Lời nói đầu
\r\n\r\nTCVN 7809-2:2011 hoàn toàn tương đương\r\nISO/IEC 15408-2:2008
\r\n\r\nTCVN 7809-2:2011 do Trung tâm Ứng cứu khẩn\r\ncấp máy tính Việt Nam biên soạn, Bộ Thông tin và Truyền thông đề nghị, Tổng cục\r\nTiêu chuẩn Đo lường Chất lượng thẩm định, Bộ Khoa học và Công nghệ công bố.
\r\n\r\nLời giới thiệu
\r\n\r\nCác thành phần chức năng an toàn định nghĩa\r\ntrong tiêu chuẩn này (TCVN 7809-2) là cơ sở cho các yêu cầu chức năng an toàn\r\nbiểu thị trong một Hồ sơ bảo vệ (PP) hoặc một Đích An toàn (ST). Các yêu cầu\r\nnày mô tả các hành vi an toàn mong muốn dự kiến đối với một Đích đánh giá (TOE)\r\nvà nhằm đáp ứng các mục tiêu an toàn đã tuyên bố trong một PP hoặc một ST. Các\r\nyêu cầu này mô tả các đặc tính an toàn mà người dùng có thể phát hiện ra thông\r\nqua tương tác trực tiếp (nghĩa là qua đầu vào, đầu ra) với công nghệ thông tin\r\n(CNTT) hoặc qua phản ứng của CNTT với các tương tác.
\r\n\r\nCác thành phần chức năng an toàn biểu thị các\r\nyêu cầu an toàn nhằm mục đích chống lại các mối đe dọa trong môi trường hoạt\r\nđộng chỉ định của TOE với các chính sách an toàn của tổ chức xác định và các\r\ngiả thiết.
\r\n\r\nĐối tượng của phần 2 tiêu chuẩn TCVN 7809 bao\r\ngồm người tiêu thụ, nhà phát triển và các đánh giá viên cho các sản phẩm CNTT\r\nan toàn. Điều 5 của TCVN 7809-1 cung cấp thông tin bổ sung về các đối tượng mục\r\ntiêu của TCVN 7809, và về các nhóm đối tượng sử dụng TCVN 7809. Các nhóm đối\r\ntượng có thể sử dụng TCVN 7809-2 gồm:
\r\n\r\na) Người tiêu thụ là người sử dụng TCVN\r\n7809-2 khi chọn lựa các thành phần để biểu thị các yêu cầu chức năng nhằm thỏa\r\nmãn các mục tiêu an toàn đã thể hiện trong một PP hoặc ST. TCVN 7809-1 cung cấp\r\nthông tin chi tiết hơn về mối quan hệ giữa các mục tiêu an toàn và các yêu cầu\r\nan toàn.
\r\n\r\nb) Nhà phát triển là người phản ánh thực tế\r\nhoặc nhận thức các yêu cầu an toàn của người tiêu thụ trong việc kiến thiết ra\r\nTOE. Họ cũng có thể sử dụng nội dung trong TCVN 7809-2 làm cơ sở để xác định rõ\r\nhơn các chức năng an toàn của TOE và các cơ chế tuân thủ các yêu cầu đó.
\r\n\r\nc) Đánh giá viên là người sử dụng các yêu cầu\r\nchức năng nêu trong TCVN 7809-2 để thẩm tra các yêu cầu chức năng TOE đã thể\r\nhiện trong PP hoặc ST có thỏa mãn các mục tiêu an toàn CNTT không; và thẩm tra\r\nmọi mối liên thuộc đã được xem xét đến và được thỏa mãn. Các đánh giá viên cũng\r\ncần sử dụng TCVN 7809-2 để giúp xác định xem một TOE đã cho có thỏa mãn các yêu\r\ncầu đã được công bố hay không.
\r\n\r\n\r\n\r\n
Tiêu chuẩn này sẽ định nghĩa cấu trúc và nội\r\ndung cần thiết của các thành phần chức năng an toàn cho mục đích đánh giá an\r\ntoàn. Tiêu chuẩn bao gồm danh mục các thành phần chức năng đáp ứng các yêu cầu\r\nchức năng an toàn chung cho nhiều sản phẩm CNTT.
\r\n\r\n\r\n\r\nCác tài liệu sau đây không thể thiếu được đối\r\nvới việc áp dụng tài liệu này:
\r\n\r\nTCVN 7809-1, Công nghệ thông tin - Các kỹ\r\nthuật an toàn - Các tiêu chí đánh giá an toàn CNTT - Phần 1: Giới thiệu và mô\r\nhình tổng quát
\r\n\r\nCác thuật ngữ, định nghĩa, Ký hiệu và các từ\r\nviết tắt được sử dụng như trong TCVN 7809-1
\r\n\r\n\r\n\r\nTCVN 7809 và các yêu cầu chức năng an toàn\r\nliên quan được mô tả ở đây không phải là câu trả lời rõ ràng về mọi vấn đề an\r\ntoàn CNTT. Đúng hơn, TCVN 7809 cung cấp một tập các yêu cầu chức năng an toàn\r\ndễ hiểu, có thể được sử dụng để tạo ra các hệ thống và sản phẩm tin cậy phản\r\nánh sự cần thiết của thị trường. Các yêu cầu chức năng an toàn này biểu diễn\r\ntrình độ hiện tại về đánh giá và đặc tả các yêu cầu này.
\r\n\r\nPhần này của TCVN 7809 không phải bao gồm tất\r\ncả các yêu cầu chức năng an toàn thông tin có thể có mà nó chỉ gồm các phần\r\nđược biết đến và được chấp nhận bởi các tác giả biên soạn tiêu chuẩn tại thời\r\nđiểm phát hành.
\r\n\r\nBởi vì hiểu biết và nhu cầu của người tiêu\r\ndùng có thể thay đổi, các yêu cầu chức năng trong phần này của TCVN 7809 cần\r\nphải được cập nhật thường xuyên. Điều này có thể hiểu là một số tác giả PP/ST\r\ncó thể thấy các thành phần yêu cầu chức năng trong phần này của TCVN 7809 (hiện\r\ntại) không bao hàm hết nhu cầu về an toàn. Trong trường hợp này, tác giả PP/ST\r\ncó thể xem xét lựa chọn các yêu cầu chức năng không có trong TCVN 7809 (được\r\nxem như phần mở rộng), như được giải thích trong Phụ lục A và B của TCVN\r\n7809-1.
\r\n\r\n4.1. Bố cục của tiêu chuẩn
\r\n\r\nĐiều 5 mô tả mô hình sử dụng trong các yêu\r\ncầu chức năng an toàn trong phần này của TCVN 7809.
\r\n\r\nĐiều 6 giới thiệu danh mục các thành phần\r\nchức năng trong phần này của TCVN 7809, còn điều 7 đến điều 17 mô tả các lớp\r\nchức năng.
\r\n\r\nPhụ lục A cung cấp thông tin giải thích cho\r\nngười dùng tiềm năng của các thành phần chức năng bao gồm bảng tham chiếu chéo\r\ntổng hợp về sự phụ thuộc của các thành phần chức năng.
\r\n\r\nPhụ lục B đến Phụ lục M cung cấp thông tin\r\ngiải thích về các lớp chức năng. Tài liệu này được xem như là các hướng dẫn bắt\r\nbuộc về việc áp dụng các hoạt động phù hợp và lựa chọn quy trình kiểm toán hoặc\r\nthông tin tài liệu phù hợp. Việc sử dụng các trợ động từ nên hiểu là các chỉ\r\ndẫn được ưa chuộng nhất, các chỉ dẫn khác có thể được điều chỉnh phù hợp. Nếu\r\ncó các tùy chọn khác, việc lựa chọn được dành cho tác giả PP/ST.
\r\n\r\nTác giả của PP hoặc ST nên tham khảo điều 2\r\ncủa TCVN 7809-1 để có các cấu trúc, quy tắc và hướng dẫn liên quan.
\r\n\r\na) TCVN 7809-1, điều 3 định nghĩa các thuật\r\nngữ sử dụng trong TCVN 7809.
\r\n\r\nb) TCVN 7809-1, Phụ lục A định nghĩa cấu trúc\r\ncủa ST.
\r\n\r\nc) TCVN 7809-1, Phụ lục B định nghĩa cấu trúc\r\ncủa PP.
\r\n\r\nĐiều này mô tả mô hình sử dụng trong các yêu\r\ncầu chức năng an toàn trong TCVN 7809-2. Các khái niệm chủ yếu được in đậm hoặc\r\nin nghiêng. Phần này sẽ không thay thế hoặc hủy bỏ các thuật ngữ có trong điều\r\n3 của TCVN 7809-1.
\r\n\r\nPhần này của TCVN 7809 là danh mục các yêu\r\ncầu chức năng an toàn có thể được chỉ rõ cho một Đích đánh giá (TOE).\r\nMột TOE là một tập gồm phần mềm/phần sụn và/hoặc phần cứng có thể kèm theo tài\r\nliệu hướng dẫn người dùng và quản trị viên. Một TOE có thể chứa các tài nguyên\r\nnhư các phương tiện lưu trữ điện tử (ví dụ đĩa), các thiết bị ngoại vi (ví dụ\r\nmáy in), và năng lực tính toán (ví dụ thời gian CPU) được sử dụng cho xử lý và\r\nlưu trữ thông tin, và là chủ thể cho đánh giá.
\r\n\r\nĐánh giá TOE chủ yếu liên quan tới việc đảm\r\nbảo rằng một tập các yêu cầu chức năng an toàn (SFR) xác định được thực\r\nthi trên các tài nguyên TOE. Các SFR định nghĩa các quy tắc mà TOE kiểm soát\r\ntruy cập tài nguyên của nó cũng như các thông tin và dịch vụ được điều khiển\r\nbởi TOE.
\r\n\r\nCác SFR có thể định nghĩa nhiều Chính sách\r\nChức năng An toàn (SFP) biểu thị các quy tắc mà TOE phải thực thi. Mỗi SFP\r\nphải xác định phạm vi kiểm soát của nó, bằng cách định nghĩa các chủ\r\nthể, đối tượng, tài nguyên hay thông tin và các hoạt động được kiểm soát với\r\nSFP. Tất cả các SFP được thực thi bởi TSF (xem bên dưới); các cơ chế của TSF\r\nthực thi các quy tắc định nghĩa trong các SFR và cung cấp các khả năng cần\r\nthiết.
\r\n\r\nCác phần đã nêu trên của TOE cần phải được\r\ntin cậy cho thực thi chính xác của các SFR, được tham chiếu đến như Chức\r\nnăng An toàn của TOE (TSF). TSF bao gồm tất cả các phần cứng, phần mềm,\r\nphần sụn của TOE, trực tiếp và gián tiếp liên quan đến việc thực thi an toàn.
\r\n\r\nTOE có thể là một sản phẩm đơn nhất chứa cả\r\nphần cứng, phần sụn và phần mềm.
\r\n\r\nMặt khác, TOE có thể là một sản phẩm phân bổ\r\nbao gồm nhiều thành phần khác nhau bên trong. Mỗi phần này của TOE cung cấp một\r\ndịch vụ riêng cho TOE và được kết nối với phần khác của TOE thông qua Kênh\r\ntruyền thông nội bộ. Kênh này có thể là một phần nhỏ như bus xử lý hoặc bao\r\nbọc trong mạn nội bộ tới TOE.
\r\n\r\nKhi TOE bao gồm nhiều phần, mỗi phần của TOE\r\ncó TSF riêng thực hiện trao đổi dữ liệu người dùng và dữ liệu TSF trên các kênh\r\ntruyền thông nội bộ với các phần khác của TSF. Quá trình tương tác này được gọi\r\nlà Vận chuyển TOE nội bộ. Trong trường hợp này các phần tách biệt của\r\nTSF được tạo thành TSF hỗn hợp để thực thi các SFR.
\r\n\r\nCác giao diện TOE có thể được đặt tại TOE\r\nriêng, hoặc chúng có thể tương tác với các sản phẩm CNTT qua các kênh truyền\r\nthông bên ngoài. Các tương tác ra bên ngoài này với các sản phẩm CNTT khác\r\ncó thể thực hiện dưới hai dạng:
\r\n\r\na) Các SFR của "Sản phẩm CNTT được tin\r\ncậy" khác và các SFR của TOE đã được kết hợp quản trị và các sản phẩm CNTT\r\ntin cậy khác được giả thiết là thực thi các SFR của chúng một cách chính xác\r\n(ví dụ được đánh giá riêng biệt). Việc trao đổi thông tin trong tình huống này\r\nđược gọi là Vận chuyển xuyên TSF, vì chúng là giữa các TSF của các sản\r\nphẩm tin cậy khác biệt.
\r\n\r\nb) Sản phẩm CNTT khác có thể không được tin\r\ncậy, nó có thể được gọi là "sản phẩm CNTT không tin cậy". Do đó, các\r\nSFR của chúng hoặc là không được biết hoặc việc triển khai nó không được xem là\r\nđáng tin cậy. Các trao đổi trung gian qua TSF trong trường hợp này được gọi là vận\r\nchuyển bên ngoài TOE, vì không có TSF (hoặc các đặc điểm chính sách không\r\nbiết trước) trong sản phẩm CNTT khác.
\r\n\r\nTập các giao diện, hoặc qua tương tác (giao\r\ndiện người-máy) hoặc qua chương trình (giao diện lập trình ứng dụng), qua đó\r\ncác tài nguyên này được truy cập trung gian bởi TSF, hoặc các thông tin thu\r\nđược từ TSF, được gọi là Giao diện TSF (TSFI). TSFI định nghĩa biên giới\r\ncủa chức năng TOE được cung cấp cho việc thực thi các SFR.
\r\n\r\nNgười dùng ở bên ngoài TOE. Mặc dù vậy, để\r\nyêu cầu rằng các dịch vụ được thực hiện bởi TOE là chủ thể cho các quy tắc định\r\nnghĩa trong các SFR, thì người dùng sẽ tương tác với TOE thông qua các TSFI. Có\r\nhai kiểu người dùng được quan tâm trong TCVN 7809-2: người dùng cụ thể và\r\ncác thực thể CNTT bên ngoài. Người dùng cụ thể còn có thể được phân thành, người\r\ndùng nội bộ, nghĩa là người dùng tương tác trực tiếp với TOE qua các thiết\r\nbị TOE (ví dụ, các trạm làm việc) hoặc người dùng từ xa, nghĩa là thực\r\nhiện tương tác gián tiếp với TOE qua sản phẩm CNTT khác.
\r\n\r\nMột giai đoạn tương tác giữa các người dùng\r\nvà TSF là được xem như là một phiên người dùng. Thiết lập các phiên\r\nngười dùng có thể được kiểm soát dựa trên các suy xét, ví dụ, xác thực người\r\ndùng, thời gian trong ngày, phương pháp truy nhập TOE và số lượng các phiên\r\ntương tranh cho phép (trên một người dùng hoặc toàn bộ).
\r\n\r\nTiêu chuẩn này sử dụng thuật ngữ "có\r\nthẩm quyền" để biểu thị người dùng có quyền và/hoặc đặc quyền cần\r\nthiết để thực hiện một hoạt động. Thuật ngữ người dùng có thẩm quyền,\r\nchỉ ra rằng có thể cho phép người dùng thực hiện một hoạt động cụ thể hoặc một\r\nsố hoạt động được định nghĩa bởi các SFR.
\r\n\r\nĐể biểu diễn các yêu cầu có đòi hỏi việc phân\r\nchia trách nhiệm của người quản trị, các thành phần chức năng an toàn liên quan\r\n(trong họ FMT_SMR) tuyên bố rõ ràng về các vai trò của người quản trị là\r\ncần thiết. Vai trò là một tập được định nghĩa trước của các quy tắc thiết lập\r\ncác tương tác được phép giữa một người dùng hoạt động trong vai trò này và TOE.\r\nMột TOE có thể hỗ trợ định nghĩa bất kỳ số lượng phân vai nào. Ví dụ, các vai\r\ntrò liên quan đến hoạt động an toàn của một TOE có thể bao gồm "Quản trị\r\nviên kiểm toán" và "Quản trị viên tài khoản người dùng".
\r\n\r\nTOE chứa các tài nguyên có thể được sử\r\ndụng cho xử lý và lưu trữ thông tin. Mục tiêu đầu tiên của TSF là hoàn tất và\r\nchỉnh sửa các thực thi của các SFR trên các tài nguyên và thông tin mà TOE kiểm\r\nsoát.
\r\n\r\nCác tài nguyên TOE có thể được cấu trúc và\r\nthực hiện theo nhiều cách khác nhau. Mặc dù vậy, phần này của TCVN 7809 thực\r\nhiện các phân chia đặc biệt mà cho phép chỉ ra các thuộc tính an toàn mong\r\nmuốn. Tất cả các thực thể có thể được tạo từ các tài nguyên mà có thể được biểu\r\ndiễn theo một hoặc hai cách. Các thực thể có thể là chủ động, nghĩa là chúng là\r\nnguyên nhân của các hành động xuất hiện bên trong TOE và là nguyên nhân của các\r\nhoạt động được thực hiện với thông tin. Mặt khác, các thực thể có thể là bị\r\nđộng, nghĩa là chúng hoặc được đặt trong các thông tin nguyên bản hoặc các\r\nthông tin được lưu trữ trong đó.
\r\n\r\nCác thực thể chủ động trong TOE thực hiện các\r\nhoạt động trên các đối tượng được xem như là các chủ thể. Một vài kiểu\r\nchủ thể có thể tồn tại bên trong một TOE:
\r\n\r\na) Các chủ thể hành động thay mặt cho một\r\nngười dùng có thẩm quyền (ví dụ các tiến trình UNIX)
\r\n\r\nb) Các chủ thể hành động như các tiến trình\r\nchức năng cụ thể, và như vậy hoạt động thay mặt cho nhiều người dùng (ví dụ các\r\nchức năng có thể thấy trong các kiến trúc client/server); hoặc
\r\n\r\nc) Các chủ thể hành động như là một phần của\r\nchính TOE (ví dụ các tiến trình không hành động thay mặt cho một người dùng).
\r\n\r\nPhần này của TCVN 7809 đề cập đến việc thực\r\nthi các SFR với các kiểu chủ thể được liệt kê ở trên.
\r\n\r\nCác thực thể bị động trong TOE chứa hoặc nhận\r\nthông tin và dựa vào đó các chủ thể thực hiện các hoạt động, được gọi là các\r\nđối tượng. Trong trường hợp chủ thể (thực thể chủ động) là đích của một\r\nhoạt động (ví dụ truyền thông liên tiến trình), một chủ thể có thể bị tác động\r\nnhư một đối tượng.
\r\n\r\nCác đối tượng có thể chứa thông tin.\r\nKhái niệm này cần thiết để xác định các chính sách kiểm soát luồng thông tin\r\nnhư được đề cập đến trong lớp FDP.
\r\n\r\nCác người dùng, chủ thể, thông tin, đối\r\ntượng, phiên và tài nguyên được kiểm soát bởi các quy tắc trong các SFR có thể\r\ncó các thuộc tính trong đó chứa thông tin dùng cho TOE để thực hiện hoạt\r\nđộng chính xác của nó. Một vài thuộc tính, như tên tệp, có thể dùng cho cung\r\ncấp thông tin hoặc có thể dùng để định danh các tài nguyên riêng, trong khi đó,\r\ncác thuộc tính khác, ví dụ như thông tin kiểm soát truy nhập, có thể tồn tại đặc\r\nbiệt cho thực thi các SFR. Các thuộc tính vừa kể đến sau cùng này được gọi\r\nchung là "các thuộc tính an toàn". Từ thuộc tính sẽ được sử\r\ndụng ngắn gọn thay cho "thuộc tính an toàn" ở một số chỗ trong phần\r\nnày của TCVN 7809. Tuy nhiên, không quan trọng là mục đích của thông tin thuộc\r\ntính là gì, vì đều cần thiết kiểm soát các thuộc tính được chỉ ra bởi các SFR.
\r\n\r\nDữ liệu trong TOE được phân nhóm thành dữ\r\nliệu người dùng và dữ liệu TSF. Hình 1 cho thấy mối quan hệ này. Dữ liệu\r\nngười dùng là thông tin lưu trữ trong các tài nguyên của TOE, được vận hành\r\nbởi người dùng tuân theo các SFR và trên đó TSF không đề ra ý nghĩa đặc biệt\r\nnào. Ví dụ, nội dung của một thông điệp thư điện tử là dữ liệu người dùng. Dữ\r\nliệu TSF là thông tin được sử dụng bởi TSF trong việc tạo ra các quyết định\r\ntheo yêu cầu bởi các SFR. Dữ liệu TSF có thể bị ảnh hưởng bởi người dùng\r\nnếu được cho phép bởi các SFR. Các thuộc tính an toàn, dữ liệu xác thực, các biến\r\ntrạng thái bên trong TSF được dùng bởi các quy tắc định nghĩa trong các SFR\r\nhoặc được dùng cho việc bảo vệ TSF, và các đầu vào của danh sách kiểm soát truy\r\nnhập là các ví dụ về dữ liệu TSF.
\r\n\r\nCó một số SFPs áp dụng cho bảo vệ dữ liệu, ví\r\ndụ như các SFP kiểm soát truy nhập và các SFP kiểm soát luồng thông\r\ntin. Các cơ chế thực thi các SFP kiểm soát truy nhập dựa trên chính sách\r\nquyết định về các thuộc tính của người dùng, tài nguyên, chủ thể, đối tượng và\r\ncác phiên dữ liệu trạng thái TSF và các hoạt động của TSF trong phạm vi kiểm\r\nsoát. Các thuộc tính này thường được sử dụng trong tập các quy tắc để quản lý\r\ncác hoạt động mà các chủ thể có thể thực hiện trên các đối tượng.
\r\n\r\nCác cơ chế thực thi các SFP kiểm soát luồng\r\nthông tin dựa trên chính sách quyết định về các thuộc tính của chủ thể và thông\r\ntin trong phạm vi kiểm soát và tập các quy tắc để quản lý các hoạt động thông\r\ntin bởi các chủ thể. Các thuộc tính của thông tin có thể được kết hợp với thuộc\r\ntính của côn-ten-nơ hoặc có thể rút ra từ dữ liệu trong côn-ten-nơ, sẽ được giữ\r\nlại với thông tin vì chúng được xử lý bởi TSF.
\r\n\r\n![](\"00907947_files/image001.jpg\")
Hai kiểu dữ liệu TSF đặc trưng có thể được đề\r\ncập đến trong phần này của TCVN 7809, song không nhất thiết giống nhau. Chúng\r\nlà dữ liệu xác thực và các bí mật.
\r\n\r\nDữ liệu xác thực được sử dụng để thẩm tra\r\ndanh tính đòi hỏi của một người dùng đang yêu cầu các dịch vụ từ một TOE. Dạng\r\nphổ biến của dữ liệu xác thực là mật khẩu, phụ thuộc vào việc giữ bí mật để tạo\r\nthành một cơ chế an toàn hiệu quả. Mặc dù vậy, không phải tất cả các dạng của\r\ndữ liệu xác thực cần phải giữ bí mật. Thiết bị xác thực sinh học (ví dụ đọc vân\r\ntay hoặc quét võng mạc) không dựa vào việc giữ bí mật dữ liệu, mà dựa vào việc\r\ndữ liệu chỉ do một người dùng sở hữu và không thể bị giả mạo.
\r\n\r\nThuật ngữ bí mật như được dùng trong phần này\r\ncủa TCVN 7809 vào việc áp dụng cho dữ liệu xác thực, song cũng dùng được cho\r\ncác kiểu dữ liệu khác với yêu cầu phải giữ bí mật để thực thi một SFP cụ thể.\r\nVí dụ, một cơ chế kênh tin cậy dựa vào mã hóa để bảo vệ tính bí mật của thông\r\ntin truyền trên kênh chỉ có thể mạnh như phương pháp sử dụng để giữ bí mật các\r\nkhóa mã chống các khai thác không được phép.
\r\n\r\nDo đó, một số song không phải tất cả dữ liệu\r\nxác thực cần được giữ bí mật, và một số song không phải tất cả các bí mật được\r\ndùng như dữ liệu xác thực. Hình 2 chỉ ra mối quan hệ giữa bí mật và dữ liệu xác\r\nthực. Trong hình này, các kiểu thường gặp của dữ liệu xác thực và các điều\r\nkhoản bí mật được chỉ ra.
\r\n\r\n![](\"00907947_files/image002.jpg\")
Điều này định nghĩa nội dung và trình bày của\r\ncác yêu cầu chức năng của ISO 15408 và cung cấp các hướng dẫn về tổ chức của\r\ncác yêu cầu cho các thành phần mới được đặt trong ST. Các yêu cầu chức năng\r\nđược biểu diễn theo các lớp, họ và thành phần.
\r\n\r\n6.1.1. Cấu trúc lớp
\r\n\r\nHình 3 biểu diễn các cấu trúc lớp chức năng\r\ndưới dạng biểu đồ. Mỗi lớp chức năng bao gồm tên lớp, giới thiệu về lớp và một\r\nhoặc nhiều họ chức năng.
\r\n\r\n![](\"00907947_files/image003.jpg\")
6.1.1.1. Tên lớp
\r\n\r\nMục tiêu lớp cung cấp thông tin cần thiết để\r\nchỉ ra và phân nhóm một lớp chức năng. Mỗi lớp chức năng có một tên duy nhất.\r\nThông tin phân nhóm bao gồm một tên viết tắt ba ký tự. Tên viết tắt của lớp\r\nthường sử dụng để xác định tên viết tắt của các họ của lớp đó.
\r\n\r\n6.1.1.2. Giới thiệu lớp
\r\n\r\nGiới thiệu lớp biểu diễn ý định chung hoặc\r\ncách tiếp cận của các họ của chúng để thỏa mãn các mục tiêu an toàn. Định nghĩa\r\ncác lớp chức năng không phản ánh bất kỳ một sự phân loại chính thức nào về đặc\r\ntả của các yêu cầu.
\r\n\r\nGiới thiệu lớp cung cấp một bức tranh mô tả\r\ncác họ trong lớp này và phân cấp của các thành phần trong mỗi họ, như được\r\ntrình bày trong 6.2.
\r\n\r\n6.1.2. Cấu trúc họ
\r\n\r\nHình 4 mô tả các cấu trúc họ chức năng dưới\r\ndạng biểu đồ.
\r\n\r\n![](\"00907947_files/image004.jpg\")
6.1.2.1. Tên của họ
\r\n\r\nMục tên của họ quy định sự phân loại và thông\r\ntin mô tả cần thiết để chỉ ra và phân nhóm một họ chức năng. Mỗi họ chức năng\r\ncó một tên duy nhất. Thông tin phân nhóm gồm một tên viết tắt 7 ký tự với 3 ký\r\ntự đầu tiên là tên viết tắt của lớp, tiếp theo là dấu gạch chân và tên viết tắt\r\ncủa họ dưới dạng XXX_YYY. Dạng viết tắt duy nhất của tên họ cung cấp tên tham\r\nchiếu cho các thành phần.
\r\n\r\n6.1.2.2. Hành xử của họ
\r\n\r\nCách hành xử của họ là mô tả chi tiết các họ chức\r\nnăng phản ánh mục tiêu an toàn của nó và mô tả chung về các yêu cầu chức năng.\r\nChúng được mô tả chi tiết hơn dưới đây.
\r\n\r\na) Các mục tiêu an toàn của họ đề cập đến một\r\nvấn đề an toàn có thể được giải quyết với sự trợ giúp của TOE kết hợp với một\r\nthành phần của họ này
\r\n\r\nb) Mô tả của các yêu cầu chức năng tóm tắt\r\ntất cả các yêu cầu được chứa trong các thành phần. Việc mô tả được thực hiện\r\nbởi các tác giả của PP, ST và các gói chức năng; đó là những người sẽ thực hiện\r\nđánh giá xem họ này có phù hợp với các yêu cầu cụ thể đặt ra hay không.
\r\n\r\n6.1.2.3. Phân mức các thành phần
\r\n\r\nCác họ chức năng chứa một hoặc nhiều thành\r\nphần, mà bất kỳ thành phần nào cũng có thể được lựa chọn để đưa vào các PP, ST\r\nvà các gói chức năng. Đích của điều khoản này là cung cấp thông tin cho người\r\ndùng để lựa chọn ra một thành phần chức năng phù hợp sau khi đã được xác định\r\nđược họ là phần cần thiết và hữu ích của các yêu cầu an toàn.
\r\n\r\nMục mô tả họ chức năng này sẽ mô tả các thành\r\nphần sẵn sàng và sở cứ hợp lý của chúng. Chi tiết chính xác về mỗi thành phần\r\nđược đặt bên trong mỗi thành phần.
\r\n\r\nMối quan hệ giữa các thành phần bên trong một\r\nhọ chức năng có thể được hoặc không được phân cấp. Một thành phần được phân cấp\r\nvới thành phần khác nếu nó cung cấp mức độ an toàn cao hơn.
\r\n\r\nNhư được giải thích trong 6.2, việc mô tả các\r\nhọ cung cấp một bức tranh chung dạng đồ thị về sự phân cấp của các thành phần\r\ntrong một họ.
\r\n\r\n6.1.2.4. Quản lý
\r\n\r\nĐiều khoản quản lý chứa thông tin cho\r\ncác tác giả PP/ST để xem xét các hoạt động quản lý cho các thành phần được đưa\r\nra. Các điều khoản tham chiếu đến các thành phần của lớp quản lý (FMT) và cung\r\ncấp hướng dẫn liên quan đến các hoạt động quản lý tiềm năng có thể áp dụng qua\r\ncác hoạt động tới các thành phần đó.
\r\n\r\nTác giả PP/ST có thể lựa chọn các thành phần\r\nquản lý định trước hoặc đưa vào các yêu cầu quản lý khác chưa được liệt kê cho\r\ncác hoạt động quản lý chi tiết. Vì vậy, thông tin nên xem xét là tham khảo.
\r\n\r\n6.1.2.5. Kiểm toán
\r\n\r\nCác yêu cầu kiểm toán chứa các sự kiện\r\nkiểm toán cho các tác giả PP/ST lựa chọn, nếu các yêu cầu từ lớp FAU: Kiểm toán\r\nan toàn được đưa vào trong PP/ST. Các yêu cầu này bao gồm các sự kiện an toàn\r\nphù hợp ở các mức chi tiết khác nhau được hỗ trợ bởi các thành phần của họ Tạo\r\ndữ kiện kiểm toán an toàn (FAU_GEN). Ví dụ, một ghi chú kiểm toán có thể bao\r\ngồm các hoạt động dưới dạng: Tối thiểu - sử dụng thành công các cơ chế an toàn;\r\nCơ bản - sử dụng bất kỳ cơ chế an toàn cũng như thông tin phù hợp đối với các\r\nthuộc tính an toàn liên quan; Chi tiết - bất kỳ sự thay đổi cấu hình nào thực\r\nhiện với cơ chế bao gồm các giá trị cấu hình thực tế trước và sau khi thay đổi.
\r\n\r\nNên thấy việc phân nhóm các sự kiện có thể\r\nkiểm toán là có phân cấp. Ví dụ, khi muốn Tạo kiểm toán cơ bản, nên đưa tất cả\r\ncác sự kiện có thể kiểm toán, được xác định dưới cả hai dạng cơ bản và tối\r\nthiểu, vào trong PP/ST, thông qua sử dụng các hoạt động chỉ định phù hợp, ngoại\r\ntrừ các sự kiện mức cao hơn cung cấp nhiều chi tiết hơn các sự kiện mức thấp\r\nhơn. Khi muốn Tạo kiểm toán chi tiết, nên đưa tất cả các sự kiện có thể kiểm\r\ntoán (tối thiểu, cơ sở và chi tiết) vào trong PP/ST.
\r\n\r\nTrong lớp FAU: Kiểm toán an toàn, các quy tắc\r\nquản lý kiểm toán sẽ được giải thích chi tiết hơn.
\r\n\r\n6.1.3. Cấu trúc thành phần
\r\n\r\nHình 5 biểu diễn cấu trúc thành phần chức\r\nnăng.
\r\n\r\n![](\"00907947_files/image005.jpg\")
6.1.3.1. Định danh thành phần
\r\n\r\nĐiều khoản định danh thành phần này cung cấp\r\nthông tin mô tả cần thiết để định danh, phân nhóm, đăng ký và tham chiếu chéo\r\ncho một thành phần. Sau đây là các phần được cung cấp cho mỗi thành phần chức\r\nnăng.
\r\n\r\nTên duy nhất
Tên viết tắt:
Danh sách phân cấp
6.1.3.2. Các phần tử chức năng
\r\n\r\nTập các phần tử được cung cấp cho mỗi thành\r\nphần. Mỗi phần tử này được định nghĩa riêng và chứa chính nó.
\r\n\r\nMột phần tử chức năng là một yêu cầu chức\r\nnăng an toàn mà nếu phân chia nhỏ hơn thì kết quả đánh giá sẽ không còn ý\r\nnghĩa. Nó là yêu cầu chức năng an toàn nhỏ nhất được xác định và chấp nhận\r\ntrong TCVN 7809.
\r\n\r\nKhi xây dựng các gói, các PP và ST, không\r\nđược phép lựa chọn chỉ một hoặc nhiều phần tử từ một thành phần. Tập đầy đủ các\r\nphần tử của một thành phần phải được lựa chọn từ một PP, ST hoặc gói.
\r\n\r\nMột dạng viết tắt duy nhất của tên phần tử\r\nchức năng được cung cấp. Ví dụ tên yêu cầu FDP_IFF.4.2 đọc như sau: F - yêu cầu\r\nchức năng; DP - lớp "Bảo vệ dữ liệu người dùng"; IFF - Họ "Các\r\nchức năng kiểm soát luồng thông tin"; 4 - tên của thành phần thứ tư\r\n"Loại trừ từng phần các luồng thông tin không hợp pháp"; 2 - phần tử\r\nthứ 2 của thành phần.
\r\n\r\n6.1.3.3. Mối phụ thuộc
\r\n\r\nMối phụ thuộc giữa các thành phần chức năng\r\ntăng lên khi một thành phần tự nó không đủ khả năng và độ tin cậy về chức năng,\r\nhoặc tương tác, với các thành phần khác về các chức năng phù hợp của nó.
\r\n\r\nMỗi thành phần chức năng cung cấp một danh\r\nsách đầy đủ các mối phụ thuộc với các thành phần chức năng và đảm bảo khác. Một\r\nvài thành phần có thể liệt kê "không phụ thuộc". Các thành phần phụ\r\nthuộc trên có thể có sự phụ thuộc trong các thành phần khác. Danh sách được\r\ncung cấp trong các thành phần sẽ là các mối phụ thuộc trực tiếp. Đó chỉ là sự\r\ntham chiếu đến các yêu cầu chức năng đòi hỏi đối với các yêu cầu này để thực\r\nhiện công việc của nó chính xác. Các mối phụ thuộc gián tiếp, nghĩa là các phụ\r\nthuộc là kết quả từ sự phụ thuộc vào các thành phần, thì có thể xem trong Phụ\r\nlục A của TCVN 7809-2. Chú ý rằng trong một vài trường hợp, sự phụ thuộc là tùy\r\nchọn, trong đó số các yêu cầu chức năng được cung cấp, tại đó mỗi thành phần\r\ncủa chúng có thể đáp ứng đầy đủ sự phụ thuộc (xem ví dụ FDP_UIT.1 Toàn vẹn trao\r\nđổi dữ liệu).
\r\n\r\nDanh sách phụ thuộc xác định các thành phần\r\nđảm bảo hoặc thành phần chức năng tối thiểu cần thiết để thỏa mãn các yêu cầu\r\nan toàn liên quan đến một thành phần xác định. Các thành phần được phân cấp\r\ntheo thành phần đã định danh có thể được sử dụng để thỏa mãn mối phụ thuộc.
\r\n\r\nCác mối phụ thuộc chỉ ra trong phần này của\r\nTCVN 7809 là bắt buộc. Chúng phải được thỏa mãn trong PP hoặc ST. Trong các\r\ntình huống cụ thể, các mối phụ thuộc xác định có thể không được áp dụng. Tác\r\ngiả PP/ST thông qua việc cung cấp sở cứ vì sao nó không được áp dụng, có thể bỏ\r\nđi các mối phụ thuộc với các thành phần ra ngoài gói, PP hoặc ST.
\r\n\r\n\r\n\r\nNhóm của các thành phần trong phần này của\r\nTCVN 7809 không phản ánh bất kỳ sự phân loại chính thức nào.
\r\n\r\nPhần này của TCVN 7809 chứa các lớp của họ và\r\ncác thành phần, chúng được phân nhóm dựa trên cơ sở của các chức năng hoặc mục\r\nđích liên quan, được biểu diễn theo thứ tự chữ cái. Bắt đầu của mỗi lớp là một\r\nbiểu đồ thông tin chỉ ra phân loại của mỗi lớp, chỉ ra các họ trong mỗi lớp và\r\ncác tp trong mỗi họ. Biểu đồ là một chỉ dẫn hữu ích cho quan hệ phân cấp có thể\r\ntồn tại giữa các thành phần.
\r\n\r\nTrong việc mô tả các thành phần chức năng, có\r\nmột điều khoản nhỏ xác định các mối phụ thuộc giữa thành phần và bất kỳ các\r\nthành phần nào khác.
\r\n\r\nTrong mỗi lớp, một hình vẽ mô tả phân cấp lớp\r\ntương tự như Hình 6 được cung cấp. Trong Hình 6, họ đầu tiên, Họ 1, chứa ba\r\nthành phần phân cấp, tại đó cả hai thành phần 2 và thành phần 3 có thể sử dụng\r\nđể thỏa mãn các mối phụ thuộc vào thành phần 1. Thành phần 3 được phân cấp theo\r\nthành phần 2 và có thể được sử dụng để thỏa mãn sự phụ thuộc vào thành phần 2.
\r\n\r\n![](\"00907947_files/image006.jpg\")
Trong họ 2 có ba thành phần, trong đó không\r\nphải tất cả được phân cấp. Các thành phần 1 và 2 không phân cấp theo các thành\r\nphần khác. Thành phần 3 được phân cấp theo thành phần 2, có thể dùng để thỏa\r\nmãn mối phụ thuộc vào thành phần 2, nhưng không thỏa mãn sự phụ thuộc vào thành\r\nphần 1.
\r\n\r\nTrong họ 3, các thành phần 2, 3 và 4 được\r\nphân cấp theo thành phần 1. Các thành phần 2 và 3 được phân cấp theo thành phần\r\n1, nhưng không so sánh được chúng. Thành phần 4 phân cấp theo thành phần 2 và\r\n3.
\r\n\r\nNhững biểu đồ này bổ sung cho văn bản của họ\r\nvà tạo ra định danh các mối quan hệ dễ dàng hơn. Chúng không thay thế cho ghi\r\nchú "phân cấp cho:" trong mỗi thành phần, đó là đòi hỏi bắt buộc về\r\nphân cấp cho mỗi thành phần.
\r\n\r\n6.2.1. Nhấn mạnh các thay đổi thành phần
\r\n\r\nMối quan hệ giữa các thành phần trong một họ\r\nđược nhấn mạnh qua việc sử dụng in đậm. Cách in đậm này dùng cho in đậm\r\ncác yêu cầu mới. Với các thành phần phân cấp, các yêu cầu được in đậm khi chúng\r\nđược cải tiến hoặc sửa đổi từ các yêu cầu của thành phần trước đó. Ngoài ra, bất\r\nkỳ hoạt động được phép nào mới hoặc được cải tiến từ thành phần trước đó đều\r\nđược nhấn mạnh qua sử dụng kiểu in đậm.
\r\n\r\nKiểm toán an toàn liên quan tới việc nhận\r\nbiết, ghi lại, lưu trữ và phân tích thông tin liên quan đến các hoạt động an\r\ntoàn liên quan (ví dụ các hoạt động được kiểm soát bởi TSF). Các kết quả kiểm\r\ntoán được ghi lại có thể được kiểm tra để quyết định các hoạt động an toàn liên\r\nquan nào cần được thực hiện và ai (người dùng nào) có trách nhiệm với nó.
\r\n\r\n![](\"00907947_files/image007.jpg\")
7.1.1. Hành xử của họ
\r\n\r\nHọ này định nghĩa phản hồi cần được thực hiện\r\ntrong trường hợp phát hiện các sự kiện chỉ ra các khả năng phá hoại an toàn.
\r\n\r\n7.1.2. Phân mức thành phần
\r\n\r\nTại các cảnh báo an toàn FAU_ARP.1, TSF cần\r\nđược thực hiện trong các trường hợp có phá hoại an toàn được phát hiện.
\r\n\r\n7.1.3. Quản lý của FAU_ARP.1
\r\n\r\nCác hành động sau đây được xem xét cho các\r\nchức năng quản lý trong FMT.
\r\n\r\na) Quản lý (thêm, bớt hoặc điều chỉnh) các\r\nhành động
\r\n\r\n7.1.4. Kiểm toán FAU_ARP.1
\r\n\r\nCác hành động sau nên có khả năng kiểm toán,\r\nnếu FAU_GEN Tạo các dữ liệu kiểm toán an toàn được đặt trong PP/ST.
\r\n\r\na) Tối thiểu: thực hiện các hành động do có\r\ncác vi phạm an toàn sắp xảy ra.
\r\n\r\n7.1.5. Cảnh báo an toàn Fau_ARP.1
\r\n\r\nPhân cấp từ: không có các thành phần nào.
\r\n\r\nCác mối phụ thuộc: FAU.SAA.1 Phân tích khả\r\nnăng vi phạm.
\r\n\r\n7.1.5.1. FAU_ARP.1.1
\r\n\r\nTSF cần thực hiện [chỉ định: danh sách các\r\nhành động] khi phát hiện một khả năng vi phạm an toàn.
\r\n\r\n7.2.1. Hành xử của họ
\r\n\r\nHọ này định nghĩa các yêu cầu cho việc ghi\r\nlại sự xuất hiện của các sự kiện an toàn liên quan được thực hiện dưới sự kiểm\r\nsoát của TSF. Họ này xác định các mức kiểm toán, liệt kê các kiểu sự kiện mà có\r\nthể kiểm toán được bởi TSF, và xác định tập nhỏ nhất của các thông tin liên\r\nquan đến kiểm toán được cung cấp bên trong nhiều kiểu hồ sơ kiểm toán.
\r\n\r\n7.2.2. Phân mức thành phần
\r\n\r\nFAU_GEN.1 Tạo dữ liệu kiểm toán, định nghĩa\r\nmức của các sự kiện có thể kiểm toán và chỉ ra danh sách dữ liệu cần được ghi\r\nlại trong mỗi bản ghi.
\r\n\r\nTại FAU_GEN.2 Kết hợp định danh người dùng,\r\nTSF cần kết hợp các sự kiện có thể kiểm toán theo từng định danh người dùng\r\nriêng biệt.
\r\n\r\n7.2.3. Quản lý của FAU_GEN.1, FAU_GEN.2
\r\n\r\nKhông có các hoạt động quản lý nào.
\r\n\r\n7.2.4. Kiểm toán của FAU_GEN.1, FAU_GEN.2
\r\n\r\nKhông có sự kiện có thể kiểm toán nào.
\r\n\r\n7.2.5. Tạo dữ liệu kiểm toán FAU_GEN.1
\r\n\r\nPhân cấp từ: không có các thành phần nào.
\r\n\r\nCác mối phụ thuộc: FPT_STM.1 Các nhãn thời\r\ngian tin cậy.
\r\n\r\n7.2.5.1. FAU_GEN.1.1
\r\n\r\nTSF cần có khả năng tạo ra một bản ghi kiểm\r\ntoán cho các sự kiện có thể kiểm toán được sau:
\r\n\r\na) Khởi động và tắt các chức năng kiểm toán;
\r\n\r\nb) Tất cả các sự kiện có thể kiểm toán được\r\ncho [lựa chọn, chọn một trong số: tối thiểu, cơ bản, chi tiết, không xác\r\nđịnh] và
\r\n\r\nc) [Chỉ định: Các sự kiện có thể kiểm toán\r\nđược định nghĩa cụ thể khác].
\r\n\r\n7.2.5.2. FAU_GEN.1.2
\r\n\r\nTSF cần ghi lại trong mỗi bản ghi kiểm toán\r\nít nhất các thông tin sau đây:
\r\n\r\na) Ngày và giờ của sự kiện, kiểu sự kiện,\r\nđịnh danh chủ thể (nếu có), và đầu ra (thành công hoặc lỗi) của sự kiện; và
\r\n\r\nb) Với mỗi kiểu sự kiện kiểm toán, dựa trên\r\nđịnh nghĩa các sự kiện có thể kiểm toán của các thành phần chức năng có trong\r\nPP/ST, [chỉ định: thông tin liên quan kiểm toán khác]
\r\n\r\n7.2.6. FAU_GEN.2 Kết hợp định danh người dùng
\r\n\r\nPhân cấp từ: không có các thành phần nào.
\r\n\r\nCác mối phụ thuộc: FAU_GEN.1 Tạo dữ\r\nliệu kiểm toán
\r\n\r\nFIA_UID.1\r\nĐịnh thời cho định danh
\r\n\r\n7.2.6.1. FAU_GEN.2.1
\r\n\r\nĐối với các sự kiện kiểm toán có được từ các\r\nhành động của người dùng đã định danh, TSF cần có khả năng kết hợp mỗi sự kiện\r\ncó thể kiểm toán với định danh của người dùng đã gây ra sự kiện.
\r\n\r\n7.3.1. Hành xử của họ
\r\n\r\nHọ này định nghĩa các yêu cầu cho tự động\r\nhóa, nghĩa là phân tích các hoạt động hệ thống và dữ liệu kiểm toán để tìm kiếm\r\ncác phá hoại an toàn thực tế có thể xảy ra. Phân tích có thể thực hiện với sự\r\nhỗ trợ của phát hiện xâm nhập hoặc phản ứng tự động với một vi phạm an toàn sẽ\r\nxảy ra.
\r\n\r\nCác hành động này cần được thực hiện dựa trên\r\nphát hiện, có thể được xác định qua Họ phản ứng tự động kiểm toán an toàn\r\n(FAU_ARP).
\r\n\r\n7.3.2. Phân mức thành phần
\r\n\r\nTrong FAU_SAA.1 Phân tích khả năng vi phạm,\r\nphát hiện ngưỡng cơ sở dựa trên cơ sở của tập quy tắc được yêu cầu.
\r\n\r\nTrong FAU_SAA.2 Phát hiện bất thường dựa trên\r\nmô tả tóm tắt, TSD duy trì các mô tả riêng về sử dụng hệ thống, tại đó các mô\r\ntả biểu diễn các mẫu liên quan đến quá khứ thường được thực hiện bởi các thành\r\nviên của nhóm mô tả đích. Một nhóm mô tả đích tham chiếu đến một nhóm của một\r\nhoặc nhiều cá nhân (ví dụ một người dùng đơn, nhiều người dùng chia sẻ một nhóm\r\nID hoặc tài khoản nhóm, nhiều người dùng vận hành dưới các vai trò được chỉ\r\nđịnh trước, người dùng của toàn bộ hệ thống hoặc một nút mạng); đó là người\r\ntương tác với TSF. Mỗi thành viên của nhóm hồ sơ đích được chỉ định một loại\r\nnghi ngờ riêng, nó đại diện cho việc làm thế nào mà các hoạt động tương ứng\r\nhiện thời của các thành viên thực hiện thiết lập mẫu để biểu diễn trong các mô\r\ntả.
\r\n\r\nTrong FAU_SAA.3 Thử nghiệm tấn công đơn giản,\r\nTSF cần có thể phát hiện sự xuất hiện của các sự kiện với các dấu hiệu mà đại\r\ndiện cho một dấu hiệu nguy cơ đến thực thi TSP. Tìm kiếm các sự kiện với các\r\ndấu hiệu này có thể xuất hiện trong thời gian thực hoặc trong thời gian phân\r\ntích chế độ xử lý mẻ (batch mode) với các thông tin được thu thập hậu kỳ\r\n(post-collection).
\r\n\r\nTrong FAU_SAA.4 Thử nghiệm tấn công phức tạp,\r\nTSF cần đại diện và phát hiện các kịch bản xâm nhập nhiều bước. TSF có thể so\r\nsánh các sự kiện hệ thống (có thể thực hiện bởi nhiều cá nhân) với các sự kiện\r\nliên tiếp được biết để đại diện cho toàn bộ các kịch bản xâm nhập. TSF cần có\r\nthể chỉ ra khi một sự kiện có dấu hiệu hoặc các sự kiện liên tiếp được tìm thấy\r\nchỉ ra khả năng vi phạm từ các SFR.
\r\n\r\n7.3.3. Quản lý của FAU_SAA.1
\r\n\r\nCác hành động sau có thể được cân nhắc cho\r\ncác chức năng quản lý trong FMT:
\r\n\r\na) Duy trì các quy tắc bởi (thêm, thay đổi,\r\nxóa) các quy tắc từ tập các quy tắc.
\r\n\r\n7.3.4. Quản lý của FAU_SAA.2
\r\n\r\nCác hành động sau có thể được cân nhắc cho\r\ncác chức năng quản lý trong FMT:
\r\n\r\na) Duy trì (Xóa, thay đổi, thêm) nhóm người\r\ndùng trong nhóm mô tả đích.
\r\n\r\n7.3.5. Quản lý của FAU_SAA.3
\r\n\r\nCác hành động sau có thể được cân nhắc cho\r\ncác chức năng quản lý trong FMT:
\r\n\r\na) Duy trì (Xóa, thay đổi, thêm) tập con của\r\ncác sự kiện hệ thống.
\r\n\r\n7.3.6. Quản lý của FAU_SAA.4
\r\n\r\nCác hành động sau có thể được cân nhắc cho\r\ncác chức năng quản lý trong FMT:
\r\n\r\na) Duy trì (Xóa, thay đổi, thêm) tập con của\r\ncác sự kiện hệ thống;
\r\n\r\nb) Duy trì (Xóa, thay đổi, thêm) tập liên\r\ntiếp của các sự kiện hệ thống.
\r\n\r\n7.3.7. Kiểm toán của FAU_SAA.1, FAU_SAA.2,\r\nFAU_SAA.3, FAU_SAA.4
\r\n\r\nCác hành động sau đây có thể được kiểm toán\r\nnếu FAU_GEN Tạo dữ liệu kiểm toán an toàn đặt trong PP/ST:
\r\n\r\na) Tối thiểu: Bật hoặc tắt bất kỳ một cơ chế\r\nphân tích nào;
\r\n\r\nb) Tối thiểu: Các phản hồi tự động được thực\r\nhiện bởi công cụ.
\r\n\r\n7.3.8. FAU_SAA.1 Phân tích khả năng phá hoại
\r\n\r\nPhân cấp từ: Không có thành phần nào.
\r\n\r\nCác mối phụ thuộc: FAU_GEN.1 Tạo dữ liệu kiểm\r\ntoán.
\r\n\r\n7.3.8.1. FAU_SAA.1.1
\r\n\r\nTSF cần cung cấp một tập các quy tắc để giám\r\nsát các sự kiện đã kiểm toán và dựa trên những quy tắc này chỉ ra các khả năng\r\nphá hoại việc thực thi các SFR.
\r\n\r\n7.3.8.2. FAU_SAA.1.2
\r\n\r\nTSF cần thực thi các quy tắc sau cho việc\r\ngiám sát các sự kiện đã kiểm toán:
\r\n\r\na) Tích lũy hoặc kết hợp của [chỉ định: tập\r\ncon các sự kiện đã kiểm toán xác định trước] được biết để chỉ ra khả năng phá\r\nhoại an toàn;
\r\n\r\nb) [chỉ định: bất kỳ quy tắc nào khác]
\r\n\r\n7.3.9. FAU_SAA.2 Phát hiện bất thường dựa\r\ntrên mô tả tóm tắt
\r\n\r\nPhân cấp từ: Không có thành phần nào.
\r\n\r\nCác mối phụ thuộc: FIA_UID.1 Định thời cho\r\nđịnh danh.
\r\n\r\n7.3.9.1. FAU_SAA.2.1
\r\n\r\nTSF cần có khả năng duy trì mô tả sử dụng hệ\r\nthống, tại đó một mô tả riêng đại diện cho các mẫu quá khứ về việc sử dụng được\r\nthực hiện bởi các thành viên của [chỉ định: Nhóm mô tả mục tiêu].
\r\n\r\n7.3.9.2. FAU_SAA.2.2
\r\n\r\nTSF cần có khả năng duy trì một xếp hạng nghi\r\nngờ với mỗi người dùng với các hoạt động được ghi lại trong mô tả tóm tắt, khi\r\nđó xếp hạng nghi ngờ đại diện cho mức độ mà hoạt động của người dùng hiện thời\r\nđược tìm thấy không mâu thuẫn với các mẫu được thiết lập được biểu diễn trong\r\nmô tả tóm tắt.
\r\n\r\n7.3.9.3. FAU_SAA.2.3
\r\n\r\nTSF cần có khả năng chỉ ra các phá hoại thực\r\nthi các SFR sẽ xảy ra khi xếp hạng nghi ngờ người dùng vượt quá các điều kiện\r\nngưỡng cho phép [chỉ định: các điều kiện theo đó các hoạt động bất thường\r\nđược báo cáo bởi TSF].
\r\n\r\n7.3.10. FAU_SAA.3 Thử nghiệm tấn công đơn\r\ngiản
\r\n\r\nPhân cấp từ: không có thành phần nào.
\r\n\r\nCác mối phụ thuộc: Không có phụ thuộc nào.
\r\n\r\n7.3.10.1. FAU_SAA.3.1
\r\n\r\nTSF cần có khả năng duy trì một biểu diễn nội\r\nbộ cho các sự kiện có dấu hiệu [chỉ định: một tập con của các sự kiện hệ\r\nthống] có thể chỉ ra sự phá hoại việc thực thi của các SFR.
\r\n\r\n7.3.10.2. FAU_SAA.3.2
\r\n\r\nTSF cần có khả năng so sánh các sự kiện có\r\ndấu hiệu với các bản ghi về hoạt động của hệ thống nhận được từ việc kiểm tra\r\ncủa [chỉ định: thông tin được dùng để xác định hoạt động của hệ thống].
\r\n\r\n7.3.10.3. FAU_SAA.3.3
\r\n\r\nTSF cần có khả năng biểu thị một phá hoại\r\ntiềm năng việc thực thi các SFR khi sự kiện hệ thống trùng với một sự kiện có\r\ndấu hiệu biểu thị khả năng phá hoại tiềm năng việc thực thi các SFR.
\r\n\r\n7.3.11. FAU_SAA.4 Thử nghiệm tấn công phức\r\ntạp
\r\n\r\nPhân cấp từ: FAU_SAA.3 Thử nghiệm tấn công\r\nđơn giản.
\r\n\r\nCác mối phụ thuộc: Không có phụ thuộc nào.
\r\n\r\n7.3.11.1. FAU_SAA.4.1
\r\n\r\nTSF cần có khả năng duy trì một biểu diễn nội\r\nbộ cho các sự kiện liên tiếp của các kịch bản xâm nhập [chỉ định: danh\r\nsách liên tiếp của các sự kiện hệ thống mà sự hiện diện của chúng là đại diện\r\ncho các kịch bản xâm nhập được biết] và các sự kiện có dấu hiệu tiếp\r\ntheo [chỉ định: một tập con của các sự kiện hệ thống] có thể chỉ ra\r\nsự phá hoại việc thực thi các SFR.
\r\n\r\n7.3.11.2. FAU_SAA.4.2
\r\n\r\nTSF cần có khả năng so sánh các sự kiện có\r\ndấu hiệu và chuỗi các sự kiện với các bản ghi về hoạt động của hệ thống\r\nnhận được từ việc kiểm tra của [chỉ định: thông tin được dùng để xác định\r\nhoạt động của hệ thống].
\r\n\r\n7.3.11.3. FAU_SAA.4.3
\r\n\r\nTSF cần có khả năng biểu thị một phá hoại\r\ntiềm tàng việc thực thi các SFR khi sự kiện hệ thống trùng với một sự kiện có\r\ndấu hiệu hoặc chuỗi các sự kiện biểu thị khả năng phá hoại tiềm năng\r\nviệc thực thi các SFR.
\r\n\r\n7.4.1. Hành xử của họ
\r\n\r\nHọ này định nghĩa các yêu cầu cho các công cụ\r\nkiểm toán cần phải sẵn sàng cho người dùng có thẩm quyền để hỗ trợ xem lại dữ\r\nliệu kiểm toán.
\r\n\r\n7.4.2. Phân mức thành phần
\r\n\r\nFAU_SAR.1 Soát xét kiểm toán, cung cấp khả\r\nnăng đọc thông tin từ các bản ghi kiểm toán.
\r\n\r\nFAU_SAR.2 Soát xét kiểm toán có hạn chế, yêu\r\ncầu không có người dùng khác, ngoại trừ những ai đã được định danh trong soát\r\nxét kiểm toán FAU_SAR.1 có thể đọc được thông tin.
\r\n\r\nFAU_SAR.3 Soát xét kiểm toán có lựa chọn, yêu\r\ncầu các công cụ soát xét kiểm toán để lựa chọn dữ liệu kiểm toán cần được xem lại\r\ndựa trên các tiêu chí.
\r\n\r\n7.4.3. Quản lý của FAU_SAR.1
\r\n\r\nCác hành động sau có thể được cân nhắc cho\r\ncác chức năng quản lý trong FMT:
\r\n\r\na) Duy trì (Xóa, thay đổi, thêm) của nhóm các\r\nngười dùng với việc đọc quyền truy nhập đến các hồ sơ kiểm toán.
\r\n\r\n7.4.4. Quản lý của FAU_SAR.2, FAU_SAR.3
\r\n\r\nKhông có các hoạt động quản lý nào.
\r\n\r\n7.4.5. Kiểm toán của FAU_SAR.1
\r\n\r\nCác hành động sau đây có thể được kiểm toán,\r\nnếu FAU_GEN Tạo dữ liệu kiểm toán an toàn chứa trong PP/ST:
\r\n\r\na) Cơ sở: đọc thông tin từ các hồ sơ kiểm\r\ntoán.
\r\n\r\n7.4.6. Kiểm toán của FAU_SAR.2
\r\n\r\nCác hành động sau đây có thể được kiểm toán\r\nnếu FAU_GEN Tạo dữ liệu kiểm toán an toàn chứa trong PP/ST:
\r\n\r\na) Cơ sở: Số lần thử đọc tin không thành công\r\ntừ các bản ghi kiểm toán.
\r\n\r\n7.4.7. Kiểm toán của FAU_SAR.3
\r\n\r\nCác hành động sau đây có thể được kiểm toán\r\nnếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
\r\n\r\na) Chi tiết: Các tham số được sử dụng để xem\r\nlại.
\r\n\r\n7.4.8. FAU_SAR.1 Soát xét kiểm toán
\r\n\r\nPhân cấp từ: Không có các thành phần nào.
\r\n\r\nCác mối phụ thuộc: FAU_GEN.1 Tạo dữ liệu kiểm\r\ntoán.
\r\n\r\n7.4.8.1. FAU_SAR.1.1
\r\n\r\nTSF cần cung cấp [chỉ định: người dùng có\r\nthẩm quyền] khả năng đọc [chỉ định: danh sách của các thông tin kiểm\r\ntoán] từ các hồ sơ kiểm toán.
\r\n\r\n7.4.8.2. FAU_SAR.1.2
\r\n\r\nTSF cần cung cấp các hồ sơ kiểm toán theo\r\ncách thức phù hợp cho người dùng để giải thích thông tin.
\r\n\r\n7.4.9. FAU_SAR.2 Soát xét kiểm toán có hạn\r\nchế
\r\n\r\nPhân cấp từ: Không có thành phần nào.
\r\n\r\nCác mối phụ thuộc: FAU_SAR.1 Soát xét kiểm\r\ntoán.
\r\n\r\n7.4.9.1. FAU_SAR.2.1
\r\n\r\nTSF cần ngăn cản tất cả người dùng truy cập\r\nđọc các hồ sơ kiểm toán, ngoại trừ những người dùng được cấp phép truy cập đọc\r\nrõ ràng.
\r\n\r\n7.4.10. FAU_SAR.3 Soát xét kiểm toán có chọn\r\nlựa
\r\n\r\nPhân cấp từ: Không có thành phần nào.
\r\n\r\nCác mối phụ thuộc: FAU_SAR.1 Soát xét kiểm\r\ntoán.
\r\n\r\n7.4.10.1. FAU_SAR.3.1
\r\n\r\nTSF cần cung cấp khả năng áp dụng [chỉ định: các\r\nphương pháp chọn lựa và/hoặc sắp xếp] các dữ liệu kiểm toán dựa trên [chỉ\r\nđịnh: tiêu chí với các quan hệ logic].
\r\n\r\n7.5.1. Hành xử của họ
\r\n\r\nHọ này định nghĩa các yêu cầu để lựa chọn các\r\nsự kiện cần được kiểm toán trong thời gian hoạt động của TOE từ tập tất cả các\r\nsự kiện có thể kiểm toán.
\r\n\r\n7.5.2. Phân mức thành phần
\r\n\r\nFAU_SEL.1 Kiểm toán lựa chọn, đòi hỏi chọn ra\r\ntập các sự kiện cần được kiểm toán từ tập tất cả các sự kiện có thể được kiểm\r\ntoán, xác định trong FAU_GEN.1 Tạo dữ liệu kiểm toán, dựa trên các thuộc tính\r\nđược chỉ ra bởi tác giả PP/ST.
\r\n\r\n7.5.3. Quản lý của FAU_SEL.1
\r\n\r\nCác hành động sau sẽ được xem xét cho các\r\nchức năng quản lý trong FMT:
\r\n\r\na) Duy trì các quyền để xem/thay đổi các sự\r\nkiện kiểm toán.
\r\n\r\n7.5.4. Kiểm toán của FAU_SEL.1
\r\n\r\nCác hành động sau có khả năng kiểm toán, nếu\r\nFAU_GEN Tạo dữ liệu kiểm toán an toàn được chứa trong PP/ST:
\r\n\r\na) Tối thiểu: tất cả các thay đổi đến cấu\r\nhình kiểm tra mà xuất hiện khi các chức năng thu thập kiểm toán được vận hành.
\r\n\r\n7.5.5. FAU_SEL.1 Kiểm toán lựa chọn
\r\n\r\nPhân cấp từ: không có thành phần nào.
\r\n\r\nCác mối phụ thuộc: FAU_GEN.1 Tạo dữ\r\nliệu kiểm toán
\r\n\r\nFMT_MTD.1\r\nQuản lý dữ liệu TSF
\r\n\r\n7.5.5.1. FAU_SEL.1.1
\r\n\r\nTSF cần có khả năng chọn ra các tập sự kiện\r\nđã kiểm toán từ tập tất cả các sự kiện có thể kiểm toán, dựa trên các thuộc\r\ntính sau đây:
\r\n\r\na) [lựa chọn: định danh đối tượng, định\r\ndanh người dùng, định danh chủ thể, định danh máy chủ, kiểu sự kiện]
\r\n\r\nb) [chỉ định: danh sách các thuộc tính bổ\r\nsung mà việc lựa chọn kiểm toán dựa theo]
\r\n\r\n7.6.1. Hành xử của họ
\r\n\r\nHọ này định nghĩa các yêu cầu cho TSF để có\r\nthể tạo ra và duy trì một dấu vết kiểm toán an toàn. Các bản ghi kiểm toán đã\r\nlưu tham chiếu đến các bản ghi có trong dấu vết kiểm toán, và không phải là các\r\nbản ghi kiểm toán đã gọi ra (vào bộ nhớ tạm thời) thông qua lựa chọn.
\r\n\r\n7.6.2. Phân mức thành phần
\r\n\r\nTại FAU_STG.1 Lưu trữ các vết kiểm toán có\r\nbảo vệ, các yêu cầu được đặt trong vết kiểm toán. Nó sẽ được bảo vệ chống lại\r\nviệc xóa hay thay đổi trái phép.
\r\n\r\nFAU_STG.2 Đảm bảo sự sẵn sàng của dữ liệu\r\nkiểm toán, xác định các đảm bảo mà TSF duy trì trên dữ liệu kiểm toán được đưa\r\nra trong sự xuất hiện một điều kiện không mong muốn.
\r\n\r\nFAU_STG.3 Hành động trong trường hợp có thể\r\nmất mát dữ liệu kiểm toán, xác định các hành động cần thực hiện nếu ngưỡng\r\ntrong vết an toàn bị vượt quá.
\r\n\r\nFAU_STG.4 Ngăn chặn mất mát dữ liệu kiểm\r\ntoán, xác định các hành động cần thực hiện trong trường hợp vết kiểm toán bị\r\nđầy.
\r\n\r\n7.6.3. Quản lý của FAU_STG.1
\r\n\r\nKhông có các hoạt động quản lý nào
\r\n\r\n7.6.4. Quản lý của FAU_STG.2
\r\n\r\nCác hành động sau có thể được cân nhắc cho\r\ncác chức năng quản lý trong FMT:
\r\n\r\na) Duy trì các tham số kiểm soát khả năng lưu\r\ntrữ kiểm toán.
\r\n\r\n7.6.5. Quản lý của FAU_STG.3
\r\n\r\nCác hành động sau cần xem xét cho các chức\r\nnăng quản lý trong FMT:
\r\n\r\na) Duy trì ngưỡng;
\r\n\r\nb) Duy trì (xóa, thay đổi, thêm) các hành\r\nđộng cần được thực hiện trong trường hợp lỗi lưu trữ kiểm toán sẽ xảy ra.
\r\n\r\n7.6.6. Quản lý của FAU_STG.4
\r\n\r\nCác hành động sau có thể được cân nhắc cho\r\ncác chức năng quản lý trong FMT:
\r\n\r\na) Duy trì (xóa, thay đổi, thêm) các hành\r\nđộng cần được thực hiện trong trường hợp có lỗi lưu trữ kiểm toán.
\r\n\r\n7.6.7. Kiểm toán của FAU_STG.1, FAU_STG.2
\r\n\r\nKhông có các sự kiện có thể kiểm toán nào.
\r\n\r\n7.6.8. Kiểm toán của FAU_STG.3
\r\n\r\nCác hành động sau đây có thể được kiểm toán\r\nnếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
\r\n\r\na) Cơ sở: Các hành động thực hiện do bị vượt\r\nquá ngưỡng.
\r\n\r\n7.6.9. Kiểm toán của FAU_STG.4
\r\n\r\nCác hành động sau đây có thể được kiểm toán,\r\nnếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
\r\n\r\na) Cơ sở: Các hành động thực hiện do lỗi lưu\r\ntrữ kiểm toán.
\r\n\r\n7.6.10. FAU_STG.1 Lưu trữ vết kiểm toán có\r\nbảo vệ
\r\n\r\nPhân cấp từ: Không có các thành phần nào.
\r\n\r\nCác mối phụ thuộc: FAU_GEN.1 Tạo dữ liệu kiểm\r\ntoán.
\r\n\r\n7.6.10.1. FAU_STG.1.1
\r\n\r\nTSF cần bảo vệ các hồ sơ kiểm toán đã lưu\r\ntrong vết kiểm toán chống lại việc xóa trái phép
\r\n\r\n7.6.10.2. FAU_STG.1.2
\r\n\r\nTSF cần có khả năng [lựa chọn, chọn một trong\r\nsố: ngăn chặn, phát hiện] các thay đổi trái phép vào các bản ghi kiểm\r\ntoán đã lưu trữ trong vết kiểm toán.
\r\n\r\n7.6.11. FAU_STG.2 Đảm bảo sự sẵn sàng của dữ\r\nliệu kiểm toán
\r\n\r\nPhân cấp từ: FAU_STG.1 Lưu\r\ntrữ vết an toàn có bảo vệ
\r\n\r\nCác mối phụ thuộc: FAU_GEN.1 Tạo dữ\r\nliệu kiểm toán
\r\n\r\n7.6.11.1. FAU_STG.2.1
\r\n\r\nTSF cần bảo vệ các hồ sơ kiểm toán đã lưu\r\ntrong vết kiểm toán chống lại việc xóa trái phép.
\r\n\r\n7.6.11.2. FAU_STG.2.2
\r\n\r\nTSF cần có khả năng [lựa chọn, chọn một trong\r\nsố: ngăn chặn, phát hiện] các thay đổi trái phép vào các bản ghi kiểm\r\ntoán đã lưu trữ trong vết kiểm toán.
\r\n\r\n7.6.11.3. FAU_STG.2.3
\r\n\r\nTSF cần đảm bảo rằng [chỉ định: đơn vị đo\r\nviệc lưu trữ hồ sơ kiểm toán] các hồ sơ kiểm tra sẽ được duy trì khi các hành\r\nđộng sau xuất hiện: [lựa chọn: tràn bộ nhớ lưu kiểm toán, lỗi, tấn công].
\r\n\r\n7.6.12. FAU_STG.3 Hành động trong trường hợp\r\ndữ liệu kiểm toán có thể bị mất
\r\n\r\nPhân cấp từ: Không có các thành phần nào.
\r\n\r\nCác mối phụ thuộc: FAU_STG.1 Lưu trữ vết an\r\ntoàn có bảo vệ.
\r\n\r\n7.6.12.1. FAU_STG.3.1
\r\n\r\nTSF cần [chỉ định: các hành động cần được\r\nthực hiện trong trường hợp lỗi lưu trữ an toàn có thể xảy ra] nếu vết kiểm\r\ntoán vượt quá [chỉ định: giới hạn được định nghĩa trước].
\r\n\r\n7.6.13. FAU_STG.4 Ngăn chặn mất dữ liệu kiểm\r\ntoán
\r\n\r\nPhân cấp từ: FAU_STG.3 Hành động trong trường\r\nhợp dữ liệu kiểm toán có thể bị mất.
\r\n\r\nCác mối phụ thuộc: FAU_STG.1 Lưu trữ vết an\r\ntoàn có bảo vệ.
\r\n\r\n7.6.13.1. FAU_STG.4.1
\r\n\r\nTSF cần [lựa chọn, chọn một trong số:\r\n"Lờ đi các sự kiện đã kiểm toán", "ngăn chặn các sự\r\nkiện đã kiểm toán, ngoại trừ các sự kiện này được lấy ra bởi người dùng có thẩm\r\nquyền với các quyền đặc biệt", "Viết đè lên hồ sơ kiểm toán lưu trữ lâu\r\nnhất"] và [chỉ định: các hành động khác trong\r\ntrường hợp lỗi lưu trữ kiểm toán] nếu vết kiểm toán đầy.
\r\n\r\n\r\n\r\nLớp này quy định hai họ liên quan đặc biệt\r\nđến việc đảm bảo danh tính của phần tử tham gia trong trao đổi dữ liệu. Các họ\r\nnày liên quan đến việc đảm bảo danh tính người tạo ra thông tin đã truyền đi\r\n(kiểm chứng thông tin) và đảm bảo danh tính người nhận thông tin đã truyền đi\r\n(kiểm chứng người nhận). Các họ này đảm bảo rằng người tạo ra thông tin không\r\nthể từ chối việc gửi đi các thông điệp hoặc người nhận từ chối việc đã nhận nó.
\r\n\r\n![](\"00907947_files/image008.jpg\")
8.1.1. Hành xử của họ
\r\n\r\nKhông chối bỏ nguồn gốc đảm bảo rằng nguồn\r\ngốc của thông tin không thể từ chối việc đã gửi tin đi. Họ này yêu cầu TSF quy\r\nđịnh một phương pháp để đảm bảo rằng chủ thể đã nhận thông tin qua quá trình\r\ntrao đổi dữ liệu được cung cấp một bằng chứng về nguồn gốc thông tin. Bằng\r\nchứng này có thể được thẩm định hoặc qua chủ thể này hoặc các chủ thể khác.
\r\n\r\n8.1.2. Phân mức thành phần
\r\n\r\nFCO_NRO.1 Lựa chọn kiểm chứng nguồn gốc, đòi\r\nhỏi TSF quy định các chủ thể với khả năng yêu cầu chứng cứ về nguồn gốc thông\r\ntin.
\r\n\r\nFCO_NRO.2 Thực thi kiểm chứng nguồn gốc thông\r\ntin, đòi hỏi TSF luôn tạo ra chứng cứ về nguồn gốc của thông tin được truyền.
\r\n\r\n8.1.3. Quản lý của FCO_NRO.1, FCO_NRO.2
\r\n\r\nCác hành động sau được xem xét cho các chức\r\nnăng quản lý FMT
\r\n\r\na) Quản lý các thay đổi kiểu thông tin, lĩnh\r\nvực, các thuộc tính của người tạo ra thông tin và người nhận chứng cứ
\r\n\r\n8.1.4. Kiểm toán của FCO_NRO.1
\r\n\r\nCác hành động sau đây cần được kiểm tra nếu\r\nFAU_GEN Tạo dữ liệu kiểm tra được đặt trong PP/ST
\r\n\r\na) Tối thiểu: Xác định người dùng mà yêu cầu\r\nchứng cứ về nguồn gốc được tạo ra
\r\n\r\nb) Tối thiểu: Viện chứng đến dịch vụ không\r\nthể từ chối
\r\n\r\nc) Cơ sở: Định danh thông tin, đích và một\r\nbản sao của chứng cứ được quy định
\r\n\r\nd) Chi tiết: Xác định người dùng mà đòi hỏi\r\nthẩm tra chứng cứ
\r\n\r\n8.1.5. Kiểm toán của FCO_NRO.2
\r\n\r\nCác hành động sau đây cần được kiểm tra nếu\r\nFAU_GEN Tạo dữ liệu kiểm tra được đặt trong PP/ST
\r\n\r\nd) Tối thiểu: Viện chứng đến dịch vụ không\r\nthể từ chối
\r\n\r\ne) Cơ sở: Định danh thông tin, đích và một\r\nbản sao của chứng cứ được quy định
\r\n\r\nf) Chi tiết: Xác định người dùng mà đòi hỏi\r\nthẩm tra chứng cứ
\r\n\r\n8.1.6. FCO_NRO.1 Lựa chọn kiểm chứng nguồn\r\ngốc
\r\n\r\nPhân cấp từ: Không có thành phần nào.
\r\n\r\nCác mối phụ thuộc: FIA_UID.1 Định thời cho\r\nđịnh danh
\r\n\r\n8.1.6.1. FCO_NRO.1.1
\r\n\r\nTSF cần có khả năng tạo ra chứng cứ về nguồn\r\ngốc thông tin được truyền [chỉ định: danh sách kiểu thông tin] tại yêu\r\ncầu của [chỉ định: bên gửi, bên nhận, [chỉ định: danh sách các đối tác thứ\r\n3]].
\r\n\r\n8.1.6.2. FCO_NRO.1.2
\r\n\r\nTSF cần có khả năng liên quan đến [chỉ định: danh\r\nsách các thuộc tính] người tạo ra thông tin và [chỉ định: danh sách các\r\ntrường thông tin] của thông tin được cung cấp chứng cứ.
\r\n\r\n8.1.6.3. FCO_NRO.1.3
\r\n\r\nTSF cần cung cấp khả năng thẩm tra chứng cứ về\r\nnguồn gốc của thông tin [lựa chọn: bên gửi, người nhận, [chỉ định: danh sách\r\ncủa đối tác thứ 3]] được cho [chỉ định: các giới hạn về chứng cứ của\r\nnguồn gốc].
\r\n\r\n8.1.7. FCO_NRO.2 Thực thi kiểm chứng nguồn\r\ngốc
\r\n\r\nPhân cấp từ: FCO_NRO.1 Lựa chọn kiểm chứng\r\nnguồn gốc
\r\n\r\nCác mối phụ thuộc: FIA_UID.1 Định thời cho\r\nđịnh danh
\r\n\r\n8.1.7.1. FCO_NRO.2.1
\r\n\r\nTSF cần thực thi để tạo ra các chứng cứ\r\nvề nguồn gốc thông tin được truyền [chỉ định: danh sách các kiểu thông tin]\r\ntại tất cả các thời gian.
\r\n\r\n8.1.7.2. FCO_NRO.2.2
\r\n\r\nTSF cần có khả năng liên quan đến [chỉ định: danh\r\nsách các thuộc tính] người tạo ra thông tin và [chỉ định: danh sách các\r\ntrường thông tin] của thông tin được cung cấp chứng cứ.
\r\n\r\n8.1.7.3. FCO_NRO.2.3
\r\n\r\nTSF cần có khả năng thẩm tra chứng cứ về\r\nnguồn gốc của thông tin [lựa chọn: bên gửi, người nhận, [chỉ định: danh sách\r\ncủa đối tác thứ 3]] được cho [chỉ định: các giới hạn về chứng cứ của\r\nnguồn gốc].
\r\n\r\n8.2.1. Hành xử của họ
\r\n\r\nKhông thể từ chối của bên nhận đảm bảo rằng\r\nngười nhận thông tin không thể từ chối việc nhận thành công thông tin. Họ này\r\nđòi hỏi, TSF cung cấp một phương pháp để đảm bảo rằng một chủ thể truyền thông\r\ntin trong thời gian trao đổi dữ liệu được cung cấp một chứng cứ về việc nhận\r\nthông tin. Chứng cứ này có thể được thẩm tra bởi chủ thể này hoặc các chủ thể\r\nkhác.
\r\n\r\n8.2.2. Phân mức thành phần
\r\n\r\nFCO_NRR.1 Lựa chọn kiểm chứng bên nhận, yêu\r\ncầu TSF để cung cấp cho chủ thể khả năng đòi hỏi chứng cứ của việc nhận thông\r\ntin.
\r\n\r\nFCO_NRR.2 Thực thi kiểm chứng bên nhận, đòi\r\nhỏi TSF luôn tạo ra chứng cứ nhận cho các thông tin đã nhận.
\r\n\r\n8.2.3. Quản lý của FCO_NRR.1, FCO_NRR.2
\r\n\r\nCác hành động sau đây có thể xem xét cho các\r\nchức năng quản lý trong FMT:
\r\n\r\na) Quản lý các thay đổi về kiểu thông tin,\r\ntrường tin, các thuộc tính của người gửi và người nhận là đối tác thứ 3 về\r\nchứng cứ.
\r\n\r\n8.2.4. Kiểm toán của FCO_NRR.1
\r\n\r\nCác hành động sau đây có thể được kiểm toán\r\nnếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
\r\n\r\na) Tối thiểu: Xác định người dùng mà đòi hỏi\r\nchứng cứ của việc nhận sẽ được tạo ra.
\r\n\r\nb) Tối thiểu: Viện chứng dịch vụ không thể từ\r\nchối.
\r\n\r\nc) Cơ sở: Định danh thông tin, đích đến và\r\nmột bản sao của thông tin được quy định.
\r\n\r\nd) Chi tiết: Xác định người dùng mà đòi hỏi\r\nviệc thẩm tra chứng cứ.
\r\n\r\n8.2.5. Kiểm toán của FCO_NRR.2
\r\n\r\nCác hành động sau đây có thể được kiểm toán,\r\nnếu FAU_GEN Tạo dữ liệu kiểm toán được đặt trong PP/ST:
\r\n\r\na) Tối thiểu: Viện chứng dịch vụ không thể từ\r\nchối.
\r\n\r\nb) Cơ sở: Định danh thông tin, đích đến và\r\nmột bản sao của thông tin được quy định.
\r\n\r\nc) Chi tiết: Xác định người dùng mà đòi hỏi\r\nviệc thẩm tra chứng cứ.
\r\n\r\n8.2.6. FCO_NRR.1 Lựa chọn kiểm chứng bên nhận
\r\n\r\nPhân cấp từ: Không có thành phần nào.
\r\n\r\nCác mối phụ thuộc: FIA_UID.1 Định thời cho\r\nđịnh danh.
\r\n\r\n8.2.6.1. FCO_NRR.1.1
\r\n\r\nTSF cần có khả năng tạo ra chứng cứ nhận tin\r\ncho [chỉ định: danh sách của các kiểu thông tin] đã nhận theo các đòi\r\nhỏi của [lựa chọn: người gửi, người nhận, [chỉ định: danh sách các đối tác\r\nthứ ba]].
\r\n\r\n8.2.6.2. FCO_NRR.1.2
\r\n\r\nTSF cần có khả năng kết nối các [chỉ định: danh\r\nsách các thuộc tính] của người nhận thông tin, và [chỉ định: danh sách\r\ncủa các trường thông tin] của thông tin cho áp dụng các chứng cứ.
\r\n\r\n8.2.6.3. FCO_NRR.1.3
\r\n\r\nTSF cần cung cấp khả năng thẩm tra chứng cứ\r\nnhận thông tin tới [lựa chọn: người gửi, người nhận, [chỉ định: danh sách\r\ncủa đối tác thứ ba]] dựa trên [chỉ định: các giới hạn trong chứng cứ của\r\nviệc nhận].
\r\n\r\n8.2.7. FCO_NRR.2 Thực thi kiểm chứng bên nhận
\r\n\r\nPhân cấp từ: FCO_NRR.1 lựa chọn kiểm chứng\r\nbên nhận.
\r\n\r\nCác mối phụ thuộc: FIA_UID.1 Định thời cho\r\nđịnh danh.
\r\n\r\n8.2.7.1. FCO_NRR.2.1
\r\n\r\nTSF cần thực thi việc tạo chứng cứ nhận\r\nthông tin cho [chỉ định: danh sách các kiểu thông tin] đã nhận tại\r\nmọi thời điểm.
\r\n\r\n8.2.7.2. FCO_NRR.2.2
\r\n\r\nTSF cần có khả năng kết nối các [chỉ định: danh\r\nsách các thuộc tính] của người nhận thông tin, và [chỉ định: danh sách\r\ncủa các trường thông tin] của thông tin cho áp dụng các chứng cứ.
