Cập nhật nội dung chi tiết về Tiêu Chuẩn Việt Nam Tcvn 8709 mới nhất trên website Cuocthitainang2010.com. Hy vọng thông tin trong bài viết sẽ đáp ứng được nhu cầu ngoài mong đợi của bạn, chúng tôi sẽ làm việc thường xuyên để cập nhật nội dung mới nhằm giúp bạn nhận được thông tin nhanh chóng và chính xác nhất.
TCVN 8709-2 : 2011 ISO/IEC 15408-2 : 2008CÔNG NGHỆ THÔNG TIN – CÁC KỸ THUẬT AN TOÀN – CÁC TIÊU CHÍ ĐÁNH GIÁ AN TOÀN CNTT – PHẦN 2: CÁC THÀNH PHẦN CHỨC NĂNG AN TOÀN
Information Technology – Security Techniques – Evaluation Criteria for IT Securtiy – Part 2: Security functional components Lời nói đầu
TCVN 7809-2:2011 hoàn toàn tương đương ISO/IEC 15408-2:2008
TCVN 7809-2:2011 do Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam biên soạn, Bộ Thông tin và Truyền thông đề nghị, Tổng cục Tiêu chuẩn Đo lường Chất lượng thẩm định, Bộ Khoa học và Công nghệ công bố.
Lời giới thiệu
Các thành phần chức năng an toàn định nghĩa trong tiêu chuẩn này (TCVN 7809-2) là cơ sở cho các yêu cầu chức năng an toàn biểu thị trong một Hồ sơ bảo vệ (PP) hoặc một Đích An toàn (ST). Các yêu cầu này mô tả các hành vi an toàn mong muốn dự kiến đối với một Đích đánh giá (TOE) và nhằm đáp ứng các mục tiêu an toàn đã tuyên bố trong một PP hoặc một ST. Các yêu cầu này mô tả các đặc tính an toàn mà người dùng có thể phát hiện ra thông qua tương tác trực tiếp (nghĩa là qua đầu vào, đầu ra) với công nghệ thông tin (CNTT) hoặc qua phản ứng của CNTT với các tương tác.
Các thành phần chức năng an toàn biểu thị các yêu cầu an toàn nhằm mục đích chống lại các mối đe dọa trong môi trường hoạt động chỉ định của TOE với các chính sách an toàn của tổ chức xác định và các giả thiết.
Đối tượng của phần 2 tiêu chuẩn TCVN 7809 bao gồm người tiêu thụ, nhà phát triển và các đánh giá viên cho các sản phẩm CNTT an toàn. Điều 5 của TCVN 7809-1 cung cấp thông tin bổ sung về các đối tượng mục tiêu của TCVN 7809, và về các nhóm đối tượng sử dụng TCVN 7809. Các nhóm đối tượng có thể sử dụng TCVN 7809-2 gồm:
a) Người tiêu thụ là người sử dụng TCVN 7809-2 khi chọn lựa các thành phần để biểu thị các yêu cầu chức năng nhằm thỏa mãn các mục tiêu an toàn đã thể hiện trong một PP hoặc ST. TCVN 7809-1 cung cấp thông tin chi tiết hơn về mối quan hệ giữa các mục tiêu an toàn và các yêu cầu an toàn.
b) Nhà phát triển là người phản ánh thực tế hoặc nhận thức các yêu cầu an toàn của người tiêu thụ trong việc kiến thiết ra TOE. Họ cũng có thể sử dụng nội dung trong TCVN 7809-2 làm cơ sở để xác định rõ hơn các chức năng an toàn của TOE và các cơ chế tuân thủ các yêu cầu đó.
c) Đánh giá viên là người sử dụng các yêu cầu chức năng nêu trong TCVN 7809-2 để thẩm tra các yêu cầu chức năng TOE đã thể hiện trong PP hoặc ST có thỏa mãn các mục tiêu an toàn CNTT không; và thẩm tra mọi mối liên thuộc đã được xem xét đến và được thỏa mãn. Các đánh giá viên cũng cần sử dụng TCVN 7809-2 để giúp xác định xem một TOE đã cho có thỏa mãn các yêu cầu đã được công bố hay không.
2. Tài liệu viện dẫn
Các tài liệu sau đây không thể thiếu được đối với việc áp dụng tài liệu này:
TCVN 7809-1, Công nghệ thông tin – Các kỹ thuật an toàn – Các tiêu chí đánh giá an toàn CNTT – Phần 1: Giới thiệu và mô hình tổng quát
3. Thuật ngữ, định nghĩa, ký hiệu và các từ viết tắt
Các thuật ngữ, định nghĩa, Ký hiệu và các từ viết tắt được sử dụng như trong TCVN 7809-1
Phần này của TCVN 7809 không phải bao gồm tất cả các yêu cầu chức năng an toàn thông tin có thể có mà nó chỉ gồm các phần được biết đến và được chấp nhận bởi các tác giả biên soạn tiêu chuẩn tại thời điểm phát hành.
Bởi vì hiểu biết và nhu cầu của người tiêu dùng có thể thay đổi, các yêu cầu chức năng trong phần này của TCVN 7809 cần phải được cập nhật thường xuyên. Điều này có thể hiểu là một số tác giả PP/ST có thể thấy các thành phần yêu cầu chức năng trong phần này của TCVN 7809 (hiện tại) không bao hàm hết nhu cầu về an toàn. Trong trường hợp này, tác giả PP/ST có thể xem xét lựa chọn các yêu cầu chức năng không có trong TCVN 7809 (được xem như phần mở rộng), như được giải thích trong Phụ lục A và B của TCVN 7809-1.
4.1. Bố cục của tiêu chuẩn
Điều 5 mô tả mô hình sử dụng trong các yêu cầu chức năng an toàn trong phần này của TCVN 7809.
Phụ lục A cung cấp thông tin giải thích cho người dùng tiềm năng của các thành phần chức năng bao gồm bảng tham chiếu chéo tổng hợp về sự phụ thuộc của các thành phần chức năng.
Phụ lục B đến Phụ lục M cung cấp thông tin giải thích về các lớp chức năng. Tài liệu này được xem như là các hướng dẫn bắt buộc về việc áp dụng các hoạt động phù hợp và lựa chọn quy trình kiểm toán hoặc thông tin tài liệu phù hợp. Việc sử dụng các trợ động từ nên hiểu là các chỉ dẫn được ưa chuộng nhất, các chỉ dẫn khác có thể được điều chỉnh phù hợp. Nếu có các tùy chọn khác, việc lựa chọn được dành cho tác giả PP/ST.
a) TCVN 7809-1, điều 3 định nghĩa các thuật ngữ sử dụng trong TCVN 7809.
b) TCVN 7809-1, Phụ lục A định nghĩa cấu trúc của ST.
c) TCVN 7809-1, Phụ lục B định nghĩa cấu trúc của PP.
5. Mô hình các yêu cầu chức năng
Điều này mô tả mô hình sử dụng trong các yêu cầu chức năng an toàn trong TCVN 7809-2. Các khái niệm chủ yếu được in đậm hoặc in nghiêng. Phần này sẽ không thay thế hoặc hủy bỏ các thuật ngữ có trong điều 3 của TCVN 7809-1.
TOE có thể là một sản phẩm đơn nhất chứa cả phần cứng, phần sụn và phần mềm.
Mặt khác, TOE có thể là một sản phẩm phân bổ bao gồm nhiều thành phần khác nhau bên trong. Mỗi phần này của TOE cung cấp một dịch vụ riêng cho TOE và được kết nối với phần khác của TOE thông qua Kênh truyền thông nội bộ. Kênh này có thể là một phần nhỏ như bus xử lý hoặc bao bọc trong mạn nội bộ tới TOE.
Khi TOE bao gồm nhiều phần, mỗi phần của TOE có TSF riêng thực hiện trao đổi dữ liệu người dùng và dữ liệu TSF trên các kênh truyền thông nội bộ với các phần khác của TSF. Quá trình tương tác này được gọi là Vận chuyển TOE nội bộ. Trong trường hợp này các phần tách biệt của TSF được tạo thành TSF hỗn hợp để thực thi các SFR.
Các giao diện TOE có thể được đặt tại TOE riêng, hoặc chúng có thể tương tác với các sản phẩm CNTT qua các kênh truyền thông bên ngoài. Các tương tác ra bên ngoài này với các sản phẩm CNTT khác có thể thực hiện dưới hai dạng:
a) Các SFR của “Sản phẩm CNTT được tin cậy” khác và các SFR của TOE đã được kết hợp quản trị và các sản phẩm CNTT tin cậy khác được giả thiết là thực thi các SFR của chúng một cách chính xác (ví dụ được đánh giá riêng biệt). Việc trao đổi thông tin trong tình huống này được gọi là Vận chuyển xuyên TSF, vì chúng là giữa các TSF của các sản phẩm tin cậy khác biệt.
b) Sản phẩm CNTT khác có thể không được tin cậy, nó có thể được gọi là “sản phẩm CNTT không tin cậy”. Do đó, các SFR của chúng hoặc là không được biết hoặc việc triển khai nó không được xem là đáng tin cậy. Các trao đổi trung gian qua TSF trong trường hợp này được gọi là vận chuyển bên ngoài TOE, vì không có TSF (hoặc các đặc điểm chính sách không biết trước) trong sản phẩm CNTT khác.
Tập các giao diện, hoặc qua tương tác (giao diện người-máy) hoặc qua chương trình (giao diện lập trình ứng dụng), qua đó các tài nguyên này được truy cập trung gian bởi TSF, hoặc các thông tin thu được từ TSF, được gọi là Giao diện TSF (TSFI). TSFI định nghĩa biên giới của chức năng TOE được cung cấp cho việc thực thi các SFR.
Người dùng ở bên ngoài TOE. Mặc dù vậy, để yêu cầu rằng các dịch vụ được thực hiện bởi TOE là chủ thể cho các quy tắc định nghĩa trong các SFR, thì người dùng sẽ tương tác với TOE thông qua các TSFI. Có hai kiểu người dùng được quan tâm trong TCVN 7809-2: người dùng cụ thể và các thực thể CNTT bên ngoài. Người dùng cụ thể còn có thể được phân thành, người dùng nội bộ, nghĩa là người dùng tương tác trực tiếp với TOE qua các thiết bị TOE (ví dụ, các trạm làm việc) hoặc người dùng từ xa, nghĩa là thực hiện tương tác gián tiếp với TOE qua sản phẩm CNTT khác.
Một giai đoạn tương tác giữa các người dùng và TSF là được xem như là một phiên người dùng. Thiết lập các phiên người dùng có thể được kiểm soát dựa trên các suy xét, ví dụ, xác thực người dùng, thời gian trong ngày, phương pháp truy nhập TOE và số lượng các phiên tương tranh cho phép (trên một người dùng hoặc toàn bộ).
TOE chứa các tài nguyên có thể được sử dụng cho xử lý và lưu trữ thông tin. Mục tiêu đầu tiên của TSF là hoàn tất và chỉnh sửa các thực thi của các SFR trên các tài nguyên và thông tin mà TOE kiểm soát.
Các tài nguyên TOE có thể được cấu trúc và thực hiện theo nhiều cách khác nhau. Mặc dù vậy, phần này của TCVN 7809 thực hiện các phân chia đặc biệt mà cho phép chỉ ra các thuộc tính an toàn mong muốn. Tất cả các thực thể có thể được tạo từ các tài nguyên mà có thể được biểu diễn theo một hoặc hai cách. Các thực thể có thể là chủ động, nghĩa là chúng là nguyên nhân của các hành động xuất hiện bên trong TOE và là nguyên nhân của các hoạt động được thực hiện với thông tin. Mặt khác, các thực thể có thể là bị động, nghĩa là chúng hoặc được đặt trong các thông tin nguyên bản hoặc các thông tin được lưu trữ trong đó.
Các thực thể chủ động trong TOE thực hiện các hoạt động trên các đối tượng được xem như là các chủ thể. Một vài kiểu chủ thể có thể tồn tại bên trong một TOE:
a) Các chủ thể hành động thay mặt cho một người dùng có thẩm quyền (ví dụ các tiến trình UNIX)
b) Các chủ thể hành động như các tiến trình chức năng cụ thể, và như vậy hoạt động thay mặt cho nhiều người dùng (ví dụ các chức năng có thể thấy trong các kiến trúc client/server); hoặc
c) Các chủ thể hành động như là một phần của chính TOE (ví dụ các tiến trình không hành động thay mặt cho một người dùng).
Phần này của TCVN 7809 đề cập đến việc thực thi các SFR với các kiểu chủ thể được liệt kê ở trên.
Các thực thể bị động trong TOE chứa hoặc nhận thông tin và dựa vào đó các chủ thể thực hiện các hoạt động, được gọi là các đối tượng. Trong trường hợp chủ thể (thực thể chủ động) là đích của một hoạt động (ví dụ truyền thông liên tiến trình), một chủ thể có thể bị tác động như một đối tượng.
Các đối tượng có thể chứa thông tin. Khái niệm này cần thiết để xác định các chính sách kiểm soát luồng thông tin như được đề cập đến trong lớp FDP.
Các cơ chế thực thi các SFP kiểm soát luồng thông tin dựa trên chính sách quyết định về các thuộc tính của chủ thể và thông tin trong phạm vi kiểm soát và tập các quy tắc để quản lý các hoạt động thông tin bởi các chủ thể. Các thuộc tính của thông tin có thể được kết hợp với thuộc tính của côn-ten-nơ hoặc có thể rút ra từ dữ liệu trong côn-ten-nơ, sẽ được giữ lại với thông tin vì chúng được xử lý bởi TSF.
Hình 1 – Quan hệ giữa dữ liệu người dùng và dữ liệu TSF
Dữ liệu xác thực được sử dụng để thẩm tra danh tính đòi hỏi của một người dùng đang yêu cầu các dịch vụ từ một TOE. Dạng phổ biến của dữ liệu xác thực là mật khẩu, phụ thuộc vào việc giữ bí mật để tạo thành một cơ chế an toàn hiệu quả. Mặc dù vậy, không phải tất cả các dạng của dữ liệu xác thực cần phải giữ bí mật. Thiết bị xác thực sinh học (ví dụ đọc vân tay hoặc quét võng mạc) không dựa vào việc giữ bí mật dữ liệu, mà dựa vào việc dữ liệu chỉ do một người dùng sở hữu và không thể bị giả mạo.
Thuật ngữ bí mật như được dùng trong phần này của TCVN 7809 vào việc áp dụng cho dữ liệu xác thực, song cũng dùng được cho các kiểu dữ liệu khác với yêu cầu phải giữ bí mật để thực thi một SFP cụ thể. Ví dụ, một cơ chế kênh tin cậy dựa vào mã hóa để bảo vệ tính bí mật của thông tin truyền trên kênh chỉ có thể mạnh như phương pháp sử dụng để giữ bí mật các khóa mã chống các khai thác không được phép.
Do đó, một số song không phải tất cả dữ liệu xác thực cần được giữ bí mật, và một số song không phải tất cả các bí mật được dùng như dữ liệu xác thực. Hình 2 chỉ ra mối quan hệ giữa bí mật và dữ liệu xác thực. Trong hình này, các kiểu thường gặp của dữ liệu xác thực và các điều khoản bí mật được chỉ ra.
Hình 2 – Mối quan hệ giữa “dữ liệu xác thực” và “các bí mật” 6. Các thành phần chức năng an toàn 6.1. Tổng quan
Điều này định nghĩa nội dung và trình bày của các yêu cầu chức năng của ISO 15408 và cung cấp các hướng dẫn về tổ chức của các yêu cầu cho các thành phần mới được đặt trong ST. Các yêu cầu chức năng được biểu diễn theo các lớp, họ và thành phần.
6.1.1. Cấu trúc lớp
Hình 3 biểu diễn các cấu trúc lớp chức năng dưới dạng biểu đồ. Mỗi lớp chức năng bao gồm tên lớp, giới thiệu về lớp và một hoặc nhiều họ chức năng.
Hình 3 – Cấu trúc lớp chức năng 6.1.1.1. Tên lớp
Mục tiêu lớp cung cấp thông tin cần thiết để chỉ ra và phân nhóm một lớp chức năng. Mỗi lớp chức năng có một tên duy nhất. Thông tin phân nhóm bao gồm một tên viết tắt ba ký tự. Tên viết tắt của lớp thường sử dụng để xác định tên viết tắt của các họ của lớp đó.
6.1.1.2. Giới thiệu lớp
Giới thiệu lớp biểu diễn ý định chung hoặc cách tiếp cận của các họ của chúng để thỏa mãn các mục tiêu an toàn. Định nghĩa các lớp chức năng không phản ánh bất kỳ một sự phân loại chính thức nào về đặc tả của các yêu cầu.
Giới thiệu lớp cung cấp một bức tranh mô tả các họ trong lớp này và phân cấp của các thành phần trong mỗi họ, như được trình bày trong 6.2.
6.1.2. Cấu trúc họ
Hình 4 mô tả các cấu trúc họ chức năng dưới dạng biểu đồ.
Hình 4 – Cấu trúc họ chức năng 6.1.2.1. Tên của họ
Mục tên của họ quy định sự phân loại và thông tin mô tả cần thiết để chỉ ra và phân nhóm một họ chức năng. Mỗi họ chức năng có một tên duy nhất. Thông tin phân nhóm gồm một tên viết tắt 7 ký tự với 3 ký tự đầu tiên là tên viết tắt của lớp, tiếp theo là dấu gạch chân và tên viết tắt của họ dưới dạng XXX_YYY. Dạng viết tắt duy nhất của tên họ cung cấp tên tham chiếu cho các thành phần.
a) Các mục tiêu an toàn của họ đề cập đến một vấn đề an toàn có thể được giải quyết với sự trợ giúp của TOE kết hợp với một thành phần của họ này
b) Mô tả của các yêu cầu chức năng tóm tắt tất cả các yêu cầu được chứa trong các thành phần. Việc mô tả được thực hiện bởi các tác giả của PP, ST và các gói chức năng; đó là những người sẽ thực hiện đánh giá xem họ này có phù hợp với các yêu cầu cụ thể đặt ra hay không.
6.1.2.3. Phân mức các thành phần
Các họ chức năng chứa một hoặc nhiều thành phần, mà bất kỳ thành phần nào cũng có thể được lựa chọn để đưa vào các PP, ST và các gói chức năng. Đích của điều khoản này là cung cấp thông tin cho người dùng để lựa chọn ra một thành phần chức năng phù hợp sau khi đã được xác định được họ là phần cần thiết và hữu ích của các yêu cầu an toàn.
Mục mô tả họ chức năng này sẽ mô tả các thành phần sẵn sàng và sở cứ hợp lý của chúng. Chi tiết chính xác về mỗi thành phần được đặt bên trong mỗi thành phần.
Mối quan hệ giữa các thành phần bên trong một họ chức năng có thể được hoặc không được phân cấp. Một thành phần được phân cấp với thành phần khác nếu nó cung cấp mức độ an toàn cao hơn.
Như được giải thích trong 6.2, việc mô tả các họ cung cấp một bức tranh chung dạng đồ thị về sự phân cấp của các thành phần trong một họ.
Tác giả PP/ST có thể lựa chọn các thành phần quản lý định trước hoặc đưa vào các yêu cầu quản lý khác chưa được liệt kê cho các hoạt động quản lý chi tiết. Vì vậy, thông tin nên xem xét là tham khảo.
Nên thấy việc phân nhóm các sự kiện có thể kiểm toán là có phân cấp. Ví dụ, khi muốn Tạo kiểm toán cơ bản, nên đưa tất cả các sự kiện có thể kiểm toán, được xác định dưới cả hai dạng cơ bản và tối thiểu, vào trong PP/ST, thông qua sử dụng các hoạt động chỉ định phù hợp, ngoại trừ các sự kiện mức cao hơn cung cấp nhiều chi tiết hơn các sự kiện mức thấp hơn. Khi muốn Tạo kiểm toán chi tiết, nên đưa tất cả các sự kiện có thể kiểm toán (tối thiểu, cơ sở và chi tiết) vào trong PP/ST.
Trong lớp FAU: Kiểm toán an toàn, các quy tắc quản lý kiểm toán sẽ được giải thích chi tiết hơn.
6.1.3. Cấu trúc thành phần
Hình 5 biểu diễn cấu trúc thành phần chức năng.
Tên duy nhất : Tên phản ánh mục đích của các thành phần.
Tên viết tắt: Dạng viết tắt duy nhất của tên thành phần chức năng. Tên viết tắt này sử dụng như là tên tham chiếu chính cho việc phân nhóm, đăng ký và thực hiện tham chiếu chéo của thành phần. Tên viết tắt này biểu thị lớp và họ mà thành phần này trực thuộc và số thành phần bên trong họ.
Danh sách phân cấp : Một danh sách của các thành phần khác mà thành phần này phân cấp và dựa vào đó thành phần này có thể được sử dụng để đáp ứng sự phụ thuộc với các thành phần đã được liệt kê.
6.1.3.2. Các phần tử chức năng
Tập các phần tử được cung cấp cho mỗi thành phần. Mỗi phần tử này được định nghĩa riêng và chứa chính nó.
Một phần tử chức năng là một yêu cầu chức năng an toàn mà nếu phân chia nhỏ hơn thì kết quả đánh giá sẽ không còn ý nghĩa. Nó là yêu cầu chức năng an toàn nhỏ nhất được xác định và chấp nhận trong TCVN 7809.
Khi xây dựng các gói, các PP và ST, không được phép lựa chọn chỉ một hoặc nhiều phần tử từ một thành phần. Tập đầy đủ các phần tử của một thành phần phải được lựa chọn từ một PP, ST hoặc gói.
Một dạng viết tắt duy nhất của tên phần tử chức năng được cung cấp. Ví dụ tên yêu cầu FDP_IFF.4.2 đọc như sau: F – yêu cầu chức năng; DP – lớp “Bảo vệ dữ liệu người dùng”; IFF – Họ “Các chức năng kiểm soát luồng thông tin”; 4 – tên của thành phần thứ tư “Loại trừ từng phần các luồng thông tin không hợp pháp”; 2 – phần tử thứ 2 của thành phần.
6.1.3.3. Mối phụ thuộc
Mối phụ thuộc giữa các thành phần chức năng tăng lên khi một thành phần tự nó không đủ khả năng và độ tin cậy về chức năng, hoặc tương tác, với các thành phần khác về các chức năng phù hợp của nó.
Mỗi thành phần chức năng cung cấp một danh sách đầy đủ các mối phụ thuộc với các thành phần chức năng và đảm bảo khác. Một vài thành phần có thể liệt kê “không phụ thuộc”. Các thành phần phụ thuộc trên có thể có sự phụ thuộc trong các thành phần khác. Danh sách được cung cấp trong các thành phần sẽ là các mối phụ thuộc trực tiếp. Đó chỉ là sự tham chiếu đến các yêu cầu chức năng đòi hỏi đối với các yêu cầu này để thực hiện công việc của nó chính xác. Các mối phụ thuộc gián tiếp, nghĩa là các phụ thuộc là kết quả từ sự phụ thuộc vào các thành phần, thì có thể xem trong Phụ lục A của TCVN 7809-2. Chú ý rằng trong một vài trường hợp, sự phụ thuộc là tùy chọn, trong đó số các yêu cầu chức năng được cung cấp, tại đó mỗi thành phần của chúng có thể đáp ứng đầy đủ sự phụ thuộc (xem ví dụ FDP_UIT.1 Toàn vẹn trao đổi dữ liệu).
Các mối phụ thuộc chỉ ra trong phần này của TCVN 7809 là bắt buộc. Chúng phải được thỏa mãn trong PP hoặc ST. Trong các tình huống cụ thể, các mối phụ thuộc xác định có thể không được áp dụng. Tác giả PP/ST thông qua việc cung cấp sở cứ vì sao nó không được áp dụng, có thể bỏ đi các mối phụ thuộc với các thành phần ra ngoài gói, PP hoặc ST.
Trong việc mô tả các thành phần chức năng, có một điều khoản nhỏ xác định các mối phụ thuộc giữa thành phần và bất kỳ các thành phần nào khác.
Trong mỗi lớp, một hình vẽ mô tả phân cấp lớp tương tự như Hình 6 được cung cấp. Trong Hình 6, họ đầu tiên, Họ 1, chứa ba thành phần phân cấp, tại đó cả hai thành phần 2 và thành phần 3 có thể sử dụng để thỏa mãn các mối phụ thuộc vào thành phần 1. Thành phần 3 được phân cấp theo thành phần 2 và có thể được sử dụng để thỏa mãn sự phụ thuộc vào thành phần 2.
Hình 6 – Biểu đồ phân cấp lớp đơn giản
Trong họ 2 có ba thành phần, trong đó không phải tất cả được phân cấp. Các thành phần 1 và 2 không phân cấp theo các thành phần khác. Thành phần 3 được phân cấp theo thành phần 2, có thể dùng để thỏa mãn mối phụ thuộc vào thành phần 2, nhưng không thỏa mãn sự phụ thuộc vào thành phần 1.
Trong họ 3, các thành phần 2, 3 và 4 được phân cấp theo thành phần 1. Các thành phần 2 và 3 được phân cấp theo thành phần 1, nhưng không so sánh được chúng. Thành phần 4 phân cấp theo thành phần 2 và 3.
Những biểu đồ này bổ sung cho văn bản của họ và tạo ra định danh các mối quan hệ dễ dàng hơn. Chúng không thay thế cho ghi chú “phân cấp cho:” trong mỗi thành phần, đó là đòi hỏi bắt buộc về phân cấp cho mỗi thành phần.
Hình 7 – Phân cấp lớp FAU: Kiểm toán an toàn 7.1. Phản hồi tự động kiểm toán an toàn (FAU_ARP) 7.1.1. Hành xử của họ
Họ này định nghĩa phản hồi cần được thực hiện trong trường hợp phát hiện các sự kiện chỉ ra các khả năng phá hoại an toàn.
7.1.2. Phân mức thành phần
Tại các cảnh báo an toàn FAU_ARP.1, TSF cần được thực hiện trong các trường hợp có phá hoại an toàn được phát hiện.
7.1.3. Quản lý của FAU_ARP.1
Các hành động sau đây được xem xét cho các chức năng quản lý trong FMT.
a) Quản lý (thêm, bớt hoặc điều chỉnh) các hành động
7.1.4. Kiểm toán FAU_ARP.1
Các hành động sau nên có khả năng kiểm toán, nếu FAU_GEN Tạo các dữ liệu kiểm toán an toàn được đặt trong PP/ST.
a) Tối thiểu: thực hiện các hành động do có các vi phạm an toàn sắp xảy ra.
7.1.5. Cảnh báo an toàn Fau_ARP.1
Phân cấp từ: không có các thành phần nào.
Các mối phụ thuộc: FAU.SAA.1 Phân tích khả năng vi phạm.
7.2.2. Phân mức thành phần
FAU_GEN.1 Tạo dữ liệu kiểm toán, định nghĩa mức của các sự kiện có thể kiểm toán và chỉ ra danh sách dữ liệu cần được ghi lại trong mỗi bản ghi.
Tại FAU_GEN.2 Kết hợp định danh người dùng, TSF cần kết hợp các sự kiện có thể kiểm toán theo từng định danh người dùng riêng biệt.
7.2.3. Quản lý của FAU_GEN.1, FAU_GEN.2
Không có các hoạt động quản lý nào.
7.2.4. Kiểm toán của FAU_GEN.1, FAU_GEN.2
Không có sự kiện có thể kiểm toán nào.
7.2.5. Tạo dữ liệu kiểm toán FAU_GEN.1
Phân cấp từ: không có các thành phần nào.
Các mối phụ thuộc: FPT_STM.1 Các nhãn thời gian tin cậy.
7.2.5.1. FAU_GEN.1.1 TSF cần có khả năng tạo ra một bản ghi kiểm toán cho các sự kiện có thể kiểm toán được sau: a) Khởi động và tắt các chức năng kiểm toán; 7.2.5.2. FAU_GEN.1.2 TSF cần ghi lại trong mỗi bản ghi kiểm toán ít nhất các thông tin sau đây: a) Ngày và giờ của sự kiện, kiểu sự kiện, định danh chủ thể (nếu có), và đầu ra (thành công hoặc lỗi) của sự kiện; và 7.2.6. FAU_GEN.2 Kết hợp định danh người dùng
Phân cấp từ: không có các thành phần nào.
Các mối phụ thuộc: FAU_GEN.1 Tạo dữ liệu kiểm toán
FIA_UID.1 Định thời cho định danh
7.2.6.1. FAU_GEN.2.1 Đối với các sự kiện kiểm toán có được từ các hành động của người dùng đã định danh, TSF cần có khả năng kết hợp mỗi sự kiện có thể kiểm toán với định danh của người dùng đã gây ra sự kiện. 7.3. Phân tích kiểm toán an toàn (FAU_SAA) 7.3.1. Hành xử của họ
Họ này định nghĩa các yêu cầu cho tự động hóa, nghĩa là phân tích các hoạt động hệ thống và dữ liệu kiểm toán để tìm kiếm các phá hoại an toàn thực tế có thể xảy ra. Phân tích có thể thực hiện với sự hỗ trợ của phát hiện xâm nhập hoặc phản ứng tự động với một vi phạm an toàn sẽ xảy ra.
Các hành động này cần được thực hiện dựa trên phát hiện, có thể được xác định qua Họ phản ứng tự động kiểm toán an toàn (FAU_ARP).
7.3.2. Phân mức thành phần
Trong FAU_SAA.1 Phân tích khả năng vi phạm, phát hiện ngưỡng cơ sở dựa trên cơ sở của tập quy tắc được yêu cầu.
Trong FAU_SAA.3 Thử nghiệm tấn công đơn giản, TSF cần có thể phát hiện sự xuất hiện của các sự kiện với các dấu hiệu mà đại diện cho một dấu hiệu nguy cơ đến thực thi TSP. Tìm kiếm các sự kiện với các dấu hiệu này có thể xuất hiện trong thời gian thực hoặc trong thời gian phân tích chế độ xử lý mẻ (batch mode) với các thông tin được thu thập hậu kỳ (post-collection).
Trong FAU_SAA.4 Thử nghiệm tấn công phức tạp, TSF cần đại diện và phát hiện các kịch bản xâm nhập nhiều bước. TSF có thể so sánh các sự kiện hệ thống (có thể thực hiện bởi nhiều cá nhân) với các sự kiện liên tiếp được biết để đại diện cho toàn bộ các kịch bản xâm nhập. TSF cần có thể chỉ ra khi một sự kiện có dấu hiệu hoặc các sự kiện liên tiếp được tìm thấy chỉ ra khả năng vi phạm từ các SFR.
7.3.3. Quản lý của FAU_SAA.1
Các hành động sau có thể được cân nhắc cho các chức năng quản lý trong FMT:
a) Duy trì các quy tắc bởi (thêm, thay đổi, xóa) các quy tắc từ tập các quy tắc.
7.3.4. Quản lý của FAU_SAA.2
Các hành động sau có thể được cân nhắc cho các chức năng quản lý trong FMT:
a) Duy trì (Xóa, thay đổi, thêm) nhóm người dùng trong nhóm mô tả đích.
7.3.5. Quản lý của FAU_SAA.3
Các hành động sau có thể được cân nhắc cho các chức năng quản lý trong FMT:
a) Duy trì (Xóa, thay đổi, thêm) tập con của các sự kiện hệ thống.
7.3.6. Quản lý của FAU_SAA.4
Các hành động sau có thể được cân nhắc cho các chức năng quản lý trong FMT:
a) Duy trì (Xóa, thay đổi, thêm) tập con của các sự kiện hệ thống;
b) Duy trì (Xóa, thay đổi, thêm) tập liên tiếp của các sự kiện hệ thống.
7.3.7. Kiểm toán của FAU_SAA.1, FAU_SAA.2, FAU_SAA.3, FAU_SAA.4
Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn đặt trong PP/ST:
a) Tối thiểu: Bật hoặc tắt bất kỳ một cơ chế phân tích nào;
b) Tối thiểu: Các phản hồi tự động được thực hiện bởi công cụ.
7.3.8. FAU_SAA.1 Phân tích khả năng phá hoại
Phân cấp từ: Không có thành phần nào.
Các mối phụ thuộc: FAU_GEN.1 Tạo dữ liệu kiểm toán.
