta familia no se ocupa de la determinacin de si los datos de los usuarios pueden ser importados. Le preocupa
con los valores de la atributos de seguridad para asociar con los datos de usuario importados.
Existen dos posibilidades para la importacin de datos de usuario: o bien los datos de usuario est asociado sin ambigedad con
atributos fiables de seguridad de objetos (valores y sentido de los atributos de seguridad no se modifica), o no confiable
atributos de seguridad (o atributos de seguridad en absoluto) estn disponibles desde el origen de la importacin. Esta direccin de la familia
ambos casos.
Si existen atributos de seguridad fiables, que pueden haber sido asociados con los datos de los usuarios por medios fsicos
medios (los atributos de seguridad estn en el mismo medio), o por medios lgicos (los atributos de seguridad son
12/6/2014 ISO / IEC 15408-2
151
distribuidos de manera diferente, pero incluir la identificacin de objeto nico, por ejemplo la suma de comprobacin criptogrfica).
Esta familia tiene que ver con la importacin mediada TSF de los datos de usuario y mantiene la asociacin de seguridad
atributos segn sea necesario por la SFP. Otras familias se ocupan de otros aspectos, tales como la importacin
consistencia, los canales de confianza e integridad que estn ms all del alcance de esta familia. Por otra parte, la importacin de
fuera del TOE (FDP_ITC) i S slo se refiere a la interfaz con el medio de importacin. Exportar en el TOE
(FDP_ETC) es responsable por el otro punto extremo del medio (la fuente).
Algunos de los requisitos de importacin conocidos son:
a) la importacin de los datos del usuario sin atributos de seguridad;
b) importacin de los datos de usuario que incluye atributos de seguridad donde los dos estn asociados uno con el otro y el
atributos de seguridad representan sin ambigedad la informacin que se importa.
Estos requisitos de importacin pueden ser manejados por el TSF, con o sin intervencin humana, en funcin de la
Limitaciones de TI y la poltica de seguridad de la organizacin. Por ejemplo, si los datos del usuario se recibe en un "confidencial"
canal, los atributos de seguridad de los objetos se establecer en "confidencial".
Pgina 172
ISO / IEC 15408-2:2008 (E)
F.7.2 FDP_ITC.1 Importacin de datos de usuario sin atributos de seguridad
Este componente se utiliza para especificar la importacin de los datos de usuario que no tiene seguridad fiable (o cualquier)
atributos asociados. Esta funcin requiere que los atributos de seguridad de los datos de usuario importado sea
inicializado dentro de la TSF. Tambin podra darse el caso de que el autor de PP / ST especifica las reglas para la importacin. Se puede
ser apropiado, en algunos ambientes, de exigir que estos atributos pueden suministrar a travs de una ruta de confianza o un
mecanismo de canal de confianza.
F.7.2.2 Operaciones
F.7.2.2.1 Asignacin
En FDP_ITC.1.1, el autor de PP / ST debe especificar la SFP (s) de control de acceso y / o de control de flujo de informacin
SFP (s) que se aplica cuando se importan los datos de usuario desde fuera del TOE. Los datos de usuario que esta
importaciones de funciones pertenecern al mbito de la cesin de los citados programas de alimentacin complementaria.
En FDP_ITC.1.3, t l PP / SAN autor debe especificar todas las reglas de control de importacin adicionales o "ninguno" si hay
no hay reglas de control de importacin adicionales. Estas reglas se harn cumplir por el TSF, adems del acceso
SFP de control y / o de informacin SFP de control de flujo seleccionados en FDP_ITC.1.1.
F.7.3 FDP_ITC.2 Importacin de datos de usuario con atributos de seguridad
Este componente se utiliza para especificar la importacin de los datos de usuario con atributos de seguridad fiables asociados a
ella. Esta funcin se basa en los atributos de seguridad que se precisa y sin ambigedades asociadas con el
objetos en el medio de la importacin. Una vez importados, los objetos tendrn los mismos atributos. Esto requiere
Inter-TSF TSF consistencia de los datos (FPT_TDC) para garantizar la coherencia de los datos. Tambin podra ser el caso
que el autor de PP / ST especifica las reglas para la importacin.
F.7.3.2 Operaciones
F.7.3.2.1 Asignacin
En FDP_ITC.2.1, el autor de PP / ST debe especificar la SFP (s) de control de acceso y / o de control de flujo de informacin
SFP (s) que se aplica cuando se importan los datos de usuario desde fuera del TOE. Los datos de usuario que esta
importaciones de funciones pertenecern al mbito de la cesin de los citados programas de alimentacin complementaria.
En FDP_ITC.2.5, t l PP / ST autor debe especificar todas las normas de control de importacin adicionales o "ninguno" si hay
no hay reglas de control de importacin adicionales. Estas reglas se harn cumplir por el TSF, adems del acceso
SFP de control y / o de informacin SFP de control de flujo seleccionados en FDP_ITC.2.1.
Transferencia TOE Interna F.8 (FDP_ITT)
12/6/2014 ISO / IEC 15408-2
152
Esta familia proporciona los requisitos que se ocupan de la proteccin de los datos de usuario cuando se transfiere entre las partes del
una TDT a travs de un canal interno. Esto puede ser contrastado con el En de usuario transferencia de confidencialidad de los datos ter-TSF
proteccin (FDP_UCT) una proteccin de la integridad de transferencia de datos de usuario Inter-TSF nd familia (FDP_UIT), que proporcionan
proteccin de los datos de usuario cuando se transfiere entre las TSF distintas a travs de un canal externo y Exportacin
del TOE (FDP_ETC) e Importacin desde fuera del TOE (FDP_ITC), que aborda mediada TSF
transferencia de datos hacia o desde fuera del TOE.
Los requisitos de esta familia permiten que un autor PP / ST para especificar la seguridad deseada para los datos del usuario, mientras que en el
trnsito en el TOE. Esta seguridad puede ser la proteccin contra la divulgacin, modificacin o prdida de disponibilidad.
Pgina 173
ISO / IEC 15408-2:2008 (E)
La determinacin del grado de separacin fsica por encima del cual debe aplicarse esta familia depende de la
entorno de uso previsto. En un ambiente hostil, puede haber riesgos derivados de las transferencias entre partes
del TOE separados por slo un bus de sistema. En ambientes ms benignos, las transferencias pueden ser a travs de ms
los medios de comunicacin de la red tradicional.
F.8.2 FDP_ITT.1 bsico de proteccin interno de transferencia
F.8.2.1 Operaciones
F.8.2.1.1 Asignacin
En FDP_ITT.1.1, el autor de PP / ST debe especificar la SFP (s) de control de acceso y / o de control de flujo de informacin
SFP (s) que cubre la informacin que se transfiere.
F.8.2.1.2 Seleccin
En FDP_ITT.1.1, el autor PP / ST debe especificar los tipos de errores de transmisin que la TSF debe evitar
ocurre para los datos de usuario, mientras que en el transporte. Las opciones son la divulgacin, modificacin, prdida de uso.
F.8.3 FDP_ITT.2 Transmisin separacin por atributo
Este componente podra, por ejemplo, ser usado para proporcionar diferentes formas de proteccin a la informacin con
diferentes niveles de desclasificacin.
Una de las maneras de lograr la separacin de los datos cuando se transmite es mediante el uso de lgica independiente o
canales fsicos.
F.8.3.2 Operaciones
F.8.3.2.1 Asignacin
SFP (s) que cubre la informacin que se transfiere.
F.8.3.2.2 Seleccin
En FDP_ITT.2.1, el autor PP / ST debe especificar los tipos de errores de transmisin que la TSF debe evitar
ocurre para los datos de usuario, mientras que en el transporte. Las opciones son la divulgacin, modificacin, prdida de uso.
F.8.3.2.3 Asignacin
En FDP_ITT.2.2, el autor PP / ST debe especificar los atributos de seguridad, los valores de los que el TSF utilizar
para determinar cundo separar datos que se transmiten entre partes fsicamente separadas-de TOE.
Un ejemplo es que los datos de usuario asociados con la identidad de un propietario se transmite por separado del usuario
datos asociados con la identidad de un propietario diferente. En esta caso, el valor de la identidad del propietario de la
de datos es lo que se utiliza para determinar cundo separar los datos para la transmisin.
Monitoreo F.8.4 FDP_ITT.3 Integridad
Este componente se utiliza en combinacin con cualquiera de FDP_ITT.1 bsica Protectio transferencia interna N o FDP_ITT.2
Separacin Transmisin por atributo. Asegura que los controles TSF recibidos los datos del usuario (y sus atributos)
para la integridad . FDP_ITT.1 bsico protectio transferencia interna n o separacin FDP_ITT.2 Transmisin por atributo
12/6/2014 ISO / IEC 15408-2
153
Pgina 174
ISO / IEC 15408-2:2008 (E)
154
proporcionar los datos de tal manera que est protegido de la modificacin (de modo que FDP_ITT.3 Integridad
monitoreo puede detectar cualquier modificacin).
El autor PP / ST tiene para especificar los tipos de errores que deben ser detectados. El autor PP / ST debe considerar:
modificacin de datos, la sustitucin de datos, cambio de pedido irrecuperable de datos, grabacin de datos, incompletas
de datos, adems de otros errores de integridad.
El autor PP / ST debe especificar las acciones que el TSF debe tomar en la deteccin de un fallo. Por ejemplo:
caso omiso de los datos del usuario, solicitar de nuevo los datos, informar al administrador autorizado, desviar el trfico por otras lneas.
F.8.4.2 Operaciones
F.8.4.2.1 Asignacin
SFP (s) que cubre la informacin que se transfiere y supervisado por fallos de integridad.
En FDP_ITT.3.1, el autor PP / ST debe especificar el tipo de posibles errores de integridad objeto de seguimiento durante
transmisin de los datos de usuario.
En FDP_ITT.3.2, el autor PP / ST debe especificar la accin a ser tomada por el TSF cuando un error de integridad es
encontrado. Un ejemplo podra ser que el TSF debe pedir a la nueva presentacin de los datos del usuario. La
SFP (s) especificado en FDP_ITT.3.1 w enfermos en vigencia a las acciones que se tomen por el TSF.
F.8.5 FDP_ITT.4 supervisin de integridad basada en atributos
Este componente se utiliza en combinacin con F separacin DP_ITT.2 Transmisin por atributo. Se asegura de que
los controles TSF recibieron datos de usuario, que ha sido transmitido por canales separados (basada en los valores de
atributos de seguridad especificados), para la integridad. Permite que el autor PP / ST para especificar las acciones que se deben tomar en
deteccin de un error de integridad.
Por ejemplo, este componente puede ser usado para proporcionar diferentes de deteccin de error de integridad y de accin para
informacin a diferentes niveles de integridad.
El autor PP / ST tiene para especificar los tipos de errores que deben ser detectados. El autor PP / ST debe considerar:
modificacin de datos, la sustitucin de datos, cambio de pedido irrecuperable de datos, grabacin de datos, incompletas
de datos, adems de otros errores de integridad.
El autor PP / ST debe especificar los atributos (y los canales de transmisin asociadas) que requieren
supervisin de errores de integridad.
El autor PP / ST debe especificar las acciones que el TSF debe tomar en la deteccin de un fallo. Por ejemplo:
caso omiso de los datos del usuario, solicitar de nuevo los datos, informar al administrador autorizado, desviar el trfico por otras lneas.
F.8.5.2 Operaciones
F.8.5.2.1 Asignacin
SFP (s) que cubre la informacin que se transfiere y supervisado por fallos de integridad.
En FDP_ITT.4.1, el autor PP / ST debe especificar el tipo de posibles errores de integridad objeto de seguimiento durante
transmisin de los datos de usuario.
En FDP_ITT.4.1, el autor PP / ST debe especificar una lista de atributos de seguridad que requieren la transmisin separada
canales. Esta lista se utiliza para determinar qu datos de usuario para controlar de errores de integridad., Sobre la base de su seguridad
Pgina 175
ISO / IEC 15408-2:2008 (E)
12/6/2014 ISO / IEC 15408-2
155
atributos y su canal de transmisin. Este elemento est directamente relacionada a la separacin FDP_ITT.2 Transmisin
por atributo.
En FDP_ITT.4.2, el autor PP / ST debe especificar la accin a ser tomada por el TSF cuando un error de integridad es
encontrado. Un ejemplo podra ser que el TSF debe pedir a la nueva presentacin de los datos del usuario. La
SFP (s) especificado en FDP_ITT.4.1 w enfermos en vigencia a las acciones que se tomen por el TSF.
Residual proteccin de la informacin F.9 (FDP_RIP)
Proteccin de la informacin residual asegura que los recursos TSF controlada cuando desasignada de un objeto y
antes de que se reasignan a otro objeto se asimilan por el TSF de una manera que no es posible
reconstruir la totalidad o parte de los datos contenidos en el recurso antes de que se desasigna.
Un dedo del pie por lo general tiene un nmero de funciones que potencialmente desasignar los recursos de un objeto y potencialmente
reasignar esos recursos a los objetos. Algunos, pero no todos los recursos pueden haber sido utilizados para almacenar
datos crticos de la utilizacin anterior de los recursos y de los recursos FDP_RIP requiere que sean
preparado para su reutilizacin. Reutilizacin de objetos se aplica a las solicitudes explcitas de un sujeto o de usuario para liberar los recursos, as
acciones implcitas de la TSF que resultan en la de-asignacin y posterior re-asignacin de recursos para
diferentes objetos. Ejemplos de peticiones explcitas son la eliminacin o truncamiento de un archivo o la liberacin de un rea
de la memoria principal. Los ejemplos de acciones implcitas de la TSF son los de-asignacin y reasignacin de cach
regiones.
El requisito para la reutilizacin de objetos est relacionada con el contenido del recurso perteneciente a un objeto, no todos
informacin acerca del recurso o un objeto que se puede almacenar en la TSF en otro lugar. Como un ejemplo para satisfacer
el requisito FDP_RIP para los archivos como objetos requiere que todos los sectores que conforman el archivo deben ser
preparado para su reutilizacin.
Tambin se aplica a los recursos que estn en serie reutilizados por diferentes temas dentro del sistema. Por ejemplo, la mayora
sistemas operativos normalmente se basan en registros de hardware (recursos) para apoyar los procesos en el sistema.
Como los procesos son cambiados de un estado de "ejecutar" a un estado de "reposo" (y viceversa), estos registros son en serie
reutilizados por diferentes temas. Mientras que esta accin "intercambio" no se puede considerar una asignacin o cancelacin de asignacin
de un recurso, la proteccin de la informacin residual (FDP_RIP) podra aplicarse a este tipo de eventos y recursos.
Proteccin de la informacin residual (FDP_RIP) t controles ypically acceso a informacin que no es parte de ninguna
Actualmente definido u objeto accesible; Sin embargo, en algunos casos esto puede no ser cierto. Por ejemplo, el objeto "A"
es un archivo y el objeto "B" es el disco en el que reside el archivo. Si el objeto "A" se borra, la informacin de
objeto "A" est bajo el control de la proteccin de la informacin residual (FDP_RIP) ev es a pesar de que sigue siendo parte del objeto
"B".
Es importante tener en cuenta tha t proteccin de la informacin residual (FDP_RIP) slo se aplica a los objetos en lnea y no
off-line objetos tales como las de copia de seguridad en cinta. Por ejemplo, si se elimina un archivo en el TOE, Residual
proteccin de la informacin (FDP_RIP) ca n pueden crear instancias para exigir que no existe informacin residual en
cancelacin de asignacin; sin embargo, la TSF no puede extender este cumplimiento a ese mismo archivo que existe en la lnea de off
back-up. Por lo tanto, ese mismo archivo sigue estando disponible. Si esto es una preocupacin, entonces el autor de PP / ST debe hacer
asegurarse de que los objetivos ambientales adecuadas estn en el lugar para apoyar la orientacin del usuario operativa para hacer frente a off-
objetos de lnea.
Proteccin residual informacin (FDP_RIP) y Rollback (FDP_ROL) pueden entrar en conflicto cuando la informacin residual
proteccin (FDP_RIP) se crea una instancia de exigir que la informacin residual se borrar en el momento de la aplicacin
libera el objeto a la TSF (es decir, sobre desafectacin). Por lo tanto, la proteccin de la informacin residual
(FDP_RIP) s eleccin de "desafectacin" no debe ser utilizado con Rollback (FDP_ROL), ya que no habra
informacin para hacer retroceder. La otra seleccin, "la falta de disponibilidad en la asignacin", se puede usar con Rollback
(FDP_ROL), b ut existe el riesgo de que el recurso que sostuvo que la informacin haya sido asignado a un nuevo
objeto antes de la tirada hacia atrs se llev a cabo. Si eso llegara a ocurrir, entonces la parte de atrs rollo no sera posible.
Pgina 176
ISO / IEC 15408-2:2008 (E)
No hay requisitos de auditora de proteccin de la informacin residual (FDP_RIP) porque esto no es un usuario-
funcin invocable. Auditora de los recursos asignados o cancelaciones de asignacin sera auditable como parte del acceso
SFP de control o las operaciones de SFP de control del flujo de informacin.
Esta familia debe aplicarse a los objetos especificados en el SFP (s) de control de acceso o el control del flujo de informacin
SFP (s) segn lo especificado por el autor PP / ST.
F.9.2 FDP_RIP.1 Subset proteccin de la informacin residual
12/6/2014 ISO / IEC 15408-2
156
Este componente requiere que, para un subconjunto de los objetos de la TOE, la TSF se asegurar de que no hay es
informacin residual disponible contenido en un recurso asignado a esos objetos o cancelado la asignacin de los
objetos.
F.9.2.2 Operaciones
F.9.2.2.1 Seleccin
En FDP_RIP.1.1, t l PP / ST autor debe especificar el evento, la asignacin de los recursos o cancelacin de asignacin de la
recursos de que invoca la funcin de la proteccin de informacin residual.
F.9.2.2.2 Asignacin
En FDP_RIP.1.1, t l PP / ST autor debe especificar la lista de objetos sujetos a la proteccin de la informacin residual.
F.9.3 FDP_RIP.2 completa proteccin de la informacin residual
Este componente requiere que para todos los objetos de la TOE, la TSF se asegurar de que no hay residual disponible
informacin contenida en un recurso asignado a este objeto o cancelar la asignacin de esos objetos.
F.9.3.2 Operaciones
F.9.3.2.1 Seleccin
En FDP_RIP.2.1, t l PP / ST autor debe especificar el evento, la asignacin de los recursos o cancelacin de asignacin de la
recursos de que invoca la funcin de la proteccin de informacin residual.
F.10 Rollback (FDP_ROL)
Esta familia se dirige a la necesidad de volver a un estado vlido bien definida, tales como la necesidad de un usuario para deshacer
modificaciones a un archivo o para deshacer las transacciones en caso de una serie incompleta de transaccin como en el caso de
bases de datos.
Esta familia tiene la intencin de ayudar al usuario a volver a un estado vlido bien definido cuando el usuario cancela la ltima
conjunto de acciones o, en bases de datos distribuidas, la devolucin de todas las copias distribuidas de las bases de datos al
declarar ante un error en la operacin.
Proteccin residual informacin (FDP_RIP ) y Rollback (FDP_ROL) conflicto cuando la informacin residual
proteccin (FDP_RIP) e nforces que los contenidos se harn disponibles en el momento en que un recurso es
cancelado la asignacin de un objeto. Por lo tanto, este uso de la proteccin de la informacin residual (FDP_RIP) no puede ser
combinado con Rollback (FDP_ROL) como no habra informacin para hacer retroceder. Residual informacin
proteccin (FDP_RIP) puede ser utilizado slo con Rollback (FDP_ROL) cuando se obliga a que el contenido sea
disponible en el momento que un recurso est asignado a un objeto. Esto se debe a th e Rollback (FDP_ROL)
Pgina 177
ISO / IEC 15408-2:2008 (E)
mecanismo tendr la oportunidad de acceder a la informacin previa de que todava puede estar presente en la TOE en
Para rodar con xito de nuevo la operacin.
El requisito de reversin est limitada por ciertos lmites. Por ejemplo, un editor de texto por lo general slo le permite rodar
una copia de seguridad a un cierto nmero de comandos. Otro ejemplo podra ser las copias de seguridad. Si las cintas de respaldo son rotados,
despus se vuelve a utilizar una cinta, la informacin ya no se puede recuperar. Esto tambin supone un salto en la reversin
requisito.
F.10.2 FDP_ROL.1 bsico rollback
F.10.2.1 notas de aplicacin de usuario
Este componente permite que un usuario o un objeto de deshacer una serie de operaciones en un conjunto predefinido de objetos. El deshacer
slo es posible dentro de ciertos lmites, por ejemplo, hasta un nmero de caracteres o hasta un lmite de tiempo.
Operaciones F.10.2.2
Asignacin F.10.2.2.1
En FDP_ROL.1.1, t l PP / ST autor debe especificar el SFP de control de acceso (s) y / o el flujo de informacin de control
SFP (s) que se aplica cuando se realizan operaciones de rollback. Esto es necesario para asegurarse de que rollo
espalda no se utiliza para eludir los programas de alimentacin complementaria especificados.
12/6/2014 ISO / IEC 15408-2
157
En FDP_ROL.1.1, t l PP / ST autor debe especificar la lista de operaciones que se pueden deshacer.
En FDP_ROL.1.1, t l PP / ST autor debe especificar la informacin y / o una lista de los objetos que estn sometidos a
la poltica de reversin.
En FDP_ROL.1.2, el autor PP / ST debe especificar el lmite de frontera a la que rollback operaciones pueden ser
realizado. El lmite se puede especificar como un perodo de tiempo predefinido, por ejemplo, las operaciones pueden ser
sin hacer que se llevaron a cabo en los ltimos dos minutos. Otros lmites posibles pueden definirse como la
nmero mximo de operaciones permitidas o el tamao de un tampn.
Rollback F.10.3 FDP_ROL.2 Avanzada
Este componente hace cumplir que el TSF proporciona la capacidad de deshacer todas las operaciones; Sin embargo, el usuario puede
optar por deshacer slo una parte de ellos.
En FDP_ROL.2.1, t l PP / ST autor debe especificar el SFP de control de acceso (s) y / o el flujo de informacin de control
SFP (s) que se aplica cuando se realizan operaciones de rollback. Esto es necesario para asegurarse de que rollo
espalda no se utiliza para eludir los programas de alimentacin complementaria especificados.
En FDP_ROL.2.1, th e PP / ST autor debe especificar la lista de objetos que estn sometidos a la poltica de reversin.
En FDP_ROL.2.2, el autor PP / ST debe especificar el lmite de frontera a la que rollback operaciones pueden ser
realizado. El lmite se puede especificar como un perodo de tiempo predefinido, por ejemplo, las operaciones pueden ser
sin hacer que se llevaron a cabo en los ltimos dos minutos. Otros lmites posibles pueden definirse como la
nmero mximo de operaciones permitidas o el tamao de un tampn.
Pgina 178
ISO / IEC 15408-2:2008 (E)
Integridad de los datos almacenados F.11 (FDP_SDI)
Esta familia proporciona los requisitos que se ocupan de la proteccin de los datos del usuario mientras se almacena dentro de contenedores
controlado por el TSF.
Fallos de hardware o errores pueden afectar a los datos almacenados en la memoria. Esta familia proporciona los requisitos para la deteccin
estos errores no intencionales. La integridad de los datos del usuario durante su almacenamiento en dispositivos de almacenamiento controlados por la TSF son
tambin abordada por esta familia.
Para evitar que un sujeto de modificacin de los datos, la informacin fluya funciones de control (FDP_IFF) o Acceso
funciones de control (FDP_ACF) fa milias se requieren (en lugar de esta familia).
Esta familia se diferencia de la transferencia TOE Interna (FDP_ITT) t sombrero protege los datos de usuario de errores de integridad, mientras que
ser trasladado dentro del TOE.
F.11.2 FDP_SDI.1 monitoreo integridad de los datos almacenados
Este componente supervisa los datos almacenados en los medios de comunicacin de errores de integridad. El autor PP / ST puede especificar diferentes
tipos de atributos de datos de usuario que se utilizarn como base para el monitoreo.
En FDP_SDI.1.1, t l PP / ST autor debe especificar los errores de integridad que el TSF detectar.
En FDP_SDI.1.1, el autor de PP / ST debe especificar los atributos de datos de usuario que se utilizarn como base para el
monitoreo.
12/6/2014 ISO / IEC 15408-2
158
F.11.3 FDP_SDI.2 almacenado el seguimiento y la accin integridad de los datos
F.11.3.1 notas de la aplicacin de usuario
Este componente supervisa los datos almacenados en los medios de comunicacin de errores de integridad. El autor PP / ST puede especificar qu accin
se deben tomar en caso de que se detecta un error de integridad.
En FDP_SDI.2.1, t l PP / ST autor debe especificar los errores de integridad que el TSF detectar.
En FDP_SDI.2.1, el autor de PP / ST debe especificar los atributos de datos de usuario que se utilizarn como base para el
monitoreo.
En FDP_SDI.2.2, t l PP / ST autor debe especificar las acciones que se deben tomar en caso de que se detecta un error de integridad.
Proteccin de la confidencialidad de transferencia de datos de usuario F.12Inter-TSF (FDP_UCT)
Esta familia define los requisitos para garantizar la confidencialidad de los datos de usuario cuando se transfiere mediante
un canal externo entre el TOE y otro producto de TI de confianza. La confidencialidad es impuesta por
Pgina 179
ISO / IEC 15408-2:2008 (E)
impedir la divulgacin no autorizada de los datos de usuario en trnsito entre los dos puntos finales. Los puntos finales pueden ser
una TSF o un usuario.
Esta familia ofrece un requisito para la proteccin de los datos de los usuarios durante el trnsito. En contraste, C ONFIDENCIALIDAD de
exportados los datos TSF (FPT_ITC) maneja los datos TSF.