\r\n\r\n8.2.7.3. FCO_NRR.2.3
\r\n\r\nTSF cần cung cấp khả năng thẩm tra chứng cứ\r\nnhận thông tin tới [lựa chọn: người gửi, người nhận, [chỉ định: danh sách\r\ncủa đối tác thứ ba]] dựa trên [chỉ định: các giới hạn trong chứng cứ của\r\nviệc nhận].
\r\n\r\nTSF có thể triển khai các chức năng mã hóa để\r\ngiúp thỏa mãn một số mục tiêu an toàn mức cao. Chúng bao gồm (nhưng không giới\r\nhạn): định danh và xác thực, không thể từ chối, đường dẫn tin cậy, kênh tin cậy\r\nvà phân tích dữ liệu. Lớp này được sử dụng khi TOE thực hiện các chức năng mã\r\nhóa, việc thực hiện này có thể dưới dạng phần cứng, phần sụn hoặc phần mềm.
\r\n\r\nFCS: Lớp hỗ trợ mật mã được tạo dưới hai họ:\r\nQuản lý khóa mật mã (FCS_CKM) và vận hành mật mã (FCS_COP). Hộ quản lý khóa mật\r\nmã (FCS_CKM) đề cập đến các khía cạnh quản lý của các khóa mật mã, trong khi họ\r\nvận hành mật mã (FCS_COP) lại quan tâm đến việc sử dụng vận hành của các khóa\r\nmã này.
\r\n\r\n![](\"00907947_files/image009.jpg\")
9.1.1. Hành xử của họ
\r\n\r\nCác khóa mật mã phải được quản lý trong suốt\r\nchu trình tồn tại chúng. Họ này dùng để hỗ trợ chu trình này và định nghĩa các\r\nyêu cầu đối với các hoạt động sau: Tạo khóa mật mã, phân bố khóa mật mã, truy\r\nnhập khóa mật mã và hủy bỏ khóa mật mã. Họ này nên được đưa vào mỗi khi có các\r\nyêu cầu chức năng quản lý mã khóa mật mã.
\r\n\r\n9.1.2. Phân mức thành phần
\r\n\r\nFCS_CKM.1 Tạo khóa mật mã, đòi hỏi khóa mật\r\nmã được tạo ra phù hợp với một thuật toán riêng với kích thước khóa có thể dựa\r\ntrên một tiêu chuẩn được ấn định.
\r\n\r\nFCS_CKM.2 Phân phối khóa mật mã, đòi hỏi các\r\nkhóa mật mã được phân phối phù hợp với một phương pháp phân phối riêng mà có\r\nthể dựa trên một tiêu chuẩn được ấn định.
\r\n\r\nFCS_CKM.3 Truy nhập khóa mật mã, đòi hỏi truy\r\nnhập đến các khóa mã phải được thực hiện phù hợp với một phương pháp truy nhập\r\nriêng mà có thể dựa trên tiêu chuẩn được ấn định.
\r\n\r\nFCS_CKM.4 Hủy bỏ khóa mật mã, đòi hỏi các\r\nkhóa hóa bị hủy bỏ phù hợp với phương pháp hủy bỏ riêng mà có thể dựa trên tiêu\r\nchuẩn được ấn định.
\r\n\r\n9.1.3. Quản lý của FCS_CKM.1, FCS_CKM.2,\r\nFCS_CKM.3, FCS_CKM.4
\r\n\r\nKhông có các hoạt động quản lý nào.
\r\n\r\n9.1.4. Kiểm toán của FCS_CKM.1, FCS_CKM.2,\r\nFCS_CKM.3, FCS_CKM.4
\r\n\r\nCác hành động sau có thể được kiểm toán, nếu\r\nFAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
\r\n\r\na) Tối thiểu: thành công và lỗi của các hoạt\r\nđộng.
\r\n\r\nb) Cơ sở: Các thuộc tính của đối tượng, và\r\ngiá trị của đối tượng ngoại trừ bất kỳ thông tin nhạy cảm nào (ví dụ khóa bí\r\nmật hoặc khóa riêng).
\r\n\r\n9.1.5. FCS_CKM.1 Tạo khóa mật mã
\r\n\r\nPhân cấp từ: Không có các thành phần nào.
\r\n\r\nCác mối phụ thuộc: [FCS_CKM.2 Phân phối khóa\r\nmật mã hoặc
\r\n\r\nFCS_COP.1 Hoạt động mật mã]
\r\n\r\nFCS_CKM.4 Hủy bỏ khóa mật mã
\r\n\r\n9.1.5.1. FCS_CKM.1.1
\r\n\r\nTSF cần tạo ra các khóa mật mã phù hợp với\r\ncác thuật toán tạo khóa mật mã được chỉ ra [chỉ định: thuật toán tạo khóa\r\nmật mã] và chỉ ra kích thước khóa được mật mã [chỉ định: kích thước khóa\r\nmật mã] mà đáp ứng theo [chỉ định: danh sách các tiêu chuẩn].
\r\n\r\n9.1.6. FCS_CKM.2 Phân phối khóa mật mã
\r\n\r\nPhân cấp từ: Không có các thành phần nào.
\r\n\r\nCác mối phụ thuộc: [FDP_ITC.1 Nhập vào dữ\r\nliệu người dùng không có các thuộc tính an toàn, hoặc
\r\n\r\nFDP_ITC.2 Nhập dữ liệu người dùng có các\r\nthuộc tính an toàn, hoặc
\r\n\r\nFCS_CKM.1 Tạo khóa mật mã]
\r\n\r\nFCS_CKM.4 Hủy bỏ khóa mật mã
\r\n\r\n9.1.6.1. FCS_CKM.2.1
\r\n\r\nTSF cần phân phối các khóa mật mã phù hợp với\r\nphương pháp phân phối khóa mật mã được chỉ ra [chỉ định: phương pháp phân\r\nphối khóa mật mã] mà đáp ứng theo [chỉ định: danh sách các tiêu chuẩn].
\r\n\r\n9.1.7. FCS_CKM.3 Truy nhập khóa mật mã
\r\n\r\nPhân cấp từ: Không có các thành phần nào.
\r\n\r\nCác mối phụ thuộc: [FDP_ITC.1 Nhập vào dữ\r\nliệu người dùng không có các thuộc tính an toàn, hoặc
\r\n\r\nFDP_ITC.2 Nhập vào dữ liệu người dùng có các\r\nthuộc tính an toàn, hoặc
\r\n\r\nFCS_CKM.1 Tạo khóa mật mã]
\r\n\r\nFCS_CKM.4 Hủy bỏ khóa mật mã
\r\n\r\n9.1.7.1. FCS_CKM.3.1
\r\n\r\nTSF cần thực hiện [chỉ định: kiểu truy\r\nnhập khóa mật mã] phù hợp với phương pháp truy nhập khóa mật mã được chỉ ra\r\n[chỉ định: phương pháp truy cập khóa mật mã] đáp ứng theo [chỉ định: danh\r\nsách các tiêu chuẩn].
\r\n\r\n9.1.8. FCS_CKM.4 Hủy bỏ khóa mật mã
\r\n\r\nPhân cấp từ: Không có các thành phần nào.
\r\n\r\nCác mối phụ thuộc: [FDP_ITC.1 Nhập vào dữ\r\nliệu người dùng không có các thuộc tính an toàn, hoặc
\r\n\r\nFDP_ITC.2 Nhập vào dữ liệu người dùng có các\r\nthuộc tính an toàn, hoặc
\r\n\r\nFCS_CKM.1 Tạo khóa mật mã]
\r\n\r\n9.1.8.1. FCS_CKM.4.1
\r\n\r\nTSF cần hủy bỏ các khóa mật mã phù hợp với\r\nphương pháp hủy khóa mật mã được chỉ ra [chỉ định: phương pháp hủy bỏ khóa\r\nmật mã] đáp ứng theo: [chỉ định: danh sách các tiêu chuẩn].
\r\n\r\n9.2.1. Hành xử của họ
\r\n\r\nTheo yêu cầu cho hoạt động mật mã vận hành\r\nchính xác, hoạt động này cần phải được thực hiện phù hợp với một thuật toán\r\nđược chỉ ra và với một khóa mật mã có kích thước được chỉ ra. Họ này chứa các\r\nyêu cầu cho các hoạt động mật mã được thực hiện.
\r\n\r\nKiểu các hoạt động mật mã gồm mã hóa và giải\r\nmã dữ liệu, tạo chữ ký điện tử và thẩm tra, tạo kiểm tra chẵn lẻ mật mã để đảm\r\nbảo toàn vẹn và thẩm tra kiểm tra chẵn lẻ, băm an toàn (liệt kê thông điệp), mã\r\nhóa và giải mã khóa mật mã, thỏa thuận khóa mật mã.
\r\n\r\n9.2.2. Phân mức thành phần
\r\n\r\nFCS_COP.1 hoạt động mật mã, đòi hỏi một hoạt\r\nđộng mật mã được thực hiện phù hợp với một thuật toán được chỉ ra và với một\r\nkhóa mật mã có kích thước được chỉ ra. Thuật toán được chỉ ra và các kích thước\r\nkhóa mật mã có thể dựa trên một tiêu chuẩn được ấn định.
\r\n\r\n9.2.3. Quản lý của FCS_COP.1
\r\n\r\nKhông có các hoạt động quản lý nào.
\r\n\r\n9.2.4. Kiểm toán của FCS_COP.1
\r\n\r\nCác hành động sau có thể được kiểm toán, nếu\r\nFAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
\r\n\r\na) Tối thiểu: thành công và lỗi, và kiểu của\r\ncác hoạt động mật mã
\r\n\r\nb) Cơ sở: Bất kỳ một chế độ mật mã được ứng\r\ndụng nào của hoạt động, các thuộc tính của chủ thể và các thuộc tính đối tượng.
\r\n\r\n9.2.5. FCS_COP.1 Hoạt động mật mã
\r\n\r\nPhân cấp từ: Không có các thành phần nào.
\r\n\r\nCác mối phụ thuộc: [FDP_ITC.1 Nhập vào dữ\r\nliệu người dùng không có các thuộc tính an toàn, hoặc
\r\n\r\nFDP_ITC.2 Nhập vào dữ liệu người dùng có các\r\nthuộc tính an toàn, hoặc
\r\n\r\nFCS_CKM.1 Tạo khóa mật mã]
\r\n\r\nFCS_CKM.4 Hủy bỏ khóa mật mã
\r\n\r\n9.2.5.1. FCS_COP.1.1
\r\n\r\nTSF cần thực hiện [chỉ định: danh sách các\r\nhoạt động mật mã] phù hợp với thuật toán mật mã được chỉ ra [chỉ định: thuật\r\ntoán mật mã] và kích thước khóa mật mã [chỉ định: kích thước khóa mật mã]\r\nmà đáp ứng theo [chỉ định: danh sách các tiêu chuẩn].
\r\n\r\nLớp này chứa các họ chỉ ra các yêu cầu cho\r\ncác chức năng an toàn TOE và các chính sách chức năng an toàn TOE liên quan đến\r\nbảo vệ dữ liệu người dùng. FDP: bảo vệ dữ liệu người dùng được chia thành bốn\r\nnhóm thuộc của các họ (được liệt kê bên dưới) mà đề cập đến dữ liệu người dùng\r\nbên trong một TOE, trong thời gian nhập, xuất và lưu trữ cũng như các thuộc\r\ntính an toàn trực tiếp liên quan đến dữ liệu người dùng.
\r\n\r\nCác họ trong lớp này được tổ chức thành bốn\r\nnhóm sau:
\r\n\r\na) Các chính sách chức năng an toàn bảo vệ dữ\r\nliệu người dùng:
\r\n\r\n• Chính sách kiểm soát truy nhập (FDP_ACC);\r\nvà
\r\n\r\n• Chính sách kiểm soát luồng thông tin\r\n(FDP_IFC)
\r\n\r\nCác thành phần trong những họ này cho phép\r\ntác giả PP/ST đặt tên cho các chính sách chức năng an toàn bảo vệ dữ liệu người\r\ndùng và định nghĩa phạm vi kiểm soát của chính sách, sự cần thiết để đề cập đến\r\ncác mục tiêu an toàn. Tên của các chính sách này có nghĩa được sử dụng liên tục\r\nphần còn lại của các thành phần chức năng mà có một hoạt động gọi phép ấn định\r\nhoặc lựa chọn "kiểm soát truy nhập SFP" hoặc "kiểm soát luồng\r\nthông tin SFPs". Các quy tắc định nghĩa chức năng kiểm soát truy nhập và\r\nkiểm soát luồng thông tin SFP sẽ được định nghĩa trong các họ (một cách lần\r\nlượt) các hàm kiểm soát truy nhập (FDP_ACF) và các hàm kiểm soát luồng thông\r\ntin (FDP_IF) (tương ứng).
\r\n\r\nb) Các dạng bảo vệ dữ liệu người dùng:
\r\n\r\n• Các chức năng kiểm soát truy nhập (FDP_ACF)
\r\n\r\n• Các chức năng kiểm soát luồng thông tin\r\n(FDP_IFF);
\r\n\r\n• Vận chuyển nội bộ TOE (FDP_ITT);
\r\n\r\n• Bảo vệ thông tin còn dư thừa (FDP_RIP);
\r\n\r\n• Khôi phục lại (FDP_ROL) và
\r\n\r\n• Toàn vẹn dữ liệu đã lưu trữ (FDP_SDI)
\r\n\r\nc) Lưu trữ ngoại tuyến, nhập và xuất
\r\n\r\n• Xác thực dữ liệu (FDP_DAU)
\r\n\r\n• Xuất dữ liệu ra khỏi TOE (FDP_ETC)
\r\n\r\n• Nhập dữ liệu từ ngoài TOE (FDP_ITC)
\r\n\r\nCác thành phần trong các họ này đề cập chuyển\r\nđổi các giá trị đáng tin cậy vào trong hoặc ra ngoài của TOE.
\r\n\r\nd) Truyền thông Liên-TSF
\r\n\r\n• Bảo vệ truyền bí mật dữ liệu người dùng\r\nliên-TSF (FDP_UCT); và
\r\n\r\n• Bảo vệ truyền toàn vẹn dữ liệu người dùng\r\nliên-TSF (FDP_UIT)
\r\n\r\nCác thành phần trong các họ này đề cập đến sự\r\ntruyền thông giữa TSF của TOE và các sản phẩm IT được tin cậy khác.
\r\n\r\n![](\"00907947_files/image010.jpg\")
10.1.1. Hành xử của họ
\r\n\r\nHọ này xác định các SFP kiểm soát truy nhập\r\n(Theo tên) và định nghĩa phạm vi kiểm soát của các chính sách mà định dạng việc\r\nxác định phần kiểm soát truy nhập của TSP. Phạm vi kiểm soát này được mô tả bởi\r\n3 tập: Các chủ thể dưới kiểm soát của chính sách, các đối tượng dưới kiểm soát\r\ncủa chính sách và các hoạt động giữa các chủ thể được kiểm soát và đối tượng\r\nđược kiểm soát mà được bao trùm bởi chính sách. Tiêu chí này cho phép tồn tại\r\nnhiều chính sách, mỗi cái có một tên duy nhất.
\r\n\r\nĐiều này đạt được bởi các thành phần khởi tạo\r\ntừ họ này một lần cho mỗi chính sách kiểm soát truy nhập được đặt tên. Quy tắc\r\nnày định nghĩa chức năng của kiểm soát truy nhập SFP mà sẽ được định nghĩa bởi\r\ncác họ khác như các chức năng kiểm soát truy nhập (FDP_ACF) và toàn vẹn dữ liệu\r\nlưu trữ (FDP_SDI). Các tên của các kiểm soát truy nhập, được xác định ở đây\r\ntrong chính sách kiểm soát truy nhập (FDP_ACC) có nghĩa là được sử dụng liên\r\ntục phần còn lại của các thành phần chức năng mà có một hoạt động gọi phép ấn\r\nđịnh hoặc phép chọn của "kiểm soát truy nhập SFP".
\r\n\r\n10.1.2. Phân mức thành phần
\r\n\r\nFDP_ACC.1 kiểm soát truy nhập tập con, đòi\r\nhỏi mỗi cái chỉ ra kiểm soát truy nhập SFP được đặt trong một tập con của các\r\nhoạt động có thể trong một tập con của các đối tượng trong TOE.
\r\n\r\nFDP_ACC.2 Kiểm soát truy nhập toàn bộ, đòi\r\nhỏi mỗi cái chỉ ra kiểm soát truy nhập SFP bao trùm tất cả các hoạt động của\r\nchủ thể và đối tượng được bao trùm bởi SFP. Nếu các yêu cầu thêm mà tất cả các\r\nđối tượng và hoạt động với TSC được bao trùm bởi ít nhất một kiểm soát truy\r\nnhập SFP được chỉ ra.
\r\n\r\n10.1.3. Quản lý của FDP_ACC.1, FDP_ACC.2
\r\n\r\nKhông có các hoạt động quản lý nào.
\r\n\r\n10.1.4. Kiểm toán của FDP_ACC.1, FDP_ACC.2
\r\n\r\nKhông có sự kiện có thể kiểm toán nào.
\r\n\r\n10.1.5. FDP_ACC.1 Kiểm soát truy nhập tập con
\r\n\r\nPhân cấp từ: Không có các thành phần nào.
\r\n\r\nCác mối phụ thuộc: FDP_ACF.1 Kiểm soát truy\r\nnhập dựa trên các thuộc tính an toàn.
\r\n\r\n10.1.5.1. FDP_ACC.1.1
\r\n\r\nTSF cần thực thi [chỉ định: Kiểm soát truy\r\nnhập SFP] trong [chỉ định: danh sách các chủ đề, đối tượng và các hoạt\r\nđộng giữa các chủ thể và đối tượng bao trùm bởi SFP].
\r\n\r\n10.1.6. FDP_ACC.2 Kiểm soát truy nhập toàn bộ
\r\n\r\nPhân cấp từ: FDP_ACC.1 Kiểm soát truy nhập\r\ntập con.
\r\n\r\nCác mối phụ thuộc: FDP_ACF.1 Kiểm soát truy\r\nnhập dựa trên các thuộc tính an toàn.
\r\n\r\n10.1.6.1. FDP_ACC.2.1
\r\n\r\nTSF cần thực thi [chỉ định: Kiểm soát truy\r\nnhập SFP] trong [chỉ định: danh sách các chủ thể, đối tượng, và tất cả\r\ncác hoạt động giữa các chủ thể và đối tượng bao trùm bởi SFP].
\r\n\r\n10.1.6.2. FDP_ACC.2.2
\r\n\r\nTSF cần đảm bảo rằng tất cả các hoạt động\r\ngiữa bất kỳ chủ thể nào trong TSC và bất kỳ đối tượng nào bên trong TSC được\r\nbao trùm bởi một kiểm soát truy nhập SFP.
\r\n\r\n10.2.1. Hành xử của họ
\r\n\r\nHọ này mô tả các quy tắc cho các chức năng\r\nriêng mà có thể thực hiện chính sách kiểm soát truy nhập được đặt tên là chính\r\nsách kiểm soát truy nhập (FDP_ACC). Chính sách kiểm soát truy nhập (FDP_ACC)\r\nchỉ ra phạm vi kiểm soát của chính sách.
\r\n\r\n10.2.2. Phân mức thành phần
\r\n\r\nHọ này đề cập đến các thuộc tính an toàn\r\nthông thường và đặc điểm của các chính sách. Thành phần trong họ này có nghĩa\r\nlà cần được sử dụng để mô tả các quy tắc cho chức năng mà thực hiện SFP như\r\nđược chỉ ra trong chính sách kiểm soát truy nhập (FDP_ACC). Tác giả PP/ST có\r\nthể lặp lại thành phần này để đề cập đến nhiều chính sách trong TOE.
\r\n\r\nFDP_ACF.1 Thuộc tính an toàn dựa trên kiểm\r\nsoát truy nhập, thuộc tính an toàn dựa trên kiểm soát truy nhập cho phép TSF\r\nthực thi truy nhập dựa trên các thuộc tính an toàn và nhóm các thuộc tính được\r\nđặt tên. Thêm vào đó, TSF có thể có khả năng cấp phép hoặc từ chối truy nhập\r\nvới đối tượng dựa trên các thuộc tính an toàn.
\r\n\r\n10.2.3. Quản lý của FDP_ACF.1
\r\n\r\nCác hành động sau đây có thể xem xét cho các\r\nchức năng quản lý trong FMT:
\r\n\r\na) Quản lý các thuộc tính sử dụng để đưa ra\r\nquyết định cho phép hoặc từ chối truy nhập.
\r\n\r\n10.2.4. Kiểm soát của FDP_ACF.1
\r\n\r\nCác hành động sau đây có thể được kiểm toán,\r\nnếu FAU_GEN Tạo dữ liệu kiểm tra được đặt trong PP/ST:
\r\n\r\na) Tối thiểu: Các yêu cầu thực hiện thành\r\ncông trong vận hành một đối tượng được bao bọc bởi SFP.
\r\n\r\nb) Cơ sở: Tất cả các yêu cầu thực hiện vận\r\nhành một đối tượng được bao bọc bởi SFP.
\r\n\r\nc) Chi tiết: các thuộc tính an toàn đặc biệt\r\nđược sử dụng trong thực hiện kiểm tra truy nhập.
\r\n\r\n10.2.5. FDP_ACF.1 Kiểm soát truy nhập dựa\r\ntrên thuộc tính an toàn
\r\n\r\nPhân cấp từ: Không có các thành phần nào.
\r\n\r\nCác mối phụ thuộc: FDP_ACC.1 Kiểm soát\r\ntruy nhập tập con
\r\n\r\nFDP_MSA.3\r\nKhởi tạo thuộc tính tĩnh.
\r\n\r\n10.2.5.1. FDP_ACF.1.1
\r\n\r\nTSF cần thực thi [chỉ định: Kiểm soát truy\r\nnhập SFP] đến các đối tượng dựa trên [chỉ định: Danh sách các chủ thể và\r\nđối tượng được kiểm soát dưới SFP đã chỉ định, và với danh sách, các thuộc tính\r\nan toàn tương ứng SFP, hoặc các nhóm đã gắn tên của các thuộc tính an toàn\r\ntương ứng SFP].
\r\n\r\n10.2.5.2. FDP_ACF.1.2
\r\n\r\nTSF cần thực thi các quy tắc sau để quyết\r\nđịnh nếu một hoạt động giữa các chủ thể được kiểm soát và các đối tượng được\r\nkiểm soát cho phép: [chỉ định: các quy tắc quản lý truy nhập giữa các chủ\r\nthể được kiểm soát và các đối tượng được kiểm soát sử dụng các hoạt động có\r\nkiểm soát với các đối tượng được kiểm soát]
\r\n\r\n10.2.5.3. FDP_ACF.1.3
\r\n\r\nTSF cần cấp phép truy nhập rõ ràng cho các\r\nchủ thể đến các đối tượng dựa trên các quy tắc sau: [chỉ định: các quy tắc,\r\ndựa trên các thuộc tính an toàn, để cấp phép truy nhập rõ ràng cho các chủ thể\r\nđến các đối tượng].
\r\n\r\n10.2.5.4. FDP_ACF.1.4
\r\n\r\nTSF cần từ chối rõ ràng truy nhập của các chủ\r\nthể đến các đối tượng dựa trên [chỉ định: các quy tắc, dựa trên các thuộc tính\r\nan toàn, để từ chối rõ ràng truy nhập của các chủ thể đến các đối tượng].
\r\n\r\n10.3.1. Hành xử của họ
\r\n\r\nXác thực dữ liệu cho phép một thực thể chấp\r\nnhận trách nhiệm xác thực thông tin (ví dụ, các chữ ký số). Họ này cung cấp một\r\nphương pháp quy định sự đảm bảo tính hợp lệ của một đơn vị đặc biệt của dữ liệu\r\nmà có thể được sử dụng để thẩm tra nội dung thông tin giả mạo hoặc thay đổi lừa\r\ndối. Trái lại với FAU: Kiểm tra an toàn, họ này được dự định cung cấp các dữ\r\nliệu tĩnh hơn là các dữ liệu mà đang được truyền đi.
\r\n\r\n10.3.2. Phân mức thành phần
\r\n\r\nFDP_DAU.1 Xác thực dữ liệu cơ sở, đòi hỏi TSF\r\ncó khả năng tạo một sự đảm bảo của xác thực với các nội dung thông tin của các\r\nđối tượng (ví dụ tài liệu).
\r\n\r\nFDP_DAU.2 Xác thực dữ liệu với chỉ ra người\r\nđảm bảo thêm vào các yêu cầu mà TSF có khả năng thiết lập định danh của đối\r\ntượng mà cung cấp đảm bảo xác thực.
\r\n\r\n10.3.3. Quản lý của FDP_DAU.1, FDP_DAU.2
\r\n\r\nCác hành động sau đây có thể xem xét cho các\r\nchức năng quản lý trong FMT:
\r\n\r\na) Chỉ định hoặc thay đổi đối tượng, để có\r\nthể được cấu hình được xác thực dữ liệu đã áp dụng.
\r\n\r\n10.3.4. Kiểm toán của FDP_DAU.1
\r\n\r\nCác hành động sau đây có thể được kiểm toán,\r\nnếu FAU_GEN Tạo dữ liệu kiểm toán được đặt trong PP/ST:
\r\n\r\na) Tối thiểu: Tạo thành công các chứng cứ có\r\ngiá trị.
\r\n\r\nb) Cơ sở: Tạo không thành công các chứng cứ\r\ncó giá trị.
\r\n\r\nc) Chi tiết: Định danh của chủ thể mà yêu cầu\r\nchứng cứ.
\r\n\r\n10.3.5. Kiểm toán của FDP_DAU.2
\r\n\r\nCác hành động sau đây có thể được kiểm toán,\r\nnếu FAU_GEN Tạo dữ liệu kiểm toán được đặt trong PP/ST:
\r\n\r\na) Tối thiểu: Tạo thành công các chứng cứ có\r\ngiá trị.
\r\n\r\nb) Cơ sở: Tạo không thành công các chứng cứ\r\ncó giá trị.
\r\n\r\nc) Chi tiết: Định danh của chủ thể mà yêu cầu\r\nchứng cứ.
\r\n\r\nd) Chi tiết: Định danh của chủ thể tạo ra\r\nchứng cứ.
\r\n\r\n10.3.6. FDP_DAU.1 Xác thực dữ liệu cơ sở
\r\n\r\nPhân cấp từ: Không có các thành phần nào.
\r\n\r\nCác mối phụ thuộc: Không có phụ thuộc nào.
\r\n\r\n10.3.6.1. FDP_DAU.1.1
\r\n\r\nTSF cần cung cấp khả năng tạo chứng cứ mà có\r\nthể được sử dụng như sự đảm bảo của xác định tính hợp lệ của [chỉ định: danh\r\nsách của các đối tượng hoặc các kiểu thông tin].
\r\n\r\n10.3.6.2. FDP_DAU.1.2
\r\n\r\nTSF cần cung cấp [chỉ định: danh sách của các\r\nchủ thể] với khả năng thẩm tra chứng cứ có tính hợp lệ của các thông tin đã xác\r\nđịnh.
\r\n\r\n10.3.7. FDP_DAU.2 Xác thực dữ liệu với định\r\ndanh người đảm bảo
\r\n\r\nPhân cấp từ: FDP_DAU.1 Xác thực dữ liệu cơ\r\nsở.
\r\n\r\nCác mối phụ thuộc: FIA_UID.1 Định thời cho\r\nđịnh danh.
\r\n\r\n10.3.7.1. FDP_DAU.2.1
\r\n\r\nTSF cần cung cấp khả năng tạo chứng cứ mà có\r\nthể được sử dụng như sự đảm bảo của xác định tính hợp lệ của [chỉ định: danh\r\nsách của các đối tượng hoặc các kiểu thông tin].
\r\n\r\n10.3.7.2. FDP_DAU.2.2
\r\n\r\nTSF cần cung cấp [chỉ định: danh sách của các\r\nchủ thể] với khả năng thẩm tra chứng cứ có tính hợp lệ của các thông tin đã xác\r\nđịnh và định danh của người dùng đã tạo ra chứng cứ.
\r\n\r\n10.4.1. Hành xử của họ
\r\n\r\nHọ này định nghĩa các chức năng để xuất dữ liệu\r\nngười dùng ra ngoài TOE như các thuộc tính an toàn của nó và sự bảo vệ không\r\nchỉ được bảo toàn mà còn được bỏ qua khi nó được xuất ra. Nó được quan tâm với\r\ncác giới hạn trong xuất và với sự phối hợp của các thuộc tính an toàn với dữ\r\nliệu người dùng được xuất ra.
\r\n\r\n10.4.2. Phân mức thành phần
\r\n\r\nFDP_ETC.1 xuất dữ liệu người dùng không có\r\ncác thuộc tính an toàn, đòi hỏi TSF thực thi các SFP phù hợp khi xuất ra ngoài\r\ndữ liệu người dùng TSF. Dữ liệu người dùng, được xuất bởi chức năng này được\r\nxuất ra mà không có các thuộc tính an toàn kết hợp với nó.
\r\n\r\nFDP_ETC.2 Xuất dữ liệu người dùng với các\r\nthuộc tính an toàn, đòi hỏi TSF thực thi các SFP phù hợp sử dụng một chức năng\r\nchính xác và đơn nghĩa kết hợp với các thuộc tính an toàn với dữ liệu người\r\ndùng được xuất ra.
\r\n\r\n10.4.3. Quản lý của FDP_ETC.1
\r\n\r\nKhông có các hoạt động quản lý nào.
\r\n\r\n10.4.4. Quản lý của FDP_ETC.2
\r\n\r\nCác hành động sau đây có thể xem xét cho các\r\nchức năng quản lý trong FMT:
\r\n\r\na) Các quy tắc kiểm soát xuất bổ sung có thể\r\nđược cấu hình bởi người dùng trong một vai trò định nghĩa trước.
\r\n\r\n10.4.5. Kiểm toán của FDP_ETC.1, FDP_ETC.2
\r\n\r\nCác hành động sau đây có thể được kiểm toán,\r\nnếu FAU_GEN Tạo dữ liệu kiểm toán được đặt trong PP/ST
\r\n\r\na) Tối thiểu: Xuất thành công thông tin.
\r\n\r\nb) Cơ sở: Tất cả các nỗ lực để xuất thông\r\ntin.
\r\n\r\n10.4.6. FDP_ETC.1 Xuất dữ liệu người dùng\r\nkhông có các thuộc tính an toàn
\r\n\r\nPhân cấp từ: Không có các thành phần nào.
\r\n\r\nCác mối phụ thuộc: [FDP_ACC.1 Kiểm soát\r\ntruy nhập tập con, hoặc
\r\n\r\nFDP_ETC.1\r\nKiểm soát luồng thông tin tập con].
\r\n\r\n10.4.6.1. FDP_ETC.1.1
\r\n\r\nTSF cần thực thi [chỉ định: kiểm soát truy\r\nnhập SFP và/hoặc kiểm soát luồng thông tin SFP] khi xuất dữ liệu người dùng,\r\nđược kiểm soát dưới SFP, bên ngoài của TOE.
\r\n\r\n10.4.6.2. FDP_ETC.1.2
\r\n\r\nTSF cần xuất dữ liệu người dùng không có các\r\nthuộc tính an toàn kết hợp với dữ liệu người dùng.
\r\n\r\n10.4.7. FDP_ETC.2 Xuất dữ liệu người dùng với\r\ncác thuộc tính an toàn
\r\n\r\nPhân cấp từ: Không có các thành phần nào.
\r\n\r\nCác mối phụ thuộc: [FDP_ACC.1 Kiểm soát\r\ntruy nhập tập con, hoặc
\r\n\r\nFDP_IFC.1\r\nKiểm soát luồng thông tin tập con]
\r\n\r\n10.4.7.1. FDP_ETC.2.1
\r\n\r\nTSF cần thực thi [chỉ định: kiểm soát truy\r\nnhập SFP và/hoặc kiểm soát luồng thông tin SFP] khi xuất dữ liệu người\r\ndùng, được kiểm soát dưới SFP, bên ngoài của TOE.
\r\n\r\n10.4.7.2. FDP_ETC.2.2
\r\n\r\nTSF cần xuất dữ liệu người dùng với các thuộc\r\ntính an toàn kết hợp với dữ liệu người dùng.
\r\n\r\n10.4.7.3. FDP_ETC.2.3
\r\n\r\nTSF cần đảm bảo rằng các thuộc tính an toàn,\r\nkhi xuất ra ngoài TOE là duy nhất được kết hợp với dữ liệu người dùng được xuất\r\nra.
\r\n\r\n10.4.7.4. FDP_ETC.2.4
\r\n\r\nTSF thực thi các quy tắc sau khi dữ liệu người\r\ndùng được xuất ra từ TOE: [chỉ định: các quy tắc kiểm soát dữ liệu xuất ra bổ\r\nsung].
\r\n\r\n10.5.1. Hành xử của họ
\r\n\r\nHọ này chỉ ra kiểm soát luồng thông tin SFPs\r\n(theo tên) và định nghĩa phạm vi kiểm soát của mỗi chính sách kiểm soát luồng\r\nthông tin SFP. Phạm vi kiểm soát được biểu diễn với ba tập: Các chủ thể chịu sự\r\nkiểm soát của chính sách, thông tin dưới sự kiểm soát của chính sách và các\r\nhoạt động gây ra chuyển luồng thông tin có kiểm soát ra và vào chủ thể kiểm soát\r\nbao trùm bởi chính sách. Các tiêu chí cho phép nhiều chính sách tồn tại, mỗi\r\ncái có một tên duy nhất. Điều này thực hiện bằng việc lặp lại các thành phần từ\r\nhọ này với mỗi chính sách kiểm soát luồng thông tin đã đặt tên. Các quy tắc\r\nđịnh nghĩa các chức năng của kiểm soát luồng thông tin SFP sẽ được định nghĩa\r\nbởi các họ khác như các chức năng kiểm soát luồng thông tin (FDP_IFF) và Xuất\r\ndữ liệu ra ngoài TOE (FDP_ETC). Tên của kiểm soát luồng thông tin SFP xác định\r\nchính sách kiểm soát luồng thông tin (FDP_IFC) có nghĩa là được sử dụng liên\r\ntục phần còn lại của các thành phần chức năng mà có một hoạt động gọi phép ấn\r\nđịnh hoặc phép chọn của "kiểm soát luồng thông tin SFP".
\r\n\r\nCơ chế TSF kiểm soát luồng tin phù hợp với\r\nchính sách kiểm soát luồng thông tin SFP. Các hoạt động mà có thể thay đổi các\r\nthuộc tính an toàn của thông tin là không được phép nói chung, do điều đó sẽ\r\nphá hoại việc kiểm soát luồng thông tin SFP. Mặc dù các hoạt động như thế sẽ\r\nđược giới hạn như các trường hợp ngoại lệ để kiểm soát luồng thông tin nếu được\r\nchỉ ra rõ ràng.
\r\n\r\n10.5.2. Phân mức thành phần
\r\n\r\nFDP_IFC.1 Kiểm soát luồng thông tin tập con,\r\nđòi hỏi mỗi kiểm soát luồng thông tin được chỉ ra SFP được đặt tại vị trí cho\r\ntập con của các hoạt động có thể trong tập con của các luồng thông tin trong\r\nTOE.
\r\n\r\nFDP_IFC.2 Kiểm soát luồng thông tin đầy đủ,\r\nđòi hỏi mỗi kiểm soát luồng thông tin được xác định SFP bao trùm tất cả các\r\nhoạt động trên các chủ thể và thông tin được bao trùm bởi SFP. Nếu các yêu cầu\r\nthêm với tất cả thông tin chuyển tới và hoạt động với TSC được bao trùm ít nhất\r\nbởi một kiểm soát luồng thông tin được xác định SFP. Trong sự kết nối với thành\r\nphần FPT_RVM.1, điều này mang lại khía cạnh "luôn viện dẫn" của giám\r\nsát tham chiếu.
\r\n\r\n10.5.3. Quản lý của FDP_IFC.1, FDP_IFC.2
\r\n\r\nKhông có các hoạt động quản lý nào.
\r\n\r\n10.5.4. Kiểm tra của FDP_IFC.1, FDP_IFC.2
\r\n\r\nKhông có các hoạt động quản lý nào.
\r\n\r\n10.5.5. FDP_IFC.1 Kiểm soát luồng thông tin\r\ntập con
\r\n\r\nPhân cấp từ: Không có các thành phần nào.
\r\n\r\nCác mối phụ thuộc: FDP_IFF.1.1 Các thuộc tính\r\nđơn giản
\r\n\r\n10.5.5.1. FDP_IFC.1.1
\r\n\r\nTSF cần thực thi [chỉ định: kiểm soát\r\nluồng thông tin SFP] trong [chỉ định: danh sách của các chủ thể, thông\r\ntin và các hoạt động mà là nguyên nhân thông tin được kiểm soát chuyển tới và\r\ntừ các chủ thể được kiểm soát bao trùm bởi SFP]
\r\n\r\n10.5.6. FDP_IFC Kiểm soát luồng thông tin đầy\r\nđủ
\r\n\r\nPhân cấp từ: FDP_IFC.1 Kiểm soát luồng thông\r\ntin tập con
\r\n\r\nCác mối phụ thuộc: FDP_IFF Các thuộc tính an\r\ntoàn đơn giản.
\r\n\r\n10.5.6.1. FDP_IFC.2.1
\r\n\r\nTSF cần thực thi [chỉ định: kiểm soát\r\nluồng thông tin SFP] trong [chỉ định: danh sách của các chủ thể và thông tin]\r\nvà tất cả các hoạt động mà là nguyên nhân thông tin chuyển tới và từ các chủ\r\nthể được bao trùm bởi SFP].
\r\n\r\n10.5.6.2. FDP_IFC.2.2
\r\n\r\nTSF cần đảm bảo rằng tất cả các hoạt động mà\r\nlà nguyên nhân bất kỳ thông tin trong TSC được chuyển tới và từ chủ thể trong\r\nTSC được bao trùm bởi kiểm soát luồng thông tin SFP.
\r\n\r\n10.6.1. Hành xử của họ
\r\n\r\nHọ này mô tả các quy tắc cho các chức năng\r\nriêng mà thực hiện kiểm soát luồng thông tin SFP được đặt tên trong chính sách\r\nkiểm soát luồng thông tin (FDP_IFC), mà cũng chỉ ra phạm vi kiểm soát của chính\r\nsách. Nó bao gồm hai kiểu yêu cầu: kiểu thứ nhất đề cập đến chức năng kiểm soát\r\nluồng thông tin và kiểu thứ hai đề cập các luồng thông tin không được phép (ví\r\ndụ các kênh che đậy). Sự phân chia này tăng lên bởi vì các vấn đề liên quan đến\r\ncác luồng thông tin không được phép, trong một số trường hợp nhạy cảm, nó trực\r\ngiao với phần còn lại của kiểm soát luồng thông tin SFP. Theo tính tự nhiên của\r\nchúng phá vỡ kiểm soát luồng thông tin dẫn đến phá hoại chính sách. Do đó,\r\nchúng đòi hỏi các chức năng đặc biệt trong cả việc giới hạn và ngăn chặn sự\r\nxuất hiện của chúng.
\r\n\r\n10.6.2. Phân mức thành phần
\r\n\r\nFDP_IFF.1 Các thuộc tính an toàn đơn giản,\r\nđòi hỏi các thuộc tính an toàn trên thông tin, và trong các chủ thể là nguyên\r\nnhân thông tin chuyển tới và trong các chủ thể mà hành động như là bên nhận\r\nthông tin đó. Nó chỉ ra các quy tắc này cần được thực thi bởi chức năng và mô\r\ntả các thuộc tính an toàn được lấy từ chức năng như thế nào.
\r\n\r\nFDP_IFF.2 Các thuộc tính an toàn phân cấp mở\r\nrộng các yêu cầu của FDP_IFF.1 Các thuộc tính an toàn đơn giản, bằng cách đòi\r\nhỏi tất cả SFP kiểm soát luồng thông tin trong tập các SFP sử dụng các thuộc\r\ntính an toàn phân cấp tạo thành một lưới mắt cáo (như định nghĩa trong toán\r\nhọc). FDP_IFF.2.6 được dẫn xuất từ các đặc tính của lưới mắt cáo về mặt toán\r\nhọc. Một lưới mắt cáo bao gồm một tập các phần tử với một mối quan hệ đặt hàng\r\nvới thuộc tính đã định nghĩa ở dòng đầu tiên; một giới hạn dưới lớn nhất mà tại\r\nđó phần tử duy nhất trong tập lớn hơn hay bằng (trong mối quan hệ đặt hàng) với\r\nmọi phần tử khác của lưới mắt cáo; và một giới hạn trên bé nhất mà tại đó phần\r\ntử duy nhất trong tập nhỏ hơn hoặc bằng với mọi phần tử khác của lưới mắt cáo.
\r\n\r\nFDP_IFF.3 Giới hạn các luồng thông tin bất\r\nhợp pháp, đòi hỏi SFP bao trùm các luồng thông tin bất hợp pháp, song không cần\r\nthiết phải loại trừ chúng.
\r\n\r\nFDP_IFF.4 Loại trừ từng phần các luồng thông\r\ntin bất hợp pháp, đòi hỏi SFP bao trùm một số (nhưng không cần thiết là tất cả)\r\ncác luồng thông tin bất hợp pháp.
\r\n\r\nFDP_IFF.5 Không chứa các luồng thông tin bất\r\nhợp pháp, đòi hỏi SFP bao trùm phần loại trừ của tất cả các luồng thông tin bất\r\nhợp pháp.
\r\n\r\nFDP_IFF.6 Giám sát các luồng thông tin bất\r\nhợp pháp, đòi hỏi SFP giám sát các luồng thông tin bất hợp pháp về khả năng tối\r\nđa và danh nghĩa.
\r\n\r\n10.6.3. Quản lý của FDP_IFF.1, FDP_IFF.2
\r\n\r\nCác hành động sau đây có thể xem xét cho các\r\nchức năng quản lý trong FMT:
\r\n\r\na) Quản lý các thuộc tính sử dụng để thực\r\nhiện các quyết định dựa trên truy nhập.
\r\n\r\n10.6.4. Quản lý của FDP_IFF.3, FDP_IFF.4,\r\nFDP_IFF.5
\r\n\r\nKhông có các hoạt động quản lý nào.
\r\n\r\n10.6.5. Quản lý của FDP_IFF.6
\r\n\r\nCác hành động sau đây có thể xem xét cho các\r\nchức năng quản lý trong FMT:
\r\n\r\na) Bật hoặc tắt chức năng giám sát
\r\n\r\nb) Thay đổi khả năng tối đa khi có sự giảm\r\nsát xuất hiện.
\r\n\r\n10.6.6. Kiểm toán của FDP_IFF.1, FDP_IFF.2,\r\nFDP_IFF.5
\r\n\r\nCác hành động sau đây có thể được kiểm toán,\r\nnếu FAU_GEN Tạo dữ liệu kiểm toán được đặt trong PP/ST:
\r\n\r\na) Tối thiểu: Các quyết định cho phép các\r\nluồng thông tin được yêu cầu
\r\n\r\nb) Cơ sở: Tất cả các quyết định dựa trên các\r\nđòi hỏi về luồng thông tin.
\r\n\r\nc) Chi tiết: Các thuộc tính an toàn đặc biệt sử\r\ndụng để ra quyết định về thực thi luồng thông tin.
\r\n\r\nd) Chi tiết: Một vài tập con đặc biệt của\r\nthông tin được đưa đến dựa trên các đích chính sách (ví dụ Kiểm tra về vật liệu\r\nđánh giá thấp)
\r\n\r\n10.6.7. Kiểm toán của FDP_IFF.3, FDP_IFF.4,\r\nFDP_IFF.6
\r\n\r\nCác hành động sau đây có thể được kiểm toán,\r\nnếu FAU_GEN Tạo dữ liệu kiểm toán được đặt trong PP/ST:
\r\n\r\na) Tối thiểu: Các quyết định cho phép các\r\nluồng thông tin được yêu cầu
\r\n\r\nb) Cơ sở: Tất cả các quyết định dựa trên các\r\nđòi hỏi về luồng thông tin
\r\n\r\nc) Cơ sở: Sử dụng các kênh luồng thông tin\r\nkhông hợp pháp được xác định
\r\n\r\nd) Chi tiết: Các thuộc tính an toàn đặc biệt\r\nsử dụng để ra quyết định về thực thi luồng thông tin.
\r\n\r\ne) Chi tiết: Một vài tập con đặc biệt của\r\nthông tin được đưa đến dựa trên các đích chính sách (ví dụ Kiểm tra về vật liệu\r\nđánh giá thấp).
\r\n\r\nf) Chi tiết: Sử dụng các kênh luồng thông tin\r\nkhông hợp pháp được xác định với khả năng loại trừ tối đa vượt quá một giá trị\r\ndanh nghĩa.
\r\n\r\n10.6.8. FDP_IFF.1 Các thuộc tính an toàn đơn\r\ngiản
\r\n\r\nPhân cấp từ: Không có các thành phần nào.
\r\n\r\nCác mối phụ thuộc: FDP_IFC.1 Kiểm soát\r\nluồng thông tin tập con
\r\n\r\nFMT_MSA.3\r\nKhởi tạo thuộc tính tĩnh
\r\n\r\n10.6.8.1. FDP_IFF.1.1
\r\n\r\nTSF cần thực thi [chỉ định: Kiểm soát\r\nluồng thông tin SFP] dựa trên các kiểu chủ thể và các thuộc tính an toàn\r\nthông tin sau: [chỉ định: danh sách các chủ thể và thông tin được kiểm soát\r\ndưới SFP được chỉ ra và với mỗi cái có các thuộc tính an toàn].
\r\n\r\n10.6.8.2. FDP_IFF.1.2
\r\n\r\nTSF cần cho phép thông tin đến từ giữa các\r\nchủ thể được kiểm soát và thông tin được kiểm soát qua hoạt động kiểm soát nếu\r\ncác quy tắc sau được thực hiện: [chỉ định: với mỗi hoạt động, mối quan hệ\r\ndựa trên các thuộc tính an toàn cần phải áp dụng giữa chủ thể và các thuộc tính\r\nan toàn thông tin].
\r\n\r\n10.6.8.3. FDP_IFF.1.3
\r\n\r\nTSF cần thực thi [chỉ định: các quy tắc\r\nkiểm soát luồng thông tin SFP bổ sung]
\r\n\r\n10.6.8.4. FDP_IFF.1.4
\r\n\r\nTSF cần cấp phép rõ ràng một luồng thông tin\r\ndựa trên những quy tắc sau đây: [chỉ định: các quy tắc, dựa theo các thuộc\r\ntính an toàn, cấp phép rõ ràng cho các luồng thông tin].
\r\n\r\n10.6.8.5. FDP_IFF.1.5
\r\n\r\nTSF cần cấp phép rõ ràng một luồng thông tin dựa\r\ntrên những quy tắc sau đây: [chỉ định: các quy tắc, dựa theo các thuộc tính an toàn,\r\ntừ chối rõ ràng các luồng thông tin].
\r\n\r\n10.6.9. FDP_IFF.2 Các thuộc tính an toàn phân\r\ncấp
\r\n\r\nPhân cấp: FDP_IFF.1 Các thuộc tính an toàn\r\nđơn giản.
\r\n\r\nCác mối phụ thuộc: FDP_IFC.1 Kiểm soát\r\nluồng thông tin tập con
\r\n\r\nFMT_MSA.3\r\nKhởi tạo thuộc tính tĩnh
\r\n\r\n10.6.9.1. FDP_IFF.2.1
\r\n\r\nTSF cần thực thi [chỉ định: kiểm soát\r\nluồng thông tin SFP] dựa trên các kiểu chủ thể và các thuộc tính an toàn\r\nthông tin sau: [chỉ định: danh sách các chủ thể và thông tin được kiểm soát\r\ndưới SFP được chỉ ra và với mỗi cái có các thuộc tính an toàn].
\r\n\r\n10.6.9.2. FDP_IFF.2.2
\r\n\r\nTSF cần cho phép thông tin đến từ giữa các\r\nchủ thể được kiểm soát và thông tin được kiểm soát qua hoạt động kiểm soát nếu\r\ncác quy tắc sau, dựa theo mối quan hệ đặt hàng giữa các thuộc tính an toàn,\r\nđược thực hiện: [chỉ định: với mỗi hoạt động, mối quan hệ dựa trên các thuộc\r\ntính an toàn cần phải áp dụng giữa chủ thể và các thuộc tính an toàn thông tin].
\r\n\r\n10.6.9.3. FDP_IFF.2.3
\r\n\r\nTSF cần thực thi [chỉ định: các quy tắc kiểm\r\nsoát luồng thông tin SFP bổ sung]
\r\n\r\n10.6.9.4. FDP_IFF.2.4
\r\n\r\nTSF cần cấp phép rõ ràng một luồng thông tin\r\ndựa trên những quy tắc sau đây: [chỉ định: các quy tắc, dựa theo các thuộc\r\ntính an toàn, cấp phép rõ ràng cho các luồng thông tin].
\r\n\r\n10.6.9.5. FDP_IFF.2.5
\r\n\r\nTSF cần từ chối rõ ràng một luồng thông tin\r\ndựa trên những quy tắc sau đây: [chỉ định: các quy tắc dựa theo các thuộc\r\ntính an toàn, từ chối rõ ràng các luồng thông tin].
\r\n\r\n10.6.9.6. FDP_IFF.2.6
\r\n\r\na) Tồn tại một chức năng yêu cầu sao cho với\r\nhai thuộc tính an toàn hợp lệ, thì chức năng này sẽ quyết định các thuộc tính\r\nan toàn giống nhau, hoặc một thuộc tính an toàn lớn hơn cái còn lại, hoặc các\r\nthuộc tính an toàn không thể so sánh được.
\r\n\r\nb) Tồn tại "biên trên nhỏ nhất"\r\ntrong tập các thuộc tính an toàn, sao cho, với bất kỳ hai thuộc tính an toàn\r\nhợp lệ nào, sẽ có một thuộc tính an toàn hợp lệ lớn hơn hoặc bằng hai thuộc\r\ntính an toàn hợp lệ kia, và
\r\n\r\nc) Tồn tại một "biên dưới lớn nhất"\r\ntrong tập các thuộc tính an toàn, sao cho, với bất kỳ hai thuộc tính an toàn\r\nhợp lệ nào, sẽ có một thuộc tính an toàn hợp lệ không lớn hơn hai thuộc tính an\r\ntoàn hợp lệ kia.
\r\n\r\n10.6.10. FDP_IFF.3 Giới hạn các luồng thông\r\ntin bất hợp pháp
\r\n\r\nPhân cấp từ: Không có các thành phần nào.
\r\n\r\nCác mối phụ thuộc: FDP_IFC.1 Kiểm soát luồng\r\nthông tin tập con
\r\n\r\n10.6.10.1. FDP_IFF.3.1
\r\n\r\nTSF cần thực thi [chỉ định: kiểm soát\r\nluồng thông tin SFP] để giới hạn khả năng của [chỉ định: các kiểu luồng\r\nthông tin bất hợp pháp] đến một [chỉ định: khả năng tối đa].
\r\n\r\n10.6.11. FDP_IFF.4 Loại trừ từng phần các\r\nluồng thông tin bất hợp pháp
\r\n\r\nPhân cấp từ: FDP_IFF.2 Giới hạn các luồng\r\nthông tin bất hợp pháp.
\r\n\r\nCác mối phụ thuộc: FDP_IFF.1 Kiểm soát luồng\r\nthông tin tập con.
\r\n\r\n10.6.11.1. FDP_IFF.4.1
\r\n\r\nTSF cần thực thi [chỉ định: Kiểm soát\r\nluồng thông tin SFP] để giới hạn khả năng của [chỉ định: các kiểu luồng\r\nthông tin bất hợp pháp] đến một [chỉ định: khả năng tối đa].
\r\n\r\n10.6.11.2. FDP_IFF.4.2
\r\n\r\nTSF cần ngăn chặn [chỉ định: các kiểu\r\nluồng thông tin bất hợp pháp]
\r\n\r\n10.6.12. FDP_IFF.5 Không có các luồng thông\r\ntin bất hợp pháp
\r\n\r\nPhân cấp từ: FDP_IFF.4 Loại trừ từng phần các\r\nluồng thông tin bất hợp pháp.
\r\n\r\nCác mối phụ thuộc: FDP_IFC.1 Kiểm soát luồng\r\nthông tin tập con.
\r\n\r\n10.6.12.1. FDP_IFF.5.1
\r\n\r\nTSF cần đảm bảo rằng không có luồng thông tin\r\nbất hợp pháp tồn tại để phá hỏng [chỉ định: tên của kiểm soát luồng thông\r\ntin SFP]
\r\n\r\n10.6.13. FDP_IFF.6
\r\n\r\nTSF cần thực thi [chỉ định: Kiểm soát\r\nluồng thông tin SFP] để giám sát [chỉ định: các kiểu luồng thông tin\r\nkhông hợp pháp] khi nó vượt quá [chỉ định: khả năng tối đa]
\r\n\r\n10.7.1. Hành xử của họ
\r\n\r\nHọ này định nghĩa các cơ chế để đưa dữ liệu\r\nngười dùng vào trong TOE như vậy nó có các thuộc tính an toàn tương ứng và được\r\nbảo vệ phù hợp. Nó được quan tâm với các giới hạn trong nhập, quyết định các\r\nthuộc tính an toàn mong muốn và trình bày các thuộc tính an toàn kết hợp với dữ\r\nliệu người dùng.
\r\n\r\n10.7.2. Phân mức thành phần
\r\n\r\nFDP_ITC.1 Nhập dữ liệu người dùng không có\r\ncác thuộc tính an toàn, đòi hỏi các thuộc tính an toàn biểu diễn chính xác dữ\r\nliệu người dùng và được hỗ trợ phân tách từ đối tượng này.
\r\n\r\nFDP_ITC.2 Nhập dữ liệu người dùng với các\r\nthuộc tính an toàn, đòi hỏi các thuộc tính an toàn biểu diễn chính xác dữ liệu\r\nngười dùng và kết hợp chính xác và rõ ràng với dữ liệu người dùng từ bên ngoài\r\nTSC.
\r\n\r\n10.7.3. Quản lý của FDP_ITC.1, FDP_ITC.2
\r\n\r\nCác hành động sau đây có thể xem xét cho các\r\nchức năng quản lý trong FMT:
\r\n\r\na) Thay đổi các quy tắc kiểm soát bổ sung sử\r\ndụng cho nhập dữ liệu.
\r\n\r\n10.7.4. Kiểm toán của FDP_ITC.1, FDP_ITC.2
\r\n\r\nCác hành động sau đây có thể được kiểm toán,\r\nnếu FAU_GEN Tạo dữ liệu kiểm toán an toàn chứa trong PP/ST:
\r\n\r\na) Tối thiểu: nhập vào thành công dữ liệu\r\nngười dùng, bao gồm bất kỳ các thuộc tính an toàn nào
\r\n\r\nb) Cơ sở: Tất cả các nỗ lực để nhập vào dữ\r\nliệu người dùng, bao gồm bất kỳ các thuộc tính an toàn nào.
\r\n\r\nc) Chi tiết: Các đặc tả của các thuộc tính an\r\ntoàn cho dữ liệu an toàn được nhập vào được quy định bởi người dùng có ủy\r\nquyền.
\r\n\r\n10.7.5. FDP_ITC.1 Nhập dữ liệu người dùng\r\nkhông có các thuộc tính an toàn
\r\n\r\nPhân cấp từ: Không có các thành phần nào.
\r\n\r\nCác mối phụ thuộc: [FDP_ACC.1 Kiểm soát\r\ntruy cập tập con, hoặc
\r\n\r\nFDP_IFC.1\r\nKiểm soát luồng thông tin tập con
\r\n\r\nFMT_MSA.3\r\nKhởi tạo các thuộc tính tĩnh
\r\n\r\n10.7.5.1. FDP_ITC.1.1
\r\n\r\nTSF cần thực thi [chỉ định: kiểm soát truy\r\nnhập SFP và/hoặc kiểm soát luồng thông tin SFP] khi nhập dữ liệu người\r\ndùng, kiểm soát dưới SFP, từ bên ngoài TOE.
\r\n\r\n10.7.5.2. FDP_ITC.1.2
\r\n\r\nTSF cần bỏ qua bất kỳ các thuộc tính an toàn\r\nnào kết hợp với dữ liệu người dùng khi nhập dữ liệu người dùng từ bên ngoài\r\nTOE.
\r\n\r\n10.7.5.3. FDP_ITC.1.3
\r\n\r\nTSF cần thực thi các quy tắc sau đây khi nhập\r\ndữ liệu người dùng được kiểm soát dưới SFP từ bên ngoài của TSC: [chỉ định: các\r\nquy tắc kiểm soát bổ sung]
\r\n\r\n10.7.6. FDP_ITC.2 Nhập dữ liệu người dùng với\r\ncác thuộc tính an toàn
\r\n\r\nPhân cấp từ: Không có các thành phần nào.
\r\n\r\nCác mối phụ thuộc: [FDP_ACC.1 Kiểm soát\r\ntruy nhập tập con, hoặc
\r\n\r\nFDP_IFC.1\r\nKiểm soát luồng thông tin tập con]
\r\n\r\n[FTP_ITC.1\r\nKênh tin cậy liên-TSF, hoặc
\r\n\r\nFTP_TRP.1\r\nđường dẫn tin cậy]
\r\n\r\nFPT_TDC.1\r\nNhất quán dữ liệu TSF cơ bản liên-TSF
\r\n\r\n10.7.6.1. FDP_ITC.2.1
\r\n\r\nTSF cần thực thi [chỉ định: kiểm soát truy\r\nnhập SFP và/hoặc kiểm soát luồng thông tin SFP] khi nhập dữ liệu người dùng,\r\nđược kiểm soát dưới SFP, từ bên ngoài của TOE.
\r\n\r\n10.7.6.2. FDP_ITC.2.2
\r\n\r\nTSF cần sử dụng các thuộc tính an toàn kết\r\nhợp với dữ liệu người dùng được nhập vào.
\r\n\r\n10.7.6.3. FDP_ITC.2.3
\r\n\r\nTSF cần đảm bảo rằng giao thức sử dụng để\r\ncung cấp với sự kết hợp rõ ràng giữa các thuộc tính an toàn và dữ liệu người\r\ndùng nhận được.
\r\n\r\n10.7.6.4. FDP_ITC.2.4
\r\n\r\nTSF cần đảm bảo rằng việc biểu diễn các thuộc\r\ntính an toàn của dữ liệu người dùng được nhập vào như là nguồn dữ liệu người\r\ndùng dự định.
\r\n\r\n10.7.6.5. FDP_ITC.2.5
\r\n\r\nTSF cần thực thi các quy tắc sau đây khi nhập\r\ndữ liệu người dùng được kiểm soát dưới SFP từ bên ngoài TSC: [chỉ định: các\r\nquy tắc kiểm soát nhập bổ sung].
\r\n\r\n10.8.1. Hành xử của họ
\r\n\r\nHọ này quy định các yêu cầu đề cập đến bảo vệ\r\ndữ liệu người dùng khi nó được chuyển giao giữa các phần của TOE qua một kênh\r\nbên trong. Điều này có thể trái ngược với các họ Bảo vệ vận chuyển bí mật dữ\r\nliệu người dùng liên - TSF (FDP_UCT) và Bảo vệ vận chuyển toàn vẹn dữ liệu\r\nngười dùng liên-TSF (FDP_UIT), cung cấp tính năng bảo vệ dữ liệu người dùng khi\r\nvận chuyển chúng giữa các TSF khác nhau qua các kênh bên ngoài, và Xuất dữ liệu\r\ntừ TOE (FDP_ETC), Nhập dữ liệu từ bên ngoài TOE (FDP_ITC) đề cập đến việc vận\r\nchuyển trung gian TSF cho dữ liệu ra khỏi TOE và từ bên ngoài vào TOE.
\r\n\r\n10.8.2. Phân mức thành phần
\r\n\r\nFDP_ITT.1 Bảo vệ vận chuyển nội bộ cơ sở, đòi\r\nhỏi dữ liệu người dùng được bảo vệ khi truyền giữa các phần của TOE.
\r\n\r\nFDP_ITT.2 Phân chia truyền tải theo thuộc\r\ntính, đòi hỏi phân chia dữ liệu dựa trên giá trị của các thuộc tính liên\r\nquan-SFP trong thành phần đầu tiên được bổ sung.
\r\n\r\nFDP_ITT.3 Giám sát toàn vẹn, đòi hỏi TSF giám\r\nsát dữ liệu người dùng được truyền giữa các phần của TOE với các lỗi toàn vẹn\r\ndữ liệu được chỉ ra.
\r\n\r\nFDP_ITT.4 Giám sát toàn vẹn dựa trên các\r\nthuộc tính, mở rộng đến thành phần thứ ba với việc cho phép định dạng giám sát\r\ntoàn vẹn về khác biệt của các thuộc tính SFP liên quan.
\r\n\r\n10.8.3. Quản lý của FDP_ITT.1, FDP_ITT.2
\r\n\r\nCác hành động sau đây có thể xem xét cho các\r\nchức năng quản lý trong FMT:
\r\n\r\na) Nếu TSF quy định nhiều phương pháp để bảo\r\nvệ dữ liệu người dùng trong thời gian truyền giữa các phần vật lý được phân\r\ntách bởi TOE, TSF có thể đưa ra các tập phân vai được định nghĩa trước với khả\r\nnăng lựa chọn phương pháp sẽ được sử dụng.
\r\n\r\n10.8.4. Quản lý của FDP_ITT.3, FDP_ITT.4
\r\n\r\nCác hành động sau đây có thể xem xét cho các\r\nchức năng quản lý trong FMT:
\r\n\r\na) Đặc tả của các hoạt động được thực hiện\r\ndựa trên phát hiện lỗi toàn vẹn có thể được cấu hình
\r\n\r\n10.8.5. Kiểm toán của FDP_ITT.1, FDP_ITT.2
\r\n\r\nCác hành động sau đây có thể được kiểm toán,\r\nnếu FAU_GEN Tạo dữ liệu kiểm toán an toàn chứa trong PP/ST:
\r\n\r\na) Tối thiểu: các chuyển giao thành công dữ\r\nliệu người dùng, bao gồm xác định phương pháp bảo vệ được sử dụng.
\r\n\r\nb) Cơ sở: Tất cả các nỗ lực để chuyển giao dữ\r\nliệu người dùng, bao gồm phương pháp bảo vệ được sử dụng và bất kỳ lỗi nào xuất\r\nhiện.
\r\n\r\n10.8.6. Kiểm toán của FDP_ITT.3, FDP_ITT.4
\r\n\r\nCác hành động sau đây có thể được kiểm toán,\r\nnếu FAU_GEN Tạo dữ liệu kiểm toán an toàn chứa trong PP/ST:
\r\n\r\na) Tối thiểu: các chuyển giao thành công dữ\r\nliệu người dùng, bao gồm xác định phương pháp bảo vệ toàn vẹn được sử dụng.
\r\n\r\nb) Cơ sở: Tất cả các nỗ lực để chuyển giao dữ\r\nliệu người dùng, bao gồm phương pháp bảo vệ toàn vẹn được sử dụng và bất kỳ lỗi\r\nnào xuất hiện.
\r\n\r\nc) Cơ sở: Các nỗ lực không được ủy quyền để\r\nthay đổi phương pháp bảo vệ toàn vẹn.
\r\n\r\nd) Chi tiết: Hành động được thực hiện dựa\r\ntrên phát hiện về lỗi toàn vẹn.
\r\n\r\n10.8.7. FDP_ITT.1 Bảo vệ vận chuyển nội bộ cơ\r\nsở
\r\n\r\nPhân cấp từ: Không có các thành phần nào.
\r\n\r\nCác mối phụ thuộc: [FDP_ACC.1 Kiểm soát\r\ntruy nhập tập con, hoặc
\r\n\r\nFDP_IFC.1\r\nKiểm soát luồng thông tin tập con]
\r\n\r\n10.8.7.1. FDP_ITT.1.1
\r\n\r\nTSF cần thực thi [chỉ định: kiểm soát truy\r\nnhập SFP và/hoặc kiểm soát luồng thông tin SFP] để ngăn chặn [lựa chọn: phơi\r\nbày, thay đổi, không sử dụng được] với dữ liệu người dùng khi nó được\r\ntruyền giữa các phần vật lý phân tách của TOE.
\r\n\r\n10.8.8. FDP_ITT.2 Phân tách truyền tải bởi\r\ncác thuộc tính
\r\n\r\nPhân cấp từ: FDP_ITT.1 Bảo vệ vận chuyển nội\r\nbộ cơ sở
\r\n\r\nCác mối phụ thuộc: [FDP_ACC.1 Kiểm soát\r\ntruy nhập tập con, hoặc
\r\n\r\nFDP_IFC.1\r\nKiểm soát luồng thông tin tập con]
\r\n\r\n10.8.8.1. FDP_ITT.2.1
\r\n\r\nTSF cần thực thi [chỉ định: kiểm soát truy\r\nnhập SFP và/hoặc kiểm soát luồng thông tin SFP] để ngăn chặn [lựa chọn: phơi\r\nbày, thay đổi, không sử dụng được] với dữ liệu người dùng khi nó được truyền\r\ngiữa các phần vật lý phân tách của TOE.
\r\n\r\n10.8.8.2. FDP_ITT.2.2
\r\n\r\nTSF cần phân tách dữ liệu kiểm soát bởi SFP\r\nkhi truyền tải các thành phần của TOE, dựa trên các giá trị sau: [chỉ định: các\r\nthuộc tính an toàn đòi hỏi phân tách].
\r\n\r\n10.8.9. FDP_ITT.3 Giám sát toàn vẹn
\r\n\r\nPhân cấp từ: Không có các thành phần nào.
\r\n\r\nCác mối phụ thuộc: [FDP_ACC.1 Kiểm soát\r\ntruy nhập tập con, hoặc
\r\n\r\nFDP_IFC.1\r\nKiểm soát luồng thông tin tập con]
\r\n\r\nFDP_ITT.1\r\nBảo vệ vận chuyển nội bộ cơ sở
\r\n\r\n10.8.9.1. FDP_ITT.3.1
\r\n\r\nTSF cần thực thi [chỉ định: Kiểm soát truy\r\nnhập SFP và/hoặc kiểm soát luồng thông tin SFP] thông qua giám sát dữ liệu\r\nngười dùng được truyền giữa các phần vật lý phân tách của TOE theo các lỗi sau:\r\n[chỉ định: các lỗi toàn vẹn].
\r\n\r\n10.8.9.2. FDP_ITT.3.2
\r\n\r\nDựa trên các phát hiện về toàn vẹn dữ liệu,\r\nTSF cần [chỉ định: chỉ ra các hành động được thực hiện dựa trên lỗi toàn vẹn\r\ndữ liệu].
\r\n\r\n10.8.10. FDP_ITT.4 Giám sát toàn vẹn dựa trên\r\nthuộc tính
\r\n\r\nPhân cấp từ FDP_ITT.3 giám sát toàn vẹn
\r\n\r\nCác mối phụ thuộc: [FDP_ACC.1 Kiểm soát\r\ntruy nhập tập con, hoặc
\r\n\r\nFDP_IFC.1\r\nKiểm soát luồng thông tin tập con]
\r\n\r\nFDP_ITT.2\r\nPhân tách truyền theo thuộc tính
\r\n\r\n10.8.10.1. FDP_ITT.4.1
\r\n\r\nTSF cần thực thi [chỉ định: Kiểm soát truy\r\nnhập SFP và/hoặc kiểm soát luồng thông tin SFP] thông qua giám sát dữ liệu người\r\ndùng được truyền giữa các phần vật lý phân tách của TOE theo các lỗi sau: [chỉ\r\nđịnh: các lỗi toàn vẹn], dựa theo các thuộc tính sau: [chỉ định: các\r\nthuộc tính an toàn đòi hỏi phân tách truyền kênh].
\r\n\r\n10.8.10.2. FDP_ITT.4.2
\r\n\r\nDựa trên các phát hiện về toàn vẹn dữ liệu,\r\nTSF cần [chỉ định: chỉ ra các hành động được thực hiện dựa trên lỗi toàn vẹn\r\ndữ liệu].
\r\n\r\n10.9.1. Hành xử của họ
\r\n\r\nHọ này đề cập đến sự cần thiết đảm bảo rằng\r\ncác thông tin bị xóa sẽ không thể truy nhập sau đó, và các đối tượng được tạo\r\ngần nhất không chứa các thông tin mà không thể truy nhập. Họ này đòi hỏi bảo vệ\r\nthông tin được xóa hoặc giải phóng lô-gic, nhưng vẫn có thể được biểu diễn bên\r\ntrong tài nguyên có kiểm soát của TSF và do vậy có thể được cấp phát lại cho\r\nđối tượng khác.
\r\n\r\n10.9.2. Phân mức thành phần
\r\n\r\nFDP_RIP.1 Bảo vệ thông tin dư thừa tập con,\r\nyêu cầu TSF đảm bảo rằng bất kỳ nội dung thông tin dư thừa nào của bất kỳ nguồn\r\nnào là không sẵn sàng với một tập con được định nghĩa của các đối tượng trong\r\nTSC dựa trên cấp phát hoặc hủy cấp phát tài nguyên.
\r\n\r\nFDP_RIP.2 Bảo vệ thông tin dư thừa đầy đủ,\r\nyêu cầu TSF đảm bảo rằng bất kỳ nội dung thông tin dư thừa của bất kỳ nguồn nào\r\nlà không sẵn sàng với tất cả các đối tượng dựa trên cấp phát hoặc hủy cấp phát tài\r\nnguyên.
\r\n\r\n10.9.3. Quản lý của FDP_RIP.1, FDP_RIP.2
\r\n\r\nCác hành động sau đây có thể xem xét cho các\r\nchức năng quản lý trong FMT:
\r\n\r\na) Lựa chọn khi thực hiện bảo vệ thông tin dư\r\nthừa (ví dụ dựa trên cấp phát hoặc hủy cấp phát) có thể được cấu hình bên trong\r\nTOE
\r\n\r\n10.9.4. Kiểm toán của FDP_RIP.1, FDP_RIP.2
\r\n\r\nKhông có sự kiện có thể kiểm toán nào.
\r\n\r\n10.9.5. FDP_RIP.1 Bảo vệ thông tin dư thừa\r\ntập con
\r\n\r\nPhân cấp từ: Không có các thành phần nào.
\r\n\r\nCác mối phụ thuộc: Không có mối phụ thuộc\r\nnào.
\r\n\r\n10.9.5.1. FDP_RIP.1.1
\r\n\r\nTSF cần đảm bảo rằng bất kỳ nội dung thông\r\ntin trước đó của một tài nguyên được thực hiện không sẵn sàng [chỉ định: cấp\r\nphát của tài nguyên cho, hủy cấp phát của tài nguyên từ] theo các đối\r\ntượng: [chỉ định: danh sách của các đối tượng]
\r\n\r\n10.9.6. FDP_RIP.2 Bảo vệ thông tin dư thừa\r\nđầy đủ
\r\n\r\nPhân cấp từ: FDP_RIP.1 Bảo vệ thông tin dư\r\nthừa tập con
\r\n\r\nCác mối phụ thuộc: Không phụ thuộc
\r\n\r\n10.9.6.1. FDP_RIP.2.1
\r\n\r\nTSF cần đảm bảo bất kỳ nội dung thông tin\r\ntrước đó của tài nguyên được thực hiện không sẵn có dựa trên [lựa chọn: cấp\r\nphát tài nguyên cho, hủy cấp phát của các tài nguyên từ] tất cả các đối tượng.
\r\n\r\n\r\n\r\n10.10.1. Hành xử của họ
\r\n\r\nHoạt động khôi phục (rollback) liên quan đến\r\nviệc hoàn lại thao tác hoặc chuỗi các thao tác, được giới hạn bởi một hạn định\r\nví dụ như chu kỳ thời gian, quay trở lại trạng thái biết trước đó. Rollback cho\r\nkhả năng hoàn lại các hiệu ứng của một thao tác hoặc chuỗi thao tác nhằm bảo\r\ntoàn tính toàn vẹn của dữ liệu người dùng.
\r\n\r\n10.10.2. Phân mức thành phần
\r\n\r\nFDP_ROL.1 Trở lại trạng thái trước cơ bản đề\r\ncập đến sự cần thiết hoặc dưới một số giới hạn các hoạt động bên trong các ranh\r\ngiới được định nghĩa.
\r\n\r\nFDP_ROL.2 Trở lại trạng thái trước nâng cao\r\nđề cập đến sự cần thiết quay lại trạng thái trước đó hoặc không thực hiện tất\r\ncả các hoạt động bên trong ranh giới được định nghĩa.
\r\n\r\n10.10.3. Quản lý của FDP_ROL.1, FDP_ROL.2
\r\n\r\nCác hành động sau đây có thể xem xét cho các\r\nchức năng quản lý trong FMT:
\r\n\r\na) Giới hạn biên theo đó việc trở lại trạng\r\nthái trước đó có thể được thực hiện và các mẫu được cấu hình bên trong TOE
\r\n\r\nb) Cho phép thực hiện hoạt động quay lại\r\ntrạng thái trước có thể bị ngăn cản với tập phân vai được định nghĩa tốt.
\r\n\r\n10.10.4. Kiểm toán của FDP_ROL.1, FDP_ROL.2
\r\n\r\nCác hành động sau đây có thể được kiểm toán,\r\nnếu FAU_GEN Tạo dữ liệu kiểm toán an toàn chứa trong PP/ST:
\r\n\r\na) Tối thiểu: tất cả các hoạt động thực hiện\r\nthành công để quay trở lại trạng thái trước đó
\r\n\r\nb) Cơ sở: Tất cả các nỗ lực để thực hiện quay\r\ntrở lại trạng thái trước đó
\r\n\r\nc) Chi tiết: Tất cả các nỗ lực để thực hiện\r\nquay trở lại trạng thái trước đó, bao gồm việc định danh các kiểu thực hiện\r\nquay trở lại trạng thái trước
\r\n\r\n10.10.5. FDP_ROL.1 Khôi phục cơ bản
\r\n\r\nPhân cấp từ: Không có các thành phần nào.
\r\n\r\nCác mối phụ thuộc: [FDP_ACC.1 Kiểm soát\r\ntruy nhập tập con, hoặc
\r\n\r\nFDP_IFC.1\r\nKiểm soát luồng thông tin tập con]
\r\n\r\n10.10.5.1. FDP_ROL.1.1
\r\n\r\nTSF cần thực thi [chỉ định: kiểm soát truy\r\nnhập SFP và/hoặc kiểm soát luồng thông tin SFP] để cho phép khôi phục lại\r\ntrạng thái trước đó của [chỉ định: danh sách các hoạt động] dựa trên\r\n[chỉ định: thông tin và/hoặc danh sách của các đối tượng]
\r\n\r\n10.10.5.2. FDP_ROL.1.2
\r\n\r\nTSF cần cho phép các hoạt động để quay lại\r\ntrạng thái trước đó bên trong [chỉ định: giới hạn biên cho việc khôi phục\r\nlại trạng thái trước đó].
\r\n\r\n10.10.6. FDP_ROL.2 Khôi phục cải tiến
\r\n\r\nPhân cấp từ: FDP_ROL.1 Khôi phục cơ bản
\r\n\r\nCác mối phụ thuộc: [FDP_ACC.1 Kiểm soát\r\ntruy nhập tập con, hoặc
\r\n\r\nFDP_IFC.1\r\nKiềm soát luồng thông tin tập con]
\r\n\r\n10.10.6.1. FDP_ROL.2.1
\r\n\r\nTSF cần thực thi [chỉ định: kiểm soát truy\r\nnhập SFP và/hoặc kiểm soát luồng thông tin SFP] để cho phép khôi phục lại toàn\r\nbộ hoạt động trên [chỉ định: danh sách các đối tượng]
\r\n\r\n10.10.6.2. FDP_ROL.2.2
\r\n\r\nTSF cần cho phép các hoạt động có thể khôi\r\nphục lại trong khoảng [chỉ định: giới hạn biên cho việc khôi phục có thể\r\nthực hiện]
\r\n\r\n10.11.1. Hành xử của họ
\r\n\r\nHọ này quy định các yêu cầu đề cập đến việc\r\nbảo vệ dữ liệu người dùng khi nó được lưu trữ trong TSC. Các lỗi toàn vẹn có\r\nthể ảnh hưởng đến việc lưu trữ dữ liệu người dùng trong bộ nhớ hoặc trong thiết\r\nbị lưu trữ. Họ này khác với chuyển giao TOE nội bộ (FDP_ITT) mà bảo vệ dữ liệu\r\nngười dùng khỏi các lỗi toàn vẹn khi đang được truyền bên trong TOE.
\r\n\r\n10.11.2. Phân mức thành phần
\r\n\r\nFDP_SDI.1 Giám sát toàn vẹn dữ liệu lưu trữ,\r\nđòi hỏi bộ giám sát dữ liệu người dùng SF được lưu trữ trong TSC cho các lỗi\r\ntoàn vẹn được chỉ ra
\r\n\r\nFDP_SDI.2 Giám sát toàn vẹn dữ liệu lưu trữ\r\nvà các hành động thêm vào để bổ sung cho khả năng đến thành phần đầu tiên bởi\r\nviệc cho phép các hoạt động được thực hiện như kết quả của phát hiện lỗi.
\r\n\r\n10.11.3. Quản lý của FDP_SDI.1
\r\n\r\nKhông có các hoạt động quản lý nào.
\r\n\r\n10.11.4. Quản lý của FDP_SDI.2
\r\n\r\nCác hành động sau đây có thể được kiểm toán,\r\nnếu FAU_GEN Tạo dữ liệu kiểm toán an toàn chứa trong PP/ST:
\r\n\r\na) Tối thiểu: Các nỗ lực thành công để soát\r\nxét sự toàn vẹn của dữ liệu người dùng, bao gồm biểu thị của các kết quả soát\r\nxét
\r\n\r\nb) Cơ sở: Tất cả các nỗ lực để soát xét toàn\r\nvẹn của dữ liệu, bao gồm biểu thị của các kết quả soát xét nếu được thực hiện.
\r\n\r\nc) Chi tiết: Kiểu lỗi toàn vẹn mà đã xuất\r\nhiện
\r\n\r\nd) Chi tiết: Các hành động được thực hiện dựa\r\ntrên phát hiện về các lỗi toàn diện.
\r\n\r\n10.11.6. Kiểm toán của FDP_SDI.2
\r\n\r\nCác hành động sau đây có thể được kiểm tra\r\nnếu FAU_GEN Tạo dữ liệu kiểm tra được đặt trong PP/ST:
\r\n\r\ne) Tối thiểu: Các nỗ lực thành công để soát\r\nxét sự toàn vẹn của dữ liệu người dùng, bao gồm biểu thị của các kết quả soát\r\nxét
\r\n\r\nf) Cơ sở: Tất cả các nỗ lực để soát xét sự\r\ntoàn vẹn của dữ liệu, bao gồm biểu thị của các kết quả soát xét nếu được thực\r\nhiện.
\r\n\r\ng) Chi tiết: Kiểu lỗi toàn vẹn mà đã xuất\r\nhiện
\r\n\r\nh) Chi tiết: Các hành động được thực hiện dựa\r\ntrên phát hiện về các lỗi toàn diện.
\r\n\r\n10.11.7. FDP_SDI.1 Giám sát toàn vẹn dữ liệu\r\nlưu trữ
\r\n\r\nPhân cấp từ: Không có các thành phần nào.
\r\n\r\nCác mối phụ thuộc: Không phụ thuộc
\r\n\r\n10.11.7.1. FDP_SDI.1.1
\r\n\r\nTSF cần giám sát dữ liệu người dùng được lưu\r\ntrữ trong TSF cho [chỉ định: các lỗi toàn vẹn] trong tất cả các đối\r\ntượng, dựa trên các thuộc tính sau: [chỉ thị: các thuộc tính dữ liệu người\r\ndùng].
\r\n\r\n10.11.8. FDP_SDI.2 Giám sát toàn vẹn dữ liệu\r\nlưu trữ và hành động
\r\n\r\nPhân cấp từ: FDP_SDI.1 Giám sát toàn vẹn lưu\r\ntrữ dữ liệu
\r\n\r\nCác mối phụ thuộc: không phụ thuộc
\r\n\r\n10.11.8.1. FDP_SDI.2.1
\r\n\r\nTSF cần giám sát dữ liệu người dùng được lưu\r\ntrữ trong TSC cho [chỉ thị: các lỗi toàn vẹn] trên tất cả các đối tượng, dựa\r\ntrên các thuộc tính sau: [chỉ thị: các thuộc tính dữ liệu người dùng]
\r\n\r\n10.11.8.2. FDP_SDI.2.2
\r\n\r\nDựa trên phát hiện về lỗi toàn vẹn dữ liệu,\r\nTSF cần [chỉ thị: hành động được thực hiện]
\r\n\r\n10.12.1. Hành xử của họ
\r\n\r\nHọ này định nghĩa các yêu cầu để đảm bảo sự\r\ntin cậy của dữ liệu người dùng khi nó được chuyển giao sử dụng kênh ngoài giữa\r\ncác TOE khác nhau hoặc người dùng trong các TOE khác nhau.
\r\n\r\n10.12.2. Phân mức thành phần
\r\n\r\nTrong FDP_UCT.1 Trao đổi dữ liệu tin cậy cơ\r\nbản, mục đích đặt ra là bảo vệ chống lại sự khai thác dữ liệu người dùng khi\r\ntruyền.