7.3.8.1. FAU_SAA.1.1 TSF cần cung cấp một tập các quy tắc để giám sát các sự kiện đã kiểm toán và dựa trên những quy tắc này chỉ ra các khả năng phá hoại việc thực thi các SFR. 7.3.8.2. FAU_SAA.1.2 TSF cần thực thi các quy tắc sau cho việc giám sát các sự kiện đã kiểm toán: a) Tích lũy hoặc kết hợp của [chỉ định: tập con các sự kiện đã kiểm toán xác định trước] được biết để chỉ ra khả năng phá hoại an toàn; b) [chỉ định: bất kỳ quy tắc nào khác] 7.3.9. FAU_SAA.2 Phát hiện bất thường dựa trên mô tả tóm tắt
Phân cấp từ: Không có thành phần nào.
Các mối phụ thuộc: FIA_UID.1 Định thời cho định danh.
7.3.9.1. FAU_SAA.2.1 7.3.9.2. FAU_SAA.2.2 TSF cần có khả năng duy trì một xếp hạng nghi ngờ với mỗi người dùng với các hoạt động được ghi lại trong mô tả tóm tắt, khi đó xếp hạng nghi ngờ đại diện cho mức độ mà hoạt động của người dùng hiện thời được tìm thấy không mâu thuẫn với các mẫu được thiết lập được biểu diễn trong mô tả tóm tắt. 7.3.9.3. FAU_SAA.2.3 7.3.10. FAU_SAA.3 Thử nghiệm tấn công đơn giản
Phân cấp từ: không có thành phần nào.
Các mối phụ thuộc: Không có phụ thuộc nào.
7.3.10.1. FAU_SAA.3.1 7.3.10.2. FAU_SAA.3.2 7.3.10.3. FAU_SAA.3.3 TSF cần có khả năng biểu thị một phá hoại tiềm năng việc thực thi các SFR khi sự kiện hệ thống trùng với một sự kiện có dấu hiệu biểu thị khả năng phá hoại tiềm năng việc thực thi các SFR. 7.3.11. FAU_SAA.4 Thử nghiệm tấn công phức tạp
Phân cấp từ: FAU_SAA.3 Thử nghiệm tấn công đơn giản.
Các mối phụ thuộc: Không có phụ thuộc nào.
7.3.11.1. FAU_SAA.4.1
TSF cần có khả năng duy trì một biểu diễn nội bộ cho các sự kiện liên tiếp của các kịch bản xâm nhập [chỉ định: danh sách liên tiếp của các sự kiện hệ thống mà sự hiện diện của chúng là đại diện cho các kịch bản xâm nhập được biết] và các sự kiện có dấu hiệu tiếp theo [chỉ định: một tập con của các sự kiện hệ thống] có thể chỉ ra sự phá hoại việc thực thi các SFR.
7.3.11.2. FAU_SAA.4.2
TSF cần có khả năng so sánh các sự kiện có dấu hiệu và chuỗi các sự kiện với các bản ghi về hoạt động của hệ thống nhận được từ việc kiểm tra của [chỉ định: thông tin được dùng để xác định hoạt động của hệ thống].
7.3.11.3. FAU_SAA.4.3
TSF cần có khả năng biểu thị một phá hoại tiềm tàng việc thực thi các SFR khi sự kiện hệ thống trùng với một sự kiện có dấu hiệu hoặc chuỗi các sự kiện biểu thị khả năng phá hoại tiềm năng việc thực thi các SFR.
7.4. Soát xét kiểm toán an toàn (FAU_SAR) 7.4.1. Hành xử của họ
Họ này định nghĩa các yêu cầu cho các công cụ kiểm toán cần phải sẵn sàng cho người dùng có thẩm quyền để hỗ trợ xem lại dữ liệu kiểm toán.
7.4.2. Phân mức thành phần
FAU_SAR.1 Soát xét kiểm toán, cung cấp khả năng đọc thông tin từ các bản ghi kiểm toán.
FAU_SAR.2 Soát xét kiểm toán có hạn chế, yêu cầu không có người dùng khác, ngoại trừ những ai đã được định danh trong soát xét kiểm toán FAU_SAR.1 có thể đọc được thông tin.
FAU_SAR.3 Soát xét kiểm toán có lựa chọn, yêu cầu các công cụ soát xét kiểm toán để lựa chọn dữ liệu kiểm toán cần được xem lại dựa trên các tiêu chí.
7.4.3. Quản lý của FAU_SAR.1
Các hành động sau có thể được cân nhắc cho các chức năng quản lý trong FMT:
a) Duy trì (Xóa, thay đổi, thêm) của nhóm các người dùng với việc đọc quyền truy nhập đến các hồ sơ kiểm toán.
7.4.4. Quản lý của FAU_SAR.2, FAU_SAR.3
Không có các hoạt động quản lý nào.
7.4.5. Kiểm toán của FAU_SAR.1
Các hành động sau đây có thể được kiểm toán, nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn chứa trong PP/ST:
a) Cơ sở: đọc thông tin từ các hồ sơ kiểm toán.
7.4.6. Kiểm toán của FAU_SAR.2
Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn chứa trong PP/ST:
a) Cơ sở: Số lần thử đọc tin không thành công từ các bản ghi kiểm toán.
7.4.7. Kiểm toán của FAU_SAR.3
Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
a) Chi tiết: Các tham số được sử dụng để xem lại.
7.4.8. FAU_SAR.1 Soát xét kiểm toán
Phân cấp từ: Không có các thành phần nào.
Các mối phụ thuộc: FAU_GEN.1 Tạo dữ liệu kiểm toán.
7.4.8.1. FAU_SAR.1.1 7.4.8.2. FAU_SAR.1.2 TSF cần cung cấp các hồ sơ kiểm toán theo cách thức phù hợp cho người dùng để giải thích thông tin. 7.4.9. FAU_SAR.2 Soát xét kiểm toán có hạn chế
Phân cấp từ: Không có thành phần nào.
Các mối phụ thuộc: FAU_SAR.1 Soát xét kiểm toán.
7.4.9.1. FAU_SAR.2.1 TSF cần ngăn cản tất cả người dùng truy cập đọc các hồ sơ kiểm toán, ngoại trừ những người dùng được cấp phép truy cập đọc rõ ràng. 7.4.10. FAU_SAR.3 Soát xét kiểm toán có chọn lựa
Phân cấp từ: Không có thành phần nào.
Các mối phụ thuộc: FAU_SAR.1 Soát xét kiểm toán.
7.4.10.1. FAU_SAR.3.1 7.5. Lựa chọn sự kiện kiểm toán an toàn (FAU_SEL) 7.5.1. Hành xử của họ
Họ này định nghĩa các yêu cầu để lựa chọn các sự kiện cần được kiểm toán trong thời gian hoạt động của TOE từ tập tất cả các sự kiện có thể kiểm toán.
7.5.2. Phân mức thành phần
FAU_SEL.1 Kiểm toán lựa chọn, đòi hỏi chọn ra tập các sự kiện cần được kiểm toán từ tập tất cả các sự kiện có thể được kiểm toán, xác định trong FAU_GEN.1 Tạo dữ liệu kiểm toán, dựa trên các thuộc tính được chỉ ra bởi tác giả PP/ST.
7.5.3. Quản lý của FAU_SEL.1
Các hành động sau sẽ được xem xét cho các chức năng quản lý trong FMT:
a) Duy trì các quyền để xem/thay đổi các sự kiện kiểm toán.
7.5.4. Kiểm toán của FAU_SEL.1
Các hành động sau có khả năng kiểm toán, nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được chứa trong PP/ST:
a) Tối thiểu: tất cả các thay đổi đến cấu hình kiểm tra mà xuất hiện khi các chức năng thu thập kiểm toán được vận hành.
7.5.5. FAU_SEL.1 Kiểm toán lựa chọn
Phân cấp từ: không có thành phần nào.
Các mối phụ thuộc: FAU_GEN.1 Tạo dữ liệu kiểm toán
FMT_MTD.1 Quản lý dữ liệu TSF
7.5.5.1. FAU_SEL.1.1 TSF cần có khả năng chọn ra các tập sự kiện đã kiểm toán từ tập tất cả các sự kiện có thể kiểm toán, dựa trên các thuộc tính sau đây: 7.6. Lưu trữ sự kiện kiểm toán an toàn (FAU_STG) 7.6.1. Hành xử của họ
Họ này định nghĩa các yêu cầu cho TSF để có thể tạo ra và duy trì một dấu vết kiểm toán an toàn. Các bản ghi kiểm toán đã lưu tham chiếu đến các bản ghi có trong dấu vết kiểm toán, và không phải là các bản ghi kiểm toán đã gọi ra (vào bộ nhớ tạm thời) thông qua lựa chọn.
7.6.2. Phân mức thành phần
Tại FAU_STG.1 Lưu trữ các vết kiểm toán có bảo vệ, các yêu cầu được đặt trong vết kiểm toán. Nó sẽ được bảo vệ chống lại việc xóa hay thay đổi trái phép.
FAU_STG.2 Đảm bảo sự sẵn sàng của dữ liệu kiểm toán, xác định các đảm bảo mà TSF duy trì trên dữ liệu kiểm toán được đưa ra trong sự xuất hiện một điều kiện không mong muốn.
FAU_STG.3 Hành động trong trường hợp có thể mất mát dữ liệu kiểm toán, xác định các hành động cần thực hiện nếu ngưỡng trong vết an toàn bị vượt quá.
FAU_STG.4 Ngăn chặn mất mát dữ liệu kiểm toán, xác định các hành động cần thực hiện trong trường hợp vết kiểm toán bị đầy.
7.6.3. Quản lý của FAU_STG.1
Không có các hoạt động quản lý nào
7.6.4. Quản lý của FAU_STG.2
Các hành động sau có thể được cân nhắc cho các chức năng quản lý trong FMT:
a) Duy trì các tham số kiểm soát khả năng lưu trữ kiểm toán.
7.6.5. Quản lý của FAU_STG.3
Các hành động sau cần xem xét cho các chức năng quản lý trong FMT:
a) Duy trì ngưỡng;
b) Duy trì (xóa, thay đổi, thêm) các hành động cần được thực hiện trong trường hợp lỗi lưu trữ kiểm toán sẽ xảy ra.
7.6.6. Quản lý của FAU_STG.4
Các hành động sau có thể được cân nhắc cho các chức năng quản lý trong FMT:
a) Duy trì (xóa, thay đổi, thêm) các hành động cần được thực hiện trong trường hợp có lỗi lưu trữ kiểm toán.
7.6.7. Kiểm toán của FAU_STG.1, FAU_STG.2
Không có các sự kiện có thể kiểm toán nào.
7.6.8. Kiểm toán của FAU_STG.3
Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
a) Cơ sở: Các hành động thực hiện do bị vượt quá ngưỡng.
7.6.9. Kiểm toán của FAU_STG.4
Các hành động sau đây có thể được kiểm toán, nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
a) Cơ sở: Các hành động thực hiện do lỗi lưu trữ kiểm toán.
7.6.10. FAU_STG.1 Lưu trữ vết kiểm toán có bảo vệ
Phân cấp từ: Không có các thành phần nào.
Các mối phụ thuộc: FAU_GEN.1 Tạo dữ liệu kiểm toán.
7.6.10.1. FAU_STG.1.1 TSF cần bảo vệ các hồ sơ kiểm toán đã lưu trong vết kiểm toán chống lại việc xóa trái phép 7.6.10.2. FAU_STG.1.2 7.6.11. FAU_STG.2 Đảm bảo sự sẵn sàng của dữ liệu kiểm toán
Phân cấp từ: FAU_STG.1 Lưu trữ vết an toàn có bảo vệ
Các mối phụ thuộc: FAU_GEN.1 Tạo dữ liệu kiểm toán
7.6.11.1. FAU_STG.2.1
TSF cần bảo vệ các hồ sơ kiểm toán đã lưu trong vết kiểm toán chống lại việc xóa trái phép.
7.6.11.2. FAU_STG.2.2
TSF cần có khả năng [lựa chọn, chọn một trong số: ngăn chặn, phát hiện] các thay đổi trái phép vào các bản ghi kiểm toán đã lưu trữ trong vết kiểm toán.
7.6.11.3. FAU_STG.2.3 TSF cần đảm bảo rằng [chỉ định: đơn vị đo việc lưu trữ hồ sơ kiểm toán] các hồ sơ kiểm tra sẽ được duy trì khi các hành động sau xuất hiện: [lựa chọn: tràn bộ nhớ lưu kiểm toán, lỗi, tấn công]. 7.6.12. FAU_STG.3 Hành động trong trường hợp dữ liệu kiểm toán có thể bị mất
Phân cấp từ: Không có các thành phần nào.
Các mối phụ thuộc: FAU_STG.1 Lưu trữ vết an toàn có bảo vệ.
7.6.12.1. FAU_STG.3.1 7.6.13. FAU_STG.4 Ngăn chặn mất dữ liệu kiểm toán
Phân cấp từ: FAU_STG.3 Hành động trong trường hợp dữ liệu kiểm toán có thể bị mất.
Các mối phụ thuộc: FAU_STG.1 Lưu trữ vết an toàn có bảo vệ.
7.6.13.1. FAU_STG.4.1
TSF cần [lựa chọn, chọn một trong số: “Lờ đi các sự kiện đã kiểm toán“, “ngăn chặn các sự kiện đã kiểm toán, ngoại trừ các sự kiện này được lấy ra bởi người dùng có thẩm quyền với các quyền đặc biệt”, “Viết đè lên hồ sơ kiểm toán lưu trữ lâu nhất”] và [chỉ định: các hành động khác trong trường hợp lỗi lưu trữ kiểm toán] nếu vết kiểm toán đầy.
Hình 8 – phân cấp lớp FCO: Truyền thông 8.1. Không chối bỏ nguồn gốc (FCO_NRO) 8.1.1. Hành xử của họ
Không chối bỏ nguồn gốc đảm bảo rằng nguồn gốc của thông tin không thể từ chối việc đã gửi tin đi. Họ này yêu cầu TSF quy định một phương pháp để đảm bảo rằng chủ thể đã nhận thông tin qua quá trình trao đổi dữ liệu được cung cấp một bằng chứng về nguồn gốc thông tin. Bằng chứng này có thể được thẩm định hoặc qua chủ thể này hoặc các chủ thể khác.
8.1.2. Phân mức thành phần
FCO_NRO.1 Lựa chọn kiểm chứng nguồn gốc, đòi hỏi TSF quy định các chủ thể với khả năng yêu cầu chứng cứ về nguồn gốc thông tin.
FCO_NRO.2 Thực thi kiểm chứng nguồn gốc thông tin, đòi hỏi TSF luôn tạo ra chứng cứ về nguồn gốc của thông tin được truyền.
8.1.3. Quản lý của FCO_NRO.1, FCO_NRO.2
Các hành động sau được xem xét cho các chức năng quản lý FMT
a) Quản lý các thay đổi kiểu thông tin, lĩnh vực, các thuộc tính của người tạo ra thông tin và người nhận chứng cứ
8.1.4. Kiểm toán của FCO_NRO.1
Các hành động sau đây cần được kiểm tra nếu FAU_GEN Tạo dữ liệu kiểm tra được đặt trong PP/ST
a) Tối thiểu: Xác định người dùng mà yêu cầu chứng cứ về nguồn gốc được tạo ra
b) Tối thiểu: Viện chứng đến dịch vụ không thể từ chối
c) Cơ sở: Định danh thông tin, đích và một bản sao của chứng cứ được quy định
d) Chi tiết: Xác định người dùng mà đòi hỏi thẩm tra chứng cứ
8.1.5. Kiểm toán của FCO_NRO.2
Các hành động sau đây cần được kiểm tra nếu FAU_GEN Tạo dữ liệu kiểm tra được đặt trong PP/ST
d) Tối thiểu: Viện chứng đến dịch vụ không thể từ chối
e) Cơ sở: Định danh thông tin, đích và một bản sao của chứng cứ được quy định
f) Chi tiết: Xác định người dùng mà đòi hỏi thẩm tra chứng cứ
8.1.6. FCO_NRO.1 Lựa chọn kiểm chứng nguồn gốc
Phân cấp từ: Không có thành phần nào.
Các mối phụ thuộc: FIA_UID.1 Định thời cho định danh
8.1.6.1. FCO_NRO.1.1 8.1.6.2. FCO_NRO.1.2 8.1.6.3. FCO_NRO.1.3 8.1.7. FCO_NRO.2 Thực thi kiểm chứng nguồn gốc
Phân cấp từ: FCO_NRO.1 Lựa chọn kiểm chứng nguồn gốc
Các mối phụ thuộc: FIA_UID.1 Định thời cho định danh
8.1.7.1. FCO_NRO.2.1
TSF cần thực thi để tạo ra các chứng cứ về nguồn gốc thông tin được truyền [chỉ định: danh sách các kiểu thông tin] tại tất cả các thời gian.
8.1.7.2. FCO_NRO.2.2 8.1.7.3. FCO_NRO.2.3 8.2. Không thể từ chối của bên nhận (FCO_NRR) 8.2.1. Hành xử của họ
Không thể từ chối của bên nhận đảm bảo rằng người nhận thông tin không thể từ chối việc nhận thành công thông tin. Họ này đòi hỏi, TSF cung cấp một phương pháp để đảm bảo rằng một chủ thể truyền thông tin trong thời gian trao đổi dữ liệu được cung cấp một chứng cứ về việc nhận thông tin. Chứng cứ này có thể được thẩm tra bởi chủ thể này hoặc các chủ thể khác.
8.2.2. Phân mức thành phần
FCO_NRR.1 Lựa chọn kiểm chứng bên nhận, yêu cầu TSF để cung cấp cho chủ thể khả năng đòi hỏi chứng cứ của việc nhận thông tin.
FCO_NRR.2 Thực thi kiểm chứng bên nhận, đòi hỏi TSF luôn tạo ra chứng cứ nhận cho các thông tin đã nhận.
8.2.3. Quản lý của FCO_NRR.1, FCO_NRR.2
Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:
a) Quản lý các thay đổi về kiểu thông tin, trường tin, các thuộc tính của người gửi và người nhận là đối tác thứ 3 về chứng cứ.
8.2.4. Kiểm toán của FCO_NRR.1
Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
a) Tối thiểu: Xác định người dùng mà đòi hỏi chứng cứ của việc nhận sẽ được tạo ra.
b) Tối thiểu: Viện chứng dịch vụ không thể từ chối.
c) Cơ sở: Định danh thông tin, đích đến và một bản sao của thông tin được quy định.
d) Chi tiết: Xác định người dùng mà đòi hỏi việc thẩm tra chứng cứ.
8.2.5. Kiểm toán của FCO_NRR.2
Các hành động sau đây có thể được kiểm toán, nếu FAU_GEN Tạo dữ liệu kiểm toán được đặt trong PP/ST:
a) Tối thiểu: Viện chứng dịch vụ không thể từ chối.
b) Cơ sở: Định danh thông tin, đích đến và một bản sao của thông tin được quy định.
c) Chi tiết: Xác định người dùng mà đòi hỏi việc thẩm tra chứng cứ.
8.2.6. FCO_NRR.1 Lựa chọn kiểm chứng bên nhận
Phân cấp từ: Không có thành phần nào.
Các mối phụ thuộc: FIA_UID.1 Định thời cho định danh.
8.2.6.1. FCO_NRR.1.1 8.2.6.2. FCO_NRR.1.2 8.2.6.3. FCO_NRR.1.3 8.2.7. FCO_NRR.2 Thực thi kiểm chứng bên nhận
Phân cấp từ: FCO_NRR.1 lựa chọn kiểm chứng bên nhận.
Các mối phụ thuộc: FIA_UID.1 Định thời cho định danh.
8.2.7.1. FCO_NRR.2.1
TSF cần thực thi việc tạo chứng cứ nhận thông tin cho [chỉ định: danh sách các kiểu thông tin] đã nhận tại mọi thời điểm.
8.2.7.2. FCO_NRR.2.2 8.2.7.3. FCO_NRR.2.3 9. Class FCS: Hỗ trợ mật mã
TSF có thể triển khai các chức năng mã hóa để giúp thỏa mãn một số mục tiêu an toàn mức cao. Chúng bao gồm (nhưng không giới hạn): định danh và xác thực, không thể từ chối, đường dẫn tin cậy, kênh tin cậy và phân tích dữ liệu. Lớp này được sử dụng khi TOE thực hiện các chức năng mã hóa, việc thực hiện này có thể dưới dạng phần cứng, phần sụn hoặc phần mềm.
FCS: Lớp hỗ trợ mật mã được tạo dưới hai họ: Quản lý khóa mật mã (FCS_CKM) và vận hành mật mã (FCS_COP). Hộ quản lý khóa mật mã (FCS_CKM) đề cập đến các khía cạnh quản lý của các khóa mật mã, trong khi họ vận hành mật mã (FCS_COP) lại quan tâm đến việc sử dụng vận hành của các khóa mã này.
Hình 9 – Phân cấp lớp FCS: Hỗ trợ mật mã 9.1. Quản lý khóa mật mã (FCS_CKM) 9.1.1. Hành xử của họ
Các khóa mật mã phải được quản lý trong suốt chu trình tồn tại chúng. Họ này dùng để hỗ trợ chu trình này và định nghĩa các yêu cầu đối với các hoạt động sau: Tạo khóa mật mã, phân bố khóa mật mã, truy nhập khóa mật mã và hủy bỏ khóa mật mã. Họ này nên được đưa vào mỗi khi có các yêu cầu chức năng quản lý mã khóa mật mã.
9.1.2. Phân mức thành phần
FCS_CKM.1 Tạo khóa mật mã, đòi hỏi khóa mật mã được tạo ra phù hợp với một thuật toán riêng với kích thước khóa có thể dựa trên một tiêu chuẩn được ấn định.
FCS_CKM.2 Phân phối khóa mật mã, đòi hỏi các khóa mật mã được phân phối phù hợp với một phương pháp phân phối riêng mà có thể dựa trên một tiêu chuẩn được ấn định.
FCS_CKM.3 Truy nhập khóa mật mã, đòi hỏi truy nhập đến các khóa mã phải được thực hiện phù hợp với một phương pháp truy nhập riêng mà có thể dựa trên tiêu chuẩn được ấn định.
FCS_CKM.4 Hủy bỏ khóa mật mã, đòi hỏi các khóa hóa bị hủy bỏ phù hợp với phương pháp hủy bỏ riêng mà có thể dựa trên tiêu chuẩn được ấn định.
9.1.3. Quản lý của FCS_CKM.1, FCS_CKM.2, FCS_CKM.3, FCS_CKM.4
Không có các hoạt động quản lý nào.
9.1.4. Kiểm toán của FCS_CKM.1, FCS_CKM.2, FCS_CKM.3, FCS_CKM.4
Các hành động sau có thể được kiểm toán, nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
a) Tối thiểu: thành công và lỗi của các hoạt động.
b) Cơ sở: Các thuộc tính của đối tượng, và giá trị của đối tượng ngoại trừ bất kỳ thông tin nhạy cảm nào (ví dụ khóa bí mật hoặc khóa riêng).
9.1.5. FCS_CKM.1 Tạo khóa mật mã
Phân cấp từ: Không có các thành phần nào.
Các mối phụ thuộc: [FCS_CKM.2 Phân phối khóa mật mã hoặc
FCS_COP.1 Hoạt động mật mã]
FCS_CKM.4 Hủy bỏ khóa mật mã
9.1.5.1. FCS_CKM.1.1 9.1.6. FCS_CKM.2 Phân phối khóa mật mã
Phân cấp từ: Không có các thành phần nào.
Các mối phụ thuộc: [FDP_ITC.1 Nhập vào dữ liệu người dùng không có các thuộc tính an toàn, hoặc
FDP_ITC.2 Nhập dữ liệu người dùng có các thuộc tính an toàn, hoặc
FCS_CKM.1 Tạo khóa mật mã]
FCS_CKM.4 Hủy bỏ khóa mật mã
9.1.6.1. FCS_CKM.2.1 9.1.7. FCS_CKM.3 Truy nhập khóa mật mã
Phân cấp từ: Không có các thành phần nào.
Các mối phụ thuộc: [FDP_ITC.1 Nhập vào dữ liệu người dùng không có các thuộc tính an toàn, hoặc
FDP_ITC.2 Nhập vào dữ liệu người dùng có các thuộc tính an toàn, hoặc
FCS_CKM.1 Tạo khóa mật mã]
FCS_CKM.4 Hủy bỏ khóa mật mã
9.1.7.1. FCS_CKM.3.1 9.1.8. FCS_CKM.4 Hủy bỏ khóa mật mã
Phân cấp từ: Không có các thành phần nào.
Các mối phụ thuộc: [FDP_ITC.1 Nhập vào dữ liệu người dùng không có các thuộc tính an toàn, hoặc
FDP_ITC.2 Nhập vào dữ liệu người dùng có các thuộc tính an toàn, hoặc
FCS_CKM.1 Tạo khóa mật mã]
9.1.8.1. FCS_CKM.4.1 9.2. Hoạt động mật mã (FCS_COP) 9.2.1. Hành xử của họ
Theo yêu cầu cho hoạt động mật mã vận hành chính xác, hoạt động này cần phải được thực hiện phù hợp với một thuật toán được chỉ ra và với một khóa mật mã có kích thước được chỉ ra. Họ này chứa các yêu cầu cho các hoạt động mật mã được thực hiện.
Kiểu các hoạt động mật mã gồm mã hóa và giải mã dữ liệu, tạo chữ ký điện tử và thẩm tra, tạo kiểm tra chẵn lẻ mật mã để đảm bảo toàn vẹn và thẩm tra kiểm tra chẵn lẻ, băm an toàn (liệt kê thông điệp), mã hóa và giải mã khóa mật mã, thỏa thuận khóa mật mã.
9.2.2. Phân mức thành phần
FCS_COP.1 hoạt động mật mã, đòi hỏi một hoạt động mật mã được thực hiện phù hợp với một thuật toán được chỉ ra và với một khóa mật mã có kích thước được chỉ ra. Thuật toán được chỉ ra và các kích thước khóa mật mã có thể dựa trên một tiêu chuẩn được ấn định.
9.2.3. Quản lý của FCS_COP.1
Không có các hoạt động quản lý nào.
9.2.4. Kiểm toán của FCS_COP.1
Các hành động sau có thể được kiểm toán, nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
a) Tối thiểu: thành công và lỗi, và kiểu của các hoạt động mật mã
b) Cơ sở: Bất kỳ một chế độ mật mã được ứng dụng nào của hoạt động, các thuộc tính của chủ thể và các thuộc tính đối tượng.
9.2.5. FCS_COP.1 Hoạt động mật mã
Phân cấp từ: Không có các thành phần nào.
Các mối phụ thuộc: [FDP_ITC.1 Nhập vào dữ liệu người dùng không có các thuộc tính an toàn, hoặc
FDP_ITC.2 Nhập vào dữ liệu người dùng có các thuộc tính an toàn, hoặc
FCS_CKM.1 Tạo khóa mật mã]
FCS_CKM.4 Hủy bỏ khóa mật mã
Các họ trong lớp này được tổ chức thành bốn nhóm sau:
a) Các chính sách chức năng an toàn bảo vệ dữ liệu người dùng:
* Chính sách kiểm soát truy nhập (FDP_ACC); và
* Chính sách kiểm soát luồng thông tin (FDP_IFC)
Các thành phần trong những họ này cho phép tác giả PP/ST đặt tên cho các chính sách chức năng an toàn bảo vệ dữ liệu người dùng và định nghĩa phạm vi kiểm soát của chính sách, sự cần thiết để đề cập đến các mục tiêu an toàn. Tên của các chính sách này có nghĩa được sử dụng liên tục phần còn lại của các thành phần chức năng mà có một hoạt động gọi phép ấn định hoặc lựa chọn “kiểm soát truy nhập SFP” hoặc “kiểm soát luồng thông tin SFPs”. Các quy tắc định nghĩa chức năng kiểm soát truy nhập và kiểm soát luồng thông tin SFP sẽ được định nghĩa trong các họ (một cách lần lượt) các hàm kiểm soát truy nhập (FDP_ACF) và các hàm kiểm soát luồng thông tin (FDP_IF) (tương ứng).
b) Các dạng bảo vệ dữ liệu người dùng:
* Các chức năng kiểm soát truy nhập (FDP_ACF)
* Các chức năng kiểm soát luồng thông tin (FDP_IFF);
* Vận chuyển nội bộ TOE (FDP_ITT);
* Bảo vệ thông tin còn dư thừa (FDP_RIP);
* Khôi phục lại (FDP_ROL) và
* Toàn vẹn dữ liệu đã lưu trữ (FDP_SDI)
c) Lưu trữ ngoại tuyến, nhập và xuất
* Xác thực dữ liệu (FDP_DAU)
* Xuất dữ liệu ra khỏi TOE (FDP_ETC)
* Nhập dữ liệu từ ngoài TOE (FDP_ITC)
Các thành phần trong các họ này đề cập chuyển đổi các giá trị đáng tin cậy vào trong hoặc ra ngoài của TOE.
d) Truyền thông Liên-TSF
* Bảo vệ truyền bí mật dữ liệu người dùng liên-TSF (FDP_UCT); và
* Bảo vệ truyền toàn vẹn dữ liệu người dùng liên-TSF (FDP_UIT)
Các thành phần trong các họ này đề cập đến sự truyền thông giữa TSF của TOE và các sản phẩm IT được tin cậy khác.
Hình 10 – Phân cấp lớp FDP: Bảo vệ dữ liệu người dùng 10.1. Chính sách kiểm soát truy nhập (FDP_ACC) 10.1.1. Hành xử của họ
Họ này xác định các SFP kiểm soát truy nhập (Theo tên) và định nghĩa phạm vi kiểm soát của các chính sách mà định dạng việc xác định phần kiểm soát truy nhập của TSP. Phạm vi kiểm soát này được mô tả bởi 3 tập: Các chủ thể dưới kiểm soát của chính sách, các đối tượng dưới kiểm soát của chính sách và các hoạt động giữa các chủ thể được kiểm soát và đối tượng được kiểm soát mà được bao trùm bởi chính sách. Tiêu chí này cho phép tồn tại nhiều chính sách, mỗi cái có một tên duy nhất.
Điều này đạt được bởi các thành phần khởi tạo từ họ này một lần cho mỗi chính sách kiểm soát truy nhập được đặt tên. Quy tắc này định nghĩa chức năng của kiểm soát truy nhập SFP mà sẽ được định nghĩa bởi các họ khác như các chức năng kiểm soát truy nhập (FDP_ACF) và toàn vẹn dữ liệu lưu trữ (FDP_SDI). Các tên của các kiểm soát truy nhập, được xác định ở đây trong chính sách kiểm soát truy nhập (FDP_ACC) có nghĩa là được sử dụng liên tục phần còn lại của các thành phần chức năng mà có một hoạt động gọi phép ấn định hoặc phép chọn của “kiểm soát truy nhập SFP”.
10.1.2. Phân mức thành phần
FDP_ACC.1 kiểm soát truy nhập tập con, đòi hỏi mỗi cái chỉ ra kiểm soát truy nhập SFP được đặt trong một tập con của các hoạt động có thể trong một tập con của các đối tượng trong TOE.
FDP_ACC.2 Kiểm soát truy nhập toàn bộ, đòi hỏi mỗi cái chỉ ra kiểm soát truy nhập SFP bao trùm tất cả các hoạt động của chủ thể và đối tượng được bao trùm bởi SFP. Nếu các yêu cầu thêm mà tất cả các đối tượng và hoạt động với TSC được bao trùm bởi ít nhất một kiểm soát truy nhập SFP được chỉ ra.
10.1.3. Quản lý của FDP_ACC.1, FDP_ACC.2
Không có các hoạt động quản lý nào.
10.1.4. Kiểm toán của FDP_ACC.1, FDP_ACC.2
Không có sự kiện có thể kiểm toán nào.
10.1.5. FDP_ACC.1 Kiểm soát truy nhập tập con
Phân cấp từ: Không có các thành phần nào.
Các mối phụ thuộc: FDP_ACF.1 Kiểm soát truy nhập dựa trên các thuộc tính an toàn.
10.1.5.1. FDP_ACC.1.1 10.1.6. FDP_ACC.2 Kiểm soát truy nhập toàn bộ
Phân cấp từ: FDP_ACC.1 Kiểm soát truy nhập tập con.