Intercambio de datos F.12.2 FDP_UCT.1 bsico confidencialidad
Dependiendo de las polticas de control de acceso o de flujo de informacin que el TSF tiene la obligacin de enviar o recibir datos de usuario
de tal manera que la confidencialidad de los datos de usuario est protegido.
En FDP_UCT.1.1, t l PP / ST autor debe especificar el SFP de control de acceso (s) y / o el flujo de informacin de control
SFP (s) a ser aplicada en el intercambio de los datos de usuario. Las polticas especificadas se aplicarn para hacer
decisiones sobre quin puede intercambiar datos y que se pueden intercambiar datos.
Seleccin F.12.2.2.2
En FDP_UCT.1.1, el autor de PP / ST debe especificar si este elemento se aplica a un mecanismo que
transmite o recibe datos de usuario.
Proteccin de la integridad de transferencia de datos de usuario F.13 Inter-TSF (FDP_UIT)
Esta familia define los requisitos para proporcionar la integridad de los datos del usuario en el trnsito entre la TSF y
otro producto de TI confiable y recuperacin de errores detectables. Como mnimo, esta familia supervisa la
integridad de los datos del usuario para las modificaciones. Adems, esta familia es compatible con diferentes formas de corregir detectado
errores de integridad.
Esta familia define los requisitos para proporcionar la integridad de los datos del usuario en trnsito; mientras Integridad de exporta
Datos de TSF (FPT_ITI) maneja los datos TSF.
Proteccin Inter-TSF transferencia integridad de los datos de usuario (FDP_UIT) e Inter-TSF transferencia de confidencialidad de los datos de usuario
proteccin (FDP_UCT) un re duales de unos a otros, como la proteccin de la confidencialidad de transferencia de datos de usuario de Inter-TSF
(FDP_UCT) ad vestidos de confidencialidad de los datos de usuario. Por lo tanto, el mismo mecanismo que implementa Inter-TSF
proteccin de la integridad de transferencia de datos de usuario (FDP_UIT) posiblemente podra ser usado para implementar otras familias tales como
Proteccin Inter-TSF transferencia confidencialidad de los datos de usuario (FDP_UCT) e Importacin desde fuera del TOE
(FDP_ITC).
12/6/2014 ISO / IEC 15408-2
159
Integridad intercambio F.13.2 FDP_UIT.1 datos
Dependiendo de las polticas de control de acceso o de flujo de informacin que el TSF tiene la obligacin de enviar o recibir datos de usuario
de una manera tal que se detecta la modificacin de los datos de usuario. No hay ningn requisito para un mecanismo de TSF
para intentar recuperar a partir de la modificacin.
En FDP_UIT.1.1, el autor de PP / ST debe especificar la SFP (s) de control de acceso y / o de control de flujo de informacin
SFP (s) que se aplica en los datos transmitidos o en los datos recibidos. Las polticas especificadas sern
Pgina 180
ISO / IEC 15408-2:2008 (E)
forzada a tomar decisiones sobre quin puede transmitir o que puede recibir datos, y que los datos pueden ser
transmitida o recibida.
Seleccin F.13.2.2.2
En FDP_UIT.1.1, el autor PP / ST debe especificar si este elemento se aplica a una TSF que se transmite o
recibir objetos.
En FDP_UIT.1.1, el autor PP / ST debe especificar si los datos deben estar protegidos frente a posibles modificaciones,
delecin, insercin o de repeticin.
En FDP_UIT.1.2, el autor PP / ST debe especificar si los errores del tipo: modificacin, supresin,
insercin o repeticin se detectan.
Recuperacin de intercambio de datos F.13.3 FDP_UIT.2 Fuente
Este componente proporciona la capacidad de recuperarse de un conjunto de errores de transmisin identificados, si es necesario, con la
ayuda del otro producto de TI de confianza. A medida que el otro producto de TI de confianza est fuera del TOE, la TSF no puede controlar
su comportamiento. Sin embargo, puede proporcionar funciones que tienen la capacidad de cooperar con la otra de confianza de TI
producto a los efectos de la recuperacin. Por ejemplo, la TSF podra incluir funciones que dependen de la
Trusted Source IT producto para volver a enviar los datos en el caso de que se detecte un error. Este componente se ocupa de
la capacidad de la TSF para manejar una recuperacin tal error.
SFP (s) que se aplica al recuperar los datos de usuario. Las polticas especificadas se aplicarn para hacer
decisiones sobre qu datos pueden ser recuperados y cmo se pueden recuperar.
En FDP_UIT.2.1, el autor PP / ST debe especificar la lista de errores de integridad de la que el TSF, con la ayuda
del producto de TI fuente de confianza, es ser capaz de recuperar los datos de usuario originales.
Recuperacin de intercambio de datos de destino F.13.4 FDP_UIT.3
Este componente proporciona la capacidad de recuperarse de un conjunto de errores de transmisin identificados. Esto se logra
tarea sin la ayuda del producto de las TI fuente de confianza. Por ejemplo, si se detectan determinados errores, la
protocolo de transmisin debe ser lo suficientemente robusta como para permitir que la TSF para recuperarse del error basado en sumas de comprobacin
y otra informacin disponible dentro de ese protocolo.
SFP (s) que se aplica al recuperar los datos de usuario. Las polticas especificadas se aplicarn para hacer
decisiones sobre qu datos pueden ser recuperados y cmo se pueden recuperar.
En FDP_UIT.3.1, el autor PP / ST debe especificar la lista de errores de integridad de la que el TSF receptora,
solo, es capaz de recuperar los datos de usuario originales.
12/6/2014 ISO / IEC 15408-2
160
Pgina 181
ISO / IEC 15408-2:2008 (E)
161
Anexo G
(Normativo)
Clase FIA: Identificacin y autenticacin
Un requisito de seguridad comn es identificar de forma inequvoca a la persona y / o entidad que desarrolle funciones en un
TOE. Esto implica no slo el establecimiento de la identidad declarada de cada usuario, sino tambin verificar que cada usuario es
de hecho, que l / ella dice ser. Esto se logra al exigir que los usuarios den el TSF con alguna informacin
lo que se conoce por el TSF que se asocia con el usuario en cuestin.
Las familias de esta clase frente a los requisitos para las funciones de establecer y verificar la identidad del usuario reclamado.
Se requiere identificacin y autenticacin para garantizar que los usuarios se relacionan con la seguridad adecuada
atributos (por ejemplo, los niveles de identidad, grupos, funciones, seguridad o integridad).
La identificacin inequvoca de los usuarios autorizados y la asociacin correcta de atributos de seguridad con
los usuarios y los temas es fundamental para la aplicacin de las polticas de seguridad.
El U de identificacin de servicio (FIA_UID) direcciones de la familia que determinan la identidad de un usuario.
El U autentificacin ser (FIA_UAU) fa mily direcciones que verifican la identidad de un usuario.
Los errores de autenticacin (FIA_AFL) direcciones de la familia que definen los lmites de xito repetido
los intentos de autenticacin.
El U definicin de atributo ser (FIA_ATD) f amilia abordar la definicin de los atributos de usuario que se utiliza en el
ejecucin de la SFR.
La U de unin (FIA_USB) fa ser-sujeto aborda mily la asociacin correcta de los atributos de seguridad para cada
usuario autorizado.
El S pecification de secretos (FIA_SOS) fa mily aborda la generacin y verificacin de los secretos que satisfagan
una mtrica definida.
Figura G.1 muestra la descomposicin de esta clase en sus componentes constitutivos.
Pgina 182
ISO / IEC 15408-2:2008 (E)
12/6/2014 ISO / IEC 15408-2
162
Figura G.1 - FIA: Identificacin y autenticacin de la clase de descomposicin
Fallos de autenticacin G.1 (FIA_AFL)
G.1.1 notas de usuario
Esta familia se ocupa de los requisitos para la definicin de los valores de los intentos de autenticacin y acciones TSF en casos
de fallo de intento de autenticacin. Los parmetros incluyen, pero no se limitan a, el nmero de intentos y tiempo
umbrales.
El proceso de establecimiento de sesin es la interaccin con el usuario para llevar a cabo el establecimiento de la sesin
independiente de la aplicacin real. Si el nmero de intentos de autenticacin fallidos excede el
umbral indicado, o bien la cuenta de usuario o el terminal (o ambos) se bloquear. Si la cuenta de usuario es
deshabilitada, el usuario no puede iniciar sesin en el sistema. Si el terminal est desactivado, el terminal (o la direccin que el
terminal ha) no puede ser utilizado para cualquier inicio de sesin. Ambas situaciones continan hasta que la condicin para la re-
establecimiento est satisfecho.
Pgina 183
ISO / IEC 15408-2:2008 (E)
Manejo de la insuficiencia G.1.2 FIA_AFL.1 autenticacin
G.1.2.1 notas de aplicacin de usuario
El autor PP / ST puede definir el nmero de intentos de autenticacin fallidos o puede optar por dejar que la
Desarrollador dedo del pie o el usuario autorizado para definir este nmero. Los intentos de autenticacin fallidos necesitan
no ser consecutivos, sino que se relaciona con un evento de autenticacin. Tal evento de autenticacin podra ser el
contar desde el ltimo perodo de sesiones establecimiento exitoso en un terminal dado.
12/6/2014 ISO / IEC 15408-2
163
El autor PP / ST podra especificar una lista de acciones que el TSF debe tomar en el caso de fallo de autenticacin. Un
administrador autorizado tambin se poda permitir que la gestin de los eventos, si se estima oportuno por el PP / ST
autor. Estas acciones pueden ser, entre otras cosas, la desactivacin del terminal, cuenta de usuario o de desactivacin,
alarma administrador. Las condiciones en que la situacin va a ser restaurado a la normalidad se deben especificar en
la accin.
Con el fin de evitar la denegacin de servicio, de los pies generalmente aseguran que hay al menos una cuenta de usuario que no puede
estar deshabilitado.
Nuevas medidas para el TSF pueden establecerse por el autor PP / ST, incluyendo reglas para volver a habilitar la sesin de usuario
proceso de creacin, o enviar una alarma al administrador. Ejemplos de estas acciones son: hasta un
tiempo especificado ha transcurrido, hasta que el administrador autorizado vuelve a activar el terminal / cuenta, una vez relacionado con
anteriores intentos fallidos (cada vez que el intento falla, se duplica el tiempo incapacitante).
Operaciones G.1.2.2
G.1.2.2.1 Seleccin
En FIA_AFL.1.1, el autor PP / ST debe seleccionar la asignacin de un nmero entero positivo, o la frase "una
administrador configurable entero positivo "que especifica el rango de valores aceptables.
G.1.2.2.2 Asignacin
En FIA_AFL.1.1, el autor PP / ST debe especificar los eventos de autenticacin. Ejemplos de estos autenticacin
eventos son: los intentos de autenticacin fallidos desde la ltima autenticacin correcta para el indicado
la identidad del usuario, los intentos de autenticacin fallidos desde la ltima autenticacin exitosa para la corriente
terminal, el nmero de intentos de autenticacin fallidos en los ltimos 10 minutos. Al menos uno
evento de autenticacin debe ser especificado.
En FIA_AFL.1.1, si se selecciona la asignacin de un nmero entero positiva, el autor de PP / ST debe especificar el valor por defecto
nmero (entero positivo) de autenticacin infructuosos los intentos que, cuando se alcanzaron o superaron, dar lugar a la
eventos.
En FIA_AFL.1.1, si se selecciona un administrador entero positivo configurable, el autor de PP / ST debe especificar
el rango de valores aceptables de las que el administrador del TOE puede configurar el nmero de
los intentos de autenticacin fallidos. El nmero de intentos de autenticacin debe ser menor que o igual a
el lmite superior y mayor o igual a los valores lmite inferior.
G.1.2.2.3 Seleccin
En FIA_AFL.1.2, el autor PP / ST debe seleccionar si el evento de reunin o superando la definida
nmero de intentos de autenticacin fallidos deber activar una accin por el TSF.
G.1.2.2.4 Asignacin
En FIA_AFL.1.2, el autor PP / ST debe especificar las acciones que se deben tomar en caso de que se alcance el umbral o
superado, segn se seleccione. Estas acciones pueden ser incapacitantes de una cuenta durante 5 minutos, desactivar el terminal
por una cantidad cada vez mayor de tiempo (2 a la potencia del nmero de intentos fallidos en segundos), o
la desactivacin de la cuenta hasta desbloqueado por el administrador y simultneamente informar al administrador.
Pgina 184
ISO / IEC 15408-2:2008 (E)
Las acciones deben especificar las medidas y en su caso la duracin de la medida (o las condiciones
en las que se puso fin a la medida).
Definicin de atributo G.2 Usuario (FIA_ATD)
Todos los usuarios autorizados pueden tener un conjunto de atributos de seguridad, aparte de la identidad del usuario, que se utiliza para
hacer cumplir la SFR. Esta familia define los requisitos para la participacin de los atributos de seguridad del usuario con los usuarios,
necesaria para apoyar la TSF en la toma de decisiones de seguridad.
Hay dependencias de la poltica de seguridad individual (SFP) las definiciones. Estas definiciones individuales deben
contendr la lista de atributos que son necesarios para la aplicacin de polticas.
G.2.2 FIA_ATD.1 definicin de atributo de usuario
Este componente especifica los atributos de seguridad que deben mantenerse en el nivel del usuario. Este medio
12/6/2014 ISO / IEC 15408-2
164
que los atributos de seguridad enumerados se asignan y pueden ser modificados a nivel de usuario. En otras palabras,
cambiar un atributo de seguridad en la lista asociada a un usuario no debera tener ningn impacto sobre los atributos de seguridad
de cualquier otro usuario.
En el caso de los atributos de seguridad pertenecen a un grupo de usuarios (tales como lista de capacidades para un grupo), el usuario deber
tener una referencia (como atributo de seguridad) para el grupo correspondiente.
Operaciones G.2.2.2
G.2.2.2.1 Asignacin
En FIA_ATD.1.1, el autor PP / ST debe especificar los atributos de seguridad asociados a un individuo
de usuario. Un ejemplo de dicha lista es {"despacho", "identificador de grupo", "derechos"}.
G.3 Especificacin de los secretos (FIA_SOS)
Esta familia define requisitos para los mecanismos que hacen cumplir las mtricas de calidad definidos en la proporcionados secretos, y
generar secretos para satisfacer la mtrica definida. Ejemplos de tales mecanismos pueden incluir automatizado
la comprobacin de usuario suministra las contraseas, o automatizar la generacin de contraseas.
Un secreto puede generarse fuera del TOE (por ejemplo, seleccionado por el usuario y se introdujo en el TOE). En tales
casos, la FIA_SOS.1 Verificacin de secretos componente se puede utilizar para asegurar que gener el externo
adhiere secretos a ciertas normas, por ejemplo, un tamao mnimo, no se presentan en un diccionario, y / o no
utilizado anteriormente.
Secretos tambin pueden ser generados por el OE. En esos casos, th e FIA_SOS.2 TSF Generacin de secretos
componente se puede utilizar para requerir el TOE para asegurar que los secretos que se adherirn a algunos especifican
mtricas.
Secretos contienen los datos de autenticacin proporcionados por el usuario para un mecanismo de autenticacin que se basa en
el conocimiento que el usuario posee. Cuando se emplean claves criptogrficas, la clase FCS: criptogrficos
el apoyo debe ser utilizado en lugar de esta familia.
Pgina 185
ISO / IEC 15408-2:2008 (E)
G.3.2 FIA_SOS.1 Verificacin de los secretos
Secretos pueden ser generados por el usuario. Este componente se asegura de que los secretos generados por el usuario pueden ser
verificado para cumplir con una cierta mtrica de calidad.
Operaciones G.3.2.2
G.3.2.2.1 Asignacin
En FIA_SOS.1.1, el autor PP / ST debe proporcionar una mtrica de calidad definido. La especificacin mtrica de calidad puede
ser tan simple como una descripcin de los controles de calidad que se deben realizar, o tan formales como una referencia a un
Gobierno norma publicada que define las mtricas de calidad que deben cumplir los secretos. Ejemplos de calidad
mtricas pueden incluir una descripcin de la estructura alfanumrica de secretos aceptables y / o el tamao del espacio
secretos que aceptables deben cumplir.
G.3.3 FIA_SOS.2 TSF Generacin de secretos
Esta componente permite la TSF para generar secretos para funciones especficas, tales como la autenticacin por medio de
contraseas.
Cuando se utiliza un generador de nmeros pseudo-aleatorios en un algoritmo de generacin de secreto, que debe aceptar como entrada
datos aleatorios que proporcionar una salida que tiene un alto grado de imprevisibilidad. Estos datos aleatorios (semilla) puede
ser derivado de un nmero de parmetros disponibles, tales como un reloj de sistema, los registros del sistema, fecha, hora, etc
Los parmetros deben ser seleccionados para asegurar que el nmero de semillas nicas que se pueden generar a partir
estas entradas deben ser al menos igual al nmero mnimo de secretos que debe ser generado.
Operaciones G.3.3.2
12/6/2014 ISO / IEC 15408-2
165
G.3.3.2.1 Asignacin
En FIA_SOS.2.1, el autor PP / ST debe proporcionar una mtrica de calidad definido. La especificacin mtrica de calidad puede
ser tan simple como una descripcin de los controles de calidad que se deben realizar o como formales como una referencia a un
Gobierno norma publicada que define las mtricas de calidad que deben cumplir los secretos. Ejemplos de calidad
mtricas pueden incluir una descripcin de la estructura alfanumrica de secretos aceptables y / o el tamao del espacio
secretos que aceptables deben cumplir.
En FIA_SOS.2.2, el autor PP / ST debe proporcionar una lista de las funciones para las que el TSF TSF genera secretos
debe ser utilizado. Un ejemplo de una funcin de este tipo podra incluir un mecanismo de autenticacin basada en contrasea.
La autenticacin de usuarios G.4 (FIA_UAU)
Esta familia define los tipos de mecanismos de autenticacin de usuarios que admite el TSF. Esta familia define la
atributos necesarios en los que deben basarse los mecanismos de autenticacin de usuario.
G.4.2 FIA_UAU.1 Momento de autenticacin
Este componente requiere que el autor PP / ST definir las acciones mediadas por TSF que se pueden realizar por el
TSF en nombre de el usuario antes de la identidad alegada de que el usuario est autenticado. Las acciones mediadas por TSF
no debera tener problemas de seguridad con los usuarios de forma incorrecta identificarse antes de ser autenticado.
Pgina 186
ISO / IEC 15408-2:2008 (E)
Para todas las otras acciones no mediadas por TSF en la lista, el usuario debe estar autenticado antes de la accin puede ser
realizado por el TSF en nombre del usuario.
Este componente no puede controlar si las acciones tambin se pueden realizar antes de la identificacin se llev a cabo.
Esto requiere el uso de cualquiera de FIA_UID.1 Momento de identificacin o FIA_UID.2 Identificacin del usuario antes de cualquier
accin con las asignaciones correspondientes.
Operaciones G.4.2.2
G.4.2.2.1 Asignacin
En FIA_UAU.1.1, el autor PP / ST debe especificar una lista de las acciones mediadas por TSF que se pueden realizar por el
TSF en nombre de un usuario antes de que la identidad alegada de que el usuario est autenticado. Esta lista no puede estar vaco. Si
hay acciones son apropiadas, componente FIA_UAU.2 La autenticacin del usuario antes de cualquier accin se debe utilizar
en su lugar. Un ejemplo de tal accin podra incluir la solicitud de ayuda en el procedimiento de conexin.
G.4.3 FIA_UAU.2 La autenticacin del usuario antes de cualquier accin
Este componente requiere que un usuario se autentica antes de cualquier otra accin mediada TSF puede tener lugar en
nombre de ese usuario.
G.4.4 FIA_UAU.3 autenticacin infalsificable
Este componente se ocupa de los requisitos para los mecanismos que proporcionan proteccin de datos de autenticacin.
Datos de autenticacin que se copian de otro usuario, o de alguna manera est construido deben ser detectados y / o
rechazado. Estos mecanismos ofrecen la confianza que los usuarios autenticados por el TSF son realmente quien
dicen ser.
Este componente puede ser til slo con mecanismos de autenticacin que se basan en los datos de autenticacin
que no pueden ser compartidos (por ejemplo, biometra). Es imposible que un TSF para detectar o prevenir el intercambio de
contraseas fuera del control de la TSF.
Operaciones G.4.4.2
G.4.4.2.1 Seleccin
En FIA_UAU.3.1, el autor PP / ST debe especificar si el TSF detectar, prevenir, o detectar y prevenir
forja de datos de autenticacin.
12/6/2014 ISO / IEC 15408-2
166
En FIA_UAU.3.2, el autor PP / ST debe especificar si el TSF detectar, prevenir, o detectar y prevenir
la copia de los datos de autenticacin.
G.4.5 FIA_UAU.4 mecanismos de autenticacin de un solo uso
Este componente se ocupa de los requisitos para los mecanismos de autenticacin basados en la autenticacin de un solo uso
datos. Datos de autenticacin de un solo uso pueden ser algo que el usuario tiene o sabe, pero no es algo que el usuario es.
Ejemplos de datos de autenticacin de un solo uso incluyen las contraseas de un solo uso, cifrada sellos de tiempo, y / o
nmeros aleatorios de una tabla de bsqueda secreta.
El autor PP / SAN pueden especificar al que sea aplicable este requisito mecanismo (s) de autentificacin.
Pgina 187
ISO / IEC 15408-2:2008 (E)
Operaciones G.4.5.2
G.4.5.2.1 Asignacin
En FIA_UAU.4.1, el autor de PP / ST debe especificar la lista de mecanismos de autenticacin a la que esta
requisito se aplica. Esta asignacin puede ser "todos los mecanismos de autenticacin". Un ejemplo de esta asignacin
que podra ser "el mecanismo de autenticacin utilizado para autenticar a las personas en la red externa".
G.4.6 FIA_UAU.5 mecanismos de autenticacin mltiples
El uso de este componente permite la especificacin de los requisitos para ms de un mecanismo de autenticacin
para ser utilizado dentro de un TOE. Para cada mecanismo distinto, los requisitos aplicables deben ser escogidos de la FIA:
Identificacin y autenticacin de la clase que se aplicarn a cada mecanismo. Es posible que el mismo
componente podra ser seleccionado varias veces con el fin de reflejar los diferentes requisitos para el uso de diferentes
el mecanismo de autenticacin.
Las funciones de gestin de la FMT clase pueden proporcionar capacidades de mantenimiento para el conjunto de
mecanismos de autenticacin, as como las reglas que determinan si la autenticacin se realiz correctamente.
Para permitir que los usuarios annimos para interactuar con el TOE, un "ninguno" mecanismo de autenticacin se puede incorporar.
El uso de dicho acceso debe estar claramente explicado en las reglas de FIA_UAU.5.2.
Operaciones G.4.6.2
G.4.6.2.1 Asignacin
En FIA_UAU.5.1, el autor PP / ST debe definir los mecanismos de autenticacin disponibles. Un ejemplo de
una lista de este tipo podra ser: "ninguno, el mecanismo de contrasea, biomtrico (escner de retina), S / mecanismo clave".
En FIA_UAU.5.2, el autor PP / ST debe especificar las reglas que describen cmo los mecanismos de autenticacin
proporcionar autenticacin y cuando cada uno es para ser utilizado. Esto significa que para cada situacin el conjunto de mecanismos
que podran ser utilizados para autenticar el usuario debe ser descrito. Un ejemplo de una lista de tales reglas es: "si el
usuario tiene privilegios especiales, un mecanismo de contrasea y un mecanismo biomtrico tanto se utilizarn, con
el xito slo si ambos tienen xito; para el resto de los usuarios se utilizar un mecanismo de contrasea ".
El autor PP / ST podra dar a los lmites dentro de los cuales el administrador autorizado puede especificar especfica
normas. Un ejemplo de una regla es: "el usuario siempre ser autenticada por medio de una ficha; el administrador
podra especificar los mecanismos de autenticacin adicionales que tambin deben ser utilizados ". El autor PP / ST tambin podra
optar por no especificar ningn lmite, pero dejan los mecanismos de autenticacin y sus reglas completamente
para el administrador autorizado.
G.4.7 FIA_UAU.6 Reautenticacin
Este componente se ocupa de las necesidades potenciales de volver a autenticar a los usuarios en lugares definidos en el tiempo. Estos pueden
incluir las peticiones de usuarios para la TSF para llevar a cabo las acciones pertinentes de seguridad, as como las peticiones de no TSF
entidades de re-autenticacin (por ejemplo, una aplicacin de servidor solicita que el TSF re-autenticar al cliente es
racin).
Operaciones G.4.7.2
G.4.7.2.1 Asignacin
12/6/2014 ISO / IEC 15408-2
167
En FIA_UAU.6.1, el autor PP / ST debe especificar la lista de condiciones que requieren re-autenticacin. Esta lista
podra incluir un perodo de inactividad especificado que ha transcurrido, el usuario que solicita un cambio en activo
los atributos de seguridad, o el usuario que solicita la TSF para realizar alguna funcin crtica de seguridad.
Pgina 188
ISO / IEC 15408-2:2008 (E)
168
El autor PP / ST podra dar a los lmites dentro de los cuales debe ocurrir la nueva autenticacin y dejar el
especficos para el administrador autorizado. Un ejemplo de una norma de este tipo es: "el usuario siempre ser re-
autenticada por lo menos una vez al da; el administrador puede especificar que la re-autenticacin debe suceder
ms a menudo, pero no ms de una vez cada 10 minutos. "
G.4.8 FIA_UAU.7 Protegida retroalimentacin autenticacin
Este componente se refiere a la informacin sobre el proceso de autenticacin que se proporcionar al usuario. En
algunos sistemas de la retroalimentacin consiste en indicar cuntos caracteres se han escrito, pero no muestra la
propios personajes, en otros sistemas, incluso esta informacin podra no ser apropiada.
Este componente requiere que los datos de autenticacin no se proporciona como est de vuelta al usuario. En una estacin de trabajo
medio ambiente, que podra mostrar una "ficticia" (por ejemplo, la estrella) para cada carcter de la contrasea proporcionada, y no el original