\r\n\r\n10.12.3. Quản lý của FDP_UCT.1
\r\n\r\nKhông có các hoạt động quản lý nào
\r\n\r\n10.12.4. Kiểm toán của FDP_UCT.1
\r\n\r\nCác hành động sau đây có thể được kiểm toán,\r\nnếu FAU_GEN Tạo dữ liệu kiểm toán an toàn chứa trong PP/ST:
\r\n\r\na) Tối thiểu: Định danh của bất kỳ người dùng\r\nhoặc thực thể nào sử dụng các cơ chế trao đổi dữ liệu.
\r\n\r\nb) Cơ sở: Định danh của bất kỳ người dùng\r\nhoặc thực thể không được ủy quyền nào cố gắng sử dụng các cơ chế trao đổi dữ\r\nliệu.
\r\n\r\nc) Cơ sở: Một tham chiếu đến tên hoặc thông tin\r\nđánh chỉ mục hữu ích khác trong việc xác định dữ liệu người dùng được truyền\r\nhay nhận. Nó bao gồm các thuộc tính an toàn kết hợp với thông tin.
\r\n\r\n10.12.5. FDP_UCT.1 Bí mật trao đổi dữ liệu cơ\r\nbản
\r\n\r\nPhân cấp từ: Không có các thành phần nào
\r\n\r\nCác mối phụ thuộc: [FTP_ICT.1 Kênh tin\r\ncậy TSF, hoặc
\r\n\r\nFTP_TRP.1\r\nĐường dẫn tin cậy]
\r\n\r\n[FDP_ACC.1\r\nKiểm soát truy nhập tập con, hoặc
\r\n\r\nFDP_IFC.1\r\nKiểm soát luồng thông tin tập con]
\r\n\r\n10.12.5.1.FDP_UCT.1.1
\r\n\r\nTSF cần thực thi [chỉ thị: kiểm soát truy\r\nnhập SFP và/hoặc kiểm soát luồng thông tin SFP] có thể [lựa chọn: truyền, nhận]\r\nđến các đối tượng theo cách thức được bảo vệ từ việc khai thác không được cấp\r\nphép.
\r\n\r\n10.13.1. Hành xử của họ
\r\n\r\nHọ này định nghĩa các yêu cầu cho quy định sự\r\ntoàn vẹn của dữ liệu người dùng trong việc truyền giữa TSF và các sản phẩm IT\r\nđược tin cậy khác và khôi phục từ các lỗi có thể được phát hiện. Tại mức tối\r\nthiểu,họ này giám sát sự toàn vẹn của dữ liệu người dùng với các thay đổi. Thêm\r\nvào đó, họ này hỗ trợ các cách khác nhau của việc chỉnh sửa các lỗi toàn vẹn\r\nđược xác định.
\r\n\r\n10.13.2. Phân mức thành phần
\r\n\r\nFDP_UIT.1 Toàn vẹn trao đổi dữ liệu đề cập\r\nđến sự phát hiện các thay đổi, xóa, thêm, lặp lại lỗi trong dữ liệu người dùng\r\nđược truyền.
\r\n\r\nFDP_UIT.2 Khôi phục trao đổi dữ liệu nguồn đề\r\ncập đến việc khôi phục dữ liệu người dùng gốc với việc nhận TSF với sự giúp đỡ\r\ntừ sản phẩm CNTT có nguồn gốc đáng tin cậy.
\r\n\r\nFDP_UIT.3 Khôi phục trao đổi dữ liệu đích đề\r\ncập đến việc khôi phục dữ liệu người dùng với việc nhận TSF của nó mà không có\r\nbất kỳ sự trợ giúp nào từ các sản phẩm IT có nguồn gốc tin cậy.
\r\n\r\n10.13.3. Quản lý của FDP_UIT.1, FDP_UIT.2,\r\nFDP_UIT.3
\r\n\r\nKhông có các hoạt động quản lý nào.
\r\n\r\n10.13.4. Kiểm toán của FDP_UIT.1
\r\n\r\nCác hành động sau đây có thể được kiểm toán,\r\nnếu FAU_GEN Tạo dữ liệu kiểm toán an toàn chứa trong PP/ST:
\r\n\r\na) Tối thiểu: Định danh của bất kỳ người dùng\r\nhoặc thực thể nào sử dụng các cơ chế trao đổi dữ liệu
\r\n\r\nb) Cơ sở: Định danh của bất kỳ người dùng\r\nhoặc cố gắng sử dụng các cơ chế trao đổi dữ liệu, nhưng lại không được ủy quyền\r\nđể làm điều đó.
\r\n\r\nc) Cơ sở: Một tham chiếu đến tên hoặc thông\r\ntin đánh chỉ mục đích hữu ích khác trong việc xác định dữ liệu người dùng được\r\ntruyền hay nhận. Nó bao gồm các thuộc tính an toàn kết hợp với thông tin.
\r\n\r\nd) Cơ sở: bất kỳ nỗ lực xác định nào để ngăn\r\nchặn việc truyền dữ liệu người dùng
\r\n\r\ne) Chi tiết: các kiểu và/hoặc các ảnh hưởng\r\ncủa bất kỳ sự thay đổi được phát hiện trong truyền dữ liệu người dùng.
\r\n\r\n10.13.5. Kiểm toán của FDP_UIT.2, FDP_UIT.3
\r\n\r\nCác hành động sau đây có thể được kiểm tra\r\nnếu FAU_GEN Tạo dữ liệu kiểm tra được đặt trong PP/ST
\r\n\r\na) Tối thiểu: Định danh của bất kỳ người dùng\r\nhoặc thực thể nào sử dụng các cơ chế trao đổi dữ liệu.
\r\n\r\nb) Tối thiểu: Khối phục thành công các lỗi\r\nbao gồm kiểu của lỗi đã được phát hiện
\r\n\r\nc) Cơ sở: Định danh của bất kỳ người dùng\r\nhoặc cố gắng sử dụng các cơ chế trao đổi dữ liệu, nhưng lại không được ủy quyền\r\nđể làm điều đó.
\r\n\r\nd) Cơ sở: Một tham chiếu đến tên hoặc thông\r\ntin đánh chỉ mục hữu ích khác trong việc xác định dữ liệu người dùng được\r\ntruyền hay nhận. Nó bao gồm các thuộc tính an toàn kết hợp với thông tin.
\r\n\r\ne) Cơ sở: bất kỳ nỗ lực xác định nào để ngăn\r\nchặn việc truyền dữ liệu người dùng
\r\n\r\nf) Chi tiết: các kiểu và/hoặc các ảnh hưởng\r\ncủa bất kỳ sự thay đổi được phát hiện trong truyền dữ liệu người dùng.
\r\n\r\n10.13.6. FDP_UIT.1 Toàn vẹn trao đổi dữ liệu
\r\n\r\nPhân cấp từ: Không có các thành phần nào.
\r\n\r\nCác mối phụ thuộc: [FDP_ACC.1 Kiểm soát\r\ntruy nhập tập con, hoặc
\r\n\r\nFDP_IFC.1\r\nKiểm soát luồng thông tin tập con]
\r\n\r\nFDP_UIT.1\r\nToàn vẹn trao đổi dữ liệu, hoặc
\r\n\r\nFTP_ITC.1\r\nKênh tin cậy liên-TSF]
\r\n\r\n10.13.6.1. FDP_UIT.1.1
\r\n\r\nTSF cần thực thi [chỉ định: Kiểm soát truy\r\nnhập SFP và/hoặc kiểm soát luồng thông tin SFP] có thể [lựa chọn: truyền,\r\nnhận] dữ liệu người dùng theo cách thức được bảo vệ từ [lựa chọn: thay\r\nđổi, xóa, chèn, lặp lại] các lỗi.
\r\n\r\n10.13.6.2. FDP_UIT1.2
\r\n\r\nTSF cần có khả năng quyết định nhận dữ liệu\r\nngười dùng, có hay không với [lựa chọn: thay đổi, xóa, thêm, lặp lại]\r\nxuất hiện.
\r\n\r\n10.13.7. FDP_UIT.2 Khôi phục trao đổi dữ liệu\r\ngốc
\r\n\r\nPhân cấp từ: Không có các thành phần nào.
\r\n\r\nCác mối phụ thuộc: [FDP_ACC.1 Kiểm soát\r\ntruy nhập tập con, hoặc
\r\n\r\nFDP_IFC.1\r\nkiểm soát luồng thông tin tập con]
\r\n\r\nFDP_UIT.1\r\nToàn vẹn trao đổi dữ liệu, hoặc
\r\n\r\nFTP_ITC.1\r\nKênh tin cậy liên-TSF]
\r\n\r\n10.13.7.1. FDP_UIT.2.1
\r\n\r\nTSF cần thực thi [chỉ định: kiểm soát truy\r\nnhập SFP và/hoặc kiểm soát luồng thông tin SFP] có thể khôi phục từ [chỉ\r\nthị: danh sách của các lỗi có thể khôi phục] với sự trợ giúp của các sản\r\nphẩm IT có nguồn gốc tin cậy.
\r\n\r\n10.13.8. FDP_UIT.3 Khôi phục trao đổi dữ liệu\r\nđích
\r\n\r\nPhân cấp từ: FDP_UIT khôi phục trao đổi dữ\r\nliệu nguồn
\r\n\r\nCác mối phụ thuộc: [FDP_ACC.1 Kiểm soát\r\ntruy nhập tập con, hoặc
\r\n\r\nFDP_IFC.1\r\nKiểm soát luồng thông tin tập con]
\r\n\r\nFDP_UIT.1\r\nToàn vẹn trao đổi dữ liệu, hoặc
\r\n\r\nFTP_ITC.1\r\nKênh tin cậy liên-TSF]
\r\n\r\n10.13.8.1. FDP_UIT.3.1
\r\n\r\nTSF cần thực thi [chỉ định: kiểm soát truy\r\nnhập SFP và/hoặc kiểm soát luồng thông tin SFP] có thể khôi phục từ [chỉ thị:\r\ndanh sách của các lỗi có thể khôi phục] không có bất kỳ sự trợ giúp nào từ các\r\nsản phẩm IT có nguồn gốc tin cậy.
\r\n\r\nCác họ trong lớp này gửi những yêu cầu cho\r\nnhững chức năng để thiết lập và xác minh một định danh người dùng đã được yêu\r\ncầu.
\r\n\r\nYêu cầu định danh và xác thực để đảm bảo rằng\r\nngười dùng sẽ có các thuộc tính an toàn (ví dụ như: định danh, nhóm, các quy\r\ntắc, các mức an toàn hay toàn vẹn).
\r\n\r\nDanh tính rõ ràng của người dùng có thẩm\r\nquyền và việc kết hợp đúng các thuộc tính an toàn với người dùng và các chủ thể\r\nthen chốt để bắt buộc các chính sách an ninh không mong muốn. Các họ trong lớp\r\nnày đề cập đến việc xác định và xác minh danh tính của người dùng, xác định\r\nngười có thẩm quyền của họ để tương tác với TOE, và với việc kết hợp đúng của\r\ncác thuộc tính an toàn đối với người dùng có thẩm quyền. Các lớp khác của yêu\r\ncầu (bảo vệ dữ liệu người dùng, kiểm toán an toàn) phụ thuộc vào việc định danh\r\nvà xác thực chính xác người dùng thì mới có hiệu lực.
\r\n\r\n![](\"00907947_files/image011.jpg\")
11.1.1. Hành xử của họ
\r\n\r\nHọ này bao gồm các yêu cầu để định nghĩa các\r\ngiá trị cho một vài số lượng thử chứng thực mà không thành công và các hành\r\nđộng TSF trong các trường hợp lỗi thử xác thực. Những tham số, không hạn chế,\r\nbao gồm số lượng thử xác thực bị lỗi và các ngưỡng thời gian.
\r\n\r\n11.1.2. Phân mức thành phần
\r\n\r\nFIA_AFL.1 Xử lý lỗi xác thực, yêu cầu TSF có\r\nthể giới hạn các quá trình thiết lập phiên sau khi xác định được số việc thử\r\nxác thực thất bại. Sau khi giới hạn quá trình thiết lập phiên, nó cũng yêu cầu\r\nTSF có thể khóa tài khoản người dùng hoặc điểm vào (máy trạm) từ lúc thử nghiệm\r\ncho tới khi xảy ra điều kiện mà người quản trị đã định nghĩa.
\r\n\r\n11.1.3. Quản lý của FIA_AFL.1
\r\n\r\nCác hành động sau đây có thể xem xét cho các\r\nchức năng quản lý trong FMT:
\r\n\r\na) Quản lý các ngưỡng của việc thử xác thực\r\nkhông thành công.
\r\n\r\nb) Quản lý các hành động được tạo ra trong sự\r\nkiện của lỗi xác thực.
\r\n\r\n11.1.4. Kiểm toán của FIA_AFL.1
\r\n\r\nCác hành động sau đây có thể được kiểm toán\r\nnếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
\r\n\r\na) Tối thiểu: Đạt được ngưỡng cho việc thử\r\nxác thực không thành công và thực hiện các hành động (khóa đầu cuối), sau đó là\r\nviệc phục hồi trở về trạng thái bình thường (mở lại đầu cuối).
\r\n\r\n11.1.5. Xử lý lỗi xác thực FIA_AFL.1
\r\n\r\nPhân cấp từ: Không có các thành phần nào
\r\n\r\nCác mối phụ thuộc: FIA_UAU.1 Định thời cho\r\nxác thực
\r\n\r\n11.1.5.1. FIA_AFL.1.1
\r\n\r\nTSF cần phát hiện [việc lựa chọn: [ấn định: số\r\nnguyên dương] khi nhà quản trị thiết lập số nguyên dương với điều kiện là\r\n[chỉ định: khoảng giá trị cho phép] và việc thử xác thực không thành\r\ncông xuất hiện liên quan tới [chỉ định: danh sách các sự kiện xác thực].
\r\n\r\n11.1.5.2. FIA_AFL.1.2
\r\n\r\nKhi số lượng việc thử xác thực không thành\r\ncông được xác định hoặc phụ trội thì TSF sẽ thực hiện [chỉ định: danh sách\r\ncác hành động].
\r\n\r\n11.2.1. Hành xử của họ
\r\n\r\nTất cả người dùng có thẩm quyền có thể có một\r\ntập thuộc tính an toàn, những thuộc tính khác định danh người dùng được sử dụng\r\nđể thực thi TSP. Họ này xác định các yêu cầu về thuộc tính an toàn người dùng\r\nliên đới với những người dùng cần để trợ giúp TSP.
\r\n\r\n11.2.2. Phân mức thành phần
\r\n\r\nFIA_ATD.1 Xác định thuộc tính người dùng cho\r\nphép các thuộc tính an toàn người dùng đối với mỗi người dùng để duy trì một\r\ncách riêng lẻ.
\r\n\r\n11.2.3. Quản lý của FIA_ATD.1
\r\n\r\nCác hành động sau đây có thể xem xét cho các\r\nchức năng quản lý trong FMT:
\r\n\r\na) Nếu việc ấn định quá mức ấn định, người\r\nquản trị có thẩm quyền phải định nghĩa thêm các thuộc tính an toàn cho người\r\ndùng.
\r\n\r\n11.2.4. Kiểm toán của FIA_ATD.1
\r\n\r\nKhông có các sự kiện có thể kiểm toán nào.
\r\n\r\n11.2.5. FIA_ATD.1 Định nghĩa thuộc tính người\r\ndùng
\r\n\r\nPhân cấp từ: Không có các thành phần nào.
\r\n\r\nCác mối phụ thuộc: Không có sự phụ thuộc.
\r\n\r\n11.2.5.1. FIA_ATD.1.1
\r\n\r\nTSF cần duy trì danh sách các thuộc tính an\r\ntoàn mà thuộc về người dùng riêng lẻ: [chỉ định: danh sách các thuộc tính an\r\ntoàn].
\r\n\r\n11.3.1. Hành xử của họ
\r\n\r\nHọ này định nghĩa các yêu cầu về kỹ thuật để\r\nthực thi các tỷ lệ đặc trưng được định nghĩa trong vấn đề bảo mật đã đề cập\r\ncũng như là mới phát sinh để đáp ứng tỷ lệ đã định nghĩa.
\r\n\r\n11.3.2. Phân mức thành phần
\r\n\r\nFIA_SOS.1 Thẩm tra bảo mật, yêu cầu TSF xác\r\nminh các vấn đề bảo mật được thấy trong tỷ lệ đặc trưng đã được định nghĩa.
\r\n\r\nFIA_SOS.2 TSF Tạo ra các bí mật, yêu cầu TSF\r\ncó thể phát sinh các vấn đề bảo mật nhận thấy trong tỷ lệ đặc trưng đã định\r\nnghĩa.
\r\n\r\n11.3.3. Quản lý của FIA_SOS.1
\r\n\r\nCác hành động sau có thể liên quan tới các\r\nchức năng quản lý trong FMT:
\r\n\r\na) Quản lý các tỷ lệ để xác minh vấn đề bảo\r\nmật.
\r\n\r\n11.3.4. Quản lý của FIA_SOS.2
\r\n\r\nCác hành động sau đây có thể liên quan tới\r\ncác chức năng quản lý trong FMT:
\r\n\r\na) Quản lý các tỷ lệ để phát sinh vấn đề bảo mật
\r\n\r\n11.3.5. Kiểm toán của FIA_SOS.1, FIA_SOS.2
\r\n\r\nCác hành động sau đây có thể được kiểm toán\r\nnếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
\r\n\r\na) Tối thiểu: Việc loại bỏ bởi TSF trong bất\r\nkỳ thử nghiệm bảo mật nào.
\r\n\r\nb) Cơ sở: Việc loại bỏ hoặc chấp nhận bởi TSF\r\ntrong bất kỳ thử nghiệm bảo mật nào
\r\n\r\nc) Chi tiết: Định danh của bất kỳ sự thay đổi\r\ntới tỷ lệ đặc trưng đã định nghĩa.
\r\n\r\n11.3.6. FIA_SOS.1 Thẩm tra của các bí mật
\r\n\r\nPhân cấp từ: Không có các thành phần nào.
\r\n\r\nCác mối phụ thuộc: Không có sự phụ thuộc nào.
\r\n\r\n11.3.6.1. FIA_SOS.1.1
\r\n\r\nTSF cần cung cấp một cơ chế để thẩm tra các\r\nbí mật đã thỏa mãn [chỉ định: một đơn vị đo chất lượng định nghĩa trước].
\r\n\r\n11.3.7. FIA_SOS.2 Tạo các bí mật TSF
\r\n\r\nPhân cấp từ: Không có các thành phần nào
\r\n\r\nCác mối phụ thuộc: Không có sự phụ thuộc.
\r\n\r\n11.3.7.1. FIA_SOS.2.1
\r\n\r\nTSF cần cung cấp một cơ chế để thẩm tra bí\r\nmật đã thỏa mãn [chỉ định: một đơn vị đo chất lượng định nghĩa trước].
\r\n\r\n11.3.7.2. FIA_SOS.2.2
\r\n\r\nTSF cần có khả năng thực thi việc sử dụng các\r\nbí mật đã tạo ra cho TSF cho [chỉ định: danh sách các chức năng của TSF].
\r\n\r\n11.4.1. Hành xử của họ
\r\n\r\nHọ này định nghĩa các kiểu cơ chế xác thực\r\nngười dùng được trợ giúp bởi TSF. Họ này cũng định nghĩa các thuộc tính được\r\nyêu cầu trong cơ chế xác thực người dùng phải là các thuộc tính cơ sở.
\r\n\r\n11.4.2. Phân mức thành phần
\r\n\r\nFIA_UAU.1 Định thời cho xác thực, cho phép\r\nmột người dùng thực thi ưu tiên các hành động nào đó hơn là xác thực danh tính\r\ncủa một người dùng.
\r\n\r\nFIA_UAU.2 Xác thực người dùng trước khi hành\r\nđộng, yêu cầu người dùng là phải được xác thực trước khi bất kỳ hành động nào\r\nđược cho phép bởi TSF.
\r\n\r\nFIA_UAU.3 Xác thực không thể giả mạo, yêu cầu\r\ncơ chế xác thực có thể phát hiện và ngăn chặn việc sử dụng dữ liệu xác thực đã\r\nđược giả mạo hay sao chép.
\r\n\r\nFIA_UAU.4 Các cơ chế xác thực dùng đơn chiếc,\r\nyêu cầu một cơ chế thực tính toán với dữ liệu xác thực sử dụng riêng lẻ.
\r\n\r\nFIA_UAU.5 Các cơ chế đa xác thực, yêu cầu các\r\ncơ chế xác thực khác nhau được cung cấp và được sử dụng để xác định danh tính\r\nngười dùng trong các sự kiện cụ thể.
\r\n\r\nFIA_UAU.6 Xác thực lại, yêu cầu khả năng để\r\nxác định các sự kiện cho người dùng cần được xác thực.
\r\n\r\nFIA_UAU.7 Phản hồi xác thực có bảo vệ, yêu\r\ncầu những thông tin phản hồi hạn chế được quy định cho người dùng trong việc\r\nxác thực.
\r\n\r\n11.4.3. Quản lý của FIA_UAU.1
\r\n\r\nCác hành động sau đây có thể xem xét cho các\r\nchức năng quản lý trong FMT:
\r\n\r\na) Quản lý dữ liệu xác thực bởi người quản\r\ntrị.
\r\n\r\nb) Quản lý dữ liệu xác thực bởi người dùng\r\ncộng tác
\r\n\r\nc) Quản lý danh sách các hành động mà có thể\r\nđược thực hiện trước khi người dùng được xác thực.
\r\n\r\n11.4.4. Quản lý của FIA_UAU.2
\r\n\r\nCác hành động sau đây có thể xem xét cho các\r\nchức năng quản lý trong FMT:
\r\n\r\na) Quản lý dữ liệu xác thực bởi người quản\r\ntrị
\r\n\r\nb) Quản lý dữ liệu xác thực bởi người dùng cộng\r\ntác với dữ liệu này.
\r\n\r\n11.4.5. Quản lý của FIA_UAU.3, FIA_UAU.4,\r\nFIA_UAU.7
\r\n\r\nKhông có các hoạt động quản lý nào.
\r\n\r\n11.4.6. Quản lý của FIA_UAU.5
\r\n\r\nCác hành động sau đây có thể xem xét cho các\r\nchức năng quản lý trong FMT:
\r\n\r\na) Quản lý các cơ chế xác thực
\r\n\r\nb) Quản lý các quy tắc xác thực
\r\n\r\n11.4.7. Quản lý của FIA_UAU.6
\r\n\r\nCác hành động sau đây có thể xem xét cho các\r\nchức năng quản lý trong FMT:
\r\n\r\na) Nếu người quản trị có thẩm quyền có thể\r\nyêu cầu xác thực lại, việc quản lý gồm một yêu cầu xác thực lại.
\r\n\r\n11.4.8. Kiểm toán của FIA_UAU.1
\r\n\r\nCác hành động sau đây có thể được kiểm toán\r\nnếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
\r\n\r\na) Tối thiểu: Sử dụng cơ chế xác thực không\r\nthành công
\r\n\r\nb) Cơ sở: Sử dụng tất cả các cơ chế xác thực
\r\n\r\nc) Chi tiết: Tất cả các hành động trung gian\r\nTSF được thực thi trước khi xác thực người dùng.
\r\n\r\n11.4.9. Kiểm toán của FIA_UAU.2
\r\n\r\nCác hành động sau đây có thể được kiểm toán\r\nnếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
\r\n\r\na) Tối thiểu: Sử dụng cơ chế xác thực không\r\nthành công
\r\n\r\nb) Cơ sở: Sử dụng tất cả cơ chế xác thực.
\r\n\r\n11.4.10. Kiểm toán của FIA_UAU.3
\r\n\r\nCác hành động sau đây có thể được kiểm toán\r\nnếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
\r\n\r\na) Tối thiểu: Phát hiện các dữ liệu xác thực\r\ngiả mạo.
\r\n\r\nb) Cơ sở: Tất cả các độ đo trực tiếp được\r\nthực hiện và các kết quả kiểm toán trên dữ liệu giả mạo.
\r\n\r\n11.4.11. Kiểm toán của FIA_UAU.4
\r\n\r\nCác hành động sau đây có thể được kiểm toán\r\nnếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
\r\n\r\na) Tối thiểu: Việc thử dùng lại các dữ liệu\r\nxác thực.
\r\n\r\n11.4.12. Kiểm toán của FIA_UAU.5
\r\n\r\nCác hành động sau đây có thể được kiểm toán\r\nnếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
\r\n\r\na) Tối thiểu: quyết định cuối cùng vào việc\r\nxác thực.
\r\n\r\nb) Cơ sở: Kết quả của mỗi cơ chế hoạt động\r\ncùng với quyết định cuối cùng.
\r\n\r\n11.4.13. Kiểm toán của FIA_UAU.6
\r\n\r\nCác hành động sau đây có thể được kiểm toán\r\nnếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
\r\n\r\na) Tối thiểu: Lỗi xác thực lại;
\r\n\r\nb) Cơ sở: Tất cả việc thử xác thực lại.
\r\n\r\n11.4.14. Kiểm toán của FIA_UAU.7
\r\n\r\nKhông có sự kiện có thể kiểm toán nào.
\r\n\r\n11.4.15. FIA_UAU.1 Định thời cho xác thực
\r\n\r\nPhân cấp từ: Không có các thành phần nào
\r\n\r\nCác mối phụ thuộc: FIA_UID.1 Định thời cho\r\nđịnh danh
\r\n\r\n11.4.15.1. FIA_UAU.1.1
\r\n\r\nTSF cần cho phép [chỉ định: danh sách các\r\nhành động trung gian TSF] đại diện cho người dùng thực hiện trước khi người\r\ndùng được xác thực.
\r\n\r\n11.4.15.2. FIA_UAU.1.2
\r\n\r\nTSF cần yêu cầu người dùng phải xác thực\r\nthành công trước khi cho phép các hành động trung gian TSF khác đại diện cho\r\nngười dùng đó.
\r\n\r\n11.4.16. FIA_UAU.2 Xác thực người dùng trước\r\nkhi hành động
\r\n\r\nPhân cấp từ: FIA_UAU.1 Định thời cho xác thực
\r\n\r\nCác mối phụ thuộc: FIA_UID.1 Định thời cho\r\nđịnh danh
\r\n\r\n11.4.16.1. FIA_UAU.2.1
\r\n\r\nTSF cần yêu cầu mỗi người dùng xác thực thành\r\ncông trước khi cho phép các hành động trung gian TSF khác đại diện cho người\r\ndùng đó.
\r\n\r\n11.4.17. FIA_UAU.3 Xác thực không thể giả mạo
\r\n\r\nPhân cấp từ: Không có các thành phần nào
\r\n\r\nCác mối phụ thuộc: Không có sự phụ thuộc
\r\n\r\n11.4.17.1. FIA_UAU.3.1
\r\n\r\nTSF cần [lựa chọn: phát hiện, ngăn chặn]\r\nviệc sử dụng dữ liệu xác thực đã bị giả mạo bởi một người dùng TSF nào đó.
\r\n\r\n11.4.17.2. FIA_UAU.3.2
\r\n\r\nTSF cần [lựa chọn: phát hiện, ngăn chặn]\r\nviệc sử dụng của dữ liệu xác thực đã được sao chép từ một người dùng TSF khác.
\r\n\r\n11.4.18. FIA_UAU.4 Các cơ chế xác thực đơn
\r\n\r\nPhân cấp từ: Không có các thành phần nào.
\r\n\r\nCác mối phụ thuộc: Không có sự phụ thuộc nào.
\r\n\r\n11.4.18.1. FIA_UAU.4.1
\r\n\r\nTSF cần ngăn chặn việc sử dụng lại dữ liệu\r\nxác thực liên quan tới [chỉ định: cơ chế xác thực định danh].
\r\n\r\n11.4.19. FIA_UAU.5 Cơ chế đa xác thực
\r\n\r\nPhân cấp từ: Không có các thành phần nào
\r\n\r\nCác mối phụ thuộc: Không có sự phụ thuộc nào.
\r\n\r\n11.4.19.1. FIA_UAU.5.1
\r\n\r\nTSF cần cung cấp [Chỉ định: danh sách cơ\r\nchế đa xác thực] để trợ giúp xác thực người dùng.
\r\n\r\n11.4.19.2. FIA_UAU.5.2
\r\n\r\nTSF cần xác thực bất kỳ định danh yêu cầu của\r\nngười dùng nào tuân theo [chỉ định: các quy tắc miêu tả các cơ chế đa xác\r\nthực quy định việc xác thực như thế nào].
\r\n\r\n11.4.20. FIA_UAU.6 Xác thực lại
\r\n\r\nPhân cấp từ: Không có các thành phần nào
\r\n\r\nSự Các mối phụ thuộc: Không có sự phụ thuộc\r\nnào.
\r\n\r\n11.4.20.1. FIA_UAU.6.1
\r\n\r\nTSF cần xác thực lại người dùng dưới các điều\r\nkiện [chỉ định: danh sách các điều kiện dưới mỗi việc xác thực lại được yêu\r\ncầu]
\r\n\r\n11.4.21. FIA_UAU.7 Phản hồi xác thực có bảo\r\nvệ
\r\n\r\nPhân cấp từ: Không có các thành phần nào
\r\n\r\nCác mối phụ thuộc: FIA_UAU.1 Định thời cho\r\nxác thực
\r\n\r\n11.4.21.1. FIA_UAU.7.1
\r\n\r\nTSF cần cung cấp chỉ các [chỉ định: danh sách\r\nphản hồi] tới người trong khi việc xác thực là đang được tiến hành.
\r\n\r\n11.5.1. Hành xử của họ
\r\n\r\nHọ này định nghĩa các điều kiện mà người dùng\r\nsẽ được yêu cầu để định danh chúng trước khi thực hiện bất kỳ các hành động\r\nkhác đã được dàn xếp bởi TSF và điều kiện này yêu cầu định danh người dùng.
\r\n\r\n11.5.2. Phân mức thành phần
\r\n\r\nFIA_UID.1 Định thời cho định danh, cho phép\r\nngười dùng thực hiện các hành động chắc chắn trước khi được định danh bởi TSF.
\r\n\r\nFIA_UID.2 Định danh người dùng trước khi bất\r\nkỳ hành động, yêu cầu người dùng định danh trước khi hành động được cho phép\r\nbởi TSF.
\r\n\r\n11.5.3. Quản lý của FIA_UID.1
\r\n\r\nCác hành động sau đây có thể xem xét cho các\r\nchức năng quản lý trong FMT:
\r\n\r\na) Quản lý định danh người dùng
\r\n\r\nb) Nếu một người quản trị có thẩm quyền có\r\nthể: thay đổi các hành động được phép trước khi định danh, quản lý các danh\r\nsách hành động.
\r\n\r\n11.5.4. Quản lý của FIA_UID.2
\r\n\r\nCác hành động sau đây có thể xem xét cho các\r\nchức năng quản lý trong FMT:
\r\n\r\na) Quản lý định danh người dùng
\r\n\r\n11.5.5. Kiểm toán của FIA_UID.1, FIA_UID.2
\r\n\r\nCác hành động sau đây có thể được kiểm toán\r\nnếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
\r\n\r\na) Tối thiểu: Sử dụng cơ chế định danh người\r\ndùng không thành công, bao gồm định danh người dùng được quy định.
\r\n\r\nb) Cơ sở: Tất cả sử dụng cơ chế định danh\r\nngười dùng, bao gồm định danh người dùng được quy định.
\r\n\r\n11.5.6. FIA_UID.1 Định thời cho định danh
\r\n\r\nPhân cấp từ: Không có các thành phần nào
\r\n\r\nCác mối phụ thuộc: Không có sự phụ thuộc nào.
\r\n\r\n11.5.6.1. FIA_UID.1.1
\r\n\r\nTSF cần cho phép [chỉ định: danh sách các\r\nhành động trung gian TSF] trợ giúp người dùng thực hiện trước khi người\r\ndùng được định danh.
\r\n\r\n11.5.6.2. FIA_UID.1.2
\r\n\r\nTSF cần yêu cầu mỗi người dùng phải xác định\r\nthành công trước khi cho phép các hành động trung gian TSF đại diện cho người\r\ndùng đó.
\r\n\r\n11.5.7. FIA_UID.2 Định danh người dùng trước\r\nkhi hành động
\r\n\r\nPhân cấp từ: FIA_UID.1 Định thời cho định\r\ndanh
\r\n\r\nCác mối phụ thuộc: Không có sự phụ thuộc nào.
\r\n\r\n11.5.7.1. FIA_UID.2.1
\r\n\r\nTSF cần yêu cầu mỗi người dùng xác định danh\r\ntính trước khi cho phép bất kỳ các hành động trung gian TSF đại diện cho người\r\ndùng đó.
\r\n\r\n11.6.1. Hành xử của họ
\r\n\r\nMột người dùng được xác thực hành động đặc\r\ntrưng về một chủ đích để sử dụng TOE. Các thuộc tính an toàn người dùng là được\r\nkết hợp (tổng thể hoặc từng phần) với chủ đích này. Họ này định nghĩa các yêu\r\ncầu để tạo và duy trì sự kết hợp của các thuộc tính an toàn người dùng tới một\r\nhành động chủ đích phía đại diện cho người dùng.
\r\n\r\n11.6.2. Phân mức thành phần
\r\n\r\nFIA_USB.1 Liên kết chủ thể - người dùng yêu\r\ncầu sự ấn định của bất kỳ quy tắc nào bao trùm việc trợ giúp giữa các thuộc\r\ntính người dùng và các thuộc tính chủ thể vào trong cái mà chúng được ánh xạ.
\r\n\r\n11.6.3. Quản lý của FIA_USB.1
\r\n\r\nCác hành động sau đây có thể xem xét cho các\r\nchức năng quản lý trong FMT:
\r\n\r\na) Người quản trị có thẩm quyền có thể định\r\nnghĩa mặc định các thuộc tính an toàn chủ thể.
\r\n\r\nb) Người quản trị có thẩm quyền có thể thay\r\nđổi các thuộc tính an toàn chủ thể.
\r\n\r\n11.6.4. Kiểm toán của FIA_USB.1
\r\n\r\nCác hành động sau nên được kiểm toán, nếu\r\nFAU_GEN Tạo dữ liệu kiểm toán an toàn được đưa vào trong PP/ST:
\r\n\r\na) Tối thiểu: Ràng buộc các thuộc tính an\r\ntoàn người dùng tới một vấn đề là không thành công (ví dụ: việc tạo ra một chủ\r\nthể).
\r\n\r\nb) Cơ sở: Việc thành công hay thất bại của\r\nvấn đề ràng buộc các thuộc tính an toàn người dùng tới một chủ thể (ví dụ: việc\r\nthành công hay thất bại để tạo một chủ thể)
\r\n\r\n11.6.5. FIA_USB.1 Liên kết chủ thể - người\r\ndùng
\r\n\r\nPhân cấp từ: Không có các thành phần nào.
\r\n\r\nCác mối phụ thuộc: FIA_ATD.1 Định nghĩa thuộc\r\ntính người dùng
\r\n\r\n11.6.5.1. FIA_USB.1.1
\r\n\r\nTSF cần kết hợp các thuộc tính an toàn người\r\ndùng với các chủ thể hành động bên phía đại diện của người dùng đó: [chỉ định: danh\r\nsách các thuộc tính an toàn người dùng].
\r\n\r\n11.6.5.2. FIA_USB.1.2
\r\n\r\nTSF cần thực thi các quy tắc sau dựa trên\r\nphía liên kết của các thuộc tính an toàn người dùng lúc khởi tạo với các chủ đề\r\nhành động dựa trên phía đại diện của người dùng: [chỉ định: các quy tắc cho\r\nliên kết ban đầu của các thuộc tính].
\r\n\r\n11.6.5.3. FIA_USB.1.3
\r\n\r\nTSF cần thực thi các quy tắc chủ yếu sau thay\r\nđổi các thuộc tính an toàn người dùng được liên kết với các chủ thể hành động\r\nbên phía đại diện người dùng: [chỉ định: các quy tắc để thay đổi các thuộc\r\ntính].
\r\n\r\nLớp này được dùng để chỉ định quản lý một vài\r\nlĩnh vực của TSF: các thuộc tính an toàn, các chức năng và dữ liệu TSF. Các quy\r\ntắc quản lý khác nhau và sự tương tác giữa chúng có thể được chỉ rõ như là sự\r\nphân tách khả năng.
\r\n\r\nLớp này có một vài mục tiêu sau:
\r\n\r\na) Quản lý dữ liệu TSF, ví dụ như là: tiêu đề
\r\n\r\nb) Quản lý các thuộc tính an toàn, ví dụ như\r\nlà: các Danh sách kiểm soát truy cập và danh sách Năng lực.
\r\n\r\nc) Quản lý các chức năng của TSF, ví dụ như\r\nlà: việc lựa chọn các chức năng và các quy tắc hay các điều kiện tác động đến\r\nhành vi của TSF.
\r\n\r\nd) Định nghĩa các vai trò an toàn.
\r\n\r\n![](\"00907947_files/image012.jpg\")
12.1.1. Hành xử của họ
\r\n\r\nHọ này cho phép người dùng có thẩm quyền điều\r\nkhiển thông qua việc quản lý các chức năng trong TSF. Ví dụ về các chức năng\r\ntrong TSF bao gồm các chức năng kiểm tra và các chức năng đa xác thực.
\r\n\r\n12.1.2. Phân mức thành phần
\r\n\r\nFMT_MOF.1 Quản lý hành xử của các chức năng\r\nan toàn, cho phép người dùng có thẩm quyền (các quy tắc) để quản lý cơ chế hoạt\r\nđộng của chức năng trong TSF mà sử dụng các quy tắc hay có các điều kiện đặc\r\nbiệt có thể được quản lý.
\r\n\r\n12.1.3. Quản lý của FMT_MOF.1
\r\n\r\nCác hành động sau đây có thể xem xét cho các chức\r\nnăng quản lý trong FMT:
\r\n\r\na) Quản lý nhóm các quy tắc có thể tương tác\r\nvới các chức năng trong TSF.
\r\n\r\n12.1.4. Kiểm toán của FMT_MOF.1
\r\n\r\nCác hành động sau đây có thể được kiểm toán\r\nnếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
\r\n\r\na) Cơ sở: tất cả sự thay đổi trong hành vi\r\ncủa các chức năng trong TSF.
\r\n\r\n12.1.5. FMT_MOF.1 Các cơ chế hoạt động của\r\nquản lý chức năng an toàn
\r\n\r\nPhân cấp từ: Không có các thành phần nào.
\r\n\r\nCác mối phụ thuộc: FMT_SMR.1 Các vai\r\ntrò an toàn
\r\n\r\nFMT_SMF.1\r\nĐặc tả các chức năng quản lý
\r\n\r\n12.1.5.1. FMT_MOF.1.1
\r\n\r\nTSF cần hạn chế khả năng tới [lựa chọn: xác\r\nđịnh cơ chế hoạt động như tắt, bật, thay đổi cơ chế hoạt động] của các chức\r\nnăng [chỉ định: danh sách các chức năng] cho tới [chỉ định: các quy\r\ntắc định danh có thẩm quyền].
\r\n\r\n12.2.1. Hành xử của họ
\r\n\r\nHọ này cho phép người dùng có thẩm quyền điều\r\nkhiển qua việc quản lý các thuộc tính an toàn. Việc quản lý này phải bao gồm\r\ncác khả năng hiển thị và thay đổi các thuộc tính an toàn.
\r\n\r\n12.2.2. Phân mức thành phần
\r\n\r\nFMT_MSA.1 Quản lý các thuộc tính an toàn, cho\r\nphép người dùng có thẩm quyền (các quy tắc) để quản lý các thuộc tính an toàn\r\nđã định rõ.
\r\n\r\nFMT_MSA.2 Các thuộc tính an toàn, đảm bảo\r\nrằng các giá trị được ấn định tới các thuộc tính an toàn là hợp lý và lưu ý tới\r\ntrạng thái an toàn.
\r\n\r\nFMT_MSA.3 Khởi tạo thuộc tính tĩnh, đảm bảo\r\nrằng các giá trị mặc định của các thuộc tính an toàn hoặc là cho phép hoặc là\r\nhạn chế một cách thích hợp.
\r\n\r\nFMT_MSA.4 Kế thừa giá trị thuộc tính an toàn,\r\ncho phép quy tắc/chính sách xác định giá trị được thừa kế bởi một thuộc tính an\r\ntoàn.
\r\n\r\n12.2.3. Quản lý của FMT_MSA.1
\r\n\r\nCác hành động sau đây có thể xem xét cho các\r\nchức năng quản lý trong FMT:
\r\n\r\na) Quản lý nhóm các quy tắc mà có thể tương\r\ntác với các thuộc tính an toàn.
\r\n\r\nb) Quản lý các quy tắc xác định giá trị kế\r\nthừa bởi thuộc tính an toàn.
\r\n\r\n12.2.4. Quản lý của FMT_MSA.2
\r\n\r\nCác hành động sau đây có thể xem xét cho các\r\nchức năng quản lý trong FMT:
\r\n\r\na) Quản lý các quy tắc xác định giá trị kế\r\nthừa bởi thuộc tính an toàn
\r\n\r\n12.2.5. Quản lý của FMT_MSA.3
\r\n\r\nCác hành động sau đây có thể xem xét cho các\r\nchức năng quản lý trong FMT:
\r\n\r\na) Quản lý nhóm các quy tắc mà có thể xác\r\nđịnh các giá trị khởi tạo.
\r\n\r\nb) Quản lý việc thiết lập cho phép hoặc giới\r\nhạn các giá trị mặc định cho việc đưa ra điều khiển truy cập SFP.
\r\n\r\nc) Quản lý các quy tắc xác định giá trị kế\r\nthừa bởi thuộc tính an toàn.
\r\n\r\n12.2.6. Quản lý của FMT_MSA.4
\r\n\r\nCác hành động sau đây có thể xem xét cho các\r\nchức năng quản lý trong FMT:
\r\n\r\na) Đặc tả vai trò được phép thiết lập hoặc\r\nthay đổi thuộc tính an toàn.
\r\n\r\n12.2.7. Kiểm toán của FMT_MSA.1
\r\n\r\nCác hành động sau đây có thể được kiểm toán\r\nnếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
\r\n\r\na) Cơ sở: Tất cả sự thay đổi các giá trị của\r\ncác thuộc tính an toàn.
\r\n\r\n12.2.8 Kiểm toán của FMT_MSA.2
\r\n\r\nCác hành động sau đây có thể được kiểm toán\r\nnếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
\r\n\r\na) Tối thiểu: Tất cả các giá trị từ chối và\r\nđược quy định cho thuộc tính an toàn.
\r\n\r\nb) Chi tiết: Tất cả các giá trị an toàn được\r\nquy định và chấp thuận cho thuộc tính an toàn.
\r\n\r\n12.2.9. Kiểm toán của FMT_MSA.3
\r\n\r\nCác hành động sau đây có thể được kiểm toán\r\nnếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
\r\n\r\na) Cơ sở: Sự thay đổi các thiết lập mặc định\r\ncủa các quy tắc cho phép hoặc cấm.
\r\n\r\nb) Cơ sở: Tất cả sự thay đổi các giá trị khởi\r\ntạo của các thuộc tính an toàn.
\r\n\r\n12.2.10. Kiểm toán của FMT_MSA.4
\r\n\r\nCác hành động sau đây có thể được kiểm toán\r\nnếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
\r\n\r\na) Sự thay đổi thuộc tính an toàn, có thể với\r\nvà/hoặc giá trị thuộc tính an toàn đã được thay đổi.
\r\n\r\n12.2.11. FMT_MSA.1 Quản lý các thuộc tính an\r\ntoàn
\r\n\r\nPhân cấp từ: Không có các thành phần nào
\r\n\r\nCác mối phụ thuộc:
\r\n\r\n[FDP_ACC.1 Kiểm soát truy cập tập con, hoặc
\r\n\r\nFDP_IFC.1 Kiểm soát luồng thông tin tập con]
\r\n\r\nFMT_SMR.1 Các vai trò an toàn
\r\n\r\nFMT_SMF.1 Đặc tả các chức năng quản lý
\r\n\r\n12.2.11.1. FMT_MSA.1.1
\r\n\r\nTSF cần thực thi [chỉ định: điều khiển\r\ntruy cập SFP, điều khiển luồng thông tin SFP] để hạn chế khả năng [lựa\r\nchọn: thay đổi mặc định, yêu cầu, thay đổi, xóa, [chỉ định: các thuật toán\r\nkhác]] các thuộc tính an toàn [chỉ định: danh sách các thuộc tính an\r\ntoàn] tới [chỉ định: các vai trò đã xác định và cấp phép].
\r\n\r\n12.2.12. FMT_MSA.2 Các thuộc tính an toàn
\r\n\r\nPhân cấp từ: Không có các thành phần nào
\r\n\r\nCác mối phụ thuộc: [FDP_ACC.1 Kiểm soát\r\ntruy cập tập con, hoặc
\r\n\r\nFDP_IFC.1\r\nKiểm soát luồng thông tin con]
\r\n\r\nFMT_MSA.1\r\nQuản lý các thuộc tính an toàn
\r\n\r\nFMT_SMR.1\r\nCác vai trò an toàn
\r\n\r\n12.2.12.1. FMT_MSA.2.1
\r\n\r\nTSF cần đảm bảo rằng chỉ có những giá trị an\r\ntoàn mới được chấp nhận cho [Chỉ định: Danh sách các thuộc tính an toàn].
\r\n\r\n12.2.13. FMT_MSA.3 Khởi tạo các thuộc tính\r\ntĩnh
\r\n\r\nPhân cấp từ: Không có các thành phần nào
\r\n\r\nCác mối phụ thuộc: FMT_MSA.1 Quản lý\r\ncác thuộc tính an toàn
\r\n\r\nFMT_SMR.1\r\nCác vai trò an toàn
\r\n\r\n12.2.13.1. FMT_MSA.3.1
\r\n\r\nTSF cần thực thi [chỉ định: kiểm soát truy\r\ncập SFP, kiểm soát luồng thông tin SFP] để cung cấp [lựa chọn, chọn một trong:\r\nngăn cấm, cho phép, [chỉ định: thuộc tính khác]] các giá trị mặc định cho các\r\nthuộc tính an toàn được sử dụng để thực thi SFP.
\r\n\r\n12.2.13.2. FMT_MSA.3.2
\r\n\r\nTSF cần cho phép [chỉ định: các vai trò đã\r\nxác định và cấp phép] để đặc tả các giá trị khởi tạo khác thay cho các giá trị\r\nmặc định khi một đối tượng hay thông tin được tạo.
\r\n\r\n12.2.14. FMT_MSA.4
\r\n\r\nPhân cấp từ: Không có thành phần khác
\r\n\r\nCác mối phụ thuộc: [FDP_ACC.1 Kiểm soát\r\ntruy nhập tập con, hoặc
\r\n\r\nFDP_IFC.1\r\nKiểm soát luồng thông tin tập con]
\r\n\r\n12.2.14.1. FMT_MSA.4.1
\r\n\r\nTSF cần sử dụng những quy tắc sau để thiết\r\nlập giá trị các thuộc tính an toàn: [chỉ định: quy tắc cho các thiết lập giá\r\ntrị của thuộc tính an toàn].
\r\n\r\n12.3.1. Hành xử của họ
\r\n\r\nHọ này cho phép người dùng có thẩm quyền (các\r\nquy tắc) điều khiển qua quản lý dữ liệu TSF. Ví dụ dữ liệu TSF bao gồm thông\r\ntin kiểm toán, khóa, cấu hình hệ thống và các tham số cấu hình TSF khác.
\r\n\r\n12.3.2. Phân mức thành phần
\r\n\r\nFMT_MTD.1 Quản lý dữ liệu TSF, cho phép người\r\ndùng có thẩm quyền quản lý dữ liệu TSF.
\r\n\r\nFMT_MTD.2 Quản lý hạn chế trên dữ liệu TSF,\r\nxác định hành động được tạo ra nếu sự hạn chế dữ liệu TSF là đạt được hoặc vượt\r\nquá.
\r\n\r\nFMT_MTD.3 Dữ liệu TSF an toàn, đảm bảo rằng\r\ncác giá trị được ấn định tới dữ liệu TSF là hợp lý với trạng thái an toàn.
\r\n\r\n12.3.3. Quản lý của FMT_MTD.1
\r\n\r\nCác hành động sau đây có thể xem xét cho các\r\nchức năng quản lý trong FMT:
\r\n\r\na) Quản lý nhóm các quy tắc mà có thể tương\r\ntác với dữ liệu TSF.
\r\n\r\n12.3.4. Quản lý của FMT_MTD.2
\r\n\r\nCác hành động sau đây có thể xem xét cho các\r\nchức năng quản lý trong FMT:
\r\n\r\na) Quản lý nhóm các quy tắc mà có thể tương\r\ntác với sự hạn chế trên dữ liệu TSF.
\r\n\r\n12.3.5. Quản lý của FMT_MTD.3
\r\n\r\nKhông có các hoạt động quản lý nào.
\r\n\r\n12.3.6. Kiểm toán của FMT_MTD.1
\r\n\r\nCác hành động sau đây có thể được kiểm toán\r\nnếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
\r\n\r\na) Cơ sở: Tất cả việc thay đổi giá trị của dữ\r\nliệu TSF.
\r\n\r\n12.3.7. Kiểm toán của FMT_MTD.2
\r\n\r\nCác hành động sau đây có thể được kiểm toán\r\nnếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
\r\n\r\na) Cơ sở: Tất cả việc thay đổi tới việc hạn\r\nchế trên dữ liệu TSF.
\r\n\r\nb) Cơ sở: Tất cả việc thay đổi trong các hành\r\nđộng sinh ra trong trường hợp vi phạm sự hạn chế đó.
\r\n\r\n12.3.8. Kiểm toán của FMT_MTD.3
\r\n\r\nCác hành động sau đây có thể được kiểm toán\r\nnếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
\r\n\r\na) Tối thiểu: Tất cả các giá trị bị từ chối\r\ncủa dữ liệu TSF
\r\n\r\n12.3.9. FMT_MTD.1 Quản lý dữ liệu TSF
\r\n\r\nPhân cấp từ: Không có các thành phần nào
\r\n\r\nCác mối phụ thuộc: FMT_SMR.1 Các vai\r\ntrò an toàn
\r\n\r\nFMT_SMF.1\r\nĐặc tả các chức năng quản lý
\r\n\r\n12.3.9.1. FMT_MTD.1.1
\r\n\r\nTSF cần hạn chế khả năng [sự lựa chọn: thay\r\nđổi mặc định, thay đổi, xóa, xóa [chỉ định: các thuật toán khác]] [chỉ\r\nđịnh: danh sách dữ liệu TSF] tới [chỉ định: các vai trò đã xác định\r\nvà cấp phép].
\r\n\r\n12.3.10. FMT_MTD.2 Quản lý các hạn chế trên\r\ndữ liệu TSF
\r\n\r\nPhân cấp từ: Không có các thành phần nào
\r\n\r\nCác mối phụ thuộc: FMT_MTD.1 Quản lý dữ\r\nliệu TSF
\r\n\r\nFMT_SMR.1\r\nCác vai trò an toàn
\r\n\r\n12.3.10.1. FMT_MTD.2.1
\r\n\r\nTSF cần hạn chế việc xác định hạn chế đối với\r\n[chỉ định: danh sách dữ liệu TSF] tới [chỉ định: các vai trò đã xác\r\nđịnh và cấp phép]
\r\n\r\n12.3.10.2. FMT_MTD.2.2
\r\n\r\nTSF cần thực thi các hành động sau, nếu dữ\r\nliệu TSF là đạt hoặc vượt quá các hạn chế đã chỉ ra: [chỉ định: các hành\r\nđộng cần thực hiện]
\r\n\r\n12.3.11. FMT_MTD.3 Dữ liệu TSF an toàn
\r\n\r\nPhân cấp từ: Không có các thành phần nào
\r\n\r\nCác mối phụ thuộc: FMT_MTD.1 Quản lý dữ liệu\r\nTSF.
\r\n\r\n12.3.11.1. FMT_MTD.3.1
\r\n\r\nTSF cần đảm bảo rằng chỉ có các giá trị an\r\ntoàn mới được chấp nhận cho dữ liệu TSF.
\r\n\r\n\r\n\r\n12.4.1. Hành xử của họ
\r\n\r\nHọ này đề cập đến việc hủy bỏ các thuộc tính an\r\ntoàn đối với một vài thực thể trong TOE.
\r\n\r\n12.4.2. Phân mức thành phần
\r\n\r\nFMT_REV.1 Hủy bỏ, cung cấp cho việc hủy bỏ\r\ncác thuộc tính an toàn được bắt buộc tại một vài mốc thời gian.
\r\n\r\n12.4.3. Quản lý của FMT_REV.1
\r\n\r\nCác hành động sau đây có thể xem xét cho các\r\nchức năng quản lý trong FMT:
\r\n\r\na) Quản lý nhóm các quy tắc mà có thể giúp\r\ncho việc thu hồi các thuộc tính an toàn.
\r\n\r\nb) Quản lý danh sách người dùng, chủ đề, đối\r\ntượng và các nguồn khác cho việc có thể thu hồi.
\r\n\r\nc) Quản lý các quy tắc thu hồi.
\r\n\r\n12.4.4. Kiểm toán của FMT_REV.1
\r\n\r\nCác hành động sau đây có thể được kiểm toán\r\nnếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
\r\n\r\na) Tối thiểu: Việc thu hồi các thuộc tính an\r\ntoàn là không thành công.
\r\n\r\nb) Cơ sở: Tất cả việc thử để hủy bỏ các thuộc\r\ntính an toàn
\r\n\r\n12.4.5. FMT_REV.1 Hủy bỏ
\r\n\r\nPhân cấp từ: Không có các thành phần nào
\r\n\r\nCác mối phụ thuộc: FMT_SMR.1 Các vai trò an\r\ntoàn
\r\n\r\n12.4.5.1. FMT_REV.1.1
\r\n\r\nTSF cần hạn chế khả năng lấy lại [chỉ định: danh\r\nsách các thuộc tính an toàn] liên quan tới [lựa chọn: người dùng, chủ\r\nthể, đối tượng, [chỉ định: các tài nguyên bổ sung khác]] dưới sự kiểm soát\r\ncủa TSC để [chỉ định: các vai trò đã xác định và cấp phép]
\r\n\r\n12.4.5.2. FMT_REV.1.2
\r\n\r\nTSF cần thực thi các quy tắc [chỉ định: đặc\r\ntả các quy tắc hủy bỏ]
\r\n\r\n12.5.1. Hành xử của họ
\r\n\r\nHọ này nhằm vào khả năng để thực thi các hạn\r\nchế về thời gian đối với giá trị các thuộc tính an toàn.
\r\n\r\n12.5.2. Phân mức thành phần
\r\n\r\nFMT_SAE.1 Giấy phép hạn chế thời gian, quy\r\nđịnh khả năng đối với người dùng có thẩm quyền để xác định một thời gian tới\r\nhạn trên các thuộc tính an toàn đã xác định.
\r\n\r\n12.5.3. Quản lý của FMT_SAE.1
\r\n\r\nCác hành động sau đây có thể xem xét cho các\r\nchức năng quản lý trong FMT:
\r\n\r\na) Quản lý danh sách các thuộc tính an toàn\r\nđối với giới hạn được trợ giúp.
\r\n\r\nb) Các hành động được thực hiện nếu thời gian\r\ntới hạn là đã qua
\r\n\r\n12.5.4. Kiểm toán của FMT_SAE.1
\r\n\r\nCác hành động sau đây có thể được kiểm toán\r\nnếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
\r\n\r\na) Cơ sở: Xác định thời gian tới hạn đối với\r\nthuộc tính
\r\n\r\nb) Cơ sở: Hành động xảy ra đúng với giới hạn\r\nthời gian
\r\n\r\n12.5.5. FMT_SAE.1 Cấp giấy phép hạn chế thời\r\ngian
\r\n\r\nPhân cấp từ: Không có các thành phần nào khác
\r\n\r\nCác mối phụ thuộc: FMT_SMR.1 Các vai\r\ntrò an toàn
\r\n\r\nFMT_STM.1\r\nNhãn thời gian tin cậy
\r\n\r\n12.5.5.1. FMT_SAE.1.1
\r\n\r\nTSF cần hạn chế khả năng để xác định thời\r\ngian tới hạn đối với [chỉ định: danh sách các thuộc tính an toàn đối với\r\ngiới hạn được trợ giúp] để [chỉ định: các vai trò đã xác định và cấp\r\nphép]
\r\n\r\n12.5.5.2. FMT_SAE.1.2
\r\n\r\nĐối với mỗi thuộc tính an toàn này, TSF cần\r\ncó khả năng [chỉ định: danh sách các hành động thực hiện đối với mỗi thuộc tính\r\nan toàn] sau khi thời gian tới hạn cho thuộc tính an toàn được chỉ định đã qua.
\r\n\r\n12.6.1. Hành xử của họ
\r\n\r\nHọ này cho phép việc xác định các chức năng\r\nquản lý được quy định bởi TOE. Các chức năng quản lý TFI cho phép người quản\r\ntrị các tham số để điều khiển hoạt động của các lĩnh vực liên quan đến an toàn\r\ncủa TOE, như là: các thuộc tính bảo vệ dữ liệu để xác định các tham số để điều\r\nkhiển thuật toán lĩnh vực liên quan đến an toàn của TOE, như là: thuộc tính bảo\r\nvệ dữ liệu, thuộc tính bảo vệ TOE, thuộc tính kiểm tra, các thuộc tính xác thực\r\nvà định danh. Các chức năng quản lý cũng bao gồm các chức năng đó được thực thi\r\nbởi một người điều khiển để đảm bảo rằng hành động tiếp theo của TOE, như là\r\nsao lưu và phục hồi. Họ này làm việc trong sự kết hợp với các thành phần khác\r\ntrong FMT: Các lớp quản lý an toàn: thành phần trong họ này gọi là các chức\r\nnăng quản lý, và các họ khác trong FMT: quản lý an toàn hạn chế khả năng sử\r\ndụng các chức năng quản lý này.
\r\n\r\n12.6.2. Phân mức thành phần
\r\n\r\nFMT_SMF.1 Đặc tả các chức năng quản lý, yêu\r\ncầu TSF cung cấp các chức năng quản lý cụ thể.
\r\n\r\n12.6.3. Quản lý của FMT_SMF.1
\r\n\r\nKhông có các hoạt động quản lý nào.
\r\n\r\n12.6.4. Kiểm toán của FMT_SMF.1
\r\n\r\nCác hành động sau đây có thể được kiểm toán\r\nnếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
\r\n\r\na) Tối thiểu: Sử dụng các chức năng quản lý
\r\n\r\n12.6.5. FMT_SMF.1 Định rõ các chức năng quản\r\nlý
\r\n\r\nPhân cấp từ: Không có các thành phần nào
\r\n\r\nCác mối phụ thuộc: Không có sự phụ thuộc nào
\r\n\r\n12.6.5.1. FMT_SMF.1.1
\r\n\r\nTSF cần có khả năng thực thi các chức năng\r\nquản lý an toàn sau: [chỉ định: danh sách các chức năng quản lý an toàn được\r\nquy định bởi TSF]
\r\n\r\n12.7.1. Hành xử của họ
\r\n\r\nHọ này là được dùng để điều khiển việc ấn\r\nđịnh các quy tắc khác nhau tới người dùng. Các khả năng của các quy tắc này với\r\nkhía cạnh quản lý an toàn được miêu tả trong các họ khác trong lớp.
\r\n\r\n12.7.2. Phân mức thành phần
\r\n\r\nFMT_SMR.1 Các vai trò an toàn xác định các\r\nvai trò với các khía cạnh an toàn mà TSF thừa nhận.
\r\n\r\nFMT_SMR.2 Hạn chế về các vai trò an toàn, xác\r\nđịnh rằng ngoài việc đặc tả các vai trò, còn có các quy tắc kiểm soát các mối\r\nquan hệ giữa các vai trò.
\r\n\r\nFMT_SMR.3 Chỉ định các vai trò, yêu cầu rõ\r\nrằng được đưa ra tới TSF để thừa nhận một quy tắc.
\r\n\r\n12.7.3. Quản lý của FMT_SMR.1
\r\n\r\nCác hành động sau đây có thể xem xét cho các\r\nchức năng quản lý trong FMT:
\r\n\r\na) Quản lý nhóm người dùng là một phần của\r\nquy tắc.
\r\n\r\n12.7.4. Quản lý của FMT_SMR.2
\r\n\r\nCác hành động sau đây có thể xem xét cho các\r\nchức năng quản lý trong FMT:
\r\n\r\na) Quản lý nhóm người dùng là một phần của\r\nquy tắc.
\r\n\r\nb) Quản lý các điều kiện mà các quy tắc phải\r\nthỏa mãn
\r\n\r\n12.7.5. Quản lý của FMT_SMR.3
\r\n\r\nKhông có các hoạt động quản lý nào.
\r\n\r\n12.7.6. Kiểm toán của FMT_SMR.1
\r\n\r\nCác hành động sau đây có thể được kiểm toán\r\nnếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
\r\n\r\na) Tối thiểu: sự thay đổi tới nhóm người dùng\r\nlà một phần của quy tắc
\r\n\r\nb) Chi tiết: mọi việc sử dụng quyền của quy\r\ntắc.
\r\n\r\n12.7.7. Kiểm toán của FMT_SMR.2
\r\n\r\nCác hành động sau đây có thể được kiểm toán\r\nnếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
\r\n\r\na) Tối thiểu: Sự thay đổi các nhóm người dùng\r\nlà một phần của quy tắc
\r\n\r\nb) Tối thiểu: Việc sử dụng các quy tắc không\r\nthành công giúp đưa ra các điều kiện trên quy tắc đó.
\r\n\r\nc) Chi tiết: mọi việc sử dụng quyền của quy\r\ntắc.
\r\n\r\n12.7.8. Kiểm toán của FMT_SMR.3
\r\n\r\nCác hành động sau đây có thể được kiểm toán\r\nnếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
\r\n\r\na) Tối thiểu: Yêu cầu rõ ràng nhằm thừa nhận\r\nmột quy tắc
\r\n\r\n12.7.9. FMT_SMR.1 Các quy tắc an toàn
\r\n\r\nPhân cấp từ: Không có các thành phần nào.
\r\n\r\nCác mối phụ thuộc: FIA_UID.1 Định thời cho\r\nđịnh danh
\r\n\r\n12.7.9.1. FMT_SMR.1.1
\r\n\r\nTSF cần duy trì các vai trò [chỉ định: các\r\nvai trò đã xác định và cấp phép]
\r\n\r\n12.7.9.2. FMT_SMR.1.2
\r\n\r\nTSF cần có khả năng liên kết người dùng với\r\ncác vai trò.
\r\n\r\n12.7.10. FMT_SMR.2 Hạn chế về các vai trò an\r\ntoàn
\r\n\r\nPhân cấp từ: FMT_SMR.1 Các vai trò an toàn
\r\n\r\nCác mối phụ thuộc: FIA_UID.1 Định thời cho\r\nđịnh danh
\r\n\r\n12.7.10.1. FMT_SMR.2.1
\r\n\r\nTSF cần duy trì các vai trò: [chỉ định: các\r\nvai trò đã xác định và cấp phép]
\r\n\r\n12.7.10.2. FMT_SMR.2.2
\r\n\r\nTSF cần có khả năng liên kết người dùng với\r\nvai trò.
\r\n\r\n12.7.10.3. FMT_SMR.2.3
\r\n\r\nTSF cần đảm bảo rằng các điều kiện [chỉ định:\r\ncác điều kiện cho các vai trò khác nhau] được thỏa mãn.
\r\n\r\n12.7.11. FMT_SMR.3 Chỉ định các vai trò
\r\n\r\nPhân cấp từ: Không có các thành phần nào
\r\n\r\nCác mối phụ thuộc: FMT_SMR.1 Các vai trò liên\r\nquan
\r\n\r\n12.7.11.1. FMT_SMR.3.1
\r\n\r\nTSF cần có một yêu cầu rõ ràng để thừa nhận\r\ncác vai trò sau: [chỉ định: các vai trò].
\r\n\r\n\r\n\r\nLớp này chứa các yêu cầu riêng tư. Các yêu\r\ncầu này giúp bảo vệ người dùng chống tiết lộ và lợi dụng danh tính các người\r\nkhác.
\r\n\r\n![](\"00907947_files/image013.jpg\")
13.2. Hành xử của họ
\r\n\r\nHọ này cho phép người dùng có thể sử dụng một\r\ntài nguyên hoặc dịch vụ không cần biết định danh người dùng. Các yêu cầu nặc\r\ndanh phục vụ cho bảo vệ danh tính người dùng. Nặc danh không dự tính để bảo vệ\r\ndanh tính chủ thể.
\r\n\r\n13.1.2. Phân mức thành phần
\r\n\r\nFPR_ANO.1 Nặc danh, yêu cầu các người dùng\r\nkhác hoặc các chủ thể khác không được có khả năng xác định danh tính một người\r\ndùng trong phạm vi một chủ thể hoặc một hoạt động.
\r\n\r\nFPR_ANO.2 Nặc danh không níu kéo thông tin,\r\ncải thiện các yêu cầu của FPR_ANO.1 Nặc danh bằng cách đảm bảo rằng TSF không\r\nhỏi danh tính người dùng.
\r\n\r\n13.1.3. Quản lý của FPR_ANO.1, FPR_ANO.2
\r\n\r\nKhông có các hoạt động quản lý nào.
\r\n\r\n13.1.4. Kiểm toán của FPR_ANO.1, FPR_ANO.2
\r\n\r\nCác hành động sau đây có thể được kiểm toán\r\nnếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
\r\n\r\nb) Tối thiểu: Viện dẫn cơ chế nặc danh.
\r\n\r\n13.1.5. FPR_ANO.1 Nặc danh
\r\n\r\nPhân cấp tới: Không có các thành phần nào
\r\n\r\nCác mối phụ thuộc: Không có.
\r\n\r\n13.1.5.1. FPR_ANO.1.1
\r\n\r\nTSF cần đảm bảo rằng [chỉ định: tập các\r\nngười dùng và/hoặc chủ thể] không có khả năng xác định tên người dùng thật\r\nràng buộc tới [chỉ định: danh sách các chủ thể và/hoặc hoạt động và/hoặc đối\r\ntượng].
\r\n\r\n12.1.6. FPR_ANO.2 Nặc danh không có thông tin\r\nníu kéo
\r\n\r\nPhân cấp tới: FPR_ANO.1 Nặc danh
\r\n\r\nCác mối phụ thuộc: Không có
\r\n\r\n13.1.6.1. FPR_ANO.2.1
\r\n\r\nTSF cần đảm bảo rằng [chỉ định: tập các\r\nngười dùng và/hoặc chủ thể] không có khả năng xác định tên người dùng thật\r\nràng buộc tới [chỉ định: danh sách các chủ thể và/hoặc hoạt động và/hoặc đối\r\ntượng].
\r\n\r\n13.1.6.2. FPR_ANO.2.2
\r\n\r\nTSF cần cho [chỉ định: danh sách các dịch\r\nvụ] tới [chỉ định: danh sách các chủ thể] không có bất kỳ tham chiếu\r\nníu kéo nào đến tên thật của người dùng.
\r\n\r\n\r\n\r\n13.2.1. Hành xử của họ
\r\n\r\nHọ này đảm bảo rằng một người sử dụng một tài\r\nnguyên hoặc dịch vụ không để lộ danh tính người dùng, song vẫn có thể chịu\r\ntrách nhiệm về việc sử dụng.
\r\n\r\n13.2.2. Phân mức thành phần
\r\n\r\nFPR_PSE.1 Biệt danh yêu cầu một tập các người\r\ndùng và/hoặc chủ thể không được có khả năng xác định danh tính người dùng ràng\r\nbuộc bởi một chủ thể hoặc hoạt động, song người dùng này vẫn phải chịu trách\r\nnhiệm về các hành động của họ.
\r\n\r\nFPR_PSE.2 Biệt danh nghịch đảo yêu cầu TSF có\r\nnăng lực xác định danh tính người dùng chính thức dựa trên một bí danh đã quy\r\nđịnh.
\r\n\r\nFPR_PSE.3 Biệt danh dấu tên yêu cầu TSF theo\r\ndõi các quy tắc cấu trúc nhất định cho bí danh để định danh người dùng.
\r\n\r\n13.2.3. Quản lý của FPR_PSE.1, FPR_PSE.2,\r\nFPR_PSE.3
\r\n\r\nKhông có các hoạt động quản lý nào.
\r\n\r\n13.2.4. Kiểm toán của FPR_PSE.1, FPR_PSE.2,\r\nFPR_PSE.3
\r\n\r\nCác hành động sau đây có thể được kiểm toán\r\nnếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
\r\n\r\nb) Tối thiểu: Chủ thể/người dùng được yêu cầu\r\nkiểm toán danh tính người dùng.
\r\n\r\n13.2.5. FPR_PSE.1 Biệt danh
\r\n\r\nPhân cấp tới: Không có thành phần nào.
\r\n\r\nCác mối phụ thuộc: Không có
\r\n\r\n13.2.5.1. FPR_PSE.1.1
\r\n\r\nTSF cần đảm bảo rằng [chỉ định: tập các\r\nngười dùng và/hoặc chủ thể] không có khả năng xác định tên người dùng thật\r\nràng buộc tới [chỉ định: danh sách các chủ thể và/hoặc hoạt động và/hoặc đối\r\ntượng].
\r\n\r\n13.2.5.2. FPR_PSE.1.2
\r\n\r\nTSF cần khả năng cho [chỉ định: số các bí\r\ndanh] bí danh của tên người dùng thật tới [chỉ định: danh sách các chủ\r\nthể].
\r\n\r\n13.2.5.3. FPR_PSE.1.3
\r\n\r\nTSF cần [chọn lựa, chọn một trong: Xác định\r\nmột bí danh cho người dùng, chấp nhận các bí danh từ người dùng và kiểm tra xem\r\nnó có tuân thủ theo [chỉ định: đơn vị bí danh].
\r\n\r\n13.2.6. FPR_PSE.2 Biệt danh nghịch đảo
\r\n\r\nPhân cấp tới: FPR_PSE.1 Biệt danh
\r\n\r\nCác mối phụ thuộc: FIA_UID.1 Định thời cho\r\nđịnh danh
\r\n\r\n13.2.6.1. FPR_PSE.2.1
\r\n\r\nTSF cần đảm bảo rằng [chỉ định: tập các\r\nngười dùng và/hoặc chủ thể] không có khả năng xác định tên người dùng thật\r\nràng buộc với [chỉ định: danh sách các chủ thể và/hoặc hoạt động và/hoặc đối\r\ntượng].
\r\n\r\n13.2.6.2. FPR_PSE.2.2
\r\n\r\nTSF cần khả năng cho [chỉ định: số các bí\r\ndanh] bí danh của tên người dùng thật tới [chỉ định: danh sách các chủ thể]
\r\n\r\n13.2.6.3. FPR_PSE.2.3
\r\n\r\nTSF cần [Chọn lựa, chọn một trong: Xác\r\nđịnh một bí danh cho người dùng, chấp nhận các bí danh từ người dùng] và\r\nkiểm tra xem nó có tuân thủ theo [chỉ định: đơn vị bí danh].
\r\n\r\n13.2.6.4. FPR_PSE.2.4
\r\n\r\nTSF cần cung cấp [Chọn lựa: một người dùng\r\ncó thẩm quyền, [chỉ định: danh sách các chủ thể tin cậy]] có năng lực xác\r\nđịnh danh tính người dùng dựa trên các bí danh đã quy định chỉ trong điều kiện\r\nsau [chỉ định: danh sách các điều kiện].
\r\n\r\n13.2.7. FPR_PSE.3 Biệt danh bí danh
\r\n\r\nPhân cấp tới; FPR_PSE.1 Biệt danh.
\r\n\r\nCác mối phụ thuộc: Không có.
\r\n\r\n13.2.7.1. FPR_PSE.3.1
\r\n\r\nTSF cần đảm bảo rằng [chỉ định: tập các\r\nngười dùng và/hoặc chủ thể] không có khả năng xác định tên người dùng thật\r\nràng buộc với [chỉ định: danh sách các chủ thể và/hoặc hoạt động và/hoặc đối\r\ntượng].
\r\n\r\n13.2.7.2. FPR_PSE.3.2
\r\n\r\nTSF cần có khả năng cung cấp [chỉ định: số\r\ncác bí danh] bí danh của tên người dùng thật tới [chỉ định: danh sách\r\ncác chủ thể].
\r\n\r\n13.2.7.3. FPR_PSE.3.3
\r\n\r\nTSF cần [Chọn lựa: chọn một trong: Xác\r\nđịnh một bí danh cho người dùng, chấp nhận các bí danh từ người dùng] và\r\nkiểm tra xem nó có tuân thủ theo [chỉ định: đơn vị bí danh].
\r\n\r\n13.2.7.4. FPR_PSE.3.4
\r\n\r\nTSF cần cung cấp một bí danh tới một tên\r\nngười dùng thật và bí danh này cần trùng với bí danh cho trước theo điều kiện\r\n[chỉ định: danh sách các điều kiện], nếu không bí danh đã quy định cần không\r\nliên quan đến bí danh đã quy định trước đó.
\r\n\r\n13.3.1. Hành xử của họ
\r\n\r\nHọ này đảm bảo rằng một người dùng có thể sử\r\ndụng nhiều lần các tài nguyên và dịch vụ và không có khả năng liên kết các sử\r\ndụng đó với nhau được.
\r\n\r\n13.3.2. Phân mức thành phần
\r\n\r\nFPR_UNL.1 Tính không thể liên kết yêu cầu\r\nngười dùng / chủ thể không được có khả năng xác định xem có đúng là cùng một\r\nngười dùng đã gây ra các hoạt động đặc trưng xác định trong hệ thống.
\r\n\r\n13.3.3. Quản lý của FPR_UNL.1
\r\n\r\nCác hành động sau đây có thể xem xét cho các\r\nchức năng quản lý trong FMT:
\r\n\r\nb) Quản lý chức năng không thể liên kết.
\r\n\r\n13.3.4. Kiểm toán của FPR_UNL.1
\r\n\r\nCác hành động sau đây có thể được kiểm toán\r\nnếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
\r\n\r\nb) Tối thiểu: Viễn dẫn cơ chế không thể liên\r\nkết.
\r\n\r\n13.3.5. FPR_UNL.1.1 Tính không thể liên kết
\r\n\r\nPhân cấp tới: Không có thành phần nào.
\r\n\r\nCác mối phụ thuộc: Không có.
\r\n\r\n13.3.5.1. FPR_UNL.1.1
\r\n\r\nTSF cần đảm bảo rằng [chỉ định: tập các\r\nngười dùng và/hoặc chủ thể] không có khả năng xác định xem [chỉ định: danh\r\nsách các hoạt động][lựa chọn: gây ra bởi người dùng, liên quan như sau\r\n[chỉ định: danh sách các quan hệ]].
\r\n\r\n13.4.1. Hành xử của họ
\r\n\r\nHọ này đảm bảo rằng một người dùng có thể sử\r\ndụng một tài nguyên hoặc dịch vụ mà không có người nào khác, đặc biệt là đối\r\ntác thứ ba, có khả năng quan sát được tài nguyên hoặc dịch vụ đang sử dụng.
\r\n\r\n13.4.2. Phân mức thành phần
\r\n\r\nFPR_UNO.1 Tính không thể quan sát yêu cầu các\r\nngười dùng và/hoặc chủ thể không được có khả năng xác định xem một hoạt động\r\nnào đang được thực hiện.
\r\n\r\nFPR_UNO.2 Tính không thể quan sát ảnh hưởng\r\ncấp phát thông tin yêu cầu TSF quy định các cơ chế xác định để tránh việc tập\r\ntrung các thông tin liên quan đến sự riêng tư bên trong TOE. Sự tập trung đó có\r\nthể ảnh hưởng đến tính không thể quan sát nếu xảy ra một thỏa hiệp an toàn thông\r\ntin.
\r\n\r\nFPR_UNO.3 Tính không thể quan sát không có\r\nthông tin níu kéo yêu cầu TSF không được thử tìm cách lấy thông tin liên quan\r\nriêng tư để dùng cho thỏa hiệp tính không thể quan sát được.
\r\n\r\nFPR_UNO.4 Tính quan sát được dùng có thẩm\r\nquyền yêu cầu TSF quy định một hoặc nhiều người dùng có thẩm quyền, có năng lực\r\nquan sát sự sử dụng các tài nguyên và/hoặc dịch vụ.
\r\n\r\n13.4.3. Quản lý của FPR_UNO.1, FPR_UNO.2
\r\n\r\nCác hành động sau đây có thể xem xét cho các\r\nchức năng quản lý trong FMT:
\r\n\r\na) Quản lý hành vi của chức năng không thể\r\nquan sát được.
\r\n\r\n13.4.4. Quản lý của FPR_UNO.3
\r\n\r\nKhông có các hành động quản lý nào
\r\n\r\n13.4.5. Quản lý của FPR_UNO.4
\r\n\r\nCác hành động sau đây có thể xem xét cho các\r\nchức năng quản lý trong FMT:
\r\n\r\na) Danh sách các người dùng có thẩm quyền có\r\nkhả năng xác định việc xảy ra các hoạt động.
\r\n\r\n13.4.6. Kiểm toán của FPR_UNO.1, FPR_UNO.2
\r\n\r\nCác hành động sau đây có thể được kiểm toán\r\nnếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
\r\n\r\na) Tối thiểu: Viện dẫn cơ chế cho tính không\r\nthể quan sát được.
\r\n\r\n13.4.7. Kiểm toán của FPR_UNO.3
\r\n\r\nKhông có các sự kiện kiểm toán nào.
\r\n\r\n13.4.8. Kiểm toán của FPR_UNO.4
\r\n\r\nCác hành động sau đây có thể được kiểm toán\r\nnếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
\r\n\r\na) Tối thiểu: Quan sát việc sử dụng một tài\r\nnguyên hoặc dịch vụ bởi một người dùng hoặc một chủ thể.
\r\n\r\n13.4.9. FPR_UNO.1 Tính không thể quan sát
\r\n\r\nPhân cấp từ: Không có các thành phần nào
\r\n\r\nCác mối phụ thuộc: Không có
\r\n\r\n13.4.9.1. FPR_UNO.1.1
\r\n\r\nTSF cần đảm bảo rằng [chỉ định: danh sách\r\ncác người dùng và/hoặc chủ thể] không có khả năng quan sát được hoạt động\r\n[chỉ định: danh sách các hoạt động] trên [chỉ định: danh sách các đối\r\ntượng] thông qua [chỉ định: danh sách các người dùng và/hoặc chủ thể\r\nđược bảo vệ].
\r\n\r\n13.4.10. FPR_UNO.2 Tính không thể quan sát\r\nảnh hưởng đến cấp phát thông tin
\r\n\r\nPhân cấp từ: FPR_UNO.1 Tính không thể quan\r\nsát
\r\n\r\nCác mối phụ thuộc: Không có.
\r\n\r\n13.4.10.1. FPR_UNO.2.1
\r\n\r\nTSF cần đảm bảo rằng [chỉ định: danh sách\r\ncác người dùng và/hoặc chủ thể] không có khả năng quan sát được hoạt động\r\n[Chỉ định: danh sách các hoạt động] trên [Chỉ định: danh sách các đối\r\ntượng] thông qua [Chỉ định: danh sách các người dùng và/hoặc chủ thể\r\nđược bảo vệ].
\r\n\r\n13.4.10.2. FPR_UNO.2.2
\r\n\r\nTSF cần cấp phát [Chỉ định: Thông tin liên\r\nquan tính không thể quan sát được] trong số các phần của TOE sao cho điều kiện\r\nsau được giữ suốt thời gian tồn tại của thông tin [Chỉ định: danh sách các\r\nđiều kiện].
\r\n\r\n13.4.11. FPR_UNO.3 Tính không thể quan sát\r\nkhông có thông tin níu kéo
\r\n\r\nPhân cấp từ: Không có thành phần nào.
\r\n\r\nCác mối phụ thuộc: FPR_UNO.1 Tính không thể\r\nquan sát.
\r\n\r\n13.4.11.1. FPR_UNO.3.1
\r\n\r\nTSF cần quy định [Chỉ định: danh sách các\r\ndịch vụ] cho [Chỉ định: danh sách các chủ thể] không níu kéo tham\r\nchiếu đến [Chỉ định: thông tin liên quan tính riêng tư].
\r\n\r\n13.4.12. FPR_UNO.4 Tính quan sát được người\r\ndùng có thẩm quyền
\r\n\r\nPhân cấp từ: Không có các thành phần nào.
\r\n\r\nCác mối phụ thuộc: Không có.
\r\n\r\n13.4.12.1. FPR_UNO.4.1
\r\n\r\nTSF cần quy định [Chỉ định: tập các người\r\ndùng có thẩm quyền] với năng lực quan sát việc sử dụng của [Chỉ định: danh sách\r\ncác tài nguyên và/hoặc dịch vụ].
\r\n\r\n\r\n\r\nLớp này bao gồm các họ yêu cầu chức năng liên\r\nquan đến tính toàn vẹn và sự quản lý của các cơ chế tạo thành TSF và tính toàn\r\nvẹn của dữ liệu TSF. Trong một số trường hợp, các họ trong lớp này có thể xuất\r\nhiện trong các thành phần lặp lại trong FDP: Lớp bảo vệ dữ liệu người dùng;\r\nchúng có thể được triển khai bằng việc sử dụng các cơ chế giống nhau. Mặc dù\r\nvậy, FDP: Bảo vệ dữ liệu người dùng tập trung vào bảo vệ dữ liệu người dùng,\r\ntrong khi FPT: Bảo vệ TSF tập trung vào bảo vệ dữ liệu TSF. Thực tế, các thành\r\nphần trong FPT: Bảo vệ lớp TSF là cần thiết để đưa ra các yêu cầu mà các SFP\r\ntrong TOE không bị xâm phạm hoặc vượt qua.