Các mối phụ thuộc: FDP_ACF.1 Kiểm soát truy nhập dựa trên các thuộc tính an toàn.
10.1.6.1. FDP_ACC.2.1 10.1.6.2. FDP_ACC.2.2 TSF cần đảm bảo rằng tất cả các hoạt động giữa bất kỳ chủ thể nào trong TSC và bất kỳ đối tượng nào bên trong TSC được bao trùm bởi một kiểm soát truy nhập SFP. 10.2. Các chức năng kiểm soát truy nhập (FDP_ACF) 10.2.1. Hành xử của họ
Họ này mô tả các quy tắc cho các chức năng riêng mà có thể thực hiện chính sách kiểm soát truy nhập được đặt tên là chính sách kiểm soát truy nhập (FDP_ACC). Chính sách kiểm soát truy nhập (FDP_ACC) chỉ ra phạm vi kiểm soát của chính sách.
10.2.2. Phân mức thành phần
Họ này đề cập đến các thuộc tính an toàn thông thường và đặc điểm của các chính sách. Thành phần trong họ này có nghĩa là cần được sử dụng để mô tả các quy tắc cho chức năng mà thực hiện SFP như được chỉ ra trong chính sách kiểm soát truy nhập (FDP_ACC). Tác giả PP/ST có thể lặp lại thành phần này để đề cập đến nhiều chính sách trong TOE.
FDP_ACF.1 Thuộc tính an toàn dựa trên kiểm soát truy nhập, thuộc tính an toàn dựa trên kiểm soát truy nhập cho phép TSF thực thi truy nhập dựa trên các thuộc tính an toàn và nhóm các thuộc tính được đặt tên. Thêm vào đó, TSF có thể có khả năng cấp phép hoặc từ chối truy nhập với đối tượng dựa trên các thuộc tính an toàn.
10.2.3. Quản lý của FDP_ACF.1
Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:
a) Quản lý các thuộc tính sử dụng để đưa ra quyết định cho phép hoặc từ chối truy nhập.
10.2.4. Kiểm soát của FDP_ACF.1
Các hành động sau đây có thể được kiểm toán, nếu FAU_GEN Tạo dữ liệu kiểm tra được đặt trong PP/ST:
a) Tối thiểu: Các yêu cầu thực hiện thành công trong vận hành một đối tượng được bao bọc bởi SFP.
b) Cơ sở: Tất cả các yêu cầu thực hiện vận hành một đối tượng được bao bọc bởi SFP.
c) Chi tiết: các thuộc tính an toàn đặc biệt được sử dụng trong thực hiện kiểm tra truy nhập.
10.2.5. FDP_ACF.1 Kiểm soát truy nhập dựa trên thuộc tính an toàn
Phân cấp từ: Không có các thành phần nào.
Các mối phụ thuộc: FDP_ACC.1 Kiểm soát truy nhập tập con
FDP_MSA.3 Khởi tạo thuộc tính tĩnh.
10.2.5.1. FDP_ACF.1.1 10.2.5.2. FDP_ACF.1.2 10.2.5.3. FDP_ACF.1.3 10.2.5.4. FDP_ACF.1.4 TSF cần từ chối rõ ràng truy nhập của các chủ thể đến các đối tượng dựa trên [chỉ định: các quy tắc, dựa trên các thuộc tính an toàn, để từ chối rõ ràng truy nhập của các chủ thể đến các đối tượng]. 10.3. Xác thực dữ liệu (FDP_DAU) 10.3.1. Hành xử của họ
Xác thực dữ liệu cho phép một thực thể chấp nhận trách nhiệm xác thực thông tin (ví dụ, các chữ ký số). Họ này cung cấp một phương pháp quy định sự đảm bảo tính hợp lệ của một đơn vị đặc biệt của dữ liệu mà có thể được sử dụng để thẩm tra nội dung thông tin giả mạo hoặc thay đổi lừa dối. Trái lại với FAU: Kiểm tra an toàn, họ này được dự định cung cấp các dữ liệu tĩnh hơn là các dữ liệu mà đang được truyền đi.
10.3.2. Phân mức thành phần
FDP_DAU.1 Xác thực dữ liệu cơ sở, đòi hỏi TSF có khả năng tạo một sự đảm bảo của xác thực với các nội dung thông tin của các đối tượng (ví dụ tài liệu).
FDP_DAU.2 Xác thực dữ liệu với chỉ ra người đảm bảo thêm vào các yêu cầu mà TSF có khả năng thiết lập định danh của đối tượng mà cung cấp đảm bảo xác thực.
10.3.3. Quản lý của FDP_DAU.1, FDP_DAU.2
Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:
a) Chỉ định hoặc thay đổi đối tượng, để có thể được cấu hình được xác thực dữ liệu đã áp dụng.
10.3.4. Kiểm toán của FDP_DAU.1
Các hành động sau đây có thể được kiểm toán, nếu FAU_GEN Tạo dữ liệu kiểm toán được đặt trong PP/ST:
a) Tối thiểu: Tạo thành công các chứng cứ có giá trị.
b) Cơ sở: Tạo không thành công các chứng cứ có giá trị.
c) Chi tiết: Định danh của chủ thể mà yêu cầu chứng cứ.
10.3.5. Kiểm toán của FDP_DAU.2
Các hành động sau đây có thể được kiểm toán, nếu FAU_GEN Tạo dữ liệu kiểm toán được đặt trong PP/ST:
a) Tối thiểu: Tạo thành công các chứng cứ có giá trị.
b) Cơ sở: Tạo không thành công các chứng cứ có giá trị.
c) Chi tiết: Định danh của chủ thể mà yêu cầu chứng cứ.
d) Chi tiết: Định danh của chủ thể tạo ra chứng cứ.
10.3.6. FDP_DAU.1 Xác thực dữ liệu cơ sở
Phân cấp từ: Không có các thành phần nào.
Các mối phụ thuộc: Không có phụ thuộc nào.
10.3.6.1. FDP_DAU.1.1 10.3.6.2. FDP_DAU.1.2 TSF cần cung cấp [chỉ định: danh sách của các chủ thể] với khả năng thẩm tra chứng cứ có tính hợp lệ của các thông tin đã xác định. 10.3.7. FDP_DAU.2 Xác thực dữ liệu với định danh người đảm bảo
Phân cấp từ: FDP_DAU.1 Xác thực dữ liệu cơ sở.
Các mối phụ thuộc: FIA_UID.1 Định thời cho định danh.
10.3.7.1. FDP_DAU.2.1
TSF cần cung cấp khả năng tạo chứng cứ mà có thể được sử dụng như sự đảm bảo của xác định tính hợp lệ của [chỉ định: danh sách của các đối tượng hoặc các kiểu thông tin].
10.3.7.2. FDP_DAU.2.2
TSF cần cung cấp [chỉ định: danh sách của các chủ thể] với khả năng thẩm tra chứng cứ có tính hợp lệ của các thông tin đã xác định và định danh của người dùng đã tạo ra chứng cứ.
10.4. Xuất dữ liệu từ TOE (FDP_ETC) 10.4.1. Hành xử của họ
Họ này định nghĩa các chức năng để xuất dữ liệu người dùng ra ngoài TOE như các thuộc tính an toàn của nó và sự bảo vệ không chỉ được bảo toàn mà còn được bỏ qua khi nó được xuất ra. Nó được quan tâm với các giới hạn trong xuất và với sự phối hợp của các thuộc tính an toàn với dữ liệu người dùng được xuất ra.
10.4.2. Phân mức thành phần
FDP_ETC.1 xuất dữ liệu người dùng không có các thuộc tính an toàn, đòi hỏi TSF thực thi các SFP phù hợp khi xuất ra ngoài dữ liệu người dùng TSF. Dữ liệu người dùng, được xuất bởi chức năng này được xuất ra mà không có các thuộc tính an toàn kết hợp với nó.
FDP_ETC.2 Xuất dữ liệu người dùng với các thuộc tính an toàn, đòi hỏi TSF thực thi các SFP phù hợp sử dụng một chức năng chính xác và đơn nghĩa kết hợp với các thuộc tính an toàn với dữ liệu người dùng được xuất ra.
10.4.3. Quản lý của FDP_ETC.1
Không có các hoạt động quản lý nào.
10.4.4. Quản lý của FDP_ETC.2
Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:
a) Các quy tắc kiểm soát xuất bổ sung có thể được cấu hình bởi người dùng trong một vai trò định nghĩa trước.
10.4.5. Kiểm toán của FDP_ETC.1, FDP_ETC.2
Các hành động sau đây có thể được kiểm toán, nếu FAU_GEN Tạo dữ liệu kiểm toán được đặt trong PP/ST
a) Tối thiểu: Xuất thành công thông tin.
b) Cơ sở: Tất cả các nỗ lực để xuất thông tin.
10.4.6. FDP_ETC.1 Xuất dữ liệu người dùng không có các thuộc tính an toàn
Phân cấp từ: Không có các thành phần nào.
Các mối phụ thuộc: [FDP_ACC.1 Kiểm soát truy nhập tập con, hoặc
FDP_ETC.1 Kiểm soát luồng thông tin tập con].
10.4.6.1. FDP_ETC.1.1 TSF cần thực thi [chỉ định: kiểm soát truy nhập SFP và/hoặc kiểm soát luồng thông tin SFP] khi xuất dữ liệu người dùng, được kiểm soát dưới SFP, bên ngoài của TOE. 10.4.6.2. FDP_ETC.1.2 TSF cần xuất dữ liệu người dùng không có các thuộc tính an toàn kết hợp với dữ liệu người dùng. 10.4.7. FDP_ETC.2 Xuất dữ liệu người dùng với các thuộc tính an toàn
Phân cấp từ: Không có các thành phần nào.
Các mối phụ thuộc: [FDP_ACC.1 Kiểm soát truy nhập tập con, hoặc
FDP_IFC.1 Kiểm soát luồng thông tin tập con]
10.4.7.1. FDP_ETC.2.1 10.4.7.2. FDP_ETC.2.2 TSF cần xuất dữ liệu người dùng với các thuộc tính an toàn kết hợp với dữ liệu người dùng. 10.4.7.3. FDP_ETC.2.3 TSF cần đảm bảo rằng các thuộc tính an toàn, khi xuất ra ngoài TOE là duy nhất được kết hợp với dữ liệu người dùng được xuất ra. 10.4.7.4. FDP_ETC.2.4 TSF thực thi các quy tắc sau khi dữ liệu người dùng được xuất ra từ TOE: [chỉ định: các quy tắc kiểm soát dữ liệu xuất ra bổ sung]. 10.5. Chính sách kiểm soát luồng thông tin (FDP_IFC) 10.5.1. Hành xử của họ
Họ này chỉ ra kiểm soát luồng thông tin SFPs (theo tên) và định nghĩa phạm vi kiểm soát của mỗi chính sách kiểm soát luồng thông tin SFP. Phạm vi kiểm soát được biểu diễn với ba tập: Các chủ thể chịu sự kiểm soát của chính sách, thông tin dưới sự kiểm soát của chính sách và các hoạt động gây ra chuyển luồng thông tin có kiểm soát ra và vào chủ thể kiểm soát bao trùm bởi chính sách. Các tiêu chí cho phép nhiều chính sách tồn tại, mỗi cái có một tên duy nhất. Điều này thực hiện bằng việc lặp lại các thành phần từ họ này với mỗi chính sách kiểm soát luồng thông tin đã đặt tên. Các quy tắc định nghĩa các chức năng của kiểm soát luồng thông tin SFP sẽ được định nghĩa bởi các họ khác như các chức năng kiểm soát luồng thông tin (FDP_IFF) và Xuất dữ liệu ra ngoài TOE (FDP_ETC). Tên của kiểm soát luồng thông tin SFP xác định chính sách kiểm soát luồng thông tin (FDP_IFC) có nghĩa là được sử dụng liên tục phần còn lại của các thành phần chức năng mà có một hoạt động gọi phép ấn định hoặc phép chọn của “kiểm soát luồng thông tin SFP”.
Cơ chế TSF kiểm soát luồng tin phù hợp với chính sách kiểm soát luồng thông tin SFP. Các hoạt động mà có thể thay đổi các thuộc tính an toàn của thông tin là không được phép nói chung, do điều đó sẽ phá hoại việc kiểm soát luồng thông tin SFP. Mặc dù các hoạt động như thế sẽ được giới hạn như các trường hợp ngoại lệ để kiểm soát luồng thông tin nếu được chỉ ra rõ ràng.
10.5.2. Phân mức thành phần
FDP_IFC.1 Kiểm soát luồng thông tin tập con, đòi hỏi mỗi kiểm soát luồng thông tin được chỉ ra SFP được đặt tại vị trí cho tập con của các hoạt động có thể trong tập con của các luồng thông tin trong TOE.
FDP_IFC.2 Kiểm soát luồng thông tin đầy đủ, đòi hỏi mỗi kiểm soát luồng thông tin được xác định SFP bao trùm tất cả các hoạt động trên các chủ thể và thông tin được bao trùm bởi SFP. Nếu các yêu cầu thêm với tất cả thông tin chuyển tới và hoạt động với TSC được bao trùm ít nhất bởi một kiểm soát luồng thông tin được xác định SFP. Trong sự kết nối với thành phần FPT_RVM.1, điều này mang lại khía cạnh “luôn viện dẫn” của giám sát tham chiếu.
10.5.3. Quản lý của FDP_IFC.1, FDP_IFC.2
Không có các hoạt động quản lý nào.
10.5.4. Kiểm tra của FDP_IFC.1, FDP_IFC.2
Không có các hoạt động quản lý nào.
10.5.5. FDP_IFC.1 Kiểm soát luồng thông tin tập con
Phân cấp từ: Không có các thành phần nào.
Các mối phụ thuộc: FDP_IFF.1.1 Các thuộc tính đơn giản
10.5.5.1. FDP_IFC.1.1 10.5.6. FDP_IFC Kiểm soát luồng thông tin đầy đủ
Phân cấp từ: FDP_IFC.1 Kiểm soát luồng thông tin tập con
Các mối phụ thuộc: FDP_IFF Các thuộc tính an toàn đơn giản.
10.5.6.1. FDP_IFC.2.1
TSF cần thực thi [chỉ định: kiểm soát luồng thông tin SFP] trong [chỉ định: danh sách của các chủ thể và thông tin] và tất cả các hoạt động mà là nguyên nhân thông tin chuyển tới và từ các chủ thể được bao trùm bởi SFP].
10.6.2. Phân mức thành phần
FDP_IFF.1 Các thuộc tính an toàn đơn giản, đòi hỏi các thuộc tính an toàn trên thông tin, và trong các chủ thể là nguyên nhân thông tin chuyển tới và trong các chủ thể mà hành động như là bên nhận thông tin đó. Nó chỉ ra các quy tắc này cần được thực thi bởi chức năng và mô tả các thuộc tính an toàn được lấy từ chức năng như thế nào.
FDP_IFF.2 Các thuộc tính an toàn phân cấp mở rộng các yêu cầu của FDP_IFF.1 Các thuộc tính an toàn đơn giản, bằng cách đòi hỏi tất cả SFP kiểm soát luồng thông tin trong tập các SFP sử dụng các thuộc tính an toàn phân cấp tạo thành một lưới mắt cáo (như định nghĩa trong toán học). FDP_IFF.2.6 được dẫn xuất từ các đặc tính của lưới mắt cáo về mặt toán học. Một lưới mắt cáo bao gồm một tập các phần tử với một mối quan hệ đặt hàng với thuộc tính đã định nghĩa ở dòng đầu tiên; một giới hạn dưới lớn nhất mà tại đó phần tử duy nhất trong tập lớn hơn hay bằng (trong mối quan hệ đặt hàng) với mọi phần tử khác của lưới mắt cáo; và một giới hạn trên bé nhất mà tại đó phần tử duy nhất trong tập nhỏ hơn hoặc bằng với mọi phần tử khác của lưới mắt cáo.
FDP_IFF.3 Giới hạn các luồng thông tin bất hợp pháp, đòi hỏi SFP bao trùm các luồng thông tin bất hợp pháp, song không cần thiết phải loại trừ chúng.
FDP_IFF.4 Loại trừ từng phần các luồng thông tin bất hợp pháp, đòi hỏi SFP bao trùm một số (nhưng không cần thiết là tất cả) các luồng thông tin bất hợp pháp.
FDP_IFF.5 Không chứa các luồng thông tin bất hợp pháp, đòi hỏi SFP bao trùm phần loại trừ của tất cả các luồng thông tin bất hợp pháp.
FDP_IFF.6 Giám sát các luồng thông tin bất hợp pháp, đòi hỏi SFP giám sát các luồng thông tin bất hợp pháp về khả năng tối đa và danh nghĩa.
10.6.3. Quản lý của FDP_IFF.1, FDP_IFF.2
Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:
a) Quản lý các thuộc tính sử dụng để thực hiện các quyết định dựa trên truy nhập.
10.6.4. Quản lý của FDP_IFF.3, FDP_IFF.4, FDP_IFF.5
Không có các hoạt động quản lý nào.
10.6.5. Quản lý của FDP_IFF.6
Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:
a) Bật hoặc tắt chức năng giám sát
b) Thay đổi khả năng tối đa khi có sự giảm sát xuất hiện.
10.6.6. Kiểm toán của FDP_IFF.1, FDP_IFF.2, FDP_IFF.5
Các hành động sau đây có thể được kiểm toán, nếu FAU_GEN Tạo dữ liệu kiểm toán được đặt trong PP/ST:
a) Tối thiểu: Các quyết định cho phép các luồng thông tin được yêu cầu
b) Cơ sở: Tất cả các quyết định dựa trên các đòi hỏi về luồng thông tin.
c) Chi tiết: Các thuộc tính an toàn đặc biệt sử dụng để ra quyết định về thực thi luồng thông tin.
d) Chi tiết: Một vài tập con đặc biệt của thông tin được đưa đến dựa trên các đích chính sách (ví dụ Kiểm tra về vật liệu đánh giá thấp)
10.6.7. Kiểm toán của FDP_IFF.3, FDP_IFF.4, FDP_IFF.6
Các hành động sau đây có thể được kiểm toán, nếu FAU_GEN Tạo dữ liệu kiểm toán được đặt trong PP/ST:
a) Tối thiểu: Các quyết định cho phép các luồng thông tin được yêu cầu
b) Cơ sở: Tất cả các quyết định dựa trên các đòi hỏi về luồng thông tin
c) Cơ sở: Sử dụng các kênh luồng thông tin không hợp pháp được xác định
d) Chi tiết: Các thuộc tính an toàn đặc biệt sử dụng để ra quyết định về thực thi luồng thông tin.
e) Chi tiết: Một vài tập con đặc biệt của thông tin được đưa đến dựa trên các đích chính sách (ví dụ Kiểm tra về vật liệu đánh giá thấp).
f) Chi tiết: Sử dụng các kênh luồng thông tin không hợp pháp được xác định với khả năng loại trừ tối đa vượt quá một giá trị danh nghĩa.
10.6.8. FDP_IFF.1 Các thuộc tính an toàn đơn giản
Phân cấp từ: Không có các thành phần nào.
Các mối phụ thuộc: FDP_IFC.1 Kiểm soát luồng thông tin tập con
FMT_MSA.3 Khởi tạo thuộc tính tĩnh
10.6.8.1. FDP_IFF.1.1 10.6.8.2. FDP_IFF.1.2 10.6.8.3. FDP_IFF.1.3 10.6.8.4. FDP_IFF.1.4 10.6.8.5. FDP_IFF.1.5 TSF cần cấp phép rõ ràng một luồng thông tin dựa trên những quy tắc sau đây: [chỉ định: các quy tắc, dựa theo các thuộc tính an toàn, từ chối rõ ràng các luồng thông tin]. 10.6.9. FDP_IFF.2 Các thuộc tính an toàn phân cấp
Phân cấp: FDP_IFF.1 Các thuộc tính an toàn đơn giản.
Các mối phụ thuộc: FDP_IFC.1 Kiểm soát luồng thông tin tập con
FMT_MSA.3 Khởi tạo thuộc tính tĩnh
10.6.9.1. FDP_IFF.2.1 10.6.9.2. FDP_IFF.2.2
TSF cần cho phép thông tin đến từ giữa các chủ thể được kiểm soát và thông tin được kiểm soát qua hoạt động kiểm soát nếu các quy tắc sau, dựa theo mối quan hệ đặt hàng giữa các thuộc tính an toàn, được thực hiện: [chỉ định: với mỗi hoạt động, mối quan hệ dựa trên các thuộc tính an toàn cần phải áp dụng giữa chủ thể và các thuộc tính an toàn thông tin].
10.6.9.3. FDP_IFF.2.3
TSF cần thực thi [chỉ định: các quy tắc kiểm soát luồng thông tin SFP bổ sung]
10.6.9.4. FDP_IFF.2.4
TSF cần cấp phép rõ ràng một luồng thông tin dựa trên những quy tắc sau đây: [chỉ định: các quy tắc, dựa theo các thuộc tính an toàn, cấp phép rõ ràng cho các luồng thông tin].
10.6.9.5. FDP_IFF.2.5
TSF cần từ chối rõ ràng một luồng thông tin dựa trên những quy tắc sau đây: [chỉ định: các quy tắc dựa theo các thuộc tính an toàn, từ chối rõ ràng các luồng thông tin].
10.6.9.6. FDP_IFF.2.6 a) Tồn tại một chức năng yêu cầu sao cho với hai thuộc tính an toàn hợp lệ, thì chức năng này sẽ quyết định các thuộc tính an toàn giống nhau, hoặc một thuộc tính an toàn lớn hơn cái còn lại, hoặc các thuộc tính an toàn không thể so sánh được. b) Tồn tại “biên trên nhỏ nhất” trong tập các thuộc tính an toàn, sao cho, với bất kỳ hai thuộc tính an toàn hợp lệ nào, sẽ có một thuộc tính an toàn hợp lệ lớn hơn hoặc bằng hai thuộc tính an toàn hợp lệ kia, và c) Tồn tại một “biên dưới lớn nhất” trong tập các thuộc tính an toàn, sao cho, với bất kỳ hai thuộc tính an toàn hợp lệ nào, sẽ có một thuộc tính an toàn hợp lệ không lớn hơn hai thuộc tính an toàn hợp lệ kia. 10.6.10. FDP_IFF.3 Giới hạn các luồng thông tin bất hợp pháp
Phân cấp từ: Không có các thành phần nào.
Các mối phụ thuộc: FDP_IFC.1 Kiểm soát luồng thông tin tập con
10.6.10.1. FDP_IFF.3.1 10.6.11. FDP_IFF.4 Loại trừ từng phần các luồng thông tin bất hợp pháp
Phân cấp từ: FDP_IFF.2 Giới hạn các luồng thông tin bất hợp pháp.
Các mối phụ thuộc: FDP_IFF.1 Kiểm soát luồng thông tin tập con.
10.6.11.1. FDP_IFF.4.1
TSF cần thực thi [chỉ định: Kiểm soát luồng thông tin SFP] để giới hạn khả năng của [chỉ định: các kiểu luồng thông tin bất hợp pháp] đến một [chỉ định: khả năng tối đa].
10.6.11.2. FDP_IFF.4.2 10.6.12. FDP_IFF.5 Không có các luồng thông tin bất hợp pháp
Phân cấp từ: FDP_IFF.4 Loại trừ từng phần các luồng thông tin bất hợp pháp.
Các mối phụ thuộc: FDP_IFC.1 Kiểm soát luồng thông tin tập con.
10.6.12.1. FDP_IFF.5.1 10.6.13. FDP_IFF.6 10.7. Nhập dữ liệu từ bên ngoài TOE (FDP_TOE) 10.7.1. Hành xử của họ
Họ này định nghĩa các cơ chế để đưa dữ liệu người dùng vào trong TOE như vậy nó có các thuộc tính an toàn tương ứng và được bảo vệ phù hợp. Nó được quan tâm với các giới hạn trong nhập, quyết định các thuộc tính an toàn mong muốn và trình bày các thuộc tính an toàn kết hợp với dữ liệu người dùng.
10.7.2. Phân mức thành phần
FDP_ITC.1 Nhập dữ liệu người dùng không có các thuộc tính an toàn, đòi hỏi các thuộc tính an toàn biểu diễn chính xác dữ liệu người dùng và được hỗ trợ phân tách từ đối tượng này.
FDP_ITC.2 Nhập dữ liệu người dùng với các thuộc tính an toàn, đòi hỏi các thuộc tính an toàn biểu diễn chính xác dữ liệu người dùng và kết hợp chính xác và rõ ràng với dữ liệu người dùng từ bên ngoài TSC.
10.7.3. Quản lý của FDP_ITC.1, FDP_ITC.2
Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:
a) Thay đổi các quy tắc kiểm soát bổ sung sử dụng cho nhập dữ liệu.
10.7.4. Kiểm toán của FDP_ITC.1, FDP_ITC.2
Các hành động sau đây có thể được kiểm toán, nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn chứa trong PP/ST:
a) Tối thiểu: nhập vào thành công dữ liệu người dùng, bao gồm bất kỳ các thuộc tính an toàn nào
b) Cơ sở: Tất cả các nỗ lực để nhập vào dữ liệu người dùng, bao gồm bất kỳ các thuộc tính an toàn nào.
c) Chi tiết: Các đặc tả của các thuộc tính an toàn cho dữ liệu an toàn được nhập vào được quy định bởi người dùng có ủy quyền.
10.7.5. FDP_ITC.1 Nhập dữ liệu người dùng không có các thuộc tính an toàn
Phân cấp từ: Không có các thành phần nào.
Các mối phụ thuộc: [FDP_ACC.1 Kiểm soát truy cập tập con, hoặc
FDP_IFC.1 Kiểm soát luồng thông tin tập con
FMT_MSA.3 Khởi tạo các thuộc tính tĩnh
10.7.5.1. FDP_ITC.1.1 10.7.5.2. FDP_ITC.1.2 TSF cần bỏ qua bất kỳ các thuộc tính an toàn nào kết hợp với dữ liệu người dùng khi nhập dữ liệu người dùng từ bên ngoài TOE. 10.7.5.3. FDP_ITC.1.3 10.7.6. FDP_ITC.2 Nhập dữ liệu người dùng với các thuộc tính an toàn
Phân cấp từ: Không có các thành phần nào.
Các mối phụ thuộc: [FDP_ACC.1 Kiểm soát truy nhập tập con, hoặc
FDP_IFC.1 Kiểm soát luồng thông tin tập con]
[FTP_ITC.1 Kênh tin cậy liên-TSF, hoặc
FTP_TRP.1 đường dẫn tin cậy]
FPT_TDC.1 Nhất quán dữ liệu TSF cơ bản liên-TSF
10.7.6.1. FDP_ITC.2.1 TSF cần thực thi [chỉ định: kiểm soát truy nhập SFP và/hoặc kiểm soát luồng thông tin SFP] khi nhập dữ liệu người dùng, được kiểm soát dưới SFP, từ bên ngoài của TOE. 10.7.6.2. FDP_ITC.2.2 TSF cần sử dụng các thuộc tính an toàn kết hợp với dữ liệu người dùng được nhập vào. 10.7.6.3. FDP_ITC.2.3 TSF cần đảm bảo rằng giao thức sử dụng để cung cấp với sự kết hợp rõ ràng giữa các thuộc tính an toàn và dữ liệu người dùng nhận được. 10.7.6.4. FDP_ITC.2.4 TSF cần đảm bảo rằng việc biểu diễn các thuộc tính an toàn của dữ liệu người dùng được nhập vào như là nguồn dữ liệu người dùng dự định. 10.7.6.5. FDP_ITC.2.5 10.8. Vận chuyển nội bộ TOE (FDP_ITT) 10.8.1. Hành xử của họ
Họ này quy định các yêu cầu đề cập đến bảo vệ dữ liệu người dùng khi nó được chuyển giao giữa các phần của TOE qua một kênh bên trong. Điều này có thể trái ngược với các họ Bảo vệ vận chuyển bí mật dữ liệu người dùng liên – TSF (FDP_UCT) và Bảo vệ vận chuyển toàn vẹn dữ liệu người dùng liên-TSF (FDP_UIT), cung cấp tính năng bảo vệ dữ liệu người dùng khi vận chuyển chúng giữa các TSF khác nhau qua các kênh bên ngoài, và Xuất dữ liệu từ TOE (FDP_ETC), Nhập dữ liệu từ bên ngoài TOE (FDP_ITC) đề cập đến việc vận chuyển trung gian TSF cho dữ liệu ra khỏi TOE và từ bên ngoài vào TOE.
10.8.2. Phân mức thành phần
FDP_ITT.1 Bảo vệ vận chuyển nội bộ cơ sở, đòi hỏi dữ liệu người dùng được bảo vệ khi truyền giữa các phần của TOE.
FDP_ITT.3 Giám sát toàn vẹn, đòi hỏi TSF giám sát dữ liệu người dùng được truyền giữa các phần của TOE với các lỗi toàn vẹn dữ liệu được chỉ ra.
10.8.3. Quản lý của FDP_ITT.1, FDP_ITT.2
Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:
a) Nếu TSF quy định nhiều phương pháp để bảo vệ dữ liệu người dùng trong thời gian truyền giữa các phần vật lý được phân tách bởi TOE, TSF có thể đưa ra các tập phân vai được định nghĩa trước với khả năng lựa chọn phương pháp sẽ được sử dụng.
10.8.4. Quản lý của FDP_ITT.3, FDP_ITT.4
Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:
a) Đặc tả của các hoạt động được thực hiện dựa trên phát hiện lỗi toàn vẹn có thể được cấu hình
10.8.5. Kiểm toán của FDP_ITT.1, FDP_ITT.2
Các hành động sau đây có thể được kiểm toán, nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn chứa trong PP/ST:
a) Tối thiểu: các chuyển giao thành công dữ liệu người dùng, bao gồm xác định phương pháp bảo vệ được sử dụng.
b) Cơ sở: Tất cả các nỗ lực để chuyển giao dữ liệu người dùng, bao gồm phương pháp bảo vệ được sử dụng và bất kỳ lỗi nào xuất hiện.
10.8.6. Kiểm toán của FDP_ITT.3, FDP_ITT.4
Các hành động sau đây có thể được kiểm toán, nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn chứa trong PP/ST:
a) Tối thiểu: các chuyển giao thành công dữ liệu người dùng, bao gồm xác định phương pháp bảo vệ toàn vẹn được sử dụng.
b) Cơ sở: Tất cả các nỗ lực để chuyển giao dữ liệu người dùng, bao gồm phương pháp bảo vệ toàn vẹn được sử dụng và bất kỳ lỗi nào xuất hiện.
c) Cơ sở: Các nỗ lực không được ủy quyền để thay đổi phương pháp bảo vệ toàn vẹn.
d) Chi tiết: Hành động được thực hiện dựa trên phát hiện về lỗi toàn vẹn.
10.8.7. FDP_ITT.1 Bảo vệ vận chuyển nội bộ cơ sở
Phân cấp từ: Không có các thành phần nào.
Các mối phụ thuộc: [FDP_ACC.1 Kiểm soát truy nhập tập con, hoặc
FDP_IFC.1 Kiểm soát luồng thông tin tập con]
10.8.7.1. FDP_ITT.1.1 10.8.8. FDP_ITT.2 Phân tách truyền tải bởi các thuộc tính
Phân cấp từ: FDP_ITT.1 Bảo vệ vận chuyển nội bộ cơ sở
Các mối phụ thuộc: [FDP_ACC.1 Kiểm soát truy nhập tập con, hoặc
FDP_IFC.1 Kiểm soát luồng thông tin tập con]
10.8.8.1. FDP_ITT.2.1
TSF cần thực thi [chỉ định: kiểm soát truy nhập SFP và/hoặc kiểm soát luồng thông tin SFP] để ngăn chặn [lựa chọn: phơi bày, thay đổi, không sử dụng được] với dữ liệu người dùng khi nó được truyền giữa các phần vật lý phân tách của TOE.
10.8.8.2. FDP_ITT.2.2 10.8.9. FDP_ITT.3 Giám sát toàn vẹn
Phân cấp từ: Không có các thành phần nào.