carcter.
Operaciones G.4.8.2
G.4.8.2.1 Asignacin
En FIA_UAU.7.1, el autor PP / ST debera especificar las votaciones relacionadas con el proceso de autenticacin que se
ser proporcionado al usuario. Un ejemplo de una tarea de regeneracin es "el nmero de caracteres al escribir", otro
tipo de regeneracin es "el mecanismo de autenticacin que ha fallado la autenticacin".
G.5 identificacin de usuario (FIA_UID)
Esta familia define las condiciones en las que los usuarios estn obligados a identificarse antes de realizar cualquier
otras acciones que han de ser mediada por la TSF y que requieren la identificacin del usuario.
G.5.2 FIA_UID.1 Momento de la identificacin
Este componente plantea requisitos para que el usuario sea identificado. El autor de PP / ST puede indicar especfica
las acciones que se pueden realizar antes de la identificacin se lleva a cabo.
Si FIA_UID.1 Momento de la identificaci n se utiliza, las acciones mediadas por TSF mencionados en FIA_UID.1 Momento de la
identificatio n debe aparecer en este Momento FIA_UAU.1 de autentificacin.
Operaciones G.5.2.2
G.5.2.2.1 Asignacin
En FIA_UID.1.1, el autor PP / ST debe especificar una lista de las acciones mediadas por TSF que se pueden realizar por el
TSF en nombre de un usuario antes de que el usuario tiene que identificarse a s mismo. Si hay acciones son apropiadas, componente
FIA_UID.2 identificacin del usuario antes de cualquier actio n se debe utilizar en su lugar. Un ejemplo de una accin de este tipo podra
incluir la solicitud de ayuda en el procedimiento de conexin.
G.5.3 FIA_UID.2 identificacin del usuario antes de cualquier accin
En este componente se identificarn los usuarios. Un usuario no est permitido por la TSF para realizar cualquier accin antes de ser
identificado.
12/6/2014 ISO / IEC 15408-2
Pgina 189
ISO / IEC 15408-2:2008 (E)
169
G.6 el usuario sujeta la unin (FIA_USB)
Un usuario autenticado, con el fin de utilizar el TOE, tpicamente activa un sujeto. Los atributos de seguridad del usuario son
asociado (total o parcialmente) con este tema. Esta familia define requisitos para crear y mantener la
asociacin de seguridad del usuario atribuye a un sujeto que acta en nombre del usuario.
G.6.2 FIA_USB.1 vinculante usuario-sujeto
Se pretende que un sujeto acta en nombre del usuario que ha causado el tema para llegar a existir o ser
activado para realizar una tarea determinada.
Por lo tanto, cuando se crea un objeto, ese tema est actuando en nombre del usuario que inici la creacin. En
los casos en que se utiliza el anonimato, el tema todava est actuando en nombre de un usuario, pero la identidad de ese usuario es
desconocido. Una categora especial de los sujetos son aquellos sujetos que sirven varios usuarios (por ejemplo, un proceso de servidor).
En tales casos, el usuario que ha creado este tema se supone que es el "dueo".
Operaciones G.6.2.2
G.6.2.2.1 Asignacin
En FIA_USB.1.1, el autor de PP / ST debe especificar una lista de los atributos de seguridad de usuario que han de ser obligado a
sujetos.
En FIA_USB.1.2, el autor PP / ST debe especificar todas las normas que se han de aplicar a la asociacin inicial de
atributos con los sujetos, o "ninguno".
En FIA_USB.1.3, el autor PP / ST debe especificar todas las normas que han de aplicarse cuando se realizan cambios en la
los atributos de seguridad de usuario asociados con los sujetos que actan en nombre de los usuarios, o "ninguno".
Pgina 190
ISO / IEC 15408-2:2008 (E)
Anexo H
(Normativo)
Clase FMT: Gestin de la seguridad
12/6/2014 ISO / IEC 15408-2
170
Esta clase especifica la gestin de varios aspectos de la TSF: atributos de seguridad, los datos de la TSF y
funciones en el TSF. Las diferentes funciones de gestin y su interaccin, como la separacin de la capacidad,
Tambin se puede especificar.
En un entorno en el TOE se compone de varias piezas separadas fsicamente, los problemas de tiempo con
respecto a la propagacin de los atributos de seguridad, los datos de la TSF y modificacin de la funcin a ser muy compleja,
especialmente si se requiere la informacin para ser replicado a travs de las partes del TOE. Esto debera ser
cuenta a la hora de seleccionar los componentes, tales como FMT_REV.1 Revocacin, o FMT_SAE.1 tiempo limitado-
autorizacin , en el que el comportamiento podra verse afectada. En tales situaciones, el uso de componentes de Interna
TSF TOE coherencia de replicacin de datos (FPT_TRC) i s aconsejable.
Figura A.1 muestra la descomposicin de esta clase en sus componentes constitutivos.
Pgina 191
ISO / IEC 15408-2:2008 (E)
12/6/2014 ISO / IEC 15408-2
171
Figura A.1 - FMT: clase de gestin de seguridad de descomposicin
Gestin H.1 de funciones en TSF (FMT_MOF)
Notas H.1.1 usuario
Las funciones de gestin de la alimentacin suplementaria selectiva permiten a los usuarios autorizados a establecer y controlar la operacin segura de la
TOE. Estas funciones administrativas normalmente se dividen en una serie de diferentes categoras:
a) Las funciones de gestin que se relacionan con el control de acceso, controles de rendicin de cuentas y autenticacin cumplir
por el TOE. Por ejemplo, la definicin y actualizacin de las caractersticas de seguridad de usuario (por ejemplo, identificadores nicos
asociada a los nombres de usuario, cuentas de usuario, los parmetros de entrada del sistema) o la definicin y actualizacin de la auditora
controles del sistema (por ejemplo, seleccin de eventos de auditora, gestin de los registros de auditora, anlisis de seguimiento de auditora y la auditora
generacin de informes), la definicin y actualizacin de los atributos de poltica de cada usuario (como el despacho de usuario), definicin
etiquetas de control de acceso del sistema de conocido, y el control y la gestin de grupos de usuarios.
b) Las funciones de gestin que se refieren a los controles sobre la disponibilidad. Por ejemplo, la definicin y actualizacin de
parmetros de disponibilidad o de cuotas de recursos.
Pgina 192
ISO / IEC 15408-2:2008 (E)
c) Las funciones de gestin relacionadas con la instalacin y la configuracin general. Por ejemplo, TOE
configuracin, recuperacin manual, la instalacin de parches de seguridad TOE (si los hay), la reparacin y reinstalacin de
de hardware.
d) Las funciones de gestin que se relacionan con el control de rutina y mantenimiento de los recursos TOE. Por ejemplo,
activacin y desactivacin de los dispositivos perifricos, el montaje de medios extrables de almacenamiento, backup y recuperacin.
Tenga en cuenta que estas funciones necesitan estar presentes en una TOE sobre la base de las familias incluidas en el PP o ST. Es la
responsabilidad del autor PP / ST para asegurar que las funciones adecuadas se proporcionar para gestionar la TOE en un
asegurar la moda.
La TSF puede contener funciones que pueden ser controlados por un administrador. Por ejemplo, la auditora
funciones podran ser apagadas, la sincronizacin de tiempo podra ser conmutable, y / o la autenticacin
mecanismo podra ser modificable.
Gestin FMT_MOF.1 H.1.2 de las funciones de seguridad comportamiento
Notas de aplicacin H.1.2.1 usuario
Este componente permite que los roles identificados para la gestin de las funciones de seguridad del TSF. Esto podra implicar la obtencin
el estado actual de una funcin de seguridad, desactivar o activar la funcin de seguridad, o modificar el comportamiento
de la funcin de seguridad. Un ejemplo de la modificacin del comportamiento de las funciones de seguridad est cambiando de
mecanismos de autenticacin.
Operaciones H.1.2.2
H.1.2.2.1 Seleccin
En FMT_MOF.1.1, t l PP / ST autor debe seleccionar si el papel se puede determinar el comportamiento de, deshabilitar,
12/6/2014 ISO / IEC 15408-2
172
habilitar y / o modificar el comportamiento de las funciones de seguridad.
H.1.2.2.2 Asignacin
En FMT_MOF.1.1, t l PP / ST autor deber especificar las funciones que pueden ser modificadas por los roles identificados.
Los ejemplos incluyen la auditora y la determinacin del tiempo.
En FMT_MOF.1.1, t l PP / ST autor deber especificar las funciones que se les permite modificar las funciones en el
TSF. Las posibles funciones se especifican i n FMT_SMR.1 Seguridad roles.
Gestin H.2 de atributos de seguridad (FMT_MSA)
H.2.1 notas de usuario
Esta familia define los requisitos relativos a la gestin de los atributos de seguridad.
Los atributos de seguridad afectan el comportamiento de la TSF. Ejemplos de atributos de seguridad son los grupos a los que un
usuario pertenece, los papeles que l / ella podra asumir, la prioridad de un proceso (sujeto), y los derechos que pertenecen a un
papel o un usuario. Estos atributos de seguridad que tenga que ser administrado por el usuario, un objeto, una especfica
usuario autorizado (un usuario con derechos otorgados expresamente para esta gestin) o valores heredan de acuerdo con un determinado
poltica / conjunto de reglas.
Cabe sealar que el derecho de asignar derechos a los usuarios es en s misma un atributo de seguridad y / o potencialmente sujetas a
gestin por F MT_MSA.1 Gestin de atributos de seguridad.
Atributos de seguridad FMT_MSA.2 seguros pueden ser utilizados para garantizar que cualquier combinacin de seguridad aceptadas
atributos se encuentra dentro de un estado seguro. La definicin de lo "seguro" significa que se deja a la orientacin TOE.
Pgina 193
ISO / IEC 15408-2:2008 (E)
En algunos casos se crean los sujetos, objetos o cuentas de usuario. Si no hay valores explcitos para la seguridad relacionados
se dan atributos, valores por defecto deben ser uso d. Gestin FMT_MSA.1 de atributos de seguridad puede ser
se utiliza para especificar que estos valores predeterminados pueden ser manejados.
Gestin FMT_MSA.1 H.2.2 de los atributos de seguridad
Este componente permite a los usuarios que actan en ciertas funciones para gestionar los atributos de seguridad identificados. Los usuarios de Internet estn
asignado un papel dentro de los componentes papeles FMT_SMR.1 Seguridad.
El valor predeterminado de un parmetro es el valor del parmetro toma cuando se crea una instancia sin especficamente
valores asignados. Un valor inicial se proporcion durante la creacin de instancias (la creacin) de un parmetro, y anulaciones
el valor por defecto.
Operaciones H.2.2.2
H.2.2.2.1 Asignacin
En FMT_MSA.1.1, el autor PP / ST debe enumerar la SFP (s) de control de acceso o el control del flujo de informacin
La SFP (s) por el cual los atributos de seguridad son aplicables.
H.2.2.2.2 Seleccin
En FMT_MSA.1.1, TH e PP / ST autor debe especificar las operaciones que se pueden aplicar a la seguridad identificado
atributos. El autor PP / ST puede especificar que el papel puede modificar el valor por defecto (change_default), consulta,
modificar el atributo de seguridad, elimine los atributos de seguridad completa o definir su propio funcionamiento.
H.2.2.2.3 Asignacin
En FMT_MSA.1.1, t l PP / ST autor debe especificar los atributos de seguridad que puedan ser explotados en el
papeles identificados. Es posible que el autor de PP / ST para especificar que el valor por defecto como el acceso-default
derechos pueden ser manejados. Ejemplos de estos son los atributos de seguridad del usuario al despacho, la prioridad de nivel de servicio,
lista de control de acceso, los derechos de acceso predeterminado.
En FMT_MSA.1.1, el autor PP / ST debe especificar las funciones que se les permite operar en la seguridad
atributos. Las posibles funciones se especifican en los roles FMT_SMR.1 Seguridad.
En FMT_MSA.1.1, i f seleccionado, el autor PP / ST debera especificar qu otras operaciones el papel podra realizar.
Un ejemplo de tal operacin podra ser "crear".
12/6/2014 ISO / IEC 15408-2
173
Atributos de seguridad Secure FMT_MSA.2 H.2.3
Este componente contiene requerimientos sobre los valores que se pueden asignar a los atributos de seguridad. La asignado
valores deben ser tales que el TOE permanecer en un estado seguro.
La definicin de lo "seguro" los medios no se responde en este componente, pero se deja a la evolucin de la
TOE y la informacin resultante de la orientacin. Un ejemplo podra ser que si se crea una cuenta de usuario,
debera tener una contrasea no trivial.
Operaciones H.2.3.2
H.2.3.2.1 Asignacin
En FMT_MSA.2.1, th e PP / ST autor debe especificar la lista de atributos de seguridad que requieren valores slo seguras
que se preste.
Pgina 194
ISO / IEC 15408-2:2008 (E)
FMT_MSA.3 H.2.4 esttico inicializacin atributo
Este componente requiere que el TSF proporcionan valores por defecto para los atributos de seguridad de objetos relevantes, lo que puede
ser anulado por un valor inicial. Todava puede ser posible que un nuevo objeto de tener diferentes atributos de seguridad en
creacin, si no existe un mecanismo para especificar los permisos en el momento de la creacin.
Operaciones H.2.4.2
H.2.4.2.1 Asignacin
En FMT_MSA.3.1, t l PP / ST autor debe indicar el SFP de control de acceso o SFP de control del flujo de informacin para
que los atributos de seguridad son aplicables.
H.2.4.2.2 Seleccin
En FMT_MSA.3.1, t l PP / ST autor debe seleccionar si la propiedad predeterminada del atributo de control de acceso
ser restrictiva, permisiva, u otra propiedad. Slo una de estas opciones se puede elegir.
H.2.4.2.3 Asignacin
En FMT_MSA.3.1, i f autor PP / ST selecciona otra propiedad, el autor PP / ST debe especificar el deseado
caractersticas de los valores por defecto.
En FMT_MSA.3.2, t l PP / SAN autor deber especificar las funciones que estn autorizados para modificar los valores de la
los atributos de seguridad. Las posibles funciones se especifican en los roles FMT_SMR.1 Seguridad.
H.2.5 FMT_MSA.4 Seguridad valor del atributo de herencia
Este componente requiere la especificacin del conjunto de reglas a travs del cual el atributo de seguridad hereda los valores
y las condiciones que deben cumplirse para estas normas que deben aplicarse.
Operaciones H.2.5.2
H.2.5.2.1 Asignacin
En FMT_MSA.4.1, th e PP / ST autor precisa las normas que regulan el valor que se heredan por la
atributo de seguridad especificado, incluyendo las condiciones que se deben cumplir para las normas que deben aplicarse. Por ejemplo,
si se crea un nuevo archivo o directorio (en un sistema de archivos de mltiples niveles), su etiqueta es la etiqueta en la que se registra el usuario
en el momento de su creacin.
Gestin H.3 de datos de TSF (FMT_MTD)
Este componente impone requisitos sobre la gestin de los datos de la TSF. Ejemplos de datos de TSF son el
hora actual y la pista de auditora. As, por ejemplo, esta familia permite especificar quin puede leer, borrar
o crear la pista de auditora.
12/6/2014 ISO / IEC 15408-2
174
H.3.2 FMT_MTD.1 Gestin de los datos TSF
Este componente permite a los usuarios con un cierto papel para gestionar los valores de los datos de la TSF. Los usuarios se asignan a un
papel dentro de los componentes papeles FMT_SMR.1 Seguridad.
Pgina 195
ISO / IEC 15408-2:2008 (E)
175
El valor predeterminado de un parmetro son los valores del parmetro toma cuando se crea una instancia sin especficamente
valores asignados. Un valor inicial se proporcion durante la creacin de instancias (la creacin) de un parmetro y anulaciones
el valor por defecto.
Operaciones H.3.2.2
H.3.2.2.1 Seleccin
En FMT_MTD.1.1, t l PP / ST autor deber especificar las operaciones que se pueden aplicar a la TSF identificado
datos. El autor PP / ST puede especificar que el papel puede modificar el valor por defecto (change_default), claro, consulta
o modificar los datos de TSF, o borrar los datos TSF completo. Si as lo desea el autor PP / ST podra especificar cualquier tipo de
de operacin. Para aclarar "datos TSF claro" significa que se elimina el contenido de los datos de TSF, pero que la entidad
que almacena los datos TSF permanece en el TOE.
H.3.2.2.2 Asignacin
En FMT_MTD.1.1, t l PP / ST autor debe especificar los datos TSF que puede ser operado por la identificada
roles. Es posible que el autor de PP / ST para especificar que el valor por defecto puede ser controlado.
En FMT_MTD.1.1, t l PP / ST autor deber especificar las funciones que se les permite operar en los datos TSF. La
posibles funciones se especifican i n FMT_SMR.1 Seguridad roles.
En FMT_MTD.1.1, i f seleccionado, el autor PP / ST debera especificar qu otras operaciones el papel podra realizar.
Un ejemplo podra ser "crear".
H.3.3 FMT_MTD.2 Gestin de lmites en los datos TSF
Este componente especifica lmites en los datos de TSF, y las acciones que se deben tomar si se superan estos lmites. Este
componente, por ejemplo, permitir a lmites en el tamao de la pista de auditora a ser definidos, y la especificacin de la
las acciones que se deben tomar cuando se superan estos lmites.
Operaciones H.3.3.2
H.3.3.2.1 Asignacin
En FMT_MTD.2.1, t l PP / ST autor debe especificar los datos TSF que pueden tener lmites, y el valor de los
lmites. Un ejemplo de tales datos TSF es el nmero de usuarios registrados en.
En FMT_MTD.2.1, t l PP / ST autor deber especificar las funciones que se les permite modificar los lmites a la TSF
los datos y las acciones a tomar. Las posibles funciones se especifican i n FMT_SMR.1 Seguridad roles.
En FMT_MTD.2.2, th e PP / ST autor debe especificar las acciones que se tomarn si el lmite especificado en el especificado
Se excede de datos TSF. Un ejemplo de tal accin TSF es que el usuario autorizado se inform y una auditora
se genera registro.
FMT_MTD.3 H.3.4 Secure datos TSF
Este componente abarca las prescripciones sobre los valores que se pueden asignar a los datos de la TSF. Los valores asignados
debe ser tal que el dedo se mantendr en un estado seguro.
La definicin de lo "seguro" los medios no se responde en este componente, pero se deja a la evolucin de la
TOE y la informacin resultante de la orientacin.
12/6/2014 ISO / IEC 15408-2
Pgina 196
ISO / IEC 15408-2:2008 (E)
176
Operaciones H.3.4.2
H.3.4.2.1 Asignacin
En FMT_MTD.3.1, t l PP / ST autor debe especificar lo que requieren los datos TSF nicos valores seguros para ser aceptados.
H.4 Revocacin (FMT_REV)
Esta direcciones familiares revocacin de atributos de seguridad para una variedad de entidades dentro de un TOE.
Revocacin FMT_REV.1 H.4.2
Este componente especifica los requisitos sobre la revocacin de los derechos. Se requiere la especificacin de la
reglas de revocacin. Ejemplos son:
a) La revocacin se llevar a cabo en el siguiente inicio de sesin del usuario;
b) La revocacin se llevar a cabo en el siguiente intento para abrir el archivo;
c) Revocacin se llevar a cabo dentro de un plazo fijo. Esto podra significar que todas las conexiones abiertas se vuelven a evaluar
cada x minutos.
Operaciones H.4.2.2
H.4.2.2.1 Asignacin
En FMT_REV.1.1, t l PP / ST autor debe especificar los atributos de seguridad deben ser revocado cuando un cambio
se hace referencia a la asociada objeto / sujeto / user / otro recurso.
H.4.2.2.2 Seleccin
En FMT_REV.1.1, t l PP / ST autor debe especificar si la capacidad de revocar los atributos de seguridad de los usuarios,
temas, objetos o recursos adicionales estarn a cargo de la TSF.
H.4.2.2.3 Asignacin
En FMT_REV.1.1, t l PP / ST autor deber especificar las funciones que se les permite modificar las funciones en el
TSF. Las posibles funciones se especifican i n FMT_SMR.1 Seguridad roles.
En FMT_REV.1.1, t l PP / ST autor debe, si se selecciona recursos adicionales, especificar si la capacidad de
revocar sus atributos de seguridad estarn a cargo de la TSF.
En FMT_REV.1.2, el autor PP / ST debe especificar las reglas de revocacin. Ejemplos de estas normas podra
incluir: "con anterioridad a la prxima operacin en el recurso asociado", o "para todas las nuevas creaciones sujetas a investigacin".
Caducidad atributo A.5 Seguridad (FMT_SAE)
Esta familia se refiere a la capacidad de hacer cumplir los plazos de validez de los atributos de seguridad. Esta familia puede
aplicarse para especificar los requisitos de caducidad de los atributos de control de acceso, identificacin y autenticacin
atributos, certificados (certificados de clave como ANSI X509, por ejemplo), atributos de auditora, etc
Pgina 197
ISO / IEC 15408-2:2008 (E)
Autorizacin H.5.2 FMT_SAE.1 tiempo limitado-
Operaciones H.5.2.1
12/6/2014 ISO / IEC 15408-2
177
H.5.2.1.1 Asignacin
En FMT_SAE.1.1, t l PP / ST autor debe proporcionar la lista de atributos de seguridad para los que de caducidad es ser
apoyado. Un ejemplo de tal atributo podra ser la habilitacin de seguridad de un usuario.
En FMT_SAE.1.1, t l PP / ST autor deber especificar las funciones que tienen permiso para modificar los atributos de seguridad
en la TSF. Las posibles funciones se especifican i n FMT_SMR.1 Seguridad roles.
En FMT_SAE.1.2, t l PP / ST autor debe proporcionar una lista de acciones a realizar para cada atributo de seguridad cuando
de que expire. Un ejemplo podra ser que la habilitacin de seguridad del usuario, cuando ste expire, est ajustado a la ms baja
holgura admisible en el TOE. Si la revocacin inmediata es deseado por el PP / ST, la accin "inmediata
"se debe especificar la revocacin.
H.6 Especificacin de las funciones de gestin (FMT_SMF)
Esta familia permite la especificacin de las funciones de gestin que ha de proporcionar el TOE. Cada valor
funcin de administracin que se muestra en el cumplimiento de la asignacin es o bien la gestin de atributo de seguridad, TSF
gestin de datos, o la gestin de la funcin de seguridad.
FMT_SMF.1 H.6.2 La especificacin de las funciones de gestin
Este componente se especifican las funciones de gestin que se preste.
Autores PP / ST deben consultar las subclusulas "gestin" de los componentes incluidos en el PP / ST para
proporcionar una base para las funciones de gestin que se enumeran a travs de este componente.
Operaciones H.6.2.2
H.6.2.2.1 Asignacin
En FMT_SMF.1.1, el autor PP / ST debera especificar las funciones de gestin a ser proporcionada por el TSF,
ya sea la gestin de atributo de seguridad, gestin de datos TSF, o la gestin de la funcin de seguridad.
Funciones de gestin H.7 Seguridad (FMT_SMR)
Esta familia reduce la posibilidad de daos resultantes de los usuarios abusen de su autoridad por medio de acciones
fuera de sus responsabilidades funcionales asignados. Tambin se ocupa de la amenaza de que los mecanismos inadecuados
se han previsto para administrar de forma segura el TSF.
Esta familia requiere que se mantenga la informacin para identificar si un usuario est autorizado a utilizar una determinada
funcin administrativa relevante para la seguridad.
Algunas acciones de manejo pueden ser realizadas por los usuarios, los dems slo por personas designadas dentro de la
organizacin. Esta familia permite la definicin de diferentes roles, como propietario, auditor, administrador, todos los das-
gestin.
Los papeles como empleados en esta familia son los roles de seguridad relacionados. Cada rol puede abarcar un amplio conjunto de
capacidades (por ejemplo, la raz en UNIX), o puede ser un solo derecho (por ejemplo, derecho a leer un solo objeto como el archivo de ayuda).
Pgina 198
ISO / IEC 15408-2:2008 (E)
Esta familia define los papeles. Las capacidades de la funcin se definen en Gestin de funciones en TSF
(FMT_MOF), M estin de los atributos de seguridad (FMT_MSA) y de gestin de los datos de la TSF (FMT_MTD).
Algunos tipo de papeles podra ser mutuamente excluyentes. Por ejemplo la gestin diaria podra ser capaz de definir
y activar a los usuarios, pero podra no ser capaz de eliminar los usuarios (las cuales est reservada para el administrador (papel)). Este
clase permitir a polticas tales como el control de dos personas que se determine.
Papeles H.7.2 FMT_SMR.1 Seguridad
Este componente se especifican los diferentes roles que la TSF debe reconocer. A menudo, el sistema distingue
entre el propietario de una entidad, un administrador y otros usuarios.
Operaciones H.7.2.2
12/6/2014 ISO / IEC 15408-2
178
H.7.2.2.1 Asignacin
En FMT_SMR.1.1, t l PP / ST autor deber especificar las funciones que son reconocidos por el sistema. Estos son los
roles que los usuarios podan ocupar con respecto a la seguridad. Algunos ejemplos son: propietario, auditor y administrador.
Restricciones FMT_SMR.2 H.7.3 sobre los roles de seguridad
Notas de la aplicacin H.7.3.1 usuario
Este componente se especifican los diferentes roles que la TSF debe reconocer, y condiciones sobre cmo esos roles
podra ser administrado. A menudo, el sistema distingue entre el propietario de una entidad, un administrador y otra
los usuarios.
Las condiciones en esas funciones especifican la interrelacin entre las diferentes funciones, as como las restricciones
cuando el papel puede ser asumido por el usuario.
Operaciones H.7.3.2
H.7.3.2.1 Asignacin
En FMT_SMR.2.1, t l PP / ST autor deber especificar las funciones que son reconocidos por el sistema. Estos son los
roles que los usuarios podan ocupar con respecto a la seguridad. Algunos ejemplos son: propietario, auditor, administrador.
En FMT_SMR.2.3, t l PP / ST autor deber especificar las condiciones que rigen la asignacin de funciones. Ejemplos de
estas condiciones son: "una cuenta no puede tener tanto el auditor y el papel de administrador" o "un usuario con el
funcin auxiliar tambin debe tener la funcin de propietario ".
FMT_SMR.3 H.7.4 Asumiendo los roles
Este componente se especifica que una peticin explcita se debe dar a asumir el rol especfico.
Operaciones H.7.4.2
H.7.4.2.1 Asignacin
En FMT_SMR.3.1, t l PP / ST autor deber especificar las funciones que requieren una peticin explcita para ser asumido.
Ejemplos de ello son: el auditor y administrador.
Pgina 199