\r\n\r\nTừ việc xem xét lớp này, liên quan đến TSF,\r\ncó ba phần tử quan trọng:
\r\n\r\na) Việc triển khai TSF, trong đó thực hiện và\r\ntriển khai các cơ chế để thực thi các SFR.
\r\n\r\nb) Dữ liệu TSF, đó là các cơ sở dữ liệu quản\r\ntrị dùng để hướng dẫn thực thi các SFR.
\r\n\r\nc) Các thực thể bên ngoài mà TSF có thể tương\r\ntác với để thực thi các SFR.
\r\n\r\n![](\"00907947_files/image014.jpg\")
14.1.1. Hành xử của họ
\r\n\r\nCác yêu cầu của họ này đảm bảo rằng TOE sẽ\r\nluôn thực thi các SFR của nó trong sự xuất hiện các danh mục lỗi trong TSF.
\r\n\r\n14.1.2. Phân mức thành phần
\r\n\r\nHọ này bao gồm chỉ một thành phần, FPT_FLS.1\r\nLỗi với sự bảo toàn trạng thái an toàn, yêu cầu TSF duy trì một trạng thái an\r\ntoàn khi đối mặt với các lỗi được xác định.
\r\n\r\n14.1.3. Quản lý của FPT_FLS.1
\r\n\r\nKhông có các hoạt động quản lý nào.
\r\n\r\n14.1.4. Kiểm toán của FPT_FLS.1
\r\n\r\nCác hành động sau đây có thể được kiểm toán\r\nnếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
\r\n\r\na) Cơ sở: lỗi của TSF.
\r\n\r\n14.1.5. FPT_FLS.1 Lỗi với bảo toàn trạng thái\r\nan toàn
\r\n\r\nPhân cấp từ: Không có các thành phần nào.
\r\n\r\nCác mối phụ thuộc: Không có sự phụ thuộc.
\r\n\r\n14.1.5.1. FPT_FLS.1.1
\r\n\r\nTSF cần phải duy trì một trạng thái an toàn\r\nkhi xảy ra các kiểu lỗi sau: [chỉ định: danh sách các loại lỗi trong TSF].
\r\n\r\n14.2.1. Hành xử của họ
\r\n\r\nHọ này định nghĩa các quy tắc cho việc duy\r\ntrì tính sẵn sàng chuyển dữ liệu TSF giữa TSF và một sản phẩm IT tin cậy khác.\r\nDữ liệu này, ví dụ là dữ liệu quan trọng của TSF như là mật khẩu, khóa, dữ liệu\r\nkiểm toán hoặc mã thực thi TSF.
\r\n\r\n14.2.2. Phân mức thành phần
\r\n\r\nHọ này bao gồm chỉ một thành phần FPT_ITA.1\r\nTính sẵn sàng liên-TSF trong khoảng đơn vị đo tính sẵn sàng được định nghĩa\r\ntrước. Thành phần này yêu cầu TSF đảm bảo, với một mức độ xác định có thể xảy\r\nra, tính sẵn sàng của dữ liệu TSF quy định cho một sản phẩm IT tin cậy khác.
\r\n\r\n14.2.3. Quản lý của FPT_ITA.1
\r\n\r\nCác hành động sau đây có thể xem xét cho các\r\nchức năng quản lý trong FMT:
\r\n\r\na) quản lý danh sách các loại dữ liệu TSF\r\nphải sẵn sàng đối với một sản phẩm IT tin cậy khác.
\r\n\r\n14.2.4. Kiểm toán của FPT_ITA.1
\r\n\r\nCác hành động sau đây có thể được kiểm toán\r\nnếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
\r\n\r\na) Tối thiểu: sự thiếu dữ liệu TSF khi được\r\nyêu cầu bởi một TOE.
\r\n\r\n14.2.5. FPT_ITA.1 Tính sẵn sàng liên TSF\r\ntrong hệ tính sẵn sàng được định nghĩa
\r\n\r\nPhân cấp từ: Không có các thành phần nào.
\r\n\r\nCác mối phụ thuộc: Không có sự phụ thuộc.
\r\n\r\n14.1.5.1. FPT_ITA.1.1
\r\n\r\nTSF cần đảm bảo tính sẵn sàng của [chỉ định: danh\r\nsách các kiểu dữ liệu TSF] quy định một sản phẩm IT tin cậy khác trong [chỉ\r\nđịnh: một đơn vị đo tính sẵn sàng được định nghĩa trước] đưa ra theo các\r\nđiều kiện [chỉ định: các điều kiện đảm bảo tính sẵn sàng].
\r\n\r\n14.3.1. Hành xử của họ
\r\n\r\nHọ này định nghĩa các quy tắc bảo vệ dữ liệu\r\ntừ việc xâm phạm không có quyền vào dữ liệu trong khi truyền giữa TSF và một\r\nsản phẩm IT tin cậy khác. Dữ liệu này có thể, ví dụ dữ liệu quan trọng của TSF\r\nnhư mật khẩu, mã khóa, dữ liệu kiểm toán hoặc mã thực thi TSF.
\r\n\r\n14.3.2. Phân mức thành phần
\r\n\r\nHọ này bao gồm chỉ một thành phần, FPT_ITC.1\r\nTính bí mật liên-TSF trong quá trình truyền tải, đòi hỏi TSF bảo đảm rằng dữ\r\nliệu được truyền giữa TSF và một sản phẩm IT tin cậy khác được bảo vệ khỏi xâm\r\nphạm trong quá trình truyền.
\r\n\r\n14.3.3. Quản lý của FPT_ITC.1
\r\n\r\nKhông có các hoạt động quản lý nào.
\r\n\r\n14.3.4. Kiểm toán của FPT_ITC.1
\r\n\r\nKhông có các hoạt động quản lý nào.
\r\n\r\n14.3.5. FPT_ITC.1 Độ tin cậy liên TSF trong\r\nquá trình truyền tải
\r\n\r\nPhân cấp từ: Không có các thành phần nào.
\r\n\r\nCác mối phụ thuộc: Không có sự phụ thuộc.
\r\n\r\n14.3.5.1. FPT_ITC.1.1
\r\n\r\nTSF cần bảo vệ tất cả dữ liệu TSF được truyền\r\ntừ TSF đến một sản phẩm IT tin cậy khác khỏi sự xâm phạm bất hợp pháp trong quá\r\ntrình truyền.
\r\n\r\n14.4.1. Hành xử của họ
\r\n\r\nHọ này định nghĩa các quy tắc bảo vệ khỏi sự\r\nthay đổi bất hợp pháp dữ liệu TSF trong quá trình truyền giữa TSF và một sản\r\nphẩm IT tin cậy khác. Dữ liệu này ví dụ là dữ liệu TSF quan trọng như mật khẩu,\r\nmã khóa, dữ liệu kiểm toán hoặc mã thực thi TSF.
\r\n\r\n14.4.2. Phân mức thành phần
\r\n\r\nFPT_ITI.1 Phát hiện sửa đổi liên-TSF, cung\r\ncấp khả năng phát hiện sự thay đổi dữ liệu TSF trong quá trình truyền giữa TSF\r\nvà sản phẩm IT tin cậy khác, với giả thiết rằng sản phẩm IT tin cậy khác đó có\r\nnhận biết được cơ chế sử dụng.
\r\n\r\nFPT_ITI.2 Phát hiện và chỉnh sửa thay đổi\r\nliên-TSF, cung cấp khả năng cho một sản phẩm IT tin cậy khác không những phát\r\nhiện sự thay đổi mà còn sửa sự thay đổi dữ liệu với giả thiết rằng sản phẩm IT\r\ntin cậy khác đó có nhận biết được chế độ sử dụng.
\r\n\r\n14.4.3. Quản lý của FPT_ITI.1
\r\n\r\nKhông có các hoạt động quản lý nào.
\r\n\r\n14.4.4. Quản lý của FPT_ITI.2
\r\n\r\nCác hành động sau đây có thể xem xét cho các\r\nchức năng quản lý trong FMT:
\r\n\r\na) Quản lý các dữ liệu TSF mà TSF có thể sửa\r\nchữa sự thay đổi trong quá trình truyền.
\r\n\r\nb) Quản lý các kiểu hoạt động mà TSF có thể\r\nthực hiện nếu dữ liệu TSF bị thay đổi trong quá trình truyền.
\r\n\r\n14.4.5. Kiểm toán của FPT_ITI.1
\r\n\r\nCác hành động sau đây có thể được kiểm toán\r\nnếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
\r\n\r\na) Tối thiểu: phát hiện sự thay đổi dữ liệu\r\nTSF trong quá trình truyền.
\r\n\r\nb) Cơ sở: hoạt động đưa ra trên phát hiện sự\r\nthay đổi dữ liệu TSF trong quá trình truyền.
\r\n\r\n14.4.6. Kiểm toán của FPT_ITI.2
\r\n\r\nCác hành động sau đây có thể được kiểm toán\r\nnếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
\r\n\r\na) Tối thiểu: phát hiện sự thay đổi dữ liệu\r\nTSF trong quá trình truyền.
\r\n\r\nb) Cơ sở: hành động đưa ra dựa theo phát hiện\r\nsự thay đổi dữ liệu TSF được truyền.
\r\n\r\nc) Cơ sở: sử dụng các cơ chế sửa lỗi.
\r\n\r\n14.4.7. FPT_ITI.1 Phát hiện sự thay đổi\r\nliên-TSF
\r\n\r\nPhân cấp từ: Không có các thành phần nào.
\r\n\r\nCác mối phụ thuộc: Không có sự phụ thuộc.
\r\n\r\n14.4.7.1. FPT_ITI.1.1
\r\n\r\nTSF cần cung cấp khả năng phát hiện sự thay\r\nđổi của tất cả dữ liệu TSF trong quá trình truyền giữa TSF và một sản phẩm IT\r\ntin cậy từ xa với hệ: [chỉ định: một đơn vị thay đổi xác định].
\r\n\r\n14.4.7.2. FPT_ITI.1.2
\r\n\r\nTSF cần cung cấp khả năng kiểm tra tính toàn\r\nvẹn của tất cả dữ liệu TSF được truyền giữa TSF và một sản phẩm IT tin cậy từ\r\nxa và thực hiện [chỉ định: hoạt động cần thực hiện] nếu sự thay đổi được\r\nphát hiện.
\r\n\r\n14.4.8. FPT_ITI.2 Phát hiện và chỉnh sửa thay\r\nđổi liên-TSF
\r\n\r\nPhân cấp từ: FPT_ITI.1 Phát hiện sự thay đổi\r\nliên-TSF
\r\n\r\nCác mối phụ thuộc: Không có sự phụ thuộc.
\r\n\r\n14.4.8.1. FPT_ITI.2.1
\r\n\r\nTSF cần cung cấp khả năng phát hiện sự thay\r\nđổi của tất cả dữ liệu TSF trong quá trình truyền giữa TSF và một sản phẩm IT\r\ntin cậy khác trong theo hệ sau: [chỉ định: một đơn vị thay đổi xác định]
\r\n\r\n14.4.8.2. FPT_ITI.2.2
\r\n\r\nTSF cần cung cấp khả năng phát hiện sự thay\r\nđổi của tất cả dữ liệu truyền giữa TSF và một sản phẩm IT tin cậy khác và thực\r\nhiện [chỉ định: hành động được đưa ra] nếu phát hiện sự thay đổi.
\r\n\r\n14.4.8.3. FPT_ITI.2.3
\r\n\r\nTSF cần cung cấp khả năng sửa lỗi [chỉ định:\r\nkiểu thay đổi] của tất cả dữ liệu TSF được truyền giữa TSF và một sản phẩm IT\r\ntin cậy khác.
\r\n\r\n14.5.1. Hành xử của họ
\r\n\r\nHọ này đưa ra các yêu cầu đề cập đến việc bảo\r\nvệ dữ liệu TSF khi nó được truyền giữa các phần khác nhau bên trong TOE qua một\r\nkênh nội bộ.
\r\n\r\n14.5.2. Phân mức thành phần
\r\n\r\nFPT_ITT.1 Bảo vệ vận chuyển dữ liệu nội bộ\r\nTSF, yêu cầu dữ liệu TSF được bảo vệ khi truyền giữa các phần khác nhau trong\r\nTOE.
\r\n\r\nFPT_ITT.2 Phân chia vận chuyển dữ liệu, yêu\r\ncầu TSF phân chia dữ liệu người dùng từ dữ liệu TSF trong quá trình truyền.
\r\n\r\nFPT_ITT.3 Giám sát tính toàn vẹn dữ liệu, yêu\r\ncầu dữ liệu TSF được truyền giữa các thành phần khác nhau của TOE được giám sát\r\ncác lỗi về toàn vẹn xác định trước.
\r\n\r\n14.5.3. Quản lý của FPT_ITT.1
\r\n\r\nCác hành động sau đây có thể xem xét cho các\r\nchức năng quản lý trong FMT:
\r\n\r\na) Quản lý các loại chống sự thay đổi mà TSF cần\r\nbảo vệ;
\r\n\r\nb) Quản lý các cơ chế sử dụng để cung cấp khả\r\nnăng bảo vệ dữ liệu trong quá trình truyền giữa các phần khác nhau của TSF.
\r\n\r\n14.5.4. Quản lý của FPT_ITT.2
\r\n\r\nCác hành động sau đây có thể xem xét cho các\r\nchức năng quản lý trong FMT:
\r\n\r\na) quản lý các loại chống lại sự thay đổi mà\r\nTSF bảo vệ.
\r\n\r\nb) quản lý các cơ chế sử dụng để cung cấp khả\r\nnăng bảo vệ dữ liệu trong quá trình truyền giữa các phần khác nhau của TSF.
\r\n\r\nc) quản lý cơ chế phân chia.
\r\n\r\n14.5.5. Quản lý của FPT_ITT.3
\r\n\r\nCác hành động sau đây có thể xem xét cho các\r\nchức năng quản lý trong FMT:
\r\n\r\na) quản lý các loại chống lại sự thay đổi mà\r\nTSF bảo vệ.
\r\n\r\nb) quản lý các cơ chế sử dụng để cung cấp khả\r\nnăng bảo vệ dữ liệu trong quá trình truyền giữa các phần khác nhau của TSF.
\r\n\r\nc) quản lý các kiểu thay đổi dữ liệu TSF mà\r\nTSF cần phát hiện.
\r\n\r\nd) Quản lý các hoạt động được đưa ra.
\r\n\r\n14.5.6. Kiểm toán của FPT_ITT.1, FPT_ITT.2
\r\n\r\nKhông có sự kiện có thể kiểm toán nào.
\r\n\r\n14.5.7. Kiểm toán của FPT_ITT.3
\r\n\r\nCác hành động sau đây có thể được kiểm toán\r\nnếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
\r\n\r\na) Tối thiểu: phát hiện sự thay đổi dữ liệu\r\nTSF;
\r\n\r\nb) Cơ sở: đưa ra hành động dựa theo sự phát\r\nhiện lỗi toàn vẹn.
\r\n\r\n14.5.8. FPT_ITTI.1 Bảo vệ vận chuyển dữ liệu\r\nnội bộ TSF cơ bản
\r\n\r\nPhân cấp từ: Không có các thành phần nào.
\r\n\r\nCác mối phụ thuộc: Không có sự phụ thuộc.
\r\n\r\n14.5.8.1. FPT_ITT.1.1
\r\n\r\nTSF cần bảo vệ dữ liệu TSF từ [lựa chọn: xâm\r\nphạm, thay đổi] khi nó được truyền giữa các phần khác nhau của TOE.
\r\n\r\n14.5.9. FPT_ITT.2 Phân chia vận chuyển dữ\r\nliệu TSF
\r\n\r\nPhân cấp từ: FPT_ITT.1 Bảo vệ vận chuyển dữ\r\nliệu nội bộ TSF cơ bản.
\r\n\r\nCác mối phụ thuộc: Không có sự phụ thuộc.
\r\n\r\n14.5.9.1. FPT_ITT.2.1
\r\n\r\nTSF cần bảo vệ dữ liệu từ [lựa chọn: xâm\r\nphạm, thay đổi] khi nó được truyền giữa các phần khác nhau của TOE.
\r\n\r\n14.5.9.2. FPT_ITT.2.2
\r\n\r\nTSF cần phân tách dữ liệu người dùng từ dữ\r\nliệu TSF khi dữ liệu đó được truyền giữa các phần khác nhau của TOE.
\r\n\r\n14.5.10. FPT_ITT.3 Giám sát tính toàn vẹn dữ\r\nliệu TSF
\r\n\r\nPhân cấp từ: Không có các thành phần nào.
\r\n\r\nCác mối phụ thuộc: FPT_ITT.1 Bảo vệ vận\r\nchuyển dữ liệu nội bộ TSF cơ bản.
\r\n\r\n14.5.10.1. FPT_ITT.3.1
\r\n\r\nTSF cần có khả năng phát hiện [lựa chọn:thay\r\nđổi dữ liệu, thay thế dữ liệu, sắp xếp lại dữ liệu, xóa dữ liệu, [chỉ định: các\r\nlỗi toàn vẹn khác]] đối với dữ liệu TSF được truyền giữa các thành phần\r\nkhác nhau của TOE.
\r\n\r\n14.5.10.2. FPT_ITT.3.2
\r\n\r\nKhi phát hiện lỗi toàn vẹn dữ liệu, TSF cần\r\nthực hiện các hành động sau: [Chỉ định: xác định hành động cần thực hiện].
\r\n\r\n14.6.1. Hành xử của họ
\r\n\r\nBảo vệ các thành phần vật lý TSF tham chiếu\r\nđến giới hạn quyền truy nhập vật lý đến TSF, và sự ngăn chặn chúng, và bảo vệ\r\ntrước thay đổi vật lý trái phép, hoặc thay thế trong TSF.
\r\n\r\nCác yêu cầu đối với các thành phần trong họ\r\nnày đảm bảo rằng TSF được bảo vệ khỏi sự giả mạo và sự can thiệp vật lý. Để\r\nthỏa mãn các yêu cầu đó thì các kết quả các thành phần này trong TSF được đóng\r\ngói và sử dụng như là một kiểu mà sự xâm phạm vật lý được phát hiện, hoặc sự phản\r\nứng với xâm phạm vật lý bị ngăn chặn. Không có các thành phần này, các chức\r\nnăng của một TSF bị mất tác dụng trong môi trường mà ở đó sự phá hủy vật lý\r\nkhông được ngăn chặn. Họ này cũng quy định các yêu cầu về cách mà TSF phản ứng\r\nlại các xâm phạm vật lý.
\r\n\r\n14.6.2. Phân mức thành phần
\r\n\r\nFPT_PHP.1 phát hiện thụ động với tấn công vật\r\nlý, cung cấp các đặc trưng chỉ ra khi một thiết bị TSF hoặc phần tử TSF là chủ\r\nthể bị xâm phạm. Tuy nhiên thông báo về xâm phạm không tự động; một người dùng\r\nđược phép sẽ phải thực hiện một chức năng quản lý an toàn, hoặc thực hiện thẩm\r\ntra thủ công để xác định xem có hiện tượng xâm phạm xảy ra hay không.
\r\n\r\nFPT_PHP.2 Thông báo tấn công vật lý, cung cấp\r\nthông báo tự động về một tấn công với một tập các xâm phạm vật lý đã được xác\r\nđịnh.
\r\n\r\nFPT_PHP.3 Phản ứng lại tấn công vật lý, cung\r\ncấp các đặc trưng để ngăn chặn hoặc chống lại sự xâm phạm đến các thiết bị và\r\ncác phần tử TSF.
\r\n\r\n14.6.3. Quản lý của FPT_PHP.1
\r\n\r\nCác hành động sau đây có thể xem xét cho các\r\nchức năng quản lý trong FMT:
\r\n\r\na) Quản lý người sử dụng hay các quyền mà nó\r\nxác định liệu tấn công vật lý có thể xảy ra.
\r\n\r\n14.6.4. Quản lý của FPT_PHP.2
\r\n\r\nCác hành động sau đây có thể xem xét cho các\r\nchức năng quản lý trong FMT:
\r\n\r\na) Quản lý người sử dụng hay quyền mà họ nhận\r\nđược thông báo vệ sự xâm nhập.
\r\n\r\nb) Quản lý danh sách các thiết bị mà nó sẽ\r\nthông báo chỉ ra người hoặc vai trò của họ về sự xâm nhập.
\r\n\r\n14.6.5. Quản lý của FPT_PHP.3
\r\n\r\nCác hành động sau đây có thể xem xét cho các\r\nchức năng quản lý trong FMT:
\r\n\r\na) Quản lý các phản ứng tự động với sự xâm phạm\r\nvật lý.
\r\n\r\n14.6.6. Kiểm toán của FPT_PHP.1
\r\n\r\nCác hành động sau đây có thể được kiểm toán\r\nnếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
\r\n\r\na) Tối thiểu: Nếu phát hiện bởi các phương\r\ntiện IT, sự phát hiện xâm nhập.
\r\n\r\n14.6.7. Kiểm toán của FPT_PHP.2
\r\n\r\nCác hành động sau đây có thể được kiểm toán\r\nnếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
\r\n\r\na) Tối thiểu: phát hiện xâm nhập.
\r\n\r\n14.6.8. Kiểm toán của FPT_PHP.3
\r\n\r\nKhông có sự kiện có thể kiểm toán nào.
\r\n\r\n14.6.9. FPT_PHP.1 Phát hiện thụ động tấn công\r\nvật lý
\r\n\r\nPhân cấp từ: Không có các thành phần nào.
\r\n\r\nCác mối phụ thuộc: Không có sự phụ thuộc.
\r\n\r\n14.6.9.1. FPT_PHP.1.1
\r\n\r\nTSF cần cung cấp khả năng phát hiện rõ ràng\r\nvề tấn công vật lý có thể làm tồn tại đến TSF.
\r\n\r\n14.6.9.2. FPT_PHP.1.2
\r\n\r\nTSF cần cung cấp khả năng xác định liệu có\r\nxảy ra tấn công vật lý đến các thiết bị hoặc phần tử của TSF.
\r\n\r\n14.6.10. FPT_PHP.2 Thông báo tấn công vật lý
\r\n\r\nPhân cấp từ: FPT_PHP.1 Phát hiện thụ động tấn\r\ncông vật lý
\r\n\r\nCác mối phụ thuộc: FMT_MOF.1 Quản lý các hành\r\nxử của chức năng an toàn.
\r\n\r\n14.6.10.1. FPT_PHP.2.1
\r\n\r\nTSF cần cung cấp khả năng phát hiện rõ ràng\r\nvề tấn công vật lý có thể làm tổn hại đến TSF.
\r\n\r\n14.6.10.2. FPT_PHP.2.2
\r\n\r\nTSF cần cung cấp khả năng xác định liệu tấn\r\ncông vật lý có thể xảy ra đối với các thiết bị hoặc phần tử TSF.
\r\n\r\n14.6.10.3. FPT_PHP.2.3
\r\n\r\nVới [chỉ định: danh sách các thiết bị/phần\r\ntử TSF có yêu cầu phát hiện tích cực], TSF cần giám sát các thiết bị và\r\nphần tử và thông báo [chỉ định: một người sử dụng hay một vai trò đã xác\r\nđịnh] khi xảy ra tấn công vật lý với các thiết bị hoặc phần tử TSF.
\r\n\r\n14.6.11. FPT_PHP.3 Chống tấn công vật lý
\r\n\r\nPhân cấp từ: Không có các thành phần nào.
\r\n\r\nCác mối phụ thuộc: Không có sự phụ thuộc.
\r\n\r\n14.6.11.1. FPT_PHP.3.1
\r\n\r\nTSF cần chống lại [chỉ định: các kịch bản tấn\r\ncông vật lý] đối với [chỉ định: danh sách các thiết bị/phần tử TSF] bằng việc\r\nphản ứng một cách tự động sao cho TSP không bị vi phạm.
\r\n\r\n14.7.1. Hành xử của họ
\r\n\r\nCác yêu cầu của họ này đảm bảo rằng TSF có\r\nthể xác định TOE được khởi động mà không có khả năng bảo vệ và có thể khôi phục\r\nsau khi bị ngừng hoạt động. Họ này rất quan trọng bởi vì trạng thái khởi động\r\nTSF xác định sự bảo vệ các trạng thái tiếp theo.
\r\n\r\n14.7.2. Phân mức thành phần
\r\n\r\nFPT_RCV.1 Khôi phục thủ công, cho phép một\r\nTOE quy định cơ chế can thiệp của con người vào trạng thái an toàn.
\r\n\r\nFPT_RCV.2 Tự động khôi phục, quy định tối\r\nthiểu một dạng dịch vụ khôi phục sự gián đoạn trạng thái an toàn mà không cần\r\ncan thiệp của con người, khôi phục các gián đoạn khác có thể vẫn cần sự can\r\nthiệp của con người.
\r\n\r\nFPT_RCV.3 Tự động khôi phục không làm tổn hại\r\nlớn cũng cung cấp khả năng khôi phục tự động nhưng nó mạnh hơn bằng cách ngăn\r\nchặn các tổn thất lớn đối với các đối tượng được bảo vệ.
\r\n\r\nFPT_RCV.4 Chức năng khôi phục, cung cấp khả\r\nnăng khôi phục ở mức SF đặc biệt, đảm bảo khôi phục dữ liệu TSF sang trạng thái\r\nan toàn hoàn toàn.
\r\n\r\n14.7.3. Quản lý của FPT_RCV.1
\r\n\r\nCác hành động sau đây có thể xem xét cho các\r\nchức năng quản lý trong FMT:
\r\n\r\na) Quản lý việc ai có quyền khôi phục trong\r\nchế độ bảo trì
\r\n\r\n14.7.4. Quản lý của FPT_RCV.2, FPT_RCV.3
\r\n\r\nCác hành động sau đây có thể xem xét cho các\r\nchức năng quản lý trong FMT:
\r\n\r\na) Quản lý có quyền khôi phục trong chế độ\r\nbảo trì.
\r\n\r\nb) Quản lý danh sách lỗi/gián đoạn dịch vụ có\r\nthể kiểm soát thông qua các thủ tục tự động
\r\n\r\n14.7.5. Quản lý của FPT_RCV.4
\r\n\r\nKhông có hoạt động quản lý nào.
\r\n\r\n14.7.6. Kiểm toán của FPT_RCV.1, FPT_RCV.2,\r\nFPT_RCV.3
\r\n\r\nCác hành động sau đây có thể được kiểm toán\r\nnếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
\r\n\r\na) Tối thiểu: thực tế lỗi hoặc gián đoạn dịch\r\nvụ có thể xảy ra.
\r\n\r\nb) Tối thiểu: bắt đầu hoạt động lại một cách\r\nbình thường.
\r\n\r\nc) Cơ sở: loại lỗi hoặc gián đoạn dịch vụ.
\r\n\r\n14.7.7. Kiểm toán của FPT_RCV.4
\r\n\r\nCác hành động sau đây có thể được kiểm toán\r\nnếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
\r\n\r\na) Tối thiểu: nếu có thể, tính không thể trở\r\nvề trạng thái an toàn sau lỗi của một chức năng an toàn.
\r\n\r\nb) Cơ sở: nếu có thể, sự phát hiện lỗi của\r\nmột chức năng an toàn.
\r\n\r\n14.7.8. FPT_RCV.1 Khôi phục thủ công
\r\n\r\nPhân cấp từ: Không có các thành phần nào.
\r\n\r\nCác mối phụ thuộc: AGD_OPE.1 Hướng dẫn người\r\ndùng vận hành.
\r\n\r\n14.7.8.1. FPT_RCV.1.1
\r\n\r\nSau khi [chỉ định: danh sách lỗi/gián đoạn\r\ndịch vụ] TSF cần đưa ra chế độ bảo trì mà ở đó cung cấp khả năng trở về\r\ntrạng thái an toàn.
\r\n\r\n14.7.9. FPT_RCV.2 Khôi phục tự động
\r\n\r\nPhân cấp từ: FPT_TCV.1 Khôi phục thủ công
\r\n\r\nCác mối phụ thuộc: AGD_OPE.1 Hướng dẫn người\r\ndùng vận hành.
\r\n\r\n14.7.9.1. FPT_RCV.2.1
\r\n\r\nKhi tự động khôi phục từ [chỉ định: danh sách\r\nlỗi/gián đoạn dịch vụ] là không thể, thì TSF cần về chế độ bảo trì, có khả năng\r\nquay trở lại trạng thái an toàn.
\r\n\r\n14.7.9.2. FPT_RCV.2.2
\r\n\r\nVới [chỉ định: danh sách lỗi/gián đoạn dịch\r\nvụ] TSF cần bảo đảm TOE trở về trạng thái an toàn sử dụng các thủ tục tự động
\r\n\r\n14.7.10. FPT_RCV.3 Khôi phục tự động tránh\r\ntổn thất lớn
\r\n\r\nPhân cấp từ: FPT_RCV.2 Khôi phục tự động.
\r\n\r\nCác mối phụ thuộc: AGD_OPE.1 Hướng dẫn người\r\ndùng vận hành.
\r\n\r\n14.7.10.1. FPT_RCV.3.1
\r\n\r\nKhi khôi phục tự động từ [chỉ định: danh\r\nsách lỗi/gián đoạn dịch vụ] là không thể, TSF cần chuyển sang chế độ bảo\r\ntrì, nơi có khả năng quay trở lại trạng thái an toàn.
\r\n\r\n14.7.10.2. FPT_RCV.3.2
\r\n\r\nVới [chỉ định: danh sách lỗi/gián đoạn dịch\r\nvụ], TSF cần đảm bảo TOE quay trở lại trạng thái an toàn sử dụng các thủ tục tự\r\nđộng.
\r\n\r\n14.7.10.3. FPT_RCV.3.3
\r\n\r\nCác chức năng quy định bởi TSF để khôi phục\r\nlỗi hoặc gián đoạn dịch vụ cần đảm bảo rằng trạng thái khởi động an toàn được\r\nkhôi phục không vượt quá [chỉ định: số lượng] đối với tổn thất dữ liệu\r\nTSF hoặc đối tượng trong TSC.
\r\n\r\n14.7.10.4. FPT_RCV.3.4
\r\n\r\nTSF cần cung cấp khả năng xác định các đối\r\ntượng có hoặc không có khả năng khôi phục.
\r\n\r\n14.7.11. FPT_RCV.4 Khôi phục chức năng
\r\n\r\nPhân cấp từ: Không có các thành phần nào.
\r\n\r\nCác mối phụ thuộc: Không có sự phụ thuộc.
\r\n\r\n14.7.11.1. FPT_RCV.4.1
\r\n\r\nTSF cần đảm bảo [chỉ định: danh sách SFs\r\nvà các kịch bản lỗi] có đặc tính là hoặc SF hoàn thành thành công hoặc chỉ\r\nra các kịch bản lỗi, khôi phục về trạng thái an toàn và phù hợp.
\r\n\r\n14.8.1. Hành xử của họ
\r\n\r\nHọ này đề cập đến việc phát hiện và chạy lại\r\nvới các loại thực thể trước đó (ví dụ: tin nhắn, yêu cầu dịch vụ, đáp ứng dịch\r\nvụ) và các hoạt động tiếp theo để sửa lỗi. Trong trường hợp này vị trí chạy lại\r\nđược phát hiện và như vậy nó có thể ngăn ngừa một cách hiệu quả.
\r\n\r\n14.8.2. Phân mức thành phần
\r\n\r\nHọ này bao gồm chỉ một thành phần FPT_RPL.1\r\nPhát hiện chạy lại, nó đòi hỏi TSF có khả năng phát hiện các thực thể xác định\r\nchạy lại.
\r\n\r\n14.8.3. Quản lý của FPT_RPL.1
\r\n\r\nCác hành động sau đây có thể xem xét cho các\r\nchức năng quản lý trong FMT:
\r\n\r\na) Quản lý danh sách các thực thể xác định\r\nđược phát hiện chạy lại.
\r\n\r\nb) Quản lý danh sách các hoạt động cần đưa ra\r\ntrong trường hợp chạy lại.
\r\n\r\n14.8.4. Kiểm toán của FPT_RPL.1
\r\n\r\nCác hành động sau đây có thể được kiểm toán\r\nnếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
\r\n\r\na) Cơ sở: phát hiện các tấn công chạy lại
\r\n\r\nb) Chi tiết: Hoạt động đưa ra dựa trên các\r\nhoạt động cụ thể.
\r\n\r\n14.8.5. FPT_RPL.1 Phát hiện chạy lại
\r\n\r\nPhân cấp từ: Không có các thành phần nào.
\r\n\r\nCác mối phụ thuộc: Không có sự phụ thuộc.
\r\n\r\n14.8.5.1. FPT_RPL.1.1
\r\n\r\nTSF cần phát hiện chạy lại theo các thực thể\r\nnhư sau: [chỉ định: danh sách các thực thể xác định].
\r\n\r\n14.8.5.2. FPT_RPL.1.2
\r\n\r\nTSF cần thực hiện [Chỉ định: danh sách các\r\nhoạt động cụ thể] khi phát hiện chạy lại.
\r\n\r\n14.9.1. Hành xử của họ
\r\n\r\nHệ thống phân tán có thể có độ phức tạp hơn\r\nnhiều so với các hệ thống tập trung vì các trạng thái khác nhau giữa các phần\r\ncủa hệ thống, và vì độ trễ trong truyền thông. Trong hầu hết các trường hợp\r\nđồng bộ trạng thái giữa các chức năng phân tán cần phải có một giao thức trao\r\nđổi, không chỉ đơn giản là một hành động. Khi xuất hiện điểm yếu trong môi\r\ntrường phân tán của các giao thức này thì cần có nhiều hơn các giao thức bảo vệ\r\nphức tạp hơn.
\r\n\r\nGiao thức đồng bộ trạng thái (FPT_SSP) thiết\r\nlập yêu cầu cho các chức năng an toàn trọng yếu nhất định của TSF để sử dụng\r\ngiao thức tin cậy này. Giao thức đồng bộ trạng thái đảm bảo rằng hai thành phần\r\nphân tán của TOE (ví dụ như các máy chủ) được đồng bộ trạng thái sau khi có\r\nhành động an toàn thích hợp.
\r\n\r\n14.9.2. Phân mức thành phần
\r\n\r\nFPT_SSP.1 Xác nhận tin cậy đơn, đòi hỏi chỉ\r\nmột xác nhận đơn giản từ phía người nhận dữ liệu.
\r\n\r\nFPT_SSP.2 Xác nhận tin cậy tương hỗ, đòi hỏi\r\nxác nhận từ cả hai phía trao đổi dữ liệu.
\r\n\r\n14.9.3. Quản lý của FPT_SSP.1, FPT_SSP.2
\r\n\r\nKhông có các hoạt động quản lý nào.
\r\n\r\n14.9.4. Kiểm toán của FPT_SSP.1, FPT_SSP.2
\r\n\r\nCác hành động sau đây có thể được kiểm toán\r\nnếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
\r\n\r\na) Tối thiểu: nhận được thông báo lỗi khi có\r\nnhu cầu.
\r\n\r\n14.9.5. FPT_SSP.1 Xác nhận tin cậy một chiều\r\n(đơn)
\r\n\r\nPhân cấp từ: Không có các thành phần nào.
\r\n\r\nCác mối phụ thuộc: FPT_ITT.1 Bảo vệ vận\r\nchuyển dữ liệu nội bộ TSF cơ bản.
\r\n\r\n14.9.5.1. FPT_SSP.1.1
\r\n\r\nTSF cần xác nhận, khi có yêu cầu của một bộ\r\nphận khác trong TSF, cho nơi nhận truyền dữ liệu TSF không thay đổi.
\r\n\r\n14.9.6. FPT_SSP.2 Xác nhận tin cậy hai chiều
\r\n\r\nPhân cấp từ: FPT_SSP.1 Xác nhận tin cậy đơn\r\ngiản.
\r\n\r\nCác mối phụ thuộc: FPT_ITT.1 Bảo vệ vận\r\nchuyển dữ liệu nội bộ TSF cơ bản.
\r\n\r\n14.9.6.1. FPT_SSP.2.1
\r\n\r\nTSF cần xác nhận, khi có yêu cầu của một bộ\r\nphận khác trong TSF, cho nơi nhận truyền dữ liệu TSF không thay đổi.
\r\n\r\n14.9.6.2. FPT_SSP.2.2
\r\n\r\nTSF cần đảm bảo rằng các thành phần tương ứng\r\ncủa TSF nhận biết được trạng thái đúng của dữ liệu truyền trong số các thành\r\nphần khác nhau, sử dụng các xác nhận.
\r\n\r\n14.10.1. Hành xử của họ
\r\n\r\nHọ này xác định các yêu cầu cho chức năng\r\nnhãn thời gian tin cậy trong TOE.
\r\n\r\n14.10.2. Phân mức thành phần
\r\n\r\nHọ này bao gồm chỉ một thành phần, FPT_STM.1\r\nCác nhãn thời gian tin cậy, nó đòi hỏi TSF quy định các nhãn thời gian tin cậy\r\ncho các chức năng TSF.
\r\n\r\n14.10.3. Quản lý của FPT_STM.1
\r\n\r\nCác hành động sau đây có thể xem xét cho các\r\nchức năng quản lý trong FMT:
\r\n\r\na) Quản lý thời gian.
\r\n\r\n14.10.4. Kiểm toán của FPT_STM.1
\r\n\r\nCác hành động sau đây có thể được kiểm toán\r\nnếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
\r\n\r\na) Tối thiểu: thay đổi thời gian
\r\n\r\nb) Chi tiết: quy định một nhãn thời gian.
\r\n\r\n14.10.5. FPT_STM.1 Thẻ thời gian tin cậy
\r\n\r\nPhân cấp từ: Không có các thành phần nào.
\r\n\r\nCác mối phụ thuộc: Không có sự phụ thuộc.
\r\n\r\n14.10.5.1. FPT_STM.1.1
\r\n\r\nTSF cần có khả năng quy định các nhãn thời\r\ngian tin cậy.
\r\n\r\n14.11.1. Hành xử của họ
\r\n\r\nTrong môi trường hệ thống phân tán hoặc phức\r\nhợp, một TOE có thể cần trao đổi dữ liệu TSF (ví dụ các thuộc tính SFP liên\r\nquan đến dữ liệu, thông tin kiểm toán, thông tin định danh) với các sản phẩm IT\r\ntin cậy khác, họ này định nghĩa các yêu cầu cho việc chia sẻ và thể hiện tính\r\nnhất quán của các thuộc tính này giữa TSF và TOE và các sản phẩm IT tin cậy\r\nkhác.
\r\n\r\n14.11.2. Phân mức thành phần
\r\n\r\nFPT_TDC.1 Tính nhất quán dữ liệu TSF cơ sở\r\nliên-TSF đòi hỏi TSF cung cấp khả năng đảm bảo tính nhất quán của các thuộc\r\ntính giữa các TSF.
\r\n\r\n14.11.3. Quản lý của FPT_TDC.1
\r\n\r\nKhông có các hoạt động quản lý nào.
\r\n\r\n14.11.4. Kiểm toán của FPT_TDC.1
\r\n\r\nCác hành động sau đây có thể được kiểm toán\r\nnếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
\r\n\r\na) Tối thiểu: sử dụng thành công các cơ chế\r\nnhất quán dữ liệu TSF.
\r\n\r\nb) Cơ sở: sử dụng các cơ chế nhất quán dữ\r\nliệu TSF.
\r\n\r\nc) Cơ sở: xác định dữ liệu TSF nào được\r\nchuyển đổi.
\r\n\r\nd) Cơ sở: phát hiện thay đổi dữ liệu.
\r\n\r\n14.11.5. FPT_TDC.1 Tính nhất quán dữ liệu TSF\r\ncơ bản liên-TSF
\r\n\r\nPhân cấp từ: Không có các thành phần nào.
\r\n\r\nCác mối phụ thuộc: Không có sự phụ thuộc.
\r\n\r\n14.11.5.1. FPT_TDC.1.1
\r\n\r\nTSF cần cung cấp khả năng giải nghĩa một cách\r\nnhất quán [chỉ định: danh sách kiểu dữ liệu TSF] khi chia sẻ giữa TSF và\r\nsản phẩm CNTT tin cậy khác.
\r\n\r\n14.11.5.2. FPT_TDC.1.2
\r\n\r\nTSF cần sử dụng [chỉ định: danh sách các\r\nquy tắc chuyển đổi được áp dụng bởi TSF] khi giải nghĩa dữ liệu TSF từ sản\r\nphẩm IT tin cậy khác.
\r\n\r\n14.12.1. Hành xử của họ
\r\n\r\nHọ này định nghĩa các yêu cầu cho TSF thực\r\nthi các kiểm thử trên một hoặc nhiều thực thể bên ngoài.
\r\n\r\nThành phần này không được tính đến để áp dụng\r\ncho con người.
\r\n\r\nCác thực thể bên ngoài có thể bao gồm các ứng\r\ndụng chạy trên TOE, phần cứng hay phần mềm chạy "bên dưới" TOE (chẳng\r\nhạn như các nền tảng, các hệ điều hành v.v…) hay các ứng dụng/hộp kết nối với\r\nTOE (như các hệ thống phát hiện xâm nhập, tường lửa, các máy chủ đăng nhập, các\r\nmáy chủ thời gian v.v…).
\r\n\r\n14.12.2. Phân mức thành phần
\r\n\r\nFPT_TEE.1 Kiểm thử các thực thể bên ngoài,\r\ncung cấp các kiểm thử về các thực thể bên ngoài nhờ TSF.
\r\n\r\n14.12.3. Quản lý của FPT_TEE.1
\r\n\r\nCác hành động sau đây có thể xem xét cho các\r\nchức năng quản lý trong FMT:
\r\n\r\na) Quản lý với các điều kiện mà theo đó các\r\nkiểm thử của các thực thể bên ngoài xảy ra, chẳng hạn như trong quá trình khởi\r\nđộng ban đầu, khoảng thời gian quy định, hay dưới các điều kiện đặc biệt;
\r\n\r\nb) Quản lý theo khoảng thời gian nếu thích\r\nhợp.
\r\n\r\n14.12.4. Kiểm toán cho FPT_TEE.1
\r\n\r\nCác hành động sau đây có thể được kiểm toán\r\nnếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
\r\n\r\na) Cơ sở: Việc thực hiện việc kiểm thử của\r\ncác thực thể bên ngoài và các kết quả kiểm thử.
\r\n\r\n14.12.5. FPT_TEE.1 Kiểm thử các thực thể bên\r\nngoài
\r\n\r\nPhân cấp từ: Không có các thành phần nào.
\r\n\r\nCác mối phụ thuộc: Không có sự phụ thuộc.
\r\n\r\n6.1.1.3. FPT_TEE.1.1
\r\n\r\nTSF cần chạy một bộ các kiểm thử [lựa chọn:\r\ntrong suốt thời gian khởi động ban đầu, định kỳ trong quá trình hoạt động bình\r\nthường, tại các yêu cầu của người dùng có thẩm quyền, [chỉ định: các điều\r\nkiện khác]] để kiểm tra việc thực hiện của [chỉ định: danh sách các\r\nthuộc tính của các thực thể bên ngoài].
\r\n\r\n6.1.1.4. FPT_TEE.1.2
\r\n\r\nNếu các kiểm thử thất bại, TSF cần [chỉ định:\r\ncác hành động]
\r\n\r\n14.13.1. Hành xử của họ
\r\n\r\nCác yêu cầu của họ này cần thiết để đảm bảo\r\ntính nhất quán của dữ liệu khi dữ liệu được sao lưu trong TOE. Dữ liệu như vậy\r\ncó thể trở thành không nhất quán nếu kênh truyền bên trong giữa các bộ phận của\r\nTOE làm ngưng hoạt động. Nếu TOE được xây dựng bên trong như một là một mạng và\r\nmột phần các kết nối mạng TOE bị đứt thì điều này có thể xảy ra khi phần đó trở\r\nlà không kích hoạt.
\r\n\r\n14.13.2. Phân mức thành phần
\r\n\r\nHọ này bao gồm chỉ một thành phần, FPT_TRC.1\r\n- tính nhất quán trong TSF các yêu cầu này là TSF đảm bảo tính nhất quán của dữ\r\nliệu TSF khi nó được sao lưu tại nhiều nơi.
\r\n\r\n14.13.3. Quản lý của FPT_TRC.1
\r\n\r\nKhông có các hoạt động quản lý nào.
\r\n\r\n14.13.4. Kiểm toán của FPT_TRC.1
\r\n\r\nCác hành động sau đây có thể được kiểm toán\r\nnếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
\r\n\r\na) Tối thiểu: Khôi phục tính nhất quán theo\r\nkhôi phục kết nối.
\r\n\r\nb) Cơ sở: Phát hiện tính không nhất quán của\r\ndữ liệu TSF.
\r\n\r\n14.13.5. FPT_TRC.1 Tính nhất quán bên trong\r\nTSF
\r\n\r\nPhân cấp từ: Không có thành phần khác.
\r\n\r\nCác mối phụ thuộc: FPT_ITT.1 Bảo vệ truyền dữ\r\nliệu trong TSF cơ bản.
\r\n\r\n14.13.5.1. FPT_TRC.1.1
\r\n\r\nTSF cần đảm bảo dữ liệu TSF là nhất quán khi\r\nsao chép giữa các phần của TOE.
\r\n\r\n14.13.5.2. FPT_TRC.1.2
\r\n\r\nKhi các phần của TOE chứa dữ liệu sao chép\r\nTSF bị gián đoạn, TSF cần đảm bảo tính nhất quán của dữ liệu sao chép TSF từ\r\nkhi kết nối lại trước khi xử lý bất cứ yêu cầu nào cho [chỉ định: danh sách\r\ncác SF phụ thuộc vào tính nhất quán sao chép dữ liệu TSF].
\r\n\r\n14.14.1. Hành xử của họ
\r\n\r\nHọ này định nghĩa các yêu cầu cho việc tự\r\nkiểm tra TSF tập trung vào một số hoạt động chuẩn mong muốn. Ví dụ các giao\r\ndiện đối với các chức năng thực thi và các hoạt động số học lấy mẫu trên cơ sở\r\ncác phần quan trọng của TOE. Các kiểm tra này có thể thực hiện tại lúc khởi\r\ntạo, định kỳ, tại lúc có yêu cầu của người đủ thẩm quyền, hoặc khi thỏa mãn các\r\nđiều kiện khác. Các hoạt động có thể được đưa ra bởi TOE như là kết quả của\r\nviệc tự kiểm tra được định nghĩa trong các họ khác.
\r\n\r\nCác yêu cầu của họ cũng cần thiết để phát\r\nhiện sự gián đoạn của mã thực thi TSF (ví dụ phần mềm TSF) và dữ liệu TSF bởi\r\ncác lỗi khác mà không cần thiết phải dừng hoạt động của TOE (nó được kiểm soát\r\nbởi các họ khác) các kiểm tra này phải được thực hiện bởi vì các lỗi đó có thể\r\nkhông cần thiết phải bảo vệ. Các lỗi như vậy có thể xảy ra hoặc vì các chế độ\r\nlỗi không được dự đoán trước hoặc liên quan đến sai sót trong thiết kế phần\r\ncứng, phần mềm, hoặc bởi vì sự gián đoạn cố ý của TSF vì không phù hợp logic\r\nvà/hoặc sự bảo vệ vật lý.
\r\n\r\n14.14.2. Phân mức thành phần
\r\n\r\nFPT_TST.1 TSF kiểm tra, cung cấp khả năng\r\nkiểm tra hoạt động đúng của TSF. Các kiểm tra này có thể được thực hiện tại\r\nthời điểm khởi động, định kỳ, hoặc theo yêu cầu của người có thẩm quyền, hay\r\nkhi các điều kiện khác thỏa mãn. Nó cũng cung cấp khả năng kiểm tra tính toàn\r\nvẹn của dữ liệu TSF và mã thực thi.
\r\n\r\n14.14.3. Quản lý của FPT_TST.1
\r\n\r\nCác hành động sau đây có thể xem xét cho các\r\nchức năng quản lý trong FMT:
\r\n\r\na) Quản lý các điều kiện để TSF tự kiểm tra,\r\nví dụ trong khi khởi động, khoảng thời gian đều đặn hoặc theo một số điều kiện\r\ncụ thể.
\r\n\r\nb) Quản lý khoảng thời gian thích hợp.
\r\n\r\n14.14.4. Kiểm toán của FPT_TST.1
\r\n\r\nCác hành động sau đây có thể được kiểm toán\r\nnếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
\r\n\r\na) Cơ sở: thực hiện tự kiểm tra TSF và các\r\nkết quả kiểm tra.
\r\n\r\n14.14.5. FPT_TST.1 kiểm tra TSF
\r\n\r\nPhân cấp từ: Không có các thành phần nào.
\r\n\r\nCác mối phụ thuộc: Không có sự phụ thuộc.
\r\n\r\n14.14.5.1. FPT_TST.1.1
\r\n\r\nTSF cần thực hiện một bộ các tự kiểm tra [lựa\r\nchọn: trong quá trình khởi tạo, hoạt động một cách định kỳ, tại thời điểm yêu\r\ncầu của người có thẩm quyền, ở các điều kiện [chỉ định: các điều kiện cho tự\r\nkiểm tra]] để chứng tỏ hoạt động của TSF là đúng đắn. [lựa chọn: [ấn\r\nđịnh: các bộ phận của TSF], TSF].
\r\n\r\n14.14.5.2. FPT_TST.1.2
\r\n\r\nTSF cần quy định cho người sử dụng hợp pháp\r\nkhả năng kiểm tra tính toàn vẹn của [lựa chọn: [chỉ định: các bộ phận của\r\nTSF], dữ liệu TSF].
\r\n\r\n14.14.5.3. FPT_TST.1.3
\r\n\r\nTSF cần quy định cho người sử dụng hợp pháp\r\nkhả năng kiểm tra tính toàn vẹn của mã thực thi được lưu trong TSF.
\r\n\r\nLớp này giới thiệu 3 họ hỗ trợ cho tính sẵn\r\nsàng của các tài nguyên được yêu cầu, chẳng hạn như về khả năng xử lý và/hay\r\ndung lượng dự trữ. Họ khả năng chịu lỗi (Faul Tolerance) quy định sự bảo vệ đối\r\nvới khả năng không sẵn sàng do lỗi của TOE gây ra. Họ Quyền ưu tiên của dịch vụ\r\n(Priority of Service) đảm bảo tài nguyên sẽ được cấp phát cho những nhiệm vụ\r\nquan trọng hơn và tài nguyên đó không thể giữ độc quyền bởi những nhiệm vụ có\r\nquyền ưu tiên thấp hơn. Họ Cấp phát tài nguyên (Resource Allocation) đưa ra\r\ngiới hạn về việc sử dụng các tài nguyên sẵn có, vì thế sẽ ngăn chặn việc người\r\ndùng chiếm dụng độc quyền tài nguyên.
\r\n\r\n![](\"00907947_files/image015.jpg\")
15.1.1. Hành xử của họ
\r\n\r\nCác yêu cầu của họ này đảm bảo rằng TOE sẽ\r\nduy trì hoạt động chính xác ngay cả khi có lỗi.
\r\n\r\n15.1.2. Phân mức thành phần
\r\n\r\nFRU_FLT.1 Khả năng chịu lỗi suy giảm, yêu cầu\r\nTOE vẫn hoạt động chính xác với những khả năng xác định trong sự kiện lỗi xác\r\nđịnh.
\r\n\r\nFRU_FLT.2 Khả năng chịu lỗi giới hạn (Limited\r\nfault tolerance), yêu cầu TOE vẫn hoạt động chính xác ở mọi khả năng trong sự\r\nkiện lỗi xác định.
\r\n\r\n15.1.3. Quản lý của FRU_FLT.1, FRU_FLT.2
\r\n\r\nKhông có các hoạt động quản lý nào.
\r\n\r\n15.1.4. Kiểm toán của FRU_FLT.1
\r\n\r\nCác hành động sau đây có thể được kiểm toán\r\nnếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
\r\n\r\na) Tối thiểu: Bất cứ lỗi nào được phát hiện\r\nbởi TSF.
\r\n\r\nb) Cơ sở: Tất cả những khả năng mà TOE bị\r\ngián đoạn do lỗi.
\r\n\r\n15.1.5. Kiểm toán của FRU_FLT.2
\r\n\r\nCác hành động sau đây có thể được kiểm toán\r\nnếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
\r\n\r\na) Tối thiểu: Bất cứ lỗi nào được phát hiện\r\nbởi TSF.
\r\n\r\n15.1.6. FRU_FLT.1 Khả năng chịu lỗi suy giảm
\r\n\r\nPhân cấp từ: Không có các thành phần nào.
\r\n\r\nCác mối phụ thuộc: FPT_FLS.1 Lỗi với việc bảo\r\ntoàn trạng thái an toàn.
\r\n\r\n15.1.6.1. FRU_FLT.1.1
\r\n\r\nTSF cần đảm bảo hoạt động của [chỉ định: danh\r\nsách các khả năng của TOE] khi xuất hiện các lỗi sau: [chỉ định: danh\r\nsách các loại lỗi].
\r\n\r\n15.1.7. FRU_FLT.2 Khả năng chịu lỗi giới hạn
\r\n\r\nPhân cấp từ: FRU_FLT.1 Khả năng chịu lỗi suy\r\ngiảm
\r\n\r\nCác mối phụ thuộc: FPT_FLS.1 Lỗi với việc bảo\r\ntoàn trạng thái an toàn.
\r\n\r\n15.1.7.1. FRU_FLT.2.1
\r\n\r\nTSF cần đảm bảo hoạt động của tất cả các\r\nkhả năng của TOE khi các lỗi sau xuất hiện: [chỉ định: danh sách các\r\nloại lỗi].
\r\n\r\n15.2.1. Hành xử của họ
\r\n\r\nNhững yêu cầu này của họ cho phép TSF kiểm\r\nsoát việc sử dụng tài nguyên trong TSC bởi người dùng và các chủ thể sao cho\r\ncác hoạt động ưu tiên trong TSC sẽ luôn được hoàn thành mà không bị can thiệp\r\nhay trễ quá mức do các hoạt động có độ ưu tiên thấp hơn gây ra.
\r\n\r\n15.2.2. Phân mức thành phần
\r\n\r\nFRU_PRS.1 Ưu tiên dịch vụ có giới hạn, quy\r\nđịnh các mức ưu tiên cho một chủ thể sử dụng một tập con tài nguyên của chủ thể\r\ntrong TSC.
\r\n\r\nFRU_PRS.2 Ưu tiên dịch vụ đầy đủ, quy định\r\ncác mức ưu tiên cho việc sử dụng tất cả các tài nguyên của một chủ thể trong\r\nTSC.
\r\n\r\n15.2.3. Quản lý của FRU_PRS.1, FRU_PRS.2
\r\n\r\nCác hành động sau đây có thể xem xét cho các\r\nchức năng quản lý trong FMT:
\r\n\r\na) Chỉ định các mức ưu tiên cho mỗi chủ thể\r\ntrong TSF.
\r\n\r\n15.2.4. Kiểm toán của FRU_PRS.1, FRU_PRS.2
\r\n\r\nCác hành động sau đây có thể được kiểm toán\r\nnếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
\r\n\r\na) Tối thiểu: Từ chối hoạt động dựa trên việc\r\nsử dụng mức ưu tiên bên trong một cấp phát.
\r\n\r\nb) Cơ sở: Mọi khả năng sử dụng chức năng cấp\r\nphát liên quan đến mức ưu tiên của các chức năng dịch vụ.
\r\n\r\n15.2.5. FRU_PRS.1 Ưu tiên dịch vụ có giới hạn
\r\n\r\nPhân cấp từ: Không có các thành phần nào.
\r\n\r\nCác mối phụ thuộc: Không có sự phụ thuộc.
\r\n\r\n15.2.5.1. FRU_PRS.1.1
\r\n\r\nTSF cần ấn định một mức ưu tiên cho mỗi chủ\r\nthể trong TSF.
\r\n\r\n15.2.5.2. FRU_PRS.1.2
\r\n\r\nTSF cần đảm bảo rằng mỗi truy nhập tới [chỉ\r\nđịnh: các tài nguyên được kiểm soát] phải được dàn xếp trên cơ sở các\r\nchủ thể được ấn định quyền ưu tiên.
\r\n\r\n15.2.6. FRU_PRS.2 Quyền ưu tiên dịch vụ đầy\r\nđủ
\r\n\r\nPhân cấp từ: FRU_PRS.1 Ưu tiên dịch vụ có\r\ngiới hạn.
\r\n\r\nCác mối phụ thuộc: Không có sự phụ thuộc.
\r\n\r\n15.2.6.1. FRU_PRS.2.1
\r\n\r\nTSF cần ấn định một mức ưu tiên cho mỗi chủ\r\nthể trong TSF.
\r\n\r\n15.2.6.2. FRU_PRS.2.2
\r\n\r\nTSF cần đảm bảo rằng mỗi truy nhập tới tất\r\ncả các tài nguyên có thể chia sẻ cần được dàn xếp trên nền tảng các chủ thể\r\nđược ấn định ưu tiên.
\r\n\r\n15.3.1. Hành xử của họ
\r\n\r\nCác yêu cầu của họ này cho phép TSF kiểm soát\r\nviệc sử dụng các tài nguyên bởi người dùng và các chủ thể, sao cho việc từ chối\r\ndịch vụ không xảy ra bởi sự độc chiếm không được phép của các tài nguyên.
\r\n\r\n15.3.2. Phân mức thành phần
\r\n\r\nFRU_RSA.1: Chỉ tiêu tối đa, quy định các yêu\r\ncầu cho các cơ chế định mức để đảm bảo rằng người dùng và chủ thể không độc\r\nchiếm một tài nguyên đã được kiểm soát.
\r\n\r\nFRU_RSA.2: Chỉ tiêu tối đa và tối thiểu, quy\r\nđịnh các yêu cầu cho các cơ chế định mức để đảm bảo rằng người dùng và chủ thể\r\nsẽ luôn có ít nhất một tài nguyên cụ thể tối thiểu và họ sẽ không thể độc chiếm\r\nmột tài nguyên đã được kiểm soát.
\r\n\r\n15.3.3. Quản lý của FRU_RSA.1
\r\n\r\nCác hành động sau đây có thể xem xét cho các\r\nchức năng quản lý trong FMT:
\r\n\r\na) Định rõ những giới hạn tối đa cho một tài\r\nnguyên cho các nhóm và/hay người dùng cụ thể và/hay các chủ thể bởi nhà quản\r\ntrị.
\r\n\r\n15.3.4. Quản lý của FRU_RSA.2
\r\n\r\nCác hành động sau có thể được xem xét cho các\r\nchức năng quản lý trong FMT:
\r\n\r\na) Định rõ các giới hạn tối đa và tối thiểu\r\ncho một tài nguyên cho các nhóm và/hay những người dùng và/hay các chủ thể bởi\r\nnhà quản trị.
\r\n\r\n15.3.5. Kiểm toán của FRU_RSA.1, FRU_RSA.2
\r\n\r\nCác hành động sau có thể được kiểm toán nếu\r\nFAU_GEN tạo dữ liệu kiểm toán an toàn chứa trong PP/ST:
\r\n\r\na) Tối thiểu: Loại trừ hoạt động cấp phát do\r\nnhững giới hạn về tài nguyên.
\r\n\r\nb) Cơ sở: Mọi khả năng sử dụng chức năng cấp\r\nphát dưới sự kiểm soát của TSF.]
\r\n\r\n15.3.6. FRU_RSA.1 Các chỉ tiêu tối đa
\r\n\r\nPhân cấp từ: Không có các thành phần nào.
\r\n\r\nCác mối phụ thuộc: Không có sự phụ thuộc.
\r\n\r\n15.3.6.1. FRU_RSA.1.1
\r\n\r\nTSF cần tuân theo các chỉ tiêu tối đa của các\r\ntài nguyên sau [chỉ định: các tài nguyên được kiểm soát] mà [lựa chọn: người\r\ndùng cụ thể, nhóm những người dùng xác định, các chủ thể] có thể sử dụng\r\n[lựa chọn: đồng thời trên một khoảng thời gian cụ thể].
\r\n\r\n15.3.7. FRU_RSA.2 Các chỉ tiêu tối đa và tối\r\nthiểu
\r\n\r\nPhân cấp tới: FRU_RSA.1 Các chỉ tiêu tối đa
\r\n\r\nCác mối phụ thuộc: Không phụ thuộc.
\r\n\r\n15.3.7.1. FRU_RSA.2.1
\r\n\r\nTSF cần thực thi các chỉ tiêu tối đa của các\r\ntài nguyên sau [chỉ định: các tài nguyên được kiểm soát] mà [lựa chọn: người\r\ndùng cụ thể, nhóm những người dùng xác định] có thể sử dụng [lựa chọn: đồng\r\nthời, trên một khoảng thời gian cụ thể].
\r\n\r\n15.3.7.2. FRU_RSA.2.2
\r\n\r\nTSF cần đảm bảo việc quy định số lượng tối\r\nthiểu của mỗi [chỉ định: các tài nguyên được kiểm soát] sẵn có cho [lựa\r\nchọn: người dùng cụ thể, nhóm những người dùng xác định, các chủ thể] để\r\nsử dụng [lựa chọn: đồng thời, trên một khoảng thời gian cụ thể].
\r\n\r\n\r\n\r\nHọ này định rõ các yêu cầu về chức năng điều\r\nkhiển thiết lập phiên người dùng.
\r\n\r\n16.1.1. Hành xử của họ
\r\n\r\nHọ này định nghĩa những yêu cầu cho việc giới\r\nhạn phạm vi các thuộc tính an toàn phiên mà người dùng có thể lựa chọn cho một\r\nphiên.
\r\n\r\n![](\"00907947_files/image016.jpg\")
16.1.2. Phân mức thành phần
\r\n\r\nFTA_LSA.1 Giới hạn trên phạm vi các thuộc\r\ntính có thể lựa chọn, quy định yêu cầu cho một TOE để giới hạn phạm vi các\r\nthuộc tính an toàn trong suốt quá trình thiết lập phiên.
\r\n\r\n16.1.3. Quản lý của FTA_LSA.1
\r\n\r\nCác hành động theo có thể xem xét cho các\r\nchức năng quản lý trong FMT:
\r\n\r\na) Quản lý phạm vi các thuộc tính an toàn\r\nphiên bởi nhà quản trị.
\r\n\r\n16.1.4. Kiểm toán của FTA_LSA.1
\r\n\r\nCác hành động sau đây có thể được kiểm toán\r\nnếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
\r\n\r\na) Tối thiểu: Tất cả các nỗ lực không đạt\r\nđược khi lựa chọn các thuộc tính an toàn phiên;
\r\n\r\nb) Cơ sở: Tất cả các cố gắng khi lựa chọn các\r\nthuộc tính an toàn phiên;
\r\n\r\nc) Chi tiết: Giữ lại các giá trị của mỗi\r\nthuộc tính an toàn phiên.
\r\n\r\n16.1.5. FTA_LSA.1 Giới hạn trên phạm vi các\r\nthuộc tính có thể lựa chọn
\r\n\r\nPhân cấp từ: Không có các thành phần nào.
\r\n\r\nCác mối phụ thuộc: Không có sự phụ thuộc.
\r\n\r\n16.1.5.1. FTA_LSA.1.1
\r\n\r\nTSF cần hạn chế phạm vi của các thuộc tính an\r\ntoàn phiên [chỉ định: các thuộc tính an toàn phiên], dựa trên cơ sở [chỉ\r\nđịnh: các thuộc tính].
\r\n\r\n16.2.1. Hành xử của họ
\r\n\r\nHọ này định nghĩa các yêu cầu để đưa ra các\r\ngiới hạn trên một số phiên diễn ra đồng thời thuộc cùng người dùng.
\r\n\r\n16.2.2. Phân mức thành phần
\r\n\r\nFTA_MCS.1 Giới hạn cơ sở trên đa phiên đồng\r\nthời, quy định những giới hạn áp dụng cho tất cả người dùng TSF.
\r\n\r\nFTA_MCS.2 Giới hạn thuộc tính mỗi người dùng\r\ntrên cơ sở mở rộng các phiên làm việc đồng thời FTA_MCS.1 thông qua việc yêu\r\ncầu khả năng chỉ ra các giới hạn về số phiên làm việc đồng thời trên cơ sở các\r\nthuộc tính an toàn liên quan.
\r\n\r\n16.2.3. Quản lý của FTA_MCS.1
\r\n\r\nCác hành động theo có thể xem xét cho các\r\nchức năng quản lý trong FMT:
\r\n\r\na) Quản lý một số lượng cho phép tối đa các\r\nphiên người dùng đồng thời bởi nhà quản trị.
\r\n\r\n16.2.4. Quản lý của FTA_MCS.2
\r\n\r\nCác hành động theo có thể xem xét cho các\r\nchức năng quản lý trong FMT:
\r\n\r\na) Quản lý các quy tắc quản trị số lượng cho\r\nphép tối đa các phiên người dùng đồng thời bởi nhà quản trị.
\r\n\r\n16.2.5. Kiểm toán của FTA_MCS.1, FTA_MCS.2
\r\n\r\nCác hành động sau đây có thể được kiểm toán\r\nnếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
\r\n\r\na) Tối thiểu: Loại trừ một phiên mới dựa trên\r\ncơ sở giới hạn nhiều phiên đồng thời.
\r\n\r\nb) Chi tiết: Giữ lại một số phiên người dùng\r\nđang diễn ra đồng thời và các thuộc tính an toàn người dùng.
\r\n\r\n16.2.6. FTA_MCS.1 Giới hạn cơ sở trên đa\r\nphiên đồng thời
\r\n\r\nPhân cấp từ: Không có các thành phần nào.
\r\n\r\nCác mối phụ thuộc: FTA_UID.1 Định thời cho\r\nđịnh danh.
\r\n\r\n16.2.6.1. FTA_MCS.1.1
\r\n\r\nTSF cần hạn chế số lượng tối đa các phiên\r\nđồng thời thuộc cùng người dùng.
\r\n\r\n16.2.6.2. FTA_MCS.1.2
\r\n\r\nMặc định, TSF phải tuân thủ giới hạn [chỉ\r\nđịnh: số mặc định] phiên cho mỗi người dùng.
\r\n\r\n16.2.7. FTA_MCS.2 Giới hạn thuộc tính mỗi\r\nngười dùng cho nhiều phiên đồng thời
\r\n\r\nPhân cấp từ: FTA_MCS.1 Giới hạn cơ sở trên đa\r\nphiên đồng thời.
\r\n\r\nCác mối phụ thuộc: FIA_UID.1 Định thời cho\r\nđịnh danh.
\r\n\r\n16.2.7.1. FTA_MCS.2.1
\r\n\r\nTSF cần hạn chế số lượng tối đa các phiên\r\nđồng thời thuộc cùng người dùng theo quy tắc [chỉ định: các quy tắc về số\r\ncác phiên đồng thời tối đa].
\r\n\r\n16.2.7.2. FTA_MCS.2.2
\r\n\r\nMặc định, TSF cần thực thi giới hạn [chỉ\r\nđịnh: số mặc định] số phiên người dùng.
\r\n\r\n16.3.1. Hành xử của họ
\r\n\r\nHọ này định nghĩa những yêu cầu đối với TSF\r\nđể quy định khả năng khóa, mở khóa TSF đã khởi đầu và người dùng đã khởi đầu\r\ncủa các phiên tương tác.
\r\n\r\n16.3.2. Phân cấp thành phần
\r\n\r\nFTA_SSL.1 Khóa phiên TSF đã khởi đầu gồm việc\r\nkhóa hệ thống đã khởi đầu của một phiên tương tác sau một khoảng thời gian nhất\r\nđịnh khi không có hoạt động người dùng.
\r\n\r\nFTA_SSL.2 Khóa phiên người dùng đã khởi đầu,\r\nquy định những khả năng cho người dùng khóa hay mở khóa các phiên tương tác mà\r\nngười dùng đó đang sử dụng.
\r\n\r\nFTA_SSL.3 Kết thúc TSF đã khởi đầu, quy định\r\nnhững yêu cầu cho phép TSF kết thúc phiên làm việc sau một khoảng thời gian\r\nkhông có hoạt động người dùng.
\r\n\r\nFTA_SSL.4 Kết thúc phiên người dùng đã khởi\r\nđầu, quy định khả năng cho người dùng để chấm dứt các phiên tương tác của chính\r\nngười dùng.
\r\n\r\n16.3.3. Quản lý của FTA_SSL.1
\r\n\r\nCác hành động theo có thể xem xét cho các\r\nchức năng quản lý trong FMT:
\r\n\r\na) Đặc tả về thời gian không có hoạt động\r\nngười dùng sau khi lock-out diễn ra đối với mỗi người dùng cụ thể.
\r\n\r\nb) Đặc tả thời gian mặc định không có hoạt\r\nđộng người dùng sau khi lock-out diễn ra.
\r\n\r\nc) Quản lý các sự kiện diễn ra trước khi mở\r\nkhóa một phiên.
\r\n\r\n16.3.4. Quản lý của FTA_SSL.2
\r\n\r\nCác hành động theo có thể xem xét cho các chức\r\nnăng quản lý trong FMT:
\r\n\r\na) Quản lý các sự kiện diễn ra trước khi mở\r\nkhóa một phiên.
\r\n\r\n16.3.5. Quản lý của FTA_SSL.3
\r\n\r\nCác hành động theo có thể xem xét cho các\r\nchức năng quản lý trong FMT:
\r\n\r\na) Đặc tả thời gian không có hoạt động người\r\ndùng sau khi kết thúc một phiên tương tác diễn ra đối với từng người dùng cụ\r\nthể.
\r\n\r\nb) Đặc tả thời gian mặc định không có người\r\ndùng sau khi kết thúc một phiên tương tác diễn ra.
\r\n\r\n16.3.6. Quản lý của FTA_SSL.4
\r\n\r\nKhông có các hoạt động quản lý nào.
\r\n\r\n16.3.7. Kiểm toán của FTA_SSL.1, FTA_SSL.2
\r\n\r\nCác hành động sau đây có thể được kiểm toán\r\nnếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
\r\n\r\na) Tối thiểu: Khóa một phiên tương tác bởi cơ\r\nchế khóa phiên.
\r\n\r\nb) Tối thiểu: Mở khóa thành công một phiên\r\ntương tác.
\r\n\r\nc) Cơ sở: Bất kỳ sự nỗ lực nào để mở khóa một\r\nphiên tương tác.
\r\n\r\n16.3.8. Kiểm toán của FTA_SSL.3
\r\n\r\nCác hành động sau đây có thể được kiểm toán\r\nnếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
\r\n\r\na) Tối thiểu: Kết thúc một phiên tương tác\r\nnhờ cơ chế khóa phiên.
\r\n\r\n16.3.9. Kiểm toán của FTA_SSL.4
\r\n\r\nCác hành động sau đây có thể được kiểm toán\r\nnếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
\r\n\r\na) Tối thiểu: Kết thúc một phiên tương tác\r\nbởi người dùng.
\r\n\r\n16.3.10. FTA_SSL.1 Khóa phiên khỏi tạo bởi\r\nTSF
\r\n\r\nPhân cấp từ: Không có các thành phần nào.
\r\n\r\nCác mối phụ thuộc: FIA_UAU.1 Định thời cho\r\nxác thực.
\r\n\r\n16.3.10.1. FTA_SSL.1.1
\r\n\r\nTSF cần khóa một phiên tương tác sau [chỉ\r\nđịnh: khoảng thời gian không có hoạt động người dùng] nhờ:
\r\n\r\na) Xóa hoặc ghi đè các thiết bị hiển thị, làm\r\ncho những nội dung hiện tại không thể đọc;
\r\n\r\nb) Cấm mọi hoạt động của các thiết bị hiển\r\nthị / truy nhập dữ liệu người dùng nếu không phải là mở khóa phiên.
\r\n\r\n16.3.10.2. FTA_SSL.1.2
\r\n\r\nTSF cần yêu cầu các sự kiện sau diễn ra trước\r\nkhi mở khóa phiên: [chỉ định: các sự kiện diễn ra].
\r\n\r\n16.3.11. FTA_SSL.2 Khóa khởi tạo bởi người\r\ndùng
\r\n\r\nPhân cấp từ: Không có các thành phần nào.
\r\n\r\nCác mối phụ thuộc: FIA_UAU.1 Định thời cho\r\nxác thực.
\r\n\r\n16.3.11.1. FTA_SSL.2.1
\r\n\r\nTSF cần cho phép việc khóa khởi tạo bởi người\r\ndùng cho phiên tương tác của chính họ thông qua:
\r\n\r\na) Xóa hoặc ghi đè các thiết bị hiển thị, làm\r\ncho những nội dung hiện tại không thể đọc được.
\r\n\r\nb) Cấm mọi hoạt động của các thiết bị hiển\r\nthị / truy nhập dữ liệu của người dùng nếu không phải là mở khóa phiên.
\r\n\r\n16.3.11.2. FTA_SSL.2.2
\r\n\r\nTSF cần yêu cầu các sự kiện sau diễn ra trước\r\nkhi mở khóa phiên: [chỉ định: các sự kiện diễn ra].
\r\n\r\n16.3.12. FTA_SSL.3 Kết thúc phiên khởi tạo\r\nbởi TSF
\r\n\r\nPhân cấp từ: Không có các thành phần nào.
\r\n\r\nCác mối phụ thuộc: Không có sự phụ thuộc.
\r\n\r\n16.3.12.1. FTA_SSL.3.1
\r\n\r\nTSF cần kết thúc một phiên tương tác sau một\r\nkhoảng [chỉ định: khoảng thời gian không có hoạt động người dùng].
\r\n\r\n16.4.1. Hành xử của họ
\r\n\r\nHọ này định nghĩa những yêu cầu để hiển thị\r\nbản tin cảnh báo tư vấn cấu hình cho người dùng về cách sử dụng thích hợp của\r\nTOE.
\r\n\r\n16.4.2. Phân mức thành phần
\r\n\r\nFTA_TAB.1 Các biểu tượng truy nhập TOE mặc \r\nđịnh, quy định yêu cầu cho một biểu trưng Truy nhập TOE. Biểu trưng này được\r\nhiển thị trước khi thiết lập hội thoại cho một phiên làm việc.
\r\n\r\n16.4.3. Quản lý của FTA_TAB.1
\r\n\r\nCác hành động theo có thể xem xét cho các\r\nchức năng quản lý trong FMT:
\r\n\r\na) Duy trì biểu trưng bởi nhà quản trị có\r\nthẩm quyền.
\r\n\r\n16.4.4. Kiểm toán của FTA_TAB.1
\r\n\r\nKhông có sự kiện có thể kiểm toán nào.
\r\n\r\n16.4.5. FTA_TAB.1 Các biểu trưng truy nhập\r\nTOE mặc định
\r\n\r\nPhân cấp từ: Không có các thành phần nào.
\r\n\r\nCác mối phụ thuộc: Không có sự phụ thuộc.
\r\n\r\n16.4.5.1. FTA_TAB.1.1
\r\n\r\nTrước khi thiết lập một phiên người dùng, TSF\r\nsẽ hiển thị một bản tin cảnh báo tư vấn về cách sử dụng không được cấp phép của\r\nTOE.
\r\n\r\n16.5.1. Hành xử của họ
\r\n\r\nHọ này định nghĩa những yêu cầu đối với TSF\r\nđể hiển thị tới người dùng, sau khi thiết lập phiên thành công, một bản ghi lại\r\nnhững lần truy nhập thành công và không thành công vào tài khoản người.
\r\n\r\n16.5.2. Phân mức thành phần
\r\n\r\nFTA_TAH.1 Lịch sử truy nhập TOE, quy định yêu\r\ncầu đối với mỗi TOE để hiển thị thông tin liên quan đến cố gắng trước đó để\r\nthiết lập một phiên.
\r\n\r\n16.5.3. Quản lý của FTA_TAH.1
\r\n\r\nKhông có các hoạt động quản lý nào.
\r\n\r\n16.5.4. Kiểm toán của FTA_TAH.1
\r\n\r\nKhông có sự kiện có thể kiểm toán nào.
\r\n\r\n16.5.5. FTA_TAH.1 Lịch sử truy nhập TOE
\r\n\r\nPhân cấp từ: Không có các thành phần nào.
\r\n\r\nCác mối phụ thuộc: Không có sự phụ thuộc.
\r\n\r\n16.5.5.1. FTA_TAH.1.1
\r\n\r\nSau khi thiết lập phiên thành công, TSF cần\r\nhiển thị [lựa chọn: ngày tháng, thời gian, phương pháp, địa điểm] của lần thiết\r\nlập phiên thành công mới đây nhất cho người dùng.
\r\n\r\n16.5.5.2. FTA_TAH.1.2
\r\n\r\nSau khi thiết lập phiên thành công, TSF cần\r\nhiển thị [lựa chọn: ngày tháng, thời gian, phương pháp, địa điểm] về những\r\ncố gắng không thành công mới nhất về việc thiết lập phiên và một số các cố gắng\r\nkhông thành công từ lần thiết lập phiên thành công cuối cùng.
\r\n\r\n16.5.5.3. FTA_TAH.1.3
\r\n\r\nTSF cần không được xóa thông tin lịch sử truy\r\nnhập từ giao diện người dùng mà không đưa ra cho người dùng một cơ hội xem lại\r\nthông tin.
\r\n\r\n16.6.1. Hành xử của họ
\r\n\r\nHọ này định nghĩa các yêu cầu từ chối truy\r\ncập người dùng thiết lập một phiên với TOE.
\r\n\r\n16.6.2. Phân mức thành phần
\r\n\r\nFTA_TSE.1 Thiết lập phiên TOE, quy định những\r\nyêu cầu đối với việc từ chối truy nhập người dùng tới TOE dựa trên các thuộc\r\ntính.
\r\n\r\n16.6.3. Quản lý của FTA_TSE.1
\r\n\r\nCác hành động theo có thể xem xét cho các\r\nchức năng quản lý trong FMT:
\r\n\r\na) Quản lý các trạng thái thiết lập phiên bởi\r\nnhà quản trị.
\r\n\r\n16.6.4. Kiểm toán của FTA_TSE.1
\r\n\r\nCác hành động sau đây có thể được kiểm toán\r\nnếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
\r\n\r\na) Tối thiểu: Từ chối thiết lập một phiên do\r\ncơ chế thiết lập phiên.
\r\n\r\nb) Cơ sở: Mọi cố gắng thiết lập một phiên\r\nngười dùng
\r\n\r\nc) Chi tiết: Giữ lại giá trị của các thông số\r\ntruy nhập đã lựa chọn (ví dụ: địa điểm truy nhập, thời gian truy nhập).
\r\n\r\n16.6.5. FTA_TSE.1 Thiết lập phiên TOE
\r\n\r\nPhân cấp từ: Không có các thành phần nào.
\r\n\r\nCác mối phụ thuộc: Không có sự phụ thuộc.
\r\n\r\n16.6.5.1. FTA_TSE.1.1
\r\n\r\nTSF cần phải có khả năng từ chối thiết lập\r\nphiên dựa trên cơ sở [chỉ định: các thuộc tính].
\r\n\r\nCác họ trong lớp này quy định các yêu cầu đối\r\nvới tuyến truyền thông tin cậy giữa người dùng và TSF, và đối với kênh truyền\r\nthông tin cậy giữa TSF và các sản phẩm IT tin cậy khác. Các tuyến và các kênh\r\ntin cậy có những đặc điểm chung sau:
\r\n\r\n▪ Tuyến truyền thông tin cậy được xây dựng\r\nnhờ sử dụng các kênh truyền thông bên trong và bên ngoài (thích hợp với thành\r\nphần đó) giữ cho tập con xác định của dữ liệu và các lệnh TSF tách biệt với\r\nphần còn lại của TSF và dữ liệu người dùng.
\r\n\r\n▪ Việc sử dụng tuyến truyền thông có thể được\r\nkhởi đầu bởi người dùng và/hay TSF (thích hợp cho thành phần đó).
\r\n\r\n▪ Tuyến truyền thông có khả năng quy định sự\r\nđảm bảo cho người dùng đang truyền thông với đúng TSF, và TSF đang truyền thông\r\nvới đúng người dùng (thích hợp cho thành phần đó).
\r\n\r\nỞ mô hình này, một kênh tin cậy là một kênh\r\ntruyền thông có thể được khởi đầu từ phía khác của kênh, và quy định những đặc\r\nđiểm không từ chối đối với việc định danh các phía của kênh.
\r\n\r\nMột tuyến tin cậy quy định phương tiện cho\r\nngười dùng thực hiện các chức năng thông qua tương tác trực tiếp được đảm bảo\r\nvới TSF. Tuyến tin cậy thường xuyên được mong muốn đối với các hành động người\r\ndùng chẳng hạn như sự nhận dạng và/hay xác thực, nhưng cũng có thể được mong\r\nmuốn ở những lần khác trong suốt một phiên người dùng. Sự trao đổi bằng tuyến\r\ntin cậy có thể được khởi đầu bởi người dùng hay TSF. Người dùng phản hồi qua\r\nmột tuyến tin cậy đảm bảo tránh được sự chỉnh sửa hay bị lộ bởi những ứng dụng\r\nkhông đáng tin cậy.
\r\n\r\n![](\"00907947_files/image017.jpg\")
17.1. Hành xử của họ
\r\n\r\nHọ này định nghĩa những yêu cầu về việc tạo\r\nthành kênh tin cậy giữa TSF và các sản phẩm IT khác đối với hiệu năng các hoạt\r\nđộng then chốt cho an toàn. Họ này nên được kèm theo khi có những yêu cầu về\r\ntruyền thông an toàn của dữ liệu người dùng hay dữ liệu TSF giữa TOE và các sản\r\nphẩm CNTT tin cậy khác.