Các mối phụ thuộc: [FDP_ACC.1 Kiểm soát truy nhập tập con, hoặc
FDP_IFC.1 Kiểm soát luồng thông tin tập con]
FDP_ITT.1 Bảo vệ vận chuyển nội bộ cơ sở
10.8.9.1. FDP_ITT.3.1 10.8.9.2. FDP_ITT.3.2 10.8.10. FDP_ITT.4 Giám sát toàn vẹn dựa trên thuộc tính
Phân cấp từ FDP_ITT.3 giám sát toàn vẹn
Các mối phụ thuộc: [FDP_ACC.1 Kiểm soát truy nhập tập con, hoặc
FDP_IFC.1 Kiểm soát luồng thông tin tập con]
FDP_ITT.2 Phân tách truyền theo thuộc tính
10.8.10.1. FDP_ITT.4.1
TSF cần thực thi [chỉ định: Kiểm soát truy nhập SFP và/hoặc kiểm soát luồng thông tin SFP] thông qua giám sát dữ liệu người dùng được truyền giữa các phần vật lý phân tách của TOE theo các lỗi sau: [chỉ định: các lỗi toàn vẹn], dựa theo các thuộc tính sau: [chỉ định: các thuộc tính an toàn đòi hỏi phân tách truyền kênh].
10.8.10.2. FDP_ITT.4.2
Dựa trên các phát hiện về toàn vẹn dữ liệu, TSF cần [chỉ định: chỉ ra các hành động được thực hiện dựa trên lỗi toàn vẹn dữ liệu].
10.9. Bảo vệ thông tin dư thừa (FDP_RIP) 10.9.1. Hành xử của họ
Họ này đề cập đến sự cần thiết đảm bảo rằng các thông tin bị xóa sẽ không thể truy nhập sau đó, và các đối tượng được tạo gần nhất không chứa các thông tin mà không thể truy nhập. Họ này đòi hỏi bảo vệ thông tin được xóa hoặc giải phóng lô-gic, nhưng vẫn có thể được biểu diễn bên trong tài nguyên có kiểm soát của TSF và do vậy có thể được cấp phát lại cho đối tượng khác.
10.9.2. Phân mức thành phần
FDP_RIP.1 Bảo vệ thông tin dư thừa tập con, yêu cầu TSF đảm bảo rằng bất kỳ nội dung thông tin dư thừa nào của bất kỳ nguồn nào là không sẵn sàng với một tập con được định nghĩa của các đối tượng trong TSC dựa trên cấp phát hoặc hủy cấp phát tài nguyên.
FDP_RIP.2 Bảo vệ thông tin dư thừa đầy đủ, yêu cầu TSF đảm bảo rằng bất kỳ nội dung thông tin dư thừa của bất kỳ nguồn nào là không sẵn sàng với tất cả các đối tượng dựa trên cấp phát hoặc hủy cấp phát tài nguyên.
10.9.3. Quản lý của FDP_RIP.1, FDP_RIP.2
Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:
a) Lựa chọn khi thực hiện bảo vệ thông tin dư thừa (ví dụ dựa trên cấp phát hoặc hủy cấp phát) có thể được cấu hình bên trong TOE
10.9.4. Kiểm toán của FDP_RIP.1, FDP_RIP.2
Không có sự kiện có thể kiểm toán nào.
10.9.5. FDP_RIP.1 Bảo vệ thông tin dư thừa tập con
Phân cấp từ: Không có các thành phần nào.
Các mối phụ thuộc: Không có mối phụ thuộc nào.
10.9.5.1. FDP_RIP.1.1 10.9.6. FDP_RIP.2 Bảo vệ thông tin dư thừa đầy đủ
Phân cấp từ: FDP_RIP.1 Bảo vệ thông tin dư thừa tập con
Các mối phụ thuộc: Không phụ thuộc
10.9.6.1. FDP_RIP.2.1
TSF cần đảm bảo bất kỳ nội dung thông tin trước đó của tài nguyên được thực hiện không sẵn có dựa trên [lựa chọn: cấp phát tài nguyên cho, hủy cấp phát của các tài nguyên từ] tất cả các đối tượng.
10.10.2. Phân mức thành phần
FDP_ROL.1 Trở lại trạng thái trước cơ bản đề cập đến sự cần thiết hoặc dưới một số giới hạn các hoạt động bên trong các ranh giới được định nghĩa.
FDP_ROL.2 Trở lại trạng thái trước nâng cao đề cập đến sự cần thiết quay lại trạng thái trước đó hoặc không thực hiện tất cả các hoạt động bên trong ranh giới được định nghĩa.
10.10.3. Quản lý của FDP_ROL.1, FDP_ROL.2
Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:
a) Giới hạn biên theo đó việc trở lại trạng thái trước đó có thể được thực hiện và các mẫu được cấu hình bên trong TOE
b) Cho phép thực hiện hoạt động quay lại trạng thái trước có thể bị ngăn cản với tập phân vai được định nghĩa tốt.
10.10.4. Kiểm toán của FDP_ROL.1, FDP_ROL.2
Các hành động sau đây có thể được kiểm toán, nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn chứa trong PP/ST:
a) Tối thiểu: tất cả các hoạt động thực hiện thành công để quay trở lại trạng thái trước đó
b) Cơ sở: Tất cả các nỗ lực để thực hiện quay trở lại trạng thái trước đó
c) Chi tiết: Tất cả các nỗ lực để thực hiện quay trở lại trạng thái trước đó, bao gồm việc định danh các kiểu thực hiện quay trở lại trạng thái trước
10.10.5. FDP_ROL.1 Khôi phục cơ bản
Phân cấp từ: Không có các thành phần nào.
Các mối phụ thuộc: [FDP_ACC.1 Kiểm soát truy nhập tập con, hoặc
FDP_IFC.1 Kiểm soát luồng thông tin tập con]
10.10.5.1. FDP_ROL.1.1 10.10.5.2. FDP_ROL.1.2 10.10.6. FDP_ROL.2 Khôi phục cải tiến
Phân cấp từ: FDP_ROL.1 Khôi phục cơ bản
Các mối phụ thuộc: [FDP_ACC.1 Kiểm soát truy nhập tập con, hoặc
FDP_IFC.1 Kiềm soát luồng thông tin tập con]
10.10.6.1. FDP_ROL.2.1
TSF cần thực thi [chỉ định: kiểm soát truy nhập SFP và/hoặc kiểm soát luồng thông tin SFP] để cho phép khôi phục lại toàn bộ hoạt động trên [chỉ định: danh sách các đối tượng]
10.10.6.2. FDP_ROL.2.2
TSF cần cho phép các hoạt động có thể khôi phục lại trong khoảng [chỉ định: giới hạn biên cho việc khôi phục có thể thực hiện]
10.11. Toàn vẹn dữ liệu lưu trữ (FDP_SDI) 10.11.1. Hành xử của họ
Họ này quy định các yêu cầu đề cập đến việc bảo vệ dữ liệu người dùng khi nó được lưu trữ trong TSC. Các lỗi toàn vẹn có thể ảnh hưởng đến việc lưu trữ dữ liệu người dùng trong bộ nhớ hoặc trong thiết bị lưu trữ. Họ này khác với chuyển giao TOE nội bộ (FDP_ITT) mà bảo vệ dữ liệu người dùng khỏi các lỗi toàn vẹn khi đang được truyền bên trong TOE.
10.11.2. Phân mức thành phần
FDP_SDI.1 Giám sát toàn vẹn dữ liệu lưu trữ, đòi hỏi bộ giám sát dữ liệu người dùng SF được lưu trữ trong TSC cho các lỗi toàn vẹn được chỉ ra
FDP_SDI.2 Giám sát toàn vẹn dữ liệu lưu trữ và các hành động thêm vào để bổ sung cho khả năng đến thành phần đầu tiên bởi việc cho phép các hoạt động được thực hiện như kết quả của phát hiện lỗi.
10.11.3. Quản lý của FDP_SDI.1
Không có các hoạt động quản lý nào.
10.11.4. Quản lý của FDP_SDI.2
Các hành động sau đây có thể được kiểm toán, nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn chứa trong PP/ST:
a) Tối thiểu: Các nỗ lực thành công để soát xét sự toàn vẹn của dữ liệu người dùng, bao gồm biểu thị của các kết quả soát xét
b) Cơ sở: Tất cả các nỗ lực để soát xét toàn vẹn của dữ liệu, bao gồm biểu thị của các kết quả soát xét nếu được thực hiện.
c) Chi tiết: Kiểu lỗi toàn vẹn mà đã xuất hiện
d) Chi tiết: Các hành động được thực hiện dựa trên phát hiện về các lỗi toàn diện.
10.11.6. Kiểm toán của FDP_SDI.2
Các hành động sau đây có thể được kiểm tra nếu FAU_GEN Tạo dữ liệu kiểm tra được đặt trong PP/ST:
e) Tối thiểu: Các nỗ lực thành công để soát xét sự toàn vẹn của dữ liệu người dùng, bao gồm biểu thị của các kết quả soát xét
f) Cơ sở: Tất cả các nỗ lực để soát xét sự toàn vẹn của dữ liệu, bao gồm biểu thị của các kết quả soát xét nếu được thực hiện.
g) Chi tiết: Kiểu lỗi toàn vẹn mà đã xuất hiện
h) Chi tiết: Các hành động được thực hiện dựa trên phát hiện về các lỗi toàn diện.
10.11.7. FDP_SDI.1 Giám sát toàn vẹn dữ liệu lưu trữ
Phân cấp từ: Không có các thành phần nào.
Các mối phụ thuộc: Không phụ thuộc
10.11.7.1. FDP_SDI.1.1 10.11.8. FDP_SDI.2 Giám sát toàn vẹn dữ liệu lưu trữ và hành động
Phân cấp từ: FDP_SDI.1 Giám sát toàn vẹn lưu trữ dữ liệu
Các mối phụ thuộc: không phụ thuộc
10.11.8.1. FDP_SDI.2.1
TSF cần giám sát dữ liệu người dùng được lưu trữ trong TSC cho [chỉ thị: các lỗi toàn vẹn] trên tất cả các đối tượng, dựa trên các thuộc tính sau: [chỉ thị: các thuộc tính dữ liệu người dùng]
10.11.8.2. FDP_SDI.2.2 Dựa trên phát hiện về lỗi toàn vẹn dữ liệu, TSF cần [chỉ thị: hành động được thực hiện] 10.12. Bảo vệ vận chuyển bí mật dữ liệu người dùng liên-TSF (FDP_UCT) 10.12.1. Hành xử của họ
Họ này định nghĩa các yêu cầu để đảm bảo sự tin cậy của dữ liệu người dùng khi nó được chuyển giao sử dụng kênh ngoài giữa các TOE khác nhau hoặc người dùng trong các TOE khác nhau.
10.12.2. Phân mức thành phần
Trong FDP_UCT.1 Trao đổi dữ liệu tin cậy cơ bản, mục đích đặt ra là bảo vệ chống lại sự khai thác dữ liệu người dùng khi truyền.
10.12.3. Quản lý của FDP_UCT.1
Không có các hoạt động quản lý nào
10.12.4. Kiểm toán của FDP_UCT.1
Các hành động sau đây có thể được kiểm toán, nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn chứa trong PP/ST:
a) Tối thiểu: Định danh của bất kỳ người dùng hoặc thực thể nào sử dụng các cơ chế trao đổi dữ liệu.
b) Cơ sở: Định danh của bất kỳ người dùng hoặc thực thể không được ủy quyền nào cố gắng sử dụng các cơ chế trao đổi dữ liệu.
c) Cơ sở: Một tham chiếu đến tên hoặc thông tin đánh chỉ mục hữu ích khác trong việc xác định dữ liệu người dùng được truyền hay nhận. Nó bao gồm các thuộc tính an toàn kết hợp với thông tin.
10.12.5. FDP_UCT.1 Bí mật trao đổi dữ liệu cơ bản
Phân cấp từ: Không có các thành phần nào
Các mối phụ thuộc: [FTP_ICT.1 Kênh tin cậy TSF, hoặc
FTP_TRP.1 Đường dẫn tin cậy]
[FDP_ACC.1 Kiểm soát truy nhập tập con, hoặc
FDP_IFC.1 Kiểm soát luồng thông tin tập con]
10.12.5.1.FDP_UCT.1.1 TSF cần thực thi [chỉ thị: kiểm soát truy nhập SFP và/hoặc kiểm soát luồng thông tin SFP] có thể [lựa chọn: truyền, nhận] đến các đối tượng theo cách thức được bảo vệ từ việc khai thác không được cấp phép. 10.13. Bảo vệ vận chuyển toàn vẹn dữ liệu người dùng liên-TSF (FDP_UIT) 10.13.1. Hành xử của họ
Họ này định nghĩa các yêu cầu cho quy định sự toàn vẹn của dữ liệu người dùng trong việc truyền giữa TSF và các sản phẩm IT được tin cậy khác và khôi phục từ các lỗi có thể được phát hiện. Tại mức tối thiểu,họ này giám sát sự toàn vẹn của dữ liệu người dùng với các thay đổi. Thêm vào đó, họ này hỗ trợ các cách khác nhau của việc chỉnh sửa các lỗi toàn vẹn được xác định.
10.13.2. Phân mức thành phần
FDP_UIT.1 Toàn vẹn trao đổi dữ liệu đề cập đến sự phát hiện các thay đổi, xóa, thêm, lặp lại lỗi trong dữ liệu người dùng được truyền.
FDP_UIT.2 Khôi phục trao đổi dữ liệu nguồn đề cập đến việc khôi phục dữ liệu người dùng gốc với việc nhận TSF với sự giúp đỡ từ sản phẩm CNTT có nguồn gốc đáng tin cậy.
FDP_UIT.3 Khôi phục trao đổi dữ liệu đích đề cập đến việc khôi phục dữ liệu người dùng với việc nhận TSF của nó mà không có bất kỳ sự trợ giúp nào từ các sản phẩm IT có nguồn gốc tin cậy.
10.13.3. Quản lý của FDP_UIT.1, FDP_UIT.2, FDP_UIT.3
Không có các hoạt động quản lý nào.
10.13.4. Kiểm toán của FDP_UIT.1
Các hành động sau đây có thể được kiểm toán, nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn chứa trong PP/ST:
a) Tối thiểu: Định danh của bất kỳ người dùng hoặc thực thể nào sử dụng các cơ chế trao đổi dữ liệu
b) Cơ sở: Định danh của bất kỳ người dùng hoặc cố gắng sử dụng các cơ chế trao đổi dữ liệu, nhưng lại không được ủy quyền để làm điều đó.
c) Cơ sở: Một tham chiếu đến tên hoặc thông tin đánh chỉ mục đích hữu ích khác trong việc xác định dữ liệu người dùng được truyền hay nhận. Nó bao gồm các thuộc tính an toàn kết hợp với thông tin.
d) Cơ sở: bất kỳ nỗ lực xác định nào để ngăn chặn việc truyền dữ liệu người dùng
e) Chi tiết: các kiểu và/hoặc các ảnh hưởng của bất kỳ sự thay đổi được phát hiện trong truyền dữ liệu người dùng.
10.13.5. Kiểm toán của FDP_UIT.2, FDP_UIT.3
Các hành động sau đây có thể được kiểm tra nếu FAU_GEN Tạo dữ liệu kiểm tra được đặt trong PP/ST
a) Tối thiểu: Định danh của bất kỳ người dùng hoặc thực thể nào sử dụng các cơ chế trao đổi dữ liệu.
b) Tối thiểu: Khối phục thành công các lỗi bao gồm kiểu của lỗi đã được phát hiện
c) Cơ sở: Định danh của bất kỳ người dùng hoặc cố gắng sử dụng các cơ chế trao đổi dữ liệu, nhưng lại không được ủy quyền để làm điều đó.
d) Cơ sở: Một tham chiếu đến tên hoặc thông tin đánh chỉ mục hữu ích khác trong việc xác định dữ liệu người dùng được truyền hay nhận. Nó bao gồm các thuộc tính an toàn kết hợp với thông tin.
e) Cơ sở: bất kỳ nỗ lực xác định nào để ngăn chặn việc truyền dữ liệu người dùng
f) Chi tiết: các kiểu và/hoặc các ảnh hưởng của bất kỳ sự thay đổi được phát hiện trong truyền dữ liệu người dùng.
10.13.6. FDP_UIT.1 Toàn vẹn trao đổi dữ liệu
Phân cấp từ: Không có các thành phần nào.
Các mối phụ thuộc: [FDP_ACC.1 Kiểm soát truy nhập tập con, hoặc
FDP_IFC.1 Kiểm soát luồng thông tin tập con]
FDP_UIT.1 Toàn vẹn trao đổi dữ liệu, hoặc
FTP_ITC.1 Kênh tin cậy liên-TSF]
10.13.6.1. FDP_UIT.1.1 10.13.6.2. FDP_UIT1.2 10.13.7. FDP_UIT.2 Khôi phục trao đổi dữ liệu gốc
Phân cấp từ: Không có các thành phần nào.
Các mối phụ thuộc: [FDP_ACC.1 Kiểm soát truy nhập tập con, hoặc
FDP_IFC.1 kiểm soát luồng thông tin tập con]
FDP_UIT.1 Toàn vẹn trao đổi dữ liệu, hoặc
FTP_ITC.1 Kênh tin cậy liên-TSF]
10.13.7.1. FDP_UIT.2.1 10.13.8. FDP_UIT.3 Khôi phục trao đổi dữ liệu đích
Phân cấp từ: FDP_UIT khôi phục trao đổi dữ liệu nguồn
Các mối phụ thuộc: [FDP_ACC.1 Kiểm soát truy nhập tập con, hoặc
FDP_IFC.1 Kiểm soát luồng thông tin tập con]
FDP_UIT.1 Toàn vẹn trao đổi dữ liệu, hoặc
FTP_ITC.1 Kênh tin cậy liên-TSF]
10.13.8.1. FDP_UIT.3.1
TSF cần thực thi [chỉ định: kiểm soát truy nhập SFP và/hoặc kiểm soát luồng thông tin SFP] có thể khôi phục từ [chỉ thị: danh sách của các lỗi có thể khôi phục] không có bất kỳ sự trợ giúp nào từ các sản phẩm IT có nguồn gốc tin cậy.
11. Lớp FIA: Định danh và xác thực
Các họ trong lớp này gửi những yêu cầu cho những chức năng để thiết lập và xác minh một định danh người dùng đã được yêu cầu.
Yêu cầu định danh và xác thực để đảm bảo rằng người dùng sẽ có các thuộc tính an toàn (ví dụ như: định danh, nhóm, các quy tắc, các mức an toàn hay toàn vẹn).
Danh tính rõ ràng của người dùng có thẩm quyền và việc kết hợp đúng các thuộc tính an toàn với người dùng và các chủ thể then chốt để bắt buộc các chính sách an ninh không mong muốn. Các họ trong lớp này đề cập đến việc xác định và xác minh danh tính của người dùng, xác định người có thẩm quyền của họ để tương tác với TOE, và với việc kết hợp đúng của các thuộc tính an toàn đối với người dùng có thẩm quyền. Các lớp khác của yêu cầu (bảo vệ dữ liệu người dùng, kiểm toán an toàn) phụ thuộc vào việc định danh và xác thực chính xác người dùng thì mới có hiệu lực.
Hình 11 – Phân cấp lớp FIA: Định danh và xác thực 11.1. Các lỗi xác thực (FIA_AFL) 11.1.1. Hành xử của họ
Họ này bao gồm các yêu cầu để định nghĩa các giá trị cho một vài số lượng thử chứng thực mà không thành công và các hành động TSF trong các trường hợp lỗi thử xác thực. Những tham số, không hạn chế, bao gồm số lượng thử xác thực bị lỗi và các ngưỡng thời gian.
11.1.2. Phân mức thành phần
FIA_AFL.1 Xử lý lỗi xác thực, yêu cầu TSF có thể giới hạn các quá trình thiết lập phiên sau khi xác định được số việc thử xác thực thất bại. Sau khi giới hạn quá trình thiết lập phiên, nó cũng yêu cầu TSF có thể khóa tài khoản người dùng hoặc điểm vào (máy trạm) từ lúc thử nghiệm cho tới khi xảy ra điều kiện mà người quản trị đã định nghĩa.
11.1.3. Quản lý của FIA_AFL.1
Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:
a) Quản lý các ngưỡng của việc thử xác thực không thành công.
b) Quản lý các hành động được tạo ra trong sự kiện của lỗi xác thực.
11.1.4. Kiểm toán của FIA_AFL.1
Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
a) Tối thiểu: Đạt được ngưỡng cho việc thử xác thực không thành công và thực hiện các hành động (khóa đầu cuối), sau đó là việc phục hồi trở về trạng thái bình thường (mở lại đầu cuối).
11.1.5. Xử lý lỗi xác thực FIA_AFL.1
Phân cấp từ: Không có các thành phần nào
Các mối phụ thuộc: FIA_UAU.1 Định thời cho xác thực
11.1.5.1. FIA_AFL.1.1 11.1.5.2. FIA_AFL.1.2 11.2. Định nghĩa thuộc tính người dùng (FIA_ATD) 11.2.1. Hành xử của họ
Tất cả người dùng có thẩm quyền có thể có một tập thuộc tính an toàn, những thuộc tính khác định danh người dùng được sử dụng để thực thi TSP. Họ này xác định các yêu cầu về thuộc tính an toàn người dùng liên đới với những người dùng cần để trợ giúp TSP.
11.2.2. Phân mức thành phần
FIA_ATD.1 Xác định thuộc tính người dùng cho phép các thuộc tính an toàn người dùng đối với mỗi người dùng để duy trì một cách riêng lẻ.
11.2.3. Quản lý của FIA_ATD.1
Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:
a) Nếu việc ấn định quá mức ấn định, người quản trị có thẩm quyền phải định nghĩa thêm các thuộc tính an toàn cho người dùng.
11.2.4. Kiểm toán của FIA_ATD.1
Không có các sự kiện có thể kiểm toán nào.
11.2.5. FIA_ATD.1 Định nghĩa thuộc tính người dùng
Phân cấp từ: Không có các thành phần nào.
Các mối phụ thuộc: Không có sự phụ thuộc.
11.2.5.1. FIA_ATD.1.1 TSF cần duy trì danh sách các thuộc tính an toàn mà thuộc về người dùng riêng lẻ: [chỉ định: danh sách các thuộc tính an toàn]. 11.3. Đặc tả các của các bí mật (FIA_SOS) 11.3.1. Hành xử của họ
Họ này định nghĩa các yêu cầu về kỹ thuật để thực thi các tỷ lệ đặc trưng được định nghĩa trong vấn đề bảo mật đã đề cập cũng như là mới phát sinh để đáp ứng tỷ lệ đã định nghĩa.
11.3.2. Phân mức thành phần
FIA_SOS.1 Thẩm tra bảo mật, yêu cầu TSF xác minh các vấn đề bảo mật được thấy trong tỷ lệ đặc trưng đã được định nghĩa.
FIA_SOS.2 TSF Tạo ra các bí mật, yêu cầu TSF có thể phát sinh các vấn đề bảo mật nhận thấy trong tỷ lệ đặc trưng đã định nghĩa.
a) Quản lý các tỷ lệ để xác minh vấn đề bảo mật.
a) Quản lý các tỷ lệ để phát sinh vấn đề bảo mật
11.3.5. Kiểm toán của FIA_SOS.1, FIA_SOS.2
Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
a) Tối thiểu: Việc loại bỏ bởi TSF trong bất kỳ thử nghiệm bảo mật nào.
b) Cơ sở: Việc loại bỏ hoặc chấp nhận bởi TSF trong bất kỳ thử nghiệm bảo mật nào
c) Chi tiết: Định danh của bất kỳ sự thay đổi tới tỷ lệ đặc trưng đã định nghĩa.
11.3.6. FIA_SOS.1 Thẩm tra của các bí mật
Phân cấp từ: Không có các thành phần nào.
Các mối phụ thuộc: Không có sự phụ thuộc nào.
11.3.6.1. FIA_SOS.1.1 11.3.7. FIA_SOS.2 Tạo các bí mật TSF
Phân cấp từ: Không có các thành phần nào
Các mối phụ thuộc: Không có sự phụ thuộc.
11.3.7.1. FIA_SOS.2.1 11.3.7.2. FIA_SOS.2.2 11.4. Xác thực người dùng (FIA_UAU) 11.4.1. Hành xử của họ
Họ này định nghĩa các kiểu cơ chế xác thực người dùng được trợ giúp bởi TSF. Họ này cũng định nghĩa các thuộc tính được yêu cầu trong cơ chế xác thực người dùng phải là các thuộc tính cơ sở.
11.4.2. Phân mức thành phần
FIA_UAU.1 Định thời cho xác thực, cho phép một người dùng thực thi ưu tiên các hành động nào đó hơn là xác thực danh tính của một người dùng.
FIA_UAU.2 Xác thực người dùng trước khi hành động, yêu cầu người dùng là phải được xác thực trước khi bất kỳ hành động nào được cho phép bởi TSF.
FIA_UAU.3 Xác thực không thể giả mạo, yêu cầu cơ chế xác thực có thể phát hiện và ngăn chặn việc sử dụng dữ liệu xác thực đã được giả mạo hay sao chép.
FIA_UAU.4 Các cơ chế xác thực dùng đơn chiếc, yêu cầu một cơ chế thực tính toán với dữ liệu xác thực sử dụng riêng lẻ.
FIA_UAU.5 Các cơ chế đa xác thực, yêu cầu các cơ chế xác thực khác nhau được cung cấp và được sử dụng để xác định danh tính người dùng trong các sự kiện cụ thể.
FIA_UAU.6 Xác thực lại, yêu cầu khả năng để xác định các sự kiện cho người dùng cần được xác thực.
FIA_UAU.7 Phản hồi xác thực có bảo vệ, yêu cầu những thông tin phản hồi hạn chế được quy định cho người dùng trong việc xác thực.
11.4.3. Quản lý của FIA_UAU.1
Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:
a) Quản lý dữ liệu xác thực bởi người quản trị.
b) Quản lý dữ liệu xác thực bởi người dùng cộng tác
c) Quản lý danh sách các hành động mà có thể được thực hiện trước khi người dùng được xác thực.
11.4.4. Quản lý của FIA_UAU.2
Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:
a) Quản lý dữ liệu xác thực bởi người quản trị
b) Quản lý dữ liệu xác thực bởi người dùng cộng tác với dữ liệu này.
11.4.5. Quản lý của FIA_UAU.3, FIA_UAU.4, FIA_UAU.7
Không có các hoạt động quản lý nào.
11.4.6. Quản lý của FIA_UAU.5
Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:
a) Quản lý các cơ chế xác thực
b) Quản lý các quy tắc xác thực
11.4.7. Quản lý của FIA_UAU.6
Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:
a) Nếu người quản trị có thẩm quyền có thể yêu cầu xác thực lại, việc quản lý gồm một yêu cầu xác thực lại.
11.4.8. Kiểm toán của FIA_UAU.1
Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
a) Tối thiểu: Sử dụng cơ chế xác thực không thành công
b) Cơ sở: Sử dụng tất cả các cơ chế xác thực
c) Chi tiết: Tất cả các hành động trung gian TSF được thực thi trước khi xác thực người dùng.
11.4.9. Kiểm toán của FIA_UAU.2
Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
a) Tối thiểu: Sử dụng cơ chế xác thực không thành công
b) Cơ sở: Sử dụng tất cả cơ chế xác thực.
11.4.10. Kiểm toán của FIA_UAU.3
Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
a) Tối thiểu: Phát hiện các dữ liệu xác thực giả mạo.
b) Cơ sở: Tất cả các độ đo trực tiếp được thực hiện và các kết quả kiểm toán trên dữ liệu giả mạo.
11.4.11. Kiểm toán của FIA_UAU.4
Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
a) Tối thiểu: Việc thử dùng lại các dữ liệu xác thực.
11.4.12. Kiểm toán của FIA_UAU.5
Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
a) Tối thiểu: quyết định cuối cùng vào việc xác thực.
b) Cơ sở: Kết quả của mỗi cơ chế hoạt động cùng với quyết định cuối cùng.
11.4.13. Kiểm toán của FIA_UAU.6
Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
a) Tối thiểu: Lỗi xác thực lại;
b) Cơ sở: Tất cả việc thử xác thực lại.
11.4.14. Kiểm toán của FIA_UAU.7
Không có sự kiện có thể kiểm toán nào.
11.4.15. FIA_UAU.1 Định thời cho xác thực
Phân cấp từ: Không có các thành phần nào
Các mối phụ thuộc: FIA_UID.1 Định thời cho định danh
11.4.15.1. FIA_UAU.1.1 TSF cần cho phép [chỉ định: danh sách các hành động trung gian TSF] đại diện cho người dùng thực hiện trước khi người dùng được xác thực. 11.4.15.2. FIA_UAU.1.2 TSF cần yêu cầu người dùng phải xác thực thành công trước khi cho phép các hành động trung gian TSF khác đại diện cho người dùng đó. 11.4.16. FIA_UAU.2 Xác thực người dùng trước khi hành động
Phân cấp từ: FIA_UAU.1 Định thời cho xác thực
Các mối phụ thuộc: FIA_UID.1 Định thời cho định danh
11.4.16.1. FIA_UAU.2.1
TSF cần yêu cầu mỗi người dùng xác thực thành công trước khi cho phép các hành động trung gian TSF khác đại diện cho người dùng đó.
11.4.17. FIA_UAU.3 Xác thực không thể giả mạo
Phân cấp từ: Không có các thành phần nào
Các mối phụ thuộc: Không có sự phụ thuộc
11.4.17.1. FIA_UAU.3.1 11.4.17.2. FIA_UAU.3.2 11.4.18. FIA_UAU.4 Các cơ chế xác thực đơn
Phân cấp từ: Không có các thành phần nào.
Các mối phụ thuộc: Không có sự phụ thuộc nào.
11.4.18.1. FIA_UAU.4.1 11.4.19. FIA_UAU.5 Cơ chế đa xác thực
Phân cấp từ: Không có các thành phần nào
Các mối phụ thuộc: Không có sự phụ thuộc nào.
11.4.19.1. FIA_UAU.5.1 11.4.19.2. FIA_UAU.5.2
TSF cần xác thực bất kỳ định danh yêu cầu của người dùng nào tuân theo [chỉ định: các quy tắc miêu tả các cơ chế đa xác thực quy định việc xác thực như thế nào ].
11.4.20. FIA_UAU.6 Xác thực lại
Phân cấp từ: Không có các thành phần nào
Sự Các mối phụ thuộc: Không có sự phụ thuộc nào.
11.4.20.1. FIA_UAU.6.1 TSF cần xác thực lại người dùng dưới các điều kiện [chỉ định: danh sách các điều kiện dưới mỗi việc xác thực lại được yêu cầu] 11.4.21. FIA_UAU.7 Phản hồi xác thực có bảo vệ
Phân cấp từ: Không có các thành phần nào
Các mối phụ thuộc: FIA_UAU.1 Định thời cho xác thực
11.4.21.1. FIA_UAU.7.1 TSF cần cung cấp chỉ các [chỉ định: danh sách phản hồi] tới người trong khi việc xác thực là đang được tiến hành. 11.5. Định danh người dùng (FIA_UID) 11.5.1. Hành xử của họ
Họ này định nghĩa các điều kiện mà người dùng sẽ được yêu cầu để định danh chúng trước khi thực hiện bất kỳ các hành động khác đã được dàn xếp bởi TSF và điều kiện này yêu cầu định danh người dùng.
11.5.2. Phân mức thành phần
FIA_UID.1 Định thời cho định danh, cho phép người dùng thực hiện các hành động chắc chắn trước khi được định danh bởi TSF.
FIA_UID.2 Định danh người dùng trước khi bất kỳ hành động, yêu cầu người dùng định danh trước khi hành động được cho phép bởi TSF.
11.5.3. Quản lý của FIA_UID.1
Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:
a) Quản lý định danh người dùng
b) Nếu một người quản trị có thẩm quyền có thể: thay đổi các hành động được phép trước khi định danh, quản lý các danh sách hành động.
11.5.4. Quản lý của FIA_UID.2
Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:
a) Quản lý định danh người dùng
11.5.5. Kiểm toán của FIA_UID.1, FIA_UID.2
Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
a) Tối thiểu: Sử dụng cơ chế định danh người dùng không thành công, bao gồm định danh người dùng được quy định.
b) Cơ sở: Tất cả sử dụng cơ chế định danh người dùng, bao gồm định danh người dùng được quy định.