ISO / IEC 15408-2:2008 (E)
Anexo I
(Normativo)
FPR Clase: Privacidad
Esta clase describe los requisitos que podan percibirse a satisfacer las necesidades de privacidad de los usuarios, al tiempo que
permitiendo la flexibilidad del sistema en la medida de lo posible para mantener un control suficiente sobre el funcionamiento del sistema.
En los componentes de esta clase hay flexibilidad en cuanto a si o no los usuarios autorizados estn cubiertas por la
funcionalidad de seguridad requerida. Por ejemplo, un autor de PP / ST considere oportuno no exigir
proteccin de la privacidad de los usuarios contra un usuario debidamente autorizado.
Esta clase, junto con otras clases (como los relacionados con la auditora, control de acceso, ruta de confianza, y
no repudio) proporciona la flexibilidad para especificar el comportamiento de la privacidad deseada. Por otro lado, la
requisitos de esta categora podran imponer limitaciones sobre el uso de los componentes de las otras clases, tales como
FIA: Identificacin y autenticacin o FAU: Auditora de seguridad. Por ejemplo, los usuarios autorizados si no se les permite
para ver la identidad del usuario (por ejemplo, el anonimato o seudnimos), es obvio que no ser posible mantener individuo
usuarios responsables por ninguna accin pertinentes de seguridad que realizan que estn cubiertos por los requisitos de privacidad.
Sin embargo, todava puede ser posible incluir los requisitos de auditora en un PP / ST, en el que el hecho de que un particular,
la seguridad se ha producido un evento relevante es ms importante que saber quin era el responsable.
Se proporciona informacin adicional en las notas de aplicacin para la clase FAU: Auditora de seguridad, donde se explica
que la definicin de "identidad" en el contexto de la auditora tambin puede ser un alias o cualquier otra informacin que pudiera
identificar a un usuario.
12/6/2014 ISO / IEC 15408-2
179
Esta clase describe cuatro familias: El anonimato, seudnimos, imposibilidad de vinculacin y de imposibilidad de observacin. El anonimato,
Seudnimos y imposibilidad de vinculacin tienen una interrelacin compleja. Al elegir una familia, la eleccin debe
depender de las amenazas identificadas. Para algunos tipos de amenazas a la privacidad, seudonimia ser ms apropiado
de anonimato (por ejemplo, si existe un requisito para la auditora). Adems, algunos tipos de amenazas a la privacidad son mejor
contrarrestada por una combinacin de componentes de varias familias.
Todas las familias asumen que un usuario no realiza explcitamente una accin que da a conocer la propia identidad del usuario. Para
ejemplo, no se espera que el TSF a la pantalla el nombre de usuario en los mensajes electrnicos o bases de datos.
Todas las familias en esta clase tienen componentes que pueden ser a travs de cuyo mbito de operaciones. Estas operaciones permiten la
PP / ST autor para exponer los cooperantes usuarios / temas a los que la TSF deben ser resistentes. Un ejemplo de un
creacin de instancias de anonimato podra ser: "La TSF debe garantizar que los usuarios y / o sujetos son incapaces de
determinar la identidad de usuario con destino a la aplicacin de teleconsulta ".
Se observa que la TSF no slo debe proporcionar esta proteccin contra usuarios individuales, sino tambin contra los usuarios
cooperar para obtener la informacin.
Figura I.1 muestra la descomposicin de esta clase en sus componentes constitutivos.
Pgina 200
ISO / IEC 15408-2:2008 (E)
Figura I.1 - FPR: Privacidad clase descomposicin
I.1 Anonimato (FPR_ANO)
I.1.1 notas de usuario
El anonimato asegura que un sujeto puede utilizar un recurso o servicio, sin revelar su identidad del usuario.
La intencin de esta familia es especificar que un usuario o tema podra actuar sin la liberacin de su usuario
identidad a otras personas como usuarios, sujetos u objetos. La familia proporciona el autor de PP / ST con un medio para
identificar el conjunto de usuarios que no pueden ver la identidad de quien realiza ciertas acciones.
Por lo tanto si un sujeto, utilizando el anonimato, realiza una accin, otro tema no ser capaz de determinar
ya sea la identidad o incluso una referencia a la identidad del usuario que emplea el sujeto. El enfoque de la
el anonimato es relativo a la proteccin de la identidad de los usuarios, no sobre la proteccin de la identidad del sujeto; por lo tanto, la
12/6/2014 ISO / IEC 15408-2
180
identidad del sujeto no est protegida contra la divulgacin.
Aunque la identidad del sujeto no se libera a otros sujetos o usuarios, la TSF no es explcitamente
prohbe la obtencin de la identidad de los usuarios. En caso de que el TSF no se le permite conocer la identidad del usuario,
FPR_ANO.2 anonimato sin solicitar informacin c Ould ser invocada. En ese caso, el TSF no debera
solicitar la informacin del usuario.
La interpretacin de "determinar" debe tomarse en el sentido amplio de la palabra.
La nivelacin componente distingue entre los usuarios y un usuario autorizado. Un usuario autorizado es a menudo
excluidos de la componente, y por lo tanto permitido para recuperar la identidad de un usuario. Sin embargo, no hay ninguna especfica
requisito de que un usuario autorizado ha de ser capaz de tener la capacidad de determinar la identidad del usuario. Para
mxima privacidad de los componentes se utilizan para decir que ningn usuario o usuario autorizado pueden ver la identidad de
cualquier persona que realice ninguna accin.
Aunque algunos sistemas proporcionarn el anonimato de todos los servicios que se proporcionan, otros sistemas proporcionan
anonimato para ciertos temas / operaciones. Para proporcionar esta flexibilidad, se incluye una operacin en el mbito
del requisito se define. Si el autor de PP / ST quiere abordar todos los temas / operaciones, las palabras "todo
"se podran proporcionar materias y todas las operaciones.
Pgina 201
ISO / IEC 15408-2:2008 (E)
Las aplicaciones posibles incluyen la posibilidad de realizar consultas de carcter confidencial a las bases de datos pblicas,
responder a encuestas electrnicas, o hacer pagos o donaciones annimas.
Ejemplos de los usuarios hostiles potenciales o temas son los proveedores, operadores de sistemas, socios de comunicacin y
usuarios, que contrabandean partes maliciosos (por ejemplo, caballos de Troya) en los sistemas. Todos estos usuarios pueden investigar
los patrones de uso (por ejemplo, que los usuarios utilizan los servicios de los cuales) y el mal uso de esta informacin.
I.1.2 FPR_ANO.1 Anonimato
I.1.2.1 Notas de la aplicacin de usuario
Este componente se asegura de que la identidad de un usuario est protegido de la divulgacin. Puede haber casos,
sin embargo, que un usuario autorizado dado puede determinar quin lleva a cabo ciertas acciones. Este componente da
la flexibilidad necesaria para capturar ya sea una poltica de privacidad limitada o total.
I.1.2.2 Operaciones
I.1.2.2.1 Asignacin
En FPR_ANO.1.1, el autor PP / ST debe especificar el conjunto de los usuarios y / o temas contra los que el TSF
debe proporcionar proteccin. Por ejemplo, incluso si el autor PP / ST especifica un nico usuario o rol sujeto, la TSF
no slo debe proporcionar proteccin frente a cada usuario individual o sujeto, sino que debe proteger con respecto a
usuarios y / o temas de cooperacin. Un conjunto de usuarios, por ejemplo, podra ser un grupo de usuarios que pueden operar
bajo el mismo papel o puede utilizar el mismo proceso (s).
En FPR_ANO.1.1, t l PP / ST autor debe identificar la lista de temas y / u operaciones y / u objetos donde
el nombre de usuario real del sujeto debe ser protegido, por ejemplo, "la solicitud de votacin".
I.1.3 FPR_ANO.2 anonimato sin solicitar informacin
Este componente se utiliza para asegurar que el TSF no se le permite conocer la identidad del usuario.
I.1.3.2 Operaciones
I.1.3.2.1 Asignacin
En FPR_ANO.2.1, el autor PP / ST debe especificar el conjunto de los usuarios y / o temas contra los que el TSF
En FPR_ANO.2.1, t l PP / ST autor debe identificar la lista de temas y / u operaciones y / u objetos donde
el nombre de usuario real del sujeto debe ser protegido, por ejemplo, "la solicitud de votacin".
En FPR_ANO.2.2, t l PP / ST autor debe identificar la lista de servicios que estn sujetos al anonimato
requisito, por ejemplo, "la que accede de descripciones de puestos".
12/6/2014 ISO / IEC 15408-2
181
En FPR_ANO.2.2, t l PP / ST autor debe identificar la lista de temas entre los cuales el nombre de usuario real del
tema debe ser protegida cuando se prestan los servicios especificados.
Pgina 202
ISO / IEC 15408-2:2008 (E)
I.2 seudnimos (FPR_PSE)
Seudonimia asegura que un usuario puede utilizar un recurso o servicio, sin revelar su identidad, pero todava puede ser
responsable de dicho uso. El usuario puede ser responsable por directamente por estar relacionados con una referencia (alias) en poder de
la TSF, o proporcionando un alias que se utilizar para fines de procesamiento, tales como un nmero de cuenta.
En varios aspectos, se asemeja seudonimia anonimato. Tanto seudnimos y el anonimato protegen la
identidad del usuario, pero en seudonimia se mantiene una referencia a la identidad del usuario para la rendicin de cuentas o
otros fines.
El componente F PR_PSE.1 seudonimia no no especifica los requisitos sobre la referencia para el usuario de
identidad. Con el fin de especificar los requisitos en esta referencia se presentan dos conjuntos de requisitos:
FPR_PSE.2 seudonimia reversible y FPR_PSE.3 Alias seudnimos.
Una manera de utilizar la referencia es por ser capaz de obtener la identidad de usuario original. Por ejemplo, en un efectivo digital
medio ambiente que sera ventajoso ser capaz de rastrear la identidad del usuario cuando un cheque se ha emitido
varias veces (es decir, el fraude). En general, la identidad del usuario necesita ser recuperado en condiciones especficas. La
PP / ST autor podra querer incorporar FPR_PSE.2 seudonimia Reversible para describir esos servicios.
Otro uso de la referencia es como un alias para un usuario. Por ejemplo, un usuario que no desea estar
identificado, puede proporcionar una cuenta a la que la utilizacin de los recursos se debe cargar. En tales casos, la
referencia a la identidad de usuario es un alias para el usuario, donde los dems usuarios o sujetos pueden utilizar el alias de
el desempeo de sus funciones sin tener que obtener la identidad del usuario (por ejemplo, las operaciones estadsticas sobre el uso de
del sistema). En este caso, el autor PP / ST podra desear Incorporat e FPR_PSE.3 Alias seudnimos para
precisar las normas a las que la referencia debe ajustarse.
El uso de estas construcciones anteriormente, el dinero digital se puede crear usin g FPR_PSE.2 seudonimia Reversible
especificando que la identidad de usuario estar protegido y, de ser as se especifica en la condicin, de que haya una
requisito de rastrear la identidad del usuario, si el dinero digital se pas dos veces. Cuando el usuario es honesto, el usuario
identidad est protegida; si el usuario intenta hacer trampas, la identidad del usuario se puede remontar.
Un tipo diferente de sistema podra ser una tarjeta de crdito digital, donde el usuario proporcionar un seudnimo que
indica una cuenta de la que el dinero se puede restar. En tales casos, por ejemplo, FPR_PSE.3 Alias
seudonimia co uld ser utilizado. Este componente especificar que la identidad de usuario ser protegida y,
adems, que el mismo usuario se consigue solamente valores para los que l / ella ha proporcionado el dinero asignado (en caso afirmativo
especificado en las condiciones).
Debe tenerse en cuenta que los componentes ms estrictas potencialmente no se pueden combinar con otro
requisitos, tales como la identificacin y la autenticacin o la auditora. La interpretacin de "determinar la identidad"
debe ser tomada en el sentido ms amplio de la palabra. La informacin no es proporcionada por el TSF durante el
operacin, ni puede la entidad determinar el objeto o el propietario del sujeto que invoca la operacin, ni
ser la informacin del registro TSF, a disposicin de los usuarios o sujetos, que podra liberar la identidad del usuario en el
futuro.
La intencin es que el TSF no revela ninguna informacin que pueda comprometer la identidad del usuario, por ejemplo, la
la identidad de los sujetos que actan en nombre del usuario. La informacin que se considera que es sensible depende
el esfuerzo un atacante es capaz de gastar.
Las aplicaciones posibles incluyen la posibilidad de cobrar una llamada para los servicios telefnicos de tarificacin adicional sin
revelar su identidad, o para ser cobrado por el uso annimo de un sistema de pago electrnico.
Ejemplos de posibles usuarios hostiles son los proveedores, operadores de sistemas, socios de comunicacin y los usuarios, que
contrabandear partes maliciosos (por ejemplo, caballos de Troya) en los sistemas. Todos estos atacantes pueden investigar qu usuarios
que utiliza los servicios y el uso indebido de esta informacin. Adicionalmente a los servicios de anonimato, Servicios seudonimia
contiene mtodos de autorizacin sin identificacin, sobre todo para el pago annimo ("Cash Digital").
Esto ayuda a los proveedores para obtener el pago de una manera segura mientras se mantiene el anonimato del cliente.
12/6/2014 ISO / IEC 15408-2
182 ISO / IEC 2008 - Todos los derechos reservados
Pgina 203
ISO / IEC 15408-2:2008 (E)
183
I.2.2 FPR_PSE.1 seudonimia
Este componente proporciona la proteccin del usuario contra la divulgacin de la identidad de otros usuarios. El usuario permanecer
responsable de sus acciones.
I.2.2.2 Operaciones
I.2.2.2.1 Asignacin
En FPR_PSE.1.1, el autor PP / ST debe especificar el conjunto de los usuarios y / o temas contra los que el TSF
En FPR_PSE.1.1, t l PP / ST autor debe identificar la lista de temas y / u operaciones y / u objetos donde
el nombre de usuario real del sujeto debe ser protegido, por ejemplo, "la que accede de ofertas de empleo". Tenga en cuenta que
"Objetos" incluye cualquier otro atributo que podran permitir que otro usuario o sujetos a derivar la identidad real de
el usuario.
En FPR_PSE.1.2, el autor PP / ST debe identificar el nmero (uno o ms) de los alias de la TSF es capaz de
proporcionar.
En FPR_PSE.1.2, t l PP / ST autor debe identificar la lista de temas a los que el TSF es capaz de proporcionar una
alias.
I.2.2.2.2 Seleccin
En FPR_PSE.1.3, t l PP / ST autor deber especificar si el alias de usuario es generado por el TSF, o suministra
por el usuario. Slo una de estas opciones se puede elegir.
I.2.2.2.3 Asignacin
En FPR_PSE.1.3, el autor PP / ST debe identificar la mtrica a la que el TSF genera-o generado por el usuario
alias deben ajustarse.
I.2.3 FPR_PSE.2 seudonimia Reversible
En este componente, la TSF debe garantizar que, en condiciones especiales siempre la identidad del usuario en relacin con una
de referencia puede ser determinada.
En FPR_PSE.1 seudonimia la TSF debe proporcionar un alias en lugar de la identidad del usuario. Cuando el especificado
condiciones se satisfacen, la identidad de usuario a la que pertenecen los alias se puede determinar. Un ejemplo de tal
condicin en un entorno de dinero electrnico es: "El TSF debe proporcionar al notario una capacidad para determinar la
identidad de usuario basada en los alias proporcionados slo en las condiciones que un cheque se ha emitido en dos ocasiones. ".
I.2.3.2 Operaciones
I.2.3.2.1 Asignacin
En FPR_PSE.2.1, el autor PP / ST debe especificar el conjunto de los usuarios y / o temas contra los que el TSF
Pgina 204
ISO / IEC 15408-2:2008 (E)
12/6/2014 ISO / IEC 15408-2
184
el nombre de usuario real del sujeto debe ser protegido, por ejemplo, "la que accede de ofertas de empleo". Tenga en cuenta que "Objetos" incluye cualquier otro atributo que podran permitir que otro usuario o sujetos a derivar la identidad real de
el usuario.
En FPR_PSE.2.2, el autor PP / ST debe identificar el nmero (uno o ms) de los alias de la TSF, es capaz de
proporcionar.
alias.
I.2.3.2.2 Seleccin
En FPR_PSE.2.3, t l PP / ST autor deber especificar si el alias de usuario es generado por la TSF o suministra
I.2.3.2.3 Asignacin
I.2.3.2.4 Seleccin
En FPR_PSE.2.4, el autor PP / ST debe seleccionar si el usuario autorizado y / o temas de confianza puede
determinar el nombre de usuario real.
I.2.3.2.5 Asignacin
En FPR_PSE.2.4, t l PP / ST autor debe identificar la lista de condiciones bajo las cuales los sujetos y de confianza
usuario autorizado puede determinar el nombre de usuario real en base a la referencia proporcionada. Estas condiciones pueden ser
condiciones tales como la hora del da, o pueden ser de carcter administrativo, como en una orden judicial.
En FPR_PSE.2.4, t l PP / ST autor debe identificar la lista de temas de confianza que pueden obtener el usuario real
nombre bajo una condicin especfica, por ejemplo, un usuario autorizado notario o especial.
I.2.4 FPR_PSE.3 Alias seudonimia
En este componente, la TSF debe garantizar que la referencia proporcionada cumple con ciertas normas de construccin, y
por lo tanto puede ser utilizado de una manera segura por los sujetos potencialmente inseguras.
Si un usuario desea utilizar los recursos de disco sin revelar su identidad, se puede utilizar seudnimos. Sin embargo,
cada vez que el usuario accede al sistema, se debe usar el mismo alias. Tales condiciones se pueden especificar en la
este componente.
I.2.4.2 Operaciones
I.2.4.2.1 Asignacin
En FPR_PSE.3.1, el autor PP / ST deber especificar el conjunto de los usuarios y / o temas contra los que el TSF
el nombre de usuario real del sujeto debe ser protegido, por ejemplo, "la que accede de ofertas de empleo". Tenga en cuenta que
Pgina 205
ISO / IEC 15408-2:2008 (E)
"Objetos" incluye cualquier otro atributo que podran permitir que otro usuario o sujetos a derivar la identidad real
del usuario.
En FPR_PSE.3.2, el autor PP / ST debe identificar el nmero (uno o ms) de los alias de la TSF es capaz de
proporcionar.
alias.
I.2.4.2.2 Seleccin
En FPR_PSE.3.3, t l PP / ST autor deber especificar si el alias de usuario es generado por el TSF, o suministra
12/6/2014 ISO / IEC 15408-2
185
I.2.4.2.3 Asignacin
En FPR_PSE.3.4, t l PP / ST autor debe identificar la lista de condiciones que indican cuando la referencia utilizada
para el nombre de usuario real ser idntico y cuando ste ser diferente, por ejemplo, "cuando el usuario inicia sesin a
el mismo host "se utilizar un alias nico.
I.3 imposibilidad de vinculacin (FPR_UNL)
Imposibilidad de vinculacin garantiza que un usuario puede hacer mltiples usos de los recursos o servicios sin que los dems la posibilidad de
vincular estos usos juntos. Imposibilidad de vinculacin se diferencia de seudnimos que, aunque en seudonimia el usuario es
Tambin se desconocen, las relaciones entre las diferentes acciones pueden ser proporcionados.
Los requisitos para la imposibilidad de vinculacin tienen por objeto proteger la identidad de los usuarios en contra del uso del perfil de la
operaciones. Por ejemplo, cuando una tarjeta inteligente de telfono se emplea con un nmero nico, el telfono
empresa puede determinar el comportamiento del usuario de esta tarjeta telefnica. Cuando un perfil de telfono de la
los usuarios se conoce, la tarjeta puede ser vinculada a un usuario especfico. Cmo ocultar la relacin entre las distintas invocaciones
de un servicio o el acceso de un recurso evitar este tipo de recopilacin de informacin.
Como resultado, un requisito para la imposibilidad de vinculacin podra implicar que el sujeto y el usuario la identidad de un mosto de operacin
ser protegidos. De lo contrario, esta informacin podra ser utilizada para vincular las operaciones en conjunto.
Imposibilidad de vinculacin requiere que las diferentes operaciones que no se pueden relacionar. Esta relacin puede tomar varias formas. Para
ejemplo, el usuario asociado a la operacin, o el terminal que inici la actuacin, o el tiempo de la
se ejecut la accin. El autor PP / ST puede especificar qu tipo de relaciones estn presentes que deben ser
contrarrestado.
Las aplicaciones posibles incluyen la capacidad de hacer uso mltiple de un seudnimo sin crear un patrn de uso
que podran revelar la identidad del usuario.
Ejemplos de temas hostiles y usuarios potenciales son los proveedores, operadores de sistemas, socios de comunicacin
y usuarios, que contrabandean partes maliciosos, (por ejemplo, caballos de Troya) en los sistemas, no funcionan pero quieren
obtener informacin sobre. Todos estos atacantes pueden investigar (por ejemplo, que los usuarios que utiliza los servicios) y
un mal uso de esta informacin. Imposibilidad de vinculacin a sus usuarios de los vnculos, los cuales podran extraerse entre varios
acciones de un cliente. Un ejemplo es una serie de llamadas telefnicas hechas por un cliente annimo para diferentes
socios, en los que la combinacin de las identidades de la pareja pudiera revelar la identidad del cliente.
Pgina 206
ISO / IEC 15408-2:2008 (E)
I.3.2 FPR_UNL.1 imposibilidad de vinculacin
Este componente garantiza que los usuarios no pueden conectarse diferentes operaciones en el sistema y obtener de esa forma
informacin.
I.3.2.2 Operaciones
I.3.2.2.1 Asignacin
En FPR_UNL.1.1, el autor PP / ST debe especificar el conjunto de los usuarios y / o temas contra los que el TSF
En FPR_UNL.1.1, t l PP / ST autor debe identificar la lista de las operaciones que deben estar sometidos a la
requisito imposibilidad de vinculacin, por ejemplo, "el envo de correo electrnico."
I.3.2.2.2 Seleccin
En FPR_UNL.1.1, el autor PP / ST debe seleccionar las relaciones que deben quedar ocultas. La seleccin
permite ya sea la identidad del usuario o una cesin de las relaciones que se especifiquen.
12/6/2014 ISO / IEC 15408-2
186
I.3.2.2.3 Asignacin
En FPR_UNL.1.1, t l PP / ST autor debe identificar la lista de las relaciones que deben ser protegidas contra, por
ejemplo, "proceder de la misma terminal".
I.4 inobservabilidad (FPR_UNO)
Inobservabilidad garantiza que un usuario puede utilizar un recurso o servicio sin otros, especialmente tercera partes,
pudiendo observar que se est utilizando el recurso o servicio.
Imposibilidad de observacin acerca de la identidad del usuario desde una direccin diferente a la familias anteriores anonimato,
Seudnimos y imposibilidad de vinculacin. En este caso, la intencin es la de ocultar el uso de un recurso o servicio, en lugar de
para ocultar la identidad del usuario.
Un nmero de tcnicas se pueden aplicar a implementar imposibilidad de observacin. Ejemplos de tcnicas para proporcionar
imposibilidad de observacin son:
a) Asignacin de la informacin que afectan inobservabilidad: inobservabilidad informacin relevante (por ejemplo, informacin
que describe que se ha producido una operacin) se puede asignar en varios lugares dentro del TOE. La
la informacin puede ser asignado a una sola parte elegido al azar de la TOE tal que un atacante hace
No s qu parte del TOE debe ser atacado. Un sistema alternativo podra distribuir la informacin
de tal manera que ninguna de sus partes del TOE tiene informacin suficiente para que, si eludido, la privacidad del usuario
pueda estar en peligro. Esta tcnica se aborda explcitamente en FPR_UNO.2 Asignacin de informacin
impactando inobservabilidad.
b) Difusin: Cuando la informacin se transmite (por ejemplo, Ethernet, radio), los usuarios no pueden determinar quin realmente
recibido y utilizado esa informacin. Esta tcnica es especialmente til cuando la informacin debe alcanzar
receptores que tienen que temer un estigma por estar interesados en esa informacin (por ejemplo, mdicos sensibles
informacin).
Pgina 207
ISO / IEC 15408-2:2008 (E)
c) la proteccin de cifrado y el mensaje padding: Gente observando un flujo de mensajes pueden obtener
informacin del hecho de que se transfiere un mensaje y de atributos en el mensaje. Por trfico
relleno, el relleno y el mensaje cifrado de la secuencia de mensaje, la transmisin de un mensaje y su
atributos pueden ser protegidos.
A veces, los usuarios no deben ver el uso de un recurso, pero un usuario autorizado debe permitir ver el
el uso de los recursos con el fin de ejercer sus funciones. En tales casos, t l FPR_UNO.4 usuario autorizado
observabilidad se podra utilizar, que proporciona la capacidad para uno o ms usuarios autorizados para ver el uso.
Esta familia hace uso de las "partes del TOE" concepto. Esto se considera cualquier parte del dedo del pie que es ya sea
fsica o lgicamente separada de otras partes del TOE.
Imposibilidad de observacin de las comunicaciones puede ser un factor importante en muchas reas, tales como la aplicacin de
derechos constitucionales, polticas de organizacin, o en aplicaciones relacionadas con la defensa.
I.4.2 FPR_UNO.1 inobservabilidad
Este componente requiere que el uso de una funcin o recurso no puede ser observada por los usuarios no autorizados.
I.4.2.2 Operaciones
I.4.2.2.1 Asignacin
En FPR_UNO.1.1, t l PP / ST autor debe especificar la lista de usuarios y / o temas contra los que el TSF
En FPR_UNO.1.1, el autor PP / ST debe identificar la lista de operaciones que se somete a la
requisito inobservabilidad. Otros usuarios / sujetos entonces no ser capaz de observar las operaciones en una cubierta
objeto de la lista especificada (por ejemplo, la lectura y la escritura para el objeto).
En FPR_UNO.1.1, th e PP / ST autor debe identificar la lista de objetos que estn cubiertos por la imposibilidad de observacin
12/6/2014 ISO / IEC 15408-2
187
requisito. Un ejemplo podra ser un servidor de correo o sitio ftp.