\r\n\r\n17.1.2. Phân mức thành phần
\r\n\r\nFTP_ITC.1 Kênh tin cậy liên TSF, yêu cầu TSF\r\nquy định một kênh truyền thông tin cậy giữa nó và một sản phẩm IT tin cậy khác.
\r\n\r\n17.1.3. Quản lý của FTP_ITC.1
\r\n\r\nCác hành động theo có thể xem xét cho các\r\nchức năng quản lý trong FMT:
\r\n\r\na) Lập cấu hình các hành động yêu cầu kênh\r\ntin cậy, nếu được hỗ trợ.
\r\n\r\n17.1.4. Kiểm toán của FTP_ITC.1
\r\n\r\nCác hành động sau cần được kiểm tra nếu\r\nFAU_GEN Tạo dữ liệu kiểm toán an toàn chứa trong PP/ST:
\r\n\r\na) Tối thiểu: Lỗi của các chức năng kênh tin\r\ncậy.
\r\n\r\nb) Tối thiểu: Nhận dạng khởi đầu và đích của\r\ncác chức năng kênh tin cậy bị lỗi.
\r\n\r\nc) Cơ sở: Mọi việc sử dụng thử các chức năng\r\nkênh tin cậy.
\r\n\r\nd) Cơ sở: Nhận dạng khởi đầu và đích của mọi\r\nchức năng kênh tin cậy.
\r\n\r\n17.1.5. FTP_ITC.1 Kênh tin cậy liên TSF
\r\n\r\nPhân cấp từ: Không có các thành phần nào.
\r\n\r\nCác mối phụ thuộc: Không có sự phụ thuộc.
\r\n\r\n17.1.5.1. FTP_ITC.1.1
\r\n\r\nTSF cần quy định một kênh truyền thông tin cậy\r\ngiữa nó và một sản phẩm IT khác phân biệt về logic với các kênh truyền thông\r\nkhác và quy định việc nhận dạng bảo đảm về điểm cuối của kênh và việc bảo vệ dữ\r\nliệu kênh khỏi sự chỉnh sửa hay bị lộ thông tin.
\r\n\r\n17.1.5.2. FTP_ITC.1.2
\r\n\r\nTSF cần cho phép [lựa chọn: TSF, sản phẩm\r\nIT tin cậy khác] khởi tạo truyền thông qua kênh tin cậy.
\r\n\r\n17.1.5.3. FTP_ITC.1.3
\r\n\r\nTSF cần khởi tạo truyền thông qua kênh tin\r\ncậy cho [Chỉ định: danh sách các chức năng có yêu cầu một kênh tin cậy].
\r\n\r\n17.2.1. Hành xử của họ
\r\n\r\nHọ này định nghĩa các yêu cầu thiết lập và\r\nduy trì truyền thông tin cậy đến hoặc từ người dùng và TSF. Tuyến tin cậy có\r\nthể được yêu cầu đối với bất kì sự tương tác liên quan đến an toàn. Sự trao đổi\r\nđường dẫn tin cậy có thể được khởi tạo bởi người dùng trong suốt sắc tương tác\r\nvới TSF, hoặc TSF có thể thiết lập truyền thông với người dùng qua đường dẫn\r\ntin cậy.
\r\n\r\n17.2.2. Phân mức thành phần
\r\n\r\nFTP_TRP.1: Đường dẫn tin cậy, yêu cầu một\r\nđường dẫn tin cậy giữa TSF và một người dùng được quy định cho một tập các sự\r\nkiện định nghĩa bởi tác giả PP/ST. Người dùng và/hoặc TSF đều có khả năng khởi\r\ntạo Đường dẫn tin cậy.
\r\n\r\n17.2.3. Quản lý của FTP_TRP.1
\r\n\r\nCác hành động theo có thể xem xét cho các\r\nchức năng quản lý trong FMT:
\r\n\r\na) Lập cấu hình các hành động yêu cầu đường\r\ndẫn tin cậy, nếu được hỗ trợ.
\r\n\r\n17.2.4. Kiểm toán của FTP_TRP.1
\r\n\r\nCác hành động sau đây có thể được kiểm toán\r\nnếu FAU_GEN Tạo dữ liệu kiểm toán an toàn được đặt trong PP/ST:
\r\n\r\na) Tối thiểu: Lỗi của các chức năng đường dẫn\r\ntin cậy.
\r\n\r\nb) Tối thiểu: Nhận dạng người dùng liên quan\r\nđến mọi lỗi của Đường dẫn tin cậy, nếu có.
\r\n\r\nc) Cơ sở: Mọi việc sử dụng thử các chức năng\r\nđường dẫn tin cậy.
\r\n\r\nd) Cơ sở: Nhận dạng người dùng liên quan đến\r\nmọi níu kéo Đường dẫn tin cậy, nếu có.
\r\n\r\n17.2.5. FTP_TRP.1 Đường dẫn tin cậy
\r\n\r\nPhân cấp từ: Không có các thành phần nào.
\r\n\r\nCác mối phụ thuộc: Không có sự phụ thuộc.
\r\n\r\n17.2.5.1. FTP_TRP.1.1
\r\n\r\nTSF cần quy định một đường dẫn truyền thông\r\ngiữa nó và [lựa chọn: từ xa, nội hạt] những người dùng phân biệt về logic với\r\ncác Đường dẫn truyền thông khác và quy định việc nhận dạng bảo đảm về điểm cuối\r\nvà việc bảo vệ dữ liệu Đường dẫn khỏi sự chỉnh sửa hay bị lộ thông tin.
\r\n\r\n17.2.5.2. FTP_TRP.1.2
\r\n\r\nTSF cần cho phép [lựa chọn: TSF, người\r\ndùng nội hạt, người dùng từ xa] khởi tạo truyền thông qua đường dẫn tin\r\ncậy.
\r\n\r\n17.2.5.3. FTP_TRP.1.3
\r\n\r\nTSF cần yêu cầu sử dụng đường dẫn tin cậy cho\r\n[lựa chọn: xác thực người dùng khởi đầu, [ấn định: các dịch vụ khác đối với\r\nđường dẫn tin cậy được yêu cầu].
\r\n\r\n\r\n\r\n
Phụ lục này bao gồm hướng dẫn bổ sung cho các\r\nhọ và thành phần định nghĩa trong các phần tử của TCVN 8709 theo đó yêu cầu\r\nngười sử dụng, người phát triển và đánh giá viên phải tuân theo. Để việc tìm\r\nthông tin thích hợp thuận tiện hơn, việc trình bày các lớp, họ và thành phần\r\ntrong phụ lục này tương tự như sự trình bày bên trong các phần tử.
\r\n\r\nA.1. Cấu trúc phần ghi chú
\r\n\r\nCấu trúc bản ghi chú định nghĩa nội dung và\r\ntrình bày bản ghi chú liên quan đến yêu cầu chức năng của TCVN 8709.
\r\n\r\nA.1.1. Cấu trúc lớp
\r\n\r\nHình A.1 dưới đây thể hiện cấu trúc lớp chức\r\nnăng trong phụ lục này.
\r\n\r\n![](\"00907947_files/image018.jpg\")
A.1.1. Tên lớp
\r\n\r\nĐây là tên lớp duy nhất định nghĩa bên trong\r\ncác phần tử quy chuẩn của phần TCVN 8709 này.
\r\n\r\nA.1.1.2. Giới thiệu lớp
\r\n\r\nPhần giới thiệu lớp trong phụ lục này cung\r\ncấp thông tin về việc sử dụng các họ và các thành phần của lớp. Thông tin này\r\nđược hoàn thành với lược đồ mô tả tổ chức của mỗi lớp với những họ của mỗi lớp\r\nvà mối liên quan giữa các thành phần trong mỗi họ.
\r\n\r\nA.1.2. Cấu trúc họ
\r\n\r\nHình A.2 minh họa sơ đồ cấu trúc chức năng\r\ncủa họ cho ghi chú ứng dụng.
\r\n\r\n![](\"00907947_files/image019.jpg\")
A.1.2.1. Tên họ
\r\n\r\nĐây là tên duy nhất của họ định nghĩa trong\r\ncác phần tử quy chuẩn của phần này trong ISO/IEC 15408.
\r\n\r\nA.1.2.2. Chú thích cho người sử dụng
\r\n\r\nChú thích cho người sử dụng bao gồm thông tin\r\nbổ sung được quan tâm bởi những người dùng tiềm năng của họ, đó có thể là PP,\r\nST, tác giả gói chức năng hoặc những người phát triển TOE thực hiện việc tích\r\nhợp những thành phần chức năng. Sự biểu diễn cung cấp thông tin và có thể bao\r\ngồm cảnh báo về sự hạn chế của việc sử dụng và những lĩnh vực cần sự tập trung\r\nriêng khi sử dụng thành phần.
\r\n\r\nA.1.2.3. Chú thích cho đánh giá viên
\r\n\r\nChú thích cho đánh giá viên bao gồm thông tin\r\nđược quan tâm bởi những người phát triển, các đánh giá viên về một thành phần\r\ncủa họ. Chú thích cho đánh giá viên được trình bày trong nhiều lĩnh vực cần\r\nquan tâm riêng khi đánh giá TOE, chẳng hạn làm rõ ý nghĩa và chi tiết hóa một\r\nvấn đề cũng như cảnh báo một chi tiết cần đánh giá.
\r\n\r\nCác điều khoản về chú thích cho người sử dụng\r\nvà chú thích cho đánh giá viên không bắt buộc và chỉ xuất hiện khi phù hợp.
\r\n\r\nA.1.3. Cấu trúc thành phần
\r\n\r\nHình A.3 minh họa cấu trúc thành phần chức\r\nnăng của ghi chú ứng dụng.
\r\n\r\n![](\"00907947_files/image020.jpg\")
A.1.3.1. Định danh thành phần
\r\n\r\nĐây là tên duy nhất của thành phần định nghĩa\r\ntrong phần tử quy chuẩn của TCVN 8709.
\r\n\r\nA.1.3.2. Sở cứ thành phần và các ghi chú ứng\r\ndụng
\r\n\r\nMọi thông tin chi tiết liên quan đến thành\r\nphần có thể tìm thấy trong mệnh đề phụ sau:
\r\n\r\n• Sở cứ thành phần: bao gồm những đặc trưng\r\ncủa sở cứ được bổ sung chi tiết. Sở cứ thành phần chỉ xuất hiện trong lớp nào\r\nđó nếu cần thiết.
\r\n\r\n• Ghi chú ứng dụng bao gồm những bổ sung chi\r\ntiết về một thành phần nhất định. Sự bổ sung này có thể gắn liền với Chú thích\r\ncho người sử dụng và/hoặc ghi chú đánh giá viên như đã mô tả ở A.1.2. Bổ sung\r\nchi tiết có thể được sử dụng để giải thích bản chất những sự phụ thuộc (ví dụ:\r\nthông tin chia sẻ hoặc hành động chia sẻ).
\r\n\r\nĐiều khoản nhỏ này không bắt buộc và chỉ xuất\r\nhiện nếu phù hợp.
\r\n\r\nA.1.3.3. Những hành động được phép
\r\n\r\nĐây là những chỉ dẫn liên quan đến những hành\r\nđộng được phép của thành phần.
\r\n\r\nĐiều khoản nhỏ này không bắt buộc và chỉ xuất\r\nhiện nếu phù hợp.
\r\n\r\nA.2. Các bảng về mối phụ thuộc
\r\n\r\nBảng sau đây chỉ rõ sự phụ thuộc trực tiếp,\r\ngián tiếp và tùy chọn của các thành phần chức năng. Mỗi thành phần có sự phụ\r\nthuộc liên quan đến thành phần khác được xếp vào một cột. Mỗi thành phần chức\r\nnăng được xếp vào một hàng. Giá trị ký tự của ô giao giữa cột và hàng chỉ rõ sự\r\nphụ thuộc tương ứng là trực tiếp (x), gián tiếp (-) hay tùy chọn (o). Một ví dụ\r\nvề thành phần với phụ thuộc tùy chọn là FDP_ETC.1 (Xuất dữ liệu người dùng\r\nkhông có thuộc tính bảo mật) yêu cầu hoặc FDP_ACC.1 (Điều khiển truy nhập tập\r\ncon) hoặc FDP_IFC.1 (Điều khiển luồng thông tin). Do vậy nếu có FDP_ACC.1 thì\r\nsẽ không cần FDP_IFC.1 và ngược lại. Nếu không có ký tự nào xuất hiện, thành\r\nphần không có tính phụ thuộc vào thành phần khác.
\r\n\r\n| \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n | \r\n \r\n | \r\n
| \r\n | \r\n \r\n | \r\n
| \r\n | \r\n \r\n | \r\n
| \r\n | \r\n \r\n | \r\n
| \r\n | \r\n \r\n | \r\n
| \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n FPT_FLS.1 \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n FPT_ITA.1 \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n FPT_ITC.1 \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n FPT_ITI.1 \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n FPT_ITI.2 \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n FPT_ITT.1 \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n FPT_ITT.2 \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n FPT_ITT.3 \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n FPT_PHP.1 \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n FPT_PHP.2 \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n FPT_PHP.3 \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n FPT_RCV.1 \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n FPT_RCV.2 \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n FPT_RCV.3 \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n FPT_RCV.4 \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n FPT_RPL.1 \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n FPT_SSP.1 \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n FPT_SSP.2 \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n FPT_STM.1 \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n FPT_TDC.1 \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n FPT_TEE.1 \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n FPT_TRC.1 \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n FPT_TST.1 \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n | \r\n \r\n | \r\n
| \r\n FRU_FLT.1 \r\n | \r\n \r\n | \r\n
| \r\n FRU_FLT.2 \r\n | \r\n \r\n | \r\n
| \r\n FRU_PRS.2 \r\n | \r\n \r\n | \r\n
| \r\n FRU_PRS.2 \r\n | \r\n \r\n | \r\n
| \r\n FRU_RSA.1 \r\n | \r\n \r\n | \r\n
| \r\n FRU_RSA.2 \r\n | \r\n \r\n | \r\n
| \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n | \r\n \r\n | \r\n \r\n | \r\n
| \r\n | \r\n \r\n | \r\n \r\n | \r\n
Các phụ lục từ C đến M cung cấp các ghi chú\r\ncho ứng dụng cho các lớp chức năng định nghĩa trong phần nội dung chính của tập\r\nTCVN 8709 này.
\r\n\r\n\r\n\r\n
TCVN 8709 cho phép tác giả PP/ST được xác\r\nđịnh những yêu cầu nhằm giám sát thao tác của người dùng và trong một số trường\r\nhợp phát hiện sự vi phạm đã, sắp hoặc có khả năng xảy ra đối với việc thực thi\r\ncác SFR. Chức năng giám sát kiểm toán của TOE dùng để giám sát những sự kiện\r\nliên quan đến an toàn và đóng vai trò chống lại các vi phạm an toàn. Các yêu\r\ncầu của họ kiểm toán an toàn bao gồm những chức năng bảo vệ kiểm tra dữ liệu,\r\nđịnh dạng dữ liệu, và lựa chọn sự kiện cũng như các công cụ phân tích, cảnh báo\r\nvi phạm và phân tích thời gian thực. Dấu vết kiểm toán cần được biểu diễn với\r\nđịnh dạng có thể đọc được trực tiếp hoặc gián tiếp (chẳng hạn như sử dụng công\r\ncụ kiểm toán rút gọn) hoặc cả hai.
\r\n\r\nKhi phát triển các yêu cầu kiểm toán an toàn,\r\ntác giả PP/ST cần ghi chú về mối quan hệ giữa họ kiểm toán và thành phần. Khả\r\nnăng này xác định tập hợp những yêu cầu kiểm toán danh sách những họ/thành phần\r\nđồng thời tạo nên kết quả là chức năng kiểm toán không hiệu quả (ví dụ chức\r\nnăng kiểm toán yêu cầu tất cả các sự kiện liên quan đến an toàn phải được kiểm\r\ntoán nhưng không thể điều khiển được các cá thể đơn lẻ như từng người dùng hoặc\r\nvật thể).
\r\n\r\nC.1. Các yêu cầu kiểm toán trong môi trường\r\nphân tán
\r\n\r\nViệc thực thi các yêu cầu kiểm toán trong mạng\r\nvà các hệ thống lớn có thể khác biệt nhiều so với việc thực thi cần có đối với\r\ncác hệ thống độc lập. Các hệ thống lớn hơn, phức tạp và tích cực hơn, yêu cầu\r\nđược quan tâm hơn liên quan đến việc thu thập dữ liệu kiểm toán nào và nó cần\r\nđược quản lý thế nào do tính khả thi thấp của việc giải trình (hoặc thậm chí\r\nlưu trữ) những gì đã thu thập được. Khái niệm truyền thống về danh sách theo\r\nthứ tự thời gian hoặc "dấu vết" của các sự kiện kiểm toán có thể\r\nkhông áp dụng được trong một mạng tổng thể không đồng bộ với nhiều sự kiện xảy\r\nra bất kỳ cùng một lúc.
\r\n\r\nMặt khác, những máy tính, máy chủ khác trong\r\nmột TOE phân tán có thể có những chính sách ghi danh và giá trị khác nhau. Cần\r\ncó một dạng biểu diễn tên theo ký hiệu để tránh dư thừa hoặc xung đột về tên.
\r\n\r\nMột tập hợp đa đối tượng được truy nhập bởi\r\nnhiều người sử dụng có thẩm quyền cần có chức năng kiểm toán hữu ích trong các\r\nhệ thống phân tán.
\r\n\r\nViệc lạm dụng quyền của người dùng được cấp\r\nquyền cần được đề cập đến một cách hệ thống tránh việc lưu trữ cục bộ dữ liệu\r\nkiểm toán liên quan đến các hành động của quản trị viên.
\r\n\r\nHình C.1 minh họa sự phân tách của lớp này ra\r\ncác thành phần cấu thành.
\r\n\r\n![](\"00907947_files/image021.jpg\")
C.2. Đáp ứng tự động kiểm toán an toàn\r\n(FAU_ARP)
\r\n\r\nC.2.1. Chú thích cho người sử dụng
\r\n\r\nHọ đáp ứng tự động kiểm toán an toàn mô tả\r\ncác yêu cầu về xử lý các sự kiện kiểm toán. Yêu cầu có thể bao gồm cảnh báo\r\nhoặc những hành động TSF (đáp ứng tự động). Ví dụ, TSF có thể bao gồm việc tạo\r\nra những cảnh báo thời gian thực, kết thúc một tiến trình xâm phạm, vô hiệu hóa\r\nmột dịch vụ, ngắt kết nối hoặc làm mất hiệu lực một tài khoản người dùng.
\r\n\r\nMột sự kiện kiểm toán được xác định là\r\n"vi phạm an toàn nghiêm trọng" nếu được chỉ rõ trong thành phần phân\r\ntích kiểm toán an toàn (FAU_SAA).
\r\n\r\nC.2.2. FAU_ARP.1 Cảnh báo an toàn
\r\n\r\nC.2.2.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nMột hành động cần được thực hiện ngay sau sự\r\nkiện cảnh báo. Hành động này có thể thông báo cho người được cấp quyền cùng với\r\nmột tập hợp hành động gợi ý tương ứng. Thời điểm của hành động cũng nên được\r\nxem xét bởi PP/ST.
\r\n\r\nC.2.2.2. Các hoạt động
\r\n\r\nC.2.2.2.1. Chỉ định
\r\n\r\nTrong FAU_ARP.1.1, PP/ST cần xác định hành\r\nđộng thực hiện bởi một người dùng có quyền khi xảy ra vi phạm an toàn nghiêm\r\ntrọng. Ví dụ: thông báo với người có quyền, vô hiệu hóa đối tượng gây nên vi\r\nphạm an toàn.
\r\n\r\nC.3. Tạo các dữ liệu kiểm toán an toàn\r\n(FAU_GEN)
\r\n\r\nC.3.1 Chú thích cho người sử dụng
\r\n\r\nHọ tạo dữ liệu kiểm toán an toàn bao gồm\r\nnhững yêu cầu chỉ rõ các sự kiện kiểm toán cần được tạo ra bởi TSF cho sự kiện\r\nliên quan an toàn.
\r\n\r\nHọ này được giới thiệu ở khía cạnh tránh sự\r\nphụ thuộc vào tất cả các thành phần yêu cầu hỗ trợ kiểm toán. Mỗi thành phần\r\ngồm một mệnh đề kiểm toán trong đó sự kiện trong vùng chức năng tương ứng phải\r\nđược liệt kê. Khi tác giả PP/ST lắp ghép các PP/ST, các phần tử trong vùng kiểm\r\ntoán được sử dụng để tạo thành biến hoàn chỉnh của thành phần. Do vậy, đặc điểm\r\ndữ liệu của mỗi vùng chức năng được đặt trong vùng chức năng đó.
\r\n\r\nDanh sách các sự kiện có thể kiểm toán là\r\nhoàn toàn phụ thuộc vào các họ chức năng khác trong PP/PT/ Mỗi định nghĩa họ do\r\nđó cần bao gồm một danh sách các sự kiện có thể kiểm toán thuộc họ cụ thể của\r\nnó. Mỗi sự kiện kiểm toán trong danh sách các sự kiện có thể kiểm toán được xác\r\nđịnh rõ trong họ chức năng cần phù hợp với một trong các mức tạo ra sự kiện\r\nkiểm toán được xác định rõ trong họ chức năng cần phù hợp với một trong các mức\r\ntạo ra sự kiện kiểm toán được ghi rõ trong họ này (nghĩa là: mức tối thiểu, cơ\r\nbản, chi tiết). Điều này cung cấp cho tác giả PP/ST thông tin cần thiết để đảm\r\nbảo rằng tất cả các sự kiện kiểm toán tương ứng đều được xác định rõ trong\r\nPP/ST. Các ví dụ sau cho thấy các sự kiện có thể kiểm toán sẽ được xác định rõ\r\ntrong các họ chức năng tương ứng như thế nào:
\r\n\r\n"Các hoạt động sau cần được kiểm toán\r\nnếu tạo dữ liệu kiểm toán an toàn (FAU_GEN) có trong PP/ST:
\r\n\r\na/ Tối thiểu: Việc sử dụng thành công các\r\nchức năng quản lý thuộc tính an toàn của người sử dụng
\r\n\r\nb/ Cơ bản: Tất cả việc sử dụng thử các chức\r\nnăng quản lý thuộc tính an toàn của người sử dụng
\r\n\r\nc/ Cơ bản: Xác định thuộc tính an toàn người\r\nsử dụng nào đã sửa đổi
\r\n\r\nd/ Chi tiết: Ngoại trừ những mục dữ liệu\r\nthuộc tính nhạy cảm cụ thể (mật khẩu, mã khóa) các giá trị mới của thuộc tính\r\ncần được lấy."
\r\n\r\nVới mỗi thành phần chức năng được chọn, sự\r\nkiện kiểm toán trong thành phần đó cùng mức và dưới mức so với FAU_GEN cần phải\r\ncho phép kiểm toán. Các sự kiện kiểm toán có cấu trúc phân cấp. Ví dụ khi chọn\r\nmức kiểm toán cơ bản, tất cả các sự kiện cũng phải ở mức cơ bản hoặc tối thiểu.\r\nMặt khác, nếu mức chi tiết được lựa chọn, các sự kiện có thể ở mức chi tiết, cơ\r\nbản hoặc tối thiểu.
\r\n\r\nVí dụ: những sự kiện sau nên được kiểm toán\r\ntrong mỗi thành phần chức năng PP/ST:
\r\n\r\na/ Giới thiệu về đối tượng bên trong TSC đến\r\nkhông gian địa chỉ đối tượng
\r\n\r\nb/ Xóa đối tượng
\r\n\r\nc/ Phân phối hoặc hủy bỏ khả năng hoặc quyền\r\ntruy nhập
\r\n\r\nd/ Thay đổi đối tượng hoặc thuộc tính của đối\r\ntượng
\r\n\r\ne/ Kiểm tra chính sách thực hiện bởi TSF khi\r\ncó yêu cầu từ một đối tượng
\r\n\r\nf/ Sử dụng quyền truy nhập để vượt qua kiểm\r\ntra chính sách
\r\n\r\ng/ Sử dụng định danh và xác thực
\r\n\r\nh/ Hành động từ một người điều hành và/hoặc\r\nngười được cấp quyền.
\r\n\r\nC.3.2. FAU_GEN.1 Tạo dữ liệu kiểm toán
\r\n\r\nC.3.2.1. Chú thích cho ứng dụng người sử dụng\r\n
\r\n\r\nThành phần này xác định những yêu cầu về bản\r\nghi kiểm toán được tạo ra tương ứng với sự kiện và thông tin trong bản ghi.
\r\n\r\nTạo dữ liệu kiểm toán FAU_GEN.1 tự nó có thể\r\nđược sử dụng khi các SFR không yêu cầu định danh người dùng cụ thể kết hợp với\r\nsự kiện kiểm toán. Nó có thể là thích hợp khi PP/ST cũng chứa các yêu cầu tính\r\nriêng tư. Nếu phải kết hợp định danh người dùng thì có thể cần sử dụng thêm\r\nliên kết định danh người dùng FAU_GEN.2.
\r\n\r\nNếu chủ thể là một người dùng thì định danh\r\nngười dùng có thể được ghi lại như định danh chủ thể. Định danh người dùng có\r\nthể không được kiểm lại nếu Xác thực người dùng (FIA_UAU) không được áp dụng.\r\nDo đó trong trường hợp một đăng nhập không hợp lệ định danh người dùng được yêu\r\ncầu cần được ghi lại. Có thể xem xét để thấy khi nào một định danh đã lưu là\r\nchưa được xác thực.
\r\n\r\nC.3.2.2. Chú thích cho đánh giá viên
\r\n\r\nTOE có sự phụ thuộc vào nhãn thời gian (Time\r\nstamp - FPT_STM). Nếu độ chính xác của thời gian không phải vấn đề, có thể bỏ\r\nqua sự phụ thuộc này.
\r\n\r\nC.3.2.3. Các hoạt động
\r\n\r\nC.3.2.3.1. Phép chọn
\r\n\r\nTrong FAU_GEN.1.1, PP/ST cần lựa chọn mức độ\r\ncủa sự kiện kiểm toán trong mệnh đề con của các thành phần chức năng khác bao\r\ngồm trong PP/ST. Cấp độ này bao gồm: tối thiểu, cơ bản, chi tiết và không xác\r\nđịnh.
\r\n\r\nC.3.2.3.2. Chỉ định
\r\n\r\nTrong FAU_GEN.1.1, PP/ST cần Chỉ định những\r\nsự kiện kiểm toán khác trong danh sách những sự kiện kiểm toán. Có thể không\r\nChỉ định gì cả hoặc Chỉ định những sự kiện mức cao hơn yêu cầu cũng như các sự\r\nkiện được tạo ra qua giao diện lập trình ứng dụng (API).
\r\n\r\nTrong FAU_GEN.1.2, PP/ST cần chỉ định những\r\nthông tin liên quan nếu có trong mỗi sự kiện kiểm toán bao gồm trong PP/ST.
\r\n\r\nC.3.3. FAU_GEN.2 Kết hợp định danh người dùng
\r\n\r\nC.3.3.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nThành phần này liên quan tới những sự kiện\r\nkiểm toán tài khoản của người dùng và cần sử dụng kết hợp với FAU_GEN.1
\r\n\r\nGiữa yêu cầu kiểm toán và tính riêng tư có sự\r\nmâu thuẫn. Với mục đích kiểm toán cần biết ai thực hiện một hành động nào đó.\r\nNgười dùng có thể lưu giữ các hành động của mình và không bị nhận biết bởi\r\nnhững người khác. Hoặc có thể yêu cầu trong chính sách an toàn sự bảo vệ định\r\ndanh của người dùng. Trong những trường hợp đó, đối tượng kiểm toán và sự riêng\r\ntư có thể mâu thuẫn với nhau. Do vậy, nếu lựa chọn yêu cầu này và sự riêng tư\r\nlà quan trọng cần cân nhắc bí danh của người dùng. Yêu cầu xác định tên thật\r\ncủa người dùng dựa trên bí danh được xác định trong lớp riêng.
\r\n\r\nNếu định danh người dùng chưa được kiểm lại\r\nqua việc xác thực, thì trường hợp đăng nhập không hợp lệ thì định danh người\r\ndùng được yêu cầu nên được lưu lại. Cần xem xét để thấy khi nào một định danh\r\nlà chưa được xác thực.
\r\n\r\nC.4. Phân tích kiểm toán an toàn (FAU_SAA)
\r\n\r\nC.4.1. Chú thích cho người sử dụng
\r\n\r\nHọ này xác định những yêu cầu về việc tự động\r\nphân tích Hoạt động của hệ thống và dữ liệu kiểm toán nhằm phát hiện ra những\r\nsự vi phạm có thể hoặc đã xảy ra. Sự phân tích có thể thực hiện với sự hỗ trợ\r\ncủa phát hiện xâm nhập hoặc tự động phản ứng với sự vi phạm an toàn sắp xảy ra.
\r\n\r\nHành động được thực hiện bởi TSF khi phát\r\nhiện ra sự vi phạm sẽ hoặc có nguy cơ xảy ra được định nghĩa trong các thành\r\nphần Phản hồi tự động kiểm toán an toàn (FAU_ARP).
\r\n\r\nKhi phân tích thời gian thực, dữ liệu kiểm\r\ntoán có thể chuyển thành những dạng phù hợp với việc xử lý tự động hoặc ở dạng\r\nxem lại được với người dùng có quyền.
\r\n\r\nC.4.2. FAU_SAA.1 Phân tích khả năng xâm phạm
\r\n\r\nC.4.2.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nThành phần này được sử dụng để xác định một\r\ntập hợp các sự kiện kiểm toán liên quan đến sự vi phạm tiềm năng trong TSP và\r\nmọi luật được dùng để thực hiện phân tích vi phạm.
\r\n\r\nC.4.2.2. Các hoạt động
\r\n\r\nC.4.2.2.1. Chỉ định
\r\n\r\nTrong FAU_SAA.1.2, tác giả PP/ST cần chỉ rõ\r\ntập con của những sự kiện kiểm toán đã định nghĩa mà sự xảy ra hoặc xảy ra tích\r\nlũy của chúng cần được phát hiện là dấu hiệu vi phạm tiềm năng việc thi hành\r\ncủa các SFR.
\r\n\r\nTrong FAU_SAA.1.2 tác giả PP/ST cần chỉ rõ bất\r\ncứ quy định nào khác mà TSF cần sử dụng trong phân tích dấu vết kiểm chứng.\r\nNhững luật này có thể bao gồm những yêu cầu cụ thể thể hiện nhu cầu đối với các\r\nsự kiện xảy ra trong một khoảng thời gian nhất định (có nghĩa trong khoảng của\r\nngày, một thời kỳ). Nếu không có những quy định bổ sung mà TSF có thể sử dụng\r\ntrong phân tích dấu vết kiểm chứng thì sự chỉ định này sẽ được hoàn thành với\r\n"không" ("none").
\r\n\r\nC.4.3. FAU_SAA.2 Phát hiện bất thường dựa\r\ntrên mô tả tóm tắt
\r\n\r\nC.4.3.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nTiểu sử là một cấu trúc mô tả biểu hiện của\r\nngười sử dụng hoặc đối tượng, biểu diễn bằng cách nào người sử dụng hoặc đối\r\ntượng tương tác với TSF. Mẫu sử dụng được xây dựng với nhiều kiểu hoạt động mà\r\nngười sử dụng hoặc đối tượng tham gia (Ví dụ các mẫu về xuất hiện ngoại lệ, tận\r\ndụng tài nguyên như thế nào, khi nào). Phương thức những hoạt động khác nhau\r\nđược ghi lại trong tiểu sử (ví dụ tính toán tài nguyên, bộ đếm sự kiện, thời\r\ngian) được gọi là thuộc tính tiểu sử.
\r\n\r\nMỗi tiểu sử thể hiện mẫu sử dụng của thành\r\nviên trong nhóm tiểu sử mục tiêu. Mẫu sử dụng có thể dựa trên quá khứ hoặc sự\r\nsử dụng thông thường của người dùng trong các nhóm tương tự nhau. Một nhóm tiểu\r\nsử mục tiêu là một hoặc nhiều hơn những người dùng tương tác với TSF. Hoạt động\r\ncủa mỗi thành viên trong nhóm tiểu sử được sử dụng bởi công cụ phân tích để xây\r\ndựng mẫu sử dụng trong nhóm tiểu sử đó. Sau đây là các ví dụ về nhóm tiểu sử\r\nmục tiêu.
\r\n\r\na/ Tài khoản người dùng: mỗi người\r\ndùng có một tiểu sử
\r\n\r\nb/ Định danh nhóm hoặc tài khoản nhóm:\r\nmột tiểu sử cho tất cả người dùng với cùng định danh nhóm hoặc tài khoản nhóm
\r\n\r\nc/ Vai trò vận hành: một tiểu sử cho\r\ntất cả người dùng có chung một vai trò vận hành
\r\n\r\nd/ Hệ thống: một tiểu sử cho tất cả\r\nngười dùng trong một hệ thống
\r\n\r\nMỗi thành viên của một nhóm tiểu sử mục tiêu\r\nđược gán một tỷ lệ nghi ngờ thể hiện mức độ tương ứng của những hành động gần\r\nđây nhất của người dùng với mẫu sử dụng trong nhóm tiểu sử.
\r\n\r\nMức độ tinh vi của những công cụ phát hiện\r\nbất thường được xác định phần lớn dựa trên số lượng tiểu sử nhóm mục tiêu và độ\r\nphức tạp của thông số tiểu sử.
\r\n\r\nThành phần này được sử dụng để xác định tập\r\nhợp các sự kiện kiểm toán có khả năng vi phạm với TSP và những công cụ dùng để\r\nphân tích sự vi phạm. Tập hợp những sự kiện và luật này có thể thay đổi bởi\r\nngười dùng có quyền, chẳng hạn thêm, sửa hoặc xóa sự kiện hoặc luật.
\r\n\r\nPP/ST cần liệt kê chi tiết những hoạt động\r\nnào cần giám sát và/hoặc phân tích bởi TSF. PP/ST cũng cần xác định những thông\r\ntin liên quan để tạo nên tiểu sử sử dụng.
\r\n\r\nFAU_SAA.2 Phát hiện bất thường dựa trên mô\r\ntả tóm tắt yêu cầu TSF phải duy trì tiểu sử sử dụng của hệ thống. Điều này\r\ncó nghĩa là sự phát hiện bất thường sẽ chủ động cập nhật tiểu sử sử dụng dựa\r\ntrên những hành động của những thành viên trong nhóm tiểu sử. Điều quan trọng ở\r\nđây là thông số biểu diễn hành động của người dùng được định nghĩa trong PP/ST.\r\nVí dụ, có thể có hàng nghìn hành động được cho phép thực hiện với mỗi người\r\ndùng nhưng sự phát hiện bất thường chỉ giám sát một tập hợp con của những hành\r\nđộng đó. Những hành động bất thường diễn ra trong thời gian dài có thể sẽ trở\r\nthành bình thường với người dùng nhất định nào đó và TSF sẽ không nên giám sát\r\nnhững hành động này nữa.
\r\n\r\nC.4.3.2. Các hoạt động
\r\n\r\nC.4.3.2.1. Chỉ định
\r\n\r\nTrong FAU_SAA.2.1, PP/ST cần xác định nhóm\r\ntiểu sử mục tiêu. Một PP/ST có thể gồm nhiều nhóm tiểu sử mục tiêu.
\r\n\r\nTrong FAU_SAA.2.3, PP/ST cần xác định điều\r\nkiện trong đó những hành động bất thường được thông báo qua TSF. Điều kiện có\r\nthể bao gồm tỷ lệ nghi ngờ đạt đến một mức nhất định hoặc kiểu của hành động\r\nbất thường.
\r\n\r\nC.4.4. FAU_SAA Thử nghiệm tấn công đơn giản
\r\n\r\nC.4.4.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nTrong thực tế, rất ít khi một công cụ phân\r\ntích phát hiện ra sự vi phạm an ninh sắp xảy ra. Tuy nhiên, một số sự kiện hệ\r\nthống rất quan trọng cần được xem xét độc lập. Ví dụ những sự kiện liên quan\r\nđến xóa một tệp chứa khóa dữ liệu an toàn TSF (mật khẩu) hoặc hành động người\r\ndùng từ xa cố gắng chiếm quyền quản lý. Những sự kiện đó gọi là sự kiện dấu\r\nhiệu mà sự xuất hiện của chúng được coi như hành động xâm nhập.
\r\n\r\nSự phức tạp của một công cụ sẽ phụ thuộc rất\r\nlớn vào sự chỉ định của PP/ST khi định danh tập hợp những sự kiện dấu hiệu.
\r\n\r\nPP/ST cần liệt kê chi tiết những sự kiện cần\r\ngiám sát bởi TSF để thực hiện phân tích. PP/ST cần định danh những thông tin\r\nliên quan cần thiết đến một sự kiện nhằm xác định sự kiện đó có phải là sự kiện\r\ndấu hiệu không.
\r\n\r\nNhững thông báo quản trị cần cung cấp sao cho\r\nngười dùng có quyền hiểu được ý nghĩa sự kiện và có những phản hồi thích hợp.
\r\n\r\nCần có những phương pháp để có thể giám sát\r\nthao tác hệ thống mà không hoàn toàn phụ thuộc vào dữ liệu kiểm toán. Ví dụ có\r\nthể sử dụng những công cụ phát hiện xâm nhập hiện có hoặc trước đây không sử\r\ndụng dữ liệu kiểm toán.
\r\n\r\nPhần tử trong FAU_SAA.2 Phát hiện tấn công\r\nđơn giản không yêu cầu TSF thực hiện trong cùng TSF đang được giám sát thao tác.\r\nDo vậy, có thể phát triển một thành phần phát hiện xâm nhập độc lập với hệ\r\nthống đang được giám sát.
\r\n\r\nC.4.4.2. Các hoạt động
\r\n\r\nC.4.4.2.1. Chỉ định
\r\n\r\nTrong FAU_SAA.3.1, người biên soạn PP/ST cần\r\nnhận dạng một tập con gốc các sự kiện hệ thống mà sự xuất hiện của chúng tách\r\nbiệt với những hành động hệ thống khác, có thể cho thấy sự vi phạm thi hành của\r\ncác SFR. Chúng gồm các sự kiện mà bản thân thể hiện rõ sự vi phạm việc thi hành\r\ncủa các SFR, hoặc sự xảy ra của chúng đáng kể đến nỗi có thể bảo đảm có hành\r\nđộng.
\r\n\r\nTrong FAU_SAA.3.2, PP/ST cần xác định thông\r\ntin được sử dụng để giám sát hoạt động hệ thống. Thông tin này là dữ liệu đầu\r\nvào được công cụ phân tích sử dụng để tìm những hành động hệ thống xuất hiện\r\ntrong TOE. Dữ liệu này bao gồm dữ liệu kiểm toán, dữ liệu kiểm toán kết hợp với\r\ndữ liệu hệ thống khác hoặc những dữ liệu khác với dữ liệu kiểm toán. PP/ST cần\r\nxác định chính xác những sự kiện hệ thống và thuộc tính hệ thống được sử dụng\r\nđể giám sát dữ liệu đầu vào.
\r\n\r\nC.4.5. FAU_SAA.4 Thử nghiệm tấn công phức tạp
\r\n\r\nC.4.5.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nTrong thực tế, rất tí khi một công cụ phân\r\ntích phát hiện ra sự vi phạm an ninh sắp xảy ra. Tuy nhiên, một số sự kiện hệ\r\nthống rất quan trọng cần được xem xét độc lập. Ví dụ những sự kiện liên quan\r\nđến xóa một tệp chứa khóa dữ liệu an toàn TSF (mật khẩu) hoặc hành động người\r\ndùng từ xa cố gắng chiếm quyền quản lý. Những sự kiện đó gọi là sự kiện dấu\r\nhiệu mà sự xuất hiện của chúng được coi như hành động xâm nhập.
\r\n\r\nSự phức tạp của một công cụ sẽ phụ thuộc rất\r\nlớn vào sự chỉ định của PP/ST khi định danh tập hợp những sự kiện dấu hiệu.
\r\n\r\nPP/ST cần liệt kê chi tiết những sự kiện cần\r\ngiám sát bởi TSF để thực hiện phân tích. PP/ST cần định danh những thông tin\r\nliên quan cần thiết đến một sự kiện nhằm xác định sự kiện đó có phải là sự kiện\r\ndấu hiệu không.
\r\n\r\nNhững thông báo quản trị cần cung cấp sao cho\r\nngười dùng có quyền hiểu được ý nghĩa sự kiện và có những phản hồi thích hợp.
\r\n\r\nCần có những phương pháp để có thể giám sát\r\nhoạt động hệ thống mà không hoàn toàn phụ thuộc vào dữ liệu kiểm toán. Ví dụ có\r\nthể sử dụng những công cụ phát hiện xâm nhập hiện có hoặc trước đây không sử\r\ndụng dữ liệu kiểm toán. Vì vậy, PP/ST được yêu cầu phải xác định dữ liệu đầu\r\nvào để giám sát hoạt động hệ thống.
\r\n\r\nPhần tử trong Phát hiện tấn công phức tạp\r\nFAU_SAA.4 không yêu cầu TSF thực hiện trong cùng TSF đang được giám sát hoạt\r\nđộng. Do vậy, có thể phát triển một thành phần phát hiện xâm nhập độc lập với\r\nhệ thống đang được giám sát.
\r\n\r\nC.4.5.2. Các hoạt động
\r\n\r\nC.4.5.2.1. Chỉ định
\r\n\r\nTrong FAU_SAA.4.1, PP/ST cần định danh một\r\ntập hợp gốc danh sách của chuỗi những sự kiện hệ thống và sự xuất hiện của\r\nchúng được coi là kịch bản xâm nhập đã biết trước. Mỗi sự kiện trong chuỗi được\r\ngắn với một sự kiện hệ thống đã giám sát.
\r\n\r\nTrong FAU_SAA.4.1, người biên soạn PP/ST nên\r\nđịnh danh tập con cơ sở của những sự kiện hệ thống mà sự xuất hiện của chúng\r\ntách biệt với những hoạt động hệ thống khác, có thể chỉ ra sự vi phạm việc thi\r\nhành của các SFR. Chúng gồm các sự kiện mà bản thân thể hiện rõ sự vi phạm việc\r\nthi hành của các SFR, hoặc sự xảy ra của chúng đáng kể đến nỗi có thể bảo đảm\r\ncó hành động.
\r\n\r\nTrong FAU_SAA.4.2, PP/ST cần xác định thông\r\ntin được sử dụng để xác định hoạt động của hệ thống. Thông tin này là dữ liệu\r\nđầu vào cho các công cụ phân tích để tìm ra những hành động hệ thống xuất hiện\r\ntrong TOE. Dữ liệu này có thể bao gồm dữ liệu kiểm toán, hoặc sự kết hợp của dữ\r\nliệu kiểm toán với những dữ liệu khác. PP/ST cũng cần định nghĩa chính xác\r\nnhững sự kiện hệ thống và thuộc tính sự kiện đang được giám sát với dữ liệu đầu\r\nvào.
\r\n\r\nC.5. Soát xét kiểm toán an toàn (FAU_SAR)
\r\n\r\nC.5.1. Chú thích cho người sử dụng
\r\n\r\nHọ xem xét lại kiểm chứng an toàn định nghĩa\r\ncác yêu cầu liên quan đến sự xem xét lại thông tin kiểm chứng.
\r\n\r\nNhững chức năng này nên cho phép lưu trữ\r\ntrước hoặc lưu trữ sau lựa chọn kiểm toán để xem xét lại trong đó có thể bao\r\ngồm:
\r\n\r\n• Hành động của người sử dụng (các hành động\r\nliên quan đến định danh, nhận thực, cổng vào TOE và điều khiển truy nhập);
\r\n\r\n• Hành động thực hiện trên một đối tượng nhất\r\nđịnh hoặc tài nguyên TOE;
\r\n\r\n• Tất cả những ngoại lệ kiểm toán của một tập\r\nhợp nhất định;
\r\n\r\n• Hành động liên quan đến một thuộc tính của\r\nTSP.
\r\n\r\nSự khác biệt giữa những xem xét lại kiểm\r\nchứng dựa vào tính chức năng. Xem xét lại kiểm chứng (duy trì) bao hàm khả năng\r\nxem lại dữ liệu kiểm chứng. Xem xét lại có thể lựa chọn thì phức tạp hơn, và\r\nđòi hỏi khả năng lựa chọn tập con dữ liệu kiểm chứng dựa trên tiêu chí đơn hoặc\r\nđa tiêu chí với các quan hệ logic (có nghĩa: và/hoặc), và sắp xếp dữ liệu kiểm\r\nchứng trước khi nó được xem xét lại.
\r\n\r\nC.5.2. FAU_SAR.1 Soát xét kiểm toán
\r\n\r\nC.5.2.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nThành phần này cung cấp cho những người dùng\r\nđược ủy quyền có quyền khả năng thu nhập và dịch thông tin. Trong trường hợp\r\ncon người sử dụng, thông tin này cần biểu diễn ở dạng cho con người hiểu được.\r\nTrong trường hợp với các thực thể IT khác, thông tin này cần biểu diễn ở dạng\r\nđiện tử rõ ràng.
\r\n\r\nC.5.2.2. Các hoạt động
\r\n\r\nC.5.2.2.1. Chỉ định
\r\n\r\nTrong FAU_SAR1.1, người biên soạn PP/ST cần\r\nxác định người quản trị có thể sử dụng khả năng này. Nếu thích hợp, người biên\r\nsoạn PP/ST nên bao gồm vai trò an toàn (xem vai trò an toàn FMT-SMR.1)
\r\n\r\nTrong FAU_SAR.1.1, người biên soạn PP/ST cần\r\nquy định rõ kiểu loại thông tin mà người dùng danh nghĩa được phép lấy từ bản\r\nghi dữ liệu kiểm toán. Ví dụ là "tất cả" ("all"),\r\n"định danh chủ thể" ("subject identify"), "tất cả\r\nthông tin thuộc về bản ghi kiểm toán tham khảo người dùng này" ("all\r\ninformation belonging to audit records referencing this user"). Khi sử\r\ndụng SFR, RAU_SAR.1, không cần phải lặp lại, một cách hoàn toàn chi tiết, danh\r\nsách thông tin kiểm chứng được quy định ban đầu trong FAU_GEN.1. Việc sử dụng\r\nthuật ngữ như là "tất cả" hoặc "tất cả thông tin kiểm\r\nchứng" giúp hạn chế tình trạng tối nghĩa và việc cần phân tích so sánh\r\nthêm giữa hai yêu cầu an toàn.
\r\n\r\nC.5.3. FAU_SAR.2 Soát xét kiểm toán có hạn\r\nchế
\r\n\r\nC.5.3.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nThành phần này xác định những người sử dụng\r\nkhông có định danh trong FAU_SAR.1 sẽ không được đọc bản ghi dữ liệu kiểm toán.
\r\n\r\nC.5.4. FAU_SAR.3 Soát xét kiểm toán có chọn\r\nlựa
\r\n\r\nC.5.4.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nThành phần này được sử dụng để xác định rằng\r\ncó thể lựa chọn dữ liệu kiểm toán để xem lại. Nếu có nhiều tiêu chuẩn lựa chọn,\r\nmối quan hệ giữa chúng cần phải logic (dưới dạng and, or) và công cụ cần cung\r\ncấp khả năng để xử lý dữ liệu kiểm toán (sắp xếp, lọc).
\r\n\r\nC.5.4.2. Các hoạt động
\r\n\r\nC.5.4.2.1. Phép chọn
\r\n\r\nTrong FAU_SAR.3.1, người biên soạn PP/ST cần\r\nquy định rõ những khả năng nào để lựa chọn và/hoặc dữ liệu kiểm toán thứ tự nào\r\nđược yêu cầu từ TSF.
\r\n\r\nTrong FAU_SAR.3.1, người biên soạn PP/ST cần\r\nchỉ định tiêu chí, có thể bằng các mối quan hệ logic, được sử dụng để lựa chọn\r\ndữ liệu kiểm toán xem lại. Các mối quan hệ logic này nhằm để quy định rõ hoạt\r\nđộng có thể trên một thuộc tính riêng lẻ hay là trên một tập hợp các thuộc\r\ntính. Một ví dụ về sự chỉ định này là: "ứng dụng, tài khoản người dùng\r\nvà/hoặc vị trí" ("application, user account and/or location").\r\nTrong trường hợp này hoạt động có thể được quy định rõ bằng việc sử dụng bất cứ\r\nliên hợp nào của ba thuộc tính: ứng dụng, tài khoản người dùng và vị trí.
\r\n\r\nC.6. Lựa chọn sự kiện kiểm toán an toàn\r\n(FAU_SEL)
\r\n\r\nC.6.1. Chú thích cho người sử dụng
\r\n\r\nHọ lựa chọn sự kiện kiểm toán an toàn cung\r\ncấp yêu cầu liên quan đến khả năng những sự kiện kiểm toán nào có thể kiểm toán\r\nđược. Sự kiện kiểm toán được định nghĩa trong họ FAU_GEN, nhưng những sự kiện\r\nđó cần được định nghĩa một cách chọn lọc trong thành phần này để kiểm toán.
\r\n\r\nHọ này đảm bảo rằng có thể không sử dụng\r\nnhững dữ liệu kiểm toán quá dài bằng cách định nghĩa thuộc tính thích hợp trong\r\nnhững sự kiện kiểm toán an toàn được lựa chọn.
\r\n\r\nC.6.2. FAU_SEL.1 Kiểm toán lựa chọn
\r\n\r\nC.6.2.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nThành phần này định nghĩa tiêu chuẩn lựa chọn\r\nđược sử dụng và những tập hợp con kết quả đã được kiểm toán của tập hợp tất cả\r\ncác sự kiện có thể kiểm toán, dựa trên các thuộc tính người dùng, các thuộc\r\ntính chủ thể, các thuộc tính đối tượng hoặc các kiểu loại sự kiện.
\r\n\r\nSự tồn tại của định danh người dùng không bao\r\ngồm trong thành phần này. Điều này cho phép những TOE như bộ định tuyến có thể\r\nkhông cần hỗ trợ khái niệm người dùng.
\r\n\r\nĐối với môi trường phân tán, định danh của\r\nmáy trạm có thể sử dụng như lựa chọn cho những sự kiện kiểm toán.
\r\n\r\nChức năng quản lý dữ liệu TSF (FMT_MTD.1) sẽ\r\nxử lý quyền của người quản trị khi truy vấn hoặc sửa đổi lựa chọn.
\r\n\r\nC.6.2.2. Các hoạt động
\r\n\r\nC.6.2.2.1. Phép chọn
\r\n\r\nTrong FAU_SEL.1.1, PP/ST cần lựa chọn mối\r\nquan hệ của thuộc tính an toàn để kiểm toán dựa trên định danh đối tượng, định\r\ndanh người dùng, định danh máy trạm hoặc kiểu sự kiện.
\r\n\r\nC.6.2.2.2. Chỉ định
\r\n\r\nTrong FAU_SEL.1.1, PP/ST cần xác định những\r\nthuộc tính bổ sung liên quan đến sự lựa chọn kiểm toán. Nếu không có cũng cần\r\nChỉ định rõ là "không có".
\r\n\r\nC.7. Lưu trữ sự kiện kiểm toán an toàn\r\n(FAU_STG)
\r\n\r\nC.7.1. Chú thích cho người sử dụng
\r\n\r\nHọ lưu trữ sự kiện kiểm toán an toàn mô tả\r\ncác yêu cầu lưu trữ dữ liệu kiểm toán để dùng lại sau đó, trong đó bao gồm điều\r\nkhiển thất thoát thông tin kiểm toán do lỗi TOE, tấn công và/hoặc hết dung\r\nlượng lưu trữ.
\r\n\r\nC.7.2. FAU_STG.1 Lưu trữ các vết kiểm toán có\r\nbảo vệ
\r\n\r\nC.7.2.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nTrong môi trường phân tán, do nơi lưu trữ dữ\r\nliệu kiểm toán trong TSC nhưng không cần thiết phải trong cùng nơi tạo ra dữ\r\nliệu, PP/ST có thể yêu cầu nhận thực về nguồn gốc của bản ghi kiểm toán trước\r\nkhi lưu bản ghi đó.
\r\n\r\nTSF sẽ bảo vệ dữ liệu kiểm toán đã lưu trữ\r\ntrong dấu vết kiểm toán khỏi những hành động xóa hoặc sửa đổi không được phép.\r\nLưu ý rằng trong một số TOE (vai trò) người kiểm toán có thể không được phép\r\nxóa bản ghi kiểm toán trong một khoảng thời gian nhất định.
\r\n\r\nC.7.2.2. Các hoạt động
\r\n\r\nC.7.2.2.1. Phép chọn
\r\n\r\nTrong FAU_STG.1.2, người biên soạn PP/ST cần\r\nquy định TSF sẽ ngăn chặn hoặc chỉ có thể phát hiện sự thay đổi của các dữ liệu\r\nkiểm toán đã lưu trữ trong dấu vết kiểm toán. Chỉ một tùy chọn được lựa chọn.
\r\n\r\nC.7.3. FAU_STG.2 Đảm bảo sự sẵn sàng của dữ\r\nliệu kiểm toán
\r\n\r\nC.7.3.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nThành phần này cho phép PP/ST xác định những\r\nthông số mà dữ liệu kiểm toán cần đáp ứng.
\r\n\r\nTrong môi trường phân tán, do nơi lưu trữ dữ\r\nliệu kiểm toán trong TSC những không cần thiết phải trong cùng nơi tạo ra dữ\r\nliệu, PP/ST có thể yêu cầu nhận thực về nguồn gốc của bản ghi kiểm toán trước\r\nkhi lưu bản ghi đó.
\r\n\r\nC.7.3.2. Các hoạt động
\r\n\r\nC.7.3.2.1. Phép chọn
\r\n\r\nTrong FAU_STG.2.2, người biên soạn PP/ST cần\r\nquy định rõ STF sẽ ngăn chặn hoặc chỉ có thể phát hiện sự thay đổi của bản ghi\r\nkiểm toán đã lưu trữ trong dấu vết kiểm toán. Chỉ một tùy chọn được lựa chọn.
\r\n\r\nC.7.3.2.2. Chỉ định
\r\n\r\nTrong FAU_STG.2.3, tác giả PP/ST cần chỉ rõ\r\nthông số mà TSF phải đảm bảo đối với bản ghi kiểm toán lưu trữ. Thông số này\r\ngiới hạn dữ liệu thất thoát dựa trên số lượng bản ghi phải được duy trì hoặc\r\nthời gian bản ghi được đảm bảo duy trì. Ví dụ, thông số là "100,000"\r\ncó nghĩa là 100,000 bản ghi kiểm toán cần được lưu giữ.
\r\n\r\nC.7.3.2.3. Phép chọn
\r\n\r\nTrong FAU_STG.2.3, tác giả PP/ST cần xác định\r\nđiều kiện trong đó TSF nào vẫn có thể duy trì được một lượng dữ liệu kiểm toán\r\nđã thiết lập trước. Điều kiện này có thể như sau: không gian lưu trữ bị cạn\r\nkiệt, hỏng hoặc tấn công.
\r\n\r\nC.7.4. FAU_STG.3 Hành động trong trường hợp\r\ncó thể mất mát dữ liệu kiểm toán
\r\n\r\nC.7.4.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nThành phần này yêu cầu hành động sẽ phải thực\r\nhiện khi dữ liệu kiểm toán vượt quá giới hạn đã thiết lập trước.
\r\n\r\nC.7.4.2. Các hoạt động
\r\n\r\nC.7.4.2.1. Chỉ định
\r\n\r\nTrong FAU_STG.3.1, PP/ST cần xác định giới\r\nhạn thiết lập trước. Nếu chức năng quản lý thông báo rằng con số này có thể\r\nthay đổi bởi người dùng được cấp quyền thì giá trị là giá trị mặc định. PP/ST\r\nnên cho phép người dùng được cấp quyền thiết lập giới hạn này.
\r\n\r\nTrong FAU_STG.3.1, PP/ST cần xác định hành\r\nđộng cần thực hiện trong trường hợp nơi lưu trữ dữ liệu kiểm toán sắp bị hỏng\r\ndựa trên sự thông báo vượt qua mức ngưỡng. Hành động nên bao gồm thông báo cho\r\nngười được cấp quyền.
\r\n\r\nC.7.5. FAU_STG.4 Ngăn chặn mất mát dữ liệu\r\nkiểm toán
\r\n\r\nC.7.5.1. Chú thích cho ứng dụng người dùng
\r\n\r\nThành phần này chỉ rõ ứng xử của TOE khi dấu\r\nvết kiểm toán bị đầy: hoặc là các bản ghi kiểm toán bị bỏ qua hoặc TOE bị\r\n"đông cứng" đến nỗi không có sự kiện kiểm toán nào có thể xảy ra\r\nđược. Các yêu cầu cũng chỉ ra rằng bất cứ yêu cầu là như thế nào, thì người\r\ndùng được cấp phép với các quyền cụ thể đối với kết quả này đều có thể tiếp tục\r\ntạo ra sự kiện kiểm toán (các hành động). Lý do là mặt khác thì người dùng được\r\ncấp quyền thậm chí cũng không thể khởi động lại TOE. Cần cân nhắc lựa chọn hành\r\nđộng do TSF thực hiện trong trường hợp cạn kiệt lưu trữ kiểm toán, như bỏ qua\r\ncác sự kiện, mà cung cấp khả năng sẵn sàng của TOE tốt hơn, cũng sẽ cho phép\r\ncác hành động được thực hiện mà không ghi lại và không theo dõi được người sử\r\ndụng.
\r\n\r\nC.7.5.2. Các hoạt động
\r\n\r\nC.7.5.2.1. Phép chọn
\r\n\r\nTrong FAU_STG.4.1, PP/ST cần lựa chọn TSF sẽ\r\nbỏ qua những hành động có thể kiểm toán hoặc những bản ghi lâu nhất được ghi đè\r\nkhi TSF không thể ghi tiếp. Chỉ một tùy chọn được phép sử dụng.
\r\n\r\nC.7.5.2.2. Chỉ định
\r\n\r\nTrong FAU_STG.4.1, PP/ST cần xác định những\r\nhành động được thực hiện khi nơi lưu trữ dữ liệu kiểm toán bị hỏng, ví dụ thông\r\nbáo với người dùng được cấp quyền. Nếu không, sự Chỉ định phải ghi rõ là\r\n"không có".
\r\n\r\n\r\n\r\n
Lớp này mô tả các yêu cầu đặc biệt quan tâm\r\nđối với các TOE dùng cho việc vận chuyển thông tin. Các họ trong lớp này liên\r\nquan việc không từ chối.
\r\n\r\nTrong lớp này khái niệm "thông tin"\r\nđược sử dụng. Thông tin này được dịch như là đối tượng đang được truyền thông,\r\nvà có thể bao gồm một thông điệp thư điện tử, tệp hoặc một tập hợp kiểu thuộc\r\ntính đã xác định.
\r\n\r\nHình D.1 mô tả thành phần của lớp này:
\r\n\r\n![](\"00907947_files/image022.jpg\")
D.1. Không chối bỏ nguồn gốc (FCO_NRO)
\r\n\r\nD.1.1. Chú thích cho người sử dụng
\r\n\r\nNguồn gốc không thể phủ nhận định nghĩa yêu\r\ncầu để cung cấp bằng chứng cho người sử dụng/đối tượng về định danh người khởi\r\ntạo ra một số thông tin. Người khởi tạo không thể phủ nhận những thông tin đã\r\ngửi vì bằng chứng về nguồn gốc (ví dụ chữ ký số) khẳng định mối liên kết giữa\r\nngười đó và thông tin đã gửi đi. Người nhận hoặc một người thứ ba có thể xác\r\nnhận bằng chứng về nguồn gốc này. Bằng chứng này cần không làm giả được.
\r\n\r\nNếu thông tin hoặc những thuộc tính liên quan\r\nbị thay đổi theo bất kỳ cách nào, tính hợp lệ của bằng chứng về nguồn gốc là\r\nthất bại. Do đó PP/ST cần cân nhắc bao gồm cả yêu cầu toàn vẹn như FDP_UIT.1.
\r\n\r\nKhông thể phủ nhận bao gồm một số vai trò\r\nkhác nhau có thể kết hợp trong đối tượng:
\r\n\r\n- Vai trò thứ nhất là một đối tượng yêu cầu\r\nbằng chứng về nguồn gốc (chỉ có trong FCO_NRO.1),
\r\n\r\n- Vai trò thứ hai là người nhận và/hoặc những\r\nđối tượng khác được cung cấp bằng chứng
\r\n\r\n- Vai trò thứ ba là một đối tượng yêu cầu\r\nkiểm tra lại nguồn gốc của bằng chứng.
\r\n\r\nPP/ST cần xác định điều kiện cần thiết để\r\nkiểm tra tính hợp lệ của bằng chứng. Một ví dụ về điều kiện này là sự kiểm tra\r\nbằng chứng phải xảy ra trong vòng 24 giờ. Những điều kiện này do vậy cho phép\r\nthay đổi yêu cầu hợp lệ, ví dụ có thể cung cấp bằng chứng trong một vài năm.
\r\n\r\nTrong phần lớn trường hợp, định danh của\r\nngười nhận sẽ là người nhận sự truyền tin. Trong một số trường hợp PP/ST không\r\nmuốn định danh người dùng xuất ra. Trong trường hợp đó, PP/ST cần cân nhắc bao\r\ngồm cả lớp này hoặc có nên sử dụng định danh của người cung cấp dịch vụ hay\r\nđịnh danh của máy trạm không.
\r\n\r\nNgoài ra, PP/ST cần xem xét đến thời gian\r\nthông tin được truyền đi. Ví dụ, yêu cầu khuyến nghị phải được truyền đi trước\r\nngày nào đó. Trong trường hợp như vậy, những yêu cầu này có thể tùy biến nhằm\r\ncung cấp một sự chỉ thị về mốc thời gian (thời gian gốc).
\r\n\r\nD.1.2. FCO_NRO.1 Lựa chọn kiểm chứng nguồn\r\ngốc
\r\n\r\nD.1.2.1. Các hoạt động
\r\n\r\nD.1.2.1.1. Chỉ định
\r\n\r\nTrong FCO_NRO.1.1, PP/ST cần điền kiểu thông\r\ntin về đối tượng trong chức năng bằng chứng về nguồn gốc, ví dụ thông điệp thư điện\r\ntử.
\r\n\r\nD.1.2.1.2. Phép chọn
\r\n\r\nTrong FCO_NRO.1.1, PP/ST cần xác định người\r\ndùng/ đối tượng có thể yêu cầu bằng chứng về nguồn gốc.
\r\n\r\nD.1.2.1.3. Chỉ định
\r\n\r\nTrong FCO_NRO.1.1, PP/ST dựa trên sự lựa chọn\r\ncần xác định những đối tác thứ ba có thể yêu cầu bằng chứng về nguồn gốc. Một\r\nđối tác thứ ba có thể là trọng tài, quan tòa hoặc một đối tượng hợp lệ.
\r\n\r\nTrong FCO_NRO.1.2, PP/ST cần điền danh sách\r\nnhững thuộc tính sẽ liên kết với thông tin, ví dụ định danh người khởi tạo,\r\nthời gian gốc, và vị trí gốc.
\r\n\r\nTrong FCO_NRO.1.2, PP/ST cần điền danh sách\r\nnhững trường thông tin mang những thuộc tính cung cấp bằng chứng về nguồn gốc,\r\nví dụ nội dung của một thông điệp.
\r\n\r\nD.1.2.1.4. Phép chọn
\r\n\r\nTrong FCO_NRO.1.3, PP/ST cần xác định người\r\ndùng/ đối tượng có thể thẩm tra bằng chứng về nguồn gốc.
\r\n\r\nD.1.2.1.5. Chỉ định
\r\n\r\nTrong FCO_NRO.1.3, PP/ST cần điền danh sách\r\nnhững giới hạn mà bằng chứng có thể thẩm tra. Ví dụ, bằng chứng chỉ có thể thẩm\r\ntra trong 24 giờ. Một Chỉ định "ngay tức thì" hoặc "không xác định"\r\ncó thể được chấp nhận.
\r\n\r\nTrong FCO_NRO.1.3, PP/ST dựa trên sự lựa chọn\r\ncần xác định những đối tác thứ ba có thể thẩm tra bằng chứng về nguồn gốc.
\r\n\r\nD.1.3. FCO_NRO.2 Thực thi kiểm chứng nguồn\r\ngốc
\r\n\r\nD.1.3.1. Các hoạt động
\r\n\r\nD.1.3.1.1. Chỉ định
\r\n\r\nTrong FCO_NRO.2.1, PP/ST cần điền những kiểu\r\nthông tin đối tượng trong chức năng bằng chứng nguồn gốc, ví dụ thông điệp thư\r\nđiện tử.
\r\n\r\nTrong FCO_NRO.2.2, PP/ST cần điền danh sách\r\nnhững thuộc tính sẽ liên kết với thông tin, ví dụ định danh người khởi tạo,\r\nthời gian gốc, và vị trí gốc.
\r\n\r\nTrong FCO_NRO.2.2, PP/ST cần điền danh sách\r\nnhững trường thông tin mang những thuộc tính cung cấp bằng chứng về nguồn gốc,\r\nví dụ nội dung của một thông điệp.
\r\n\r\nD.1.3.1.2. Phép chọn
\r\n\r\nTrong FCO_NRO.2.3, PP/ST cần xác định người\r\ndùng/ đối tượng có thể thẩm tra bằng chứng về nguồn gốc.
\r\n\r\nD.1.3.1.3. Chỉ định
\r\n\r\nTrong FCO_NRO.1.3, PP/ST cần điền danh sách\r\nnhững giới hạn mà bằng chứng có thể thẩm tra. Ví dụ, bằng chứng chỉ có thể thẩm\r\ntra trong 24 giờ. Một Chỉ định "ngay tức thì" hoặc "không xác\r\nđịnh" có thể được chấp nhận.
\r\n\r\nTrong FCO_NRO.1.3, PP/ST dựa trên sự lựa chọn\r\ncần xác định những đối tác thứ ba có thể thẩm tra bằng chứng về nguồn gốc. Đối\r\ntác thứ ba có thể là một trọng tài, quan tòa hoặc một đối tượng hợp lệ.
\r\n\r\nD.2. Không thể từ chối của bên nhận (FCO_NRR)
\r\n\r\nD.2.1. Chú thích cho người sử dụng
\r\n\r\nFCO_NRR định nghĩa yêu cầu để cung cấp bằng\r\nchứng cho những người dùng/ đối tượng khác rằng thông tin được nhận bởi người\r\nnhận. Người nhận không thể từ chối thành công đã nhận thông tin bởi bằng chứng\r\nbiên nhận (ví dụ chữ ký điện tử) khẳng định mối liên kết giữa thuộc tính người\r\nnhận và thông tin. Người khởi tạo hoặc đối tác thứ ba có thể thẩm tra bằng\r\nchứng biên nhận. Bằng chứng này cần không làm giả được.
\r\n\r\nLưu ý rằng sự bằng chứng cung cấp không cần\r\nthiết gợi ý rằng thông tin đã được đọc hoặc lĩnh hội mà chỉ nhận được.
\r\n\r\nNếu thông tin hoặc những thuộc tính liên quan\r\nđược thay đổi theo cách nào đó, tính hợp lệ của bằng chứng biên nhận so với\r\nthông tin gốc là thất bại. Do vậy PP/ST cần cân nhắc yêu cầu về tính toàn vẹn\r\nnhư FDP_UIT.1
\r\n\r\nTrong không thể phủ định bao gồm một số vai\r\ntrò khác nhau có thể kết hợp trong đối tượng:
\r\n\r\n- Vai trò thứ nhất là một đối tượng yêu cầu\r\nbằng chứng về nguồn gốc (chỉ có trong FCO_NRO.1),
\r\n\r\n- Vai trò thứ hai là người nhận và/hoặc những\r\nđối tượng khác được cung cấp bằng chứng, ví dụ công chứng viên
\r\n\r\n- Vai trò thứ ba là một đối tượng yêu cầu\r\nthẩm tra lại nguồn gốc của bằng chứng ví dụ hư trọng tài
\r\n\r\nPP/ST cần xác định điều kiện cần thiết để\r\nthẩm tra tính hợp lệ của bằng chứng. Một ví dụ về điều kiện này là sự thẩm tra\r\nbằng chứng phải xảy ra trong vòng 24 giờ. Những điều kiện này do vậy cho phép\r\nthay đổi yêu cầu hợp lệ, ví dụ có thể cung cấp bằng chứng trong một vài năm.
\r\n\r\nTrong phần lớn trường hợp, định danh của\r\nngười nhận sẽ là người nhận sự truyền tin. Trong một số trường hợp PP/ST không\r\nmuốn định danh người dùng xuất ra. Trong trường hợp đó, PP/ST cần cân nhắc bao\r\ngồm cả lớp này hoặc có nên sử dụng định danh của người cung cấp dịch vụ hay\r\nđịnh danh của máy trạm không.
\r\n\r\nNgoài ra, PP/ST cần xem xét đến thời gian thông\r\ntin được truyền đi. Ví dụ, yêu cầu khuyến nghị phải được truyền đi trước một\r\nngày nào đó. Trong trường hợp như vậy, những yêu cầu này có thể tùy biến nhằm\r\ncung cấp một sự chỉ thị về mốc thời gian (thời gian gốc).
\r\n\r\nD.2.2. FCO_NRR.1 Lựa chọn kiểm chứng bên nhận
\r\n\r\nD.2.2.1. Các hoạt động
\r\n\r\nD.2.2.1.1. Chỉ định
\r\n\r\nTrong FCO_NRR.1.1, PP/ST cần điền vào kiểu\r\nthông tin đối tượng cho bằng chứng biên nhận, ví dụ, thông điệp thư điện tử.
\r\n\r\nD.2.2.1.2. Phép chọn
\r\n\r\nTrong FCO_NRR.1.1, PP/ST cần xác định người\r\ndùng/đối tượng có thể yêu cầu bằng chứng biên nhận.
\r\n\r\nD.2.2.1.3. Chỉ định
\r\n\r\nTrong FCO_NRR.1.1, PP/ST dựa vào sự lựa chọn\r\ncần xác định những đối tác thứ ba có thể yêu cầu bằng chứng biên nhận. Đối tác\r\nthứ ba có thể là trọng tài, quan tòa hoặc đối tượng hợp lệ.
\r\n\r\nTrong FCO_NRR.1.2, PP/ST cần điền danh sách\r\nnhững thuộc tính sẽ liên kết với thông tin; ví dụ định danh người nhận, thời\r\ngian nhận, địa điểm nhận.
\r\n\r\nTrong FCO_NRR.1.2, PP/ST cần điền danh sách\r\ncác trường thông tin trong đó có những thuộc tính cung cấp bằng chứng biên\r\nnhận, ví dụ nội dung của một thông điệp.
\r\n\r\nD.2.2.1.4. Phép chọn
\r\n\r\nTrong FCO_NRR.1.3, PP/ST cần xác định những\r\nngười dùng/ đối tượng có thể thẩm tra bằng chứng biên nhận.
\r\n\r\nD.2.2.1.5. Chỉ định
\r\n\r\nTrong FCO_NRR.1.3, PP/ST cần điền danh sách\r\nnhững sự hạn chế mà dựa vào đó bằng chứng có thể thẩm tra. Ví dụ bằng chứng chỉ\r\ncó thể thẩm tra trong vòng 24 giờ. Một sự chỉ định "Ngay lập tức"\r\nhoặc "Không xác định" là chấp nhận được.
\r\n\r\nTrong FCO_NRR.1.3, PP/ST cần dựa trên sự lựa\r\nchọn để xác định những đối tác thứ ba có thể thẩm tra bằng chứng biên nhận.
\r\n\r\nD.2.3. FCO_NRR.2 Thực thi kiểm chứng biên\r\nnhận
\r\n\r\nD.2.3.1. Các hoạt động
\r\n\r\nD.2.3.1.1 Chỉ định
\r\n\r\nTrong FCO_NRR.2.1, PP/ST cần điền vào kiểu\r\nthông tin đối tượng cho bằng chứng biên nhận, ví dụ, thông điệp thư điện tử.
\r\n\r\nTrong FCO_NRR.2.2, PP/ST cần điền danh sách\r\nnhững thuộc tính sẽ liên kết với thông tin; ví dụ định danh người nhận, thời\r\ngian nhận, địa điểm nhận.
\r\n\r\nTrong FCO_NRR.2.2, PP/ST cần điền danh sách\r\ncác trường thông tin trong đó có những thuộc tính cung cấp bằng chứng biên\r\nnhận, ví dụ nội dung của một thông điệp.
\r\n\r\nD.2.3.1.2. Phép chọn
\r\n\r\nTrong FCO_NRR.2.3, PP/ST cần xác định những\r\nngười dùng/ đối tượng có thể thẩm tra bằng chứng biên nhận.
\r\n\r\nD.2.3.1.3. Chỉ định
\r\n\r\nTrong FCO_NRR.1.3, PP/ST cần điền danh sách\r\nnhững sự hạn chế mà dựa vào đó bằng chứng có thể thẩm tra. Ví dụ bằng chứng chỉ\r\ncó thể thẩm tra trong vòng 24 giờ. Một sự Chỉ định "ngay lập tức"\r\nhoặc "không xác định" là chấp nhận được.
\r\n\r\nTrong FCO_NRR.1.3, PP/ST cần dựa trên sự lựa\r\nchọn để xác định những đối tác thứ ba có thể thẩm tra bằng chứng biên nhận. Đối\r\ntác thứ ba có thể là một trọng tài, quan tòa hoặc đối tượng hợp lệ.
\r\n\r\n\r\n\r\n
TSF có thể tận dụng chức năng mật mã để hỗ\r\ntrợ cho những mục đích an toàn ở mức cao. Chức năng này có thể bao gồm (những\r\nkhông giới hạn bởi): định danh và nhận thức, không phủ định, đường tin cậy,\r\nkênh tin cậy và tách dữ liệu. Lớp này được sử dụng khi TOE thực hiện chức năng\r\nmật mã, có thể trong phần cứng, phần sụn hoặc phần mềm.
\r\n\r\nFCS bao gồm hai họ: Quản lý khóa mật mã\r\n(FCS_CKM) và Thao tác mật mã (FCS_COP). FCS_CKM chú trọng vào vấn đề quản lý\r\nkhóa mật mã trong khi FCS_COP liên quan đến sự sử dụng những khóa mật mã đó.
\r\n\r\nVới mỗi phương thức tạo khóa mật mã thực hiện\r\nbởi TOE nếu có, PP/ST cần lựa chọn thành phần Tạo khóa mật mã FCS_CKM.1
\r\n\r\nVới mỗi phương thức phân phối khóa mật mã\r\nthực hiện bởi TOE nếu có, PP/ST cần lựa chọn thành phần Phân phối khóa mật mã\r\nFCS_CKM.2
\r\n\r\nVới mỗi phương thức truy nhập khóa mật mã\r\nthực hiện bởi TOE nếu có, PP/ST cần lựa chọn thành phần Truy nhập khóa mật mã\r\nFCS_CKM.3
\r\n\r\nVới mỗi phương thức hủy khóa mật mã thực hiện\r\nbởi TOE nếu có, PP/ST cần lựa chọn thành phần Hủy khóa mật mã FCS_KCM.4
\r\n\r\nChức năng mật mã có thể sử dụng để đáp ứng\r\nmục tiêu trong lớp FCO - Trao đổi thông tin và trong các họ Nhận thực dữ liệu\r\n(FDP_DAU), Tính toàn vẹn dữ liệu lưu trữ (FDP_SDI), Bảo vệ chuyển giao bí mật\r\ndữ liệu người dùng giữa TSF (FDP_UIT), Đặc tính bí mật (FIA_SOS), Nhận thực\r\nngười dùng (FIA_UAU) để đáp ứng nhiều mục tiêu khác nhau. Trong trường hợp chức\r\nnăng mật mã được sử dụng để đáp ứng mục tiêu cho các lớp khác, những thành phần\r\nchức năng riêng lẻ xác định những mục tiêu đó phải đáp ứng chức năng mật mã.\r\nMục tiêu trong lớp FCS cần được sử dụng khi chức năng mật mã của TOE được yêu\r\ncầu từ khách hàng.
\r\n\r\nHình Ε.1 minh họa các thành phần của lớp FCS.
\r\n\r\n![](\"00907947_files/image023.jpg\")
Ε.1. Quản lý khóa mật mã (FCS_CKM)
\r\n\r\nΕ.1.1. Chú thích cho người sử dụng
\r\n\r\nKhóa mật mã phải được quản lý trong suốt thời\r\ngian tồn tại của khóa. Những sự kiện thường gặp trong chu kỳ sống của khóa mật\r\nmã bao gồm (nhưng không giới hạn bởi): tạo, phân phối, lưu giữ, truy nhập và\r\nhủy khóa.
\r\n\r\nSố trạng thái của khóa phụ thuộc vào chiến\r\nlược quản lý khóa đang triển khai do TOE không cần thiết tham gia vào tất cả\r\ntrong chu kỳ sống của khóa (ví dụ TOE chỉ tạo và phân phối khóa).
\r\n\r\nHọ này nhằm hỗ trợ chu kỳ sống của khóa và do\r\nđó định nghĩa yêu cầu cho những thao tác sau: Tạo khoá, phân phối khóa và hủy\r\nkhóa. Họ này cần sử dụng khi có yêu cầu chức năng về quản lý khóa mật mã.
\r\n\r\nNếu FAU_GEN bao gồm trong PP/ST thì trong ngữ\r\ncảnh của sự kiện đang kiểm toán:
\r\n\r\na/ Thuộc tính của mục đích có thể bao gồm\r\nngười dùng đã gắn cho khóa mật mã, vai trò của người dùng, thao tác sử dụng\r\nkhóa mật mã, định danh khóa mật mã và khoảng thời gian hợp lệ của khóa mật mã.
\r\n\r\nb/ Giá trị của mục đích có thể bao gồm giá\r\ntrị của khóa mật mã và tham số không kể đến những thông tin nhạy cảm (ví dụ\r\nkhóa mật mã bí mật hoặc riêng tư).
\r\n\r\nThông thường, số ngẫu nhiên được sử dụng để\r\ntạo khóa mật mã. Trong trường đó, FCS_CKM.1 cần được dùng thay cho FIA_SOS.2.\r\nFIA_SOS.2 được sử dụng trong trường hợp việc tạo mã ngẫu nhiên yêu cầu mục đích\r\nkhác.
\r\n\r\nΕ.1.2. FCS_CKM.1 Tạo khóa mật mã
\r\n\r\nΕ.1.2.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nThành phần này yêu cầu xác định độ dài khóa\r\nmật mã và phương thức tạo khóa (có thể tuân theo một tiêu chuẩn Chỉ định). Chỉ\r\ncần một đối tượng của thành phần cho cùng một phương thức và những độ dài mã\r\nkhác nhau. Độ dài mã có thể dùng chung hoặc khác nhau với các thực thể, có thể\r\nlà đầu vào hoặc đầu ra của phương thức.
\r\n\r\nΕ.1.2.2. Các hoạt động
\r\n\r\nΕ.1.2.2.1. Chỉ định
\r\n\r\nTrong FCS_CKM.1.1, tác giả PP/ST nên xác định\r\nthuật toán tạo khóa mật mã được sử dụng.
\r\n\r\nTrong FCS_CKM.1.1, tác giả PP/ST nên xác định\r\nđộ dài khóa mật mã được sử dụng. Độ dài khóa cần thích hợp với thuật toán và\r\nmục đích sử dụng.
\r\n\r\nTrong FCS_CKM.1.1, tác giả PP/ST nên xác định\r\ntiêu chuẩn được chỉ định để tạo khóa mật mã. Tiêu chuẩn chỉ định có thể không\r\ncó hoặc nhiều hơn một tiêu chuẩn đã công bố quốc tế, trong nước hoặc một tổ\r\nchức.
\r\n\r\nΕ.1.3. FCS_CKM.2 Phân phối khóa mật mã
\r\n\r\nΕ.1.3.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nThành phần này yêu cầu các phương pháp được\r\nsử dụng để phân phối các khóa mật mã được quy định, điều này có thể phù hợp với\r\nmột tiêu chuẩn được chỉ định.
\r\n\r\nΕ.1.3.2. Các hoạt động
\r\n\r\nΕ1.3.2.1. Chỉ định
\r\n\r\nTrong FCS_CKM.2.1, tác giả PP/ST nên xác định\r\nphương pháp phân phối khóa mật mã được sử dụng.
\r\n\r\nTrong FCS_CKM.2.1, tác giả PP/ST nên xác định\r\ntiêu chuẩn được chỉ định để tạo các khóa mật mã. Tiêu chuẩn chỉ định có thể\r\nkhông có hoặc nhiều hơn một tiêu chuẩn đã công bố quốc tế, trong nước hoặc một\r\ntổ chức.
\r\n\r\nΕ.1.4. FCS_CKM.3 Truy nhập khóa mật mã
\r\n\r\nΕ.1.4.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nThành phần này yêu cầu phương pháp được sử\r\ndụng để truy cập các khóa mật mã quy định, điều này có thể phù hợp với tiêu\r\nchuẩn được chỉ định.