11.5.6. FIA_UID.1 Định thời cho định danh
Phân cấp từ: Không có các thành phần nào
Các mối phụ thuộc: Không có sự phụ thuộc nào.
11.5.6.1. FIA_UID.1.1 11.5.6.2. FIA_UID.1.2 TSF cần yêu cầu mỗi người dùng phải xác định thành công trước khi cho phép các hành động trung gian TSF đại diện cho người dùng đó. 11.5.7. FIA_UID.2 Định danh người dùng trước khi hành động
Phân cấp từ: FIA_UID.1 Định thời cho định danh
Các mối phụ thuộc: Không có sự phụ thuộc nào.
11.5.7.1. FIA_UID.2.1
TSF cần yêu cầu mỗi người dùng xác định danh tính trước khi cho phép bất kỳ các hành động trung gian TSF đại diện cho người dùng đó.
11.6. Liên kết chủ thể – người dùng (FIA_USB) 11.6.1. Hành xử của họ
Một người dùng được xác thực hành động đặc trưng về một chủ đích để sử dụng TOE. Các thuộc tính an toàn người dùng là được kết hợp (tổng thể hoặc từng phần) với chủ đích này. Họ này định nghĩa các yêu cầu để tạo và duy trì sự kết hợp của các thuộc tính an toàn người dùng tới một hành động chủ đích phía đại diện cho người dùng.
11.6.2. Phân mức thành phần
FIA_USB.1 Liên kết chủ thể – người dùng yêu cầu sự ấn định của bất kỳ quy tắc nào bao trùm việc trợ giúp giữa các thuộc tính người dùng và các thuộc tính chủ thể vào trong cái mà chúng được ánh xạ.
11.6.3. Quản lý của FIA_USB.1
Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:
a) Người quản trị có thẩm quyền có thể định nghĩa mặc định các thuộc tính an toàn chủ thể.
b) Người quản trị có thẩm quyền có thể thay đổi các thuộc tính an toàn chủ thể.
11.6.4. Kiểm toán của FIA_USB.1
Các hành động sau nên được kiểm toán, nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đưa vào trong PP/ST:
a) Tối thiểu: Ràng buộc các thuộc tính an toàn người dùng tới một vấn đề là không thành công (ví dụ: việc tạo ra một chủ thể).
b) Cơ sở: Việc thành công hay thất bại của vấn đề ràng buộc các thuộc tính an toàn người dùng tới một chủ thể (ví dụ: việc thành công hay thất bại để tạo một chủ thể)
11.6.5. FIA_USB.1 Liên kết chủ thể – người dùng
Phân cấp từ: Không có các thành phần nào.
Các mối phụ thuộc: FIA_ATD.1 Định nghĩa thuộc tính người dùng
11.6.5.1. FIA_USB.1.1 11.6.5.2. FIA_USB.1.2 11.6.5.3. FIA_USB.1.3 12. Lớp FMT: Quản lý an toàn
Lớp này được dùng để chỉ định quản lý một vài lĩnh vực của TSF: các thuộc tính an toàn, các chức năng và dữ liệu TSF. Các quy tắc quản lý khác nhau và sự tương tác giữa chúng có thể được chỉ rõ như là sự phân tách khả năng.
Lớp này có một vài mục tiêu sau:
a) Quản lý dữ liệu TSF, ví dụ như là: tiêu đề
b) Quản lý các thuộc tính an toàn, ví dụ như là: các Danh sách kiểm soát truy cập và danh sách Năng lực.
c) Quản lý các chức năng của TSF, ví dụ như là: việc lựa chọn các chức năng và các quy tắc hay các điều kiện tác động đến hành vi của TSF.
d) Định nghĩa các vai trò an toàn.
Hình 12 – Sự phân cấp lớp FMT: Quản lý an toàn 12.1. Quản lý các chức năng trong TSF (FMT_MOF) 12.1.1. Hành xử của họ
Họ này cho phép người dùng có thẩm quyền điều khiển thông qua việc quản lý các chức năng trong TSF. Ví dụ về các chức năng trong TSF bao gồm các chức năng kiểm tra và các chức năng đa xác thực.
12.1.2. Phân mức thành phần
FMT_MOF.1 Quản lý hành xử của các chức năng an toàn, cho phép người dùng có thẩm quyền (các quy tắc) để quản lý cơ chế hoạt động của chức năng trong TSF mà sử dụng các quy tắc hay có các điều kiện đặc biệt có thể được quản lý.
12.1.3. Quản lý của FMT_MOF.1
Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:
a) Quản lý nhóm các quy tắc có thể tương tác với các chức năng trong TSF.
12.1.4. Kiểm toán của FMT_MOF.1
Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
a) Cơ sở: tất cả sự thay đổi trong hành vi của các chức năng trong TSF.
12.1.5. FMT_MOF.1 Các cơ chế hoạt động của quản lý chức năng an toàn
Phân cấp từ: Không có các thành phần nào.
Các mối phụ thuộc: FMT_SMR.1 Các vai trò an toàn
FMT_SMF.1 Đặc tả các chức năng quản lý
12.1.5.1. FMT_MOF.1.1 12.2. Quản lý các thuộc tính an toàn (FMT_MSA) 12.2.1. Hành xử của họ
Họ này cho phép người dùng có thẩm quyền điều khiển qua việc quản lý các thuộc tính an toàn. Việc quản lý này phải bao gồm các khả năng hiển thị và thay đổi các thuộc tính an toàn.
12.2.2. Phân mức thành phần
FMT_MSA.1 Quản lý các thuộc tính an toàn, cho phép người dùng có thẩm quyền (các quy tắc) để quản lý các thuộc tính an toàn đã định rõ.
FMT_MSA.2 Các thuộc tính an toàn, đảm bảo rằng các giá trị được ấn định tới các thuộc tính an toàn là hợp lý và lưu ý tới trạng thái an toàn.
FMT_MSA.3 Khởi tạo thuộc tính tĩnh, đảm bảo rằng các giá trị mặc định của các thuộc tính an toàn hoặc là cho phép hoặc là hạn chế một cách thích hợp.
FMT_MSA.4 Kế thừa giá trị thuộc tính an toàn, cho phép quy tắc/chính sách xác định giá trị được thừa kế bởi một thuộc tính an toàn.
12.2.3. Quản lý của FMT_MSA.1
Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:
a) Quản lý nhóm các quy tắc mà có thể tương tác với các thuộc tính an toàn.
b) Quản lý các quy tắc xác định giá trị kế thừa bởi thuộc tính an toàn.
12.2.4. Quản lý của FMT_MSA.2
Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:
a) Quản lý các quy tắc xác định giá trị kế thừa bởi thuộc tính an toàn
12.2.5. Quản lý của FMT_MSA.3
Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:
a) Quản lý nhóm các quy tắc mà có thể xác định các giá trị khởi tạo.
b) Quản lý việc thiết lập cho phép hoặc giới hạn các giá trị mặc định cho việc đưa ra điều khiển truy cập SFP.
c) Quản lý các quy tắc xác định giá trị kế thừa bởi thuộc tính an toàn.
12.2.6. Quản lý của FMT_MSA.4
Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:
a) Đặc tả vai trò được phép thiết lập hoặc thay đổi thuộc tính an toàn.
12.2.7. Kiểm toán của FMT_MSA.1
Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
a) Cơ sở: Tất cả sự thay đổi các giá trị của các thuộc tính an toàn.
12.2.8 Kiểm toán của FMT_MSA.2
Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
a) Tối thiểu: Tất cả các giá trị từ chối và được quy định cho thuộc tính an toàn.
b) Chi tiết: Tất cả các giá trị an toàn được quy định và chấp thuận cho thuộc tính an toàn.
12.2.9. Kiểm toán của FMT_MSA.3
Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
a) Cơ sở: Sự thay đổi các thiết lập mặc định của các quy tắc cho phép hoặc cấm.
b) Cơ sở: Tất cả sự thay đổi các giá trị khởi tạo của các thuộc tính an toàn.
12.2.10. Kiểm toán của FMT_MSA.4
Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
a) Sự thay đổi thuộc tính an toàn, có thể với và/hoặc giá trị thuộc tính an toàn đã được thay đổi.
12.2.11. FMT_MSA.1 Quản lý các thuộc tính an toàn
Phân cấp từ: Không có các thành phần nào
Các mối phụ thuộc:
[FDP_ACC.1 Kiểm soát truy cập tập con, hoặc
FDP_IFC.1 Kiểm soát luồng thông tin tập con]
FMT_SMR.1 Các vai trò an toàn
FMT_SMF.1 Đặc tả các chức năng quản lý
12.2.11.1. FMT_MSA.1.1 TSF cần thực thi [chỉ định: điều khiển truy cập SFP, điều khiển luồng thông tin SFP] để hạn chế khả năng [lựa chọn: thay đổi mặc định, yêu cầu, thay đổi, xóa, [chỉ định: các thuật toán khác]] các thuộc tính an toàn [chỉ định: danh sách các thuộc tính an toàn] tới [chỉ định: các vai trò đã xác định và cấp phép]. 12.2.12. FMT_MSA.2 Các thuộc tính an toàn
Phân cấp từ: Không có các thành phần nào
Các mối phụ thuộc: [FDP_ACC.1 Kiểm soát truy cập tập con, hoặc
FDP_IFC.1 Kiểm soát luồng thông tin con]
FMT_MSA.1 Quản lý các thuộc tính an toàn
FMT_SMR.1 Các vai trò an toàn
12.2.12.1. FMT_MSA.2.1 12.2.13. FMT_MSA.3 Khởi tạo các thuộc tính tĩnh
Phân cấp từ: Không có các thành phần nào
Các mối phụ thuộc: FMT_MSA.1 Quản lý các thuộc tính an toàn
FMT_SMR.1 Các vai trò an toàn
12.2.13.1. FMT_MSA.3.1 TSF cần thực thi [chỉ định: kiểm soát truy cập SFP, kiểm soát luồng thông tin SFP] để cung cấp [lựa chọn, chọn một trong: ngăn cấm, cho phép, [chỉ định: thuộc tính khác]] các giá trị mặc định cho các thuộc tính an toàn được sử dụng để thực thi SFP. 12.2.13.2. FMT_MSA.3.2 TSF cần cho phép [chỉ định: các vai trò đã xác định và cấp phép] để đặc tả các giá trị khởi tạo khác thay cho các giá trị mặc định khi một đối tượng hay thông tin được tạo. 12.2.14. FMT_MSA.4
Phân cấp từ: Không có thành phần khác
Các mối phụ thuộc: [FDP_ACC.1 Kiểm soát truy nhập tập con, hoặc
FDP_IFC.1 Kiểm soát luồng thông tin tập con]
12.2.14.1. FMT_MSA.4.1 12.3. Quản lý dữ liệu TSF (FMT_MTD) 12.3.1. Hành xử của họ
Họ này cho phép người dùng có thẩm quyền (các quy tắc) điều khiển qua quản lý dữ liệu TSF. Ví dụ dữ liệu TSF bao gồm thông tin kiểm toán, khóa, cấu hình hệ thống và các tham số cấu hình TSF khác.
12.3.2. Phân mức thành phần
FMT_MTD.1 Quản lý dữ liệu TSF, cho phép người dùng có thẩm quyền quản lý dữ liệu TSF.
FMT_MTD.2 Quản lý hạn chế trên dữ liệu TSF, xác định hành động được tạo ra nếu sự hạn chế dữ liệu TSF là đạt được hoặc vượt quá.
FMT_MTD.3 Dữ liệu TSF an toàn, đảm bảo rằng các giá trị được ấn định tới dữ liệu TSF là hợp lý với trạng thái an toàn.
12.3.3. Quản lý của FMT_MTD.1
Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:
a) Quản lý nhóm các quy tắc mà có thể tương tác với dữ liệu TSF.
12.3.4. Quản lý của FMT_MTD.2
Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:
a) Quản lý nhóm các quy tắc mà có thể tương tác với sự hạn chế trên dữ liệu TSF.
12.3.5. Quản lý của FMT_MTD.3
Không có các hoạt động quản lý nào.
12.3.6. Kiểm toán của FMT_MTD.1
Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
a) Cơ sở: Tất cả việc thay đổi giá trị của dữ liệu TSF.
12.3.7. Kiểm toán của FMT_MTD.2
Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
a) Cơ sở: Tất cả việc thay đổi tới việc hạn chế trên dữ liệu TSF.
b) Cơ sở: Tất cả việc thay đổi trong các hành động sinh ra trong trường hợp vi phạm sự hạn chế đó.
12.3.8. Kiểm toán của FMT_MTD.3
Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
a) Tối thiểu: Tất cả các giá trị bị từ chối của dữ liệu TSF
12.3.9. FMT_MTD.1 Quản lý dữ liệu TSF
Phân cấp từ: Không có các thành phần nào
Các mối phụ thuộc: FMT_SMR.1 Các vai trò an toàn
FMT_SMF.1 Đặc tả các chức năng quản lý
12.3.9.1. FMT_MTD.1.1 12.3.10. FMT_MTD.2 Quản lý các hạn chế trên dữ liệu TSF
Phân cấp từ: Không có các thành phần nào
Các mối phụ thuộc: FMT_MTD.1 Quản lý dữ liệu TSF
FMT_SMR.1 Các vai trò an toàn
12.3.10.1. FMT_MTD.2.1 12.3.10.2. FMT_MTD.2.2 12.3.11. FMT_MTD.3 Dữ liệu TSF an toàn
Phân cấp từ: Không có các thành phần nào
Các mối phụ thuộc: FMT_MTD.1 Quản lý dữ liệu TSF.
12.3.11.1. FMT_MTD.3.1 TSF cần đảm bảo rằng chỉ có các giá trị an toàn mới được chấp nhận cho dữ liệu TSF. 12.4. Hủy bỏ (FMT_REV) 12.4.1. Hành xử của họ
Họ này đề cập đến việc hủy bỏ các thuộc tính an toàn đối với một vài thực thể trong TOE.
12.4.2. Phân mức thành phần
FMT_REV.1 Hủy bỏ, cung cấp cho việc hủy bỏ các thuộc tính an toàn được bắt buộc tại một vài mốc thời gian.
12.4.3. Quản lý của FMT_REV.1
Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:
a) Quản lý nhóm các quy tắc mà có thể giúp cho việc thu hồi các thuộc tính an toàn.
c) Quản lý các quy tắc thu hồi.
12.4.4. Kiểm toán của FMT_REV.1
Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
a) Tối thiểu: Việc thu hồi các thuộc tính an toàn là không thành công.
b) Cơ sở: Tất cả việc thử để hủy bỏ các thuộc tính an toàn
12.4.5. FMT_REV.1 Hủy bỏ
Phân cấp từ: Không có các thành phần nào
Các mối phụ thuộc: FMT_SMR.1 Các vai trò an toàn
12.4.5.1. FMT_REV.1.1 12.4.5.2. FMT_REV.1.2 12.5. Hết hạn thuộc tính an toàn [FMT_SAE] 12.5.1. Hành xử của họ
Họ này nhằm vào khả năng để thực thi các hạn chế về thời gian đối với giá trị các thuộc tính an toàn.
12.5.2. Phân mức thành phần
FMT_SAE.1 Giấy phép hạn chế thời gian, quy định khả năng đối với người dùng có thẩm quyền để xác định một thời gian tới hạn trên các thuộc tính an toàn đã xác định.
12.5.3. Quản lý của FMT_SAE.1
Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:
a) Quản lý danh sách các thuộc tính an toàn đối với giới hạn được trợ giúp.
b) Các hành động được thực hiện nếu thời gian tới hạn là đã qua
12.5.4. Kiểm toán của FMT_SAE.1
Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
a) Cơ sở: Xác định thời gian tới hạn đối với thuộc tính
b) Cơ sở: Hành động xảy ra đúng với giới hạn thời gian
12.5.5. FMT_SAE.1 Cấp giấy phép hạn chế thời gian
Phân cấp từ: Không có các thành phần nào khác
Các mối phụ thuộc: FMT_SMR.1 Các vai trò an toàn
FMT_STM.1 Nhãn thời gian tin cậy
12.6.2. Phân mức thành phần
FMT_SMF.1 Đặc tả các chức năng quản lý, yêu cầu TSF cung cấp các chức năng quản lý cụ thể.
12.6.3. Quản lý của FMT_SMF.1
Không có các hoạt động quản lý nào.
12.6.4. Kiểm toán của FMT_SMF.1
Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
a) Tối thiểu: Sử dụng các chức năng quản lý
12.6.5. FMT_SMF.1 Định rõ các chức năng quản lý
Phân cấp từ: Không có các thành phần nào
Các mối phụ thuộc: Không có sự phụ thuộc nào
12.6.5.1. FMT_SMF.1.1 12.7. Các quy tắc quản lý an toàn (FMT_SMR) 12.7.1. Hành xử của họ
Họ này là được dùng để điều khiển việc ấn định các quy tắc khác nhau tới người dùng. Các khả năng của các quy tắc này với khía cạnh quản lý an toàn được miêu tả trong các họ khác trong lớp.
12.7.2. Phân mức thành phần
FMT_SMR.1 Các vai trò an toàn xác định các vai trò với các khía cạnh an toàn mà TSF thừa nhận.
FMT_SMR.2 Hạn chế về các vai trò an toàn, xác định rằng ngoài việc đặc tả các vai trò, còn có các quy tắc kiểm soát các mối quan hệ giữa các vai trò.
FMT_SMR.3 Chỉ định các vai trò, yêu cầu rõ rằng được đưa ra tới TSF để thừa nhận một quy tắc.
12.7.3. Quản lý của FMT_SMR.1
Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:
a) Quản lý nhóm người dùng là một phần của quy tắc.
12.7.4. Quản lý của FMT_SMR.2
Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:
a) Quản lý nhóm người dùng là một phần của quy tắc.
b) Quản lý các điều kiện mà các quy tắc phải thỏa mãn
12.7.5. Quản lý của FMT_SMR.3
Không có các hoạt động quản lý nào.
12.7.6. Kiểm toán của FMT_SMR.1
Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
a) Tối thiểu: sự thay đổi tới nhóm người dùng là một phần của quy tắc
b) Chi tiết: mọi việc sử dụng quyền của quy tắc.
12.7.7. Kiểm toán của FMT_SMR.2
Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
a) Tối thiểu: Sự thay đổi các nhóm người dùng là một phần của quy tắc
b) Tối thiểu: Việc sử dụng các quy tắc không thành công giúp đưa ra các điều kiện trên quy tắc đó.
c) Chi tiết: mọi việc sử dụng quyền của quy tắc.
12.7.8. Kiểm toán của FMT_SMR.3
Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
a) Tối thiểu: Yêu cầu rõ ràng nhằm thừa nhận một quy tắc
12.7.9. FMT_SMR.1 Các quy tắc an toàn
Phân cấp từ: Không có các thành phần nào.
Các mối phụ thuộc: FIA_UID.1 Định thời cho định danh
12.7.9.1. FMT_SMR.1.1 12.7.9.2. FMT_SMR.1.2
TSF cần có khả năng liên kết người dùng với các vai trò.
12.7.10. FMT_SMR.2 Hạn chế về các vai trò an toàn
Phân cấp từ: FMT_SMR.1 Các vai trò an toàn
Các mối phụ thuộc: FIA_UID.1 Định thời cho định danh
12.7.10.1. FMT_SMR.2.1
TSF cần duy trì các vai trò: [chỉ định: các vai trò đã xác định và cấp phép]
12.7.10.2. FMT_SMR.2.2
TSF cần có khả năng liên kết người dùng với vai trò.
12.7.10.3. FMT_SMR.2.3 12.7.11. FMT_SMR.3 Chỉ định các vai trò
Phân cấp từ: Không có các thành phần nào
12.7.11.1. FMT_SMR.3.1 13. Lớp FPR: Riêng tư
Lớp này chứa các yêu cầu riêng tư. Các yêu cầu này giúp bảo vệ người dùng chống tiết lộ và lợi dụng danh tính các người khác.
Hình 13 – Phân cấp lớp FPR: Riêng tư 13.1. Nặc danh (FPR_ANO) 13.2. Hành xử của họ
Họ này cho phép người dùng có thể sử dụng một tài nguyên hoặc dịch vụ không cần biết định danh người dùng. Các yêu cầu nặc danh phục vụ cho bảo vệ danh tính người dùng. Nặc danh không dự tính để bảo vệ danh tính chủ thể.
13.1.2. Phân mức thành phần
FPR_ANO.1 Nặc danh, yêu cầu các người dùng khác hoặc các chủ thể khác không được có khả năng xác định danh tính một người dùng trong phạm vi một chủ thể hoặc một hoạt động.
FPR_ANO.2 Nặc danh không níu kéo thông tin, cải thiện các yêu cầu của FPR_ANO.1 Nặc danh bằng cách đảm bảo rằng TSF không hỏi danh tính người dùng.
13.1.3. Quản lý của FPR_ANO.1, FPR_ANO.2
Không có các hoạt động quản lý nào.
13.1.4. Kiểm toán của FPR_ANO.1, FPR_ANO.2
Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
b) Tối thiểu: Viện dẫn cơ chế nặc danh.
13.1.5. FPR_ANO.1 Nặc danh
Phân cấp tới: Không có các thành phần nào
Các mối phụ thuộc: Không có.
13.1.5.1. FPR_ANO.1.1 12.1.6. FPR_ANO.2 Nặc danh không có thông tin níu kéo
Phân cấp tới: FPR_ANO.1 Nặc danh
Các mối phụ thuộc: Không có
13.1.6.1. FPR_ANO.2.1 13.1.6.2. FPR_ANO.2.2 13.2. Biệt danh (FPR_PSE) 13.2.1. Hành xử của họ
Họ này đảm bảo rằng một người sử dụng một tài nguyên hoặc dịch vụ không để lộ danh tính người dùng, song vẫn có thể chịu trách nhiệm về việc sử dụng.
13.2.2. Phân mức thành phần
FPR_PSE.1 Biệt danh yêu cầu một tập các người dùng và/hoặc chủ thể không được có khả năng xác định danh tính người dùng ràng buộc bởi một chủ thể hoặc hoạt động, song người dùng này vẫn phải chịu trách nhiệm về các hành động của họ.
FPR_PSE.2 Biệt danh nghịch đảo yêu cầu TSF có năng lực xác định danh tính người dùng chính thức dựa trên một bí danh đã quy định.
FPR_PSE.3 Biệt danh dấu tên yêu cầu TSF theo dõi các quy tắc cấu trúc nhất định cho bí danh để định danh người dùng.
13.2.3. Quản lý của FPR_PSE.1, FPR_PSE.2, FPR_PSE.3
Không có các hoạt động quản lý nào.
13.2.4. Kiểm toán của FPR_PSE.1, FPR_PSE.2, FPR_PSE.3
Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
b) Tối thiểu: Chủ thể/người dùng được yêu cầu kiểm toán danh tính người dùng.
13.2.5. FPR_PSE.1 Biệt danh
Phân cấp tới: Không có thành phần nào.
Các mối phụ thuộc: Không có
13.2.5.1. FPR_PSE.1.1 13.2.5.2. FPR_PSE.1.2 13.2.5.3. FPR_PSE.1.3 13.2.6. FPR_PSE.2 Biệt danh nghịch đảo
Phân cấp tới: FPR_PSE.1 Biệt danh
Các mối phụ thuộc: FIA_UID.1 Định thời cho định danh
13.2.6.1. FPR_PSE.2.1 13.2.6.2. FPR_PSE.2.2
TSF cần khả năng cho [chỉ định: số các bí danh] bí danh của tên người dùng thật tới [chỉ định: danh sách các chủ thể]
13.2.6.3. FPR_PSE.2.3 13.2.6.4. FPR_PSE.2.4 13.2.7. FPR_PSE.3 Biệt danh bí danh
Phân cấp tới; FPR_PSE.1 Biệt danh.
Các mối phụ thuộc: Không có.
13.3.2. Phân mức thành phần
FPR_UNL.1 Tính không thể liên kết yêu cầu người dùng / chủ thể không được có khả năng xác định xem có đúng là cùng một người dùng đã gây ra các hoạt động đặc trưng xác định trong hệ thống.
13.3.3. Quản lý của FPR_UNL.1
Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:
b) Quản lý chức năng không thể liên kết.
13.3.4. Kiểm toán của FPR_UNL.1
Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
b) Tối thiểu: Viễn dẫn cơ chế không thể liên kết.
13.3.5. FPR_UNL.1.1 Tính không thể liên kết
Phân cấp tới: Không có thành phần nào.
Các mối phụ thuộc: Không có.
13.3.5.1. FPR_UNL.1.1 13.4. Tính không thể quan sát (FPR_UNO) 13.4.1. Hành xử của họ
Họ này đảm bảo rằng một người dùng có thể sử dụng một tài nguyên hoặc dịch vụ mà không có người nào khác, đặc biệt là đối tác thứ ba, có khả năng quan sát được tài nguyên hoặc dịch vụ đang sử dụng.
13.4.2. Phân mức thành phần
FPR_UNO.1 Tính không thể quan sát yêu cầu các người dùng và/hoặc chủ thể không được có khả năng xác định xem một hoạt động nào đang được thực hiện.
FPR_UNO.4 Tính quan sát được dùng có thẩm quyền yêu cầu TSF quy định một hoặc nhiều người dùng có thẩm quyền, có năng lực quan sát sự sử dụng các tài nguyên và/hoặc dịch vụ.
13.4.3. Quản lý của FPR_UNO.1, FPR_UNO.2
Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:
a) Quản lý hành vi của chức năng không thể quan sát được.
13.4.4. Quản lý của FPR_UNO.3
Không có các hành động quản lý nào
13.4.5. Quản lý của FPR_UNO.4
Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:
a) Danh sách các người dùng có thẩm quyền có khả năng xác định việc xảy ra các hoạt động.
13.4.6. Kiểm toán của FPR_UNO.1, FPR_UNO.2
Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
a) Tối thiểu: Viện dẫn cơ chế cho tính không thể quan sát được.
13.4.7. Kiểm toán của FPR_UNO.3
Không có các sự kiện kiểm toán nào.
13.4.8. Kiểm toán của FPR_UNO.4
Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
a) Tối thiểu: Quan sát việc sử dụng một tài nguyên hoặc dịch vụ bởi một người dùng hoặc một chủ thể.
13.4.9. FPR_UNO.1 Tính không thể quan sát
Phân cấp từ: Không có các thành phần nào
Các mối phụ thuộc: Không có
13.4.9.1. FPR_UNO.1.1 TSF cần đảm bảo rằng [chỉ định: danh sách các người dùng và/hoặc chủ thể] không có khả năng quan sát được hoạt động [chỉ định: danh sách các hoạt động] trên [chỉ định: danh sách các đối tượng] thông qua [chỉ định: danh sách các người dùng và/hoặc chủ thể được bảo vệ]. 13.4.10. FPR_UNO.2 Tính không thể quan sát ảnh hưởng đến cấp phát thông tin
Phân cấp từ: FPR_UNO.1 Tính không thể quan sát
Các mối phụ thuộc: Không có.
13.4.10.1. FPR_UNO.2.1
TSF cần đảm bảo rằng [chỉ định: danh sách các người dùng và/hoặc chủ thể] không có khả năng quan sát được hoạt động [Chỉ định: danh sách các hoạt động] trên [Chỉ định: danh sách các đối tượng] thông qua [Chỉ định: danh sách các người dùng và/hoặc chủ thể được bảo vệ].
13.4.10.2. FPR_UNO.2.2 13.4.11. FPR_UNO.3 Tính không thể quan sát không có thông tin níu kéo
Phân cấp từ: Không có thành phần nào.
Các mối phụ thuộc: FPR_UNO.1 Tính không thể quan sát.
13.4.12. FPR_UNO.4 Tính quan sát được người dùng có thẩm quyền
Phân cấp từ: Không có các thành phần nào.
Các mối phụ thuộc: Không có.
a) Việc triển khai TSF, trong đó thực hiện và triển khai các cơ chế để thực thi các SFR.
b) Dữ liệu TSF, đó là các cơ sở dữ liệu quản trị dùng để hướng dẫn thực thi các SFR.
c) Các thực thể bên ngoài mà TSF có thể tương tác với để thực thi các SFR.
14.1.2. Phân mức thành phần
Họ này bao gồm chỉ một thành phần, FPT_FLS.1 Lỗi với sự bảo toàn trạng thái an toàn, yêu cầu TSF duy trì một trạng thái an toàn khi đối mặt với các lỗi được xác định.
14.1.3. Quản lý của FPT_FLS.1
Không có các hoạt động quản lý nào.
14.1.4. Kiểm toán của FPT_FLS.1
Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
a) Cơ sở: lỗi của TSF.
14.1.5. FPT_FLS.1 Lỗi với bảo toàn trạng thái an toàn
Phân cấp từ: Không có các thành phần nào.
Các mối phụ thuộc: Không có sự phụ thuộc.
14.1.5.1. FPT_FLS.1.1 14.2. Tính sẵn sàng xuất dữ liệu TSF (FPT_ITA) 14.2.1. Hành xử của họ
Họ này định nghĩa các quy tắc cho việc duy trì tính sẵn sàng chuyển dữ liệu TSF giữa TSF và một sản phẩm IT tin cậy khác. Dữ liệu này, ví dụ là dữ liệu quan trọng của TSF như là mật khẩu, khóa, dữ liệu kiểm toán hoặc mã thực thi TSF.
14.2.2. Phân mức thành phần
Họ này bao gồm chỉ một thành phần FPT_ITA.1 Tính sẵn sàng liên-TSF trong khoảng đơn vị đo tính sẵn sàng được định nghĩa trước. Thành phần này yêu cầu TSF đảm bảo, với một mức độ xác định có thể xảy ra, tính sẵn sàng của dữ liệu TSF quy định cho một sản phẩm IT tin cậy khác.
14.2.3. Quản lý của FPT_ITA.1
Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:
a) quản lý danh sách các loại dữ liệu TSF phải sẵn sàng đối với một sản phẩm IT tin cậy khác.
14.2.4. Kiểm toán của FPT_ITA.1
Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
a) Tối thiểu: sự thiếu dữ liệu TSF khi được yêu cầu bởi một TOE.
14.2.5. FPT_ITA.1 Tính sẵn sàng liên TSF trong hệ tính sẵn sàng được định nghĩa
Phân cấp từ: Không có các thành phần nào.
Các mối phụ thuộc: Không có sự phụ thuộc.
14.1.5.1. FPT_ITA.1.1 14.3. Tính bí mật của dữ liệu TSF xuất ra (FPT_ITC) 14.3.1. Hành xử của họ
Họ này định nghĩa các quy tắc bảo vệ dữ liệu từ việc xâm phạm không có quyền vào dữ liệu trong khi truyền giữa TSF và một sản phẩm IT tin cậy khác. Dữ liệu này có thể, ví dụ dữ liệu quan trọng của TSF như mật khẩu, mã khóa, dữ liệu kiểm toán hoặc mã thực thi TSF.
14.3.2. Phân mức thành phần
Họ này bao gồm chỉ một thành phần, FPT_ITC.1 Tính bí mật liên-TSF trong quá trình truyền tải, đòi hỏi TSF bảo đảm rằng dữ liệu được truyền giữa TSF và một sản phẩm IT tin cậy khác được bảo vệ khỏi xâm phạm trong quá trình truyền.
14.3.3. Quản lý của FPT_ITC.1
Không có các hoạt động quản lý nào.
14.3.4. Kiểm toán của FPT_ITC.1
Không có các hoạt động quản lý nào.
14.3.5. FPT_ITC.1 Độ tin cậy liên TSF trong quá trình truyền tải
Phân cấp từ: Không có các thành phần nào.
Các mối phụ thuộc: Không có sự phụ thuộc.
14.3.5.1. FPT_ITC.1.1 TSF cần bảo vệ tất cả dữ liệu TSF được truyền từ TSF đến một sản phẩm IT tin cậy khác khỏi sự xâm phạm bất hợp pháp trong quá trình truyền. 14.4. Tính toàn vẹn của dữ liệu TSF xuất ra (FPT_ITI) 14.4.1. Hành xử của họ
Họ này định nghĩa các quy tắc bảo vệ khỏi sự thay đổi bất hợp pháp dữ liệu TSF trong quá trình truyền giữa TSF và một sản phẩm IT tin cậy khác. Dữ liệu này ví dụ là dữ liệu TSF quan trọng như mật khẩu, mã khóa, dữ liệu kiểm toán hoặc mã thực thi TSF.