En FPR_UNO.1.1, el autor PP / ST debe especificar el conjunto de los usuarios y / o materias protegidas cuya
informacin inobservabilidad ser protegida. Un ejemplo podra ser: "los usuarios acceder al sistema a travs de la
Internet ".
I.4.3 FPR_UNO.2 Asignacin de informacin impactando inobservabilidad
Este componente requiere que el uso de una funcin o recurso no puede ser observada por los usuarios especificados o
sujetos. Adems, este componente se especifica que la informacin relacionada con la privacidad del usuario se distribuye
dentro del TOE de forma que los atacantes podran no saber qu parte de la TOE para apuntar, o necesitar atacar
varias partes del TOE.
Un ejemplo del uso de este componente es el uso de un nodo asignado al azar para proporcionar una funcin. En
tal caso, el componente podra exigir que la privacidad de la informacin se refiere nicamente estar disponible para una
identificado parte del TOE, y no sern comunicados fuera de esta parte del TOE.
Un ejemplo ms complejo se puede encontrar en algunos "algoritmos de votacin". Varias partes de la TOE participarn
en el servicio, pero ninguna parte individual del TOE podr violar la poltica. As, una persona puede emitir un voto
(O no) sin el TOE ser capaz de determinar si un voto ha sido emitido y lo que pas con el voto
ser (a menos que el voto fue unnime).
Pgina 208
ISO / IEC 15408-2:2008 (E)
I.4.3.2 Operaciones
I.4.3.2.1 Asignacin
En FPR_UNO.2.1, t l PP / ST autor debe especificar la lista de usuarios y / o temas contra los que el TSF
En FPR_UNO.2.1, el autor PP / ST debe identificar la lista de operaciones que se somete a la
requisito inobservabilidad. Otros usuarios / sujetos entonces no ser capaz de observar las operaciones en una cubierta
objeto de la lista especificada (por ejemplo, la lectura y la escritura para el objeto).
En FPR_UNO.2.1, th e PP / ST autor debe identificar la lista de objetos que estn cubiertos por la imposibilidad de observacin
requisito. Un ejemplo podra ser un servidor de correo o sitio ftp.
En FPR_UNO.2.1, el autor PP / ST debe especificar el conjunto de los usuarios y / o materias protegidas cuya
informacin inobservabilidad ser protegida. Un ejemplo podra ser: "los usuarios acceder al sistema a travs de la
Internet ".
En FPR_UNO.2.2, th e PP / ST autor debe identificar qu informacin relacionada con la privacidad debe ser distribuido en un
de manera controlada. Ejemplos de esta informacin podran ser: la direccin IP del asunto, la direccin IP del objeto, tiempo,
claves de cifrado utilizadas.
En FPR_UNO.2.2, el autor PP / ST debera especificar las condiciones a las que la difusin de la
informacin debe adherirse. Estas condiciones debern mantenerse a lo largo de la vida til de la privacidad
informacin relacionada de cada instancia. Ejemplos de estas condiciones podran ser: "la informacin slo ser
presente en una sola parte separada de la TOE y no ser comunicada fuera de esta parte del TOE. ",
"La informacin slo deber residir en una sola parte separada de la TOE, pero se traslad a otra parte del
TOE peridicamente "," la informacin se distribuir entre las diferentes partes del TOE tal que
compromiso de las 5 partes separadas del TOE no pondr en peligro la poltica de seguridad ".
I.4.4 FPR_UNO.3 inobservabilidad sin solicitar informacin
Este componente se utiliza para exigir que la TSF no trata de obtener informacin que pudiera comprometer
imposibilidad de observacin cuando se proporcionan servicios especficos. Por tanto, la TSF no solicitar (es decir, tratar de obtener de otra
entidades) cualquier informacin que pudiera ser utilizada para comprometer inobservabilidad.
I.4.4.2 Operaciones
I.4.4.2.1 Asignacin
En FPR_UNO.3.1, th e PP / ST autor debe identificar la lista de servicios que estn sujetos a la imposibilidad de observacin
requisito, por ejemplo, "la que accede de descripciones de puestos".
12/6/2014 ISO / IEC 15408-2
188
En FPR_UNO.3.1, t l PP / ST autor debe identificar la lista de temas que puede facilitar informacin relacionada con la privacidad
deben ser protegidas cuando se prestan los servicios especificados.
En FPR_UNO.3.1, t l PP / ST autor debe especificar la informacin relacionada con la privacidad que ser protegida
las materias especificadas. Los ejemplos incluyen la identidad del sujeto que utiliza un servicio y la cantidad de un
servicio que ha sido utilizado como la utilizacin de recursos de memoria.
Pgina 209
ISO / IEC 15408-2:2008 (E)
I.4.5 FPR_UNO.4 Autorizado usuario observabilidad
Este componente se utiliza para requerir que habr uno o ms usuarios autorizados con los derechos para ver el
la utilizacin de recursos. Sin este componente, se permite esta revisin, pero no obligatoria.
I.4.5.2 Operaciones
I.4.5.2.1 Asignacin
En FPR_UNO.4.1, t l PP / ST autor debe especificar el conjunto de usuarios autorizados para el que el TSF debe proporcionar
la capacidad de observar la utilizacin de los recursos. Un conjunto de usuarios autorizados, por ejemplo, podra ser un grupo de
usuarios que pueden operar bajo el mismo papel o puede utilizar el mismo proceso (s) autorizada.
En FPR_UNO.4.1, t l PP / ST autor debe especificar el conjunto de recursos y / o servicios que la autoricen
usuario debe ser capaz de observar.
12/6/2014 ISO / IEC 15408-2
189
Pgina 210
ISO / IEC 15408-2:2008 (E)
190
Anexo J
(Normativo)
Clase FPT: Proteccin del TSF
Esta clase contiene familias de requisitos funcionales que se relacionan con la integridad y la gestin de la
mecanismos que constituyen el TSF y para la integridad de los datos TSF. En cierto sentido, las familias de esta clase puede
parecen duplicar componentes en el FDP: proteccin de datos de usuario de clase; incluso pueden ser implementados utilizando
los mismos mecanismos. Sin embargo, FDP : proteccin de los datos del usuario fo centra en la proteccin de datos de usuario, mientras FPT:
Proteccin del TSF se centra en la proteccin de los datos TSF. De hecho, los componentes de la FPT: Proteccin de la
TSF clase son necesarios para proporcionar los requisitos que los programas de alimentacin complementaria en el TOE no pueden ser manipulados o
anulada.
Desde el punto de vista de esta clase, con respecto a la TSF hay tres elementos importantes:
a) la aplicacin del TSF, que ejecuta e implementa los mecanismos que hacen cumplir la SFR.
b) Los datos de la TSF, que son las bases de datos administrativas que rigen la aplicacin de la SFR.
c) Las entidades externas que el TSF puede interactuar con el fin de hacer cumplir la SFR.
Todas las familias de la FPT: Proteccin del TSF clase puede estar relacionada con estas reas, y caer en la
siguientes agrupaciones:
a) T proteccin fsica SF (FPT_PHP), WH ich proporciona un usuario autorizado con la capacidad de detectar externa
ataques a las partes del TOE que componen el TSF.
b) T sante de entidades externas (FPT_TEE) y auto prueba TSF (FPT_TST), que proporcionan un usuario autorizado
con la capacidad de verificar el correcto funcionamiento de las entidades externas que interactan con el TSF para hacer cumplir la
SFR y la integridad de los datos de la TSF y la propia TSF.
c) T recuperacin oxidado (FPT_RCV), M ail segura (FPT_FLS) y TSF TOE coherencia de replicacin de datos interna
(FPT_TRC), w hich abordar el comportamiento de la TSF, cuando se produzca el fallo e inmediatamente despus.
d) Av. dimensiones pueden ser de los datos TSF exportados (FPT_ITA), C ONFIDENCIALIDAD de los datos TSF exportados (FPT_ITC), Integridad de
exportados los datos TSF (FPT_ITI), que se ocupan de la proteccin y disponibilidad de los datos entre el TSF TSF
y otro producto de TI de confianza.
e) I nternal TOE TSF transferencia de datos (FPT_ITT), que se ocupa de la proteccin de los datos TSF cuando se transmite
entre partes fsicamente separados del TOE.
f) Deteccin Replay (FPT_RPL), que se ocupa de la reproduccin de diversos tipos de informacin y / o
operaciones.
g) S protocolo sincrona tate (FPT_SSP), que se ocupa de la sincronizacin de los estados, en base a TSF
de datos, entre diferentes partes de un TSF distribuido.
h) T iempo (sellos FPT_STM), qu direcciones ich sincronizacin fiable.
i) Inter-TSF TSF consistencia de los datos (FPT_TDC), que se ocupa de la coherencia de los datos TSF compartidos
entre la TSF y otro producto de TI de confianza.
Pgina 211
ISO / IEC 15408-2:2008 (E)
12/6/2014 ISO / IEC 15408-2
191
Figura J.1 muestra la descomposicin de esta clase en sus componentes constitutivos.
Figura J.1 - FPT: Proteccin de la clase de descomposicin TSF
Pgina 212
ISO / IEC 15408-2:2008 (E)
J.1 falla segura (FPT_FLS)
J.1.1 notas de usuario
Los requisitos de esta familia aseguran que el TOE siempre har cumplir sus SFR en el caso de ciertos tipos
de fallos en la TSF.
Si no J.1.2 FPT_FLS.1 con preservacin de las condiciones de seguridad
J.1.2.1 Notas de la aplicacin de usuario
12/6/2014 ISO / IEC 15408-2
192
El trmino "estado seguro" se refiere a un estado en el que los datos son consistentes y TSF TSF contina correcta
ejecucin de la SFR.
Aunque es deseable para auditar situaciones en las que se produce un fallo con la preservacin del estado seguro, no es
posible en todas las situaciones. El autor PP / ST deber especificar aquellas situaciones en las que se desea la auditora y
factible.
Las fallas en la TSF pueden incluir fallas "duras", que indican un mal funcionamiento del equipo y que tenga la
requiere mantenimiento, servicio o reparacin de la TSF. Las fallas en la TSF tambin pueden incluir recuperable "suave"
fracasos, que slo pueden requerir la inicializacin o reposicin del TSF.
J.1.2.2 Operaciones
J.1.2.2.1 Asignacin
En FPT_FLS.1.1, t l PP / ST autor se deben enumerar los tipos de fallos en la TSF para los que el TSF debe "fallar
asegurar ", es decir, debe conservar un estado seguro y continuar aplicando correctamente el SFR.
J.2 disponibilidad de los datos TSF exportados (FPT_ITA)
Esta familia define las normas para la prevencin de la prdida de la disponibilidad de datos de TSF se mueve entre la TSF y
otro producto de TI de confianza. Estos datos podran ser TSF datos crticos tales como contraseas, claves, datos de auditora, o TSF
cdigo ejecutable.
Esta familia se utiliza en un contexto distribuido donde la TSF est proporcionando datos de TSF a otro producto de TI de confianza.
La TSF slo puede tomar las medidas a su sitio y no puede ser considerado responsable de la TSF en el otro de confianza
Productos de TI.
Si hay diferentes mtricas de disponibilidad para los diferentes tipos de datos de TSF, a continuacin, este componente debe ser reiterado
para cada combinacin nica de las mtricas y tipos de datos de la TSF.
J.2.2 FPT_ITA.1 Inter-TSF disponibilidad dentro de una mtrica definida disponibilidad
J.2.2.1 Operaciones
J.2.2.1.1 Asignacin
En FPT_ITA.1.1, el autor PP / ST debe especificar los tipos de datos de TSF que estn sujetos a la disponibilidad
mtrica.
En FPT_ITA.1.1, PP / ST debe especificar la mtrica de la disponibilidad de los datos TSF aplicables.
En FPT_ITA.1.1, el autor PP / ST debera especificar las condiciones en las que la disponibilidad debe estar garantizada. Para
ejemplo: tiene que haber una conexin entre la punta y el otro producto de TI de confianza.
Pgina 213
ISO / IEC 15408-2:2008 (E)
J.3 Confidencialidad de los datos TSF exportados (FPT_ITC)
Esta familia define las normas para la proteccin contra la divulgacin no autorizada de datos TSF se mueve entre el
TSF y otro producto de TI de confianza. Ejemplos de estos datos son TSF datos crticos tales como contraseas, claves,
datos de auditora, o TSF cdigo ejecutable.
Esta familia se utiliza en un contexto distribuido donde la TSF est proporcionando datos de TSF a otro producto de TI de confianza.
El TSF slo puede tomar las medidas a su sitio y no puede ser considerado responsable de la conducta de la otra
productos de TI de confianza.
Confidencialidad J.3.2 FPT_ITC.1 Inter-TSF durante su transmisin
J.3.2.1 Notas del Evaluador
Confidencialidad de los datos TSF durante su transmisin es necesaria para proteger dicha informacin deba ser revelada.
Algunas de las posibles implementaciones que podran proporcionar confidencialidad incluyen el uso de algoritmos criptogrficos
as como las tcnicas de espectro ensanchado.
J.4 Integridad de los datos TSF exportados (FPT_ITI)
12/6/2014 ISO / IEC 15408-2
193
Esta familia define las normas para la proteccin, la modificacin no autorizada de los datos de la TSF durante
transmisin entre la TSF y otro producto de TI de confianza. Ejemplos de estos datos son los datos crticos TSF
tales como contraseas, claves, datos de auditora, o TSF cdigo ejecutable.
Esta familia se utiliza en un contexto distribuido donde la TSF est intercambiando datos TSF con otra confianza TI
producto. Tenga en cuenta que el requisito de que se ocupa de la modificacin, la deteccin, o la recuperacin en otro de confianza de TI
producto no se puede especificar, como los mecanismos que otro producto de TI de confianza utilizar para proteger sus datos
no puede ser determinado de antemano. Por esta razn, estos requisitos se expresan en trminos de la "TSF
proporcionando una capacidad "que otro producto de TI de confianza puede utilizar.
Deteccin J.4.2 FPT_ITI.1 Inter-TSF de la modificacin
Este componente debe utilizarse en situaciones en las que es suficiente para detectar cuando se han modificado los datos. Un
ejemplo de tal situacin es una en la que otro producto de TI de confianza puede solicitar TSF del dedo del pie se
retransmitir datos cuando la modificacin se ha detectado, o responder a ese tipo de peticin.
La resistencia deseada de la deteccin de la modificacin se basa en una mtrica modificacin especificada que es una funcin
del algoritmo utilizado, que puede variar de una suma de comprobacin de paridad y la debilidad de los mecanismos que pueden fallar en la deteccin
mltiples cambios de bits, a enfoques ms complejos de suma de comprobacin criptogrfica.
J.4.2.2 Operaciones
J.4.2.2.1 Asignacin
En FPT_ITI.1.1, PP / ST debe especificar la mtrica modificacin de que el mecanismo de deteccin debe satisfacer.
Esta mtrica modificacin especificar la fuerza deseada de la deteccin de la modificacin.
En FPT_ITI.1.2, PP / ST debe especificar las acciones a tomar en caso de una modificacin de los datos de la TSF ha sido
detectado. Un ejemplo de una accin es: "ignorar los datos de TSF, y solicitar el producto originario de confianza para enviar
los datos TSF otra vez. "
Pgina 214
ISO / IEC 15408-2:2008 (E)
La deteccin y correccin de la modificacin J.4.3 FPT_ITI.2 Inter-TSF
Este componente debe utilizarse en situaciones en las que es necesario detectar o corregir modificaciones de TSF
datos crticos.
La resistencia deseada de la deteccin de la modificacin se basa en una mtrica modificacin especificada que es una funcin
del algoritmo utilizado, que puede variar de una suma de comprobacin de paridad y los mecanismos que pueden fallar en la deteccin
mltiples cambios de bits, a enfoques ms complejos de suma de comprobacin criptogrfica. La mtrica que necesita estar
definida puede referirse a los ataques que se resisten (por ejemplo, slo 1 de cada 1000 mensajes aleatorios sern aceptadas),
o a los mecanismos que son bien conocidos en la literatura pblica (por ejemplo, la fuerza debe ser conformes a la
resistencia ofrecida por Secure Hash Algorithm).
El enfoque adoptado para la modificacin correcta podra hacerse a travs de alguna forma de correccin de errores de suma de comprobacin.
Algunos medios posibles de satisfacer este requisito implica el uso de funciones criptogrficas o alguna forma
de la suma de comprobacin.
J.4.3.3 Operaciones
J.4.3.3.1 Asignacin
En FPT_ITI.2.1, PP / ST debe especificar la mtrica modificacin de que el mecanismo de deteccin debe satisfacer.
Esta mtrica modificacin especificar la fuerza deseada de la deteccin de la modificacin.
En FPT_ITI.2.2, PP / ST debe especificar las acciones a tomar en caso de una modificacin de los datos de la TSF ha sido
detectado. Un ejemplo de una accin es: "ignorar los datos de TSF, y solicitar el producto originario de confianza para enviar
los datos TSF otra vez. "
En FPT_ITI.2.3 , el autor PP / ST debe definir los tipos de modificacin de la que el TSF debe ser
capaz de recuperar.
12/6/2014 ISO / IEC 15408-2
194
La transferencia de datos TSF TOE J.5 Interna (FPT_ITT)
Esta familia proporciona los requisitos que se ocupan de la proteccin de los datos TSF cuando se transfiere entre separada
partes de un TOE travs de un canal interno.
La determinacin del grado de separacin (es decir, fsico o lgico) que hara que la aplicacin de este
familia utilidad depende del entorno de uso previsto. En un ambiente hostil, puede haber riesgos derivados
de las transferencias entre partes del TOE separados por slo un bus de sistema o de una red de comunicaciones entre procesos
canal. En ambientes ms benignos, las transferencias pueden ser a travs de los medios de comunicacin ms tradicionales de la red.
Notas J.5.2 Evaluador
Un mecanismo prctico a disposicin de una TSF para proporcionar esta proteccin se basa criptogrficamente.
Pgina 215
ISO / IEC 15408-2:2008 (E)
J.5.3 FPT_ITT.1 bsico de proteccin de transferencia de datos TSF interna
J.5.3.1 Operaciones
J.5.3.1.1 Seleccin
En FPT_ITT.1.1, el autor PP / ST debe especificar el tipo de proteccin que se desea proporcionada desde el
opciones: la divulgacin, modificacin.
J.5.4 FPT_ITT.2 TSF separacin de transferencia de datos
Una de las maneras de lograr la separacin de los datos TSF basado en atributos SFP-pertinentes es mediante el uso de
canales lgicos o fsicos separados.
J.5.4.2 Operaciones
J.5.4.2.1 Seleccin
En FPT_ITT.2.1, el autor PP / ST debe especificar el tipo de proteccin que se desea proporcionada desde el
opciones: la divulgacin, modificacin.
J.5.5 FPT_ITT.3 TSF monitoreo de integridad de datos
J.5.5.1 Operaciones
J.5.5.1.1 Seleccin
En FPT_ITT.3.1, el autor PP / ST debe especificar el tipo deseado de la modificacin que la TSF debe ser capaz de
detectar. El autor de PP / ST debe seleccionar de: modificacin de los datos, la sustitucin de datos, la reordenacin de los datos,
cancelacin de sus datos, o cualquier otro error de integridad.
J.5.5.1.2 Asignacin
En FPT_ITT.3.1, si el autor de PP / ST elige la ltima seleccin observ en el prrafo anterior, entonces la
autor tambin debera especificar cules son esos otros errores de integridad son que la TSF debe ser capaz de detectar.
En FPT_ITT.3.2, el autor PP / ST debe especificar la accin que debe realizarse cuando se detecta un error de integridad.
Proteccin fsica TSF J.6 (FPT_PHP)
TSF componentes de proteccin fsica se refieren a las restricciones de acceso fsico no autorizado a la TSF, y para
12/6/2014 ISO / IEC 15408-2
195
la disuasin y la resistencia a, la modificacin fsica no autorizado, o la sustitucin de la TSF.
Los requisitos de esta familia aseguran que el TSF est protegido de la manipulacin fsica y la interferencia.
La satisfaccin de los requerimientos de estos componentes da como resultado la TSF est envasados y utilizadas de tal
de manera que la manipulacin fsica es detectable, o la resistencia a la manipulacin indebida fsica es medible sobre la base de
factores de trabajo definidos. Sin estos componentes, las funciones de proteccin de una TSF pierden su eficacia en
entornos en los que no se puede prevenir el dao fsico. Este componente tambin proporciona los requisitos
con respecto a cmo la TSF debe responder a los intentos de manipulacin fsica.
Ejemplos de escenarios de manipulacin fsica incluyen agresiones mecnicas, la radiacin, el cambio de la temperatura.
Es aceptable que las funciones que estn disponibles para un usuario autorizado para detectar la manipulacin fsica de ser
disponible slo en modo fuera de lnea o de mantenimiento. Los controles deben estar en su lugar de limitar el acceso durante dicho
Pgina 216
ISO / IEC 15408-2:2008 (E)
modos a los usuarios autorizados. A medida que el TSF puede no ser "operativa" en esos modos, puede que no sea capaz de
provisionalmente de la aplicacin normal para el acceso del usuario autorizado. La implementacin fsica de un dedo podra consistir
de varias estructuras: por ejemplo, un blindaje exterior, tarjetas y chips. Este conjunto de "elementos" como toda una necesidad
proteger (proteger a notificar y resistir) la TSF de la manipulacin fsica. Esto no quiere decir que todos los dispositivos deben
proporcionar estas caractersticas, pero el fsico completo a construir en su conjunto debera.
Aunque slo hay auditora mnima asociar con estos componentes, esto es nicamente porque no es el
potencial de que los mecanismos de deteccin y alarma pueden ser implementadas completamente en el hardware, por debajo de la
nivel de interaccin con un subsistema de auditora (por ejemplo, un sistema de deteccin basado en hardware basado en
romper un circuito y encender un diodo emisor de luz (LED) si el circuito se rompe cuando se pulsa un botn por
el usuario autorizado). Sin embargo, un autor de PP / ST podr determinar, para una amenaza anticipada especial
medio ambiente, hay una necesidad de auditar la manipulacin indebida fsica. Si este es el caso, el autor de PP / ST debe incluir
requisitos apropiados en la lista de eventos de auditora. Tenga en cuenta que la inclusin de estos requisitos puede tener
implicaciones en el diseo de hardware y su interfaz con el software.
La deteccin pasiva J.6.2 FPT_PHP.1 de ataque fsico
Deteccin FPT_PHP.1 pasiva de ataque fsico se debe utilizar cuando las amenazas de origen fsico no autorizado
la manipulacin de partes del TOE no se contrarrestan mediante mtodos de procedimiento. Se ocupa de la amenaza de
fsica no detectado la manipulacin de la TSF. Tpicamente, un usuario autorizado se le dara la funcin a
verificar si la manipulacin se llev a cabo. Como est escrito, este componente slo proporciona una capacidad de TSF para detectar
manipulacin. Especificacin de las funciones de gestin de i n Gestin FMT_MOF.1 de funciones de seguridad
comportamiento debe ser considerado para especificar quin puede hacer uso de esa capacidad, y cmo se puede hacer uso
de esa capacidad. Si esto se hace por mecanismos no-TI (por ejemplo, inspeccin fsica) las funciones de gestin son
no se requiere.
J.6.3 FPT_PHP.2 Notificacin de ataque fsico
FPT_PHP.2 Notificacin de ataque fsico se debe utilizar cuando las amenazas de sabotaje fsico no autorizado
con partes del TOE no se ven contrarrestados por los mtodos de procedimiento, y se requiere que las personas designadas
ser notificado de la manipulacin fsica. Se ocupa de la amenaza de que la manipulacin fsica con elementos de la TSF, aunque
detectada, no podr ser notado. Especificacin de las funciones de gestin en el manejo de la seguridad FMT_MOF.1
funciones de comportamiento debe ser considerado para especificar quin puede hacer uso de esa capacidad, y cmo pueden
hacer uso de esa capacidad.
J.6.3.2 Operaciones
J.6.3.2.1 Asignacin
En FPT_PHP.2.3, t l PP / ST autor debe proporcionar una lista de dispositivos / TSF elementos para los que la deteccin activa de
se requiere la manipulacin indebida fsica.
En FPT_PHP.2.3, el autor PP / ST debe designar a un usuario o rol que debe ser notificado cuando la manipulacin se
detectado. El tipo de usuario o funcin puede variar dependiendo del componente de administracin de seguridad en particular
(A partir de la Gestin de las funciones de seguridad FMT_MOF.1 comportamiento fa milia) incluido en el PP / ST.
J.6.4 FPT_PHP.3 Resistencia a la agresin fsica
Para algunas formas de manipulacin, es necesario que el TSF no slo detecta la manipulacin, pero en realidad resiste
o retrasa el atacante.
12/6/2014 ISO / IEC 15408-2
196
Pgina 217
ISO / IEC 15408-2:2008 (E)
197
Este componente se debe utilizar cuando se espera que los dispositivos y elementos de TSF TSF para operar en un
entorno en el que una manipulacin fsica (por ejemplo, la observacin, el anlisis, o modificacin) de la parte interna de una TSF
dispositivo o elemento de TSF en s es una amenaza.
J.6.4.2 Operaciones
J.6.4.2.1 Asignacin
En FPT_PHP.3.1, el autor PP / ST debe especificar la manipulacin escenarios a una lista de dispositivos / TSF elementos para
que la TSF debe resistir la manipulacin fsica. Esta lista se puede aplicar a un subconjunto definido de la TSF
dispositivos fsicos y elementos basados en consideraciones tales como limitaciones de la tecnologa y fsica relativa
la exposicin del dispositivo. Tal subconjuntos debe estar claramente definida y justificada. Por otra parte, la TSF debe
responder automticamente a la manipulacin fsica. La respuesta automtica debe ser tal que la poltica de la
dispositivo se conserva; Por ejemplo, con una poltica de confidencialidad, sera aceptable para desactivar fsicamente el
dispositivo de modo que la informacin protegido no puede ser recuperada.
En FPT_PHP.3.1, el autor PP / ST debe especificar la lista de dispositivos / TSF elementos para los que el TSF deberan
resistir a la manipulacin fsica de los escenarios que se han identificado.
Recuperacin J.7 confianza (FPT_RCV)
Los requisitos de esta familia aseguran que el TSF puede determinar que se inici la TOE-sin
compromiso de proteccin y puede recuperar sin la proteccin de compromiso despus de la discontinuidad de las operaciones. Este
la familia es importante porque el estado de puesta en marcha de la TSF determina la proteccin de los estados siguientes.
Componentes de recuperacin de reconstruir los Estados seguros TSF, o prevenir transiciones a estados inseguros, como consecuencia directa de
respuesta para los casos de fallos esperados, la discontinuidad de funcionamiento o puesta en marcha. Las fallas que deben ser