\r\n\r\nΕ.1.4.2. Các hoạt động
\r\n\r\nΕ.1.4.2.1. Chỉ định
\r\n\r\nTrong FCS_CKM.3.1, tác giả PP/ST nên xác định\r\nloại truy cập khóa mật mã đang sử dụng. Ví dụ về loại khóa truy cập khóa mật mã\r\ngồm (nhưng không hạn chế) sao lưu khóa mật mã và phục hồi khóa mật mã.
\r\n\r\nTrong FCS_CKM.3.1, tác giả PP/ST nên xác định\r\nphương pháp truy cập khóa mật mã được sử dụng.
\r\n\r\nTrong FCS_CKM.3.1, tác giả PP/ST nên xác định\r\ntiêu chuẩn được chỉ định để tạo các khóa mật mã. Tiêu chuẩn chỉ định có thể\r\nkhông có hoặc nhiều hơn một tiêu chuẩn đã công bố quốc tế, trong nước hoặc một\r\ntổ chức.
\r\n\r\nΕ.1.5. FCS_CKM.4 Hủy bỏ khóa mật mã
\r\n\r\nΕ.1.5.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nThành phần này yêu cầu phương pháp được sử\r\ndụng để phá hủy các khóa mật mã quy định, điều này có thể phù hợp với tiêu\r\nchuẩn được chỉ định.
\r\n\r\nΕ.1.5.2. Các hoạt động
\r\n\r\nΕ1.5.2.1. Chỉ định
\r\n\r\nTrong FCS_CKM.4.1, tác giả PP/ST nên xác định\r\nphương pháp phá hủy khóa được sử dụng cho việc phá hủy các khóa mật mã.
\r\n\r\nTrong FCS_CKM.4.1, tác giả PP/ST nên xác định\r\ntiêu chuẩn được chỉ định để tạo các khóa mật mã. Tiêu chuẩn chỉ định có thể\r\nkhông có hoặc nhiều hơn một tiêu chuẩn đã công bố quốc tế, trong nước hoặc một\r\ntổ chức.
\r\n\r\nΕ.2. Hoạt động mật mã (FCS_COP)
\r\n\r\nΕ.2.1. Chú thích cho người sử dụng
\r\n\r\nThao tác mật mã có thể gắn liền với những chế\r\nđộ mật mã. Khi đó chế độ mật mã phải được xác định.
\r\n\r\nThao tác mật mã có thể hỗ trợ một hoặc một\r\nvài dịch vụ an toàn TOE. Thành phần FCS_COP có thể cần lặp lại hơn một lần dựa\r\ntrên:
\r\n\r\na/ Ứng dụng người dùng mà trên đó dịch vụ an\r\ntoàn được sử dụng
\r\n\r\nb/ Sự sử dụng những thuật toán và độ dài khóa\r\nmật mã khác nhau
\r\n\r\nc/ Kiểu dữ liệu đang sử dụng
\r\n\r\nNếu trong PP/ST bao gồm cả FAU_GEN thì trong\r\nngữ cảnh của thao tác mật mã đang kiểm tra:
\r\n\r\na/ Thao tác mật mã có thể bao gồm tạo và\r\n(hoặc) kiểm tra chữ ký số, tạo mã kiểm tra toàn vẹn và kiểm tra lại, tính hàm\r\nbăm, mã hóa và giải mã dữ liệu, mã hóa và giải mã khóa mật mã, thỏa thuận khóa\r\nmật mã và tạo số ngẫu nhiên.
\r\n\r\nb/ Thuộc tính đối tượng có thể bao gồm vai\r\ntrò đối tượng và người dùng gắn liền với đối tượng đó.
\r\n\r\nc/ Thuộc tính của đối tượng có thể bao gồm\r\nngười dùng Chỉ định cho khóa mật mã, vai trò người dùng và thời gian hợp lệ của\r\nkhóa mật mã.
\r\n\r\nΕ.2.2. FCS_COP.1 Hoạt động mật mã
\r\n\r\nΕ.2.2.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nThành phần này yêu cầu thuật toán mật mã và\r\nđộ dài khóa được sử dụng cho thao tác mật mã có thể dựa trên một tiêu chuẩn Chỉ\r\nđịnh.
\r\n\r\nΕ.2.2.2. Các hoạt động
\r\n\r\nΕ.2.2.2.1. Chỉ định
\r\n\r\nTrong FCS_COP.1.1, PP/ST cần xác định thao\r\ntác mật mã đang thực hiện. Những thao tác mật mã thông thường bao gồm tạo và\r\n(hoặc) kiểm tra chữ ký số, tạo mã kiểm tra toàn vẹn và kiểm tra lại, tính hàm\r\nbăm, mã hóa và giải mã dữ liệu, mã hóa và giải mã khóa mật mã, thỏa thuận khóa\r\nmật mã và tạo số ngẫu nhiên. Thao tác mật mã có thể được thực hiện trên dữ liệu\r\nngười dùng hoặc dữ liệu TSF.
\r\n\r\nTrong FCS_COP.1.1, PP/ST cần xác định thuật\r\ntoán mật mã được sử dụng; có thể bao gồm (nhưng không giới hạn bởi) DES, RSA và\r\nIDEA.
\r\n\r\nTrong FCS_COP.1.1, PP/ST cần xác định độ dài\r\nkhóa mật mã được sử dụng. Độ dài khóa cần thích hợp với thuật toán và mục tiêu\r\nsử dụng.
\r\n\r\nTrong FCS_COP.1.1, PP/ST cần xác định tiêu\r\nchuẩn Chỉ định trong đó có dẫn chứng tài liệu về phương thức thao tác mật mã.\r\nTiêu chuẩn Chỉ định có thể không có, có một hoặc nhiều hơn tiêu chuẩn đã công\r\nbố quốc tế, trong nước hoặc trong một tổ chức.
\r\n\r\n\r\n\r\n
Lớp này chứa các họ chỉ rõ các yêu cầu liên\r\nquan việc bảo vệ dữ liệu người sử dụng. Lớp này khác với FIA và FPT trong FDP\r\nđó: việc bảo vệ dữ liệu người dùng chỉ rõ các thành phần bảo vệ dữ liệu người\r\ndùng, FIA chỉ rõ các thành phần bảo vệ các thuộc tính liên kết với người dùng,\r\nvà FPT chỉ rõ các thành phần bảo vệ thông tin TSF.
\r\n\r\nLớp FDP không chứa các yêu cầu rõ ràng cho\r\ncác kiểm soát truy nhập bắt buộc truyền thông (Mandatory Access Controls - MAC)\r\nhoặc các kiểm soát truy nhập rời rạc truyền thông (Discretionary Access Controls\r\n- DAC); Tuy nhiên, các yêu cầu đó có thể được thiết kế qua các thành phần của\r\nlớp này.
\r\n\r\nLớp FDP không đề cập rõ ràng đến tính bí mật,\r\ntoàn vẹn, hoặc khả dụng, tuy cả ba tính chất này thường gắn liền trong chính\r\nsách và các cơ chế. Tuy nhiên, chính sách an toàn TOE phải bao trùm cả ba mục\r\ntiêu này trong PP/ST.
\r\n\r\nMột khía cạnh khác cửa lớp này là nó quy định\r\nkiểm soát truy nhập dưới dạng "các thao tác". Một thao tác được xác\r\nđịnh là một kiểu truy nhập cụ thể tới một đối tượng cụ thể. Nó phụ thuộc vào\r\nmức độ trừu tượng của chủ thể PP/ST, hoặc các thao tác được mô tả là các thao\r\ntác "đọc" hay "viết", hoặc là các thao tác phức tạp hơn ví\r\ndụ như "Cập nhật cơ sở dữ liệu".
\r\n\r\nCác chính sách kiểm soát truy nhập là các\r\nchính sách dùng để kiểm soát truy nhập tới một kho chứa thông tin. Các thuộc\r\ntính biểu thị thuộc tính của kho chứa. Một khi thông tin ra khỏi kho chứa, tác\r\nnhân truy nhập sẽ tùy ý sửa đổi thông tin, bao gồm cả việc viết thông tin vào\r\nmột kho chứa khác với các thuộc tính khác. Trái lại, các chính sách cho một\r\nluồng tin kiểm soát truy nhập tới thông tin, độc lập với kho chứa. Các thuộc\r\ntính của thông tin, có thể liên đới với các thuộc tính của kho chứa (hoặc không\r\nliên đới như trường hợp một cơ sở dữ liệu đa cấp), chúng sẽ gắn liền với thông\r\ntin khi di chuyển. Tác nhân truy nhập không có khả năng, trường hợp thiếu chủ\r\nquyền rõ ràng, để thay đổi các thuộc tính thông tin.
\r\n\r\nLớp FDP không có nghĩa là một bảng phân loại\r\ntổng hợp các chính sách truy nhập CNTT, như có thể hình dung đối với các lớp\r\nkhác. Các chính sách bao hàm ở đây chỉ đơn giản là các chính sách mà theo kinh\r\nnghiệm đối với các hệ thống thực tế, cung cấp cơ sở cho việc quy định rõ các\r\nyêu cầu. Có thể có các nghĩa khác không thuộc vào các định nghĩa ở đây.
\r\n\r\nVí dụ, giả sử muốn có các kiểm soát có áp đặt\r\ncủa người dùng (hoặc do người dùng xác định) tới luồng tin. Các khái niệm đó có\r\nthể được xử lý như các bổ sung chi tiết, hoặc các mở rộng của các thành phần\r\nFDP.
\r\n\r\nCuối cùng, điều quan trọng là khi xem xét các\r\nthành phần trong FDP là phải ghi nhớ rằng các thành phần này là các yêu cầu đối\r\nvới các chức năng có thể được thực thi bởi một cơ chế để phục vụ hoặc có thể\r\nphục vụ mục đích khác. Ví dụ, có thể thiết lập một chính sách kiểm soát truy\r\nnhập (Chính sách kiểm soát truy nhập FDP_ACC) có sử dụng các nhãn (các thuộc\r\ntính an toàn đơn giản FDP_IF.1) như là cơ sở cho cơ chế kiểm soát truy nhập.
\r\n\r\nMột tập hợp các SFR có thể chứa đựng nhiều\r\nchính sách chức năng an toàn (SFP), mỗi cái được xác định bởi hai thành phần\r\nđịnh hướng chính sách FDP_ACC, và chính sách kiểm soát luồng tin (FDP_IFC). Các\r\nchính sách này thường xem xét tính bí mật, tính toàn vẹn và tính khả dụng theo\r\nnhư yêu cầu để thỏa mãn các yêu cầu TOE. Cần thận trọng để đảm bảo rằng mọi mục\r\ntiêu sẽ đạt được bởi ít nhất một SFP và không có xung đột xuất hiện khi thực\r\nthi nhiều SFP.
\r\n\r\nKhi thiết lập một PP/ST với các thành phần\r\ncủa FDP, thông tin tiếp theo cung cấp hướng dẫn về việc thấy nó ở đầu và chọn\r\nlựa gì từ lớp này.
\r\n\r\nCác yêu cầu trong lớp FDP được định nghĩa\r\nthông qua một tập hợp các SFR mà sẽ thực thi một SFP. Do một TOE có thể thực\r\nthi đồng thời nhiều SFP, tác giả PP/ST phải quy định rõ tên của mỗi SFP, do đó\r\nnó có thể được tham chiếu từ các họ khác. Tên này sẽ được dùng trong mỗi thành\r\nphần được chọn để chỉ ra rằng nó đang được sử dụng như một phần của định nghĩa\r\ncác yêu cầu cho chức năng này. Điều đó cho phép tác giả dễ dàng chỉ ra phạm vi\r\ncác thao tác, ví dụ các mục tiêu bao hàm, các thao tác bao hàm, các người dùng\r\ncó thẩm quyền…
\r\n\r\nMỗi bản sao của một thành phần có thể áp dụng\r\nchỉ cho một SFP. Bởi vậy nếu một SFP được quy định trong một thành phần thì SFP\r\nnày sẽ áp dụng cho mọi phần tử trong thành phần này. Các thành phần có thể tạo\r\nthành bản sao nhiều lần bên trong một PP/ST để diễn giải cho các chính sách\r\nkhác nhau như mong muốn.
\r\n\r\nMấu chốt để chọn các thành phần từ họ này là\r\ncần có một chính sách an toàn TOE xác định rõ để cho phép chọn chính xác các\r\nthành phần từ hai thành phần chính sách: Chính sách kiểm soát truy nhập\r\nFDP_ACC và chính sách kiểm soát luồng tin FDP_IFC. Trong chính sách kiểm soát\r\ntruy nhập FDP_ACC và chính sách kiểm soát luồng tin tương ứng, mọi chính sách\r\nkiểm soát truy nhập và chính sách kiểm soát luồng tin được đặt tên. Ngoài ra\r\nphạm vi kiểm soát của các thành phần này dưới dạng chủ thể, đối tượng và thao\r\ntác được chứa trong chức năng an toàn này. Tên của các chính sách này có nghĩa\r\nđược dùng suốt trong phần còn lại của các thành phần chức năng mà có một thao\r\ntác gọi đến một phép gán hoặc chọn một "SFP kiểm soát truy nhập",\r\nhoặc một "SFP kiểm soát luồng tin". Các quy tắc này xác định chức năng\r\ncủa các SFP kiểm soát truy nhập và kiểm soát luồng tin đã đặt tên, chúng sẽ\r\nđược xác định trong các họ chức năng kiểm soát truy nhập (FDP_ACF) và các họ\r\nchức năng kiểm soát luồng tin (FDP_IFF) một cách tương ứng.
\r\n\r\nCác bước sau hướng dẫn việc áp dụng lớp này\r\ntrong việc thiết kế một PP/ST:
\r\n\r\na) Xác định chính sách cần thực hiện từ các\r\nhọ chính sách kiểm soát truy nhập (FDP_ACC) và chính sách kiểm soát luồng tin\r\n(FDP_IFC). Các họ này xác định phạm vi kiểm soát cho chính sách, mức độ thô của\r\nviệc kiểm soát và có thể xác định một số quy tắc đi kèm theo chính sách.
\r\n\r\nb) Xác định các thành phần và thực hiện mọi\r\nthao tác có thể áp dụng được trong các thành phần chính sách. Các thao tác gán\r\ncó thể được thực hiện tổng quát (tương tự như với công bố "tất cả các\r\ntệp") hoặc chỉ rõ (tệp "A", "B", v.v…) tùy thuộc vào\r\nmức độ chi tiết đã biết.
\r\n\r\nc) Xác định mọi thành phần chức năng có thể\r\náp dụng được từ họ các chức năng kiểm soát truy nhập (FDP_ACF) và các chức năng\r\nkiểm soát luồng tin (FDP_IFF) để định rõ các họ chính sách từ chính sách kiểm\r\nsoát truy nhập (FDP_ACC) và chính sách kiểm soát luồng tin (FDP_IFC). Thực hiện\r\ncác thao tác để tạo các thành phần là định nghĩa các quy tắc cần thực thi bởi\r\ncác chính sách đã Chỉ định. Điều đó khiến cho các thành phần đáp ứng được các\r\nyêu cầu của chức năng đã chọn hoặc cần được tạo ra.
\r\n\r\nd) Xác định ai có khả năng kiểm soát và thay\r\nđổi các thuộc tính của chức năng, ví dụ như duy nhất chỉ người quản trị bảo\r\nmật, chỉ chủ sở hữu của đối tượng, v.v… Chọn các thành phần tương ứng từ FMT:\r\nquản lý an toàn và thực hiện các thao tác. Việc bổ sung chi tiết có thể hữu ích\r\nnhằm xác định ra các đặc tính còn thiếu, ví dụ như một số hoặc tất cả sự thay\r\nđổi cần phải thực hiện qua kênh tin cậy.
\r\n\r\ne) Xác định mọi thành phần tương ứng từ FMT:\r\nquản lý an toàn cho các giá trị khởi đầu cho các đối tượng và chủ thể mới.
\r\n\r\nf) Xác định mọi thành phần quay lại trạng\r\nthái từ họ Rollback (FDP_ROL).
\r\n\r\ng) Xác định mọi yêu cầu bảo vệ thông tin dư\r\nthừa có thể áp dụng từ họ bảo vệ thông tin dư thừa (FDP_RIP).
\r\n\r\nh) Xác định mọi thành phần nhập / xuất có thể\r\náp dụng, và cách thức xử lý các thuộc tính an toàn trong quá trình nhập / xuất,\r\nqua quá trình nhập từ bên ngoài các họ kiểm soát TSF (FDP_ITC) và xuất ra bên\r\nngoài các họ kiểm soát TOE (FDP_ETC).
\r\n\r\ni) Xác định mọi thành phần truyền thông TOE\r\nnội bộ áp dụng được từ họ truyền tải TOE nội bộ (FDP_ITT).
\r\n\r\nj) Xác định mọi yêu cầu đối với việc bảo vệ\r\ntoàn vẹn các thông tin lưu trữ từ họ lưu giữ toàn vẹn dữ liệu (FDP_SDI)
\r\n\r\nk) Xác định mọi thành phần truyền thông liên\r\nTSF từ các họ bảo vệ truyền tải bí mật dữ liệu người dùng giữa các TSF hoặc các\r\nhọ bảo vệ truyền tải toàn vẹn dữ liệu người dùng giữa các TSF.
\r\n\r\nHình F.1 chỉ ra việc phân tách lớp này ra các\r\nthành phần cấu trúc của nó.
\r\n\r\n![](\"00907947_files/image024.jpg\")
F.1. Chính sách kiểm soát truy nhập (FDP_ACC)
\r\n\r\nF.1.1. Chú thích cho người sử dụng
\r\n\r\nHọ này dựa trên mô hình các kiểm soát tùy ý\r\ntương tác của các chủ thể và đối tượng. Phạm vi và mục đích của các kiểm soát\r\nlà dựa trên các thuộc tính của bộ truy nhập (chủ thể), thuộc tính của khối được\r\ntruy nhập (đối tượng), các động tác (thao tác) và mọi quy tắc kiểm soát truy\r\nnhập liên quan.
\r\n\r\nCác thành phần trong họ này có khả năng xác\r\nđịnh ra các SFP kiểm soát truy nhập (qua tên) được thực thi bởi các cơ chế kiểm\r\nsoát truy nhập rời rạc truyền thông (Discretionary Access Control - DAC). Ngoài\r\nra, nó chỉ ra các chủ thể, đối tượng và các thao tác có trong SFP kiểm soát\r\ntruy nhập xác định. Các quy tắc định ra chức năng của một SFP kiểm soát truy\r\nnhập sẽ được định nghĩa bởi các họ khác, như là các chức năng kiểm soát truy\r\nnhập (FDP_ACF) và Xuất từ TOE (FDP_ETC). Tên của các SFP kiểm soát truy nhập\r\nđược định nghĩa trong chính sách kiểm soát truy nhập (FDP_ACC) có nghĩa được sử\r\ndụng trong suốt phần còn lại của các thành phần chức năng có chứa một thao tác\r\ngọi đến tính năng Chỉ định hoặc chọn một "SFP kiểm soát truy nhập".
\r\n\r\nKiểm soát truy nhập SFP bao hàm một tập bộ\r\nba: chủ thể, đối tượng và các thao tác. Bởi vậy một chủ thể có thể được chứa\r\ntrong nhiều SFP kiểm soát truy nhập, song chỉ có liên quan đến một thao tác\r\nkhác, hoặc một đối tượng khác. Dĩ nhiên là tương tự với các đối tượng và các\r\nthao tác.
\r\n\r\nMột điểm quan trọng đối với chức năng kiểm\r\nsoát truy nhập thực thi một SFP kiểm soát truy nhập là khả năng người dùng có\r\nthể thay đổi các thuộc tính liên quan đến các quyết định kiểm soát truy nhập.\r\nHọ chính sách kiểm soát truy nhập (FDP_ACC) không Chỉ định các điểm này. Một số\r\nyêu cầu không được xác định, song có thể bổ sung như các bổ sung chi tiết.\r\nTrong khi đó, một số yêu cầu khác có thể chứa đâu đó trong các họ khác hoặc lớp\r\nkhác, ví dụ như họ quản lý an toàn FMT.
\r\n\r\nKhông có các yêu cầu kiểm toán trong chính\r\nsách kiểm toán truy nhập (FDP_ACC) do họ này định rõ các yêu cầu kiểm soát truy\r\nnhập SFP. Các yêu cầu kiểm toán nằm trong các họ đặc tả các chức năng thỏa mãn\r\nkiểm soát truy nhập SFP chỉ ra trong họ này.
\r\n\r\nHọ này cung cấp cho tác nhân PP/ST khả năng\r\nđịnh rõ một số chính sách, ví dụ là một SFP kiểm soát truy nhập cố định có thể\r\náp dụng cho một phạm vi kiểm soát, một SFP kiểm soát truy nhập động có thể được\r\nđịnh nghĩa cho một phạm vi kiểm soát khác. Để chỉ rõ nhiều chính sách kiểm soát\r\ntruy nhập, các thành phần của họ này cần lặp lại nhiều lần trong mỗi PP/ST\r\ntrong các tập con của các thao tác và các đối tượng. Điều này làm cho các TOE\r\nđa chính sách có thể định rõ một tập cụ thể các thao tác và đối tượng. Nói cách\r\nkhác, chủ thể PP/ST cần định ra các thông tin cần thiết trong thành phần ACC\r\ncho mỗi SFP kiểm soát truy nhập mà TSF phải thực thi. Ví dụ, một TOE có thể tập\r\nhợp 3 SFP kiểm soát truy nhập, mỗi cái chỉ chứa một tập các đối tượng, chủ thể\r\nvà các thao tác bên trong TOE, chứa một tập con FDP_ACC.1 thành phần kiểm soát\r\ntruy nhập cho 1 trong 3 SFP kiểm soát truy nhập cần cho toàn thể 3 thành phần\r\nkiểm soát truy nhập tập con FDP_ACC.1.
\r\n\r\nF.1.2. FDP_ACC.1 Kiểm soát truy nhập tập con
\r\n\r\nF.1.2.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nCác khái niệm chủ thể và đối tượng chỉ các\r\nphần tử chung trong TOE. Để thực thi được một chính sách, các phần tử cần được\r\nđịnh rõ. Đối với một PP, các đối tượng và thao tác có thể được biểu thị với các\r\nkiểu như: đối tượng có tên, nơi chứa dữ liệu, các truy nhập quan sát, v.v… Đối\r\nvới một hệ thống xác định, các khái niệm chung này (đối tượng, chủ thể) cần\r\nphải được định rõ, ví dụ các tệp, bản ghi, cổng, miền, lời gọi hệ thống…
\r\n\r\nThành phần này định rõ chính sách bao gồm một\r\nsố tập thao tác xác định cho một số tập con các đối tượng. Không có ràng buộc\r\nnào cho các thao tác bên ngoài tập - kể cả các thao tác cho đối tượng được giám\r\nsát bởi các thao tác khác.
\r\n\r\nF.1.2.2. Các hoạt động
\r\n\r\nF.1.2.2.1. Chỉ định
\r\n\r\nTrong FDP_ACC.1.1, chủ thể PP/ST cần chỉ ra\r\nmột kiểm soát truy nhập có tên duy nhất SFP cần thực thi bởi TSF.
\r\n\r\nTrong FDP_ACC.1.1, chủ thể PP/ST cần chỉ ra\r\ndanh sách các chủ thể, đối tượng, các thao tác ứng với chủ thể và đối tượng bao\r\nhàm trong SFP.
\r\n\r\nF.1.3. FDP_ACC.2 Kiểm soát truy nhập toàn bộ
\r\n\r\nF.1.3.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nThành phần này yêu cầu mọi thao tác khả thi\r\ncho đối tượng chứa trong SFP cần chứa trong một kiểm soát truy nhập SFP.
\r\n\r\nChủ thể PP/ST cần phải chỉ ra mỗi tổ hợp của\r\nđối tượng và chủ thể được bao hàm trong một kiểm soát truy nhập SFP.
\r\n\r\nF.1.3.2. Các hoạt động
\r\n\r\nF.1.3.2.1 Chỉ định
\r\n\r\nTrong FDP_ACC.2.1, chủ thể PP/ST cần chỉ ra\r\nmột kiểm soát truy nhập có tên duy nhất SFP cần thực thi bởi TSF.
\r\n\r\nTrong FDP_ACC.1.1, chủ thể PP/ST cần chỉ ra\r\ndanh sách các chủ thể, đối tượng bao hàm trong SFP. Mọi thao tác ứng với chủ\r\nthể và đối tượng cần được bao hàm trong SFP.
\r\n\r\nF.2. Các chức năng kiểm soát truy nhập\r\n(FDP_ACF)
\r\n\r\nF.2.1. Chú thích cho người sử dụng
\r\n\r\nHọ này mô tả các quy tắc cho các chức năng xác\r\nđịnh có thể thực thi một chính sách kiểm soát truy nhập được ghi danh trong\r\nFDP_ACC Chính sách kiểm soát truy nhập, chỉ ra phạm vi dk chính sách.
\r\n\r\nHọ này cung cấp cho chủ thể PP/ST khả năng mô\r\ntả các quy tắc cho kiểm soát truy nhập. Các kết quả trong một hệ thống không\r\nthay đổi. Một ví dụ là đối tượng: "Bản tin ngày" có thể đọc bởi tất\r\ncả, song chỉ người quản trị được phép thay đổi nó. Họ này cũng cung cấp cho chủ\r\nthể PP/ST khả năng mô tả các quy tắc về ngoại lệ cho các quy tắc kiểm soát truy\r\nnhập chung. Các ngoại lệ này có thể là việc cho phép rõ ràng hoặc từ chối quyền\r\ntruy nhập đến một đối tượng.
\r\n\r\nKhông có thành phần rõ ràng nào định rõ các\r\nchức năng khác, ví như kiểm soát kép, quy tắc chuỗi thao tác, các kiểm soát\r\nloại trừ. Tuy nhiên, các cơ chế này cũng như các cơ chế DAC truyền thống khác,\r\ncó thể đặc trưng với các thành phần đang có, có thể sửa đổi theo các quy tắc\r\nkiểm soát truy nhập.
\r\n\r\nTrong họ này có một loạt các kiểm soát truy\r\nnhập chấp nhận được SFP có thể chỉ ra là:
\r\n\r\n- Các danh sách kiểm soát truy nhập (Access\r\nControl Lists - ACLs)
\r\n\r\n- Các đặc tả kiểm soát truy nhập dựa thời\r\ngian
\r\n\r\n- Các đặc tả kiểm soát truy nhập dựa chủ gốc
\r\n\r\n- Các kiểm soát truy nhập được chủ thể giám\r\nsát.
\r\n\r\nF.2.2. Kiểm soát truy nhập dựa trên thuộc\r\ntính an toàn FDP_AFC.1
\r\n\r\nF.2.2.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nThành phần này cung cấp các yêu cầu về một cơ\r\nchế làm trung gian cho kiểm soát truy nhập dựa trên các thuộc tính an toàn liên\r\nquan đến các chủ thể và đối tượng. Mỗi chủ thể và đối tượng có một tập các\r\nthuộc tính liên quan như vị trí, thời điểm cấu thành, quyền truy nhập (ví dụ\r\ncác danh sách kiểm soát truy nhập ACL).
\r\n\r\nmọi thao tác khả thi cho đối tượng chứa trong\r\nSFP cần chứa trong một kiểm soát truy nhập SFP.
\r\n\r\nChủ thể PP/ST cần phải chỉ ra mỗi tổ hợp của\r\nđối tượng và chủ thể được bao hàm trong một kiểm soát truy nhập SFP. Thành phần\r\nnày cho phép chủ thể PP/ST định rõ các thuộc tính dùng làm trung gian cho kiểm\r\nsoát truy nhập. Thành phần này cho phép định ra các quy tắc kiểm soát truy nhập\r\ncó sử dụng các thuộc tính này.
\r\n\r\nCác ví dụ về thuộc tính mà một chủ thể PP/ST\r\ncó thể Chỉ định được trình bày trong các phần tiếp theo. Một thuộc tính định\r\ndanh có thể liên quan đến người dùng, chủ thể, đối tượng được dùng làm trung\r\ngian. Ví dụ về các thuộc tính này có thể là tên của phần chương trình dùng để\r\ntạo ra chủ thể hoặc một thuộc tính an toàn Chỉ định cho phần chương trình.
\r\n\r\nMột thuộc tính thời gian có thể dùng để chỉ\r\nra rằng truy nhập sẽ được cấp quyền trong một khoảng thời gian nhất định trong\r\nngày/tuần/hoặc năm.
\r\n\r\nMột thuộc tính vị trí có thể chỉ ra vị trí\r\nyêu cầu chức năng, vị trí chức năng được thực thi hoặc cả hai. Nó có thể dựa\r\ntrên một bảng nội bộ để chuyển đổi giao diện logic sang các vị trí TSF ví dụ\r\nthông qua vị trí đấu nối, vị trí CPU…
\r\n\r\nMột thuộc tính nhóm cho phép một nhóm người\r\ndùng liên hệ đến một thao tác với mục đích kiểm soát truy nhập. Nếu cần, một\r\nthao tác bổ sung sẽ được dùng để chỉ ra số nhóm tối đa, số thành viên tối đa\r\ncủa nhóm, số nhóm tối đa mà một người dùng có liên hệ đồng thời.
\r\n\r\nThành phần này đồng thời cũng cung cấp các\r\nyêu cầu cho các chức năng kiểm soát truy nhập để chấp thuận hoặc từ chối truy\r\nnhập đến một đối tượng trên cơ sở các thuộc tính an toàn. Chức năng này có thể\r\ndùng để cấp đặc quyền truy nhập, chủ quyền truy nhập trong TOE. Những đặc\r\nquyền, quyền hoặc chủ quyền đó có thể áp dụng cho người dùng, đối tượng và chủ\r\nthể (đại diện cho người dùng hoặc ứng dụng).
\r\n\r\nF.2.2.2. Các hoạt động
\r\n\r\nF.2.2.2.1. Chỉ định
\r\n\r\nTrong FDP_ACF.1.1, chủ thể PP/ST cần phải chỉ\r\nra một tên chức năng kiểm soát truy nhập SFP mà TSF phải thực thi. Tên của kiểm\r\nsoát truy nhập SFP, phạm vi kiểm soát cho chính sách này được định nghĩa trong\r\ncác thành phần của FDP_ACC Chính sách kiểm soát truy nhập.
\r\n\r\nTrong FDP_ACF.1.1, chủ thể PP/ST cần định rõ,\r\nđối với mỗi chủ thể và đối tượng được kiểm soát, các thuộc tính an toàn và/hoặc\r\ncác nhóm định danh thuộc tính an toàn mà chức năng sẽ sử dụng khi mô tả các quy\r\ntắc.
\r\n\r\nVí dụ, các thuộc tính có thể là định danh\r\nngười dùng, định danh chủ thể, thời điểm, vị trí, ACLs, hoặc mọi thuộc tính\r\nkhác chỉ ra bởi chủ thể PP/ST. Các nhóm định danh thuộc tính an toàn có thể\r\nđịnh rõ để cung cấp một phương thức thuận tiện để tham chiếu tới nhiều thuộc\r\ntính an toàn. Các nhóm định danh có thể cung cấp một cách thức hữu hiệu để gắn\r\nkết các vai trò (roles) định nghĩa trong các vai trò quản lý an toàn (FMT_SMR)\r\nvà mọi thuộc tính liên quan đến chúng với các chủ thể. Nói cách khác, mỗi vai\r\ntrò có thể liên quan đến một nhóm định danh thuộc tính.
\r\n\r\nTrong FDP_ACF.1.2, chủ thể PP/ST cần định rõ\r\ncác quy tắc SFP quản trị truy nhập theo các chủ thể được giám sát và các đối\r\ntượng được giám sát thông qua các thao tác kiểm soát trên các đối tượng. Các\r\nquy tắc này chỉ ra rằng truy nhập được cho phép hoặc từ chối. Chúng có thể chỉ\r\nra các chức năng kiểm soát truy nhập chung (ví dụ như các bit cho phép đặc trưng),\r\nhoặc các chức năng kiểm soát truy nhập thô hơn (ví dụ ACLs).
\r\n\r\nTrong FDP_ACF.1.3, chủ thể PP/ST cần định rõ\r\ncác quy tắc, trên cơ sở thuộc tính an toàn, dùng cho cấp chủ quyền rõ ràng về\r\nviệc truy nhập của các chủ thể tới các đối tượng. Các quy tắc này bổ sung cho\r\ncác quy tắc chỉ ra trong FDP_ACF.1.1. Chúng thuộc FDP_ACF.1.3, với chủ ý bổ\r\nsung các ngoại lệ cho các quy tắc trong FDP_ACF.1.1. Một ví dụ về các quy tắc\r\ncho cấp quyền rõ ràng cho truy nhập là dựa trên vectơ đặc quyền cho một chủ thể\r\nluôn có quyền truy nhập tới các đối tượng mà kiểm soát truy nhập SFP đã xác\r\nđịnh rõ. Nếu điều này không mong muốn thì chủ thể PP/ST cần định rõ giá trị là\r\n"none".
\r\n\r\nTrong FDP_ACF.1.4, chủ thể PP/ST cần định rõ\r\ncác quy tắc, trên cơ sở thuộc tính an toàn, dùng cho cấp chủ quyền rõ ràng về\r\nviệc truy nhập của các chủ thể tới các đối tượng. Các quy tắc này bổ sung cho\r\ncác quy tắc chỉ ra trong FDP_ACF.1.1. Chúng thuộc FDP_ACF.1.4, với chủ ý bổ\r\nsung các ngoại lệ cho các quy tắc trong FDP_ACF.1.1. Một ví dụ về các quy tắc cho\r\ncấp quyền rõ ràng cho truy nhập là dựa trên vec tơ đặc quyền cho một chủ thể\r\nluôn có quyền từ chối truy nhập tới các đối tượng mà kiểm soát truy nhập SFP đã\r\nxác định rõ. Nếu điều này không mong muốn thì chủ thể PP/ST cần định rõ giá trị\r\nlà "none".
\r\n\r\nF.3. Xác thực dữ liệu (FDP_DAU)
\r\n\r\nF.3.1. Chú thích cho người sử dụng
\r\n\r\nHọ này mô tả các chức năng đặc trưng dùng để\r\nxác thực các dữ liệu tĩnh (static). Các thành phần trong họ này dùng khi có một\r\nyêu cầu xác thực các dữ liệu tĩnh (static), nghĩa là khi dữ liệu cần được ký\r\nnhận chứ không phải chuyển đi. (Lưu ý là họ không khước từ nguồn gốc\r\n(Non-repudiation of origin - FCO_NRO) cho thông tin về việc khước từ nguồn gốc\r\ntrong quá trình trao đổi dữ liệu.
\r\n\r\nF.3.2. Xác thực dữ liệu cơ sở FDP_DAU.1
\r\n\r\nF.3.2.1. Chú thích cho người sử dụng
\r\n\r\nThành phần này có thể thỏa mãn bằng các hàm\r\nbăm một chiều (lấy tổng kiểm tra mật mã, vân tay, kê bản tin), để tạo ra một\r\ngiá trị hàm băm cho một tài liệu xác định, để có thể dùng cho việc kiểm tra,\r\nthẩm định hoặc xác thực nội dung thông tin.
\r\n\r\nF.3.2.2. Các hoạt động
\r\n\r\nF.3.2.2.1. Chỉ định
\r\n\r\nTrong FDP_DAU.1.1, chủ thể PP/ST cần phải chỉ\r\nra danh sách các đối tượng hoặc kiểu thông tin có thể áp dụng cho TSF để tạo ra\r\ncác bằng chứng xác thực dữ liệu.
\r\n\r\nTrong FDP_DAU.1.2, chủ thể PP/ST cần phải chỉ\r\nra danh sách các chủ thể có khả năng kiểm định các bằng chứng xác thực dữ liệu\r\ncho các đối tượng đã xác định trong phần tử trước đó. Danh sách các chủ thể có\r\nthể rất rõ ràng, nếu chủ thể đã biết, hoặc khá chung chung và tham chiếu đến\r\nmột kiểu chủ thể ví dụ như vai trò đã biết.
\r\n\r\nF.3.3. FDP_DAU.2 Xác thực dữ liệu với định\r\ndanh người đảm bảo
\r\n\r\nF.3.3.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nThành phần này có thể yêu cầu thêm khả năng\r\nkiểm chứng danh định người dùng đã cấp xác thực có đảm bảo (ví dụ một đối tác\r\ntin cậy thứ 3).
\r\n\r\nF.3.3.2. Các hoạt động
\r\n\r\nF.3.3.2.1. Chỉ định
\r\n\r\nTrong FDP_DAU.2.1, chủ thể PP/ST cần phải chỉ\r\nrõ danh sách các đối tượng hoặc kiểu thông tin có thể áp dụng cho TSF để tạo ra\r\ncác bằng chứng xác thực dữ liệu.
\r\n\r\nTrong FDP_DAU.2.2, chủ thể PP/ST cần phải chỉ\r\nra danh sách các chủ thể có khả năng kiểm định các bằng chứng xác thực dữ liệu\r\ncho các đối tượng đã xác định trong phần tử trước đó cũng như định danh người\r\ndùng có thể tạo ra bằng chứng xác thực dữ liệu.
\r\n\r\nF.4. Xuất dữ liệu ra ngoài TOE (FDP_ETC)
\r\n\r\nF.4.1. Chú thích cho người sử dụng
\r\n\r\nHọ này định nghĩa các chức năng kết xuất dữ\r\nliệu người dùng từ TOE sao cho các thuộc tính an toàn của nó hoặc được bảo quản\r\nrõ ràng, hoặc có thể bỏ qua sau khi chúng đã được kết xuất. Tính nhất quán của\r\ncác thuộc tính an toàn được chỉ ra bởi sự nhất quán dữ liệu TSF bên trong-TSF\r\n(FPT_TDC).
\r\n\r\nKết xuất từ TOE (FDP_ETC) liên quan đến các\r\ngiới hạn về kết xuất và tổ hợp các thuộc tính an toàn cùng dữ liệu người dùng.
\r\n\r\nHọ này và việc nhập họ tương ứng từ bên ngoài\r\ncủa TOE (FDP_ITC) chỉ ra TOE xử lý dữ liệu người dùng được chuyển bên trong bên\r\nngoài kiểm soát thế nào. Về nguyên tắc, họ này gắn liền với kết xuất trung gian\r\nTSF của dữ liệu người dùng và các thuộc tính an toàn liên quan.
\r\n\r\nMột số thao tác có thể có là:
\r\n\r\na) Kết xuất dữ liệu người dùng không có thuộc\r\ntính an toàn
\r\n\r\nb) Kết xuất dữ liệu người dùng có thuộc tính\r\nan toàn, trong đó thuộc tính an toàn thể hiện dữ liệu người dùng kết xuất
\r\n\r\nNếu có nhiều SFP (kiểm soát luồng thông tin,\r\nvà/hoặc kiểm soát truy nhập) thì chúng cần lặp các thành phần này cho mỗi SFP.
\r\n\r\nF.4.2. FDP_ETC.1 Xuất dữ liệu người dùng\r\nkhông có các thuộc tính an toàn
\r\n\r\nF.4.2.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nThành phần này dùng để chỉ ra kết xuất trung\r\ngian-TSF của dữ liệu người dùng không có kết xuất thuộc tính an toàn.
\r\n\r\nF.4.2.2. Các hoạt động
\r\n\r\nF.4.2.2.1. Chỉ định
\r\n\r\nTrong FDP_ETC.1.1, chủ thể PP/ST cần phải chỉ\r\nrõ các kiểm soát truy nhập SFP và/hoặc các SFP kiểm soát luồng tin khi thực thi\r\nkết xuất dữ liệu người dùng. Dữ liệu người dùng được kết xuất thuộc phạm vi Chỉ\r\nđịnh bởi các SFP này.
\r\n\r\nF.4.3. FDP_ETC.2 Xuất dữ liệu người dùng với\r\nthuộc tính an toàn
\r\n\r\nF.4.3.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nDữ liệu người dùng được kết xuất cùng với các\r\nthuộc tính an toàn. Có một số cách kết hợp thuộc tính an toàn với dữ liệu người\r\ndùng. Một cách thực hiện là thông qua sắp xếp vật lý dữ liệu người dùng và các\r\nthuộc tính an toàn (ví dụ cùng một đĩa mềm), hoặc thông qua các kỹ thuật mật mã\r\nnhư chữ ký an toàn để kết hợp dữ liệu người dùng và các thuộc tính.
\r\n\r\nKênh tin cậy liên TSF (FTP_ITC) có thể dùng\r\nđể đảm bảo rằng các thuộc tính được nhận chính xác ở phía sản phẩm CNTT tin cậy\r\nkhác, trong khi tính nhất quán của dữ liệu liên TSF (FTP_TDC) có thể dùng để\r\nđảm bảo rằng các thuộc tính này được diễn tả chính xác. Ngoài ra, tuyến tin cậy\r\n(FPT_TRP) có thể dùng để đảm bảo rằng việc kết xuất đang được người dùng hợp\r\nthức tạo ra.
\r\n\r\nF.4.3.2. Các hoạt động
\r\n\r\nF.4.3.2.1. Chỉ định
\r\n\r\nTrong FDP_ETC.2.1, chủ thể PP/ST cần phải chỉ\r\nrõ các kiểm soát truy nhập SFP và/hoặc các SFP kiểm soát luồng tin khi thực thi\r\nkết xuất dữ liệu người dùng. Dữ liệu người dùng được kết xuất thuộc phạm vi Chỉ\r\nđịnh bởi các SFP này.
\r\n\r\nTrong FDP_ETC.2.4, chủ thể PP/ST cần phải chỉ\r\nra mọi quy tắc kết xuất bổ sung hoặc "none" nếu như không có quy tắc\r\nkết xuất bổ sung nào. Các quy tắc này được thực thi bởi TSF bổ sung thêm cho\r\nSFP kiểm soát truy nhập và/hoặc SFP kiểm soát luồng tin đã chọn trong\r\nFDP_ETC.2.1.
\r\n\r\nF.5. Chính sách kiểm soát luồng tin (FDP_IFC)
\r\n\r\nF.5.1. Chú thích cho người sử dụng
\r\n\r\nHọ này bao gồm việc định danh các SFP kiểm\r\ntoán luồng tin; và, đối với mỗi chúng, nó chỉ ra phạm vi kiểm soát của SFP.
\r\n\r\nCác thành phần trong họ này có thể định danh\r\ncác SFP kiểm soát luồng tin để chúng thực thi bởi các cơ chế kiểm soát truy\r\nnhập bắt buộc truyền thống có sẵn trong một TOE. Tuy nhiên, chúng nằm ngoài\r\nphạm vi các cơ chế MAC truyền thống và có thể dùng để xác định và mô tả các\r\nchính sách không đan xen và các dịch chuyển trạng thái. Ngoài ra, nó định nghĩa\r\ncác chủ thể chịu sự giám sát của chính sách, thông tin chịu sự giám sát của\r\nchính sách và các thao tác phát sinh các thông tin có kiểm soát vào/ra các chủ\r\nthể được giám sát đối với mỗi SFP kiểm soát luồng tin trong TOE. Chức năng \r\nđịnh ra các quy tắc cho một SFP kiểm soát luồng tin được định nghĩa bởi các họ\r\nkhác, ví dụ như các chức năng kiểm soát luồng tin (FDP_IFF) và bảo vệ thông tin\r\nthường trú (FDP_RIP). SFP kiểm soát luồng tin ghi danh trong chính sách kiểm\r\nsoát luồng tin (FDP_IFC) được dùng trong suốt phần còn lại của các thành phần\r\nchức năng có các thao tác gọi hàm tới phép chỉ định hoặc chọn lựa một "SFP\r\nkiểm soát luồng tin".
\r\n\r\nCác thành phần này khá mềm dẻo. Chúng cho phép\r\nchỉ rõ miền kiểm soát luồng tin và không yêu cầu cơ chế phải được đánh dấu. Các\r\nphần tử khác của các thành phần kiểm soát luồng tin còn cho phép các mức ngoại\r\nlệ khác nhau đối với chính sách.
\r\n\r\nMỗi SFP gồm cụm ba: chủ thể, thông tin, các\r\nthao tác cho phép thông tin vào/ra các chủ thể. Một số chính sách kiểm soát\r\nluồng tin có thể rất chi tiết mức thấp và mô tả rõ ràng các chủ thể dưới dạng\r\ncác tiến trình của một hệ điều hành. Các chính sách kiểm soát luồng tin khác có\r\nthể ở mức cao, mô tả các chủ thể dưới dạng tổng quát là người dùng hay các kênh\r\nvào/ra.
\r\n\r\nNếu chính sách kiểm soát luồng tin ở mức quá\r\ncao, không chi tiết, nó có thể không định nghĩa rõ ràng các chức năng an toàn\r\nCNTT. Trong trường hợp này, cần chỉ ra chính xác và mô tả các chính sách kiểm\r\nsoát luồng tin như các mục tiêu.
\r\n\r\nCác chức năng an toàn CNTT mong muốn có thể\r\nđược xác định như những hỗ trợ cho các mục tiêu này.
\r\n\r\nTrong thành phần thứ hai (FDP_IFC.2 kiểm soát\r\nluồng tin toàn diện), mỗi SFP kiểm soát luồng tin sẽ bao gồm mọi thao tác có\r\nthể SFP gây ra việc chuyển thông tin ra vào chủ thể.
\r\n\r\nNgoài ra, mọi luồng tin sẽ cần được chứa\r\ntrong một SFP. Bởi vậy, đối với mỗi thao tác làm cho chuyển tin đến luồng, cẩn\r\nphải có một tập các quy tắc nhằm xác định hành vi có được phép không. Nếu có\r\nnhiều SFP và chúng đều có thể áp dụng cho một luồng tin nào đó, thì mọi SFP\r\nliên quan phải cho phép luồng tin này trước khi nó thực thi việc cho phép.
\r\n\r\nMột SFP kiểm soát luồng tin chứa một tập thao\r\ntác xác định trước. Miền của các SFP có thể phủ kín đối với một số luồng tin,\r\nhoặc nó có thể chỉ liên quan đến một số thao tác có ảnh hưởng đến luồng tin.
\r\n\r\nMột SFP kiểm soát truy nhập sẽ kiểm soát truy\r\nnhập đến các đối tượng chứa thông tin. Một SFP kiểm soát luồng tin kiểm soát\r\nđến truy nhập đến luồng tin, không phụ thuộc vào ngăn chứa thông tin. Các thuộc\r\ntính của thông tin có liên quan đến các thuộc tính của ngăn chứa (hoặc có thể\r\nkhông, ví như trong cơ sở dữ liệu nhiều lớp) sẽ gắn kèm với thông tin khi di\r\nchuyển. Các thiết bị truy nhập không có khả năng (nếu không có thẩm quyền rõ\r\nràng) thay đổi các thuộc tính của thông tin.
\r\n\r\nCác luồng tin và các thao tác có thể biểu thị\r\nở nhiều mức. Trong trường hợp một ST, Các luồng tin và các thao tác có thể định\r\nrõ ở mức đặc trưng hệ thống: ví dụ các gói tin TCP/IP chuyển qua một bức tường\r\nlửa theo các địa chỉ IP đã biết. Đối với PP, các luồng tin và các thao tác có\r\nthể biểu thị theo kiểu: email, kho chứa dữ liệu, các truy nhập quan sát được,…
\r\n\r\nCác thành phần trong họ này có thể áp dụng\r\nnhiều lần trong một PP/ST cho các tập con khác nhau của các thao tác và đối\r\ntượng. Chúng trợ giúp những TOE đa chính sách, mỗi cái đề cập đến một tập cụ\r\nthể các đối tượng, chủ thể và các thao tác.
\r\n\r\nF.5.2. FDP_IFC.1 Kiểm soát luồng thông tin\r\ntập con
\r\n\r\nF.5.2.1. Chú thích cho người sử dụng
\r\n\r\nThành phần này yêu cầu một chính sách kiểm\r\nsoát luồng tin áp dụng cho một tập con các thao tác khả thi trong TOE.
\r\n\r\nF.5.2.2. Các hoạt động
\r\n\r\nF.5.2.2.1. Chỉ định
\r\n\r\nTrong FDP_IFC.1.1, chủ thể PP/ST cần phải chỉ\r\nrõ một SFP kiểm soát luồng tin ghi danh duy nhất cần thực hiện bởi TSF.
\r\n\r\nTrong FDP_IFC.1.1, chủ thể PP/ST cần phải chỉ\r\nrõ một danh sách các chủ thể, thông tin và các thao tác gây ra sự chuyển dịch\r\nthông tin đã kiểm soát vào ra các chủ thể được kiểm soát bao trùm bởi SFP. Như\r\nđã nêu ở trên, danh sách các chủ thể có thể chi tiết tùy vào sự cần thiết của\r\nchủ thể PP/ST. Có thể chỉ ra người dùng, máy tính, hoặc các tiến trình máy. Thông\r\ntin có thể tham chiếu đến dữ liệu ví như email, các giao thức mạng, hay các đối\r\ntượng đặc trưng tương tự như những gì chỉ ra trong một chính sách kiểm soát truy\r\nnhập. Nếu thông tin chỉ ra chứa trong một đối tượng và là chủ thể của một chính\r\nsách kiểm soát truy nhập, thì cả chính sách kiểm soát truy nhập và chính sách\r\nkiểm soát luồng tin đều phải thực thi trước khi thông tin đó được chuyển vào/ra\r\nđối tượng.
\r\n\r\nF.5.3. FDP_IFC.2 Kiểm soát luồng tin đầy đủ
\r\n\r\nF.5.3.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nThành phần này yêu cầu mọi thao tác khả thi\r\ngây ra di chuyển thông tin vào/ra các chủ thể chứa trong SFP đều phải chứa\r\ntrong một SFP kiểm soát luồng tin.
\r\n\r\nChủ thể PP/ST phải trình bày được rằng mọi tổ\r\nhợp luồng tin và chủ thể đều chứa trong một SFP kiểm soát luồng tin.
\r\n\r\nF.5.3.2. Các hoạt động
\r\n\r\nF.5.3.2.1. Chỉ định
\r\n\r\nTrong FDP_IFC 2.1, chủ thể PP/ST cần phải chỉ\r\nrõ một SFP kiểm soát luồng tin ghi danh duy nhất cần thực hiện bởi TSF.
\r\n\r\nTrong FDP_IFC1.1, chủ thể PP/ST cần phải chỉ\r\nrõ một danh sách các chủ thể, thông tin chứa trong SFP. Mọi thao tác gây ra sự\r\nchuyển dịch thông tin vào ra các chủ thể được bao trùm bởi SFP. Như đã nêu ở\r\ntrên, danh sách các chủ thể có thể chi tiết tùy vào sự cần thiết của chủ thể\r\nPP/ST. Có thể chỉ ra người dùng, máy tính, hoặc các tiến trình máy. Thông tin\r\ncó thể tham chiếu đến dữ liệu ví như email, các giao thức mạng, hay các đối\r\ntượng đặc trưng tương tự như những gì chỉ ra trong một chính sách kiểm soát\r\ntruy cập. Nếu thông tin chỉ ra chứa trong một đối tượng và là chủ thể của một\r\nchính sách kiểm soát truy cập, thì cả chính sách kiểm soát truy cập và chính\r\nsách kiểm soát luồng tin đều phải thực thi trước khi thông tin đó được chuyển\r\nvào / ra đối tượng.
\r\n\r\nF.6. Các chức năng kiểm soát luồng tin\r\n(FDP_IFF)
\r\n\r\nF.6.1. Chú thích cho người sử dụng
\r\n\r\nHọ này mô tả các quy tắc cho các chức năng\r\nđặc trưng có thể cài đặt trong các SFP kiểm soát luồng tin ghi danh trong chính\r\nsách kiểm soát luồng tin (FDP_IFC), và cũng chỉ ra phạm vi kiểm soát các chính\r\nsách.
\r\n\r\nNó chứa hai "cây": Một đề cập đến\r\ncác vấn đề chức năng kiểm soát luồng tin chung, và một chứa các luồng tin trái\r\nphép (ví dụ các kênh chuyển đổi) ứng với một hoặc nhiều SFP kiểm soát luồng\r\ntin. Việc phân chia này xuất phát từ các vấn đề liên quan đến các luồng tin\r\ntrái phép, nói cách khác, trái ngược với phần còn lại của một SFP. Các luồng\r\ntin trái phép là những luồng tin vi phạm chính sách. Chúng không phải vấn đề\r\nđối với chính sách.
\r\n\r\nĐể triển khai bảo vệ tốt hơn việc khai phá,\r\nsửa đổi khi có các phần mềm không tin cậy, cần có kiểm soát luồng tin. Việc\r\nkiểm soát truy nhập không thể đủ vì chúng chỉ kiểm soát các truy nhập tới ngăn\r\nchứa thông tin, cho phép thông tin chuyển tới các luồng tin, không qua kiểm\r\nsoát đi thông qua hệ thống.
\r\n\r\nTrong họ này, cụm từ "Các kiểu luồng tin\r\ntrái phép" được sử dụng. Cụm từ này dùng để chỉ đến một kiểu các luồng tin\r\nnhư "Các kênh lưu trữ" hoặc các "kênh định thời", hoặc\r\nchúng tham chiếu tới các phân loại cải tiến phản ánh nhu cầu của một chủ thể\r\nPP/ST.
\r\n\r\nMức độ mềm dẻo của các thành phần này cho\r\nphép định nghĩa một chính sách đặc quyền trong các thuộc tính an toàn đơn\r\nFDP_IFF.1 và FDP_IFF.2. Các thuộc tính an toàn phân lớp cho phép vượt qua một\r\nhoặc mọi phần của một SFP cụ thể. Nếu như có nhu cầu vượt qua một SFP định\r\ntrước, chủ thể PP/ST sẽ phải xem xét việc đưa vào một chính sách đặc quyền.
\r\n\r\nF.6.2. FDP_IFF.1 Các thuộc tính an toàn đơn\r\ngiản
\r\n\r\nF.6.2.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nThành phần này yêu cầu mọi thuộc tính an toàn\r\ncủa thông tin và của chủ thể gây ra di chuyển thông tin vào/ra các chủ thể là\r\ncác bộ tiếp nhận thông tin này. Các thuộc tính của ngăn chứa thông tin cần được\r\nxem xét như mong muốn để chúng đóng một vai trò quyết định cho kiểm soát luồng\r\ntin hoặc nếu chúng được bao bởi một chính sách kiểm soát truy nhập. Thành phần\r\nnày chỉ rõ các quy tắc chủ yếu cần thực thi và mô tả cách nhận được các thuộc\r\ntính an toàn.
\r\n\r\nThành phần này không chỉ ra chi tiết cách một\r\nthuộc tính an toàn được Chỉ định (ví như người dùng - tiến trình). Sự mềm dẻo\r\ntrong chính sách được cho bởi việc Chỉ định, cho phép chỉ ra chính sách và các\r\nyêu cầu chức năng bổ sung nếu cần.
\r\n\r\nThành phần này cũng cho ra các yêu cầu đối\r\nvới chức năng kiểm soát luồng tin dùng để cấp phép rõ ràng hoặc từ chối luồng\r\ntin trên cơ sở các thuộc tính an toàn. Chúng được dùng để thực hiện một chính\r\nsách đặc quyền, bao gồm cả các ngoại lệ đối với chính sách cơ sở định nghĩa\r\ntrong thành phần này.
\r\n\r\nF.6.2.2. Các hoạt động
\r\n\r\nF.6.2.2.1. Chỉ định
\r\n\r\nTrong FDP_IFF.1.1, chủ thể PP/ST cần phải chỉ\r\nrõ một SFP kiểm soát luồng tin thực thi bởi TSF. Tên của SFP kiểm soát luồng\r\ntin, phạm vi kiểm soát cho chính sách này được định nghĩa trong các thành phần\r\nthuộc chính sách kiểm soát luồng tin (FDP_IFC).
\r\n\r\nTrong FDP_IFF.1.1, chủ thể PP/ST cần phải chỉ\r\nrõ, đối với mỗi kiểu chủ thể và thông tin được kiểm soát, các thuộc tính an\r\ntoàn tương ứng với đặc tả của các quy tắc SFP. Ví dụ, các thuộc tính an toàn có\r\nthể là định danh chủ thể, nhãn độ nhạy chủ thể, nhãn độ trống của chủ thể, nhãn\r\nđộ nhạy thông tin… Các kiểu thuộc tính an toàn cần phải đủ khả năng hỗ trợ các\r\nyêu cầu của môi trường.
\r\n\r\nTrong FDP_IFF.1.2, chủ thể PP/ST cần phải chỉ\r\nrõ đối với mỗi thao tác, mối quan hệ trên cơ sở các thuộc tính an toàn cần được\r\nduy trì giữa chủ thể và các thuộc tính an toàn thông tin mà TSF sẽ thực hiện.
\r\n\r\nTrong FDP_IFF.1.3, Tác giả PP/ST cần phải chỉ\r\nrõ mọi quy tắc SFP kiểm soát luồng thông tin bổ sung để TSF được thực thi. Đó\r\nlà bao gồm tất cả các quy tắc của SFP mà hoặc là không dựa trên các thuộc tính\r\nan toàn của thông tin và chủ thể hoặc là các quy tắc mà tự động sửa đổi các\r\nthuộc tính an toàn của thông tin hay chủ thể như một quy tắc của một thao tác\r\ntruy cập. Một ví dụ cho trường hợp đầu tiên là một quy tắc của SFP kiểm soát\r\nmột giá trị ngưỡng cho các kiểu thông tin cụ thể, Đây có thể là ví dụ cho\r\ntrường hợp khi SFP luồng thông tin chứa các quy tắc về truy cập dữ liệu thống\r\nkê nơi mà một chủ thể chỉ được phép truy cập kiểu thông tin này đến một mức cụ\r\nthể các truy cập. Một ví dụ cho trường hợp thứ hai là một quy tắc được nêu ra\r\ntrong các điều kiện và các thuộc tính an toàn của một chủ thể hoặc đối tượng\r\nthay đổi như thế nào như là kết quả của một thao tác truy cập, một số chính\r\nsách luồng thông tin trong ví dụ có thể giới hạn số thao tác truy cập vào thông\r\ntin với các thuộc tính an toàn cụ thể. Nếu không có quy tắc bổ sung nào, chủ\r\nthể PP/ST cần phải chỉ rõ "none".
\r\n\r\nTrong FDP_IFF.1.4, tác giả PP/ST cần phải chỉ\r\nrõ các quy tắc, dựa trên các thuộc tính an toàn, mà xác thực các luồng thông\r\ntin. Các quy tắc này được bổ sung thêm vào các quy tắc được chỉ rõ trong các\r\nthành phần nói trước. Chúng có trong FDP_IFF.1.4 bởi vì chúng dự định chứa các\r\nngoại trừ đối với các quy tắc trong các thành phần trước đó. Một ví dụ về các\r\nquy tắc xác quyền rõ ràng luồng thông tin được dựa trên véc-tơ ưu tiên liên kết\r\nvới một chủ thể mà luôn cho phép chủ thể khả năng tạo ra luồng thông tin đối với\r\nthông tin được bao hàm bởi SFP cụ thể. Nếu không cần khả năng như vậy thì tác\r\ngiả PP/ST cần phải chỉ rõ "none".
\r\n\r\nTrong FDP_IFF.1.5, chủ thể PP/ST cần phải chỉ\r\nrõ các quy tắc dựa trên các thuộc tính an toàn, làm từ chối luồng tin rõ ràng.\r\nCác quy tắc này bổ sung cho các quy tắc đã chỉ ra trong các phần tử trước đó.\r\nChúng có trong FDP_IFF.1.5, dự định chứa các ngoại lệ đối với các quy tắc trong\r\ncác thành phần trước đó. Một ví dụ về các quy tắc từ chối rõ ràng cho các luồng\r\ntin là dựa trên vectơ đặc quyền liên kết đến một chủ thể mà luôn từ chối chủ\r\nthể khả năng tạo ra luồng tin bao bởi SFP đã định trước. Nếu không cần năng lực\r\nbổ sung như vậy, tác giả PP/ST cần phải chỉ rõ "none".
\r\n\r\nF.6.3. FDP_IFF.2 Các thuộc tính an toàn phân\r\ncấp
\r\n\r\nF.6.3.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nThành phần này yêu cầu mọi SFP kiểm soát\r\nluồng tin trong TSP sử dụng các thuộc tính an toàn phân lớp tạo thành một tấm\r\nlưới.
\r\n\r\nĐiều quan trọng cần lưu ý là các yêu cầu về\r\nquan hệ phân lớp đã xác định trong FDP_IFF.2.4 chỉ cần áp dụng cho các thuộc\r\ntính an toàn kiểm soát luồng tin đối với các SFP kiểm soát luồng tin đã xác\r\nđịnh trong FDP_IFF.2.1. Thành phần này không chủ ý áp dụng cho các SFP khác, ví\r\ndụ như các SFP kiểm soát truy nhập.
\r\n\r\nFDP_IFF.2.6 cho thấy các yêu cầu đối với tập\r\nhợp các thuộc tính an toàn để tạo ra một tấm lưới. Một số chính sách luồng\r\nthông tin định nghĩa trong văn học và thực hiện trong các sản phẩm IT là dựa\r\ntrên tập hợp các thuộc tính an toàn mà tạo ra tấm lưới. FDP_IFF.2.6 đặc biệt\r\nđược bao gồm để chỉ rõ loại chính sách luồng thông tin.
\r\n\r\nGiống thành phần trước, thành phần này có thể\r\náp dụng để thực hiện một số chính sách đặc quyền bao các quy tắc cho phép cấp\r\nquyền rõ ràng hoặc từ chối các thông tin.
\r\n\r\nNếu là trường hợp nhiều SFP kiểm soát luồng\r\ntin, và nếu mỗi SFP này có các thuộc tính an toàn riêng của nó không liên quan\r\nđến các thuộc tính khác, thì chủ thể PP/ST cần phải lặp lại thành phần này cho\r\nmỗi SFP. Nếu không sẽ có xung đột xảy ra với các nội dung chi tiết trong\r\nFDP_IFF.2.4, vì thiếu các mối quan hệ cần thiết.
\r\n\r\nF.6.3.2. Các hoạt động
\r\n\r\nF.6.3.2.1. Chỉ định
\r\n\r\nTrong FDP_IFF.2.1, chủ thể PP/ST cần phải chỉ\r\nrõ các SFP kiểm soát luồng tin thực thi bởi TSF. Tên của SFP kiểm soát luồng\r\ntin, phạm vi kiểm soát cho chính sách này được định nghĩa trong các thành phần\r\nthuộc chính sách kiểm soát luồng tin (FDP_IFC).
\r\n\r\nTrong FDP_IFF.2.1, chủ thể PP/ST cần phải chỉ\r\nrõ, đối với mỗi kiểu chủ thể và thông tin được kiểm soát, các thuộc tính an\r\ntoàn tương ứng với đặc tả của các quy tắc SFP. Ví dụ, các thuộc tính an toàn có\r\nthể là định danh chủ thể, nhãn độ nhạy chủ thể, nhãn độ trống của chủ thể, nhãn\r\nđộ nhạy thông tin… Các kiểu thuộc tính an toàn cần phải đủ khả năng hỗ trợ các\r\nyêu cầu của môi trường.
\r\n\r\nTrong FDP_IFF.2.2, chủ thể PP/ST cần phải chỉ\r\nrõ đối với mỗi thao tác, mối quan hệ trên cơ sở các thuộc tính an toàn cần được\r\nduy trì giữa chủ thể và các thuộc tính an toàn thông tin mà TSF sẽ thực hiện.\r\nCác mối quan hệ này cần dựa trên cơ sở các mối quan hệ có sắp xếp của các thuộc\r\ntính an toàn.
\r\n\r\nTrong FDP_IFF.2.3, tác giả PP/ST cần phải chỉ\r\nrõ mọi quy tắc SFP kiểm soát luồng tin bổ sung để TSF được thực thi. Nó bao gồm\r\ncác quy tắc của SFP mà hoặc là không dựa vào các thuộc tính an toàn của thông\r\ntin và chủ thể hoặc quy tắc tự động sửa các thuộc tính an toàn của thông tin hay\r\nchủ thể như là kết quả của một thao tác truy cập. Một ví dụ về trường hợp đầu\r\nlà một quy tắc của SFP kiểm soát giá trị ngưỡng cho các loại thông tin cụ thể.\r\nCũng có thể cho ví dụ trong trường hợp SFP luồng thông tin chứa các quy tắc\r\ntruy cập vào dữ liệu phân tích nơi mà chủ thể chỉ được phép truy cập kiểu thông\r\ntin đó với số lần truy cập nhất định. Một ví dụ cho trường hợp thứ hai có thể\r\nlà một quy tắc chỉ ra trong điều kiện nào và các thuộc tính an toàn của một chủ\r\nthể và đối tượng thay đổi như là kết quả của thao tác truy cập như thế nào. Một\r\nsố chính sách luồng thông tin ví dụ có thể giới hạn số thao tác truy cập vào\r\nthông tin với các thuộc tính an toàn cụ thể. Nếu không có quy tắc bổ sung nào,\r\nchủ thể PP/ST cần phải chỉ rõ "none".
\r\n\r\nTrong FDP_IFF.2.4, tác giả PP/ST cần phải chỉ\r\nrõ mọi quy tắc, dựa trên các thuộc tính an toàn, mà cấp phép rõ ràng cho luồng\r\nthông tin. Các quy tắc này được bổ sung vào các quy tắc đã ghi rõ trong các\r\nthành phần trước đó. Chúng có trong FDP_IFF.2.4 bởi vì chúng dự định chứa các\r\nngoại trừ đối với các quy tắc trong thành phần trước đó. Một ví dụ về các quy\r\ntắc cấp phép luồng thông tin rõ ràng dựa trên vec-tơ ưu tiên liên kết với một\r\nchủ thể mà luôn cấp cho chủ thể khả năng tạo ra luồng thông tin cho thông tin\r\nmà được bao hàm bởi SFP đã được xác định. Nếu không có năng lực bổ sung nào,\r\nchủ thể PP/ST cần phải chỉ rõ "none".
\r\n\r\nTrong FDP_IFF.2.5, chủ thể PP/ST cần phải chỉ\r\nrõ các quy tắc, dựa trên các thuộc tính an toàn, mà từ chối rõ ràng cho luồng\r\ntin. Các quy tắc này bổ sung cho các quy tắc đã chỉ ra trong các phần tử trước\r\nđó. Chúng chứa trong FDP_IFF.2.5, có chứa các ngoại lệ đối với các quy tắc đó.\r\nMột ví dụ về các quy tắc từ chối rõ ràng cho các luồng tin là dựa trên vectơ\r\nđặc quyền liên quan đến một chủ thể, luôn từ chối chủ thể khả năng tạo ra luồng\r\nthông tin bao bởi SFP đã định trước. Nếu không có năng lực bổ sung nào, chủ thể\r\nPP/ST cần phải chỉ rõ "none".
\r\n\r\nF.6.4. FDP_IFF.3 Giới hạn các luồng thông tin\r\nbất hợp pháp
\r\n\r\nF.6.4.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nThành phần này cần được dùng khi tối thiểu\r\nmột trong số SFP có yêu cầu kiểm soát các luồng tin trái phép mà không yêu cầu\r\ngiảm bớt luồng tin.
\r\n\r\nĐể chỉ ra các luồng tin trái phép, cần có\r\nnăng lực tối đa nhất định. Ngoài ra, một chủ thể PP/ST có khả năng chỉ ra việc\r\ncác luồng tin trái phép có phải kiểm toán hay không.
\r\n\r\nF.6.4.2. Các hoạt động
\r\n\r\nF.6.4.2.1. Chỉ định
\r\n\r\nTrong FDP_IFF.3.1, chủ thể PP/ST cần phải chỉ\r\nrõ một SFP kiểm soát luồng tin thực thi bởi TSF. Tên của SFP kiểm soát luồng\r\ntin, phạm vi kiểm soát cho chính sách này được định nghĩa trong các thành phần\r\nthuộc chính sách kiểm soát luồng tin (FDP_IFC).
\r\n\r\nTrong FDP_IFF.3.1, chủ thể PP/ST cần phải chỉ\r\nrõ các kiểu luồng thông tin trái phép trong phạm vi dung lượng tối đa.
\r\n\r\nTrong FDP_IFF.3.1, chủ thể PP/ST cần phải chỉ\r\nrõ dung lượng tối đa cho phép cho các kiểu luồng tin trái phép đã xác định.
\r\n\r\nF.6.5. FDP_IFF.4 Loại trừ từng phần các luồng\r\nthông tin bất hợp pháp
\r\n\r\nF.6.5.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nThành phần này cần được dùng khi mọi SFP yêu\r\ncầu kiểm soát các luồng tin trái phép có yêu cầu loại trừ một số luồng tin trái\r\nphép (song không bắt buộc loại trừ tất cả).
\r\n\r\nF.6.5.2. Các hoạt động
\r\n\r\nF.6.5.2.1. Chỉ định
\r\n\r\nTrong FDP_IFF.4.1, chủ thể PP/ST cần phải chỉ\r\nrõ một SFP kiểm soát luồng tin thực thi bởi TSF. Tên của SFP kiểm soát luồng\r\ntin, phạm vi kiểm soát cho chính sách này được định nghĩa trong các thành phần\r\nthuộc chính sách kiểm soát luồng tin (FDP_IFC).
\r\n\r\nTrong FDP_IFF.4.1, chủ thể PP/ST cần phải chỉ\r\nrõ các kiểu luồng tin trái phép trong phạm vi dung lượng tối đa.
\r\n\r\nTrong FDP_IFF.4.1, chủ thể PP/ST cần phải chỉ\r\nrõ dung lượng tối đa cho phép cho các kiểu thông tin trái phép đã xác định.
\r\n\r\nTrong FDP_IFF.4.1, chủ thể PP/ST cần phải chỉ\r\nrõ các kiểu luồng thông tin trái phép cần được loại trừ. Danh sách này có thể\r\nkhông trống vì thành phần này có yêu cầu loại trừ một số luồng thông tin trái\r\nphép.
\r\n\r\nF.6.6. FDP_IFF.5 Không có các luồng thông tin\r\nbất hợp pháp
\r\n\r\nF.6.6.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nThành phần này cần được dùng khi các SFP có\r\nyêu cầu kiểm soát các luồng tin trái phép yêu cầu loại trừ mọi luồng tin trái\r\nphép. Tuy nhiên, chủ thể PP/ST cần xem xét kỹ lưỡng ảnh hưởng của việc loại trừ\r\nmọi luồng tin trái phép có thể có đối với thao tác bình thường của TOE.
\r\n\r\nNhiều ứng dụng thực tế đã chỉ ra rằng có một\r\nmối quan hệ gián tiếp giữa các luồng tin trái phép và chức năng bình thường\r\ntrong TOE. Việc loại trừ mọi luồng tin trái phép có thể dẫn đến thiểu năng TOE.
\r\n\r\nF.6.6.2. Các hoạt động
\r\n\r\nF.6.6.2.1. Chỉ định
\r\n\r\nTrong FDP_IFF.5.1, chủ thể PP/ST cần phải chỉ\r\nrõ ra SFP kiểm soát luồng tin cần loại trừ luồng tin trái phép. Tên của SFP\r\nkiểm soát luồng tin, phạm vi kiểm soát cho chính sách này được định nghĩa trong\r\ncác thành phần thuộc chính sách kiểm soát luồng tin (FDP_IFC).
\r\n\r\nF.6.7. FDP_IFF.6 Giám sát luồng thông tin bất\r\nhợp pháp
\r\n\r\nF.6.7.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nHọ này định nghĩa các cơ chế để nhập\r\nTSF-trung dữ liệu người dùng từ bên ngoài TOE vào TOE để các thuộc tính an toàn\r\ndữ liệu người dùng có thể được bảo toàn. Tính chắc chắn của các thuộc tính an\r\ntoàn này được chỉ rõ bởi tính chắc chắn dữ liệu TSF TSF-liên kết (FPT_TDC).
\r\n\r\nNhập từ bên ngoài TOE (FDP_ITC) liên quan đến\r\ncác giới hạn về nhập khẩu, đặc điểm người dùng của các thuộc tính an toàn, và\r\nliên kết các thuộc tính an toàn với dữ liệu người dùng.
\r\n\r\nHọ này, và họ xuất tương ứng EXPORT từ TOE\r\n(FDP_ETC), chỉ ra TOE liên quan với dữ liệu người dùng bên ngoài kiểm soát của\r\nnó thế nào. Họ này liên quan đến việc chỉ định và tách thuộc tính an toàn dữ\r\nliệu người dùng.
\r\n\r\nCác hoạt động khác nhau có thể liên quan ở\r\nđây:
\r\n\r\na) Nhập khẩu dữ liệu người dùng từ môi trường\r\nchưa định dạng (có nghĩa, đĩa mềm, băng, máy quét, video, hoặc tín hiệu kiểm\r\ntra), mà không có bất cứ thuộc tính an toàn nào, và đánh dấu theo cách vật lý\r\nmôi trường chỉ ra nội dung của nó.
\r\n\r\nb) Nhập khẩu dữ liệu, gồm các thuộc tính an\r\ntoàn, từ một môi trường và phân loại ra các thuộc tính an toàn đối tượng nào là\r\ntương ứng;
\r\n\r\nc) Nhập khẩu dữ liệu người dùng, gồm các\r\nthuộc tính an toàn, từ một môi trường sử dụng kỹ thuật đánh dấu mã hóa để bảo\r\nvệ liên hợp dữ liệu người dùng và các thuộc tính an toàn.
\r\n\r\nHọ này không liên quan với việc xác định dữ\r\nliệu người dùng có được nhập khẩu hay không. Nó liên quan đến các dữ liệu của\r\ncác thuộc tính an toàn để liên kết với dữ liệu người dùng đã được nhập.
\r\n\r\nThành phần này cần được dùng khi muốn rằng\r\nTSF có thể giám sát các luồng tin trái phép sử dụng một dung lượng vượt quá mức\r\ncho phép. Nếu cần kiểm chứng các luồng tin này, thành phần này có thể giúp cung\r\ncấp nguồn thông tin kiểm chứng được lấy từ họ FAU_GEN tạo dữ liệu kiểm toán an\r\ntoàn.
\r\n\r\nF.6.7.2. Các hoạt động
\r\n\r\nF.6.7.2.1. Chỉ định
\r\n\r\nTrong FDP_IFF.6.1, chủ thể PP/ST cần phải chỉ\r\nrõ một SFP kiểm soát luồng tin thực thi bởi TSF. Tên của TSF kiểm soát luồng tin,\r\nphạm vi kiểm soát cho chính sách này được định nghĩa trong các thành phần thuộc\r\nchính sách kiểm soát luồng tin (FDP_IFC).
\r\n\r\nTrong FDP_IFF.6.1, chủ thể PP/ST cần phải chỉ\r\nrõ các kiểu luồng tin trái phép cần được giám sát khi có dung lượng vượt quá\r\nmức tối đa.
\r\n\r\nTrong FDP_IFF.6.1, chủ thể PP/ST cần phải chỉ\r\nrõ dung lượng tối đa mà TSF dùng để giám sát các luồng tin trái phép.
\r\n\r\nF.7. Nhập dữ liệu từ bên ngoài TOE (FDP_ITC)
\r\n\r\nF.7.1. Chú thích cho người sử dụng
\r\n\r\nHọ này định nghĩa các cơ chế để nhập\r\nTSF-trung gian dữ liệu người dùng từ bên ngoài TOE vào TOE để các thuộc tính an\r\ntoàn dữ liệu người dùng có thể được bảo toàn. Tính chắc chắn của các thuộc tính\r\nan toàn này được chỉ rõ bởi tính chắc chắn dữ liệu TSF TSF-liên kết (FPT_TDC).
\r\n\r\nNhập từ bên ngoài TOE (FDP_ITC) liên quan đến\r\ncác giới hạn về nhập khẩu, đặc điểm người dùng của các thuộc tính an toàn, và\r\nliên kết các thuộc tính an toàn với dữ liệu người dùng.
\r\n\r\nHọ này, và họ xuất tương ứng EXPORT từ TOE\r\n(FDP_ETC), chỉ ra TOE liên quan với dữ liệu người dùng bên ngoài kiểm soát của\r\nnó thế nào. Họ này liên quan đến việc chỉ định và tách thuộc tính an toàn dữ\r\nliệu người dùng.
\r\n\r\nMột số thao tác có thể có là:
\r\n\r\na) Nhập dữ liệu người dùng từ một môi trường\r\nchưa định dạng (đĩa từ, băng từ, bộ quét, video hay tín hiệu kiểm chứng) không\r\ncó chứa một thuộc tính an toàn nào, và đánh dấu vật lý để biểu thị nội dung.
\r\n\r\nb) Nhập dữ liệu người dùng có thuộc tính an\r\ntoàn từ một môi trường và kiểm tra các thuộc tính an toàn cho đối tượng có\r\nchính xác không.
\r\n\r\nc) Nhập dữ liệu người dùng, bao gồm cả thuộc\r\ntính an toàn từ một môi trường có sử dụng kỹ thuật mật mã để bảo vệ mối quan hệ\r\ngiữa thuộc tính an toàn và dữ liệu người dùng.
\r\n\r\nHọ này không liên quan đến việc xác định xem\r\ndữ liệu người dùng có được nhập liệu không. Nó chỉ liên quan đến các giá trị\r\ncủa thuộc tính an toàn kết hợp với dữ liệu người dùng được nhập.
\r\n\r\nCó hai khả năng nhập liệu người dùng: hoặc dữ\r\nliệu người dùng có kết hợp với các thuộc tính an toàn tin cậy (các giá trị và ý\r\nnghĩa của thuộc tính an toàn không bị sửa đổi), hoặc không có các thuộc tính an\r\ntoàn tin cậy (hoặc không có thuộc tính an toàn nào) có thể nhận được từ nguồn\r\nnhập liệu. Họ này đề cập đến cả hai trường hợp trên.
\r\n\r\nNếu có sẵn các thuộc tính an toàn tin cậy,\r\nchúng có thể kết hợp với dữ liệu người dùng bằng phương thức vật lý (các thuộc\r\ntính an toàn trên cùng phương tiện), hoặc qua logic (các thuộc tính an toàn\r\nđược cấp riêng, song có gắn liền định danh đối tượng, ví dụ tổng kiểm tra mật\r\nmã).
\r\n\r\nHọ này có liên quan đến việc nhập TSF-trung\r\ngian dữ liệu người dùng và duy trì sự kết hợp của các thuộc tính an toàn như\r\nSFP yêu cầu. Các họ khác liên quan đến các khía cạnh khác ví dụ như tính nhất\r\nquán, kênh tin cậy, tính vẹn toàn nằm ngoài phạm vi họ này. Ngoài ra, nhập liệu\r\ntừ bên ngoài kiểm soát TSF (FDP_ITC) chỉ liên quan đến giao diện môi trường\r\nnhập liệu. Kết xuất ra kiểm soát TSF bên ngoài (FDP_ETC) chịu trách nhiệm đối\r\nvới môi trường phía đầu kia (nguồn phát).
\r\n\r\nMột số yêu cầu nhập liệu quen thuộc là:
\r\n\r\na) Nhập dữ liệu người dùng không có thuộc\r\ntính an toàn;
\r\n\r\nb) Nhập dữ liệu người dùng có thuộc tính an\r\ntoàn, trong đó cả hai kết hợp với nhau và các thuộc tính an toàn biểu diễn phần\r\nnào thông tin đang được nhập.
\r\n\r\nCác yêu cầu nhập liệu này có thể xử lý bởi\r\nTSF với hoặc không có can thiệp của con người, tùy theo những hạn chế CNTT và\r\nchính sách an toàn của tổ chức. Ví dụ, nếu dữ liệu người dùng nhận được qua\r\nkênh "mật", các thuộc tính an toàn của các đối tượng được đặt thành\r\n"mật".
\r\n\r\nNếu có nhiều SFP (kiểm soát luồng tin,\r\nvà/hoặc kiểm soát truy nhập) thì chúng cần lặp các thành phần này cho mỗi SFP.
\r\n\r\nF.7.2. FDP_ITC.1 Nhập dữ liệu người dùng\r\nkhông có các thuộc tính an toàn
\r\n\r\nF.7.2.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nThành phần này dùng để chỉ ra việc nhập dữ\r\nliệu người dùng không có các thuộc tính an toàn tin cậy nào gắn liền theo. Chức\r\nnăng này yêu cầu các thuộc tính an toàn cho dữ liệu người dùng được nhập cần\r\nđược khởi tạo bên trong TSF. Đây cũng có thể là trường hợp chủ thể PP/ST chỉ ra\r\ncác quy tắc cho nhập liệu. Đúng hơn, trong một số trường hợp, cần yêu cầu các\r\nthuộc tính này được cung cấp qua các kênh tin cậy hoặc các cơ chế kênh tin cậy.
\r\n\r\nF.7.2.2. Các hoạt động
\r\n\r\nF.7.2.2.1. Chỉ định
\r\n\r\nTrong FDP_ITC.1.1, chủ thể PP/ST cần phải chỉ\r\nrõ các kiểm soát truy nhập SFP và/hoặc các SFP kiểm soát luồng tin khi thực thi\r\nnhập dữ liệu người dùng. Dữ liệu người dùng được nhập vào thuộc phạm vi Chỉ\r\nđịnh bởi các SFP này.
\r\n\r\nTrong FDP_ITC.1.3, chủ thể PP/ST cần phải chỉ\r\nra mọi quy tắc kết xuất bổ sung hoặc "none" nếu như không có quy tắc\r\nkết xuất bổ sung nào. Các quy tắc này được thực thi bởi TSF bổ sung thêm cho SFP\r\nkiểm soát truy nhập và/hoặc SFP kiểm soát luồng tin đã chọn trong FDP_ITC.1.1.