14.4.2. Phân mức thành phần
FPT_ITI.1 Phát hiện sửa đổi liên-TSF, cung cấp khả năng phát hiện sự thay đổi dữ liệu TSF trong quá trình truyền giữa TSF và sản phẩm IT tin cậy khác, với giả thiết rằng sản phẩm IT tin cậy khác đó có nhận biết được cơ chế sử dụng.
FPT_ITI.2 Phát hiện và chỉnh sửa thay đổi liên-TSF, cung cấp khả năng cho một sản phẩm IT tin cậy khác không những phát hiện sự thay đổi mà còn sửa sự thay đổi dữ liệu với giả thiết rằng sản phẩm IT tin cậy khác đó có nhận biết được chế độ sử dụng.
14.4.3. Quản lý của FPT_ITI.1
Không có các hoạt động quản lý nào.
14.4.4. Quản lý của FPT_ITI.2
Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:
a) Quản lý các dữ liệu TSF mà TSF có thể sửa chữa sự thay đổi trong quá trình truyền.
b) Quản lý các kiểu hoạt động mà TSF có thể thực hiện nếu dữ liệu TSF bị thay đổi trong quá trình truyền.
14.4.5. Kiểm toán của FPT_ITI.1
Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
a) Tối thiểu: phát hiện sự thay đổi dữ liệu TSF trong quá trình truyền.
b) Cơ sở: hoạt động đưa ra trên phát hiện sự thay đổi dữ liệu TSF trong quá trình truyền.
14.4.6. Kiểm toán của FPT_ITI.2
Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
a) Tối thiểu: phát hiện sự thay đổi dữ liệu TSF trong quá trình truyền.
b) Cơ sở: hành động đưa ra dựa theo phát hiện sự thay đổi dữ liệu TSF được truyền.
c) Cơ sở: sử dụng các cơ chế sửa lỗi.
14.4.7. FPT_ITI.1 Phát hiện sự thay đổi liên-TSF
Phân cấp từ: Không có các thành phần nào.
Các mối phụ thuộc: Không có sự phụ thuộc.
14.4.7.1. FPT_ITI.1.1 14.4.7.2. FPT_ITI.1.2 14.4.8. FPT_ITI.2 Phát hiện và chỉnh sửa thay đổi liên-TSF
Phân cấp từ: FPT_ITI.1 Phát hiện sự thay đổi liên-TSF
Các mối phụ thuộc: Không có sự phụ thuộc.
14.4.8.1. FPT_ITI.2.1
TSF cần cung cấp khả năng phát hiện sự thay đổi của tất cả dữ liệu TSF trong quá trình truyền giữa TSF và một sản phẩm IT tin cậy khác trong theo hệ sau: [chỉ định: một đơn vị thay đổi xác định]
14.4.8.2. FPT_ITI.2.2
TSF cần cung cấp khả năng phát hiện sự thay đổi của tất cả dữ liệu truyền giữa TSF và một sản phẩm IT tin cậy khác và thực hiện [chỉ định: hành động được đưa ra] nếu phát hiện sự thay đổi.
14.4.8.3. FPT_ITI.2.3 TSF cần cung cấp khả năng sửa lỗi [chỉ định: kiểu thay đổi] của tất cả dữ liệu TSF được truyền giữa TSF và một sản phẩm IT tin cậy khác. 14.5. Vận chuyển dữ liệu nội bộ TOE TSF (FPT_ITT) 14.5.1. Hành xử của họ
Họ này đưa ra các yêu cầu đề cập đến việc bảo vệ dữ liệu TSF khi nó được truyền giữa các phần khác nhau bên trong TOE qua một kênh nội bộ.
14.5.2. Phân mức thành phần
FPT_ITT.1 Bảo vệ vận chuyển dữ liệu nội bộ TSF, yêu cầu dữ liệu TSF được bảo vệ khi truyền giữa các phần khác nhau trong TOE.
FPT_ITT.2 Phân chia vận chuyển dữ liệu, yêu cầu TSF phân chia dữ liệu người dùng từ dữ liệu TSF trong quá trình truyền.
FPT_ITT.3 Giám sát tính toàn vẹn dữ liệu, yêu cầu dữ liệu TSF được truyền giữa các thành phần khác nhau của TOE được giám sát các lỗi về toàn vẹn xác định trước.
14.5.3. Quản lý của FPT_ITT.1
Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:
a) Quản lý các loại chống sự thay đổi mà TSF cần bảo vệ;
b) Quản lý các cơ chế sử dụng để cung cấp khả năng bảo vệ dữ liệu trong quá trình truyền giữa các phần khác nhau của TSF.
14.5.4. Quản lý của FPT_ITT.2
Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:
a) quản lý các loại chống lại sự thay đổi mà TSF bảo vệ.
b) quản lý các cơ chế sử dụng để cung cấp khả năng bảo vệ dữ liệu trong quá trình truyền giữa các phần khác nhau của TSF.
c) quản lý cơ chế phân chia.
14.5.5. Quản lý của FPT_ITT.3
Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:
a) quản lý các loại chống lại sự thay đổi mà TSF bảo vệ.
b) quản lý các cơ chế sử dụng để cung cấp khả năng bảo vệ dữ liệu trong quá trình truyền giữa các phần khác nhau của TSF.
c) quản lý các kiểu thay đổi dữ liệu TSF mà TSF cần phát hiện.
d) Quản lý các hoạt động được đưa ra.
14.5.6. Kiểm toán của FPT_ITT.1, FPT_ITT.2
Không có sự kiện có thể kiểm toán nào.
14.5.7. Kiểm toán của FPT_ITT.3
Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
a) Tối thiểu: phát hiện sự thay đổi dữ liệu TSF;
b) Cơ sở: đưa ra hành động dựa theo sự phát hiện lỗi toàn vẹn.
14.5.8. FPT_ITTI.1 Bảo vệ vận chuyển dữ liệu nội bộ TSF cơ bản
Phân cấp từ: Không có các thành phần nào.
Các mối phụ thuộc: Không có sự phụ thuộc.
14.5.8.1. FPT_ITT.1.1 14.5.9. FPT_ITT.2 Phân chia vận chuyển dữ liệu TSF
Phân cấp từ: FPT_ITT.1 Bảo vệ vận chuyển dữ liệu nội bộ TSF cơ bản.
Các mối phụ thuộc: Không có sự phụ thuộc.
14.5.9.1. FPT_ITT.2.1
TSF cần bảo vệ dữ liệu từ [lựa chọn: xâm phạm, thay đổi] khi nó được truyền giữa các phần khác nhau của TOE.
14.5.9.2. FPT_ITT.2.2 TSF cần phân tách dữ liệu người dùng từ dữ liệu TSF khi dữ liệu đó được truyền giữa các phần khác nhau của TOE. 14.5.10. FPT_ITT.3 Giám sát tính toàn vẹn dữ liệu TSF
Phân cấp từ: Không có các thành phần nào.
Các mối phụ thuộc: FPT_ITT.1 Bảo vệ vận chuyển dữ liệu nội bộ TSF cơ bản.
14.5.10.1. FPT_ITT.3.1 14.5.10.2. FPT_ITT.3.2 14.6. Bảo vệ vật lý TSF (FPT_PHP) 14.6.1. Hành xử của họ
Bảo vệ các thành phần vật lý TSF tham chiếu đến giới hạn quyền truy nhập vật lý đến TSF, và sự ngăn chặn chúng, và bảo vệ trước thay đổi vật lý trái phép, hoặc thay thế trong TSF.
Các yêu cầu đối với các thành phần trong họ này đảm bảo rằng TSF được bảo vệ khỏi sự giả mạo và sự can thiệp vật lý. Để thỏa mãn các yêu cầu đó thì các kết quả các thành phần này trong TSF được đóng gói và sử dụng như là một kiểu mà sự xâm phạm vật lý được phát hiện, hoặc sự phản ứng với xâm phạm vật lý bị ngăn chặn. Không có các thành phần này, các chức năng của một TSF bị mất tác dụng trong môi trường mà ở đó sự phá hủy vật lý không được ngăn chặn. Họ này cũng quy định các yêu cầu về cách mà TSF phản ứng lại các xâm phạm vật lý.
14.6.2. Phân mức thành phần
FPT_PHP.1 phát hiện thụ động với tấn công vật lý, cung cấp các đặc trưng chỉ ra khi một thiết bị TSF hoặc phần tử TSF là chủ thể bị xâm phạm. Tuy nhiên thông báo về xâm phạm không tự động; một người dùng được phép sẽ phải thực hiện một chức năng quản lý an toàn, hoặc thực hiện thẩm tra thủ công để xác định xem có hiện tượng xâm phạm xảy ra hay không.
FPT_PHP.2 Thông báo tấn công vật lý, cung cấp thông báo tự động về một tấn công với một tập các xâm phạm vật lý đã được xác định.
FPT_PHP.3 Phản ứng lại tấn công vật lý, cung cấp các đặc trưng để ngăn chặn hoặc chống lại sự xâm phạm đến các thiết bị và các phần tử TSF.
14.6.3. Quản lý của FPT_PHP.1
Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:
a) Quản lý người sử dụng hay các quyền mà nó xác định liệu tấn công vật lý có thể xảy ra.
14.6.4. Quản lý của FPT_PHP.2
Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:
a) Quản lý người sử dụng hay quyền mà họ nhận được thông báo vệ sự xâm nhập.
b) Quản lý danh sách các thiết bị mà nó sẽ thông báo chỉ ra người hoặc vai trò của họ về sự xâm nhập.
14.6.5. Quản lý của FPT_PHP.3
Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:
a) Quản lý các phản ứng tự động với sự xâm phạm vật lý.
14.6.6. Kiểm toán của FPT_PHP.1
Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
a) Tối thiểu: Nếu phát hiện bởi các phương tiện IT, sự phát hiện xâm nhập.
14.6.7. Kiểm toán của FPT_PHP.2
Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
a) Tối thiểu: phát hiện xâm nhập.
14.6.8. Kiểm toán của FPT_PHP.3
Không có sự kiện có thể kiểm toán nào.
14.6.9. FPT_PHP.1 Phát hiện thụ động tấn công vật lý
Phân cấp từ: Không có các thành phần nào.
Các mối phụ thuộc: Không có sự phụ thuộc.
14.6.9.1. FPT_PHP.1.1 TSF cần cung cấp khả năng phát hiện rõ ràng về tấn công vật lý có thể làm tồn tại đến TSF. 14.6.9.2. FPT_PHP.1.2 TSF cần cung cấp khả năng xác định liệu có xảy ra tấn công vật lý đến các thiết bị hoặc phần tử của TSF. 14.6.10. FPT_PHP.2 Thông báo tấn công vật lý
Phân cấp từ: FPT_PHP.1 Phát hiện thụ động tấn công vật lý
Các mối phụ thuộc: FMT_MOF.1 Quản lý các hành xử của chức năng an toàn.
14.6.10.1. FPT_PHP.2.1
TSF cần cung cấp khả năng phát hiện rõ ràng về tấn công vật lý có thể làm tổn hại đến TSF.
14.6.10.2. FPT_PHP.2.2
TSF cần cung cấp khả năng xác định liệu tấn công vật lý có thể xảy ra đối với các thiết bị hoặc phần tử TSF.
14.6.10.3. FPT_PHP.2.3
Phân cấp từ: Không có các thành phần nào.
Các mối phụ thuộc: Không có sự phụ thuộc.
14.6.11.1. FPT_PHP.3.1 TSF cần chống lại [chỉ định: các kịch bản tấn công vật lý] đối với [chỉ định: danh sách các thiết bị/phần tử TSF] bằng việc phản ứng một cách tự động sao cho TSP không bị vi phạm. 14.7. Khôi phục tin cậy (FPT_RCV) 14.7.1. Hành xử của họ
Các yêu cầu của họ này đảm bảo rằng TSF có thể xác định TOE được khởi động mà không có khả năng bảo vệ và có thể khôi phục sau khi bị ngừng hoạt động. Họ này rất quan trọng bởi vì trạng thái khởi động TSF xác định sự bảo vệ các trạng thái tiếp theo.
14.7.2. Phân mức thành phần
FPT_RCV.1 Khôi phục thủ công, cho phép một TOE quy định cơ chế can thiệp của con người vào trạng thái an toàn.
FPT_RCV.2 Tự động khôi phục, quy định tối thiểu một dạng dịch vụ khôi phục sự gián đoạn trạng thái an toàn mà không cần can thiệp của con người, khôi phục các gián đoạn khác có thể vẫn cần sự can thiệp của con người.
FPT_RCV.3 Tự động khôi phục không làm tổn hại lớn cũng cung cấp khả năng khôi phục tự động nhưng nó mạnh hơn bằng cách ngăn chặn các tổn thất lớn đối với các đối tượng được bảo vệ.
FPT_RCV.4 Chức năng khôi phục, cung cấp khả năng khôi phục ở mức SF đặc biệt, đảm bảo khôi phục dữ liệu TSF sang trạng thái an toàn hoàn toàn.
14.7.3. Quản lý của FPT_RCV.1
Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:
a) Quản lý việc ai có quyền khôi phục trong chế độ bảo trì
14.7.4. Quản lý của FPT_RCV.2, FPT_RCV.3
Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:
a) Quản lý có quyền khôi phục trong chế độ bảo trì.
b) Quản lý danh sách lỗi/gián đoạn dịch vụ có thể kiểm soát thông qua các thủ tục tự động
14.7.5. Quản lý của FPT_RCV.4
Không có hoạt động quản lý nào.
14.7.6. Kiểm toán của FPT_RCV.1, FPT_RCV.2, FPT_RCV.3
Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
a) Tối thiểu: thực tế lỗi hoặc gián đoạn dịch vụ có thể xảy ra.
b) Tối thiểu: bắt đầu hoạt động lại một cách bình thường.
c) Cơ sở: loại lỗi hoặc gián đoạn dịch vụ.
14.7.7. Kiểm toán của FPT_RCV.4
Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
a) Tối thiểu: nếu có thể, tính không thể trở về trạng thái an toàn sau lỗi của một chức năng an toàn.
b) Cơ sở: nếu có thể, sự phát hiện lỗi của một chức năng an toàn.
14.7.8. FPT_RCV.1 Khôi phục thủ công
Phân cấp từ: Không có các thành phần nào.
Các mối phụ thuộc: AGD_OPE.1 Hướng dẫn người dùng vận hành.
14.7.8.1. FPT_RCV.1.1 14.7.9. FPT_RCV.2 Khôi phục tự động
Phân cấp từ: FPT_TCV.1 Khôi phục thủ công
Các mối phụ thuộc: AGD_OPE.1 Hướng dẫn người dùng vận hành.
14.7.9.1. FPT_RCV.2.1 Khi tự động khôi phục từ [chỉ định: danh sách lỗi/gián đoạn dịch vụ] là không thể, thì TSF cần về chế độ bảo trì, có khả năng quay trở lại trạng thái an toàn. 14.7.9.2. FPT_RCV.2.2 Với [chỉ định: danh sách lỗi/gián đoạn dịch vụ] TSF cần bảo đảm TOE trở về trạng thái an toàn sử dụng các thủ tục tự động 14.7.10. FPT_RCV.3 Khôi phục tự động tránh tổn thất lớn
Phân cấp từ: FPT_RCV.2 Khôi phục tự động.
Các mối phụ thuộc: AGD_OPE.1 Hướng dẫn người dùng vận hành.
14.7.10.1. FPT_RCV.3.1
Khi khôi phục tự động từ [chỉ định: danh sách lỗi/gián đoạn dịch vụ] là không thể, TSF cần chuyển sang chế độ bảo trì, nơi có khả năng quay trở lại trạng thái an toàn.
14.7.10.2. FPT_RCV.3.2
Với [chỉ định: danh sách lỗi/gián đoạn dịch vụ], TSF cần đảm bảo TOE quay trở lại trạng thái an toàn sử dụng các thủ tục tự động.
14.7.10.3. FPT_RCV.3.3 14.7.10.4. FPT_RCV.3.4 TSF cần cung cấp khả năng xác định các đối tượng có hoặc không có khả năng khôi phục. 14.7.11. FPT_RCV.4 Khôi phục chức năng
Phân cấp từ: Không có các thành phần nào.
Các mối phụ thuộc: Không có sự phụ thuộc.
14.7.11.1. FPT_RCV.4.1 14.8. Phát hiện chạy lại (FPT_RPL) 14.8.1. Hành xử của họ
Họ này đề cập đến việc phát hiện và chạy lại với các loại thực thể trước đó (ví dụ: tin nhắn, yêu cầu dịch vụ, đáp ứng dịch vụ) và các hoạt động tiếp theo để sửa lỗi. Trong trường hợp này vị trí chạy lại được phát hiện và như vậy nó có thể ngăn ngừa một cách hiệu quả.
14.8.2. Phân mức thành phần
Họ này bao gồm chỉ một thành phần FPT_RPL.1 Phát hiện chạy lại, nó đòi hỏi TSF có khả năng phát hiện các thực thể xác định chạy lại.
14.8.3. Quản lý của FPT_RPL.1
Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:
a) Quản lý danh sách các thực thể xác định được phát hiện chạy lại.
b) Quản lý danh sách các hoạt động cần đưa ra trong trường hợp chạy lại.
14.8.4. Kiểm toán của FPT_RPL.1
Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
a) Cơ sở: phát hiện các tấn công chạy lại
b) Chi tiết: Hoạt động đưa ra dựa trên các hoạt động cụ thể.
14.8.5. FPT_RPL.1 Phát hiện chạy lại
Phân cấp từ: Không có các thành phần nào.
Các mối phụ thuộc: Không có sự phụ thuộc.
14.8.5.1. FPT_RPL.1.1 14.8.5.2. FPT_RPL.1.2 14.9. Giao thức đồng bộ trạng thái (FPT_SSP) 14.9.1. Hành xử của họ
Hệ thống phân tán có thể có độ phức tạp hơn nhiều so với các hệ thống tập trung vì các trạng thái khác nhau giữa các phần của hệ thống, và vì độ trễ trong truyền thông. Trong hầu hết các trường hợp đồng bộ trạng thái giữa các chức năng phân tán cần phải có một giao thức trao đổi, không chỉ đơn giản là một hành động. Khi xuất hiện điểm yếu trong môi trường phân tán của các giao thức này thì cần có nhiều hơn các giao thức bảo vệ phức tạp hơn.
Giao thức đồng bộ trạng thái (FPT_SSP) thiết lập yêu cầu cho các chức năng an toàn trọng yếu nhất định của TSF để sử dụng giao thức tin cậy này. Giao thức đồng bộ trạng thái đảm bảo rằng hai thành phần phân tán của TOE (ví dụ như các máy chủ) được đồng bộ trạng thái sau khi có hành động an toàn thích hợp.
14.9.2. Phân mức thành phần
FPT_SSP.1 Xác nhận tin cậy đơn, đòi hỏi chỉ một xác nhận đơn giản từ phía người nhận dữ liệu.
FPT_SSP.2 Xác nhận tin cậy tương hỗ, đòi hỏi xác nhận từ cả hai phía trao đổi dữ liệu.
14.9.3. Quản lý của FPT_SSP.1, FPT_SSP.2
Không có các hoạt động quản lý nào.
14.9.4. Kiểm toán của FPT_SSP.1, FPT_SSP.2
Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
a) Tối thiểu: nhận được thông báo lỗi khi có nhu cầu.
14.9.5. FPT_SSP.1 Xác nhận tin cậy một chiều (đơn)
Phân cấp từ: Không có các thành phần nào.
Các mối phụ thuộc: FPT_ITT.1 Bảo vệ vận chuyển dữ liệu nội bộ TSF cơ bản.
14.9.5.1. FPT_SSP.1.1 TSF cần xác nhận, khi có yêu cầu của một bộ phận khác trong TSF, cho nơi nhận truyền dữ liệu TSF không thay đổi. 14.9.6. FPT_SSP.2 Xác nhận tin cậy hai chiều
Phân cấp từ: FPT_SSP.1 Xác nhận tin cậy đơn giản.
Các mối phụ thuộc: FPT_ITT.1 Bảo vệ vận chuyển dữ liệu nội bộ TSF cơ bản.
14.9.6.1. FPT_SSP.2.1
TSF cần xác nhận, khi có yêu cầu của một bộ phận khác trong TSF, cho nơi nhận truyền dữ liệu TSF không thay đổi.
14.9.6.2. FPT_SSP.2.2 TSF cần đảm bảo rằng các thành phần tương ứng của TSF nhận biết được trạng thái đúng của dữ liệu truyền trong số các thành phần khác nhau, sử dụng các xác nhận. 14.10. Nhãn thời gian (FPT_STM) 14.10.1. Hành xử của họ
Họ này xác định các yêu cầu cho chức năng nhãn thời gian tin cậy trong TOE.
14.10.2. Phân mức thành phần
Họ này bao gồm chỉ một thành phần, FPT_STM.1 Các nhãn thời gian tin cậy, nó đòi hỏi TSF quy định các nhãn thời gian tin cậy cho các chức năng TSF.
14.10.3. Quản lý của FPT_STM.1
Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:
a) Quản lý thời gian.
14.10.4. Kiểm toán của FPT_STM.1
Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
a) Tối thiểu: thay đổi thời gian
b) Chi tiết: quy định một nhãn thời gian.
14.10.5. FPT_STM.1 Thẻ thời gian tin cậy
Phân cấp từ: Không có các thành phần nào.
Các mối phụ thuộc: Không có sự phụ thuộc.
14.11.2. Phân mức thành phần
FPT_TDC.1 Tính nhất quán dữ liệu TSF cơ sở liên-TSF đòi hỏi TSF cung cấp khả năng đảm bảo tính nhất quán của các thuộc tính giữa các TSF.
14.11.3. Quản lý của FPT_TDC.1
Không có các hoạt động quản lý nào.
14.11.4. Kiểm toán của FPT_TDC.1
Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
a) Tối thiểu: sử dụng thành công các cơ chế nhất quán dữ liệu TSF.
b) Cơ sở: sử dụng các cơ chế nhất quán dữ liệu TSF.
c) Cơ sở: xác định dữ liệu TSF nào được chuyển đổi.
d) Cơ sở: phát hiện thay đổi dữ liệu.
14.11.5. FPT_TDC.1 Tính nhất quán dữ liệu TSF cơ bản liên-TSF
Phân cấp từ: Không có các thành phần nào.
Các mối phụ thuộc: Không có sự phụ thuộc.
14.11.5.1. FPT_TDC.1.1 14.11.5.2. FPT_TDC.1.2 14.12. Kiểm thử các thực thể bên ngoài (FPT_TEE) 14.12.1. Hành xử của họ
Họ này định nghĩa các yêu cầu cho TSF thực thi các kiểm thử trên một hoặc nhiều thực thể bên ngoài.
Thành phần này không được tính đến để áp dụng cho con người.
Các thực thể bên ngoài có thể bao gồm các ứng dụng chạy trên TOE, phần cứng hay phần mềm chạy “bên dưới” TOE (chẳng hạn như các nền tảng, các hệ điều hành v.v…) hay các ứng dụng/hộp kết nối với TOE (như các hệ thống phát hiện xâm nhập, tường lửa, các máy chủ đăng nhập, các máy chủ thời gian v.v…).
14.12.2. Phân mức thành phần
FPT_TEE.1 Kiểm thử các thực thể bên ngoài, cung cấp các kiểm thử về các thực thể bên ngoài nhờ TSF.
14.12.3. Quản lý của FPT_TEE.1
Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:
a) Quản lý với các điều kiện mà theo đó các kiểm thử của các thực thể bên ngoài xảy ra, chẳng hạn như trong quá trình khởi động ban đầu, khoảng thời gian quy định, hay dưới các điều kiện đặc biệt;
b) Quản lý theo khoảng thời gian nếu thích hợp.
14.12.4. Kiểm toán cho FPT_TEE.1
Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
a) Cơ sở: Việc thực hiện việc kiểm thử của các thực thể bên ngoài và các kết quả kiểm thử.
14.12.5. FPT_TEE.1 Kiểm thử các thực thể bên ngoài
Phân cấp từ: Không có các thành phần nào.
Các mối phụ thuộc: Không có sự phụ thuộc.
6.1.1.3. FPT_TEE.1.1 6.1.1.4. FPT_TEE.1.2 14.13. Tính nhất quán bản sao dữ liệu bên trong TOE TSF (FPT_TRC) 14.13.1. Hành xử của họ
Các yêu cầu của họ này cần thiết để đảm bảo tính nhất quán của dữ liệu khi dữ liệu được sao lưu trong TOE. Dữ liệu như vậy có thể trở thành không nhất quán nếu kênh truyền bên trong giữa các bộ phận của TOE làm ngưng hoạt động. Nếu TOE được xây dựng bên trong như một là một mạng và một phần các kết nối mạng TOE bị đứt thì điều này có thể xảy ra khi phần đó trở là không kích hoạt.
14.13.2. Phân mức thành phần
Họ này bao gồm chỉ một thành phần, FPT_TRC.1 – tính nhất quán trong TSF các yêu cầu này là TSF đảm bảo tính nhất quán của dữ liệu TSF khi nó được sao lưu tại nhiều nơi.
14.13.3. Quản lý của FPT_TRC.1
Không có các hoạt động quản lý nào.
14.13.4. Kiểm toán của FPT_TRC.1
Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
a) Tối thiểu: Khôi phục tính nhất quán theo khôi phục kết nối.
b) Cơ sở: Phát hiện tính không nhất quán của dữ liệu TSF.
14.13.5. FPT_TRC.1 Tính nhất quán bên trong TSF
Phân cấp từ: Không có thành phần khác.
Các mối phụ thuộc: FPT_ITT.1 Bảo vệ truyền dữ liệu trong TSF cơ bản.
14.13.5.1. FPT_TRC.1.1 TSF cần đảm bảo dữ liệu TSF là nhất quán khi sao chép giữa các phần của TOE. 14.13.5.2. FPT_TRC.1.2 14.14. Tự kiểm tra TSF (FPT_TST) 14.14.1. Hành xử của họ
Họ này định nghĩa các yêu cầu cho việc tự kiểm tra TSF tập trung vào một số hoạt động chuẩn mong muốn. Ví dụ các giao diện đối với các chức năng thực thi và các hoạt động số học lấy mẫu trên cơ sở các phần quan trọng của TOE. Các kiểm tra này có thể thực hiện tại lúc khởi tạo, định kỳ, tại lúc có yêu cầu của người đủ thẩm quyền, hoặc khi thỏa mãn các điều kiện khác. Các hoạt động có thể được đưa ra bởi TOE như là kết quả của việc tự kiểm tra được định nghĩa trong các họ khác.
14.14.2. Phân mức thành phần
FPT_TST.1 TSF kiểm tra, cung cấp khả năng kiểm tra hoạt động đúng của TSF. Các kiểm tra này có thể được thực hiện tại thời điểm khởi động, định kỳ, hoặc theo yêu cầu của người có thẩm quyền, hay khi các điều kiện khác thỏa mãn. Nó cũng cung cấp khả năng kiểm tra tính toàn vẹn của dữ liệu TSF và mã thực thi.
14.14.3. Quản lý của FPT_TST.1
Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:
a) Quản lý các điều kiện để TSF tự kiểm tra, ví dụ trong khi khởi động, khoảng thời gian đều đặn hoặc theo một số điều kiện cụ thể.
b) Quản lý khoảng thời gian thích hợp.
14.14.4. Kiểm toán của FPT_TST.1
Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
a) Cơ sở: thực hiện tự kiểm tra TSF và các kết quả kiểm tra.
14.14.5. FPT_TST.1 kiểm tra TSF
Phân cấp từ: Không có các thành phần nào.
Các mối phụ thuộc: Không có sự phụ thuộc.
14.14.5.1. FPT_TST.1.1 14.14.5.2. FPT_TST.1.2 14.14.5.3. FPT_TST.1.3 TSF cần quy định cho người sử dụng hợp pháp khả năng kiểm tra tính toàn vẹn của mã thực thi được lưu trong TSF. 15. Lớp FRU: Sử dụng tài nguyên
Lớp này giới thiệu 3 họ hỗ trợ cho tính sẵn sàng của các tài nguyên được yêu cầu, chẳng hạn như về khả năng xử lý và/hay dung lượng dự trữ. Họ khả năng chịu lỗi (Faul Tolerance) quy định sự bảo vệ đối với khả năng không sẵn sàng do lỗi của TOE gây ra. Họ Quyền ưu tiên của dịch vụ (Priority of Service) đảm bảo tài nguyên sẽ được cấp phát cho những nhiệm vụ quan trọng hơn và tài nguyên đó không thể giữ độc quyền bởi những nhiệm vụ có quyền ưu tiên thấp hơn. Họ Cấp phát tài nguyên (Resource Allocation) đưa ra giới hạn về việc sử dụng các tài nguyên sẵn có, vì thế sẽ ngăn chặn việc người dùng chiếm dụng độc quyền tài nguyên.
Hình 15 – Phân rã lớp FRU: Sử dụng tài nguyên 15.1. Khả năng chịu lỗi (FRU_FLT) 15.1.1. Hành xử của họ
Các yêu cầu của họ này đảm bảo rằng TOE sẽ duy trì hoạt động chính xác ngay cả khi có lỗi.
15.1.2. Phân mức thành phần
FRU_FLT.1 Khả năng chịu lỗi suy giảm, yêu cầu TOE vẫn hoạt động chính xác với những khả năng xác định trong sự kiện lỗi xác định.
FRU_FLT.2 Khả năng chịu lỗi giới hạn (Limited fault tolerance), yêu cầu TOE vẫn hoạt động chính xác ở mọi khả năng trong sự kiện lỗi xác định.
15.1.3. Quản lý của FRU_FLT.1, FRU_FLT.2
Không có các hoạt động quản lý nào.
15.1.4. Kiểm toán của FRU_FLT.1
Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
a) Tối thiểu: Bất cứ lỗi nào được phát hiện bởi TSF.
b) Cơ sở: Tất cả những khả năng mà TOE bị gián đoạn do lỗi.
15.1.5. Kiểm toán của FRU_FLT.2
Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
a) Tối thiểu: Bất cứ lỗi nào được phát hiện bởi TSF.
15.1.6. FRU_FLT.1 Khả năng chịu lỗi suy giảm
Phân cấp từ: Không có các thành phần nào.
Các mối phụ thuộc: FPT_FLS.1 Lỗi với việc bảo toàn trạng thái an toàn.
15.1.6.1. FRU_FLT.1.1 15.1.7. FRU_FLT.2 Khả năng chịu lỗi giới hạn
Phân cấp từ: FRU_FLT.1 Khả năng chịu lỗi suy giảm
Các mối phụ thuộc: FPT_FLS.1 Lỗi với việc bảo toàn trạng thái an toàn.
15.1.7.1. FRU_FLT.2.1
TSF cần đảm bảo hoạt động của tất cả các khả năng của TOE khi các lỗi sau xuất hiện: [chỉ định: danh sách các loại lỗi].
15.2. Ưu tiên dịch vụ (FRU_PRS) 15.2.1. Hành xử của họ
Những yêu cầu này của họ cho phép TSF kiểm soát việc sử dụng tài nguyên trong TSC bởi người dùng và các chủ thể sao cho các hoạt động ưu tiên trong TSC sẽ luôn được hoàn thành mà không bị can thiệp hay trễ quá mức do các hoạt động có độ ưu tiên thấp hơn gây ra.
15.2.2. Phân mức thành phần
FRU_PRS.1 Ưu tiên dịch vụ có giới hạn, quy định các mức ưu tiên cho một chủ thể sử dụng một tập con tài nguyên của chủ thể trong TSC.
FRU_PRS.2 Ưu tiên dịch vụ đầy đủ, quy định các mức ưu tiên cho việc sử dụng tất cả các tài nguyên của một chủ thể trong TSC.
15.2.3. Quản lý của FRU_PRS.1, FRU_PRS.2
Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:
a) Chỉ định các mức ưu tiên cho mỗi chủ thể trong TSF.
15.2.4. Kiểm toán của FRU_PRS.1, FRU_PRS.2
Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
a) Tối thiểu: Từ chối hoạt động dựa trên việc sử dụng mức ưu tiên bên trong một cấp phát.
15.2.5. FRU_PRS.1 Ưu tiên dịch vụ có giới hạn
Phân cấp từ: Không có các thành phần nào.
Các mối phụ thuộc: Không có sự phụ thuộc.