generalmente anticipado se encuentran los siguientes:
a) las fallas de accin Unmaskable que siempre dan lugar a una cada del sistema (por ejemplo, la inconsistencia persistente crtico
las tablas del sistema, transferencias incontroladas dentro del cdigo de TSF causados por fallos transitorios de hardware o
firmware, apagones, fallos de procesadores, fallos de comunicacin).
b) las fallas de los medios haciendo que parte o todos los medios de comunicacin que representan los objetos TSF a ser inaccesible o
corruptos (por ejemplo, errores de paridad, fallo del sistema principal del disco, fallos de lectura / escritura persistente causada por los jefes de discos desalineados,
revestimiento magntico desgastado, el polvo en la superficie del disco).
c) La discontinuidad de funcionamiento causado por la accin administrativa errnea o falta de oportuna administrativa
accin (por ejemplo, cierres inesperados apagando el poder, ignorando el agotamiento de los recursos crticos,
inadecuada configuracin instalada).
Tenga en cuenta que la recuperacin puede ser de cualquiera de un escenario completo o parcial fracaso. Aunque lo hara un completo fracaso
se producen en un sistema operativo monoltico, es menos probable que ocurra en un entorno distribuido. En tales
ambientes, subsistemas pueden fallar, pero otras porciones seguir funcionando. Adems, los componentes crticos pueden
redundante (duplicacin de discos, rutas alternativas), y los puestos de control pueden estar disponibles. Por lo tanto, la recuperacin es
expresado en trminos de recuperacin a un estado seguro.
Hay diferentes interacciones betwe en la recuperacin de confianza (FPT_RCV ) y autotest TSF (FPT_TST)
componentes que deben considerarse al seleccionar la recuperacin de confianza (FPT_RCV):
a) La necesidad de recuperacin de confianza se puede indicar a travs de los resultados de las pruebas automticas TSF, donde los resultados
de las auto-pruebas indican que el TSF est en un estado de inseguridad y regresar a un estado seguro o de la entrada en
se requiere el modo de mantenimiento.
b) Un fracaso, como se mencion anteriormente, se puede identificar por un administrador. O bien el administrador puede realizar
las acciones para devolver el TOE a un estado seguro y luego invocar TSF auto-pruebas para confirmar que el seguro
estado ha sido alcanzado. O bien, las pruebas automticas de TSF puede ser invocada para completar el proceso de recuperacin.
Pgina 218
ISO / IEC 15408-2:2008 (E)
12/6/2014 ISO / IEC 15408-2
198
c) Una combinacin de un. y b. de arriba, donde la necesidad de recuperacin de confianza se indica a travs de los resultados de
Autodiagnstico TSF, el administrador realiza las acciones para devolver el TOE a un estado seguro y luego
invoca TSF auto-pruebas para confirmar que el estado de seguridad se ha logrado.
d) las pruebas de auto detectar una discontinuidad fracaso / servicio, entonces la recuperacin ya sea automatizado o entrada a un
el modo de mantenimiento.
Esta familia identifica un modo de mantenimiento. En este modo de funcionamiento normal, el mantenimiento puede ser imposible o
severamente restringida, de lo contrario podran producirse situaciones de inseguridad. Por lo general, slo los usuarios autorizados deben ser
permitido el acceso a este modo pero los detalles reales de los que pueden acceder a este modo es una funcin de FMT: de Seguridad
gestin. I f FMT: Gestin de la seguridad no pone ningn tipo de control sobre quin puede acceder a este modo, entonces
puede ser aceptable para permitir a cualquier usuario a restaurar el sistema si el TOE entra en ese estado. Sin embargo, en
prctica, esto probablemente no es deseable, ya que el usuario restaurar el sistema tiene la oportunidad de configurar el
TOE de una manera tal que viole los SFR.
Mecanismos diseados para detectar condiciones excepcionales durante el otoo operacin bajo la auto prueba de TSF (FPT_TST),
Falla segura (FPT_FLS), un nd de otras reas que abordan el concepto de "Seguridad Software." Es probable que el uso
de una de estas familias sern necesarios para apoyar la adopcin o f recuperacin de confianza (FPT_RCV). Esto es para
asegurarse de que el TOE ser capaz de detectar cuando se requiere la recuperacin.
A lo largo de esta familia, se utiliza la expresin "estado seguro". Esto se refiere a un estado en el que el TOE tiene
datos TSF consistentes y una TSF que pueden cumplir correctamente la poltica. Este estado puede ser el "arranque" inicial de un
sistema limpio, o podra ser algn estado checkpoints.
Despus de la recuperacin, puede ser necesario para confirmar que el estado seguro se ha logrado a travs de auto-
prueba de la TSF. Sin embargo, si la recuperacin se lleva a cabo de tal manera que slo un estado seguro puede ser
logrado, de lo contrario la recuperacin falla, entonces la dependencia a th e FPT_TST.1 TSF pruebas TSF componente de auto-test
Puede argumentarse distancia.
J.7.2 FPT_RCV.1 Manual de recuperacin
En la jerarqua de la familia de la recuperacin, la recuperacin de confianza que slo requiere una intervencin manual es el menos
deseable, ya que impide el uso del sistema de una forma desatendida.
Este componente est diseado para utilizarse en dedos que no requieren recuperacin desatendido a un estado seguro. La
requisitos de este componente reduce la amenaza de compromiso de proteccin resultante de una TOE asistido
regresar a un estado de inseguridad despus de la recuperacin de un fallo u otra discontinuidad.
Es aceptable que las funciones que estn disponibles para un usuario autorizado para la recuperacin de confianza que est disponible
solamente en un modo de mantenimiento. Los controles deben estar en su lugar de limitar el acceso durante el mantenimiento al personal autorizado
los usuarios.
J.7.2.3 Operaciones
J.7.2.3.1 Asignacin
En FPT_RCV.1.1, t l PP / ST autor debe especificar la lista de fallas o discontinuidades de servicios (por ejemplo, el poder
fracaso, agotamiento de almacenamiento de auditora, cualquier falla o discontinuidad) tras lo cual el TOE entrar en un mantenimiento
modo.
Pgina 219
ISO / IEC 15408-2:2008 (E)
Recuperacin J.7.3 FPT_RCV.2 Automatizado
Recuperacin automatizada se considera que es ms til que la recuperacin manual, ya que permite a la mquina
operar en modo desatendido.
El componente FPT_RCV.2 Recuperacin automatizada e xtends la cobertura caracterstica del Manual FPT_RCV.1
recuperacin por exigir que no haya al menos un mtodo automatizado de la recuperacin de un fallo o de servicios
12/6/2014 ISO / IEC 15408-2
199
discontinuidad. Aborda la amenaza de comprometer la proteccin resultante de un TOE desatendida de regresar a
un estado de inseguridad despus de la recuperacin de un fallo u otra discontinuidad.
los usuarios.
Para FPT_RCV.2.1, es responsabilidad del desarrollador de la TSF para determinar el conjunto de recuperable
fracasos y discontinuidades de servicios.
Se supone que la robustez de los mecanismos de recuperacin automatizados ser verificada.
J.7.3.3 Operaciones
J.7.3.3.1 Asignacin
fracaso, agotamiento de almacenamiento de auditora) tras lo cual necesitar la TOE para introducir un modo de mantenimiento.
En FPT_RCV.2.2, el autor de PP / ST debe especificar la lista de fallos u otras discontinuidades para el cual
recuperacin automtica debe ser posible.
Recuperacin J.7.4 FPT_RCV.3 automatizada y sin prdida indebida
Recuperacin automatizada se considera que es ms til que la recuperacin manual, pero se corre el riesgo de perder una
nmero considerable de objetos. Cmo prevenir la prdida excesiva de objetos ofrece una utilidad adicional a la recuperacin
esfuerzo.
El componente F recuperacin PT_RCV.3 automatizada y sin prdida indebida e xtends la cobertura de las caractersticas de
Recuperacin FPT_RCV.2 Automatizado por requiriendo que no haya prdida indebida de los datos u objetos TSF bajo la
control de la TSF. En la recuperacin FPT_RCV.2 Automatizado, los mecanismos de recuperacin automatizados podran
recuperar concebible mediante la supresin de todos los objetos y devolver el TSF a un estado seguro conocido. Este tipo de drstica
recuperacin automtica est impedido i n FPT_RCV.3 automatizado de recuperacin sin prdida indebida.
Este componente se refiere a la amenaza de compromiso de proteccin resultante de una TOE desatendida de regresar a
un estado de inseguridad despus de la recuperacin de un fallo u otra discontinuidad con una gran prdida de datos u objetos TSF
bajo el control de la TSF.
los usuarios.
, Se supone que los evaluadores verificarn la solidez de los mecanismos de recuperacin automatizados.
Pgina 220
ISO / IEC 15408-2:2008 (E)
J.7.4.3 Operaciones
J.7.4.3.1 Asignacin
fracaso, agotamiento de almacenamiento de auditora) tras lo cual necesitar la TOE para introducir un modo de mantenimiento.
En FPT_RCV.3.2, el autor de PP / ST debe especificar la lista de fallos u otras discontinuidades para el cual
recuperacin automtica debe ser posible.
En FPT_RCV.3.3, t l PP / ST autor debe proporcionar una cuantificacin de la cantidad de prdida de los datos de la TSF o
objetos que es aceptable.
Recuperacin Funcin J.7.5 FPT_RCV.4
Recuperacin de la funcin requiere que si debe haber algn fallo en la TSF, que ciertas funciones en el TSF
o bien debe terminar con xito o recuperar a un estado seguro.
12/6/2014 ISO / IEC 15408-2
200
J.7.5.2 Operaciones
J.7.5.2.1 Asignacin
En FPT_RCV.4.1, t l PP / ST autor debe especificar una lista de las funciones y situaciones de fallo. En el caso de que
cualquiera de los escenarios de falla identificadas suceda, las funciones que se han especificado debe ya sea completa
xito o recuperar a un estado coherente y seguro.
J.8 Replay deteccin (FPT_RPL)
Esta familia se ocupa de la deteccin de la repeticin de varios tipos de entidades y las acciones posteriores para corregir.
Deteccin J.8.2 FPT_RPL.1 Replay
Las entidades incluidas aqu son, por ejemplo, los mensajes, las solicitudes de servicio, las respuestas de servicio, o sesiones.
J.8.2.2 Operaciones
J.8.2.2.1 Asignacin
En FPT_RPL.1.1, t l PP / ST autor debe proporcionar una lista de las entidades identificadas para que la deteccin de la repeticin
debera ser posible. Ejemplos de este tipo de entidades pueden ser: mensajes, solicitudes de servicio, las respuestas de servicio,
y las sesiones de usuario.
En FPT_RPL.1.2, el autor PP / ST debe especificar la lista de acciones a realizar por el TSF cuando la repeticin es
detectado. El posible conjunto de acciones que se pueden tomar incluyen: haciendo caso omiso de la entidad jugado de nuevo, solicitando
la confirmacin de la entidad de la fuente identificada, y se concluye el sujeto del que re-interpret el
entidad se origin.
Pgina 221
ISO / IEC 15408-2:2008 (E)
Protocolo sincrona J.9 Estado (FPT_SSP)
TOE distribuidos pueden dar lugar a una mayor complejidad de las TOE monolticos a travs de la posibilidad de
diferencias en el estado entre partes del TOE, y por medio de los retrasos en la comunicacin. En la mayora de los casos,
sincronizacin de estado entre las funciones distribuidas implica un protocolo de intercambio, no una simple accin.
Cuando existe malicia en el entorno distribuido de estos protocolos, los protocolos defensivas son ms complejos
requerida.
Protocolo de sincrona Estado (FPT_SSP) es tablece la obligacin para ciertas funciones crticas de la TSF para
utilizar un protocolo de confianza. protocolo de sincrona Estado (FPT_SSP) asegura que dos partes distribuidas de la TOE
(Por ejemplo, los ejrcitos) han sincronizado sus estados despus de una accin relevante para la seguridad.
Algunos estados no pueden sincronizarse, o el costo de transaccin pueden ser demasiado altos para el uso prctico; cifrado
revocacin de clave es un ejemplo, donde conocer el estado despus de que se inicie la accin de revocacin no puede ser nunca
conocido. O bien la accin fue tomada y el reconocimiento no puede ser enviado o el mensaje fue ignorado por
los compaeros de comunicacin hostiles y la revocacin nunca ocurrieron. La indeterminacin es exclusivo de distribucin
Dedos del pie. La indeterminacin y la sincrona estado estn relacionados, y pueden aplicar la misma solucin. Es intil para disear
para los estados indeterminados; el autor PP / ST debe expresar otros requisitos en tales casos (por ejemplo, levantar un
alarma, auditar el evento).
J.9.2 FPT_SSP.1 reconocimiento confianza simple
En este componente, las TSF debe proporcionar un acuse de recibo a otra parte de la TSF cuando se le solicite.
Este reconocimiento debe indicar que una parte de un TOE distribuido recibido con xito un sin modificar
la transmisin de una parte diferente del TOE distribuida.
Reconocimiento mutuo de confianza J.9.3 FPT_SSP.2
12/6/2014 ISO / IEC 15408-2
201
En este componente, adems de la TSF ser capaz de proporcionar un acuse de recibo para la recepcin de un dato
transmisin, la TSF debe cumplir con una peticin de otra parte de la TSF recibir una confirmacin de
el acuse de recibo.
Por ejemplo, el TSF local transmite algunos datos a una parte remota de la TSF. La parte remota de la TSF
reconoce la recepcin satisfactoria de los datos y solicita que el TSF envo de confirmar que se recibe
el acuse de recibo. Este mecanismo proporciona la confianza adicional de que ambas partes de la TSF involucrados en
la transmisin de datos sabe que la transmisin ha finalizado satisfactoriamente.
Sellos J.10 Tiempo (FPT_STM)
Notas J.10.1 usuario
Esta familia se ocupa de los requisitos para una funcin de sello de tiempo de confianza dentro de una TOE.
Es la responsabilidad del autor PP / ST para aclarar el significado de la frase "el sello de tiempo de confianza", y para
indicar donde la responsabilidad recae en la determinacin de la aceptacin de la confianza.
J.10.2 FPT_STM.1 marcas de tiempo fiable
Notas de aplicacin J.10.2.1 usuario
Algunos usos posibles de este componente incluyen proporcionar marcas de tiempo fiables a efectos de auditora, as
como para la expiracin atributo de seguridad.
Pgina 222
ISO / IEC 15408-2:2008 (E)
Consistencia de los datos J.11 Inter-TSF TSF (FPT_TDC)
En un entorno distribuido o compuesto, una TOE puede necesitar para intercambiar datos de TSF (por ejemplo, los SFP-atributos
asociada a los datos, la informacin de auditora, la informacin de identificacin) con otro producto de TI confiable, Esta familia
define los requisitos para el intercambio y la interpretacin uniforme de estos atributos entre la TSF del
TOE y la de un grande IT producto diferente.
Los componentes de esta familia tienen por objeto proporcionar los requisitos para el soporte automatizado de datos TSF
consistencia cuando tales datos se transmiten entre la TSF del TOE y otro producto TI de confianza. Es
Tambin es posible que los medios de procedimiento total se podran utilizar para producir la consistencia atributo de seguridad, pero
No se proporcionan para aqu.
Esta familia es diferente de FDP_ETC y FDP_ITC, ya que estas dos familias se preocupan slo de resolver
los atributos de seguridad entre la TSF y su medio de importacin / exportacin.
Si la integridad de los datos TSF es motivo de preocupacin, requisitos deben ser elegidos de la que ntegridad de exportado
Datos de TSF (FPT_ITI) f amilia. Estos componentes especifican los requisitos para la TSF para ser capaz de detectar o detectar
y las modificaciones correctas a los datos de TSF en trnsito.
J.11.2 FPT_TDC.1 Inter-TSF TSF consistencia de los datos bsicos
La TSF es responsable de mantener la coherencia de los datos TSF utilizado por o asociado con la especificada
funcin y que son comunes entre dos o ms sistemas de confianza. Por ejemplo, los datos de TSF de dos
diferentes sistemas pueden tener diferentes convenios internamente. Para los datos de TSF para ser utilizados adecuadamente (por ejemplo, para
permitirse los datos de usuario de la misma proteccin en el TOE) por el producto de TI de confianza que recibe, el TOE y
el otro producto de TI confiable debe utilizar un protocolo preestablecido para intercambiar datos de TSF.
Operaciones J.11.2.2
Asignacin J.11.2.2.1
En FPT_TDC.1.1, t l PP / ST autor debe definir la lista de tipos de datos de TSF, para los que el TSF debe proporcionar
la capacidad de interpretar constantemente, cuando se comparte entre la TSF y otro producto de TI de confianza.
En FPT_TDC.1.2, t l PP / ST debe asignar la lista de reglas de interpretacin para ser aplicada por el TSF.
Pruebas J.12 de entidades externas (FPT_TEE)
12/6/2014 ISO / IEC 15408-2
202
Esta familia define los requisitos para la verificacin de una o varias entidades externas por el TSF. Estos externa
entidades no son usuarios humanos, y pueden incluir combinaciones de software y / o hardware interactuar con
TOE.
Los ejemplos de los tipos de pruebas que pueden realizarse son:
a) examina la presencia de un firewall, y, posiblemente, si est configurado correctamente;
b) pruebas de algunas de las propiedades del sistema operativo que un dedo del pie aplicacin se ejecuta en;
c) las pruebas de algunas de las propiedades de la IC que un inteligente TOE OS tarjeta se ejecuta en (por ejemplo, el nmero aleatorio
generador).
Pgina 223
ISO / IEC 15408-2:2008 (E)
Tenga en cuenta que la entidad externa puede "mentir" acerca de los resultados de la prueba, ya sea a propsito o porque no est funcionando
correctamente.
Estas pruebas pueden ser llevadas a cabo en algn estado de mantenimiento, en el arranque, en lnea, o de manera continua. La
acciones a ser tomadas por el TOE como el resultado de la prueba se definen tambin en esta familia.
Notas J.12.2 Evaluador
Las pruebas de las entidades externas deben ser suficientes para probar todas las caractersticas de las mismas sobre la cual la TSF
confa.
J.12.3 Testing FPT_TEE.1 de entidades externas
Este componente no est destinado a ser aplicado a los usuarios humanos.
Este componente proporciona soporte para el control peridico de las propiedades relacionadas con entidades externas sobre las cuales
la operacin de la TSF depende, al requerir la capacidad de invocar peridicamente funciones de prueba.
El autor PP / ST puede refinar la obligacin de declarar si la funcin debe estar disponible en off-line, on-
line o en modo de mantenimiento.
Notas J.12.3.2 Evaluador
Es aceptable para las funciones para las pruebas peridicas que estarn disponibles slo en el modo fuera de lnea o de mantenimiento.
Los controles deben estar en su lugar para limitar el acceso, durante el mantenimiento, para los usuarios autorizados.
Seleccin J.12.3.3.1
En FPT_TEE.1.1, t l PP / ST autor debe especificar cuando el TSF se ejecutar la comprobacin de las entidades externas, durante
primera puesta en marcha, peridicamente durante el funcionamiento normal, a solicitud de un usuario autorizado, o en virtud de otro
condiciones. Si se ejecutan las pruebas a menudo, entonces los usuarios finales deben tener ms confianza en que el TOE es
funcionando correctamente, que si se ejecutan con menos frecuencia las pruebas. Sin embargo, esta necesidad de confianza en que el TOE es
funcionando correctamente debe equilibrarse con el posible impacto en la disponibilidad de la TOE, como muchas veces,
las pruebas de las entidades externas puede retrasar el funcionamiento normal de un dedo.
En FPT_TEE.1.1, t l PP / ST autor debe especificar las propiedades de las entidades externas a ser controladas por la
pruebas. Ejemplos de estas propiedades pueden incluir las propiedades de configuracin o la disponibilidad de un servidor de directorio
el apoyo a una parte de control de acceso de la TSF.
En FPT_TEE.1.1, el autor PP / ST debe, si se seleccionan otras condiciones, especificar la frecuencia con la que
se llevar a cabo la prueba de entidades externas. Un ejemplo de esta otra frecuencia o condicin puede ser para ejecutar el
pone a prueba cada vez que un usuario solicita iniciar una sesin con el TOE. Por ejemplo, este podra ser el caso de los
prueba de un servidor de directorio antes de su interaccin con el TSF durante el proceso de autenticacin de usuario.
En FPT_TEE.1.2, el autor PP / ST debera especificar cules son la accin (s) que la TSF debe realizar cuando el
prueba falla. Ejemplos de estos accin (s), ilustrado por una instancia de servidor de directorio, pueden incluir para conectarse a
una disposicin alternativa del servidor o de otra manera para buscar un servidor de copia de seguridad.
12/6/2014 ISO / IEC 15408-2
203
Pgina 224
ISO / IEC 15408-2:2008 (E)
204
TSF TOE J.13 interna coherencia de replicacin de datos (FPT_TRC)
Se necesitan los requisitos de esta familia para garantizar la coherencia de los datos TSF cuando tales datos son
replicado interna a la TOE. Tales datos pueden ser incompatibles si un canal interno entre las partes de la
TOE deja de funcionar. Si el TOE se estructura internamente como una red de partes del TOE, esto puede ocurrir
cuando las piezas se convierten en discapacitados, las conexiones de red estn rotos, y as sucesivamente.
El mtodo de garantizar la coherencia no se especifica en este componente. Esto podra lograrse a travs de una forma de
el registro de transacciones (donde las transacciones correspondientes se "deshacen" a un sitio despus de la reconexin); podra ser
la actualizacin de los datos replicados a travs de un protocolo de sincronizacin. Si un protocolo particular, es necesario que un
PP / ST, se puede especificar a travs de refinamiento.
Puede ser imposible sincronizar algunos estados, o el costo de dicha sincronizacin puede ser demasiado alto.
Ejemplos de esta situacin son el canal de comunicacin y la revocacin de claves de cifrado. Estados indeterminados
Tambin pueden ocurrir, si se desea un comportamiento especfico, es conveniente precisar a travs de refinamiento.
J.13.2 FPT_TRC.1 TSF interna consistencia
En FPT_TRC.1.2, t l PP / ST autor debe especificar la lista de funciones depende de la replicacin de datos TSF
consistencia.
Autotest J.14 TSF (FPT_TST)
La familia define los requisitos para el autodiagnstico de la TSF respecto de algunos correcta esperada
operacin. Ejemplos son interfaces para las funciones de aplicacin, y las operaciones aritmticas de ejemplo en crtico
partes del TOE. Estas pruebas se pueden realizar en la puesta en marcha, peridicamente, a solicitud de un usuario autorizado,
o cuando se cumplen otras condiciones. Las acciones a ser tomadas por el TOE como el resultado de las pruebas de auto se definen
en otras familias.
Tambin son necesarios los requisitos de esta familia para detectar la corrupcin de los datos TSF TSF y s (es decir, TSF
cdigo ejecutable o TSF componente de hardware) por diversas fallas que no se detienen necesariamente del TOE
operacin (que sera manejado por otras familias). Estos controles deben ser realizados debido a que estos
fallas pueden no necesariamente ser prevenidos. Tales fallas pueden ocurrir ya sea debido a un fallo imprevisto
modos o descuidos asociados en el diseo de hardware, firmware o software, o por la maliciosa
corrupcin de la TSF debido a la proteccin lgica y / o fsica inadecuada.
Adems, el uso de este componente puede, con las condiciones apropiadas, ayudar a prevenir inapropiado o perjudicial
Cambios TSF se aplican a una TOE operacional como resultado de las actividades de mantenimiento.
El trmino "correcto funcionamiento de la TSF" se refiere principalmente a la operacin de la TSF y la integridad de la
Datos de la TSF.
Pruebas J.14.2 FPT_TST.1 TSF
Este componente proporciona soporte para la comprobacin de las funciones crticas de la operacin de la TSF, al exigir la
capacidad de invocar funciones de prueba y comprobar la integridad de los datos de la TSF y el cdigo ejecutable.
Pgina 225
12/6/2014 ISO / IEC 15408-2
ISO / IEC 15408-2:2008 (E)
205
Notas J.14.2.2 Evaluador
Es aceptable que las funciones que estn disponibles para el usuario autorizado para realizar pruebas peridicas para estar disponible
slo en un modo fuera de lnea o de mantenimiento. Los controles deben estar en su lugar de limitar el acceso durante estos modos de
usuarios autorizados.
Seleccin J.14.2.3.1
En FPT_TST.1.1, t l PP / ST autor debe especificar cuando el TSF ejecutar la prueba TSF; durante la puesta en marcha inicial
marcha, peridicamente durante el funcionamiento normal, a solicitud de un usuario autorizado, en otras condiciones. En el caso
de esta ltima opcin, el autor PP / ST tambin debe asignar cules son esas condiciones a travs de las siguientes
asignacin.
En FPT_TST.1.1, el autor PP / ST debe especificar si las pruebas de auto se llevarn a cabo para demostrar
el correcto funcionamiento de todo el TSF, o de slo determinadas partes de TSF.
En FPT_TST.1.1, t l PP / ST autor debe, si se selecciona, especifique las condiciones en que el auto-test debe
llevar a cabo.
En FPT_TST.1.1, t l PP / ST autor debe, si se selecciona, especifique la lista de partes de la TSF que estar sujeta a
Autodiagnstico TSF.
Seleccin J.14.2.3.3
En FPT_TST.1.2, t l PP / ST autor debe especificar si la integridad de datos se vaya a verificar todos los datos de TSF, o
slo para los datos seleccionados.
En FPT_TST.1.2, t l PP / ST autor debe, si se selecciona, especifique la lista de datos TSF que ser verificada por
integridad.
Seleccin J.14.2.3.5
En FPT_TST.1.3, t l PP / ST autor debe especificar si la integridad TSF debe ser verificado para todos TSF, o slo para
TSF seleccionado.
En FPT_TST.1.3, t l PP / ST autor debe, si se selecciona, especifique la lista de TSF que ser verificada por la integridad.
Pgina 226
ISO / IEC 15408-2:2008 (E)
Anexo K
(Normativo)
FRU Clase: Utilizacin de recursos
12/6/2014 ISO / IEC 15408-2
206
Esta clase proporciona tres familias que apoyan a la disponibilidad de los recursos necesarios, tales como el procesamiento de