\r\n\r\nF.7.3. Nhập liệu dữ liệu người dùng với các\r\nthuộc tính an toàn FDP_ITC.2
\r\n\r\nF.7.3.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nThành phần này dùng để chỉ ra việc nhập dữ\r\nliệu người dùng với các thuộc tính an toàn tin cậy kết hợp với chúng.
\r\n\r\nChức năng này dựa vào các thuộc tính an toàn\r\ncó kết hợp chính xác và rõ ràng với các đối tượng của môi trường nhập liệu. Khi\r\nđã được nhập liệu, các đối tượng này sẽ có cùng các thuộc tính như vậy. Điều này\r\nđòi hỏi sự nhất quán dữ liệu TSF giữa các TSF (FPT_TDC) để đảm bảo tính nhất\r\nquán của dữ liệu. Đây có thể là trường hợp chủ thể PP/ST chỉ rõ các quy tắc\r\nnhập liệu.
\r\n\r\nF.7.3.2. Các hoạt động
\r\n\r\nF.7.3.2.1. Chỉ định
\r\n\r\nTrong FDP_ITC.2.1, tác giả PP/ST cần phải chỉ\r\nrõ một SFP kiểm soát truy cập và/hoặc các SFP kiểm soát luồng thông tin cần\r\nthực thi khi nhập dữ liệu người dùng từ bên ngoài TOE. Dữ liệu người dùng mà\r\nchức năng này nhập liệu được thông qua việc Chỉ định các SFP.
\r\n\r\nTrong FDP_ETC.2.4, chủ thể PP/ST cần phải chỉ\r\nra mọi quy tắc luồng tin bổ sung hoặc "none" nếu như không có quy tắc\r\nluồng tin bổ sung nào. Các quy tắc này được thực thi bởi TSF bổ sung thêm cho\r\nSFP kiểm soát truy nhập và/hoặc SFP kiểm soát luồng tin đã chọn trong\r\nFDP_ITC.2.1.
\r\n\r\nF.8. Vận chuyển nội bộ TOE (FDP_ITT)
\r\n\r\nF.8.1. Chú thích cho người sử dụng
\r\n\r\nHọ này cung cấp các yêu cầu liên quan đến\r\nviệc bảo vệ dữ liệu người dùng khi vận chuyển các phần của một TOE xuyên qua\r\nmột kênh nội bộ. Việc vận chuyển này trái ngược với họ bảo vệ vận chuyển bí mật\r\ndữ liệu người dùng giữa các TSF (FDP_UCT) và họ bảo vệ vận chuyển đảm bảo vẹn\r\ntoàn dữ liệu người dùng giữa các TSF (FDP_UIT), trong đó có sự bảo vệ dữ liệu\r\nngười dùng khi vận chuyển qua các TSF khác nhau thông qua kênh bên ngoài và kết\r\nxuất từ TOE (FDP_ETC), và nhập liệu từ bên ngoài TOE (FDP_ITC), chỉ rõ việc vận\r\nchuyển TSF-trung gian tới hoặc từ bên ngoài TOE.
\r\n\r\nCác yêu cầu trong họ này cho phép chủ thể\r\nPP/ST chỉ ra độ an toàn mong muốn cho dữ liệu người dùng khi vận chuyển bên\r\ntrong TOE. Tính an toàn có thể là bảo vệ chống khai phá, sửa đổi, mất tính sẵn\r\nsàng.
\r\n\r\nViệc xác định mức độ phân tách về vật lý mà\r\nhọ này cần áp dụng tùy thuộc vào môi trường sử dụng. Trong môi trường máy chủ,\r\ncó thể xuất hiện các nguy cơ khi vận chuyển dữ liệu giữa các phần của TOE tách\r\nbiệt nhau qua BUS hệ thống. Trong các môi trường an toàn khác, việc vận chuyển\r\ncó thể qua các phương tiện kết nối mạng truyền thống.
\r\n\r\nNếu có nhiều SFP (kiểm soát luồng tin,\r\nvà/hoặc kiểm soát truy nhập), thì chúng cần lặp lại các thành phần này cho mỗi\r\nSFP.
\r\n\r\nF.8.2. FDP_ITT.1 Bảo vệ chuyển giao cơ sở bên\r\ntrong
\r\n\r\nF.8.2.1. Các hoạt động
\r\n\r\nF.8.2.1.1. Chỉ định
\r\n\r\nTrong FDP_ITC.1.1, chủ thể PP/ST cần phải chỉ\r\nrõ các kiểm soát truy nhập SFP và/hoặc các SFP kiểm soát luồng tin bao hàm các\r\nthông tin đang vận chuyển.
\r\n\r\nF.8.2.1.2. Phép chọn
\r\n\r\nTrong FDP_ITC.1.1, chủ thể PP/ST cần phải chỉ\r\nrõ các kiểu lỗi truyền tải để TSF cần phải tránh khi vận chuyển dữ liệu người\r\ndùng. Các tùy chọn là để lộ, sửa đổi, mất khả năng dùng.
\r\n\r\nF.8.3. FDP_ITT.2 Phân tách truyền tải bởi các\r\nthuộc tính
\r\n\r\nF.8.3.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nThành phần này có thể dùng, ví dụ để cung cấp\r\ncác mẫu khác nhau cho việc bảo vệ thông tin với các mức rõ ràng khác nhau.
\r\n\r\nMột cách để tách biệt dữ liệu khi vận chuyển\r\nlà thông qua việc sử dụng tách biệt các kênh vật lý hoặc logic.
\r\n\r\nF.8.3.2. Các hoạt động
\r\n\r\nF.8.3.2.1. Chỉ định
\r\n\r\nTrong FDP_ITC.2.1, chủ thể PP/ST cần phải chỉ\r\nrõ các kiểm soát truy nhập SFP và/hoặc các SFP kiểm soát luồng tin bao hàm\r\nthông tin đang được truyền tải.
\r\n\r\nF.8.3.2.2. Phép chọn
\r\n\r\nTrong FDP_ITC.2.1, chủ thể PP/ST cần phải chỉ\r\nrõ các kiểu lỗi truyền tải để TSF cần phải tránh khi vận chuyển dữ liệu người\r\ndùng. Các tùy chọn là để lộ, sửa đổi, mất khả năng dùng.
\r\n\r\nF.8.3.2.3. Chỉ định
\r\n\r\nTrong FDP_ITC.2.2, chủ thể PP/ST cần phải chỉ\r\nrõ các thuộc tính an toàn, các giá trị mà TSF dùng để xác định khi nào cần tách\r\nbiệt dữ liệu đang truyền tải giữa các phần vật lý tách biệt của TOE.
\r\n\r\nMột ví dụ là nếu dữ liệu người dùng kết hợp\r\nvới định danh của một chủ sở hữu được truyền tải tách biệt với dữ liệu người\r\ndùng có kết hợp với định danh của một chủ sở hữu khác. Trong trường hợp này giá\r\ntrị định danh của chủ sở hữu dữ liệu là giá trị cần dùng để xác định khi nào\r\ncần tách biệt dữ liệu vận chuyển.
\r\n\r\nF.8.4. FDP_ITT.3 Giám sát toàn vẹn
\r\n\r\nF.8.4.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nThành phần này dùng để kết hợp với hoặc là\r\nFDP_ITT.1 phần bảo vệ vận chuyển nội bộ cơ bản hoặc FDP_ITT.2 phần tách biệt\r\nvận chuyển qua thuộc tính. Nó đảm bảo rằng TSF kiểm tra dữ liệu người dùng nhận\r\nđược (và các thuộc tính của nó) về tính toàn vẹn.
\r\n\r\nFDP_ITT.1 phần bảo vệ vận chuyển nội bộ cơ\r\nbản hoặc phần tách biệt vận chuyển qua thuộc tính FDP_ITT.2 sẽ cung cấp dữ liệu\r\ntheo cách sao cho nó được bảo vệ chống sửa đổi (do đó FDP_ITT.3 giám sát tính\r\ntoàn vẹn có thể phát hiện ra bất kỳ sự sửa đổi nào).
\r\n\r\nChủ thể PP/ST cũng cần phải chỉ ra các kiểu lỗi\r\ncó thể phát hiện. Chủ thể PP/ST cần phải xem xét sự sửa đổi dữ liệu, thay thế\r\ndữ liệu, thay đổi thứ tự dữ liệu, phát lại dữ liệu, dữ liệu không toàn vẹn…ngoài\r\ncác lỗi toàn vẹn khác.
\r\n\r\nChủ thể PP/ST phải chỉ ra các thao tác mà TSF\r\ncần có để phát hiện ra lỗi. Ví dụ: bỏ qua dữ liệu người dùng, yêu cầu lại dữ\r\nliệu, thông báo quản trị có thẩm quyền, định tuyến lại lưu lượng tới các tuyến\r\nkhác.
\r\n\r\nF.8.4.2. Các hoạt động
\r\n\r\nF.8.4.2.1. Chỉ định
\r\n\r\nTrong FDP_ITT.3.1, chủ thể PP/ST cần phải chỉ\r\nrõ các kiểm soát truy nhập SFP và/hoặc các SFP kiểm soát luồng tin bao hàm\r\nthông tin đang được chuyển tải và giám sát về các lỗi toàn vẹn.
\r\n\r\nTrong FDP_ITT.3.1, chủ thể PP/ST cần phải chỉ\r\nrõ các kiểu lỗi toàn vẹn được giám sát trong khi truyền tải dữ liệu người dùng.
\r\n\r\nTrong FDP_ITT.3.2, chủ thể PP/ST cần phải chỉ\r\nrõ các thao tác mà TSF cần có khi xảy ra lỗi toàn vẹn. Một ví dụ là TSF cần yêu\r\ncầu phát lại dữ liệu người dùng. Các SFP chỉ ra trong FDP_ITT.3.1 sẽ thực thi\r\nnhư thao tác cần thực hiện bởi TSF.
\r\n\r\nF.8.5. FDP_ITT.4 Giám sát toàn vẹn dựa trên\r\nthuộc tính
\r\n\r\nF.8.5.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nThành phần này dùng kết hợp với phần tách\r\nbiệt vận chuyển qua thuộc tính FDP_ITT.2. Nó đảm bảo rằng TSF kiểm tra dữ liệu\r\nngười dùng nhận được với việc truyền tải thông qua các kênh tách biệt (dựa trên\r\ncác giá trị thuộc tính an toàn đã chỉ ra) đảm bảo tính vẹn toàn. Nó cho phép\r\nchủ thể PP/ST chỉ ra các thao tác cần có để phát hiện lỗi toàn vẹn. Ví dụ,\r\nthành phần này có thể dùng cho việc phát hiện lỗi toàn vẹn khác nhau và thao\r\ntác cho thông tin ở các mức toàn vẹn khác nhau.
\r\n\r\nChủ thể PP/ST cần phải chỉ ra các kiểu lỗi\r\ncần được phát hiện. Chủ thể PP/ST cần xem xét: sự sửa đổi dữ liệu, thay thế dữ\r\nliệu, thay đổi thứ tự dữ liệu, phát lại dữ liệu, dữ liệu không toàn vẹn… ngoài\r\ncác lỗi toàn vẹn khác.
\r\n\r\nChủ thể PP/ST phải chỉ ra các thuộc tính (và\r\ncác kênh truyền liên quan) cần cho giám sát lỗi toàn vẹn.
\r\n\r\nChủ thể PP/ST phải chỉ ra các thao tác mà TSF\r\ncần có để phát hiện ra lỗi. Ví dụ: bỏ qua dữ liệu người dùng, yêu cầu lại dữ liệu,\r\nthông báo quản trị có thẩm quyền, định tuyến lại lưu lượng tới các tuyến khác.
\r\n\r\nF.8.5.2. Các hoạt động
\r\n\r\nF.8.5.2.1. Chỉ định
\r\n\r\nTrong FDP_ITT.4.1, chủ thể PP/ST cần phải chỉ\r\nrõ các SFP kiểm soát truy nhập và/hoặc các SFP kiểm soát luồng tin bao hàm\r\nthông tin đang được chuyển tải và giám sát về các lỗi toàn vẹn.
\r\n\r\nTrong FDP_ITT.4.1, chủ thể PP/ST cần phải chỉ\r\nrõ các kiểu lỗi toàn vẹn cần được giám sát trong khi truyền tải dữ liệu người\r\ndùng.
\r\n\r\nTrong FDP_ITT.4.1, chủ thể PP/ST cần phải chỉ\r\nrõ danh sách các thuộc tính an toàn cần có để phân biệt các kênh truyền. Danh\r\nsách này dùng để xác định dữ liệu người dùng nào cần được giám sát lỗi toàn\r\nvẹn, trên cơ sở các thuộc tính an toàn và kênh truyền tải của nó. Phần tử này\r\nliên quan trực tiếp đến việc phân tách truyền tải FDP_ITT.2 qua các thuộc tính.
\r\n\r\nTrong FDP_ITT.4.2, chủ thể PP/ST cần phải chỉ\r\nrõ các thao tác mà TSF cần có khi xảy ra lỗi toàn vẹn. Một ví dụ là TSF cần yêu\r\ncầu phát lại dữ liệu người dùng. Các SFP chỉ ra trong FDP_ITT.3.1 sẽ thực thi\r\nnhư thao tác cần thực hiện bởi TSF.
\r\n\r\nF.9. Bảo vệ thông tin dư thừa (FDP_RIP)
\r\n\r\nF.9.1. Chú thích cho người sử dụng
\r\n\r\nHọ này xét nhu cầu cần đảm bảo rằng các tài\r\nnguyên TSF-kiểm soát, khi đã bị đưa ra khỏi một đối tượng và trước khi chúng\r\nđược đặt lại vào một đối tượng khác, được TSF xử lý theo cách có thể để tái cấu\r\ntrúc tất cả hoặc một phần dữ liệu chứa trong tài nguyên trước khi nó được định\r\nvị lại.
\r\n\r\nMột TOE thường có một số chức năng mà có tiềm\r\nnăng đưa tài nguyên ra khỏi đối tượng và cũng có thể đặt lại những tài nguyên\r\nnày vào các đối tượng. Một số, nhưng không phải tất cả các tài nguyên có thể\r\nđược dùng để lưu trữ dữ liệu trọng yếu từ lần dùng tài nguyên trước và đối với\r\ncác FDP_RIP tài nguyên này yêu cầu chúng được chuẩn bị để tái sử dụng. Việc tái\r\nsử dụng đối tượng áp dụng để làm rõ yêu cầu của đối tượng hoặc người dùng để\r\ncho phép các tài nguyên cũng như các thao tác ẩn của TSF mà ảnh hưởng trong\r\nviệc bỏ ra ngoài và tái định vị sau đó các tài nguyên để phân biệt các đối\r\ntượng. Các ví dụ về yêu cầu rõ ràng là việc xóa hoặc cắt bớt một tệp hoặc để ra\r\nmột khoảng bộ nhớ chính. Các ví dụ về thao tác ẩn của TSF là việc bỏ ra và tái\r\nđịnh vị các khu vực bí mật.
\r\n\r\nCác yêu cầu tái sử dụng đối tượng liên quan\r\nđến nội dung của tài nguyên thuộc về một đối tượng, không phải tất cả thông tin\r\nvề tài nguyên hoặc đối tượng mà có thể lưu trữ ở nơi nào đó trong TSF. Một ví\r\ndụ thỏa mãn yêu cầu FDP_RIP đối với các tệp khi đối tượng yêu cầu tất cả các\r\nphần tạo ra tệp cần được chuẩn bị để tái sử dụng.
\r\n\r\nHọ này cũng áp dụng cho các tài nguyên có thể\r\nsử dụng lại tuần tự bởi các chủ thể trong hệ thống. Ví dụ, đa số hệ điều hành\r\nthường dựa trên các thanh ghi phần cứng (tài nguyên) để hỗ trợ các tiến trình\r\ntrong hệ thống. Khi các tiến trình chuyển từ trạng thái "run" sang\r\n"sleep" (hoặc ngược lại), các thanh ghi trên sẽ được sử dụng lại tuần\r\ntự bởi các chủ thể khác. Trong khi thao tác "chuyển đổi" (swapping)\r\nkhông được coi là cấp phát hoặc giải phóng tài nguyên. Bảo vệ thông tin dư thừa\r\n(FDP_RIP) có thể áp dụng cho các sự kiện và tài nguyên.
\r\n\r\nBảo vệ thông tin dư thừa (FDP_RIP) thường\r\nkiểm soát truy nhập tới thông tin không phải là một phần của đối tượng đang xác\r\nđịnh hoặc đang được truy nhập. Tuy nhiên, trong một số trường hợp, điều này\r\nkhông hoàn toàn đúng. Lấy ví dụ, đối tượng "A" là một tệp, đối tượng\r\nB là một đĩa nơi lưu giữ tệp. Nếu đối tượng A bị xóa, thông tin về đối tượng A\r\nsẽ bị kiểm soát bởi phần bảo vệ thông tin dư thừa (FDP_RIP) ngay cả khi nó vẫn\r\ncòn là một phần của đối tượng B.
\r\n\r\nĐiều quan trọng cần lưu ý là phần bảo vệ\r\nthông tin dư thừa (FDP_RIP) chỉ áp dụng cho các đối tượng trực tuyến (on-line)\r\nchứ không cho các đối tượng ngoại tuyến (off-line) ví như những gì backup trên\r\nbăng từ. Lấy ví dụ, nếu 1 tệp bị xóa trong TOE, phần bảo vệ thông tin dư thừa\r\n(FDP_RIP) sẽ có thể yêu cầu không có thông tin dư thừa sau khi giải phóng. Tuy\r\nnhiên TSF không thể mở rộng phép thực hiện này cho cùng một tệp tồn tại ở dạng\r\nbackup ngoại tuyến. Bởi vậy, chính tệp đó vẫn dùng được. Nếu đây là mối nghi\r\nngại thì chủ thể PP/ST cần đảm bảo rằng các đối tượng môi trường phù hợp được\r\nđặt ra để hỗ trợ quản trị các đối tượng ngoại tuyến.
\r\n\r\nBảo vệ thông tin dư thừa (FDP_RIP) và\r\nRollback (FDP_ROL) có thể xung đột khi Bảo vệ thông tin dư thừa (FDP_RIP) thực\r\nhiện yêu cầu xóa thông tin dư thừa tại thời điểm ứng dụng giải phóng đối tượng\r\nđến TSF (nghĩa là giải phóng tài nguyên). Bởi vậy việc chọn chức năng\r\n"Deallocation) của Bảo vệ thông tin dư thừa (FDP_RIP) cần không được sử\r\ndụng với Rollback (FDP_ROL) do không có thông tin cần lấy lại. Việc chọn lựa\r\nkhác là "không sẵn sàng khi cấp phát" có thể dùng với Rollback\r\n(FDP_ROL), tuy nhiên có nguy cơ là tài nguyên đang giữ thông tin đã được cấp\r\nphát cho đối tượng mới trước khi rollback có tác dụng. Khi xảy ra điều đó,\r\nrollback sẽ không thể thực hiện được.
\r\n\r\nTrong Bảo vệ thông tin dư thừa (FDP_RIP) không\r\ncó các yêu cầu kiểm toán, bởi vì đó không phải chức năng được người dùng thực\r\nhiện. Kiểm toán các tài nguyên đã cấp phát hoặc giải phóng có thể thực thi trong\r\ncác thao tác của SFP kiểm soát truy nhập hoặc SFP kiểm soát luồng tin.
\r\n\r\nHọ này cần được áp dụng cho các đối tượng đã\r\nchỉ ra trong SFP kiểm soát truy nhập hoặc SFP kiểm soát luồng tin như đã chỉ ra\r\nbởi chủ thể PP/ST.
\r\n\r\nF.9.2. FDP_RIP.1 Bảo vệ thông tin dư thừa tập\r\ncon
\r\n\r\nF.9.2.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nThành phần này yêu cầu cho mỗi tập con đối\r\ntượng trong TOE là TSF sẽ đảm bảo rằng không có thông tin dư thừa dùng được\r\nchứa trong một tài nguyên đã được cấp phát hoặc đã giải phóng cho các đối tượng\r\nđó.
\r\n\r\nF.9.2.2. Các hoạt động
\r\n\r\nF.9.2.2.1. Chỉ định
\r\n\r\nTrong FDP_RIP.1.1, chủ thể PP/ST cần phải chỉ\r\nrõ sự kiện, việc cấp phát hoặc giải phóng tài nguyên gọi đến chức năng Bảo vệ\r\nthông tin dư thừa.
\r\n\r\nF.9.2.2.2. Chỉ định
\r\n\r\nTrong FDP_RIP.1.1, chủ thể PP/ST cần phải chỉ\r\nrõ danh sách các đối tượng cho phần bảo vệ thông tin dư thừa.
\r\n\r\nF.9.3. FDP_RIP.2 Bảo vệ thông tin dư thừa đầy\r\nđủ
\r\n\r\nF.9.3.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nThành phần này yêu cầu cho mọi đối tượng\r\ntrong TOE là TSF sẽ đảm bảo rằng không có thông tin dư thừa dùng được chứa\r\ntrong một tài nguyên đã được cấp phát hoặc đã giải phóng cho các đối tượng đó.
\r\n\r\nF.9.3.2. Các hoạt động
\r\n\r\nF.9.3.2.1. Phép chọn
\r\n\r\nTrong FDP_RIP.2.1, chủ thể PP/ST cần phải chỉ\r\nrõ sự kiện, việc cấp phát hoặc giải phóng tài nguyên gọi đến chức năng bảo vệ\r\nthông tin dư thừa.
\r\n\r\nF.10. Khôi phục (FDP_ROL)
\r\n\r\nF.10.1. Chú thích cho người sử dụng
\r\n\r\nHọ này chỉ nhu cầu cần quay trở lại một trạng\r\nthái hợp lệ định trước, ví dụ như nhu cầu của một người dùng muốn hoàn lại\r\nnhững sửa đổi trong tệp, hoặc hoàn lại các giao dịch trong trường hợp chuỗi\r\ngiao dịch chưa hoàn thiện khi thao tác với cơ sở dữ liệu.
\r\n\r\nHọ này nhằm hỗ trợ người dùng hoàn lại một\r\ntrạng thái hợp lệ định trước sau khi người dùng đã hoàn lại các thao tác, hoặc\r\ntrong một cơ sở dữ liệu phân tán, hoàn lại mọi bản sao phân bố của cơ sở dữ\r\nliệu về trạng thái trước khi xảy ra thao tác lỗi.
\r\n\r\nBảo vệ thông tin dư thừa (FDP_RIP) và Hoàn\r\nlại (FDP_ROL) xung đột khi bảo vệ thông tin dư thừa (FDP_RIP) thực thi với việc\r\nnội dung không còn khả dụng tại thời điểm một tài nguyên được giải phóng khỏi\r\nmột đối tượng. Bởi vậy, việc sử dụng chức năng bảo vệ thông tin dư thừa\r\n(FDP_RIP) không thể kết hợp với chức năng Hoàn lại Rollback (FDP_ROL) vì không\r\ncòn thông tin để hoàn lại. Bảo vệ thông tin dư thừa (FDP_RIP) có thể chỉ sử\r\ndụng với Hoàn lại (FDP_ROL) khi thực thi với điều kiện nội dung thông tin sẽ\r\nkhông còn khả dụng ở thời điểm tài nguyên được cấp phát tới một đối tượng khác.\r\nLý do là cơ chế hoàn lại (FDP_ROL) sẽ có một cơ hội truy nhập thông tin trước\r\nđó vẫn có thể còn có trong TOE để thực thi thành công việc hoàn lại thao tác.\r\nYêu cầu để hoàn lại được giới hạn bởi một số hạn định. Ví dụ, một bộ soạn thảo\r\nvăn bản thường chỉ cho phép hoàn lại một số lệnh nhất định. Một ví dụ khác là\r\nbackup. Nếu băng từ backup bị quay chiều, sau khi băng từ đã được sử dụng lại,\r\nthì không còn có thể gọi lại thông tin. Đó cũng là giới hạn đối với yêu cầu\r\nhoàn lại.
\r\n\r\nF.10.2. FDP_ROL.1 Khôi phục cơ bản
\r\n\r\nF.10.2.1. Chú thích cho ứng dụng người sử\r\ndụng
\r\n\r\nThành phần này cho phép một người dùng hay\r\nchủ thể được hoàn lại một tập các thao tác trên một tập đối tượng định trước.\r\nPhép hoàn lại chỉ có thể trong hạn định, ví dụ cho tới một lượng ký tự hoặc tới\r\nmột hạn định thời gian.
\r\n\r\nF.10.2.2. Các hoạt động
\r\n\r\nF.10.2.2.1. Chỉ định
\r\n\r\nTrong FDP_ROL.1.1, chủ thể PP/ST cần phải chỉ\r\nrõ các SFP kiểm soát truy nhập và/hoặc các SFP kiểm soát luồng tin cần thực thi\r\nkhi thực hiện các thao tác hoàn lại. Điều này cần thiết để đảm bảo rằng việc\r\nhoàn lại không dùng để phá vỡ các SFP đã cho.
\r\n\r\nTrong FDP_ROL.1.1, chủ thể PP/ST cần phải chỉ\r\nrõ danh sách các thao tác có thể hoàn lại.
\r\n\r\nTrong FDP_ROL.1.1, chủ thể PP/ST cần phải chỉ\r\nrõ thông tin và/hoặc danh sách các đối tượng dùng trong chính sách hoàn lại.
\r\n\r\nTrong FDP_ROL.1.2, chủ thể PP/ST cần phải chỉ\r\nrõ giới hạn chặn cho các thao tác hoàn lại. Giới hạn có thể chỉ ra là một\r\nkhoảng thời gian định trước, ví dụ, các thao tác có thể hoàn lại khi đã thực\r\nthi trong vòng 2 phút trở lại. Các giới hạn khác có thể được xác định là số tối\r\nđa các thao tác cho phép, hoặc kích thước bộ đệm.
\r\n\r\nF.10.3.1. FDP_ROL.2 Khôi phục cải tiến Chú\r\nthích cho ứng dụng người sử dụng
\r\n\r\nThành phần này buộc TSF cung cấp khả năng\r\nhoàn lại mọi thao tác. Tuy nhiên, người dùng có thể chọn hoàn lại chỉ là một\r\nphần của chúng.
\r\n\r\nF.10.3.2. Các hoạt động
\r\n\r\nF.10.3.2.1. Chỉ định
\r\n\r\nTrong FDP_ROL.2.1, chủ thể PP/ST cần phải chỉ\r\nrõ các SFP kiểm soát truy nhập và/hoặc các SFP kiểm soát luồng tin cần thực thi\r\nkhi thực hiện các thao tác hoàn lại. Điều này cần thiết để đảm bảo rằng việc\r\nhoàn lại không dùng để phá vỡ các SFP đã cho.
\r\n\r\nTrong FDP_ROL.2.1, chủ thể PP/ST cần phải chỉ\r\nrõ danh sách các đối tượng dùng trong chính sách hoàn lại.
\r\n\r\nTrong FDP_ROL.2.2, chủ thể PP/ST cần phải chỉ\r\nrõ hạn định mà giới hạn mà các thao tác hoàn lại có thể thực thi. Giới hạn có\r\nthể được chỉ ra là một khoảng thời gian định trước, ví dụ, các thao tác có thể\r\nhoàn lại khi đã thực thi trong vòng 2 phút trở lại. Các giới hạn khác có thể\r\nđược xác định là số tối đa các thao tác cho phép, hoặc kích thước bộ đệm.
\r\n\r\nF.11. Toàn vẹn dữ liệu lưu trữ (FDP_SDI)
\r\n\r\nF.11.1. Chú thích cho người sử dụng
\r\n\r\nHọ này cung cấp các yêu cầu về việc bảo vệ dữ\r\nliệu người dùng trong khi chúng được lưu giữ trong khoang chứa do TSF kiểm\r\nsoát.
\r\n\r\nCác bất ổn hoặc lỗi phần cứng có thể ảnh\r\nhưởng đến dữ liệu đã lưu trong bộ nhớ. Họ này cho các yêu cầu nhằm phát hiện\r\ncác lỗi không định trước này. Sự toàn vẹn của dữ liệu người dùng khi lưu giữ\r\ntrong các thiết bị nhớ do TSF kiểm soát cũng được xét đến trong họ này.
\r\n\r\nĐể tránh cho một chủ thể sửa đổi dữ liệu, các\r\nchức năng kiểm soát luồng tin (FDP_IFF) hoặc các họ chức năng kiểm soát truy\r\nnhập (FDP_ACF) được yêu cầu.
\r\n\r\nHọ này khác với phép vận chuyển TOE nội bộ\r\n(FDP_ITT) là nó bảo vệ dữ liệu người dùng khỏi các lỗi toàn vẹn khi truyền tải\r\ndữ liệu bên trong TOE.
\r\n\r\nF.11.2. FDP_SDI.1 Giám sát toàn vẹn lưu trữ\r\ndữ liệu
\r\n\r\nF.11.2.1. Chú thích cho ứng dụng người sử\r\ndụng
\r\n\r\nThành phần này giám sát các lỗi toàn vẹn cho\r\ndữ liệu đã lưu trong phương tiện lưu trữ. Chủ thể PP/ST có thể chỉ ra các loại\r\nthuộc tính dữ liệu người dùng khác nhau để dùng làm cơ sở cho việc giám sát.
\r\n\r\nF.11.2.2. Các hoạt động
\r\n\r\nF.11.2.2.1. Chỉ định
\r\n\r\nTrong FDP_SDI.1.1, chủ thể PP/ST cần phải chỉ\r\nra các lỗi toàn vẹn mà TSF có thể phát hiện.
\r\n\r\nTrong FDP_SDI.1.1, chủ thể PP/ST cần phải chỉ\r\nra các thuộc tính dữ liệu người dùng có thể sử dụng làm cơ sở cho việc giám\r\nsát.
\r\n\r\nF.11.3. FDP_SDI.2 Giám sát toàn vẹn dữ liệu\r\nlưu trữ và hành động
\r\n\r\nF.11.3.1. Chú thích cho ứng dụng người sử\r\ndụng
\r\n\r\nThành phần này giám sát các lỗi toàn vẹn cho\r\ndữ liệu đã lưu trong phương tiện lưu trữ. Chủ thể PP/ST có thể chỉ ra thao tác\r\nnào cần thực hiện khi phát hiện có lỗi toàn vẹn.
\r\n\r\nF.11.3.2. Các hoạt động
\r\n\r\nF.11.3.2.1. Chỉ định
\r\n\r\nTrong FDP_SDI.2.1, chủ thể PP/ST cần phải chỉ\r\nra các lỗi toàn vẹn mà TSF có thể phát hiện.
\r\n\r\nTrong FDP_SDI.2.1, chủ thể PP/ST cần phải chỉ\r\nra các thuộc tính dữ liệu người dùng có thể sử dụng làm cơ sở cho việc giám\r\nsát.
\r\n\r\nTrong FDP_SDI.2.2, chủ thể PP/ST cần phải chỉ\r\nra các thao tác cần có khi phát hiện có lỗi toàn vẹn.
\r\n\r\nF.12. Bảo vệ vận chuyển bí mật dữ liệu người\r\ndùng-TSF (FDP_UCT)
\r\n\r\nF.12.1. Chú thích cho người sử dụng
\r\n\r\nHọ này xác định các yêu cầu để đảm bảo tính\r\nbí mật của dữ liệu người dùng khi truyền tải qua một kênh bên ngoài giữa TOE và\r\nsản phẩm CNTT tin cậy khác. Tính bí mật cần thực hiện bằng việc cấm khai phá\r\nkhông có thẩm quyền dữ liệu người dùng trong quá trình truyền giữa hai đầu\r\ncuối. Các đầu cuối có thể là một TSF hoặc một người dùng.
\r\n\r\nHọ này cung cấp yêu cầu bảo vệ dữ liệu người\r\ndùng khi truyền tải. Ngược lại, chức năng bí mật của dữ liệu TSF được kết xuất\r\n(FPT_ITC) xử lý dữ liệu TSF.
\r\n\r\nF.12.2. FDP_UCT.1 Bí mật trao đổi dữ liệu cơ\r\nbản
\r\n\r\nF.12.2.1. Chú thích cho ứng dụng người sử\r\ndụng
\r\n\r\nTSF có khả năng bảo vệ dữ liệu người dùng\r\nchống khai phá trong khi chúng được trao đổi.
\r\n\r\nF.12.2.2. Các hoạt động
\r\n\r\nF.12.2.2.1. Chỉ định
\r\n\r\nTrong FDP_UCT.1.1, chủ thể PP/ST cần phải chỉ\r\nrõ các SFP kiểm soát truy nhập và/hoặc các SFP kiểm soát luồng tin cần được\r\nthực hiện khi trao đổi dữ liệu người dùng. Các chính sách đã Chỉ định sẽ được\r\nthực thi để ra quyết định về việc ai có thể trao đổi dữ liệu và dữ liệu nào có\r\nthể được trao đổi.
\r\n\r\nF.12.2.2.2. Phép chọn
\r\n\r\nTrong FDP_UCT.1.1, chủ thể PP/ST cần phải chỉ\r\nrõ phần tử này được áp dụng cho một cơ chế truyền tải hay thu nhận dữ liệu\r\nngười dùng.
\r\n\r\nF.13. Bảo vệ vận chuyển toàn vẹn dữ liệu\r\nngười dùng liên-TSF (FDP_UIT)
\r\n\r\nF.13.1. Chú thích cho người sử dụng
\r\n\r\nHọ này xác định các yêu cầu với việc đảm bảo\r\ntoàn vẹn cho dữ liệu người dùng khi truyền tải giữa TSF và sản phẩm CNTT tin\r\ncậy khác, và khôi phục lại từ các lỗi có thể phát hiện được. Ít nhất, họ này\r\ngiám sát sự toàn vẹn của dữ liệu người dùng chống sự sửa đổi. Ngoài ra, họ này\r\nhỗ trợ các cách khác nhau để sửa các lỗi toàn vẹn đã phát hiện ra.
\r\n\r\nHọ này xác định các yêu cầu đảm bảo toàn vẹn\r\ncho dữ liệu người dùng khi đang truyền, trong khi đó chức năng toàn vẹn dữ liệu\r\nkết xuất TSF (FPT_ITI) xử lý dữ liệu TSF.
\r\n\r\nChức năng bảo vệ truyền tải toàn vẹn dữ liệu\r\nngười dùng liên TSF (FDP_UIT) và bảo vệ truyền tải bí mật dữ liệu người dùng\r\nliên TSF (FDP_UCT) đi đôi với nhau, vì chức năng bảo vệ truyền tải bí mật dữ\r\nliệu người dùng liên TSF (FDP_UCT) xét tính bí mật của dữ liệu người dùng. Bởi\r\nvậy, cơ chế tương tự thực thi bảo vệ truyền tải toàn vẹn dữ liệu người dùng\r\nliên TSF (FDP_UIT) có thể dùng được để thực thi các họ khác như bảo vệ truyền\r\ntải bí mật dữ liệu người dùng liên TSF (FDP_UCT) và họ nhập liệu từ bên ngoài\r\nkiểm soát TSF (FDP_ITC).
\r\n\r\nF.13.2. FDP_UIT.1 Toàn vẹn trao đổi dữ liệu
\r\n\r\nF.13.2.1. Chú thích cho ứng dụng người sử\r\ndụng
\r\n\r\nTSF có khả năng cơ bản là gửi hoặc nhận dữ\r\nliệu người dùng theo cách phát hiện được sự sửa đổi dữ liệu người dùng. Không\r\ncần có yêu cầu nào cho một cơ chế TSF để khôi phục sửa đổi đó.
\r\n\r\nF.13.2.2. Các hoạt động
\r\n\r\nF.13.2.2.1. Chỉ định
\r\n\r\nFDP_UIT.1.1, chủ thể PP/ST cần phải chỉ rõ\r\ncác SFP kiểm soát truy nhập và/hoặc các SFP kiểm soát luồng tin cần được thực\r\nhiện khi truyền hoặc nhận dữ liệu người dùng. Các chính sách đã Chỉ định sẽ\r\nđược thực thi để ra quyết định về việc ai có thể gửi hoặc nhận dữ liệu và dữ\r\nliệu nào có thể được gửi hoặc nhận.
\r\n\r\nF.13.2.2.2. Phép chọn
\r\n\r\nTrong FDP_UIT.1.1, chủ thể PP/ST cần phải chỉ\r\nrõ phần tử này được áp dụng cho một cơ chế truyền tải hay thu nhận các đối\r\ntượng.
\r\n\r\nTrong FDP_UIT.1.1, chủ thể PP/ST cần phải chỉ\r\nrõ dữ liệu cần phải được bảo vệ chống sửa đổi, xóa, chèn hoặc phát lại.
\r\n\r\nTrong FDP_UIT.1.2, chủ thể PP/ST cần phải chỉ\r\nrõ lỗi các kiểu như: sửa đổi, xóa, chèn thêm hay phát lại được phát hiện.
\r\n\r\nF.13.3. FDP_UIT.2 Khôi phục trao đổi dữ liệu\r\ngốc
\r\n\r\nF.13.3.1. Chú thích cho ứng dụng người sử\r\ndụng
\r\n\r\nThành phần này cung cấp khả năng khôi phục từ\r\nmột tập các lỗi truyền đã xác định, nếu cần thiết, sử dụng sự trợ giúp của sản\r\nphẩm CNTT tin cậy khác.
\r\n\r\nDo sản phẩm CNTT tin cậy khác nằm ngoài TSC,\r\nTSF không thể kiểm soát hành vi của nó. Tuy nhiên, nó có thể cung cấp các chức\r\nnăng có khả năng hợp tác với sản phẩm CNTT tin cậy khác để nhằm mục đích khôi\r\nphục. Ví dụ, TSF có thể chứa các chức năng tùy theo nguồn phát sản phẩm CNTT\r\ntin cậy khác để gửi lại dữ liệu khi phát hiện có lỗi xảy ra.
\r\n\r\nThành phần này liên quan đến khả năng TSF xử\r\nlý khôi phục lỗi như vậy.
\r\n\r\nF.13.3.2. Các hoạt động
\r\n\r\nF.13.3.2.1. Chỉ định
\r\n\r\nTrong FDP_UIT.2.1, chủ thể PP/ST cần phải chỉ\r\nrõ các SFP kiểm soát truy nhập và/hoặc các SFP kiểm soát luồng tin cần thực thi\r\nkhi khôi phục dữ liệu. Các chính sách đã Chỉ định sẽ được thực thi để ra quyết\r\nđịnh về việc dữ liệu nào có thể khôi phục và cách thức có thể khôi phục nó.
\r\n\r\nTrong FDP_UIT.2.1, chủ thể PP/ST cần phải chỉ\r\nrõ danh sách các lỗi toàn vẹn mà TSF với sự trợ giúp của nguồn phát sản phẩm\r\nCNTT tin cậy khác có thể khôi phục lại dữ liệu người dùng ban đầu.
\r\n\r\nF.13.4. FDP_UIT.3 Khôi phục trao đổi dữ liệu\r\nđích
\r\n\r\nF.13.4.1. Chú thích cho ứng dụng người sử\r\ndụng
\r\n\r\nThành phần này cung cấp khả năng khôi phục từ\r\nmột tập các lỗi truyền đã xác định. Nó hoàn tất nhiệm vụ mà không cần có sự trợ\r\ngiúp của sản phẩm CNTT tin cậy khác. Ví dụ, nếu phát hiện ra lỗi nào đó, giao\r\nthức truyền tải cần phải đủ mạnh để cho phép TSF khôi phục lại lỗi dựa trên cơ\r\nsở tổng kiểm tra và các thông tin khả dụng khác trong giao thức.
\r\n\r\nF.13.4.2. Các hoạt động
\r\n\r\nF.13.4.2.1. Chỉ định
\r\n\r\nTrong FDP_UIT.3.1, chủ thể PP/ST cần phải chỉ\r\nrõ các SFP kiểm soát truy nhập và/hoặc các SFP kiểm soát luồng tin cần thực thi\r\nkhi khôi phục dữ liệu. Các chính sách đã Chỉ định sẽ được thực thi để ra quyết\r\nđịnh về việc dữ liệu nào có thể khôi phục và cách thức có thể khôi phục nó.
\r\n\r\nTrong FDP_UIT.3.1, chủ thể PP/ST cần phải chỉ\r\nrõ danh sách các lỗi toàn vẹn mà chỉ bản thân TSF nguồn thu có khả năng khôi\r\nphục lại dữ liệu người dùng ban đầu.
\r\n\r\n\r\n\r\n
Một yêu cầu bảo mật thông thường là để xác\r\nnhận rõ người dùng, thực thể các chức năng trong một TOE. Điều này không chỉ là\r\nxác minh định danh yêu cầu của mỗi người mà còn xác nhận mỗi người dùng đó có\r\nthực là người mà họ yêu cầu không. Điều này được thực hiện bằng cách yêu cầu người\r\ndùng cung cấp TSF về một vài thông tin cái mà được biết như là TSF dùng để liên\r\nkết với người dùng trong câu hỏi.
\r\n\r\nCác họ trong lớp này gửi các yêu cầu có chức\r\nnăng để thiết lập và xác minh một định danh người dùng được yêu cầu. Định danh\r\nvà xác thực được yêu cầu để đảm bảo rằng người dùng được liên kết (được trợ\r\ngiúp) với các thuộc tính an toàn thích hợp (vd như định danh, nhóm, quy tắc,\r\nbảo mật hoặc các mức toàn vẹn).
\r\n\r\nViệc định danh rõ ràng của người dùng có thẩm\r\nquyền và sự liên kết (trợ giúp) đúng của các thuộc tính an toàn với người dùng\r\nvà các đối tượng (subject) là điều kiện để áp đặt các chính sách an toàn.
\r\n\r\nHọ định danh người dùng (FIA_UID) thực hiện\r\n(gửi) việc xác định định danh của một người dùng.
\r\n\r\nHọ xác thực người dùng (FIA_UAD) thực hiện\r\nviệc xác thực định danh một người dùng.
\r\n\r\nHọ lỗi xác thực (FIA_AFL) thực hiện việc định\r\nnghĩa hạn chế lặp lại việc thử xác định không thành công.
\r\n\r\nHọ định nghĩa thuộc tính người dùng (FIA_ATD)\r\nthực hiện việc định nghĩa các thuộc tính người dùng mà được sử dụng trong việc\r\nbắt buộc của TSP.
\r\n\r\nHọ ràng buộc đối tượng người dùng (FIA_USB)\r\nthực hiện việc liên kết đúng của các thuộc tính an toàn cho mỗi người dùng có\r\nthẩm quyền.
\r\n\r\nHọ miêu tả các vấn đề bảo mật (FIA_SOS) thực\r\nhiện việc phát sinh và xác minh các vấn đề bảo mật mà thỏa mãn một tập đã định\r\nnghĩa.
\r\n\r\nHình G1 chỉ ra sự tách lớp này thành các\r\nthành phần hợp thành.
\r\n\r\n![](\"00907947_files/image025.jpg\")
G.1. Các lỗi xác thực (FIA_AFL)
\r\n\r\nG.1.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nHọ này gửi những yêu cầu về định nghĩa các\r\ngiá trị đối với việc thử xác thực và các hành động TSF trong trường hợp lỗi thử\r\nxác thực. Các tham số như là số lần thử và ngưỡng thời gian là không hạn chế.
\r\n\r\nTiến trình thiết lập phiên là sự tương tác\r\nvới người dùng để thực thi việc thiết lập phiên độc lập với thực thi hành động.\r\nNếu số lần thử xác thực không thành công vượt quá ngưỡng đã Chỉ định hoặc tài\r\nkhoản người dùng hoặc thiết bị đầu cuối (hoặc cả 2) thì sẽ bị khóa. Nếu tài\r\nkhoản người dùng bị khóa, người dùng không thể đăng nhập vào hệ thống. Nếu\r\nthiết bị đầu cuối bị khóa, thiết bị đầu cuối (hay địa chỉ của thiết bị đó)\r\nkhông được sử dụng cho bất kỳ lần đăng nhập nào. Duy trì cả 2 trường hợp này\r\ncho đến khi thỏa mãn điều kiện lập lại.
\r\n\r\nG.1.2. FIA_AFL.1 Xử lý lỗi xác thực
\r\n\r\nG.1.2.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nTác giả PP/ST có thể định nghĩa số lần thử\r\nxác thực không thành công hoặc có thể chọn để giúp nhà phát triển TOE hoặc\r\nngười dùng có thẩm quyền định nghĩa số này. Việc thử xác thực không thành công\r\nkhông cần phải liên tục, nhưng đúng hơn là có sự liên quan tới một sự kiện xác\r\nthực. Như vậy một sự kiện xác thực có thể được tính toán từ phiên thiết lập\r\nthành công trước ở một thiết bị đầu cuối đã xác định.
\r\n\r\nTác giả PP/ST có thể xác định một danh sách\r\ncác hành động mà TSF sẽ thực thi trong trường hợp lỗi xác thực. Một người quản\r\ntrị có thẩm quyền có thể cũng được phép quản lý các sự kiện, nếu được phép của\r\ntác giả PP/ST. Các sự kiện đó có thể là các hành động: khởi tạo hành động đầu\r\ncuối, khởi tạo tài khoản người dùng hoặc đưa ra cảnh báo với người quản trị.\r\nCác điều kiện dưới trạng thái nào mà sẽ được lưu trữ một cách thông thường phải\r\nđược xác định trên hành động đó.
\r\n\r\nĐể ngăn chặn từ chối dịch vụ, TOE luôn đảm\r\nbảo rằng có ít nhất một tài khoản người dùng không bị khóa.
\r\n\r\nHơn nữa các hành động cho TSF có thể xác định\r\nbởi tác giả PP/ST gồm các quy tắc cho việc khởi tạo lại quy trình thiết lập\r\nphiên người dùng, hoặc gửi một cảnh báo tới người quản trị. Ví dụ các hành động\r\nnày là: cho tới khi thời gian Chỉ định trôi qua, cho tới khi người quản trị có\r\nthẩm quyền kích hoạt lại tài khoản hoặc thiết bị đầu cuối, một lần thử trước đó\r\nbị lỗi (tất cả các lần thử mà bị lỗi, 2 lần liên tiếp ngắt kích hoạt).
\r\n\r\nG.1.2.2. Các hoạt động
\r\n\r\nG.1.2.2.1. Chỉ định
\r\n\r\nTrong FIA_AFL.1.1, tác giả PP/ST nên chọn\r\nhoặc là gán một số nguyên hoặc cụm từ sau "Người quản trị nhập số nguyên\r\ndương" và đưa ra dải giá trị chấp nhận được.
\r\n\r\nG.1.2.2.2. Chỉ định
\r\n\r\nTrong FIA_AFL.1.1, tác giả PP/ST nên chỉ rõ\r\ncác sự kiện xác thực. Ví dụ các sự kiện xác thực này là: việc thử xác thực\r\nkhông thành công kể từ xác thực thành công cuối cùng đối với định danh người\r\ndùng đã chỉ ra, các lần thử xác thực không thành công kể từ xác thực thành công\r\ncuối cùng cho thiết bị đầu cuối hiện tại, số lần thử xác thực không thành công\r\ntrong 10 phút vừa qua. Có ít nhất một sự kiện xác thực phải được xác định.
\r\n\r\nTrong FIA_AFL.1.1, nếu việc gán số nguyên\r\ndương mà được chọn, tác giả PP/ST xác định số mặc định (số nguyên dương) của\r\nlần thử xác thực không thành công, khi bằng hoặc lớn hơn, cái mà sẽ gây ra các\r\nsự kiện.
\r\n\r\nTrong FIA_AFL.1.1, nếu một người quản trị\r\nkhai báo số nguyên dương là được chọn, tác giả PP/ST nên xác định dải giá trị\r\nchấp nhận được từ cái mà người quản trị của TOE có thể khai báo số lần thử xác\r\nthực không thành công. Số lần thử xác thực nên ít hơn hoặc bằng giá trị cận\r\ntrên và lớn hơn hoặc bằng giá trị cận dưới.
\r\n\r\nTrong FIA_AFL.1.2, tác giả PP/ST nên xác định\r\ncác hành động để thực thi trong trường hợp bằng hoặc lớn hơn ngưỡng. Các hành\r\nđộng này có thể sẽ khóa tài khoản trong 5 phút, khóa thiết bị đầu cuối cho một\r\nlần tăng (2 hoặc nhiều hơn số lần thử không thành công trong 1 giây), hoặc khóa\r\ntài khoản cho tới khi bị khóa bởi người quản trị và khai báo đồng thời tới\r\nngười quản trị. Các hành động nên xác định phép đo và nếu khoảng đo là thích\r\nhợp (hoặc cận dưới của phép đo).
\r\n\r\nG.1.2.2.3. Phép chọn
\r\n\r\nTrong FIA_AFL.1.2, tác giả PP/ST cần chọn\r\nhoặc sự kiện gặp gỡ hoặc vượt quá số lượng đã xác định các thử xác thực không\r\nthành công sẽ thúc đẩy TSF thao tác.
\r\n\r\nG.1.2.2.4. Chỉ định
\r\n\r\nTrong FIA_AFL.1.2, tác giả PP/ST cần chỉ rõ\r\ncác thao tác được thực hiện trong trường hợp ngưỡng được đáp ứng hoặc bị vượt\r\nquá hoặc được lựa chọn. Các thao tác này có thể bị vô hiệu hóa trong 5 giây, vô\r\nhiệu giới hạn số lần gia tăng (2 mũ số lần thử không thành công tính theo\r\ngiây), hoặc vô hiệu tài khoản đến khi quản trị mở khóa và đồng thời thông báo\r\nvới quản trị.
\r\n\r\nCác thao tác cần chỉ rõ các biện pháp và nếu\r\ncó thể áp dụng thì là khoảng thời gian của biện pháp (hoặc các điều kiện trong\r\nđó các biện pháp nào sẽ kết thúc).
\r\n\r\nG.2. Định nghĩa thuộc tính người dùng\r\n(FIA_ATD)
\r\n\r\nG.2.1. Chú thích cho người sử dụng
\r\n\r\nTất cả người dùng có thẩm quyền có thể có một\r\ntập các thuộc tính an toàn, không phải là định danh người dùng, mà nó được dùng\r\nđể bắt buộc các SFR. Họ này định nghĩa các yêu cầu cho việc liên kết các thuộc\r\ntính an toàn người dùng với các người dùng mà cần để trợ giúp TSF trong việc ra\r\nquyết định an toàn.
\r\n\r\nCó sự phụ thuộc vào các định nghĩa chính sách\r\nan toàn riêng biệt. Những định nghĩa riêng này nên chứa danh sách các thuộc\r\ntính mà cần thiết cho việc bắt buộc chính sách.
\r\n\r\nG.2.2. Xác định thuộc tính người dùng\r\nFIA_ATD.1
\r\n\r\nG.2.2.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nThành phần này xác định các thuộc tính an\r\ntoàn mà nên được duy trì tại mức của người dùng. Điều này có nghĩa là các thuộc\r\ntính an toàn đã liệt kê được gán và có thể được thay đổi tại mức người dùng.\r\nBên cạnh đó, việc thay đổi thuộc tính an toàn trong danh sách này liên kết với\r\nmột người dùng không nên có ảnh hưởng tới các thuộc tính an toàn của bất kỳ\r\nngười dùng khác.
\r\n\r\nTrong trường hợp các thuộc tính an toàn thuộc\r\nvề nhóm các người dùng (như là danh sách các khả năng đối với một nhóm), người\r\ndùng sẽ cần có một tham chiếu (như thuộc tính an toàn) tới nhóm có liên quan.
\r\n\r\nG.2.2.2. Các hoạt động
\r\n\r\nG.2.2.2.1. Chỉ định
\r\n\r\nTrong FIA_ATD.1.1, tác giả PP/ST nên xác định\r\ncác thuộc tính an toàn mà được liên kết tới một người dùng riêng. Ví dụ như một\r\ndanh sách là {"thông hành", "định danh nhóm",\r\n"quyền"}.
\r\n\r\nG.3. Đặc tả các bí mật (FIA_SOS)
\r\n\r\nG.3.1. Chú thích cho người sử dụng
\r\n\r\nHọ này định nghĩa các yêu cầu đối với các cơ\r\nchế mà bắt buộc tập đặc tính đã xác định trên các vấn đề bảo mật đã được cung\r\ncấp, và phát sinh vấn đề bảo mật để thỏa mãn tập đã xác định. Ví dụ như các cơ\r\nchế có thể bao gồm việc kiểm tra mật khẩu người dùng tự động, hoặc sự phát sinh\r\nmật khẩu tự động.
\r\n\r\nMột vấn đề bảo mật có thể được phát sinh bên\r\nngoài TOE (vd được chọn bởi người dùng và được giới thiệu trong hệ thống). Như\r\ntrong trường hợp, việc xác minh thành phần bảo mật FIA_SOS.1 có thể được sử\r\ndụng để đảm bảo rằng vấn đề bảo mật được phát sinh mở rộng tham gia tới các\r\nchuẩn nhất định, ví dụ một kích cỡ tối thiểu có thể không được sử dụng trước đó\r\nmà không xuất hiện trong từ điển.
\r\n\r\nVấn đề bảo mật cũng có thể được sinh bởi TOE.\r\nTrong trường hợp đó, sự phát sinh thành phần bảo mật FIA_SOS.2 TSF có thể được\r\nsử dụng để yêu cầu TOE đảm bảo rằng các vấn đề bảo mật sẽ tham gia tới một vài\r\ntập đã xác định.
\r\n\r\nCác vấn đề bảo mật chứa dữ liệu xác thực cung\r\ncấp bởi người dùng cho cơ chế xác thực mà được dựa trên hiểu biết chủ động của\r\nngười dùng. Khi khóa mật mã được áp dụng, lớp FCS: việc trợ giúp mật mã nên\r\nđược sử dụng thay cho họ này.
\r\n\r\nG.3.2. Thẩm tra các bí mật FIA_SOS.1
\r\n\r\nG.3.2.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nCác vấn đề bảo mật có thể được phát sinh bởi\r\nngười dùng. Thành phần này đảm bảo rằng các vấn đề phát sinh bởi người dùng đó\r\ncó thể được xác minh theo tập đặc tính nhất định.
\r\n\r\nG.3.2.2. Các hoạt động
\r\n\r\nG.3.2.2.1. Chỉ định
\r\n\r\nTrong FIA_SOS.1.1, tác giả PP/ST nên cung cấp\r\nmột tập đặc tính đã xác định. Việc xác định tập đặc tính có thể đơn giản như\r\nviệc miêu tả việc kiểm tra đặc tính được thực hiện, hoặc thông dụng như một\r\ntham chiếu tới chuẩn mà một quốc gia công bố để định nghĩa tập đặc tính mà các\r\nvấn đề bảo mật phải tuân theo. Ví dụ tập đặc tính có thể bao gồm một miêu tả\r\ncấu trúc bảng chữ cái của các vấn đề bảo mật được chấp nhận và/hoặc khoảng\r\nkhông gian mà các vấn đề bảo mật có thể chấp nhận phải tuân theo.
\r\n\r\nG.3.3. FIA_SOS Tạo các bí mật TSF
\r\n\r\nG.3.3.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nThành phần này cho phép TSF phát sinh các vấn\r\nđề bảo mật cho chức năng đặc trưng như là xác thực bằng mật khẩu.
\r\n\r\nKhi nào thì bộ phát sinh số ngẫu nhiên được\r\nsử dụng trong một thuật tính toán phát sinh bảo mật, nên chấp nhận nó như đầu\r\nvào là số ngẫu nhiên mà đầu ra là một kết quả hoàn toàn không thể đoán trước.\r\nDữ liệu ngẫu nhiên này có thể nhận được từ một số tham số sẵn sàng như đồng hồ\r\nhệ thống, đăng ký hệ thống, ngày, thời gian… Các tham số nên được chọn để đảm\r\nbảo rằng số dữ liệu duy nhất có thể phát sinh từ đầu vào này nên là ít hơn hoặc\r\nbằng số tối thiểu vấn đề bảo mật phải được phát sinh.
\r\n\r\nG.3.3.2. Các hoạt động
\r\n\r\nG.3.3.2.1. Chỉ định
\r\n\r\nTrong FIA_SOS.2.1, tác giả PP/ST nên cung cấp\r\nmột tập đặc tính đã xác định. Việc xác định tập đặc tính có thể đơn giản như\r\nmiêu tả sự kiểm tra đặc tính để thực hiện hoặc thông thường như tham chiếu tới\r\nchuẩn quốc gia mà định nghĩa các tập đặc tính các vấn đề bảo mật phải tuân\r\ntheo. Ví dụ tập đặc tính có thể bao gồm một miêu tả cấu trúc bảng chữ cái về\r\ncác vấn đề bảo mật chấp nhận được và/hoặc không gian mà các vấn đề bảo mật chấp\r\nnhận phải tuân theo.
\r\n\r\nTrong FIA_SOS.2.2, tác giả PP/ST nên cung cấp\r\nmột danh sách các chức năng TSF cho cái mà vấn đề phát sinh TSF phải được sử\r\ndụng. Ví dụ như chức năng có thể bao gồm một mật khẩu dựa trên cơ chế xác thực.
\r\n\r\nG.4. Xác thực người dùng (FIA_UAU)
\r\n\r\nG.4.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nHọ này định nghĩa các kiểu cơ chế xác thực\r\nngười dùng được trợ giúp bởi TSF. Họ này định nghĩa các thuộc tính yêu cầu trên\r\ncái mà cơ chế xác thực người dùng dựa vào.
\r\n\r\nG.4.2. FIA_UAU.1 Định thời cho xác thực
\r\n\r\nG.4.2.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nThành phần này yêu cầu rằng tác giả PP/ST\r\nđịnh nghĩa các hành động trung gian TSF có thể được thực thi bởi TSF thay cho\r\nngười dùng trước khi định danh yêu cầu của người dùng được xác thực. Các hành\r\nđộng trung gian TSF không có khái niệm bảo mật với người dùng một cách sai để\r\nđịnh danh chúng ưu tiên hơn việc xác thực. Đối với tất cả các hành động trung\r\ngian TSF không nằm trong danh sách, người dùng phải được xác thực trước khi\r\nhành động được thực thi bởi TSF thay cho người dùng.
\r\n\r\nThành phần này không thể điều khiển mặc dù\r\ncác hành động có thể thực thi trước khi thực hiện phần định danh. Điều này yêu\r\ncầu sử dụng hoặc thời gian định danh FIA_UID.1 và định danh người dùng\r\nFIA_UID.2 trước khi có bất kỳ hành động với chỉ định thích hợp.
\r\n\r\nG.4.2.2. Các hoạt động
\r\n\r\nG.4.2.2.1. Chỉ định
\r\n\r\nTrong FIA_UAU.1.1, tác giả PP/ST nên xác định\r\ndanh sách các hành động trung gian TSF mà có thể thực thi bởi TSF thay cho\r\nngười dùng trước khi định danh yêu cầu của người dùng được xác thực. Danh sách\r\nnày có thể không rỗng. Nếu không hành động nào là thích hợp, thành phần xác\r\nthực người dùng trong FIA_UAU.2 trước khi có bất kỳ hành động nào nên được sử\r\ndụng để thay thế. Một ví dụ như hành động có thể bao gồm yêu cầu trợ giúp thủ\r\ntục đăng nhập.
\r\n\r\nG.4.3. FIA_UAU.2 Xác thực người dùng trước\r\nkhi hành động
\r\n\r\nG.4.3.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nThành phần này yêu cầu người dùng được xác thực\r\ntrước khi bất kỳ hành động trung gian TSF có thể thực hiện thay cho người dùng\r\nđó.
\r\n\r\nG.4.4. FIA_UAU.3 Xác thực không thể giả mạo
\r\n\r\nG.4.4.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nThành phần này gửi các yêu cầu cho cơ chế để\r\ncung cấp việc bảo vệ dữ liệu xác thực. Dữ liệu xác thực được chép từ người\r\nkhác, hoặc bằng cách xây dựng nên được bảo vệ hoặc bị từ chối. Các cơ chế này\r\ncung cấp sự tin tưởng cái mà người dùng xác thực bởi TSF thực sự là người mà họ\r\nyêu cầu.
\r\n\r\nThành phần này chỉ sử dụng được với cơ chế\r\nxác thực dựa trên xác thực dữ liệu mà không thể chia sẻ (ví dụ như sinh học).\r\nTSF có thể bảo vệ hoặc ngăn chặn việc chia sẻ mật khẩu bên ngoài điều khiển TSF\r\nmột cách dễ dàng.
\r\n\r\nG.4.4.2. Các hoạt động
\r\n\r\nG.4.4.2.1. Phép chọn
\r\n\r\nTrong FIA_UAU.3.1, tác giả PP/ST nên xác định\r\nnơi TSF sẽ tìm thấy, ngăn chặn, hoặc bảo vệ và ngăn chặn việc giả mạo của xác\r\nthực dữ liệu.
\r\n\r\nTrong FIA_UAU.3.2, tác giả PP/ST nên xác định\r\nnơi TSF sẽ dò tìm, ngăn chặn, hoặc bảo vệ và ngăn chặn việc sao chép xác thực\r\ndữ liệu.
\r\n\r\nG.4.5. FIA_UAU.4 Các cơ chế sử dụng xác thực\r\nđơn
\r\n\r\nG.4.5.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nThành phần này gửi các yêu cầu cho cơ chế xác\r\nthực dựa trên dữ liệu sử dụng xác thực đơn. Dữ liệu sử dụng xác thực đơn có thể\r\nlà một vài thứ mà người dùng có hoặc biết chứ không phải thứ mà người dùng là\r\nnó. Ví dụ dữ liệu sử dụng xác thực đơn bao gồm sử dụng mật khẩu đơn, thời gian\r\nmã hóa, và/hoặc số ngẫu nhiên tra cứu từ bảng bảo mật.
\r\n\r\nTác giả PP/ST có thể xác định cơ chế xác thực\r\nnào mà yêu cầu này áp dụng.
\r\n\r\nG.4.5.2. Các hoạt động
\r\n\r\nG.4.5.2.1. Chỉ định
\r\n\r\nTrong FIA_UAU.4.1, tác giả PP/ST nên xác định\r\ndanh sách các cơ chế xác thực tới cái mà yêu cầu này áp dụng. Chỉ định này có\r\nthể là "tất cả các cơ chế xác thực". Ví dụ chỉ định này có thể là\r\n"cơ chế xác thực ứng dụng tới người xác thực bên mạng ngoài".
\r\n\r\nG.4.6. FIA_UAU.5 Cơ chế đa xác thực
\r\n\r\nG.4.6.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nSử dụng thành phần này cho phép xác định các\r\nyêu cầu cho hơn một cơ chế xác thực được sử dụng với TOE. Đối với mỗi cơ chế\r\nlọc, các yêu cầu ứng dụng phải được chọn từ FIA: Lớp định danh và xác thực được\r\nứng dụng tới từng cơ chế. Cùng thành phần có thể được chọn nhiều lần để phản\r\nánh các yêu cầu khác nhau cho việc sử dụng cơ chế xác thực khác nhau.
\r\n\r\nCác chức năng quản lý trong lớp FMT có thể\r\ncung cấp các khả năng duy trì cho tập các cơ chế xác thực, như là các vai trò\r\nxác định nơi việc xác thực thành công.
\r\n\r\nCho phép người dùng nặc danh tương tác với TOE,\r\nmột cơ chế xác thực "không" có thể là được hợp nhất. Sử dụng truy cập\r\nnên được giải thích rõ ràng trong các vai trò của FIA_UAU.5.2.
\r\n\r\nG.4.6.2. Các hoạt động
\r\n\r\nG.4.6.2.1. Chỉ định
\r\n\r\nTrong FIA_UAU.5.1, tác giả PP/ST nên định\r\nnghĩa cơ chế xác thực có thể dùng được. Một ví dụ danh sách có thể là:\r\n"không, cơ chế mật khẩu, sinh học (quét võng mạc), cơ chế S/key".
\r\n\r\nTrong FIA_UAU.5.2, tác giả PP/ST nên xác định\r\ncác vai trò miêu tả cơ chế xác thực cung cấp việc xác thực như thế nào và mỗi\r\ncơ chế được sử dụng khi nào. Điều này có nghĩa là phải miêu tả mỗi vị trí của\r\ntập cơ chế mà có thể được sử dụng cho việc xác thực người dùng. Một ví dụ danh\r\nsách các vai trò là: "nếu người dùng có quyền sử dụng cả hai cơ chế mật\r\nkhẩu đặc biệt và một cơ chế sinh học, thành công khi cả hai thành công; đối với\r\ntất cả người dùng khác cơ chế mật khẩu sẽ được sử dụng".
\r\n\r\nTác giả PP/ST có thể đưa ra các biên cái mà\r\nngười quản trị có thẩm quyền có thể xác định các vai trò riêng biệt. Một ví dụ\r\nvề vai trò là: "người dùng luôn phải được xác thực bởi phương pháp thẻ\r\nbài; người quản trị có thể định rõ việc thêm các cơ chế xác thực được sử\r\ndụng". Tác giả PP/ST không những phải chọn để xác định biên bất kỳ mà còn\r\nbỏ hoàn toàn cơ chế xác thực và vai trò của chúng cho người quản trị có thẩm\r\nquyền.
\r\n\r\nG.4.7. FIA_UAU.6 Xác thực lại
\r\n\r\nG.4.7.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nThành phần này gửi các nhu cầu tiềm năng để\r\nxác thực lại người dùng tại thời điểm được định nghĩa. Cái này có thể bao gồm\r\ncác yêu cầu người dùng đối với TSF để thực thi các hành động liên quan đến bảo\r\nmật, giống như các yêu cầu từ thực thể mà không có TSF cho việc xác thực lại\r\n(ví dụ máy chủ ứng dụng yêu cầu TSF xác thực lại máy khác mà nó phục vụ).
\r\n\r\nG.4.7.2. Các hoạt động
\r\n\r\nG.4.7.2.1. Chỉ định
\r\n\r\nTrong FIA_UAU.6.1, tác giả PP/ST nên xác định\r\ndanh sách các điều kiện yêu cầu xác thực lại. Danh sách này có thể bao gồm\r\nkhoảng thời gian không thao tác của một người dùng xác định, người dùng yêu cầu\r\nmột sự thay đổi trong thao tác của các thuộc tính an toàn, hoặc người dùng yêu\r\ncầu TSF thực thi một vài chức năng giới hạn an toàn.
\r\n\r\nTác giả PP/ST có thể đưa ra các biên nơi mà\r\nviệc xác thực lại có thể xuất hiện và việc xác định cho người quản trị có thẩm\r\nquyền. Một ví dụ về vai trò là: "người dùng luôn phải được xác thực lại ít\r\nnhất một lần trong ngày; người quản trị có thể chỉ rõ việc xác thực lại nên xảy\r\nra thường xuyên hơn chứ không phải là một lần trong 10 phút".
\r\n\r\nG.4.8. FIA_UAU.7 Phản hồi xác thực có bảo vệ
\r\n\r\nG.4.8.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nThành phần này gửi phản hồi trong tiến trình\r\nxác thực cái mà sẽ cung cấp tới người dùng. Trong một vài hệ thống phản hồi bao\r\ngồm chỉ dẫn nhiều ký tự được gõ như thế nào nhưng không chỉ ra các ký tự đó,\r\ntrong hệ thống khác thậm chí thông tin này có thể là không thích hợp.
\r\n\r\nThành phần này yêu cầu dữ liệu xác thực là\r\nkhông được cung cấp như là việc phản hồi tới người dùng. Trong môi trường máy\r\ntrạm, nó có thể hiển thị một "ký tự thay thế" (chẳng hạn như ký tự\r\nsao) cho mỗi ký tự mật khẩu, và không phải là ký tự thực.
\r\n\r\nG.4.8.2. Các hoạt động
\r\n\r\nG.4.8.2.1. Chỉ định
\r\n\r\nTrong FIA_UAU.7.1, tác giả PP/ST nên xác định\r\nviệc phản hồi liên quan tới quy trình xác thực cái mà sẽ được cung cấp tới\r\nngười dùng. Ví dụ về một sự phản hồi chỉ định là "số ký tự được gõ",\r\nkiểu phản hồi khác là "cơ chế xác thực gây lỗi xác thực".
\r\n\r\nG.5. Định danh người dùng (FIA_UID)
\r\n\r\nG.5.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nHọ này định nghĩa các điều kiện cái mà người\r\ndùng được yêu cầu để định danh chúng trước khi thực thi bất kỳ các hành động\r\nnào khác được làm trung gian bởi TSF và yêu cầu định danh người dùng
\r\n\r\nG.5.2. FIA_UID.1 Định thời cho định danh
\r\n\r\nG.5.2.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nThành phần này đưa ra các yêu cầu cho người\r\ndùng để được định danh. Tác giả PP/ST có thể chỉ rõ các hành động có thể được\r\nthực thi trước khi việc định danh xảy ra.
\r\n\r\nNếu thời gian định danh FIA_UID.1 được sử\r\ndụng, các hành động trung gian TSF đề cập trong Thời gian định danh FIA_UID.1\r\ncũng nên xuất hiện trong thời gian xác thực FIA_UID.1 này.
\r\n\r\nG.5.2.2. Các hoạt động
\r\n\r\nG.5.2.2.1. Chỉ định
\r\n\r\nTrong FIA_UID.1.1, tác giả PP/ST nên xác định\r\ndanh sách các hành động trung gian TSF mà có thể được thực thi bởi TSF thay cho\r\nngười dùng trước khi người dùng phải định danh. Nếu không có hành động nào\r\nthích hợp, thành phần định danh người dùng FIA_UID.2 trước khi có bất kỳ hành\r\nđộng nào được sử dụng thay thế. Một ví dụ như một hành động có thể bao gồm yêu\r\ncầu cho trợ giúp quá trình đăng nhập.
\r\n\r\nG.5.3. FIA_UID.2 Định danh người dùng trước\r\nkhi hành động
\r\n\r\nG.5.3.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nTrong thành phần này người dùng sẽ được định danh.\r\nMột người dùng không được phép bởi TSF để thực thi bất kỳ hành động nào trước\r\nkhi định danh.
\r\n\r\nG.6. Liên kết chủ thể - người dùng (FIA_USB)
\r\n\r\nG.6.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nMột người dùng được xác thực để sử dụng TOE,\r\nđặc biệt là hành động một đối tượng. Các thuộc tính an toàn người dùng là được\r\nliên kết với đối tượng này (toàn bộ hoặc một phần). Họ này định nghĩa các yêu\r\ncầu để tạo và duy trì sự liên kết của các thuộc tính an toàn người dùng để đối\r\ntượng thao tác trên quyền của người dùng.
\r\n\r\nG.6.2. FIA_USB.1 Liên kết chủ thể - người\r\ndùng
\r\n\r\nG.6.2.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nCâu "hành động thay cho" chứng tỏ\r\nđể là một phát hành liên tiếp trong nguồn tiêu chuẩn. Muốn nói rằng một đối\r\ntượng là hành động thay cho người dùng người mà gây ra đối tượng thuộc về hoặc\r\nđược hành động để thực thi một nhiệm vụ xác định.
\r\n\r\nQua đó, khi một đối tượng được tạo ra, đối\r\ntượng đó đang hành động thay cho người dùng mà khởi tạo việc tạo. Trong nhiều\r\ntrường hợp nơi mà tình trạng giả mạo được sử dụng, đối tượng vẫn thao tác thay\r\ncho người dùng, nhưng định danh của người dùng đó là không được biết. Một chủ\r\nđề đặc biệt của đối tượng là các đối tượng đó phục vụ nhiều người dùng (ví dụ\r\nmột tiến trình tại máy chủ). Trong nhiều trường hợp người dùng tạo đối tượng này\r\nđược thừa nhận để là "người sở hữu".
\r\n\r\nG.6.2.2. Các hoạt động
\r\n\r\nG.6.2.2.1. Chỉ định
\r\n\r\nTrong FIA_USB.1.1, tác giả PP/ST nên xác định\r\ndanh sách các thuộc tính an toàn người dùng mà được giới hạn tới các đối tượng.
\r\n\r\nTrong FIA_USB.1.2, tác giả PP/ST nên xác định\r\nbất kỳ các vai trò mà được áp dụng lên sự liên kết khởi tạo của các thuộc tính\r\nvới các đối tượng, hoặc "không".
\r\n\r\nTrong FIA_USB.1.3, tác giả PP/ST nên xác định\r\nbất kỳ các vai trò nào mà được áp dụng khi thay đổi được tạo ra để các thuộc\r\ntính an toàn người dùng liên kết với các đối tượng hành động thay cho người\r\ndùng hoặc "không".
\r\n\r\nLớp này xác định việc quản lý một vài lĩnh\r\nvực của TSF: các thuộc tính an toàn, dữ liệu TSF và các chức năng trong TSF.\r\nCác vai trò quản lý khác nhau và sự tương tác của chúng cũng có thể được xác\r\nđịnh, như là sự phân tách khả năng.
\r\n\r\nTrong môi trường nơi TOE được tạo ra từ nhiều\r\nphần vật lý riêng biệt mà hình thức một hệ thống phân tán, thời gian tranh luận\r\nvới mối liên quan để lan truyền các thuộc tính an toàn, dữ liệu TSF, và sự thay\r\nđổi chức năng trở nên rất phức tạp, đặc biệt nếu thông tin được yêu cầu để thay\r\nthế một phần của TOE. Cái này nên được quan tâm khi lựa chọn các thành phần như\r\nsự thu hồi FMT_REV.1, hoặc quyền hạn thời gian FMT_SAE.1, nơi cơ chế là bị suy\r\nyếu. Trong trường hợp, sử dụng các thành phần từ bên trong TOE TSF bao gồm cả\r\nsự thay thế dữ liệu (FPT_TRG) là thích hợp.
\r\n\r\nHình H.1 chỉ ra sự phân tách của lớp này vào\r\ntrong các thành phần hợp thành của nó.
\r\n\r\n![](\"00907947_files/image026.jpg\")
H.1. Quản lý các chức năng trong TSF\r\n(FMT_MOF)
\r\n\r\nH.1.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nCác chức năng quản lý TSF sẵn sàng với người\r\ndùng có thẩm quyền để cài đặt và điều khiển thao tác bảo mật của TOE. Các chức\r\nnăng quản trị này đặc biệt là một trong số các chủ đề khác nhau như sau:
\r\n\r\na) Các chức năng quản lý liên quan tới điều\r\nkhiển truy cập, tính toán và điều khiển xác thực bắt buộc bởi TOE. Ví dụ, định\r\nnghĩa và cập nhật các thuộc tính an toàn người dùng (ví dụ định danh duy nhất\r\nliên quan tới tên người dùng, tài khoản người dùng, tham số nhập hệ thống) hoặc\r\nđịnh nghĩa và cập nhật kiểm toán điều khiển hệ thống (ví dụ sự lựa chọn các sự\r\nkiện kiểm toán, quản lý vết kiểm toán, phân tích vết kiểm toán, và sinh báo cáo\r\nkiểm toán), định nghĩa và cập nhật các thuộc tính chính sách người dùng (như\r\nxóa người dùng), định nghĩa các tên điều khiển truy cập hệ thống được biết,\r\nđiều khiển và quản lý người dùng.
\r\n\r\nb) Các chức năng quản lý liên quan tới tính\r\nsẵn sàng điều khiển. Ví dụ, định nghĩa và cập nhật các tham số sẵn sàng hoặc\r\nhạn ngạch nguồn tài nguyên.
\r\n\r\nc) Các chức năng quản lý mà liên quan tới sự\r\ncài đặt và cấu hình chung. Ví dụ cấu hình TOE, khôi phục thủ công, cài đặt cố\r\nđịnh an toàn TOE (nếu có thể), sửa và cài đặt lại phần cứng.
\r\n\r\nd) Các chức năng quản lý mà liên quan tới\r\nđiều khiển công việc lặp đi lặp lại và duy trì nguồn tài nguyên TOE. Ví dụ, bật\r\nvà tắt thiết bị phần cứng, lắp thiết bị lưu trữ ngoài, lưu trữ và khôi phục đối\r\ntượng.
\r\n\r\nChú ý rằng các chức năng này cần được thể\r\nhiện trong TOE dựa trên các họ bao gồm trong PP hoặc ST. Trách nhiệm của tác\r\ngiả PP/ST để đảm bảo rằng các chức năng tương ứng sẽ được cung cấp để quản lý\r\nTOE một cách an toàn.
\r\n\r\nTSF có thể chứa các chức năng mà có thể được\r\nđiều khiển bởi người quản trị. Ví dụ, tắt các chức năng kiểm toán, bật đồng bộ\r\nthời gian, và thay đổi cơ chế xác thực.
\r\n\r\nH.1.2. FMT_MOF.1 Các cơ chế hoạt động của\r\nquản lý chức năng an toàn
\r\n\r\nH.1.2.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nThành phần này cho phép các vai trò đã định\r\ndanh để quản lý các chức năng an toàn của TSF. Điều này có thể thu được trạng\r\nthái hiện tại của chức năng an toàn, bật hoặc tắt chức năng an toàn, hoặc thay\r\nđổi cơ chế của chức năng an toàn. Ví dụ thay đổi cơ chế của các chức năng an\r\ntoàn là thay đổi cơ chế xác thực.
\r\n\r\nH.1.2.2. Các hoạt động
\r\n\r\nH.1.2.2.1. Phép chọn
\r\n\r\nTrong FMT_MOF.1.1, tác giả PP/ST nên chọn vai\r\ntrò có thể xác định cơ chế tắt hoặc ẩn và thay đổi cơ chế của các chức năng an\r\ntoàn.
\r\n\r\nH.1.2.2.2. Chỉ định
\r\n\r\nTrong FMT_MOF.1.1, tác giả PP/ST nên xác định\r\ncác chức năng mà có thể được thay đổi bởi các vai trò định danh. Ví dụ bao gồm\r\nkiểm toán và xác định thời gian.
\r\n\r\nTrong FMT_MOF.1.1, tác giả PP/ST nên xác định\r\ncác vai trò mà được phép thay đổi các chức năng trong TSF. Các vai trò có thể\r\nđược xác định trong các vai trò an toàn FMT_SMR.1.
\r\n\r\nH.2. Quản lý các thuộc tính an toàn (FMT_MSA)
\r\n\r\nH.2.1.Chú thích cho người sử dụng
\r\n\r\nHọ này định nghĩa các yêu cầu trong việc quản\r\nlý các thuộc tính an toàn.
\r\n\r\nCác thuộc tính an toàn ảnh hưởng hành vi của\r\nTSF. Các mẫu thuộc tính an toàn là một nhóm mà người dùng thuộc vào đó, vai trò\r\nmà anh ta cảm nhận, quyền ưu tiên của một quá trình (chủ thể), và các quyền\r\nthuộc về một vai trò hoặc một người dùng. Các thuộc tính an toàn này có thể cần\r\nđược quản lý bởi người dùng, một chủ thể, một người dùng được cấp quyền cụ thể\r\n(người dùng với các quyền nhất định đối với việc quản lý này) hoặc các giá trị\r\nđược tiếp nhận theo một chính sách hoặc một tập hợp các quy tắc nhất định.
\r\n\r\nLưu ý rằng quyền gán cho người dùng là thuộc\r\ntính an toàn của nó và đối tượng tiềm năng để quản lý bởi việc quản lư các\r\nthuộc tính an toàn FMT_MSA.1.
\r\n\r\nCác thuộc tính an toàn FMT_MSA.2 có thể được\r\ndùng để đảm bảo rằng bất kỳ sự kết hợp của các thuộc tính an toàn được chấp\r\nnhận là một trạng thái an toàn. Định nghĩa "đảm bảo an toàn" có nghĩa\r\nlà gì, có trong hướng dẫn TOE.
\r\n\r\nTrong một vài trường hợp các đối tượng, các\r\nđối tượng hoặc tài khoản người dùng được tạo. Nếu các giá trị đưa ra là không\r\nrõ ràng cho các thuộc tính an toàn liên quan khi đó các giá trị mặc định cần\r\nđược sử dụng. Quản lý các thuộc tính an toàn FMT_MSA.1 có thể được sử dụng để\r\nđịnh rõ quản lý các giá trị mặc định này được quản lý.
\r\n\r\nH.2.2. FMT_MSA.1 Quản lý các thuộc tính an\r\ntoàn
\r\n\r\nH.2.2.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nThành phần này cho phép người dùng thao tác\r\ntrong các vai trò đó để quản lý các thuộc tính an toàn đã định danh. Người dùng\r\nđược gán một vai trò trong thành phần các vai trò an toàn FMT_SMR.1.
\r\n\r\nGiá trị mặc định của tham số là giá trị tham\r\nsố có được khi nó xảy ra mà không có các giá trị được gán chính xác. Một giá\r\ntrị khởi tạo được cung cấp trong khi khởi tạo một tham số, và chèn giá trị mặc\r\nđịnh.
\r\n\r\nH.2.2.2. Các hoạt động
\r\n\r\nH.2.2.2.1. Chỉ định
\r\n\r\nTrong FMT_MSA.1.1, tác giả PP/ST nên liệt kê\r\ntruy cập điều khiển SFP hoặc điều khiển luồng thông tin SFP cho các thuộc tính\r\nan toàn nào được áp dụng.
\r\n\r\nH.2.2.2.2. Phép chọn
\r\n\r\nTrong FMT_MSA.1.1, tác giả PP/ST nên xác định\r\ncác thao tác có thể được áp dụng tới các thuộc tính an toàn đã định danh. Tác\r\ngiả PP/ST có thể xác định vai trò có thể thay đổi giá trị mặc định\r\n(thay_đổi_mặc_định), yêu cầu, thay đổi thuộc tính an toàn, xóa hoàn toàn các\r\nthuộc tính an toàn hoặc định nghĩa thao tác của chúng.