15.2.5.1. FRU_PRS.1.1 TSF cần ấn định một mức ưu tiên cho mỗi chủ thể trong TSF. 15.2.5.2. FRU_PRS.1.2 15.2.6. FRU_PRS.2 Quyền ưu tiên dịch vụ đầy đủ
Phân cấp từ: FRU_PRS.1 Ưu tiên dịch vụ có giới hạn.
Các mối phụ thuộc: Không có sự phụ thuộc.
15.2.6.1. FRU_PRS.2.1
TSF cần ấn định một mức ưu tiên cho mỗi chủ thể trong TSF.
15.2.6.2. FRU_PRS.2.2
TSF cần đảm bảo rằng mỗi truy nhập tới tất cả các tài nguyên có thể chia sẻ cần được dàn xếp trên nền tảng các chủ thể được ấn định ưu tiên.
15.3. Cấp phát tài nguyên (FRU_RSA) 15.3.1. Hành xử của họ
Các yêu cầu của họ này cho phép TSF kiểm soát việc sử dụng các tài nguyên bởi người dùng và các chủ thể, sao cho việc từ chối dịch vụ không xảy ra bởi sự độc chiếm không được phép của các tài nguyên.
15.3.2. Phân mức thành phần
FRU_RSA.1: Chỉ tiêu tối đa, quy định các yêu cầu cho các cơ chế định mức để đảm bảo rằng người dùng và chủ thể không độc chiếm một tài nguyên đã được kiểm soát.
FRU_RSA.2: Chỉ tiêu tối đa và tối thiểu, quy định các yêu cầu cho các cơ chế định mức để đảm bảo rằng người dùng và chủ thể sẽ luôn có ít nhất một tài nguyên cụ thể tối thiểu và họ sẽ không thể độc chiếm một tài nguyên đã được kiểm soát.
15.3.3. Quản lý của FRU_RSA.1
Các hành động sau đây có thể xem xét cho các chức năng quản lý trong FMT:
a) Định rõ những giới hạn tối đa cho một tài nguyên cho các nhóm và/hay người dùng cụ thể và/hay các chủ thể bởi nhà quản trị.
15.3.4. Quản lý của FRU_RSA.2
Các hành động sau có thể được xem xét cho các chức năng quản lý trong FMT:
a) Định rõ các giới hạn tối đa và tối thiểu cho một tài nguyên cho các nhóm và/hay những người dùng và/hay các chủ thể bởi nhà quản trị.
15.3.5. Kiểm toán của FRU_RSA.1, FRU_RSA.2
Các hành động sau có thể được kiểm toán nếu FAU_GEN tạo dữ liệu kiểm toán an toàn chứa trong PP/ST:
a) Tối thiểu: Loại trừ hoạt động cấp phát do những giới hạn về tài nguyên.
b) Cơ sở: Mọi khả năng sử dụng chức năng cấp phát dưới sự kiểm soát của TSF.]
15.3.6. FRU_RSA.1 Các chỉ tiêu tối đa
Phân cấp từ: Không có các thành phần nào.
Các mối phụ thuộc: Không có sự phụ thuộc.
15.3.6.1. FRU_RSA.1.1 15.3.7. FRU_RSA.2 Các chỉ tiêu tối đa và tối thiểu
Phân cấp tới: FRU_RSA.1 Các chỉ tiêu tối đa
Các mối phụ thuộc: Không phụ thuộc.
15.3.7.1. FRU_RSA.2.1
TSF cần thực thi các chỉ tiêu tối đa của các tài nguyên sau [chỉ định: các tài nguyên được kiểm soát] mà [lựa chọn: người dùng cụ thể, nhóm những người dùng xác định] có thể sử dụng [lựa chọn: đồng thời, trên một khoảng thời gian cụ thể].
15.3.7.2. FRU_RSA.2.2 16. Lớp FTA: Truy nhập TOE
Họ này định rõ các yêu cầu về chức năng điều khiển thiết lập phiên người dùng.
16.1. Giới hạn trên phạm vi các thuộc tính có thể lựa chọn (FTA_LSA) 16.1.1. Hành xử của họ
Họ này định nghĩa những yêu cầu cho việc giới hạn phạm vi các thuộc tính an toàn phiên mà người dùng có thể lựa chọn cho một phiên.
Hình 16 – Phân rã lớp FTA: truy nhập TOE 16.1.2. Phân mức thành phần
FTA_LSA.1 Giới hạn trên phạm vi các thuộc tính có thể lựa chọn, quy định yêu cầu cho một TOE để giới hạn phạm vi các thuộc tính an toàn trong suốt quá trình thiết lập phiên.
16.1.3. Quản lý của FTA_LSA.1
Các hành động theo có thể xem xét cho các chức năng quản lý trong FMT:
a) Quản lý phạm vi các thuộc tính an toàn phiên bởi nhà quản trị.
16.1.4. Kiểm toán của FTA_LSA.1
Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
a) Tối thiểu: Tất cả các nỗ lực không đạt được khi lựa chọn các thuộc tính an toàn phiên;
b) Cơ sở: Tất cả các cố gắng khi lựa chọn các thuộc tính an toàn phiên;
c) Chi tiết: Giữ lại các giá trị của mỗi thuộc tính an toàn phiên.
16.1.5. FTA_LSA.1 Giới hạn trên phạm vi các thuộc tính có thể lựa chọn
Phân cấp từ: Không có các thành phần nào.
Các mối phụ thuộc: Không có sự phụ thuộc.
16.1.5.1. FTA_LSA.1.1 16.2. Giới hạn về nhiều phiên diễn ra đồng thời (FTA_MCS) 16.2.1. Hành xử của họ
Họ này định nghĩa các yêu cầu để đưa ra các giới hạn trên một số phiên diễn ra đồng thời thuộc cùng người dùng.
16.2.2. Phân mức thành phần
FTA_MCS.1 Giới hạn cơ sở trên đa phiên đồng thời, quy định những giới hạn áp dụng cho tất cả người dùng TSF.
16.2.3. Quản lý của FTA_MCS.1
Các hành động theo có thể xem xét cho các chức năng quản lý trong FMT:
a) Quản lý một số lượng cho phép tối đa các phiên người dùng đồng thời bởi nhà quản trị.
16.2.4. Quản lý của FTA_MCS.2
Các hành động theo có thể xem xét cho các chức năng quản lý trong FMT:
a) Quản lý các quy tắc quản trị số lượng cho phép tối đa các phiên người dùng đồng thời bởi nhà quản trị.
16.2.5. Kiểm toán của FTA_MCS.1, FTA_MCS.2
Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
a) Tối thiểu: Loại trừ một phiên mới dựa trên cơ sở giới hạn nhiều phiên đồng thời.
b) Chi tiết: Giữ lại một số phiên người dùng đang diễn ra đồng thời và các thuộc tính an toàn người dùng.
16.2.6. FTA_MCS.1 Giới hạn cơ sở trên đa phiên đồng thời
Phân cấp từ: Không có các thành phần nào.
Các mối phụ thuộc: FTA_UID.1 Định thời cho định danh.
16.2.6.1. FTA_MCS.1.1 TSF cần hạn chế số lượng tối đa các phiên đồng thời thuộc cùng người dùng. 16.2.6.2. FTA_MCS.1.2 Mặc định, TSF phải tuân thủ giới hạn [chỉ định: số mặc định] phiên cho mỗi người dùng. 16.2.7. FTA_MCS.2 Giới hạn thuộc tính mỗi người dùng cho nhiều phiên đồng thời
Phân cấp từ: FTA_MCS.1 Giới hạn cơ sở trên đa phiên đồng thời.
Các mối phụ thuộc: FIA_UID.1 Định thời cho định danh.
16.2.7.1. FTA_MCS.2.1
TSF cần hạn chế số lượng tối đa các phiên đồng thời thuộc cùng người dùng theo quy tắc [chỉ định: các quy tắc về số các phiên đồng thời tối đa].
16.2.7.2. FTA_MCS.2.2
Mặc định, TSF cần thực thi giới hạn [chỉ định: số mặc định] số phiên người dùng.
16.3. Khóa và chấm dứt phiên (FTA_SSL) 16.3.1. Hành xử của họ
Họ này định nghĩa những yêu cầu đối với TSF để quy định khả năng khóa, mở khóa TSF đã khởi đầu và người dùng đã khởi đầu của các phiên tương tác.
16.3.2. Phân cấp thành phần
FTA_SSL.1 Khóa phiên TSF đã khởi đầu gồm việc khóa hệ thống đã khởi đầu của một phiên tương tác sau một khoảng thời gian nhất định khi không có hoạt động người dùng.
FTA_SSL.2 Khóa phiên người dùng đã khởi đầu, quy định những khả năng cho người dùng khóa hay mở khóa các phiên tương tác mà người dùng đó đang sử dụng.
FTA_SSL.3 Kết thúc TSF đã khởi đầu, quy định những yêu cầu cho phép TSF kết thúc phiên làm việc sau một khoảng thời gian không có hoạt động người dùng.
FTA_SSL.4 Kết thúc phiên người dùng đã khởi đầu, quy định khả năng cho người dùng để chấm dứt các phiên tương tác của chính người dùng.
16.3.3. Quản lý của FTA_SSL.1
Các hành động theo có thể xem xét cho các chức năng quản lý trong FMT:
a) Đặc tả về thời gian không có hoạt động người dùng sau khi lock-out diễn ra đối với mỗi người dùng cụ thể.
b) Đặc tả thời gian mặc định không có hoạt động người dùng sau khi lock-out diễn ra.
c) Quản lý các sự kiện diễn ra trước khi mở khóa một phiên.
16.3.4. Quản lý của FTA_SSL.2
Các hành động theo có thể xem xét cho các chức năng quản lý trong FMT:
a) Quản lý các sự kiện diễn ra trước khi mở khóa một phiên.
16.3.5. Quản lý của FTA_SSL.3
Các hành động theo có thể xem xét cho các chức năng quản lý trong FMT:
a) Đặc tả thời gian không có hoạt động người dùng sau khi kết thúc một phiên tương tác diễn ra đối với từng người dùng cụ thể.
b) Đặc tả thời gian mặc định không có người dùng sau khi kết thúc một phiên tương tác diễn ra.
16.3.6. Quản lý của FTA_SSL.4
Không có các hoạt động quản lý nào.
16.3.7. Kiểm toán của FTA_SSL.1, FTA_SSL.2
Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
a) Tối thiểu: Khóa một phiên tương tác bởi cơ chế khóa phiên.
b) Tối thiểu: Mở khóa thành công một phiên tương tác.
c) Cơ sở: Bất kỳ sự nỗ lực nào để mở khóa một phiên tương tác.
16.3.8. Kiểm toán của FTA_SSL.3
Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
a) Tối thiểu: Kết thúc một phiên tương tác nhờ cơ chế khóa phiên.
16.3.9. Kiểm toán của FTA_SSL.4
Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
a) Tối thiểu: Kết thúc một phiên tương tác bởi người dùng.
16.3.10. FTA_SSL.1 Khóa phiên khỏi tạo bởi TSF
Phân cấp từ: Không có các thành phần nào.
Các mối phụ thuộc: FIA_UAU.1 Định thời cho xác thực.
16.3.10.1. FTA_SSL.1.1 a) Xóa hoặc ghi đè các thiết bị hiển thị, làm cho những nội dung hiện tại không thể đọc; b) Cấm mọi hoạt động của các thiết bị hiển thị / truy nhập dữ liệu người dùng nếu không phải là mở khóa phiên. 16.3.10.2. FTA_SSL.1.2 16.3.11. FTA_SSL.2 Khóa khởi tạo bởi người dùng
Phân cấp từ: Không có các thành phần nào.
Các mối phụ thuộc: FIA_UAU.1 Định thời cho xác thực.
16.3.11.1. FTA_SSL.2.1 TSF cần cho phép việc khóa khởi tạo bởi người dùng cho phiên tương tác của chính họ thông qua: a) Xóa hoặc ghi đè các thiết bị hiển thị, làm cho những nội dung hiện tại không thể đọc được. b) Cấm mọi hoạt động của các thiết bị hiển thị / truy nhập dữ liệu của người dùng nếu không phải là mở khóa phiên. 16.3.11.2. FTA_SSL.2.2 16.3.12. FTA_SSL.3 Kết thúc phiên khởi tạo bởi TSF
Phân cấp từ: Không có các thành phần nào.
Các mối phụ thuộc: Không có sự phụ thuộc.
16.3.12.1. FTA_SSL.3.1 TSF cần kết thúc một phiên tương tác sau một khoảng [chỉ định: khoảng thời gian không có hoạt động người dùng]. 16.4. Các biểu tượng truy nhập TOE (FTA_TAB) 16.4.1. Hành xử của họ
Họ này định nghĩa những yêu cầu để hiển thị bản tin cảnh báo tư vấn cấu hình cho người dùng về cách sử dụng thích hợp của TOE.
16.4.2. Phân mức thành phần
FTA_TAB.1 Các biểu tượng truy nhập TOE mặc định, quy định yêu cầu cho một biểu trưng Truy nhập TOE. Biểu trưng này được hiển thị trước khi thiết lập hội thoại cho một phiên làm việc.
16.4.3. Quản lý của FTA_TAB.1
Các hành động theo có thể xem xét cho các chức năng quản lý trong FMT:
a) Duy trì biểu trưng bởi nhà quản trị có thẩm quyền.
16.4.4. Kiểm toán của FTA_TAB.1
Không có sự kiện có thể kiểm toán nào.
16.4.5. FTA_TAB.1 Các biểu trưng truy nhập TOE mặc định
Phân cấp từ: Không có các thành phần nào.
Các mối phụ thuộc: Không có sự phụ thuộc.
16.4.5.1. FTA_TAB.1.1 Trước khi thiết lập một phiên người dùng, TSF sẽ hiển thị một bản tin cảnh báo tư vấn về cách sử dụng không được cấp phép của TOE. 16.5. Lịch sử truy nhập TOE (FTA_TAH) 16.5.1. Hành xử của họ
Họ này định nghĩa những yêu cầu đối với TSF để hiển thị tới người dùng, sau khi thiết lập phiên thành công, một bản ghi lại những lần truy nhập thành công và không thành công vào tài khoản người.
16.5.3. Quản lý của FTA_TAH.1
Không có các hoạt động quản lý nào.
16.5.4. Kiểm toán của FTA_TAH.1
Không có sự kiện có thể kiểm toán nào.
16.5.5. FTA_TAH.1 Lịch sử truy nhập TOE
Phân cấp từ: Không có các thành phần nào.
Các mối phụ thuộc: Không có sự phụ thuộc.
16.5.5.1. FTA_TAH.1.1 Sau khi thiết lập phiên thành công, TSF cần hiển thị [lựa chọn: ngày tháng, thời gian, phương pháp, địa điểm] của lần thiết lập phiên thành công mới đây nhất cho người dùng. 16.5.5.2. FTA_TAH.1.2 16.5.5.3. FTA_TAH.1.3 TSF cần không được xóa thông tin lịch sử truy nhập từ giao diện người dùng mà không đưa ra cho người dùng một cơ hội xem lại thông tin. 16.6. Thiết lập phiên TOE (FTA_TSE) 16.6.1. Hành xử của họ
Họ này định nghĩa các yêu cầu từ chối truy cập người dùng thiết lập một phiên với TOE.
16.6.2. Phân mức thành phần
FTA_TSE.1 Thiết lập phiên TOE, quy định những yêu cầu đối với việc từ chối truy nhập người dùng tới TOE dựa trên các thuộc tính.
16.6.3. Quản lý của FTA_TSE.1
Các hành động theo có thể xem xét cho các chức năng quản lý trong FMT:
a) Quản lý các trạng thái thiết lập phiên bởi nhà quản trị.
16.6.4. Kiểm toán của FTA_TSE.1
Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
a) Tối thiểu: Từ chối thiết lập một phiên do cơ chế thiết lập phiên.
b) Cơ sở: Mọi cố gắng thiết lập một phiên người dùng
c) Chi tiết: Giữ lại giá trị của các thông số truy nhập đã lựa chọn (ví dụ: địa điểm truy nhập, thời gian truy nhập).
16.6.5. FTA_TSE.1 Thiết lập phiên TOE
Phân cấp từ: Không có các thành phần nào.
Các mối phụ thuộc: Không có sự phụ thuộc.
16.6.5.1. FTA_TSE.1.1 TSF cần phải có khả năng từ chối thiết lập phiên dựa trên cơ sở [chỉ định: các thuộc tính]. 17. Lớp FTP: Đường dẫn/Kênh tin cậy
Các họ trong lớp này quy định các yêu cầu đối với tuyến truyền thông tin cậy giữa người dùng và TSF, và đối với kênh truyền thông tin cậy giữa TSF và các sản phẩm IT tin cậy khác. Các tuyến và các kênh tin cậy có những đặc điểm chung sau:
▪ Tuyến truyền thông tin cậy được xây dựng nhờ sử dụng các kênh truyền thông bên trong và bên ngoài (thích hợp với thành phần đó) giữ cho tập con xác định của dữ liệu và các lệnh TSF tách biệt với phần còn lại của TSF và dữ liệu người dùng.
▪ Việc sử dụng tuyến truyền thông có thể được khởi đầu bởi người dùng và/hay TSF (thích hợp cho thành phần đó).
▪ Tuyến truyền thông có khả năng quy định sự đảm bảo cho người dùng đang truyền thông với đúng TSF, và TSF đang truyền thông với đúng người dùng (thích hợp cho thành phần đó).
Ở mô hình này, một kênh tin cậy là một kênh truyền thông có thể được khởi đầu từ phía khác của kênh, và quy định những đặc điểm không từ chối đối với việc định danh các phía của kênh.
Một tuyến tin cậy quy định phương tiện cho người dùng thực hiện các chức năng thông qua tương tác trực tiếp được đảm bảo với TSF. Tuyến tin cậy thường xuyên được mong muốn đối với các hành động người dùng chẳng hạn như sự nhận dạng và/hay xác thực, nhưng cũng có thể được mong muốn ở những lần khác trong suốt một phiên người dùng. Sự trao đổi bằng tuyến tin cậy có thể được khởi đầu bởi người dùng hay TSF. Người dùng phản hồi qua một tuyến tin cậy đảm bảo tránh được sự chỉnh sửa hay bị lộ bởi những ứng dụng không đáng tin cậy.
Hình 17 – Phân cấp lớp FTP: tuyến / kênh tin cậy 17.1. Kênh tin cậy liên-TSF (FTP_ITC) 17.1. Hành xử của họ
Họ này định nghĩa những yêu cầu về việc tạo thành kênh tin cậy giữa TSF và các sản phẩm IT khác đối với hiệu năng các hoạt động then chốt cho an toàn. Họ này nên được kèm theo khi có những yêu cầu về truyền thông an toàn của dữ liệu người dùng hay dữ liệu TSF giữa TOE và các sản phẩm CNTT tin cậy khác.
17.1.2. Phân mức thành phần
FTP_ITC.1 Kênh tin cậy liên TSF, yêu cầu TSF quy định một kênh truyền thông tin cậy giữa nó và một sản phẩm IT tin cậy khác.
17.1.3. Quản lý của FTP_ITC.1
Các hành động theo có thể xem xét cho các chức năng quản lý trong FMT:
a) Lập cấu hình các hành động yêu cầu kênh tin cậy, nếu được hỗ trợ.
17.1.4. Kiểm toán của FTP_ITC.1
Các hành động sau cần được kiểm tra nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn chứa trong PP/ST:
a) Tối thiểu: Lỗi của các chức năng kênh tin cậy.
b) Tối thiểu: Nhận dạng khởi đầu và đích của các chức năng kênh tin cậy bị lỗi.
c) Cơ sở: Mọi việc sử dụng thử các chức năng kênh tin cậy.
d) Cơ sở: Nhận dạng khởi đầu và đích của mọi chức năng kênh tin cậy.
17.1.5. FTP_ITC.1 Kênh tin cậy liên TSF
Phân cấp từ: Không có các thành phần nào.
Các mối phụ thuộc: Không có sự phụ thuộc.
17.2.2. Phân mức thành phần
FTP_TRP.1: Đường dẫn tin cậy, yêu cầu một đường dẫn tin cậy giữa TSF và một người dùng được quy định cho một tập các sự kiện định nghĩa bởi tác giả PP/ST. Người dùng và/hoặc TSF đều có khả năng khởi tạo Đường dẫn tin cậy.
17.2.3. Quản lý của FTP_TRP.1
Các hành động theo có thể xem xét cho các chức năng quản lý trong FMT:
a) Lập cấu hình các hành động yêu cầu đường dẫn tin cậy, nếu được hỗ trợ.
17.2.4. Kiểm toán của FTP_TRP.1
Các hành động sau đây có thể được kiểm toán nếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
a) Tối thiểu: Lỗi của các chức năng đường dẫn tin cậy.
c) Cơ sở: Mọi việc sử dụng thử các chức năng đường dẫn tin cậy.
17.2.5. FTP_TRP.1 Đường dẫn tin cậy
Phân cấp từ: Không có các thành phần nào.
Các mối phụ thuộc: Không có sự phụ thuộc.
17.2.5.1. FTP_TRP.1.1 TSF cần quy định một đường dẫn truyền thông giữa nó và [lựa chọn: từ xa, nội hạt] những người dùng phân biệt về logic với các Đường dẫn truyền thông khác và quy định việc nhận dạng bảo đảm về điểm cuối và việc bảo vệ dữ liệu Đường dẫn khỏi sự chỉnh sửa hay bị lộ thông tin. 17.2.5.2. FTP_TRP.1.2 17.2.5.3. FTP_TRP.1.3 PHỤ LỤC A
GHI CHÚ VỀ ỨNG DỤNG CÁC YÊU CẦU CHỨC NĂNG AN TOÀN
Phụ lục này bao gồm hướng dẫn bổ sung cho các họ và thành phần định nghĩa trong các phần tử của TCVN 8709 theo đó yêu cầu người sử dụng, người phát triển và đánh giá viên phải tuân theo. Để việc tìm thông tin thích hợp thuận tiện hơn, việc trình bày các lớp, họ và thành phần trong phụ lục này tương tự như sự trình bày bên trong các phần tử.
Hình A.1 – Cấu trúc lớp chức năng A.1.1. Tên lớp
Đây là tên lớp duy nhất định nghĩa bên trong các phần tử quy chuẩn của phần TCVN 8709 này.
A.1.2. Cấu trúc họ
Hình A.2 minh họa sơ đồ cấu trúc chức năng của họ cho ghi chú ứng dụng.
Hình A.2 – Cấu trúc họ chức năng cho các ghi chú ứng dụng A.1.2.1. Tên họ
Đây là tên duy nhất của họ định nghĩa trong các phần tử quy chuẩn của phần này trong ISO/IEC 15408.
A.1.2.2. Chú thích cho người sử dụng
Chú thích cho người sử dụng bao gồm thông tin bổ sung được quan tâm bởi những người dùng tiềm năng của họ, đó có thể là PP, ST, tác giả gói chức năng hoặc những người phát triển TOE thực hiện việc tích hợp những thành phần chức năng. Sự biểu diễn cung cấp thông tin và có thể bao gồm cảnh báo về sự hạn chế của việc sử dụng và những lĩnh vực cần sự tập trung riêng khi sử dụng thành phần.
A.1.2.3. Chú thích cho đánh giá viên
Chú thích cho đánh giá viên bao gồm thông tin được quan tâm bởi những người phát triển, các đánh giá viên về một thành phần của họ. Chú thích cho đánh giá viên được trình bày trong nhiều lĩnh vực cần quan tâm riêng khi đánh giá TOE, chẳng hạn làm rõ ý nghĩa và chi tiết hóa một vấn đề cũng như cảnh báo một chi tiết cần đánh giá.
Các điều khoản về chú thích cho người sử dụng và chú thích cho đánh giá viên không bắt buộc và chỉ xuất hiện khi phù hợp.
A.1.3. Cấu trúc thành phần
Hình A.3 minh họa cấu trúc thành phần chức năng của ghi chú ứng dụng.
Hình A.3 – Cấu trúc thành phần chức năng A.1.3.1. Định danh thành phần
Đây là tên duy nhất của thành phần định nghĩa trong phần tử quy chuẩn của TCVN 8709.
* Sở cứ thành phần: bao gồm những đặc trưng của sở cứ được bổ sung chi tiết. Sở cứ thành phần chỉ xuất hiện trong lớp nào đó nếu cần thiết.
* Ghi chú ứng dụng bao gồm những bổ sung chi tiết về một thành phần nhất định. Sự bổ sung này có thể gắn liền với Chú thích cho người sử dụng và/hoặc ghi chú đánh giá viên như đã mô tả ở A.1.2. Bổ sung chi tiết có thể được sử dụng để giải thích bản chất những sự phụ thuộc (ví dụ: thông tin chia sẻ hoặc hành động chia sẻ).
Điều khoản nhỏ này không bắt buộc và chỉ xuất hiện nếu phù hợp.
Điều khoản nhỏ này không bắt buộc và chỉ xuất hiện nếu phù hợp.
Bảng A.1 – Bảng phụ thuộc của lớp FAU: Kiểm toán an toàn Bảng A.2 – Bảng phụ thuộc của lớp FCO: Truyền thông Bảng A.3 – Bảng phụ thuộc của lớp FCS: Hỗ trợ mật mã Bảng A.4 – Bảng phụ thuộc của lớp FDP: Bảo vệ dữ liệu người dùng Bảng A.5 – Bảng phụ thuộc của lớp FIA: Định danh và xác thực Bảng A.6 – Bảng phụ thuộc của lớp FMT: Quản lý an toàn Bảng A.7 – Bảng phụ thuộc của lớp FPR: Tính riêng tư Bảng A.8 – Bảng phụ thuộc của lớp FPT: Bảo vệ TSF Bảng A.9 – Bảng phụ thuộc của lớp FRU: Sử dụng tài nguyên Bảng A.10 – Bảng phụ thuộc của lớp FTA: Truy nhập TOE
Tiêu Chuẩn Việt Nam Tcvn 4831:1989 (Iso 5495
TCVN 4831 – 89 (ISO 5495 – 1983)
PHÂN TÍCH CẢM QUAN – PHƯƠNG PHÁP LUẬN – PHÉP THỬ SO SÁNH CẶP ĐÔI
Sensory analysis – Methodology – Paired comparison test
Cơ quan biên soạn:
Trung tâm tiêu chuẩn chất lượng
Tổng cục Tiêu chuẩn – Đo lường – Chất lượng.
Cơ quan đề nghị ban hành và trình duyệt:
Tổng cục Tiêu chuẩn – Đo lường – Chất lượng.
Cơ quan xét duyệt và ban hành:
Ủy ban Khoa học và kỹ thuật Nhà nước.
Quyết định ban hành số 702/QĐ ngày 25 tháng 12 năm 1989.
PHÂN TÍCH CẢM QUAN – PHƯƠNG PHÁP LUẬN – PHÉP THỬ SO SÁNH CẶP ĐÔI Sensory analysis – Methodology – Paired comparison test
Tiêu chuẩn này quy định kỹ thuật để phát hiện sự khác nhau trong các thuộc tính cảm quan của hai sản phẩm.
Tiêu chuẩn này phù hợp với ISO 5495-1983.
1. QUY ĐỊNH CHUNG
a) Xác định khác nhau về hướng: để xác định hướng của sự khác nhau giữa hai mẫu thử đối với một thuộc tính đã được quy định rõ. (Ví dụ độ ngọt nhiều hơn hoặc kém hơn).
b) Xác định độ ưa thích hơn: để xác định xem có sự ưa thích hơn giữa hai mẫu thử hay không (ví dụ trong các phép thử của người tiêu thủ).
c) Huấn luyện đánh giá viên cảm quan: để lựa chọn huấn luyện và kiểm tra khả năng thực hành công việc của người đánh giá cảm quan.
3. NGUYÊN LÝ
Đưa ra một cặp mẫu cho đánh giá viên, một mẫu có thể là mẫu đối chứng.
Tiếp theo việc thử nghiệm, đánh giá viên ghi lại sự nhận xét cảm quan (khi đánh giá) và làm sáng tỏ các trả lời thu được.
4. THIẾT BỊ
Các thiết bị nên do người giám sát thử nghiệm lựa chọn tùy theo tính chất của sản phẩm được phân tích, số lượng mẫu….với điều kiện các thiết bị không được làm ảnh hưởng tới kết quả thử.
Nên dùng các thiết bị đã được tiêu chuẩn hóa với yêu cầu của phép thử đó.
6. ĐIỀU KIỆN THỬ CHUNG 6.1. Phòng thử cảm quan
Điều kiện phòng mà trong đó phép thử được tiến hành đang là đối tượng tiêu chuẩn hóa của một tiêu chuẩn quốc tế (*).
6.2. Đánh giá viên:
Những điều kiện mà đánh giá viên cảm quan cần phải có đủ sẽ là đối tượng tiêu chuẩn hóa của một tiêu chuẩn quốc tế trong tương lai (*).
Để đảm bảo tính đúng đắn thống kê của phép thử, nói chung số lượng đánh giá viên tham gia ít nhất là:
a) Đối với phép thử về hướng: 7 chuyên gia hoặc 20 đánh giá viên có trình độ.
b) Đối với phép thử mức độ ưa thích hơn: 30 đánh giá viên chưa qua huấn luyện, và nếu có thể con số này là 100 hoặc vài trăm người.
c) Để huấn luyện đánh giá viên: số lượng đánh giá viên tùy theo phép thử.
Nói chung, nên đưa ra mẫu đối chứng (các chất chuẩn).
7. TRÌNH TỰ
Chuẩn bị mẫu thử (phân phát, pha loãng, đun nấu mẫu…).
Các cặp khác nhau của loạt mẫu phải được chuẩn bị theo một cách giống nhau (cùng các thiết bị, cùng loại đồ đựng cùng khối lượng sản phẩm).
7.2. Kỹ thuật thử
Các cặp mẫu phải được đưa ra đồng thời cùng một lúc hoặc kế tiếp nhau để đánh giá. Thứ tự đưa mẫu ra để đánh giá phải cân xứng sao cho các tổ hợp AB và BA xuất hiện một số lần bằng nhau và được phân phát một cách ngẫu nhiên cho các đánh giá viên. Một vài cặp mẫu có thể được đưa ra theo trình tự kế tiếp (dãy các cặp mẫu) nhưng phải bảo đảm sao cho cảm giác mệt mỏi của đánh giá viên giảm đến mức thấp nhất hoặc tránh được.
Chú thích: Cách thức nêu câu hỏi rất quan trọng vì điều đó có thể dẫn đến độ chệch trong các trả lời của đánh giá viên.
Tùy vào mục đích của phép thử, các câu hỏi sau đây có thể được nêu ra:
a) Thử nghiệm sự khác nhau về hướng: cái nào trong hai mẫu này là ………………..hơn (ngọt hơn, mặn hơn, vv…)
b) Thử nghiệm mức độ ưa thích hơn: bạn thích cái nào hơn trong 2 mẫu này?
c) Huấn luyện đánh giá viên: cái nào trong hai mẫu này là ……….. hơn ?
Người giám sát thử phải lựa chọn một trong các khả năng sau đây:
a) Theo kỹ thuật “lựa chọn bắt buộc”, đánh giá viên phải chỉ ra mẫu nào mà họ cho là có cường độ vị giác mạnh hơn hoặc mẫu nào họ ưa thích hơn, ngay cả khi đánh giá viên tự nhận là họ không cảm thấy được sự khác nhau.
b) Cho phép trả lời “không khác nhau”, hoặc “không ưa thích hơn”.
Bất luận là phương pháp nào đã được chọn, trong các bảng trả lời không nên đưa ra nhiều hơn một câu hỏi, nhưng cần phải dành ra chỗ trống cần thiết trong bảng để dùng cho trường hợp khi thử nghiệm các loạt cặp mẫu. Nếu cần phải nêu nhiều hơn 1 câu hỏi thì các mẫu phải được mã hóa lại và đưa ra cho từng câu hỏi riêng biệt.
Phương pháp “lựa chọn bắt buộc” là một phương pháp duy nhất dựa vào các nguyên tắc thống kê.