capacidad y / o capacidad de almacenamiento. La tolerancia a fallos de la familia proporciona proteccin contra la falta de disponibilidad de
capacidades causados por el fallo de la TOE. La prioridad de la familia de servicio asegura que los recursos sern
asignado a las tareas ms importantes o crticos en el tiempo, y no puede ser monopolizado por tareas de menor prioridad. La
de asignacin de recursos de la familia proporciona lmites sobre el uso de los recursos disponibles, por lo tanto, evitar que los usuarios
monopolizar los recursos.
Figura K.1 muestra la descomposicin de esta clase en sus componentes constitutivos.
Figura K.1 - FRU: Recurso clase de utilizacin de descomposicin
Tolerancia K.1 Fallo (FRU_FLT)
K.1.1 notas de usuario
Esta familia proporciona los requisitos para la disponibilidad de capacidades, incluso en el caso de fallas. Ejemplos de
tales fallas son apagn, fallo de hardware o un error de software. En el caso de estos errores, si as se especifica, el
TOE mantendr las capacidades especificados. El autor de PP / ST poda especificar, por ejemplo, que un TOE utilizado en
una planta nuclear continuar con el funcionamiento del procedimiento de apagado en caso de fallas del suministro elctrico o
la comunicacin de fallos.
Debido a que el TOE slo puede continuar su funcionamiento correcto si se cumplen los SFR, hay un requisito de que
el sistema debe permanecer en un estado seguro despus de un fracaso. Esta capacidad se proporciona b y FPT_FLS.1 Falla con
preservacin de las condiciones de seguridad.
Los mecanismos para proporcionar tolerancia a fallos podran ser activa o pasiva. En caso de un mecanismo activo,
funciones especficas estn en el lugar que se activan en caso de que se produzca el error. Por ejemplo, una alarma de incendio es un activo
mecanismo: la TSF detectar el fuego y puede tomar medidas como el cambio de la operacin a una copia de seguridad. En una
esquema de pasivo, la arquitectura del TOE es capaz de manejar el error. Por ejemplo, el uso de un
esquema de votacin por mayora con mltiples procesadores es una solucin pasiva; fracaso de un procesador no interrumpir
la operacin del TOE (aunque necesita para ser detectado para permitir la correccin).
Para esta familia, no importa si el hecho se ha iniciado accidentalmente (como las inundaciones o
desconectar el dispositivo equivocado) o intencionalmente (como acaparamiento).
Pgina 227
ISO / IEC 15408-2:2008 (E)
Tolerancia a fallos K.1.2 FRU_FLT.1 degradado
Notas de aplicacin K.1.2.1 usuario
Este componente tiene por objeto especificar las capacidades de la TOE aun proporcionar despus de un fallo del sistema.
Puesto que sera difcil de describir todas las fallas especficas, categoras de fallas pueden ser especificados. Ejemplos de
fallas generales son la inundacin de la sala de ordenadores, interrupcin de energa a corto plazo, la ruptura de una CPU o
anfitrin, falla de software, o de desbordamiento de bfer.
Operaciones K.1.2.2
K.1.2.2.1 Asignacin
En FRU_FLT.1.1, t l PP / SAN autor debe especificar la lista de capacidades TOE TOE mantendr durante y
despus de un fallo determinado.
En FRU_FLT.1.1, t l PP / ST autor debe especificar la lista de tipo de fallos contra los que el TOE debe ser
explcitamente protegido. Si se produce un fallo en esta lista, el TOE ser capaz de continuar con su operacin.
12/6/2014 ISO / IEC 15408-2
207
Tolerancia a fallos K.1.3 FRU_FLT.2 Limited
Este componente est destinado a precisar contra qu tipo de fallas del TOE debe ser resistente. Desde que lo hara
ser difcil de describir todas las fallas especficas, categoras de fallas pueden ser especificados. Ejemplos de en general
fracasos son la inundacin de la sala de ordenadores, interrupcin de energa a corto plazo, la ruptura de una CPU o anfitrin,
falla de software, o de desbordamiento de bfer.
Operaciones K.1.3.2
K.1.3.2.1 Asignacin
En FRU_FLT.2.1, t l PP / ST autor debe especificar la lista de tipo de fallos contra los que el TOE debe ser
explcitamente protegido. Si se produce un fallo en esta lista, el TOE ser capaz de continuar con su operacin.
Prioridad K.2 del servicio (FRU_PRS)
los usuarios y los sujetos de tal manera que las actividades de alta prioridad en el marco del control de la TSF siempre se lograrn
sin interferencia o retraso debido a las actividades de baja prioridad. En otras palabras, las tareas de tiempo crtico no se retrasar
por tareas que tiempo es menos crtico.
Esta familia podra ser aplicable a varios tipos de recursos, por ejemplo, capacidad de procesamiento, y
la capacidad del canal de comunicacin.
La prioridad del mecanismo de servicio puede ser pasiva o activa. En una prioridad pasiva del sistema de servicio, la
sistema seleccionar la tarea con mayor prioridad cuando se les da a elegir entre dos aplicaciones de espera.
Durante el uso de Prioridad pasiva de los mecanismos de servicio, cuando una tarea de baja prioridad se est ejecutando, no puede ser
interrumpida por una tarea de alta prioridad. Mientras se utiliza una prioridad activa de mecanismos de servicio, las tareas de menor prioridad
podra ser interrumpido por las nuevas tareas de alta prioridad.
El requisito de auditora establece que todos los motivos de rechazo deben ser auditados. Se deja a los desarrolladores para discutir
que una operacin no se rechaza, pero retras.
Pgina 228
ISO / IEC 15408-2:2008 (E)
Prioridad K.2.2 FRU_PRS.1 limitada de servicio
Este componente define prioridades para un sujeto, y los recursos para los cuales se utilizar esta prioridad. Si un
intentos sujetas a tomar accin en un recurso controlado por la prioridad de las necesidades de servicios, el acceso
y / o el tiempo de acceso ser dependiente de la prioridad del objeto, la prioridad del objeto actualmente actuando,
y la prioridad de los sujetos todava en la cola.
Operaciones K.2.2.2
K.2.2.2.1 Asignacin
En FRU_PRS.1.2, t l PP / ST autor debe especificar la lista de los recursos controlados por el cual las hace cumplir TSF
prioridad del servicio (por ejemplo, recursos tales como procesos, el espacio en disco, memoria, bandwidth).
FRU_PRS.2 K.2.3 prioridad completa de servicio
Este componente define prioridades para un sujeto. Todos los recursos que se pueden compartir en el marco del control de la TSF sern
sometido al Orden de Prelacin de mecanismo de servicio. Si un sujeto intenta tomar una decisin sobre una TSF compartible
de recursos, el acceso y / o el tiempo de acceso dependern de la prioridad del tema, la prioridad de la
Actualmente actuando tema, y la prioridad de los temas todava en la cola.
La asignacin de recursos K.3 (FRU_RSA)
12/6/2014 ISO / IEC 15408-2
208
los usuarios y los sujetos de tal manera que la negacin no autorizado del servicio no se llevar a cabo por medio de la monopolizacin de
recursos por parte de otros usuarios o sujetos.
Las reglas de asignacin de recursos permiten la creacin de cuotas u otros medios para definir lmites en la cantidad de
espacio de recursos o el tiempo que puede ser asignada en nombre de un usuario o temas especficos. Estas reglas pueden ser, por
ejemplo:
La apertura de contingentes de objetos que limitan el nmero y / o tamao de los objetos a un usuario especfico puede asignar.
Controlar la asignacin / desasignacin de unidades de recursos preasignados donde estas unidades se encuentran bajo el control de
del TSF.
En general, estas funciones se llevarn a cabo mediante el uso de atributos asignados a los usuarios y los recursos.
El objetivo de estos componentes es para asegurar una cierta cantidad de equidad entre los usuarios (por ejemplo, un solo
usuario no debe recaer, en todo el espacio disponible) y los sujetos. Dado que la asignacin de recursos a menudo va ms all de
la esperanza de vida de un sujeto (es decir, archivos menudo existen ms de las aplicaciones que los generaron), y mltiples
instancias de los sujetos por el mismo usuario no deben afectar negativamente a otros usuarios demasiado, los componentes
permiten que los lmites de asignacin estn relacionados con los usuarios. En algunas situaciones los recursos se asignan por un
sujeto (por ejemplo, la memoria principal o ciclos de CPU). En aquellos casos en los componentes permiten que el recurso
asignacin de estar en el nivel de los sujetos.
Esta familia impone requisitos sobre la asignacin de recursos, y no en el uso del recurso mismo. La auditora
requisitos, por lo tanto, como se dijo, se aplican tambin a la asignacin de los recursos, no a la utilizacin del recurso.
Pgina 229
ISO / IEC 15408-2:2008 (E)
Cuotas K.3.2 FRU_RSA.1 Mximo
Este componente proporciona requisitos para los mecanismos de cuotas que se aplican slo a un grupo especfico de la
los recursos que se pueden compartir en la puntera. Los requisitos permiten que las cuotas a estar asociados con un usuario, posiblemente
asignado a grupos de usuarios o sujetos como aplicables a la TOE.
Operaciones K.3.2.2
K.3.2.2.1 Asignacin
En FRU_RSA.1.1, el autor PP / ST debe especificar la lista de los recursos controlados por las que el mximo
se requieren lmites de asignacin de recursos (por ejemplo, procesos, espacio en disco, memoria, ancho de banda). Si todos los recursos bajo
necesita el control de la TSF que se incluirn las palabras "todos los recursos TSF" se pueden especificar.
K.3.2.2.2 Seleccin
En FRU_RSA.1.1, t l PP / ST autor debe seleccionar si los cupos mximos se aplican a los usuarios individuales, a un
grupo definido de usuarios o sujetos o cualquier combinacin de stos.
En FRU_RSA.1.1, el autor PP / ST debe seleccionar si las cuotas mximas son aplicables a cualquier dado
tiempo (simultneamente), o durante un intervalo de tiempo especfico.
K.3.3 FRU_RSA.2 mnimos y cuotas mximas
Este componente proporciona requisitos para los mecanismos de cuotas que se aplican a un conjunto determinado de la compartible
recursos en el TOE. Los requisitos permiten que las cuotas a estar asociados con un usuario, o posiblemente asignados a
grupos de usuarios como aplicables a la TOE.
Operaciones K.3.3.2
K.3.3.2.1 Asignacin
En FRU_RSA.2.1, el autor PP / ST debe especificar los recursos controlados por las que el mximo y el mnimo
se requieren lmites de asignacin de recursos (por ejemplo, procesos, espacio en disco, memoria, ancho de banda). Si todos los recursos bajo
necesita el control de la TSF que se incluirn las palabras "todos los recursos TSF" se pueden especificar.
K.3.3.2.2 Seleccin
12/6/2014 ISO / IEC 15408-2
209
En FRU_RSA.2.1, t l PP / ST autor debe seleccionar si los cupos mximos se aplican a los usuarios individuales, a un
En FRU_RSA.2.1, el autor PP / ST debera seleccionar si las cuotas mximas son aplicables a cualquier dado
K.3.3.2.3 Asignacin
En FRU_RSA.2.2, t l PP / ST autor debe especificar los recursos controlados por el cual una asignacin mnima
lmite debe establecerse (por ejemplo, los procesos, el espacio en disco, memoria, ancho de banda). Si todos los recursos bajo el control de la
TSF deben incluirse las palabras "todos los recursos TSF" se pueden especificar.
Pgina 230
ISO / IEC 15408-2:2008 (E)
K.3.3.2.4 Seleccin
En FRU_RSA.2.2, t l PP / ST autor debe seleccionar si las cuotas mnimas se aplican a los usuarios individuales, para un
En FRU_RSA.2.2, el autor PP / ST debe seleccionar si las cuotas mnimas son aplicables a cualquier dado
12/6/2014 ISO / IEC 15408-2
210
Pgina 231
ISO / IEC 15408-2:2008 (E)
211
Anexo L
(Normativo)
Clase FTA: acceso TOE
El establecimiento de la sesin de un usuario normalmente consiste en la creacin de uno o varios sujetos que realizan
operaciones en el TOE en nombre del usuario. Al final del procedimiento de establecimiento de la sesin, siempre que el
Requisitos de acceso TOE estn satisfechos, los temas creados tienen los atributos que determine el
funciones de identificacin y autenticacin. Esta familia se especifican los requisitos funcionales para el control de la
establecimiento de la sesin de un usuario.
Una sesin de usuario se define como el perodo que comienza en el momento de la identificacin / autenticacin, o si ms
apropiado, el inicio de una interaccin entre el usuario y el sistema, hasta el momento en que todos los sujetos
(Recursos y atributos) relacionados con ese perodo de sesiones se han cancelado la asignacin.
Figura B.1 muestra la descomposicin de esta clase en sus componentes constitutivos.
Figura B.1 - FTA: clase de acceso TOE descomposicin
Limitacin L.1 el alcance de atributos seleccionables (FTA_LSA)
L.1.1 notas de usuario
Esta familia define requisitos que limiten la seguridad de sesin atribuye un usuario puede seleccionar, y el
sujetos a los que un usuario puede estar unido, basado en: el mtodo de acceso; la ubicacin o puerto de acceso; y / o
el tiempo (por ejemplo, tiempo-de-da, da de la semana).
Esta familia proporciona la capacidad de un autor de PP / ST para especificar requisitos para la TSF para colocar lmites a
el dominio de los atributos de seguridad de un usuario autorizado basa en una condicin ambiental. Por ejemplo, una
usuario puede ser autorizado a establecer una "sesin secreta" durante el horario normal, pero fuera de esas horas, la
12/6/2014 ISO / IEC 15408-2
Pgina 232
ISO / IEC 15408-2:2008 (E)
212
mismo usuario puede estar restringido a slo el establecimiento de "sesiones no clasificados". La identificacin de relevantes
limitaciones en el dominio de atributos seleccionables se pueden lograr mediante el uso de la operacin de seleccin.
Estas restricciones se pueden aplicar de forma atributo por atributo. Cuando existe la necesidad de especificar
restricciones en varios atributos de este componente debern ser replicado para cada atributo. Ejemplos de
atributos que podran ser utilizados para limitar los atributos de seguridad de sesin son:
a) El mtodo de acceso se puede utilizar para especificar en qu tipo de entorno de usuario estar operando (por ejemplo,
protocolo de transferencia de archivos, terminal, VTAM).
b) La ubicacin de acceso se puede utilizar para limitar el dominio de atributos seleccionables de un usuario basado en una
ubicacin del usuario o puerto de acceso. Esta capacidad es de uso particular en entornos en los que el dial-up
instalaciones o instalaciones de la red estn disponibles.
c) El tiempo de acceso se puede utilizar para limitar el dominio de los atributos seleccionables de un usuario. Por ejemplo,
intervalos pueden basarse en, o las fechas del calendario de hora del da da de la semana. Esta limitacin proporciona algunos
proteccin operacional contra las acciones del usuario que podran ocurrir en un momento en que un control adecuado o cuando
medidas procesales adecuadas pueden no estar en su lugar.
L.1.2 FTA_LSA.1 Limitacin en el alcance de atributos seleccionables
L.1.2.1 Operaciones
L.1.2.1.1 Asignacin
En FTA_LSA.1.1, el autor PP / ST debe especificar el conjunto de atributos de seguridad de sesin que van a ser
limitado. Ejemplos de estos atributos de seguridad de sesin son nivel de autorizacin del usuario, nivel de integridad y roles.
En FTA_LSA.1.1, el autor PP / ST debe especificar el conjunto de atributos que se pueden utilizar para determinar el alcance
de los atributos de seguridad de sesin. Ejemplos de tales atributos son la identidad del usuario, la ubicacin de origen, el tiempo de
el acceso, y el mtodo de acceso.
Limitacin L.2 en varias sesiones simultneas (FTA_MCS)
Esta familia define cuntas sesiones un usuario puede tener al mismo tiempo (sesiones concurrentes). Este nmero
de sesiones simultneas puede ser bien sea para un grupo de usuarios o para cada usuario individual.
L.2.2 FTA_MCS.1 bsico limitacin en varias sesiones simultneas
L.2.2.1 Notas de la aplicacin de usuario
Este componente permite que el sistema para limitar el nmero de sesiones con el fin de utilizar eficazmente los recursos de
TOE.
L.2.2.2 Operaciones
L.2.2.2.1 Asignacin
En FTA_MCS.1.2, el autor PP / ST debera especificar el nmero predeterminado de sesiones simultneas mximas para ser
utilizado.
L.2.3 FTA_MCS.2 Por usuario atributo limitacin en varias sesiones simultneas
Este componente proporciona capacidades adicionales sobre los de FTA_MCS.1 limitacin bsica sobre mltiples
sesiones simultneas, permitiendo nuevas limitaciones para ser colocado en el nmero de sesiones simultneas que
Pgina 233
ISO / IEC 15408-2:2008 (E)
los usuarios son capaces de invocar. Estas limitaciones son, en trminos de los atributos de seguridad de un usuario, como por ejemplo un usuario de
identidad o pertenencia a un determinado rol.
L.2.3.2 Operaciones
12/6/2014 ISO / IEC 15408-2
213
L.2.3.2.1 Asignacin
En FTA_MCS.2.1, el autor PP / ST debe especificar las reglas que determinan el nmero mximo de
sesiones simultneas. Un ejemplo de una regla es el "nmero mximo de sesiones simultneas es uno si el usuario tiene
un nivel de clasificacin de "secreto" y cinco de otra manera ".
En FTA_MCS.2.2, el autor PP / ST debe especificar el nmero predeterminado de sesiones simultneas mximas para ser
utilizado.
L.3 bloqueo y finalizacin de sesin (FTA_SSL)
Esta familia define requisitos para la TSF para proporcionar la capacidad de TSF-iniciado y promovido por el usuario
bloqueo, desbloqueo, y la terminacin de las sesiones interactivas.
Cuando un usuario est interactuando directamente con los sujetos en el TOE (sesin interactiva), el terminal del usuario es
vulnerables si no se corrige. Esta familia proporciona los requisitos para la TSF para desactivar (bloquear) el terminal o
terminar la sesin despus de un perodo de inactividad, y para el usuario para iniciar la desactivacin (bloqueo) de
terminal o terminar la sesin. Para reactivar la terminal, un evento especificada por el autor PP / ST, tales
como el usuario debe ocurrir re-autenticacin.
Un usuario es considerado inactivo, si l / ella no ha proporcionado ningn estmulo a la TOE durante un perodo determinado de
tiempo.
Un autor de PP / ST debe considerar si FTP _TRP.1 sho camino Trusted uld ser incluido. En ese caso, la
funcin de "sesin de bloqueo" debe ser incluido en la operacin i n FTP_TRP.1 Trusted camino.
Cierre la sesin iniciada por el TSF L.3.2 FTA_SSL.1
Cierre la sesin iniciada por el TSF FTA_SSL.1, proporciona la capacidad de la TSF para bloquear una sesin de usuario activa
despus de un perodo de tiempo especificado. El bloqueo de un terminal de prevendra otras interacciones con una activa existente
sesin a travs de la utilizacin de la terminal de bloqueado.
Si se sobrescriben los dispositivos de visualizacin, los contenidos de reemplazo no deben ser estticas (es decir, "protectores de pantalla" son
permitida).
Este componente permite al autor PP / ST para especificar qu eventos va a desbloquear la sesin. Estos eventos pueden ser
relacionado con el terminal (por ejemplo, conjunto fijo de pulsaciones de teclas para desbloquear la sesin), el usuario (por ejemplo, nueva autenticacin), o
tiempo.
L.3.2.2 Operaciones
L.3.2.2.1 Asignacin
En FTA_SSL.1.1, t l PP / ST autor debe especificar el intervalo de inactividad del usuario que activar el bloqueo de
una sesin interactiva. Si as lo desea el autor PP / ST podra, a travs de la asignacin, especifique que el tiempo
intervalo se deja a la administrador autorizado o el usuario. Las funciones de gestin de la clase FMT puede
especificar la capacidad de modificar este intervalo de tiempo, por lo que es el valor predeterminado.
En FTA_SSL.1.2, el autor PP / ST debe especificar el evento (s) que debe ocurrir antes de que la sesin es
desbloqueado. Ejemplos de tal evento son: "usuario re-autenticacin" o "usuario introduce desbloquear key-sequence".
Pgina 234
ISO / IEC 15408-2:2008 (E)
L.3.3 FTA_SSL.2 bloqueo iniciado por el usuario
FTA_SSL.2 bloqueo iniciado por el usuario, proporciona la capacidad de un usuario autorizado para bloquear y desbloquear su / su
propia sesin interactiva. Esto proporcionara a los usuarios autorizados la capacidad de bloquear de manera efectiva el uso adicional de
sus sesiones activas sin tener que interrumpir la sesin activa.
Si se sobrescriben los dispositivos, los contenidos de reemplazo no deben ser estticas (es decir, "protectores de pantalla" estn permitidos).
L.3.3.2 Operaciones
L.3.3.2.1 Asignacin
En FTA_SSL.2.2, el autor PP / ST debe especificar el evento (s) que debe ocurrir antes de que la sesin es
desbloqueado. Ejemplos de tal evento son: "usuario re-autenticacin", o "usuario introduce desbloquear key-sequence".
12/6/2014 ISO / IEC 15408-2
214
Terminacin iniciada por TSF L.3.4 FTA_SSL.3
Terminacin iniciada por TSF FTA_SSL.3, requiere que el TSF terminar una sesin de usuario interactiva despus de un
perodo de inactividad.
El autor PP / ST debe ser consciente de que una sesin puede continuar despus de que el usuario termina su / su actividad, por
ejemplo, el proceso de fondo. Este requisito podra dar por terminado este fondo sujeto despus de un perodo de
inactividad del usuario sin tener en cuenta el estado de la materia.
L.3.4.2 Operaciones
L.3.4.2.1 Asignacin
En FTA_SSL.3.1, t l PP / ST autor debe especificar el intervalo de inactividad del usuario que desencadenar la terminacin
de una sesin interactiva. Si as se desea, el autor de PP / ST podra, a travs de la asignacin, especificar que el
intervalo se deja a la administrador autorizado o el usuario. Las funciones de gestin de la clase FMT puede
especificar la capacidad de modificar este intervalo de tiempo, por lo que es el valor predeterminado.
L.3.5 FTA_SSL.4 terminacin iniciada por el usuario
FTA_SSL.4 terminacin iniciada por el usuario, proporciona la capacidad de un usuario autorizado a rescindir su / su
sesin interactiva.
El autor PP / ST debe ser consciente de que una sesin puede continuar despus de que el usuario termina su / su actividad, por
ejemplo, el proceso de fondo. Este requisito sera que el usuario pueda terminar este fondo objeto
sin tener en cuenta el estado de la materia.
Acceso TOE L.4 banners (FTA_TAB)
Antes de la identificacin y autenticacin, los requisitos de acceso TOE proporcionan la capacidad para el dedo para mostrar
un mensaje de advertencia de asesoramiento a los usuarios potenciales relacionados con el uso apropiado de la TOE.
Pgina 235
ISO / IEC 15408-2:2008 (E)
L.4.2 FTA_TAB.1 acceso predeterminados TOE banners
Este componente requiere que haya una advertencia de asesoramiento en relacin con el uso no autorizado de la TOE. La
PP / ST autor podra refinar el requisito de incluir una bandera por defecto.
Historial de acceso TOE L.5 (FTA_TAH)
Esta familia define requisitos para la TSF para mostrar a los usuarios, en el establecimiento de sesin con xito a la
TOE, una historia de intentos fallidos de acceder a la cuenta. Esta historia puede incluir la fecha, hora,
medios de acceso, y el puerto de la ltima conexin exitosa a la TOE, as como el nmero de xito
los intentos de acceder a la TOE desde el ltimo acceso exitoso por el usuario identificado.
Historial de acceso TOE FTA_TAH.1 L.5.2
Esta familia puede proporcionar a los usuarios autorizados con informacin que puede indicar la posible mal uso de su usuario
cuenta.
Esta solicitud componente que se presenta al usuario con la informacin. El usuario debe ser capaz de revisar el
informacin, pero no est obligado a hacerlo. Si un usuario as lo desee podra, por ejemplo, crear secuencias de comandos que hacen caso omiso de esta
informacin y empezar a otros procesos.
12/6/2014 ISO / IEC 15408-2
215
L.5.2.2 Operaciones
L.5.2.2.1 Seleccin
En FTA_TAH.1.1, el autor PP / ST debe seleccionar los atributos de seguridad de la ltima sesin exitosa
establecimiento que se mostrar en la interfaz de usuario. Los artculos son: fecha, hora y mtodo de acceso (como
ftp), y / o ubicacin (por ejemplo, el terminal 50).
En FTA_TAH.1.2, el autor PP / ST debe seleccionar los atributos de seguridad de la ltima sesin sin xito
establecimiento que se mostrar en la interfaz de usuario. Los artculos son: fecha, hora y mtodo de acceso (como
ftp), y / o ubicacin (por ejemplo, el terminal 50).
Establecimiento de la sesin TOE L.6 (FTA_TSE)
Esta familia define requisitos para negar un permiso de usuario para establecer una sesin con el TOE basado en
atributos tales como la ubicacin o el puerto de acceso, atributo de seguridad del usuario (por ejemplo, la identidad, nivel de autorizacin,
nivel de integridad, la pertenencia a un papel), rangos de tiempo (por ejemplo, la hora del da, da de la semana, las fechas del calendario) o
combinaciones de parmetros.
Esta familia proporciona la capacidad para el autor PP / ST para especificar los requisitos para el TOE para colocar
limitaciones sobre la capacidad de un usuario autorizado a establecer una sesin con el dedo del pie. La identificacin de los
restricciones pertinentes se pueden lograr mediante el uso de la operacin de seleccin. Los ejemplos de atributos que
podra ser utilizado para especificar la sesin limitaciones establecimiento son:
a) La ubicacin de acceso se puede utilizar para limitar la capacidad de un usuario para establecer una sesin activa con
TOE, basado en la ubicacin del usuario o puerto de acceso. Esta capacidad es de uso particular en
entornos en los que las instalaciones de acceso telefnico o instalaciones de la red estn disponibles.
Pgina 236
ISO / IEC 15408-2:2008 (E)
b) los atributos de seguridad del usuario se pueden usar para colocar restricciones en la capacidad de un usuario para establecer una
sesin activa con el TOE. Por ejemplo, estos atributos proporcionaran la capacidad de negar sesin
establecimiento basado en cualquiera de los siguientes:
la identidad de un usuario;
nivel de autorizacin del usuario;
nivel de integridad de un usuario; y