8. TRÌNH BÀY VÀ GIẢI THÍCH KẾT QUẢ
Các trả lời được người giám sát thử nghiệm đối chiếu và giải thích như sau:
Chú thích: các ví dụ áp dụng thực tế cho ở phụ lục B
8.1. Phương pháp “lựa chọn bắt buộc”
Nếu phương pháp “lựa chọn bắt buộc” được chọn dùng thì:
a) Đối với phép thử là quy tắc một phía, cộng số các câu trả lời theo hướng đã được người giám sát thử nói trước và đối chiếu với bảng 1.
b) Đối với phép thử là quy tắc hai phía, cộng số các câu trả lời (lấy số lớn hơn trong hai số) và đối chiếu với bảng 2 để xác định liệu xem có sự khác nhau có ý nghĩa giữa các mẫu, hoặc có sự ưa thích hơn có ý nghĩa đối với một trong các mẫu hay không.
8.2. Các trả lời “không khác nhau”, hoặc “không ưa thích hơn”
Nếu được phép trả lời “không khác nhau”, hoặc “không ưa thích hơn” thì xử lý các câu trả lời đó theo một trong hai phương pháp sau:
a) Bỏ qua các câu trả lời đó, có nghĩa là loại trừ chúng khỏi tổng số các câu trả lời của hội đồng.
b) Phân một nửa các câu trả lời “không khác nhau” hoặc “không ưa thích hơn” cho mỗi một trong hai loại trả lời.
Phần lớn các câu trả lời “không khác nhau”, hoặc “không ưa thích hơn” cung cấp một phần thông tin lý thú và có thể bổ ích trong khi làm các phép thử tiếp sau. Đặc biệt nó có thể chỉ cho thấy sự khác nhau giữa các mẫu thử này là thấy dưới ngưỡng phát hiện của đánh giá viên. Điều đó cũng có thể nói lên là kỹ thuật thử nghiệm không hoàn hảo hay phản ánh có sự biến động sinh lý quan trọng trong các đánh giá viên tham gia hội đồng, hoặc thậm chí thiếu sự nhiệt tâm tận tụy của một số đánh giá viên đang tham gia thử nghiệm.
3. BÁO CÁO THỬ NGHIỆM
Báo cáo cần phải đề cập đến tiêu chuẩn này và phải cung cấp các thông tin sau:
a) Vấn đề đưa ra;
b) Tất cả thông tin cần thiết cho việc nhận biết một cách đầy đủ mẫu (hoặc các mẫu);
c) Các tham số thử nghiệm đã được chấp nhận;
d) Có sử dụng chất chuẩn hay không;
f) Số lượng các phép thử và số lượng các chuyên gia hay số lượng các đánh giá viên đã hoặc chưa được huấn luyện;
g) Toàn bộ các điều kiện thử, đặc biệt có sử dụng phương pháp “lựa chọn bắt buộc”, hay không, và phương pháp thử đã tiến hành là quy tắc một phía, hay quy tắc 2 phía;
h) Kết quả thu nhận được, với mức ý nghĩa đã cho;
i) Ngày, tháng, giờ và điều kiện vật chất của các phép thử;
k) Tên của người giám sát thử nghiệm.
Quy tắc một phía
1) Các giá trị cho trong bảng được tính toán từ công thức chính xác: luật nhị thức đối với tham số p = 0,50, với n lặp lại (trả lời).
Số trả lời ít nhất: giá trị nguyên gần nhất + k
Quy tắc một phía:
Quy tắc hai phía
1) Các giá trị cho trong bảng được tính toán từ công thức chính xác: luật nhị thức đối với tham số p = 0,50, với n lặp lại (trả lời);
Số trả lời ít nhất: giá trị nguyên gần nhất:
Quy tắc hai phía:
PHỤ LỤC A
BẢNG MẪU TRẢ LỜI
Phát hiện các khác nhau về hướng
PHỤ LỤC B
VÍ DỤ ÁP DỤNG THỰC TẾ
Người giám sát thử chấp nhận rủi ro sai lầm 5 % (nghĩa là 0,05)
TIÊU CHUẨN THAM KHẢO
Tiêu Chuẩn Việt Nam Tcvn 7324:2004 (Iso 5813:1983) Về Chất Lượng Nước
TCVN 7324:2004 ISO 5813:1983
CHẤT LƯỢNG NƯỚC – XÁC ĐỊNH OXY HÒA TAN – PHƯƠNG PHÁP IOD
Water quality – Determination of dissolved oxygen – Iodometric method Lời nói đầu
TCVN 7324:2004 hoàn toàn tương đương với ISO 5813:1983.
TCVN 7324:2004 do Ban kĩ thuật Tiêu chuẩn TCVN/TC147 “Chất lượng nước” biên soạn, Tổng cục Tiêu chuẩn Đo lường Chất lượng đề nghị, Bộ Khoa học và Công nghệ ban hành.
CHẤT LƯỢNG NƯỚC – XÁC ĐỊNH OXY HÒA TAN – PHƯƠNG PHÁP IOD Water quality – Determination of dissolved oxygen – Iodometric method 1. Phạm vi và lĩnh vực áp dụng
Tiêu chuẩn này quy định phương pháp iod để xác định oxy hòa tan trong nước gọi là “phương pháp Winkler” cải tiến để khắc phục một số cản trở.
Phương pháp iod là phương pháp chuẩn để xác định oxy hòa tan trong nước. Phương pháp này được dùng cho mọi loại nước có nồng độ oxy hòa tan từ 0,2 mg/l đến gấp đôi nồng độ oxy bão hòa (khoảng 20 mg/l) khi không có các chất cản trở. Các chất hữu cơ dễ bị oxy hóa như tanin, axit humic, lignin cản trở việc xác định. Các hợp chất lưu huỳnh dễ bị oxy hóa như sunphua, thioure cũng gây cản trở, như các hệ hô hấp tích cực thường cần oxy. Khi có các chất như vậy thì nên dùng phương pháp đầu đo điện hóa được quy định trong TCVN 7325:2004 (ISO 5814).
Nồng độ nitrit đến 15 mg/l không gây cản trở phép xác định vì chúng bị phân hủy khi thêm natri azid.
Nếu có các chất oxy hóa hoặc chất khử thì cần áp dụng phương pháp đã cải tiến mô tả ở điều 9.
Nếu có huyền phù có khả năng cố định hoặc tiêu hao iod thì có thể dùng phương pháp cải tiến nêu trong phụ lục A, nhưng tốt nhất vẫn là dùng phương pháp đầu đo điện hóa.
2. Tiêu chuẩn viện dẫn
TCVN 7325:2004 (ISO 5814) Chất lượng nước – Xác định oxy hòa tan – Phương pháp đầu đo điện hóa.
3. Nguyên tắc
Phản ứng của oxy hòa tan trong mẫu với mangan (II) hydroxit mới sinh (do thêm natri hoặc kali hydroxit vào mangan (II) sunphat). Quá trình axit hóa và iodua các hợp chất mangan có hóa trị cao hơn mới hình thành sẽ tạo ra một lượng iod tương đương. Xác định lượng iod được giải phóng bằng cách chuẩn độ với natri thiosunphat.
4. Thuốc thử
Khi phân tích, chỉ dùng thuốc thử phân tích và nước cất hoặc nước có độ tinh khiết tương đương.
Thêm cẩn thận 500 ml axit sunphuric đặc ( = 1,84 g/ml) vào 500 ml nước, khuấy liên tục.
4.3. Thuốc thử kiềm iodua – azid Cảnh báo: Natri azid là chất độc cực mạnh. Nếu biết chắc không có nitrit trong mẫu thì không nên dùng azid.
Hòa tan 35 g natri hydroxit (NaOH) [hoặc 50 g kali hydroxit (KOH)] và 30 g kali iodua (Kl) [hoặc 27 g natri iodua (Nal)] trong khoảng 50 ml nước.
Hòa riêng 1 g natri azid (NaN 3) trong vài mililit nước.
Trộn lẫn 2 dung dịch trên và pha loãng đến 100 ml.
Giữ dung dịch trong bình thủy tinh nâu, đậy kín.
Sau khi pha loãng và axit hóa, thuốc thử này không có màu với dung dịch chỉ thị (4.7)
Có thể dùng mangan (II) clorua ngậm bốn nước, dung dịch 450 g/l.
Nếu dung dịch đục thì lọc.
Sấy khô vài gam kali iodat (KlO 3) ở 180 0 C. Cân 3,567 ± 0,003 g và hòa tan trong nước. Pha loãng đến 1000 ml.
Hút 100 ml và pha loãng bằng nước đến 1000 ml trong bình định mức.
4.6.1. Chuẩn bị
Hòa tan 2,5 g natri thiosunphat ngậm năm nước (Na 2S 2O 3. 5H 2 O) trong nước mới đun sôi để nguội. Thêm 0,4 g natri hydroxit (NaOH) và pha loãng đến 1000 ml.
Giữ dung dịch trong bình thủy tinh sẫm màu.
4.6.2. Chuẩn hóa
Hòa tan trong bình nón khoảng 0,5 g kali hoặc natri iodua (Kl hoặc Nal) với 100 ml đến 150 ml nước. Thêm 5 ml dung dịch axit sunfuric 2 mol/l (4.2).
Lắc đều và thêm 20,00 ml dung dịch tiêu chuẩn kali iodat (4.5). Pha loãng đến khoảng 200 ml và chuẩn độ ngay iod được giải phóng bằng dung dịch natri thiosunphat, gần cuối chuẩn độ thêm dung dịch chỉ thị (4.7) khi dung dịch có màu vàng rơm và tiếp tục chuẩn độ đến mất màu hoàn toàn.
Nồng độ, c, thể hiện bằng milimol trên lít được tính bằng công thức:
c =
Trong đó V là thể tích dung dịch natri thiosunphat đã dùng để chuẩn độ, tính bằng mililit.
Việc chuẩn hóa dung dịch cần làm hàng ngày.
Chú thích: Có thể dùng chỉ thị thích hợp khác.
Hòa tan 4 g đến 5 g kali hoặc natri iodua trong một ít nước rồi thêm khoảng 130 mg iod. Sau khi hòa tan hết, pha loãng đến 100 ml.
4.10. Kali iodua hoặc natri iodua. 5. Thiết bị, dụng cụ
Các thiết bị phòng thí nghiệm thông thường và
6. Cách tiến hành 6.2. Kiểm tra sự có mặt của chất oxy hóa hoặc chất khử
Nếu có chất oxy hóa hoặc chất khử cản trở kết quả thì lấy 50 ml mẫu nước để phân tích và trung hòa khi có 2 giọt phenolphtalein (4.8). Thêm 0,5 ml dung dịch axit sunfuric (4.2), vài tinh thể kali hoặc natri iodua (4.10) (khoảng 0,5 g) và vài giọt dung dịch chỉ thị (4.7).
Nếu dung dịch chuyển sang màu xanh chứng tỏ có chất oxy hóa.
Nếu dung dịch giữ nguyên không màu, thêm 0,2 ml dung dịch iod (4.9) và lắc. Để yên trong 30 s. Nếu màu xanh không xuất hiện thì chứng tỏ có chất khử.1)
Khi có chất oxy hóa, tiến hành theo 9.1.
Khi có chất khử, tiến hành theo 9.2.
Khi không có chất oxy hóa và chất khử, tiến hành theo 6.3, 6.4 và 6.5.
6.3. Lấy mẫu
Trừ trường hợp đặc biệt, mẫu được lấy vào bình (5.1) mà bình đó sẽ dùng để phân tích.
Mẫu phân tích gồm tất cả các chất của bình đầy tràn.
Chú thích: Khi có chất oxy hóa hoặc chất khử cần tiến hành lấy mẫu thứ hai (xem 9.1.2.1 và 9.2.3.1).
6.3.1. Lấy mẫu nước mặt
Nạp nước đầy bình (5.1) đến tràn, cần chú ý để tránh bất cứ thay đổi nào về nồng độ của oxy hòa tan. Đối với vùng nước nông, nên dùng phương pháp điện hóa.
Sau khi loại hết bọt khí dính trên thành bình thủy tinh, cần cố định ngay oxy hòa tan (xem 6.4).
6.3.2. Lấy mẫu nước từ đường ống phân phối nước
Nối một ống bằng vật liệu trơ vào đường ống và đầu kia cắm vào đáy bình (5.1).
Nạp nước đầy bình bằng cách cho chảy qua một thể tích khoảng gấp mười dung tích bình. Sau khi loại hết bọt khí dính trên thành bình thì cố định oxy hòa tan ngay (xem 6.4).
6.3.3. Lấy mẫu nước ở các độ sâu khác nhau
Dùng dụng cụ lấy mẫu đặc biệt có bình chứa (5.1) và một ống cao su dài cắm vào tận đáy bình.
Bình được nạp đầy bằng cách đẩy không khí ra ngoài. Tránh cuộn xoáy. Nhiều loại dụng cụ cho phép nạp đầy nhiều bình cùng một lúc.
6.4. Cố định oxy
Sau khi lấy mẫu, tốt nhất là ở ngay tại hiện trường, lập tức thêm 1 ml dung dịch mangan (II) sunfat (4.4) và 2 ml thuốc thử kiềm (4.3). Thêm thuốc thử ở dưới bề mặt nước của mẫu bằng cách dùng các pipet có mũi nhọn. Cần mở nắp cẩn thận để tránh không khí lọt vào.
Nếu dùng các hệ lấy mẫu khác cần chú ý để tránh làm thay đổi lượng oxy hòa tan.
Lật ngược bình vài lần để trộn đều mẫu. Nếu có kết tủa, cần để yên ít nhất 5 min rồi lại trộn đều bằng cách đảo ngược bình để đảm bảo mẫu là đồng thể.
Sau đó bình mẫu có thể chuyển đến phòng thí nghiệm.
Nếu mẫu được che sáng thì có thể lưu giữ đến 24h.
6.5. Giải phóng iod
Cần để kết tủa đã tạo thành được lắng xuống khoảng một phần ba bình.
Thêm từ từ 1,5 ml dung dịch axit sunfuric (4.1) [hoặc một thể tích tương đương dung dịch axit phosphoric (xem chú thích ở 4.1)], đậy nắp bình và lắc cho kết tủa tan hết và iod được phân bố đều trong dung dịch.
Chú thích: Nếu tiến hành chuẩn độ trực tiếp bình này thì cần hút phần trong ở trên ra, chú ý không khuấy động đến phần cặn.
6.6. Chuẩn độ
Lấy một phần dung dịch ở bình hoặc phần nước trong (thể tích V1) vào bình nón.
Chuẩn độ bằng dung dịch natri thiosunphat (4.6), hoặc dùng hồ tinh bột làm chỉ thị (4.7), thêm vào lúc gần cuối chuẩn độ, hoặc dùng chỉ thị thích hợp khác.
7. Thể hiện kết quả
Hàm lượng oxy hòa tan, tính bằng miligam oxy trên lít, được tính bằng công thức
là thể tích của mẫu thử hoặc của phần nước trong, tính bằng mililit (V 1=V 0 nếu chuẩn độ toàn bộ mẫu);
là thể tích của dung dịch natri thiosunphat (4.6) dùng để chuẩn độ toàn bộ mẫu hoặc phần nước trong, tính bằng mililit;
là nồng độ của dung dịch natri thiosunphat (4.6), tính bằng milimol trên lít;
= ¦ 1
là tổng thể tích của dung dịch mangan (II) sunphat (4.4) (1 ml) và thuốc thử kiềm (4.3) (2 ml).
Báo cáo kết quả lấy một số thập phân.
8. Độ tái lập
Sự xác định oxy hòa tan bão hòa không khí trong nước với số bậc tự do là 10 (8,5 đến 9 mg/l) được thực hiện ở 4 phòng thí nghiệm riêng biệt cho độ lệch chuẩn từ 0,03 mg đến 0,05 mg oxy hòa tan trên lít.
9. Những trường hợp đặc biệt 9.1. Khi có chất oxy hóa 9.1.1. Nguyên tắc
Xác định hàm lượng chất oxy hóa bằng cách chuẩn độ mẫu thứ hai. Hiệu chỉnh kết quả thu được theo điều 7.
9.1.2. Cách tiến hành 9.1.3. Biểu thị kết quả
Hàm lượng oxy hòa tan tính bằng miligam oxy trên lít được cho bởi công thức
V 3 là dung tích của bình chứa mẫu thứ hai, tính bằng mililit;
V 4 là thể tích của dung dịch natri thiosunphat (4.6) tiêu tốn khi chuẩn độ mẫu thứ hai, tính bằng mililit.
9.2. Khi có chất khử 9.2.1. Nguyên tắc
Oxy hóa chất khử ở cả mẫu thứ nhất và mẫu thứ hai bằng cách thêm dư dung dịch natri hypoclorit.
Xác định hàm lượng oxy hòa tan trong một mẫu.
Xác định lượng dư natri hypoclorit trong mẫu còn lại.
9.2.2. Thuốc thử
Các thuốc thử quy định ở điều 4 và
9.2.3. Cách tiến hành
Với một mẫu thử, tiến hành theo 6.4, 6.5 và 6.6, và mẫu kia tiến hành theo 9.1.2.3.
9.2.4. Biểu thị kết quả
Hàm lượng oxy hòa tan, tính bằng miligam trên lít được tính bằng công thức
là thể tích của dung dịch natri hypoclorit được thêm vào mẫu thử tính bằng mililit (thông thường V5 = 1,00 ml)
¦ = 2
10. Báo cáo kết quả
Báo cáo kết quả phải bao gồm những thông tin sau:
a) Nhận dạng chính xác mẫu;
b) Tham khảo phương pháp được dùng;
c) Kết quả và phương pháp thể hiện đã dùng;
d) Nhiệt độ và áp suất ngoài trời;
e) Bất cứ chi tiết đặc biệt nào được ghi chú trong khi xác định;
f) Mọi khác biệt với tiêu chuẩn này.
PHỤ LỤC A
PHƯƠNG PHÁP CẢI TIẾN KHI HUYỀN PHÙ CÓ KHẢ NĂNG CỐ ĐỊNH HOẶC TIÊU HAO IOD1)
A.1. Nguyên tắc
Làm đông tụ huyền phù và tách ra nhờ nhôm hydroxit.
A.2. Thuốc thử
Các thuốc thử quy định ở điều 4 và
A.3. Cách tiến hành
Nạp đầy tràn bình thủy tinh có nút dung tích cỡ 1000 ml bằng mẫu nước cần phân tích, chú ý các yêu cầu ở 6.3.
Dùng pipet đưa vào dưới mặt nước 20 ml dung dịch nhôm kali sunphat (A.2.1) và 4 ml dung dịch amoniac (A.2.2).
Đậy bình và lắc cẩn thận bằng cách lật ngược bình nhiều lần. Để yên cho kết tủa lắng xuống.
Hút phần nước trong ở phía trên cho vào hai bình (5.1).
Kiểm tra sự có mặt của chất oxy hóa hoặc chất khử theo 6.2 và tiến hành theo 6.4, 6.5 và 6.6 hoặc 9.1 và 9.2.
A.4. Biểu thị kết quả
Nhân công thức phù hợp ở điều 7, 9.1.3 hoặc 9.2.4 với hệ số hiệu chỉnh
V 6 là dung tích bình dùng ở A.3 để lấy mẫu, tính bằng mililit;
V ” là tổng thể tích của dung dịch nhôm sunphat (A.2.1) (20 ml) và dung dịch amoniac (A.2.2) (4 ml).
PHỤ LỤC B
THƯ MỤC TÀI LIỆU THAM KHẢO
[1] MONTGOMERY, H.A.C., THOM, N.S., AND COCKBUN, A. Determination of dissolved oxxygen by the Winkler method and the solubility of oxygen in pure and sea water. J. Appl. chem. 14 1964: 280-295. (Xác định oxy hòa tan bằng phương pháp Winkler và độ tan của oxy trong nước biển tinh khiết).
[2] CARPENTER, J. H. The accuracy of the Winkler method for dissolved oxygen analysis. Limnol. Oceanogr.10 1965: 135-140. (Độ đúng của phương pháp Winkler khi xác định oxy hòa tan).
[3] CARPENTER, J. H. New measurements of oxygen solubility in pure and natural water. Limnol. Oceanogr. 10 1966: 264-277. (Những phép đo mới độ tan của oxy trong nước tự nhiên tinh khiết).
Tiêu Chuẩn Quốc Gia Tcvn 4836
TCVN 4836-1:2009
THỊT VÀ SẢN PHẨM THỊT – XÁC ĐỊNH HÀM LƯỢNG CLORUA – PHẦN 1: PHƯƠNG PHÁP VOLHARD
Meat and meat products – Determination of chloride content – Part 1: Vohard method Lời nói đầu
TCVN 4836-1:2009 và TCVN 4836-2:2009 thay thế TCVN 4836-89;
TCVN 4836-1:2009 hoàn toàn tương đương với ISO 1841-1:1996;
TCVN 4836-1:2009 do Ban kỹ thuật tiêu chuẩn quốc gia TCVN/TC/F8 Thịt và sản phẩm thịt biên soạn, Tổng cục Tiêu chuẩn Đo lường Chất lượng đề nghị, Bộ Khoa học và Công nghệ công bố.
TCVN 4836 (ISO 1841) Thịt và sản phẩm thịt – Xác định hàm lượng clorua, gồm có các phần sau:
– TCVN 4836-1:2009 (ISO 1841-1:1996) Thịt và sản phẩm thịt – Xác định hàm lượng clorua – Phần 1: Phương pháp Volhard;
– TCVN 4836-2:2009 (ISO 1841-2:1996) Thịt và sản phẩm thịt – Xác định hàm lượng clorua – Phần 2: Phương pháp đo điện thế.
THỊT VÀ SẢN PHẨM THỊT – XÁC ĐỊNH HÀM LƯỢNG CLORUA – PHẦN 1: PHƯƠNG PHÁP VOLHARD Meat and meat products – Determination of chloride content – Part 1: Vohard method 1. Phạm vi áp dụng
Tiêu chuẩn này quy định phương pháp xác định hàm lượng cloura trong thịt và sản phẩm thịt, bao gồm cả thịt gia cầm, có chứa hàm lượng natri clorua bằng hoặc lớn hơn 0,25 % (khối lượng).
2. Định nghĩa
Trong tiêu chuẩn này sử dụng các thuật ngữ và định nghĩa sau đây:
Hàm lượng clorua tổng số xác định được bằng phương pháp quy định trong tiêu chuẩn này. Hàm lượng clorua được biểu thị bằng natri clorua, tính bằng phần trăm khối lượng.
3. Nguyên tắc
Hòa tan phần mẫu thử trong nước. Axit hóa phần huyền phù của mẫu thử và chuẩn độ bằng đo điện thế với dung dịch bạc nitrat, sử dụng điện cực bạc.
4. Thuốc thử
Chỉ sử dụng thuốc thử tinh khiết phân tích, trừ khi có quy định khác.
Phép thử không chứa nhóm halogen: Cho 1 ml bạc nitrat [ 0,1 mol/l] và 5 ml axit nitric [c(HNO c(AgNO 3) ” 3) ” 4 mol/l] vào 100 ml nước. Không được đục.
Trộn 1 thể tích axit nitric đậm đặc (1,39 g/ml ≤ r ≤ 1,42 g/ml) với 3 thể tích nước.
4.4. Dung dịch tạo kết tủa các protein 4.4.1. Thuốc thử A
Hòa tan trong nước 106 g kali hexaxyanoferat (II) ngậm ba phân tử nước [K 4Fe(CN) 6.3H 2 O]. Chuyển hết lượng này vào bình định mức một vạch 1000 ml (5.2) và pha loãng bằng nước đến vạch.
4.4.2. Thuốc thử B
Hòa tan trong nước 220 g kẽm axetat ngậm hai phân tử nước [Zn(CH 3COOH) 2.2H 2 O] và thêm 30 ml axit acetic băng. Chuyển hết lượng này vào bình định mức một vạch 1000 ml (5.2) và pha loãng bằng nước đến vạch.
Hòa tan trong nước 16,989 g bạc nitrat, đã được sấy trước ở 150 oC ± 2 o C trong 2 h và để nguội trong bình hút ẩm. Chuyển hết lượng này vào bình định mức một vạch 1000 ml (5.2) và pha loãng bằng nước đến vạch.
Bảo quản dung dịch này trong bình thủy tinh tối màu, tránh ánh sáng trực tiếp của mặt trời.
dung dịch thể tích chuẩn, 4.6. Kali thioxyanat, c(KSCN) = 0,1 mol/l.
Hòa tan trong nước khoảng 9,7 g kali thioxyanat. Chuyển hết lượng này vào bình định mức một vạch 1000 ml (5.2) và pha loãng bằng nước đến vạch. Chuẩn hóa dung dịch đến 0,0001 mol/l bằng dung dịch bạc nitrat (4.5) sử dụng dung dịch sắt (III) amoni sulfat (4.7) làm chất chỉ thị.
4.7. Sắt (III) amoni sulfat 5. Thiết bị, dụng cụ
Sử dụng các thiết bị thông thường của phòng thử nghiệm và cụ thể như sau:
5.6. Nồi cách thủy. 6. Lấy mẫu
Mẫu gửi đến phòng thử nghiệm phải là mẫu đại diện. Mẫu không được hư hỏng hoặc thay đổi trong suốt quá trình bảo quản hoặc vận chuyển.
Việc lấy mẫu không quy định trong tiêu chuẩn này. Nên lấy mẫu theo TCVN 4833-1 (ISO 3100-1).1)
Từ mẫu đại diện lấy ra ít nhất 200 g.
7. Chuẩn bị mẫu thử
Đồng hóa mẫu phòng thử nghiệm bằng dụng cụ thích hợp (5.1). Chú ý không để nhiệt độ của mẫu thử tăng quá 25 o C. Nếu sử dụng máy nghiền thì nghiền mẫu ít nhất hai lần.
8. Cách tiến hành
CHÚ THÍCH: Nếu cần kiểm tra về độ lặp lại, thì tiến hành hai phép xác định riêng lẻ theo 8.1 đến 8.4 trong cùng điều kiện thử nghiệm.
8.1. Phần mẫu thử
Cân khoảng 10 g mẫu thử, chính xác đến 0,001 g và chuyển lượng này vào bình nón (5.3)
8.2. Khử protein
Cho 100 ml nước nóng (4.1) vào phần mẫu thử (8.1). Đun nóng bình cùng với mẫu 15 min trong nồi cách thủy (5.6). Thỉnh thoảng lắc bình.
Để bình và lượng chứa bên trong nguội đến nhiệt độ phòng, rồi thêm lần lượt 2 ml dung dịch thuốc thử A (4.4.1) và 2 ml dung dịch thuốc thử B (4.4.2). Trộn kỹ sau mỗi lần thêm.
Để yên bình trong 30 min ở nhiệt độ phòng. Chuyển hết lượng chứa này sang bình định mức 200 ml (5.2) và pha loãng bằng nước đến vạch. Trộn kỹ và lọc qua giấy lọc gấp nếp.
CHÚ THÍCH 2: Nếu sử dụng phương pháp này để xác định hàm lượng nitrat và nitrit hoặc nếu có mặt axit ascorbic trong mẫu với hàm lượng lớn hơn 0,1 % thì cần bổ sung thêm 0,5 g than hoạt tính vào phần mẫu thử (8.1). Sau khi trộn kỹ các thuốc thử A và B, chỉnh pH đến khoảng từ 7,5 đến 8,3 bằng dung dịch natri hydroxit.
8.3. Xác định
Dùng pipet (5.5) lấy 20 ml dịch lọc cho vào bình nón (5.3) và dùng ống đong chia vạch thêm 5 ml axit nitric loãng (4.3) và 1 ml dung dịch sắt (III) amoni sulfat (4.7) làm chất chỉ thị.
Dùng pipet (5.5) lấy 20 ml dung dịch bạc nitrat (4.5) cho vào bình nón. Dùng ống đong chia vạch thêm 3 ml nitrobenzen hoặc nonan-1-ol và trộn kỹ. Lắc mạnh để tạo kết tủa. Chuẩn độ lượng chứa trong bình nón bằng kali thioxyanat (4.6) cho đến khi xuất hiện màu hồng bền. Ghi lại thể tích dung dịch kali thioxyanat đã dùng, chính xác đến 0,05 ml.
8.4. Phép thử trắng
Thực hiện phép thử trắng theo 8.2 và 8.3, sử dụng cùng thể tích dung dịch bạc nitrat (4.5).
9. Tính toán
Tính hàm lượng clorua của mẫu thử theo công thức sau đây:
= 0,05844 w Cl
là hàm lượng clorua trong mẫu, biểu thị theo natri clorua, tính bằng phần trăm khối lượng;
V 1 là thể tích dung dịch kali thioxyanat (4.6) đã dùng trong phép xác định (8.3), tính bằng mililít;
V 2 là thể tích dung dịch kali thioxyanat (4.6) đã dùng trong phép thử trắng (8.4), tính bằng mililít;
là nồng độ của dung dịch kali thioxyanat (4.6), tính bằng mol trên lít;
là khối lượng phần mẫu thử, tính bằng gam.
Ghi kết quả chính xác đến 0,05 % (khối lượng).
10. Độ chụm
Độ chụm của phương pháp được thiết lập bằng phép thử liên phòng thử nghiệm (xem [4]), đã thực hiện theo ISO 5725. Đối với các giá trị thu được về giới hạn lặp lại, r và giá trị tái lập, R, thì mức xác suất là 95 %.
10.1. Độ lặp lại
Chênh lệch tuyệt đối giữa hai kết quả thử nghiệm độc lập riêng rẽ thu được, khi sử dụng cùng một phương pháp, tiến hành trên vật liệu giống hệt nhau, do cùng một người tiến hành trong cùng một phòng thử nghiệm, sử dụng cùng thiết bị, trong một khoảng thời gian ngắn, không được lớn hơn:
0,15 % (khối lượng) đối với các hàm lượng natri clorua từ 1,0 % đến 2,0 %;
0,20 % (khối lượng) đối với các hàm lượng natri clorua lớn hơn 2,0 %.
10.2. Độ tái lập
Chênh lệch tuyệt đối giữa hai kết quả riêng rẽ thu được khi sử dụng cùng một phương pháp, tiến hành trên vật liệu thử giống hệt nhau, do các người khác nhau thực hiện trong các phòng thử nghiệm khác nhau, sử dụng các thiết bị khác nhau, không được lớn hơn:
0,20 % (khối lượng) đối với các hàm lượng natri clorua từ 1,0 % đến 2,0 %;
0,30 % (khối lượng) đối với các hàm lượng natri clorua lớn hơn 2,0 %.
11. Báo cáo thử nghiệm
Báo cáo thử nghiệm phải ghi rõ:
– phương pháp lấy mẫu đã sử dụng, nếu biết;
– phương pháp thử đã sử dụng;
– kết quả thu được và
– nếu độ lặp lại được kiểm tra thì nêu kết quả cuối cùng thu được.
Báo cáo thử nghiệm cũng phải nêu mọi chi tiết thao tác không quy định trong tiêu chuẩn này, cùng với các chi tiết bất thường khác có thể ảnh hưởng tới kết quả.
Báo cáo thử nghiệm cũng phải bao gồm mọi thông tin cần thiết để nhận biết đầy đủ về mẫu thử.
THƯ MỤC TÀI LIỆU THAM KHẢO
[1] TCVN 4833-1:2002(ISO 3100-1:1991) Thịt và sản phẩm thịt – Lấy mẫu và chuẩn bị mẫu thử – Phần 1: Lấy mẫu.
[2] ISO 5725:1986 Precision of test methods – Determination of repeatability and reproducibility for standard test methods by inter-laboratory tests (hiện nay đã hủy).
[3] Amtiche Sammlung von Untersuchungsverfahren nach Par. 35 LMBG, Bestimmung des Kochsalz-gehaltes in Fleisch und Fleischerzeugnissen. L 06.00-5, September 1980.
[4] BELJAARS, P.R and HORWITZ, W, Comparison of the Volhard and potentiometric methods for the determination of chloride in meat product: Collaborative study. J. Assoc. Off. Anal. Chem., 68, 1985, pp.480-484.
Bạn đang đọc nội dung bài viết Tiêu Chuẩn Việt Nam Tcvn 8709 trên website Cuocthitainang2010.com. Hy vọng một phần nào đó những thông tin mà chúng tôi đã cung cấp là rất hữu ích với bạn. Nếu nội dung bài viết hay, ý nghĩa bạn hãy chia sẻ với bạn bè của mình và luôn theo dõi, ủng hộ chúng tôi để cập nhật những thông tin mới nhất. Chúc bạn một ngày tốt lành!