la pertenencia de un usuario en un papel.
Esta capacidad es especialmente importante en situaciones en las que la autorizacin o el inicio de sesin puede tener lugar en una diferente
lugar desde donde se realizan las comprobaciones de acceso TOE.
a) El tiempo de acceso se puede utilizar para limitar la capacidad de un usuario para establecer una sesin activa con la
TOE basado en intervalos de tiempo. Por ejemplo, los rangos pueden basarse en el tiempo-de-da, da de la semana, o
las fechas del calendario. Esta restriccin proporciona una cierta proteccin contra las acciones operativas que podran ocurrir en un
tiempo en el que un control adecuado, o cuando las medidas procesales adecuadas pueden no estar en su lugar.
L.6.2 FTA_TSE.1 establecimiento de sesin TOE
L.6.2.1 Operaciones
L.6.2.1.1 Asignacin
En FTA_TSE.1.1, el autor PP / ST debe especificar los atributos que se pueden utilizar para restringir la sesin
establecimiento. Ejemplo de posibles atributos son la identidad del usuario, la ubicacin (por ejemplo, no hay terminales remotos) de origen,
tiempo de acceso (por ejemplo, en las horas), o mtodo de acceso (por ejemplo X-Windows).
12/6/2014 ISO / IEC 15408-2
216
Pgina 237
ISO / IEC 15408-2:2008 (E)
Anexo M
(Normativo)
FTP Clase: Trusted ruta / canales
Los usuarios a menudo necesitan para realizar funciones a travs de la interaccin directa con el TSF. Una ruta de confianza proporciona
confianza de que un usuario se comunica directamente con la TSF cada vez que se invoca. La respuesta de un usuario a travs de
la ruta de confianza garantiza que las aplicaciones no son de confianza no pueden interceptar o modificar la respuesta del usuario.
Del mismo modo, los canales de confianza son uno de los enfoques para la comunicacin segura entre la TSF y otro grande
Productos de TI.
La ausencia de una ruta de confianza puede permitir que las infracciones de la rendicin de cuentas o el control de acceso en entornos en los que
se utilizan aplicaciones no confiables. Estas aplicaciones pueden interceptar la informacin privada del usuario, como por ejemplo
contraseas, y lo utilizan para hacerse pasar por otros usuarios. Como consecuencia, la responsabilidad de cualquier accin del sistema
no se puede asignar de forma fiable a una entidad responsable. Adems, estas aplicaciones podra generar errnea
informacin en la pantalla de un usuario desprevenido, lo que resulta en acciones de los usuarios posteriores que puedan ser errnea
y puede conducir a un fallo de seguridad.
Figura M.1 muestra la descomposicin de esta clase en sus componentes constitutivos.
Figura M.1 - FTP: Trusted ruta / canales clase descomposicin
M.1 canal Inter-TSF confianza (FTP_ITC)
M.1.1 notas de usuario
Esta familia define las reglas para la creacin de una conexin de canal de confianza que va entre la TSF y
otro producto de TI de confianza para el desempeo de las operaciones crticas de seguridad entre los productos. Un
ejemplo de una operacin crtica como la seguridad es la actualizacin de la base de datos de autenticacin TSF por la transferencia
de los datos de un producto de confianza, cuya funcin es la recogida de datos de auditora.
M.1.2 FTP_ITC.1 Inter-TSF confiaba canal
Notas de aplicacin M.1.2.1 usuario
Este componente debe utilizarse cuando un canal de comunicacin confiable entre la TSF y otro de confianza
Se requiere de productos de TI.
12/6/2014 ISO / IEC 15408-2
217
Operaciones M.1.2.2
Seleccin M.1.2.2.1
En FTP_ITC.1.2, el autor PP / ST debe especificar si el TSF locales, otro producto de TI de confianza, o ambos
tendr la capacidad de iniciar el canal de confianza.
Pgina 238
ISO / IEC 15408-2:2008 (E)
218
Asignacin M.1.2.2.2
En FTP_ITC.1.3, el autor PP / ST debera especificar las funciones para las que se requiere un canal de confianza.
Algunos ejemplos de estas funciones pueden incluir la transferencia de usuario, el asunto y / o los atributos de seguridad de objetos y
garantizar la coherencia de los datos de la TSF.
Ruta M.2 confianza (FTP_TRP)
M.2.1 notas de usuario
Esta familia define los requisitos para establecer y mantener una comunicacin de confianza para o de los usuarios y la
TSF. Una ruta de confianza puede ser requerida por cualquier interaccin relevante para la seguridad. Intercambios ruta de confianza pueden ser
iniciado por un usuario durante una interaccin con el TSF, o la TSF puede establecer la comunicacin con el usuario
a travs de una ruta de confianza.
Ruta M.2.2 FTP_TRP.1 Trusted
Notas de aplicacin M.2.2.1 usuario
Este componente debe ser utilizada cuando se requiere una comunicacin confiable entre un usuario y la TSF, ya sea
slo o para operaciones de usuario especificadas adicionales propsitos iniciales de autenticacin.
Operaciones M.2.2.2
Seleccin M.2.2.2.1
En FTP_TRP.1.1, el autor PP / ST debe especificar si la ruta de confianza debe extenderse a distancia
y / o los usuarios locales.
En FTP_TRP.1.1, el autor PP / ST debe especificar si la ruta de confianza proteger los datos de
modificacin, divulgacin y / o otros tipos de integridad o violacin de confidencialidad.
Asignacin M.2.2.2.2
En FTP_TRP.1.1, i f seleccionado, el autor PP / ST debera identificar cualquier tipos adicionales de integridad o confidencialidad
violacin contra el cual la ruta de confianza deber proteger los datos.
Seleccin M.2.2.2.3
En FTP_TRP.1.2, el autor PP / ST debe especificar si el TSF, los usuarios locales, y / o los usuarios remotos deben
poder iniciar el camino de confianza.
En FTP_TRP.1.3, el autor PP / ST debe especificar si la ruta de confianza se va a utilizar para el usuario inicial
de autenticacin y / o para otros servicios especificados.
Asignacin M.2.2.2.4
En FTP_TRP.1.3, i f seleccionado, el autor PP / ST debe identificar otros servicios para los cuales se requiere un directorio de confianza,
si los hubiere.
12/6/2014 ISO / IEC 15408-2
Pgina 239 Pgina 240
ISO / IEC 15408-2:2008 (E)
ICS 35.040
Precio basado en 218 pginas

ISO - IEC 15408 2 Español

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

ISO - IEC 15408 2 Español

Загружено:

Авторское право:

Доступные форматы

12/6/2014 ISO / IEC 15408-2

Poltica de control de acceso (FDP_ACC); y

Poltica de control de flujo de la informacin (FDP_IFC).

Funciones de control de flujo de la informacin (FDP_IFF);

Transferencia TOE Interna (FDP_ITT);

Integridad de los datos almacenados (FDP_SDI).

Exportar desde el TOE (FDP_ETC);

Importacin desde fuera del TOE (FDP_ITC).

Proteccin Inter-TSF transferencia confidencialidad de los datos de usuario (FDP_UCT); y

Proteccin de la integridad de transferencia de datos de usuario Inter-TSF (FDP_UIT).

las acciones realizadas en un objeto o TOE recurso especfico;

todo de un conjunto especificado de excepciones auditados; o

acciones asociadas a un atributo especfico SFR.

Listas de control de acceso (ACL)

Especificaciones de control de acceso basadas en el tiempo

nivel de autorizacin del usuario;

nivel de integridad de un usuario; y

Вам также может понравиться