\r\n\r\nH.2.2.2.3. Chỉ định
\r\n\r\nTrong FMT_MSA.1.1, tác giả PP/ST nên xác định\r\ncác thuộc tính an toàn mà có thể thao tác bởi các vai trò đã định danh. Dễ dàng\r\ncho tác giả PP/ST để xác định giá trị mặc định như là quyền truy cập mặc định\r\ncó thể được quản lý. Ví dụ của các thuộc tính an toàn này là xóa người dùng, độ\r\nưu tiên mức dịch vụ, danh sách điều khiển truy cập, quyền truy cập mặc định.
\r\n\r\nTrong FMT_MSA.1.1, tác giả PP/ST nên xác định\r\ncác vai trò mà được phép thao tác trên các thuộc tính an toàn. Các vai trò có\r\nthể là được xác định trong các vai trò an toàn FMT_SMR.1.
\r\n\r\nTrong FMT_MSA.1.1, nếu lựa chọn, tác giả\r\nPP/ST nên xác định các thao tác khác nào mà vai trò có thể thực thi. Ví dụ như\r\nmột thao tác có thể được tạo ra.
\r\n\r\nH.2.3. FMT_MSA.2 Đảm bảo các thuộc tính an\r\ntoàn
\r\n\r\nH.2.3.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nThành phần này chứa các yêu cầu về các giá\r\ntrị có thể được gán tới các thuộc tính an toàn. Các giá trị được gán như là TOE\r\nsẽ còn lại trong trạng thái an toàn.
\r\n\r\nSự định nghĩa "đảm bảo an toàn" là\r\ngì là không có câu trả lời trong thành phần này nhưng có thể thấy trong sự phát\r\ntriển của TOE và các thông tin kết quả trong hướng dẫn. Ví dụ có thể là nếu một\r\ntài khoản người dùng được tạo, nó có thể có một mật khẩu không tầm thường.
\r\n\r\nH.2.3.2. Các hoạt động
\r\n\r\nH.2.3.2.1. Chỉ định
\r\n\r\nTrong FMT_MSA.2.1, tác giả PP/ST cần chỉ rõ\r\ndanh sách các thuộc tính an toàn mà yêu cầu chỉ cung cấp các giá trị đảm bảo an\r\ntoàn.
\r\n\r\nH.2.4. FMT_MSA.3 Khởi tạo thuộc tính tĩnh
\r\n\r\nH.2.4.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nThành phần này yêu cầu TSF cung cấp các giá\r\ntrị mặc định cho các thuộc tính an toàn của đối tượng thích hợp, cái mà có thể\r\nđược ghi đè lên bởi giá trị khởi tạo. Nó vẫn có thể cho một đối tượng mới để có\r\ncác thuộc tính an toàn khác khi tạo, nếu có một cơ chế tồn tại để xác định các\r\nquyền khi tạo.
\r\n\r\nH.2.4.2. Các hoạt động
\r\n\r\nH.2.4.2.1. Chỉ định
\r\n\r\nTrong FMT_MSA.3.1, tác giả PP/ST nên liệt kê\r\nđiều khiển truy cập SFP hoặc điều khiển luồng thông tin SFP cho cái mà các\r\nthuộc tính an toàn áp dụng.
\r\n\r\nH.2.4.2.2. Phép chọn
\r\n\r\nTrong FMT_MSA.3.2, tác giả PP/ST nên chọn tài\r\nsản ngầm định các thuộc tính kiểm soát truy cập sẽ bị hạn chế, cho phép hay là\r\ntài sản khác. Chỉ một trong các tùy chọn này được chọn.
\r\n\r\nH.2.4.2.3. Chỉ định
\r\n\r\nTrong FMT_MSA.3.1, nếu tác giả PP/ST chọn tài\r\nsản khác, thì tác giả PP/ST cần chỉ rõ các đặc tính của các giá trị mặc định.
\r\n\r\nTrong FMT_MSA.3.2, tác giả PP/ST nên chỉ rõ\r\nnhững vai trò được phép sửa đổi các giá trị của các thuộc tính an toàn. Các vai\r\ntrò có thể được chỉ rõ trong các vai trò An toàn FMT_SMR.1.
\r\n\r\nH.2.5. FMT_MSA Kế thừa giá trị thuộc tính an\r\ntoàn
\r\n\r\nH.2.5.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nThành phần này yêu cầu đặc tính của tập hợp\r\ncác quy tắc thông qua đó thuộc tính an toàn thừa kế các giá trị và các điều\r\nkiện được đáp ứng cho các quy tắc được áp dụng.
\r\n\r\nH.2.5.2. Các hoạt động
\r\n\r\nH.2.5.2.1. Chỉ định
\r\n\r\nTrong FMT_MSA.4.1, tác giả PP/ST chỉ rõ các\r\nquy tắc điều hành giá trị mà sẽ được thừa kế bởi thuộc tính an toàn xác định,\r\ngồm các điều kiện mà có thể đáp ứng đối với các quy tắc được áp dụng. Ví dụ, nếu\r\nmột tệp mới hoặc đường dẫn được tạo (trong một hệ thống tệp đa cấp), nhãn hiệu\r\ncủa nó là nhãn hiệu mà tại đó người dùng đăng nhập đúng lúc nó tạo ra.
\r\n\r\nH.3. Quản lý dữ liệu TSF (FMT_MTD)
\r\n\r\nH.3.1. Chú thích cho người sử dụng
\r\n\r\nThành phần này áp đặt các yêu cầu lên việc\r\nquản lý dữ liệu TSF. Ví dụ dữ liệu TSF là lần hiện thời và vết kiểm toán. Vì\r\nvậy, ví dụ, họ này cho phép việc xác định người nào có thể đọc, xóa, hoặc tạo\r\nvết kiểm toán.
\r\n\r\nH.3.2. FMT_MTD.1 Quản lý dữ liệu TSF
\r\n\r\nH.3.2.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nThành phần này cho phép người dùng với một\r\nvai trò nào đó để quản lý các giá trị dữ liệu TSF. Người dùng được gán tới một\r\nvai trò bên trong thành phần các vai trò an toàn FMT_SMR.1.
\r\n\r\nGiá trị mặc định của một tham số là các giá\r\ntrị tham số tạo ra khi mà nó không được gán các giá trị xác định. Một giá trị\r\nkhởi tạo được cung cấp trong suốt quá trình khởi tạo của tham số và ghi chèn\r\nlên giá trị mặc định.
\r\n\r\nH.3.2.2. Các hoạt động
\r\n\r\nH.3.2.2.1. Phép chọn
\r\n\r\nTrong FMT_MTD.1.1, tác giả PP/ST nên xác định\r\ncác thao tác mà có thể được áp dụng tới dữ liệu TSF định danh. Tác giả PP/ST có\r\nthể xác định vai trò có thể thay đổi giá trị mặc định (thay_đổi_mặc_định), xóa,\r\nhỏi hay thay đổi dữ liệu TSF, hoặc xóa hoàn toàn dữ liệu TSF. Nếu được yêu cầu\r\ntác giả PP/ST có thể xác định bất kỳ kiểu thao tác nào. Để lọc "dữ liệu\r\nTSF sạch" có nghĩa là nội dung của dữ liệu TSF sẽ bị xóa hẳn, nhưng thực\r\nthể mà lưu trữ dữ liệu TSF thì vẫn còn trong TOE.
\r\n\r\nH.3.2.2.2. Chỉ định
\r\n\r\nTrong FMT_MTD.1.1, tác giả PP/ST nên xác định\r\ndữ liệu TSF có thể được thao tác dựa trên các vai trò định danh. Dễ dàng cho\r\ntác giả PP/ST xác định giá trị mặc định có thể được quản lý.
\r\n\r\nTrong FMT_MTD.1.1, tác giả PP/ST nên xác định\r\ncác vai trò được phép tạo trên dữ liệu TSF. Các vai trò có thể được xác định\r\ntrong các vai trò an toàn FMT_SMR.1.
\r\n\r\nTrong FMT_MTD.1.1, nếu được chọn, tác giả\r\nPP/ST nên xác định vai trò có thể thực thi trên các thao tác khác nào. Ví dụ có\r\nthể là "tạo".
\r\n\r\nH.3.3. FMT_MTD.2 Quản lý hạn chế trên dữ liệu\r\nTSF
\r\n\r\nH.3.3.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nThành phần này xác định sự hạn chế trên dữ\r\nliệu TSF, và các hành động có thể được tạo ra nếu sự hạn chế này là bị vượt\r\nquá. Thành phần này, ví dụ, sẽ cho phép sự hạn chế kích cỡ vết kiểm toán được\r\nđịnh nghĩa, và xác định các hành động được tạo ra khi sự hạn chế này là bị vượt\r\nquá.
\r\n\r\nH.3.3.2. Các hoạt động
\r\n\r\nH.3.3.2.1. Chỉ định
\r\n\r\nTrong FMT_MTD.2.1, tác giả PP/ST nên xác định\r\ndữ liệu TSF có thể có sự hạn chế, và giá trị của sự hạn chế đó. Ví dụ như dữ\r\nliệu TSF là số người dùng đăng nhập.
\r\n\r\nTrong FMT_MTD.2.1, tác giả PP/ST nên xác định\r\ncác vai trò mà được phép thay đổi sự hạn chế trên dữ liệu TSF và các hành động\r\nđược thực hiện. Các vai trò có thể là được xác định trong các vai trò an toàn\r\nFMT_SMR.1.
\r\n\r\nTrong FMT_MTD.2.2, tác giả PP/ST nên xác định\r\ncác hành động được thực hiện nếu hạn chế được xác định trên dữ liệu TSF xác\r\nđịnh là bị vượt quá. Ví dụ như hành động TSF khai báo người dùng có thẩm quyền\r\nvà phát sinh bản ghi kiểm toán.
\r\n\r\nH.3.4. FMT_MTD.3 Dữ liệu TSF an toàn
\r\n\r\nH.3.4.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nThành phần này bao gồm các yêu cầu các giá\r\ntrị mà có thể được gán tới dữ liệu TSF. Các giá trị được gán nên như là TOE vẫn\r\ncòn trong trạng thái an toàn.
\r\n\r\nĐịnh nghĩa "đảm bảo an toàn" có\r\nnghĩa là gì không được trả lời trong thành phần này nhưng có trong sự phát\r\ntriển của TOE và thông tin kết quả trong hướng dẫn.
\r\n\r\nH.3.4.2. Các hoạt động
\r\n\r\nH.3.4.2.1. Chỉ định
\r\n\r\nTrong FMT_MTD.3.1 tác giả PP/ST cần chỉ rõ dữ\r\nliệu TSF nào yêu cầu chỉ các giá trị đảm bảo an toàn được chấp nhận.
\r\n\r\nH.4. Hủy bỏ (FMT_REV)
\r\n\r\nH.4.1. Chú thích cho người sử dụng
\r\n\r\nHọ này gửi sự thu hồi các thuộc tính an toàn\r\ncho một vài thực thể bên trong TOE.
\r\n\r\nH.4.2. FMT_REV.1 Hủy bỏ
\r\n\r\nH.4.2.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nThành phần này xác định các yêu cầu trong\r\nviệc thu hồi các quyền. Nó yêu cầu việc xác định các vai trò thu hồi. Ví dụ:
\r\n\r\nSự thu hồi sẽ chiếm không gian trên lần đăng\r\nnhập sau của người dùng;
\r\n\r\nSự thu hồi sẽ chiếm không gian trên việc thử\r\nmở tài liệu đó trong lần sau;
\r\n\r\nSự thu hồi sẽ chiếm không gian trong một lần\r\ncố định. Cái này có nghĩa rằng tất cả kết nối mở là được đánh giá lại trong mỗi\r\nphút.
\r\n\r\nH.4.2.2. Các thao tác
\r\n\r\nH.4.2.2.1. Phép chọn
\r\n\r\nTrong FMT_REV.1.1, tác giả PP/ST nên chỉ rõ\r\ncác thuộc tính an toàn nào sắp bị thu hồi khi có thay đổi với các đối tượng,\r\nchủ thể, người dùng, các tài nguyên khác liên kết.
\r\n\r\nH.4.2.2.2. Phép chọn
\r\n\r\nTrong FMT_REV.1.1, tác giả PP/ST nên chỉ rõ\r\nkhả năng thu hồi các thuộc tính an toàn từ người dùng, các chủ thể, đối tượng,\r\nhoặc bất cứ tài nguyên bổ sung nào do TSF cung cấp hay không.
\r\n\r\nH.4.2.2.3. Chỉ định
\r\n\r\nTrong FMT_REV.1.1, tác giả PP/ST nên xác định\r\ncác vai trò mà được phép thay đổi các chức năng trong TSF. Các vai trò có thể\r\nđược xác định trong các vai trò an toàn FMT_SMR.1.
\r\n\r\nTrong FMT_REV.1.1, nếu thêm nguồn tài nguyên\r\nđược lựa chọn, tác giả PP/ST nên xác định hay không khả năng thu hồi các thuộc\r\ntính an toàn của chúng sẽ được cung cấp bởi TSF.
\r\n\r\nTrong FMT_REV.1.2, tác giả PP/ST nên xác định\r\ncác vai trò thu hồi. Ví dụ các vai trò này có thể bao gồm: "ưu tiên thao\r\ntác tiếp theo trên nguồn tài nguyên liên quan" hoặc "cho tất cả việc\r\ntạo đối tượng mới".
\r\n\r\nH.5. Hết hạn thuộc tính an toàn (FMT_SAE)
\r\n\r\nH.5.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nHọ này gửi các chức năng để bắt buộc sự hạn\r\nchế thời gian cho tính hợp lệ của các thuộc tính an toàn. Họ này có thể được áp\r\ndụng để xác định các yêu cầu tới hạn cho các thuộc tính điều khiển truy cập,\r\ncác thuộc tính định danh và xác thực, chứng chỉ (chứng chỉ khóa như ANSI X509\r\nlà một ví dụ), các thuộc tính kiểm toán,…
\r\n\r\nH.5.2. FMT_SAE.1 Cấp phép hạn chế thời gian
\r\n\r\nH.5.2.1. Các hoạt động
\r\n\r\nH.5.2.1.1. Chỉ định
\r\n\r\nTrong FMT_SAE.1.1, tác giả PP/ST nên cung cấp\r\ndanh sách các thuộc tính an toàn cho sự tới hạn nào được trợ giúp. Ví dụ như\r\nmột thuộc tính phải là khoảng an toàn của người dùng.
\r\n\r\nTrong FMT_SAE.1.1, tác giả PP/ST nên xác định\r\ncác vai trò mà được phép để thay đổi các thuộc tính an toàn trong TSF. Các vai\r\ntrò có thể được xác định trong các vai trò an toàn FMT_SMR.1.
\r\n\r\nTrong FMT_SAE.1.2, tác giả PP/ST nên cung cấp\r\nmột danh sách các hành động để thực hiện cho mỗi thuộc tính an toàn khi nó hết\r\nhạn. Một ví dụ có thể là khoảng trống an toàn của người dùng, khi nó hết hạn,\r\nđược thiết lập khoảng trống cho phép thấp nhất trên TOE. Nếu việc thu hồi ngay\r\nlập tức được yêu cầu bởi PP/ST, hành động "việc thu hồi ngay lập tức"\r\nnên được xác định.
\r\n\r\nH.6. Đặc tả các chức năng quản lý (FMT_SMF)
\r\n\r\nH.6.1. Chú thích cho người sử dụng
\r\n\r\nHọ này cho phép sự xác định các chức năng\r\nquản lý được cung cấp bởi TOE. Mỗi chức năng quản lý an toàn không những là\r\nđược liệt kê trong việc thi hành chỉ định mà còn là quản lý thuộc tính an toàn,\r\nquản lý dữ liệu TSF, hoặc quản lý chức năng an toàn.
\r\n\r\nH.6.2. FMT_SMF.1 Định rõ các chức năng quản\r\nlý
\r\n\r\nH.6.2.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nThành phần này xác định các chức năng quản lý\r\nđể được cung cấp.
\r\n\r\nTác giả PP/ST nên đưa ra kết quả mệnh đề miêu\r\ntả "quản lý" cho các thành phần bao gồm trong PP/ST của chúng để cung\r\ncấp cơ bản cho các chức năng quản lý được liệt kê qua thành phần này.
\r\n\r\nH.6.2.2. Các hoạt động
\r\n\r\nH.6.2.2.1. Chỉ định
\r\n\r\nTrong FMT_SMF.1.1, tác giả PP/ST nên xác định\r\ncác chức năng quản lý được cung cấp bởi TSF, hoặc quản lý thuộc tính an toàn,\r\nquản lý dữ liệu an toàn TSF, hoặc quản lý chức năng an toàn.
\r\n\r\nH.7. Các quy tắc quản lý an toàn (FMT_SMR)
\r\n\r\nH.7.1. Chú thích cho người sử dụng
\r\n\r\nHọ này giảm khả năng kết quả làm hỏng từ\r\nngười sử dụng quyền của họ bằng cách thực thi các hành động bên ngoài sự phản\r\nhồi chức năng được gán cho họ. Nó cũng gửi đi luồng mà cơ chế không tương xứng\r\nđược cung cấp để quản trị an toàn tới TSF.
\r\n\r\nHọ này yêu cầu thông tin được duy trì định\r\ndanh người dùng nào có thẩm quyền để sử dụng một chức năng quản trị liên quan\r\nđến an toàn.
\r\n\r\nMột vài hành động quản lý có thể được thực\r\nthi bởi người dùng, còn lại thực hiện bởi người được Chỉ định với tổ chức. Họ\r\nnày cho phép định nghĩa các vai trò khác nhau, như là quyền sở hữu, quyền biên\r\nsoạn, quyền quản trị, quản lý hàng ngày.
\r\n\r\nCác vai trò này được sử dụng trong họ này là\r\ncác vai trò liên quan đến an toàn. Mỗi vai trò có thể bao gồm một tập mở rộng\r\ncác khả năng (vd như thư mục gốc trong UNIX), hoặc có thể là một quyền đơn lẻ\r\n(ví dụ quyền đọc một đối tượng đơn như là tài liệu tra cứu).
\r\n\r\nHọ này định nghĩa các vai trò. Các khả năng\r\ncủa vai trò được định nghĩa trong quản lý các chức năng trong TSF (EMT_MOF),\r\nquản lý các thuộc tính an toàn (FMT_MSA) và quản lý dữ liệu TSF (FMT_MTD).
\r\n\r\nMột vài kiểu vai trò có thể là loại trừ lẫn\r\nnhau. Ví dụ quản lý hàng ngày có thể là được định nghĩa và người dùng thao tác,\r\nnhưng không thể xóa người dùng (Cái nào là vai trò đảo ngược tới người quản\r\ntrị). Lớp này sẽ cho phép các chính sách như là điều khiển 2 người được xác\r\nđịnh.
\r\n\r\nH.7.2. FMT_SMR.1 Các quy tắc an toàn
\r\n\r\nH.7.2.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nThành phần này xác định các vai trò khác mà\r\nTSF nên công nhận. Thông thường hệ thống lọc ra sự khác nhau giữa người quản lý\r\nthực thể, người quản trị và người dùng khác.
\r\n\r\nH.7.2.2. Các hoạt động
\r\n\r\nH.7.2.2.1. Chỉ định
\r\n\r\nTrong FMT_SMR.1.1, tác giả PP/ST nên xác định\r\ncác vai trò mà được thừa nhận bởi hệ thống. Có các vai trò mà người dùng làm\r\nxuất hiện để đánh giá về an toàn. Ví dụ: quyền sở hữu, quyền soạn thảo và quyền\r\nquản trị.
\r\n\r\nH.7.3. FMT_SMR.2 Hạn chế về các vai trò an\r\ntoàn
\r\n\r\nH.7.3.1. Chú thích ứng dụng cho người sử dụng
\r\n\r\nThành phần này xác định các vai trò khác mà\r\nTSF nên thừa nhận, và các điều kiện trên các vai trò đó được quản lý như thế\r\nnào. Thông thường hệ thống lọc ra được sự khác nhau giữa người sở hữu thực thể,\r\nnhà quản trị và người dùng khác.
\r\n\r\nCác điều kiện trên các vai trò đó xác định\r\nmối liên hệ giữa các vai trò khác như là sự hạn chế trên khi vai trò có thể\r\nđược thừa nhận bởi người dùng.
\r\n\r\nH.7.3.2. Các hoạt động
\r\n\r\nH.7.3.2.1. Chỉ định
\r\n\r\nTrong FMT_SMR.2.1, tác giả PP/ST nên xác định\r\ncác vai trò mà được thừa nhận bởi hệ thống. Có các vai trò mà người dùng làm\r\nxuất hiện để đánh giá về vấn đề an toàn. Ví dụ: người sở hữu, nhà soạn thảo,\r\nnhà quản trị.
\r\n\r\nTrong FMT_SMR.2.3, tác giả PP/ST nên xác định\r\ncác điều kiện mà ảnh hưởng chỉ định các vai trò. Ví dụ các điều kiện này là:\r\n"một tài khoản không thể có cả 2 vai trò soạn thảo và quản trị" hoặc\r\n"một người dùng liên quan tới vai trò sở hữu".
\r\n\r\nH.7.4. FMT_SMR.3 Chỉ định các vai trò
\r\n\r\nH.7.4.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nThành phần này xác định một yêu cầu rõ ràng\r\nphải được đưa ra để thừa nhận vai trò xác định.
\r\n\r\nH.7.4.2. Các hoạt động
\r\n\r\nH.7.4.2.1. Chỉ định
\r\n\r\nTrong FMT_SMR.3.1, tác giả PP/ST nên xác định\r\ncác vai trò mà yêu cầu rõ ràng là được công nhận.
\r\n\r\nVí dụ: Soạn thảo và quản trị.
\r\n\r\n\r\n\r\n
Lớp này mô tả các yêu cầu có thể thu thập\r\nnhằm thỏa mãn các nhu cầu riêng tư của người dùng, trong khi đó vẫn cho phép hệ\r\nthống mềm dẻo như có thể được để duy trì việc kiểm soát thỏa đáng hoạt động của\r\nhệ thống.
\r\n\r\nTrong các thành phần của lớp này có sự linh\r\nhoạt về việc người dùng có thẩm quyền hay không được thể hiện bởi các chức năng\r\nan toàn cần thiết. Ví dụ, một tác giả PP/ST có thể xem xét phù hợp về việc có\r\ncần bảo vệ tính riêng tư của các người dùng đối với một người dùng có thẩm\r\nquyền phù hợp.
\r\n\r\nLớp này cùng với các lớp khác (ví dụ các lớp\r\nliên quan đến kiểm toán, kiểm soát truy nhập, tuyến tin cậy, hoặc không chối\r\nbỏ) cung cấp độ mềm dẻo trong xác định hành vi riêng tư. Mặt khác, các yêu cầu\r\ntrong lớp này có thể ẩn chứa các giới hạn về việc sử dụng các thành phần của\r\ncác lớp khác, ví dụ như FIA: Nhận dạng và Xác thực hoặc FAU: Kiểm toán an toàn.\r\nLấy ví dụ, nếu người dùng có thẩm quyền không được phép xem danh tính người\r\ndùng (ví dụ Nặc danh hoặc Biệt hiệu), rõ ràng là không thể duy trì các người\r\ndùng cá nhân có trách nhiệm cho mọi hành động liên quan đến an toàn mà họ thực\r\nhiện thể hiện các nhu cầu riêng tư. Tuy nhiên, vẫn có thể đặt các yêu cầu kiểm\r\ntoán trong một PP/ST, trong đó một sự kiện liên quan đến an toàn cụ thể xảy ra\r\nquan trọng hơn là biết xem ai là người chịu trách nhiệm đối với nó.
\r\n\r\nThông tin bổ sung được cung cấp trong lưu ý\r\nứng dụng cho lớp FAU: Kiểm toán an toàn, trong đó giải thích về định nghĩa của\r\n"Danh tính" trong ngữ cảnh kiểm toán có thể cũng là một bí danh hoặc\r\ncác thông tin các có thể định danh một người dùng.
\r\n\r\nLớp này mô tả 4 họ: Nặc danh, Biệt hiệu, Tính\r\nkhông thể kết nối và Tính không thể quan sát. Nặc danh, Biệt hiệu, Tính không\r\nthể kết nối có quan hệ liên kết phức tạp. Khi chọn một họ, sự chọn lựa nên tùy\r\nthuộc vào các mối đe dọa xác định. Đối với một số kiểu đe dọa tính riêng tư,\r\nbiệt hiệu (Pseudonymity) sẽ là phù hợp hơn Nặc danh (ví dụ nếu như có yêu cầu\r\nkiểm toán). Ngoài ra, một số kiểu đe dọa tính riêng tư được ngăn chặn tốt nhất\r\nbằng tổ hợp các thành phần từ một số họ.
\r\n\r\nTất cả các họ đều giả thiết rằng một người\r\ndùng không thực hiện rõ ràng một hành động làm lộ danh tính bản thân họ. Ví dụ,\r\nTSF không dự kiến giám sát tên người dùng trong các bản tin điện tử hoặc cơ sở\r\ndữ liệu.
\r\n\r\nTất cả các họ trong lớp này đều có các thành\r\nphần có thể thấy được thông qua các thao tác. Các thao tác này cho phép tác giả\r\nPP/ST định rõ các người dùng/chủ thể phối hợp mà TSF phải đối mặt. Một ví dụ về\r\nthể hiện của Nặc danh có thể là: "TSF cần phải đảm bảo rằng các người dùng\r\nvà/hoặc chủ thể cần không thể xác định ra danh tính người dùng trong phạm vi\r\nứng dụng tư vấn từ xa".
\r\n\r\nLưu ý rằng TSF nên không chỉ quy định việc\r\nbảo vệ chống lại các người dùng riêng lẻ, mà còn phải chống lại việc các người\r\ndùng phối hợp nhằm nhận được thông tin.
\r\n\r\nHình I.1 chỉ ra sự phân tách lớp này thành\r\nnhững thành phần hợp thành.
\r\n\r\n![](\"00907947_files/image027.jpg\")
I.1. Nặc danh (FPR_ANO)
\r\n\r\nI.1.1. Chú thích cho người sử dụng
\r\n\r\nNặc danh đảm bảo rằng một chủ thể có thể sử\r\ndụng một tài nguyên hoặc dịch vụ mà không lộ danh tính người dùng nó.
\r\n\r\nMục đích của họ này là chỉ rõ ra một người\r\ndùng hoặc chủ thể có thể thực hiện hành động mà không hé lộ danh tính người\r\ndùng cho các người dùng, chủ thể và các đối tượng khác. Họ này cung cấp cho tác\r\ngiả PP/ST một phương tiện để nhận dạng tập các người dùng không có khả năng\r\nđịnh danh ra một ai đó đang thực hiện những hành động xác định.
\r\n\r\nDo vậy, nếu một chủ thể, sử dụng nặc danh,\r\nthực hiện một hành động, một chủ thể khác sẽ không thể xác định danh tính hoặc\r\nthậm chí cả sự tham chiếu tới danh tính của người dùng đang chiếm dụng chủ thể\r\nđó. Nặc danh tập trung vào việc bảo vệ danh tính của người dùng, không tập\r\ntrung vào bảo vệ danh tính chủ thể; do đó, danh tính của các chủ thể không\r\ntránh được việc bị tiết lộ.
\r\n\r\nMặc dù danh tính của chủ thể không bị đưa ra\r\ncho các chủ thể hay người dùng khác, nhưng TSF không bị ngăn cấm rõ ràng việc\r\nlấy được danh tính người dùng. Trong trường hợp TSF không được phép biết danh\r\ntính của người dùng, FPR_ANO.2 Nặc danh không kèm thông tin yêu cầu sẽ có thể\r\nsử dụng. Trong trường hợp đó, TSF đó không cần yêu cầu thông tin người dùng.
\r\n\r\nGiải nghĩa từ "xác định" nên được\r\nxem xét theo nghĩa rộng nhất của từ…
\r\n\r\nPhân mức thành phần phân biệt giữa người dùng\r\nvà người dùng có thẩm quyền. Một người dùng có thẩm quyền thường bị loại trừ\r\nkhỏi thành phần, và do đó, được phép gọi danh tính của người dùng. Tuy nhiên,\r\nkhông có yêu cầu đặc biệt về việc người dùng có thẩm quyền phải có khả năng xác\r\nđịnh danh tính người dùng. Đối với tính riêng tư cao nhất, các thành phần được\r\nsử dụng để chỉ rằng không có người dùng hay người dùng được cấp quyền nào có\r\nkhả năng xem được danh tính của bất kì ai khi đang thực hiện một hành động nào\r\nđó.
\r\n\r\nMặc dù một số hệ thống sẽ quy định tính nặc\r\ndanh cho tất cả các dịch vụ mà nó đưa ra, các hệ thống còn lại quy định tính\r\nnặc danh cho một số các chủ thể/hoạt động. Để cung cấp khả năng linh hoạt này,\r\nmột hoạt động được đưa vào khi định nghĩa phạm vi cho yêu cầu. Nếu tác giả\r\nPP/ST muốn đề cập đến tất cả các chủ thể/hoạt động, các từ "tất cả các chủ\r\nthể/hoạt động" cần được quy định.
\r\n\r\nCác ứng dụng có thể có, bao gồm khả năng tạo\r\nra truy vấn có tính mật tới cơ sở dữ liệu công cộng, phản hồi các điều tra điện\r\ntử, hoặc thanh toán hay đóng góp mang tính nặc danh.
\r\n\r\nCác ví dụ về những người dùng hay các chủ thể\r\nthù địch tiềm ẩn là những nhà cung cấp, vận hành hệ thống, các đối tác truyền\r\nthông và những người dùng có ý lén đưa những phần mềm độc hại (ví dụ như Trojan\r\nHorses) vào hệ thống. Tất cả những người dùng này có thể thẩm tra cách thức sử\r\ndụng (ví dụ, ai đã sử dụng dịch vụ gì) và lạm dụng thông tin này.
\r\n\r\nI.1.2. FPR_ANO.1 Nặc danh
\r\n\r\nI.1.2.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nThành phần này đảm bảo rằng danh tính của một\r\nngười dùng được bảo vệ chống bị lộ. Tuy nhiên, có thể có những trường hợp một\r\nngười dùng có thẩm quyền cho trước có thể xác định ra ai đã thực hiện một số\r\nhành động nhất định nào đó. Thành phần này có khả năng linh hoạt bắt giữ một\r\nhoặc toàn bộ chính sách riêng tư.
\r\n\r\nI.1.2.2. Các hoạt động
\r\n\r\nI.1.2.2.1. Chỉ định
\r\n\r\nTrong FPR_ANO.1.1, tác giả PP/ST nên định rõ\r\ntập các người dùng và/hoặc chủ thể mà TSF cần phải bảo vệ. Ví dụ, ngay cả khi\r\ntác giả PP/ST chỉ rõ một vai trò người dùng riêng lẻ hoặc một chủ thể, TSF phải\r\nkhông chỉ bảo vệ chống lại từng người hoặc chủ thể đơn lẻ, mà còn phải bảo vệ\r\ntrước sự phối hợp của nhiều người dùng và/hoặc chủ thể. Ví dụ, một tập các\r\nngười dùng có thể tạo một nhóm người dùng và có thể hoạt động với cũng một vai\r\ntrò hoặc có thể cũng sử dụng một hoặc nhiều tiến trình.
\r\n\r\nTrong FPR_ANO.1.1, tác giả PP/ST nên định ra\r\ndanh sách các người dùng và/hoặc chủ thể và/hoặc đối tượng mà danh tính người\r\ndùng thật của chủ thể cần được bảo vệ, ví dụ "ứng dụng bỏ phiếu".
\r\n\r\nI.1.3. FPR_ANO.2 Nặc danh không có thông tin\r\nníu kéo
\r\n\r\nI.1.3.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nThành phần này đảm bảo rằng TSF không được\r\nphép biết danh tính người dùng.
\r\n\r\nI.1.3.2. Các hoạt động
\r\n\r\nI.1.3.2.1. Chỉ định
\r\n\r\nTrong FPR_ANO.2.1, tác giả PP/ST nên định rõ\r\ntập các người dùng và/hoặc chủ thể mà TSF cần phải bảo vệ. Ví dụ, ngay cả khi\r\ntác giả PP/ST chỉ rõ một vai trò người dùng riêng lẻ hoặc một chủ thể, TSF phải\r\nkhông chỉ bảo vệ chống lại từng người dùng hoặc chủ thể đơn lẻ, mà còn phải bảo\r\nvệ trước sự phối hợp của nhiều người dùng và/hoặc chủ thể. Ví dụ, một tập các\r\nngười dùng có thể tạo một nhóm người dùng và có thể hoạt động với cũng một vai\r\ntrò hoặc có thể cũng sử dụng một hoặc nhiều tiến trình.
\r\n\r\nTrong FPR_ANO.2.1, tác giả PP/ST nên định\r\ndanh ra danh sách các người dùng và/hoặc chủ thể và/hoặc đối tượng mà danh tính\r\nngười dùng thật của chủ thể cần được bảo vệ, ví dụ "ứng dụng bỏ\r\nphiếu".
\r\n\r\nTrong FPR_ANO.2.2, tác giả PP/ST nên định\r\ndanh ra danh sách các dịch vụ ràng buộc với yêu cầu nặc danh, ví dụ "truy\r\ncập các thông tin về công việc".
\r\n\r\nTrong FPR_ANO.2.2, tác giả PP/ST nên định ra\r\ndanh sách các chủ thể cần được bảo vệ danh tính người dùng thật của chủ thể cần\r\nđược bảo vệ, khi các dịch vụ xác định được cung cấp.
\r\n\r\nI.2. Biệt danh (FPR_PSE)
\r\n\r\nI.2.1. Chú thích cho người sử dụng
\r\n\r\nBiệt hiệu đảm bảo rằng một người dùng có thể\r\nsử dụng một tài nguyên hoặc dịch vụ mà không lộ danh tính người dùng nó, song\r\nvẫn phải chịu trách nhiệm về việc sử dụng. Người dùng có thể chịu trách nhiệm\r\nthông qua việc liên quan trực tiếp đến một bí danh tham chiếu lưu trong TSF,\r\nhoặc qua việc cung cấp một bí danh được dùng cho các mục đích xử lý, ví dụ một\r\nsố tài khoản.
\r\n\r\nTrong một vài khía cạnh, biệt hiệu giống với\r\nnặc danh. Cả biệt hiệu giống và nặc danh đều bảo vệ cho danh tính của người\r\ndùng, nhưng trong biệt hiệu mỗi tham chiếu đến danh tính người dùng được duy\r\ntrì đối với trách nhiệm giải trình hoặc các mục đích khác.
\r\n\r\nThành phần biệt hiệu FPR_PSE.1 không chỉ rõ\r\ncác yêu cầu về tham chiếu tới danh tính người dùng. Đối với mục đích chỉ rõ các\r\nyêu cầu về tham chiếu này có 2 tập yêu cầu: Biệt hiệu nghịch đảo FPR_PSE.2 và\r\nBiệt hiệu bí danh FPR_PSE.3.
\r\n\r\nMột cách để sử dụng tham chiếu là khả năng\r\nđược danh tính người dùng nguyên gốc. Ví dụ, trong môi trường tiền điện tử, có\r\nthuận lợi là có thể dò tìm ra danh tính người dùng khi tấm séc được phát hành\r\nra nhiều lần (tức là có gian lận). Nhìn chung, danh tính người dùng cần được\r\ngọi ra trong các điều kiện cụ thể. Tác giả PP/ST có thể muốn kết hợp biệt hiệu\r\nnghịch đảo được FPR_PSE.2 để mô tả các dịch vụ này.
\r\n\r\nCách sử dụng khác của tham chiếu là dùng một\r\nbí danh cho mỗi người dùng. Ví dụ, người dùng nào không muốn bị nhận dạng, có\r\nthể cung cấp một tài khoản với việc tính phí sử dụng tài nguyên. Trong những\r\ntrường hợp như vậy, tham chiếu đến danh tính người dùng là bí danh cho người\r\ndùng đó, còn những người dùng hay chủ thể khác có thể sử dụng bí danh để thực\r\nthi các chức năng của họ mà không cần danh tính người dùng (ví dụ, các hoạt\r\nđộng thống kê về việc sử dụng hệ thống). Trong trường hợp này, tác giả PP/ST có\r\nthể mong muốn kết hợp biệt hiệu bí danh FPR_PSE.3 để chỉ rõ các quy tắc mà tham\r\nchiếu phải tuân thủ theo.
\r\n\r\nNhờ sử dụng các cấu trúc ở trên, tiền điện tử\r\ncó thể được tạo ra với biệt hiệu nghịch đảo được FPR_PSE.2 chỉ rõ danh tính\r\nngười dùng sẽ được bảo vệ và, nếu được chỉ ra trong điều kiện là sẽ có một yêu\r\ncầu dò tìm ra danh tính người dùng nếu tiền điện tử được lấy ra 2 lần. Khi\r\nngười dùng trung thực, thì danh tính người dùng được bảo vệ, nếu người dùng tìm\r\ncách lừa đảo, thì danh tính sẽ bị truy dò ra.
\r\n\r\nMột loại khác của hệ thống có thể là một thẻ\r\ntín dụng điện tử, nơi người dùng sẽ cung cấp một biệt hiệu để chỉ báo tài khoản\r\ntừ tiền mặt có thể bị trừ. Trong những trường hợp như thế, ví dụ, FPR_PSE.3\r\nAlias pseudonymity có thể được sử dụng. Thành phần này sẽ chỉ rõ danh tính\r\nngười dùng được bảo vệ và, hơn nữa, chỉ rõ cùng một người dùng sẽ được ấn định\r\ncho các giá trị mà họ đã được cung cấp tiền (nếu được chỉ rõ trong các điều\r\nkiện).
\r\n\r\nNên nhận biết rõ ràng, các thành phần mang\r\ntính chất nghiêm ngặt hơn không thể kết hợp với các yêu cầu khác, chẳng hạn\r\nnhư, nhận dạng và chứng thực hay kiểm tra. Sự giải thích về "quyết định\r\ndanh tính" nên được đưa ra ở ý nghĩa rộng nhất của từ ngữ. Thông tin thông\r\nđược cung cấp bởi TSF trong suốt quá trình hoạt động, cũng không thể quyết định\r\ntoàn bộ chủ thể hay người sở hữu của chủ thể yêu cầu hoạt động đó, TSF cũng\r\nkhông ghi lại thông tin, sẵn có đối với những người dùng hay các chủ thể, cái\r\nmà có thể nhận ra định danh người dùng trong tương lai.
\r\n\r\nMục đích đó là TSF không biểu lộ bất kì thông\r\ntin nào sẽ làm hại đến danh tính người dùng, ví dụ, danh tính của các chủ thể\r\nhành động với tư cách người dùng. Thông tin được xem là nhạy cảm phụ thuộc vào\r\nsự cố gắng mà kẻ tấn công có khả năng thực hiện.
\r\n\r\nCác ứng dụng có thể có gồm những dịch vụ có\r\nthể tính cước người gọi đối với dịch vụ điện thoại mà không để lộ danh tính của\r\nhọ, hoặc được tính cước đối với việc sử dụng anonymous của hệ thống thanh toán\r\nđiện tử.
\r\n\r\nVí dụ về những người dùng thù địch tiềm ẩn là\r\nnhững nhà cung cấp, những nhân viên vận hành hệ thống, những đối tác truyền\r\nthông và những người sử dụng, những người lén đưa những đoạn mã độc (ví dụ:\r\nTrojan Horses) vào hệ thống. Tất cả những kẻ tấn công có thể kiểm tra những gì\r\nmà người dùng đã sử dụng ở những dịch vụ đó và lạm dụng thông tin chúng lấy\r\nđược. Ngoài những dịch vụ Anonymity, những dịch vụ Pseudonymity bao gồm những\r\nphương pháp cấp phép mà không cần xác minh, đặc biệt đối với thanh toán\r\nanonymous ("Tiền số"). Điều này giúp những nhà cung cấp thu phí một\r\ncách an toàn trong khi duy trì anonymity khách hàng.
\r\n\r\nI.2.2. FPR_PSE.1 Biệt danh
\r\n\r\nI.2.2.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nThành phần này đảm bảo rằng việc định danh\r\nmột người dùng được bảo vệ chống lộ. Người dùng sẽ vẫn phải chịu trách nhiệm về\r\nhành động của họ.
\r\n\r\nI.2.2.2. Các hoạt động
\r\n\r\nI.2.2.2.1. Chỉ định
\r\n\r\nTrong FPR_PSE.1.1, tác giả PP/ST nên định rõ\r\ntập các người dùng và/hoặc chủ thể mà TSF cần phải bảo vệ. Ví dụ, ngay cả khi\r\ntác giả PP/ST chỉ rõ một vai trò người dùng riêng lẻ hoặc một chủ thể, TSF phải\r\nkhông chỉ bảo vệ chống lại từng người dùng hoặc chủ thể đơn lẻ, mà còn phải bảo\r\nvệ trước sự phối hợp của nhiều người dùng và/hoặc chủ thể. Ví dụ, một tập các\r\nngười dùng có thể tạo một nhóm người dùng và có thể hoạt động với cũng một vai\r\ntrò hoặc có thể cũng sử dụng một hoặc nhiều tiến trình.
\r\n\r\nTrong FPR_PSE.1.1, tác giả PP/ST nên định\r\ndanh ra danh sách các chủ thể và/hoặc hoạt động và/hoặc đối tượng mà danh tính\r\nngười dùng thật của chủ thể nên được bảo vệ, ví dụ "truy nhập các thông\r\ntin về công việc".
\r\n\r\nTrong FPR_PSE.1.2, tác giả PP/ST nên định\r\ndanh ra một hoặc nhiều số các bí danh mà TSF có thể cung cấp.
\r\n\r\nTrong FPR_PSE.1.2, tác giả PP/ST nên định\r\ndanh ra danh sách các chủ thể mà TSF có thể cung cấp một bí danh.
\r\n\r\nI.1.2.2.2. Phép chọn
\r\n\r\nTrong FPR_PSE.1.3, tác giả PP/ST nên chỉ ra\r\nhoặc bí danh người dùng được tạo bởi TSF, hoặc cung cấp bởi người dùng. Chỉ có\r\nthể chọn một trong các tùy chọn này.
\r\n\r\nI.1.2.2.3. Chỉ định
\r\n\r\nTrong FPR_PSE.1.3, tác giả PP/ST nên định\r\ndanh ra đại lượng mà bí danh do người dùng tạo ra hoặc TSF tạo ra cần được tuân\r\nthủ theo.
\r\n\r\nI.2.3. FPR_PSE.2 Biệt danh nghịch đảo
\r\n\r\nI.2.3.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nTrong thành phần này, TSF cần đảm bảo trong\r\ncác điều kiện xác định, danh tính người dùng liên quan tới một tham chiếu quy\r\nđịnh có thể được xác định.
\r\n\r\nTrong FPR_PSE.1, TSF cần phải quy định một bí\r\ndanh thay vì danh tính người dùng. Khi các điều kiện đặc trưng được thỏa mãn,\r\ndanh tính người dùng ứng với bí danh có thể được xác định.
\r\n\r\nI.2.3.2. Các hoạt động
\r\n\r\nI.2.3.2.1. Chỉ định
\r\n\r\nTrong FPR_PSE.2.1, tác giả PP/ST nên định rõ\r\ntập các người dùng và/hoặc chủ thể mà TSF cần phải bảo vệ. Ví dụ, ngay cả khi\r\ntác giả PP/ST chỉ rõ một vai trò người dùng riêng lẻ hoặc một chủ thể, TSF phải\r\nkhông chỉ bảo vệ chống lại từng người dùng hoặc chủ thể đơn lẻ, mà còn phải bảo\r\nvệ trước sự phối hợp của nhiều người dùng và/hoặc chủ thể. Ví dụ, một tập các\r\nngười dùng có thể tạo một nhóm người dùng và có thể hoạt động với cũng một vai\r\ntrò hoặc có thể cũng sử dụng một hoặc nhiều tiến trình.
\r\n\r\nTrong FPR_PSE.2.1, tác giả PP/ST nên định\r\ndanh ra danh sách các người dùng và/hoặc chủ thể và/hoặc đối tượng mà danh tính\r\nngười dùng thật của chủ thể cần được bảo vệ, ví dụ "ứng dụng bỏ\r\nphiếu".
\r\n\r\nTrong FPR_PSE.2.2, tác giả PP/ST nên định\r\ndanh ra danh sách các dịch vụ ràng buộc với yêu cầu nặc danh, ví dụ "truy\r\nnhập các thông tin về công việc".
\r\n\r\nTrong FPR_PSE.2.2, tác giả PP/ST nên định\r\ndanh ra danh sách các chủ thể cần được bảo vệ danh tính người dùng thật của chủ\r\nthể cần được bảo vệ, khi các dịch vụ xác định được cung cấp.
\r\n\r\nI.2.3.2.2. Phép chọn
\r\n\r\nTrong FPR_PSE.2.3, tác giả PP/ST nên chỉ ra\r\nhoặc bí danh người dùng được tạo bởi TSF, hoặc cung cấp bởi người dùng. Chỉ có\r\nthể chọn một trong các tùy chọn này.
\r\n\r\nI.2.3.2.3. Chỉ định
\r\n\r\nTrong FPR_PSE.2.3, tác giả PP/ST nên định\r\ndanh ra đại lượng mà bí danh do người dùng tạo ra hoặc TSF tạo ra cần được tuân\r\nthủ theo.
\r\n\r\nI.2.3.2.4. Phép chọn
\r\n\r\nTrong FPR_PSE.2.4, tác giả PP/ST nên chỉ ra\r\nhoặc bí danh người dùng được tạo bởi TSF, hoặc cung cấp bởi người dùng. Chỉ có\r\nthể chọn một trong các tùy chọn này.
\r\n\r\nI.2.3.2.5. Chỉ định
\r\n\r\nTrong FPR_PSE.2.4, tác giả PP/ST nên định\r\ndanh ra đại lượng mà bí danh do người dùng tạo ra hoặc TSF tạo ra cần được tuân\r\nthủ theo.
\r\n\r\nI.2.4. FPR_PSE.3 Biệt danh bí danh
\r\n\r\nI.2.4.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nTrong thành phần này, TSF cần đảm bảo trong\r\ncác điều kiện xác định, danh tính người dùng liên quan tới một tham chiếu quy\r\nđịnh có thể được xác định.
\r\n\r\nNếu một người dùng muốn sử dụng các tài\r\nnguyên mà không lộ danh tính, biệt hiệu có thể dùng được. Tuy nhiên, mỗi khi\r\nngười dùng truy nhập hệ thống, cần sử dụng đúng bí danh đó. Các điều kiện này\r\ncó thể chỉ rõ trong thành phần này.
\r\n\r\nI.2.4.2. Các hoạt động
\r\n\r\nI.2.4.2.1. Chỉ định
\r\n\r\nTrong FPR_PSE.3.1, tác giả PP/ST nên định rõ\r\ntập các người dùng và/hoặc chủ thể mà TSF cần phải bảo vệ. Ví dụ, ngay cả khi\r\ntác giả PP/ST chỉ rõ một vai trò người dùng riêng lẻ hoặc một chủ thể, TSF phải\r\nkhông chỉ bảo vệ chống lại từng người dùng hoặc chủ thể đơn lẻ, mà còn phải bảo\r\nvệ trước sự phối hợp của nhiều người dùng và/hoặc chủ thể. Ví dụ, một tập các\r\nngười dùng có thể tạo một nhóm người dùng và có thể hoạt động với cũng một vai\r\ntrò hoặc có thể cũng sử dụng một hoặc nhiều tiến trình.
\r\n\r\nTrong FPR_PSE.3.1, tác giả PP/ST nên định\r\ndanh ra danh sách các người dùng và/hoặc chủ thể và/hoặc đối tượng mà danh tính\r\nngười dùng thật của chủ thể cần được bảo vệ, ví dụ "ứng dụng bỏ\r\nphiếu".
\r\n\r\nTrong FPR_PSE.3.2, tác giả PP/ST nên định\r\ndanh ra danh sách các dịch vụ ràng buộc với yêu cầu nặc danh, ví dụ "truy\r\nnhập các thông tin về công việc".
\r\n\r\nTrong FPR_PSE.3.2, tác giả PP/ST nên định\r\ndanh ra danh sách các chủ thể cần được bảo vệ danh tính người dùng thật của chủ\r\nthể cần được bảo vệ, khi các dịch vụ xác định được cung cấp.
\r\n\r\nI.2.4.2.2. Phép chọn
\r\n\r\nTrong FPR_PSE.3.3, tác giả PP/ST nên chỉ ra\r\nhoặc bí danh người dùng được tạo bởi TSF, hoặc cung cấp bởi người dùng. Chỉ có\r\nthể chọn một trong các tùy chọn này.
\r\n\r\nI.2.4.2.3. Chỉ định
\r\n\r\nTrong FPR_PSE.3.3, tác giả PP/ST nên định\r\ndanh ra đại lượng mà bí danh do người dùng tạo ra hoặc TSF tạo ra cần được tuân\r\nthủ theo.
\r\n\r\nTrong FPR_PSE.3.4, tác giả PP/ST nên định\r\ndanh ra đại lượng mà bí danh do người dùng tạo ra hoặc TSF tạo ra cần được tuân\r\nthủ theo.
\r\n\r\nI.3. Tính không thể liên kết (FPR_UNL)
\r\n\r\nI.3.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nTính không thể liên kết đảm bảo rằng một\r\nngười dùng có thể sử dụng các tài nguyên hoặc dịch vụ mà không có khả năng liên\r\nkết các việc sử dụng với nhau. Không thể liên kết khác với biệt hiệu ở chỗ, mặc\r\ndù ở biệt hiệu, không biết ai dùng song vẫn có mối quan hệ giữa các hành động.
\r\n\r\nNhững yêu cầu đối với tính không thể liên kết\r\nđược định ra để bảo vệ danh tính người dùng chống lại việc sử dụng profiling\r\ncủa các hoạt động. Ví dụ, khi một thẻ điện thoại thông minh được gắn một số duy\r\nnhất, thì công ty điện thoại có thể xác định hành vi của người dùng thẻ đó. Khi\r\nhồ sơ điện thoại của những người dùng được biết đến, thì thẻ có thể được liên\r\nkết với một người dùng cụ thể. Việc ẩn giấu đi mối quan hệ giữa các viện dẫn\r\nkhác nhau của một dịch vụ hay một truy nhập sẽ ngăn chặn các kiểu thu thập\r\nthông tin.
\r\n\r\nNhư là một kết quả, một yêu cầu cho tính\r\nkhông thể liên kết có thể gợi ra rằng định danh chủ thể và người dùng của một\r\nhoạt động phải được bảo vệ. Vì thế thông tin này có thể được sử dụng để liên\r\nkết tới những hoạt động với nhau.
\r\n\r\nTính không thể liên kết yêu cầu các hoạt động\r\nkhác nhau không có khả năng liên quan đến nhau. Mối quan hệ này đưa ra các\r\ndạng. Ví dụ, người dùng đã liên kết với một hoạt động, hay một đầu cuối đã khởi\r\nđầu một hành động, hay thời gian mà hành động được thực hiện. Tác giả PP/ST có\r\nthể xác định rõ loại quan hệ nào được trình bày là phải phù hợp.
\r\n\r\nCác ứng dụng có thể có gồm khả năng tạo nhiều\r\ncách sử dụng một pseudonyum mà không cần tạo ra một mẫu dùng thông thường, cái\r\ncó thể làm lộ danh tính người dùng.
\r\n\r\nVí dụ về những chủ thể và người dùng thù địch\r\ntiềm ẩn là những nhà cung cấp, những nhân viên vận hành hệ thống, những đối tác\r\ntruyền thông và những người sử dụng, những người lén đưa những đoạn mã độc (ví\r\ndụ: Trojan Horses) vào hệ thống, chúng không hoạt động nhưng lại muốn nhận\r\nthông tin. Tất cả những kẻ tấn công có thể kiểm tra (ví dụ: những gì người dùng\r\nsử dụng những dịch vụ đó) và lạm dụng thông tin chúng lấy được. Unlinkability\r\nbảo vệ người dùng khỏi các nối kết được tạo ra giữa các hành động của khách\r\nhàng. Một ví dụ như một chuỗi các cuộc gọi mà các khách hàng anoymous thực hiện\r\nvới các đối tác khác nhau, nơi mà sự kết hợp những danh tính của các đối tác có\r\nthể làm lộ danh tính của khách hàng đó.
\r\n\r\nI.3.2. FPR_UNL.1 Tính không thể liên kết
\r\n\r\nI.3.2.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nThành phần này đảm bảo rằng người dùng không\r\nthể liên kết các hoạt động khác nhau trong hệ thống để lấy thông tin.
\r\n\r\nI.3.2.2. Các hoạt động
\r\n\r\nI.3.2.2.1. Chỉ định
\r\n\r\nTrong FPR_UNL.1.1, tác giả PP/ST nên định rõ\r\ntập các người dùng và/hoặc chủ thể mà TSF cần phải bảo vệ. Ví dụ, ngay cả khi\r\ntác giả PP/ST chỉ rõ một vai trò người dùng riêng lẻ hoặc một chủ thể, TSF phải\r\nkhông chỉ bảo vệ chống lại từng người dùng hoặc chủ thể đơn lẻ, mà còn phải bảo\r\nvệ trước sự phối hợp của nhiều người dùng và/hoặc chủ thể. Ví dụ, một tập các\r\nngười dùng có thể tạo một nhóm người dùng và có thể hoạt động với cũng một vai\r\ntrò hoặc có thể cũng sử dụng một hoặc nhiều tiến trình.
\r\n\r\nTrong FPR_UNL.1.1, tác giả PP/ST nên định\r\ndanh ra danh sách các hoạt động liên quan đến yêu cầu không thể liên kết, ví dụ\r\n"gửi thư".
\r\n\r\nI.3.2.2.2. Phép chọn
\r\n\r\nTrong FPR_UNL.1.1, tác giả PP/ST nên chọn các\r\nmối quan hệ. Việc lựa chọn cho phép xác định danh tính người dùng hoặc chỉ định\r\ncác mối quan hệ.
\r\n\r\nI.3.2.2.3. Chỉ định
\r\n\r\nTrong FPR_UNL.1.1, tác giả PP/ST nên định\r\ndanh ra danh sách các quan hệ cần bảo vệ, ví dụ "cùng xuất phát từ một\r\nterminal".
\r\n\r\nI.4. Tính không thể quan sát (FPR_UNO)
\r\n\r\nI.4.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nTính không thể quan sát đảm bảo rằng một\r\nngười có thể sử dụng các tài nguyên hoặc dịch vụ mà những người khác, đặc biệt\r\nlà đối tác thứ ba, không có khả năng quan sát được các dịch vụ hoặc tài nguyên\r\nđang được dùng.
\r\n\r\nTính không thể quan sát tiếp cận danh tính\r\nngười dùng từ hướng khác so với những cách tiếp cận quen thuộc trước đó của Nặc\r\ndanh, Biệt hiệu và tính không thể quan sát. Trong trường hợp này, mục đích đó\r\nlà để che giấu đi việc sử dụng tài nguyên hay dịch vụ chứ không nhằm vào việc\r\nche giấu định danh của người dùng.
\r\n\r\nCác kĩ thuật có thể được thêm vào để thực thi\r\ntính không thể quan sát. Ví dụ về các kĩ thuật đưa ra cho Tính không thể quan\r\nsát là:
\r\n\r\na) Tính không thể quan sát ảnh hưởng đến cấp\r\nphát thông tin: Thông tin liên quan Tính không thể quan sát (ví dụ: thông tin\r\nmô tả một hoạt động đã diễn ra) có thể được định phần ở các vị trí bên trong\r\nTOE. Thông tin này có thể được định phần tới một phần được lựa chọn ngẫu nhiên\r\nkhiến kẻ tấn công không biết tấn công vào phần nào của TOE. Một hệ thống luân\r\nphiên có thể phân phối thông tin đến mức không phần nào của TOE có đủ thông\r\ntin đó, nếu bị phá vỡ, tính riêng tư của người dùng sẽ bị thỏa hiệp. Kỹ thuật\r\nnày rõ ràng được nhắm đến trong Tính không thể quan sát ảnh hưởng đến cấp phát\r\nthông tin FPR_UNO.2.
\r\n\r\nb) Quảng bá: Khi thông tin được quảng bá (ví\r\ndụ: ethernet, radio), những người dùng không có khả năng xác định được người\r\nthực sự nhận và sử dụng thông tin đó.
\r\n\r\nc) Sự bảo vệ bằng mật mã và chèn bản tin:\r\nGiám sát một luồng bản tin có thể thu được thông tin từ việc bản tin được\r\nchuyển đi và từ thuộc tính trên bản tin đó. Nhờ chèn lưu lượng, chèn bản tin và\r\nmã hóa luồng bản tin, sẽ bảo vệ được việc phát bản tin và thuộc tính của nó đi.
\r\n\r\nĐôi khi, người dùng không nên xem việc sử\r\ndụng một tài nguyên, nhưng một người dùng có thẩm quyền thì phải được phép xem\r\nviệc sử dụng tài nguyên đó để thực hiện nhiệm vụ của mình. Trong trường hợp đó,\r\nTính quan sát được người dùng có thẩm quyền (FPR_UNO.4) được sử dụng, quy định\r\nkhả năng cho một hoặc nhiều người dùng có quyền để quan sát việc sử dụng.
\r\n\r\nHọ này sử dụng khái niệm "các phần của\r\nTOE". Đó là bất kì phần nào của TOE, phân chia hoặc theo vật lý hoặc theo\r\nlogic các phần khác của TOE. Trường hợp phân chia logic có thể liên quan đến\r\nphân chia tên miền (FPR_SEP).
\r\n\r\nTính không thể quan sát về truyền thông có\r\nthể là một nhân tố quan trọng trong nhiều khu vực, chẳng hạn như sự thực thi\r\ncác điều trong hiến pháp, các chính sách tổ chức, hay trong các ứng dụng liên\r\nquan tới quân đội.
\r\n\r\nI.4.2. FPR_UNO.1 Tính không thể quan sát
\r\n\r\nI.4.2.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nThành phần này yêu cầu rằng việc sử dụng một\r\nchức năng hoặc tài nguyên không thể bị người dùng không được phép theo dõi.
\r\n\r\nI.4.2.2. Các hoạt động
\r\n\r\nI.4.2.2.1. Chỉ định
\r\n\r\nTrong FPR_UNO.1.1, tác giả PP/ST nên định rõ\r\ntập các người dùng và/hoặc chủ thể mà TSF cần phải bảo vệ. Ví dụ, ngay cả khi\r\ntác giả PP/ST chỉ rõ một vai trò người dùng riêng lẻ hoặc một chủ thể, TSF phải\r\nkhông chỉ bảo vệ chống lại từng người dùng hoặc chủ thể đơn lẻ, mà còn phải bảo\r\nvệ trước sự phối hợp của nhiều người dùng và/hoặc chủ thể. Ví dụ, một tập các\r\nngười dùng có thể tạo một nhóm người dùng và có thể hoạt động với cũng một vai\r\ntrò hoặc có thể cũng sử dụng một hoặc nhiều tiến trình.
\r\n\r\nTrong FPR_UNO.1.1, tác giả PP/ST nên định\r\ndanh ra danh sách các hoạt động liên quan đến yêu cầu không thể quan sát. Những\r\nngười dùng/chủ thể khác sẽ không thể quan sát được các hoạt động trên các đối\r\ntượng trực thuộc trong danh sách xác định (ví dụ đọc/ghi đối tượng).
\r\n\r\nTrong FPR_UNO.1.1, tác giả PP/ST nên định\r\ndanh ra danh sách các đối tượng được quy định trong yêu cầu không thể quan sát.\r\nMột ví dụ có thể là một mail server hoặc một ftp site xác định.
\r\n\r\nTrong FPR_UNO.1.1, tác giả PP/ST nên định ra\r\ntập các người dùng/chủ thể cần bảo vệ chống bị quan sát. Một ví dụ có thể là:\r\n"Người dùng đang truy nhập hệ thống thông qua Internet".
\r\n\r\nI.4.3. FPR_UNO.2 Tính không thể quan sát ảnh\r\nhưởng đến cấp phát thông tin
\r\n\r\nI.4.3.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nThành phần này yêu cầu việc sử dụng một chức\r\nnăng hoặc tài nguyên không thể quan sát được bởi những người dùng hoặc chủ thể\r\nxác định. Ngoài ra, thành phần này chỉ ra thông tin liên quan đến tính riêng tư\r\ncủa người dùng được phân bố trong TOE và kẻ tấn công không thể biết phần nào\r\ncủa TOE là mục tiêu hoặc chúng sẽ phải tấn công tới nhiều phần trong TOE.
\r\n\r\nVí dụ về việc sử dụng thành phần này là việc\r\nsử dụng nút được cấp phát ngẫu nhiên cung cấp một chức năng. Trong trường hợp\r\nđó, thành phần đó có thể yêu cầu rằng tính riêng tư có liên quan thông tin\r\nkhông chỉ cần có sẵn với mỗi phần được nhận dạng của TOE, và sẽ không truyền\r\nthông được với bên ngoài phần này của TOE.
\r\n\r\nMột ví dụ phức tạp hơn được biết đến là trong\r\ncác "thuật toán bỏ phiếu". Các phần của TOE sẽ được gọi trong dịch vụ\r\nđó, nhưng không riêng rẽ nào của TOE sẽ có thể vi phạm chính sách đó. Vì mỗi\r\nngười có thể bỏ ra một phiếu (hoặc không) mà không cần TOE quyết định liệu\r\nphiếu đó đã được bỏ chưa hay chuyện gì đã xảy ra cho cái phiếu đó (trừ khi\r\nphiếu đó đã được nhất trí).
\r\n\r\nI.4.3.2. Các hoạt động
\r\n\r\nI.4.3.2.1. Chỉ định
\r\n\r\nTrong FPR_UNO.2.1, tác giả PP/ST nên định rõ\r\ntập các người dùng và/hoặc chủ thể mà TSF cần phải bảo vệ. Ví dụ, ngay cả khi\r\ntác giả PP/ST chỉ rõ một vai trò người dùng riêng lẻ hoặc một chủ thể, TSF phải\r\nkhông chỉ bảo vệ chống lại từng người dùng hoặc chủ thể đơn lẻ, mà còn phải bảo\r\nvệ trước sự phối hợp của nhiều người dùng và/hoặc chủ thể. Ví dụ, một tập các\r\nngười dùng có thể tạo một nhóm người dùng và có thể hoạt động với cũng một vai\r\ntrò hoặc có thể cũng sử dụng một hoặc nhiều tiến trình.
\r\n\r\nTrong FPR_UNO.2.1, tác giả PP/ST nên định\r\ndanh ra danh sách các hoạt động liên quan đến yêu cầu không thể quan sát. Những\r\nngười dùng/chủ thể khác sẽ không thể quan sát được các hoạt động trên các đối\r\ntượng trực thuộc trong danh sách xác định (ví dụ đọc / ghi đối tượng).
\r\n\r\nTrong FPR_UNO.2.1, tác giả PP/ST nên định\r\ndanh ra danh sách các đối tượng được quy định trong yêu cầu không thể quan sát.\r\nVí dụ có thể là một máy chủ thư điện tử hoặc một ftp site xác định.
\r\n\r\nTrong FPR_UNO.2.1, tác giả PP/ST nên định ra\r\ntập các người dùng / chủ thể cần bảo vệ chống bị quan sát. Một ví dụ có thể là:\r\n"Người dùng đang truy nhập hệ thống thông qua Internet".
\r\n\r\nTrong FPR_UNO.2.2, tác giả PP/ST nên nhận\r\ndạng thông tin nào có liên quan đến riêng tư nên được phân phối trong một cách\r\nthức được kiểm soát. Ví dụ những thông tin này có thể là: địa chỉ IP của chủ\r\nthể, địa chỉ IP của đối tượng, thời gian, các khóa mã hóa được sử dụng.
\r\n\r\nTrong FPR_UNO.2.2, tác giả PP/ST nên xác định\r\nrõ những điều kiện để thông tin nên gắn vào. Những điều kiện này nên được duy trì\r\nthông suốt thời gian sống của thông tin có liên quan đến tính riêng tư của mỗi\r\ntrường hợp. Ví dụ những điều kiện này có thể là: "thông tin chỉ cần trình\r\nbày ở các phần riêng biệt của TOE mà không cần truyền thông ra bên ngoài phần\r\nđó của TOE", "Thông tin chỉ cần đặt ở từng phần cụ thể của TOE, nhưng\r\ncần được chuyển tới phần khác của TOE một cách định kì", "Thông tin\r\ncần được phân phối giữa các phần khác nhau của TOE chẳng hạn như sự thỏa hiệp\r\ncủa 5 phần bất kì nào của TOE sẽ không thỏa hiệp chính sách an toàn".
\r\n\r\nI.4.4. FPR_ANO.3 Tính không thể quan sát\r\nkhông có thông tin níu kéo
\r\n\r\nI.4.4.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nThành phần này yêu cầu TSF không được thử lấy\r\nthông tin vi phạm tính không thể quan sát khi cung cấp các dịch vụ xác định. Do\r\nđó, TSF không yêu cầu (ví dụ thử lấy từ các thực thể khác) mọi thông tin có thể\r\nvi phạm tính không thể quan sát.
\r\n\r\nI.4.4.2. Các hoạt động
\r\n\r\nI.4.4.2.1. Chỉ định
\r\n\r\nTrong FPR_ANO.3.1, tác giả PP/ST nên định\r\ndanh ra danh sách các dịch vụ liên quan đến yêu cầu không thể quan sát, ví dụ\r\n"truy nhập thông tin việc làm".
\r\n\r\nTrong FPR_ANO.3.1, tác giả PP/ST nên định\r\ndanh ra danh sách các chủ thể mà các thông tin liên quan riêng tư cần được bảo\r\nvệ khi cung cấp các dịch vụ.
\r\n\r\nTrong FPR_ANO.3.1, tác giả PP/ST nên định ra\r\nthông tin liên quan đến riêng tư cần được bảo vệ trước các chủ thể xác định.\r\nCác ví dụ bao gồm việc nhận dạng chủ thể đã sử dụng dịch vụ và định lượng một\r\ndịch vụ đã sử dụng ví dụ như sử dụng tài nguyên bộ nhớ.
\r\n\r\nI.4.5. FPR_ANO.4 Tính quan sát được người\r\ndùng có thẩm quyền
\r\n\r\nI.4.5.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nThành phần này dùng để yêu cầu sẽ có một hoặc\r\nnhiều người dùng có thẩm quyền có quyền xem mức sử dụng tài nguyên. Nếu không\r\ncó thành phần này, việc xem lại được cho phép, song không bắt buộc.
\r\n\r\nI.4.5.2. Các hoạt động
\r\n\r\nI.4.5.2.1. Chỉ định
\r\n\r\nTrong FPR_ANO.4.1, tác giả PP/ST nên định ra\r\ntập những người dùng có phép được TSF cung cấp khả năng quan sát mức sử dụng\r\ntài nguyên. Một tập người dùng có quyền, ví dụ có thể tạo thành nhóm người dùng\r\ncó quyền có thể hoạt động với cùng một vai trò hoặc có thể sử dụng cùng một\r\nhoặc nhiều tiến trình.
\r\n\r\nTrong FPR_ANO.4.1, tác giả PP/ST nên định ra\r\ntập các tài nguyên và/hoặc dịch vụ mà người dùng có thẩm quyền phải có khả năng\r\nquan sát.
\r\n\r\n\r\n\r\n
Lớp này bao gồm các họ yêu cầu chức năng liên\r\nquan tới tính toàn vẹn và việc quản lý các cơ chế cung cấp TSF và liên quan tới\r\ntính toàn vẹn của dữ liệu TSF. Trong một số ý nghĩa, các họ trong lớp này có\r\nthể xuất hiện để sao lại các thành phần trong FDP: Lớp bảo vệ dữ liệu người sử\r\ndụng; chúng thậm chí có thể được thực thi bằng những cơ chế giống nhau. Tuy\r\nnhiên, FDP: Bảo vệ dữ liệu người sử dụng tập trung vào việc bảo vệ dữ liệu của\r\nngười sử dụng, trong khi đó FPT: Bảo vệ của TSF lại tập trung vào việc bảo vệ\r\ndữ liệu TSF. Trên thực tế, các thành phần của lớp FPT: Bảo vệ của lớp TSF là\r\ncần thiết để cung cấp các yêu cầu mà người ta không thể can thiệp hoặc bỏ qua\r\ncác SFP trong TOE.
\r\n\r\nTừ quan điểm của lớp này, ba phần quan trọng\r\nsau tạo nên TSF:
\r\n\r\na) Thực thi của TSF mà tiến hành và thực hiện\r\ncác cơ chế bắt buộc các SFR.
\r\n\r\nb) Dữ liệu của TSF: là các cơ sở dữ liệu quản\r\nlý hướng dẫn việc thực hiện TSP.
\r\n\r\nc) Thực thể bên ngoài mà TSF có thể tương tác\r\nvới để ép buộc các SFR.
\r\n\r\nTất cả các họ trong FPT: Bảo vệ của lớp TSF\r\ncó thể được liên hệ với các lĩnh vực này và thuộc về các cách phân nhóm sau:
\r\n\r\na) Bảo vệ vật lý TSF (FPT_PHP): cung cấp cho\r\nngười sử dụng được ủy quyền khả năng phát hiện các cuộc tấn công từ bên ngoài\r\nvào các phần của TOE tạo nên TSF.
\r\n\r\nb) Kiểm tra các thực thể bên ngoài (FPT_TEE)\r\nvà tự kiểm tra TSF (FPT_TST) cung cấp người dùng được cấp quyền với khả năng\r\nxác nhận thao tác chính xác của các thực thể bên ngoài tương tác với TSF để ép\r\nbuộc các SFR, và tính toàn vẹn của dữ liệu TSF và mã thực hiện.
\r\n\r\nc) Khôi phục được tin cậy (FPT_RCV) An ninh\r\nthất bại (FPT_FLS), và tính nhất quán của bản sao dữ liệu TSF bên trong TOE\r\n(FPT_TRC): nhắm đến hành vi của TSF khi và ngay sau khi lỗi xảy ra.
\r\n\r\nd) Tính sẵn sàng của dữ liệu TSF được xuất\r\n(FPT_ITA), Tính tin cậy của dữ liệu TSF được xuất (FPT_ITC), Tính toàn vẹn của\r\ndữ liệu TSF được xuất (FPT_ITI): nhắm đến việc bảo vệ và tính sẵn sàng của dữ\r\nliệu TSF giữa TSF và một sản phẩm IT được tin cậy khác.
\r\n\r\ne) Truyền dữ liệu TSF trong nội bộ TOE\r\n(FPT_ITI): nhắm đến việc bảo vệ dữ liệu TSF khi nó được truyền đi giữa các phần\r\ntách nhau về mặt vật lý của TOE.
\r\n\r\n![](\"00907947_files/image028.jpg\")
f) Phát hiện việc xem lại (FPT_RPL): nhắm đến\r\nviệc xem lại nhiều loại thông tin và/hoặc thao tác.
\r\n\r\ng) Giao thức đồng bộ trạng thái (FPT_SSP):\r\nnhắm đến sự đồng bộ các trạng thái dựa vào dữ liệu TSF giữa các phần khác nhau\r\ncủa một TSF được phân phối.
\r\n\r\nh) Dấu thời gian (FPT_STM): nhắm đến việc\r\nđịnh thời được tin cậy.
\r\n\r\ni) Tính nhất quán dữ liệu TSF giữa các TSF\r\n(FPT_TDC): nhắm đến sự nhất quán của dữ liệu TSF được chia sẻ giữa TSF và các\r\nsản phẩm IT được tin cậy khác.
\r\n\r\nJ.1. An toàn khi có lỗi (FPT_FLS)
\r\n\r\nJ.1.1. Chú thích cho người sử dụng
\r\n\r\nCác yêu cầu của họ tiêu chuẩn này đảm bảo\r\nrằng TOE sẽ không vi phạm các TSP của nó trong trường hợp có một số loại hỏng\r\nhóc tại TSF.
\r\n\r\nJ.1.2. FPT_FLS.1 Lỗi với bảo toàn trạng thái\r\nan toàn
\r\n\r\nJ.1.2.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nThuật ngữ "trạng thái an toàn" nói\r\ntới một trạng thái trong đó dữ liệu TSF là nhất quán và TSF tiếp tục thực hiện\r\nđúng TSP. "Trạng thái an toàn" được định nghĩa trong mô hình TSP. Nếu\r\nngười phát triển được cung cấp một định nghĩa rõ ràng về trạng thái an toàn và\r\nlý do vì sao nó nên được giữ an toàn, thì sự phụ thuộc từ FPT_FLS.1 Hỏng hóc có\r\nsự duy trì trạng thái an toàn đến ADV_SPM.1 Mô hình chính sách an ninh TOE\r\nkhông chính thống được bỏ qua.
\r\n\r\nMặc dù người ta mong muốn kiểm tra các tình\r\nhuống mà hỏng hóc có sự duy trì trạng thái an toàn xảy ra, điều này là không\r\nthể trong tất cả các trường hợp. Tác giả PP/ST nên xác định những tình huống mà\r\nviệc kiểm tra là bắt buộc và khả thi.
\r\n\r\nHỏng hóc trong TSF có thể bao gồm các hỏng\r\nhóc "cứng", tức là một thiết bị trục trặc cần bảo dưỡng, phục vụ hoặc\r\nsửa chữa của TSF. Hỏng hóc trong TSF cũng có thể bao gồm các hỏng hóc\r\n"mềm", chỉ yêu cầu TSF khởi tạo hoặc thiết lập lại.
\r\n\r\nJ.1.2.2. Các hoạt động
\r\n\r\nJ.1.2.2.1. Chỉ định
\r\n\r\nTrong FPT_FLS.1.1, tác giả PP/ST nên liệt kê\r\ncác loại hỏng hóc trong TSF mà TSF có thể "mất an toàn" tức là nên\r\nduy trì một trạng thái an toàn và tiếp tục thực hiện đúng TSP.
\r\n\r\nJ.2. Tính sẵn sàng xuất dữ liệu TSF (FPT_ITA)
\r\n\r\nJ.2.1. Chú thích cho người sử dụng
\r\n\r\nHọ tiêu chuẩn này định nghĩa các quy tắc đối\r\nvới việc ngăn ngừa mất mát tính sẵn sàng của dữ liệu TSF di chuyển giữa TSF và\r\nmột sản phẩm IT được tin cậy khác. Dữ liệu này có thể là dữ liệu then chốt TSF\r\nchẳng hạn như mật khẩu, khóa dữ liệu kiểm toán hoặc mã thực thi TSF.
\r\n\r\nHọ tiêu chuẩn này được sử dụng trong ngữ cảnh\r\nphân tán trong đó TSF đang cung cấp dữ liệu TSF cho một sản phẩm IT ở xa được\r\ntin cậy. TSF chỉ có thể thực hiện các biện pháp tại địa điểm của nó và không thể\r\nchịu trách nhiệm về TSF tại một sản phẩm IT được tin cậy nào khác.
\r\n\r\nNếu có các đơn vị khác đo lường sự sẵn sàng\r\ncho các loại dữ liệu TSF khác nhau thì thành phần này nên được lặp lại cho mỗi\r\ncặp duy nhất của đơn vị đo lường và kiểu dữ liệu TSF.
\r\n\r\nJ.2.2. FPT_ITA.1 Tính sẵn sàng liên TSF trong\r\nhệ tính sẵn sàng được định nghĩa
\r\n\r\nJ.2.2.1. Các hoạt động
\r\n\r\nJ.2.2.1.1. Chỉ định
\r\n\r\nTrong FPT_ITA.1.1, tác giả PP/ST nên được xác\r\nđịnh các loại dữ liệu TSF cụ thể là đối tượng của đơn vị đo lường độ sẵn sàng.
\r\n\r\nTrong FPT_ITA.1.1, tác giả PP/ST nên xác định\r\nđơn vị đo lường độ sẵn sàng đối với dữ liệu TSF khả dụng. Trong FPT_ITA.1.1,\r\ntác giả PP/ST nên xác định các điều kiện trong đó sự sẵn sàng phải được đảm\r\nbảo. Ví dụ, chúng ta cần phải có một liên kết giữa TOE và sản phẩm IT ở xa được\r\ntin cậy.
\r\n\r\nJ.3. Tính bí mật của dữ liệu TSF xuất ra\r\n(FPT_ITC)
\r\n\r\nJ.3.1. Chú thích cho người sử dụng
\r\n\r\nHọ tiêu chuẩn này định nghĩa các quy tắc để\r\nbảo vệ hệ thống khỏi hành động cung cấp trái phép dữ liệu di chuyển giữa TSF và\r\nmột sản phẩm IT ở xa được tin cậy. Ví dụ về dữ liệu này là dữ liệu then chốt\r\nnhư mật khẩu, khóa, dữ liệu kiểm toán hoặc mã thực thi TSF.
\r\n\r\nHọ tiêu chuẩn này được sử dụng trong ngữ cảnh\r\nhệ thống phân tán trong đó TSF đang cung cấp dữ liệu TSF cho một sản phẩm IT\r\nđược tin cậy khác. TSF chỉ có thể thực hiện các biện pháp tại địa điểm của nó\r\nvà không thể chịu trách nhiệm về TSF tại một sản phẩm IT được tin cậy nào khác.
\r\n\r\nJ.3.2. FPT_ITC.1 Độ tin cậy liên TSF trong\r\nquá trình truyền tải
\r\n\r\nJ.3.2.1. Chú thích cho đánh giá viên
\r\n\r\nTính tin cậy của dữ liệu TSF trong thời gian\r\ntruyền là cần thiết để bảo vệ những thông tin như vậy khỏi bị lộ. Một số thực\r\nthi có khả năng cung cấp tính tin cậy bao gồm việc sử dụng các thuật toán mã\r\nhóa cũng như các kỹ thuật trải phổ.
\r\n\r\nJ.4. Tính toàn vẹn của dữ liệu TSF xuất ra (FPT_ITI)
\r\n\r\nJ.4.1. Chú thích cho người sử dụng
\r\n\r\nHọ tiêu chuẩn này định nghĩa các quy tắc cho\r\nviệc bảo vệ dữ liệu TSF khỏi các thay đổi trái phép trong thời gian truyền giữa\r\nTSF và một sản phẩm IT ở xa được tin cậy. Ví dụ của dữ liệu loại này là dữ liệu\r\nthen chốt TSF như mật khẩu, khóa, dữ liệu kiểm toán hoặc mã thực thi TSF.
\r\n\r\nHọ tiêu chuẩn này được sử dụng trong ngữ cảnh\r\nhệ thống phân tán, trong đó, TSF đang trao đổi dữ liệu TSF với một sản phẩm IT\r\nđược tin cậy khác. Chú ý rằng một yêu cầu nhắm đến sự thay đổi, phát hiện hoặc\r\nkhôi phục tại một sản phẩm IT ở xa được tin cậy không thể được xác định, bởi vì\r\ncác cơ chế mà sản phẩm IT ở xa được tin cậy sẽ sử dụng để bảo vệ dữ liệu của nó\r\nkhông thể được xác định trước. Vì lý do này, những yêu cầu này được diễn tả theo\r\nnghĩa của "TSF cung cấp một khả năng" mà sản phẩm IT ở xa được tin\r\ncậy có thể sử dụng.
\r\n\r\nJ.4.2. FPT_ITI.1 Phát hiện sự thay đổi\r\nliên-TSF
\r\n\r\nJ.4.2.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nThành phần này nên được sử dụng trong những\r\ntình huống trong đó người ta có khả năng phát hiện khi nào dữ liệu bị thay đổi.\r\nMột ví dụ của tình huống như vậy là khi một sản phẩm IT ở xa được tin cậy có\r\nthể yêu cầu TSF của TOE truyền lại dữ liệu khi sự thay đổi nội dung được phát\r\nhiện, hoặc đáp trả lại những kiểu yêu cầu như vậy.
\r\n\r\nSức mạnh được kỳ vọng của việc phát hiện thay\r\nđổi nội dung được dựa vào một đơn vị xác định đo lường sự thay đổi, nó là một\r\nhàm số của thuật toán được sử dụng, từ đơn giản như sử dụng các cơ chế kiểm tra\r\ntổng yếu và kiểm tra chẵn lẻ mà không thể phát hiện được sự thay đổi nhiều bit\r\ncho tới các hướng tiếp cận kiểm tra tổng được mã hóa phức tạp hơn.
\r\n\r\nJ.4.2.2. Các hoạt động
\r\n\r\nJ.4.2.2.1. Chỉ định
\r\n\r\nTrong FPT_ITI.1.1, PP/ST nên xác định đơn vị\r\nxác định đo lường sự thay đổi mà cơ chế phát hiện phải thỏa mãn. Đơn vị đo lường\r\nsự thay đổi này sẽ xác định sức mạnh kỳ vọng của việc phát hiện thay đổi nội\r\ndung.
\r\n\r\nTrong FPT_ITI.1.2, PP/ST nên xác định những\r\nhành động được thực hiện nếu một sự thay đổi dữ liệu TSF được phát hiện ra. Một\r\nví dụ về hành động như vậy là "từ chối dữ liệu TSF, và yêu cầu sản phẩm\r\nđược tin cậy ban đầu gửi lại dữ liệu TSF".
\r\n\r\nJ.4.3. FPT_ITI.2 Phát hiện và chỉnh sửa thay\r\nđổi liên-TSF
\r\n\r\nJ.4.3.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nThành phần này nên được sử dụng trong các\r\ntình huống trong đó việc phát hiện và khắc phục việc thay đổi dữ liệu then chốt\r\nTSF là cần thiết.
\r\n\r\nSức mạnh kỳ vọng của việc phát hiện thay đổi\r\nnội dung dựa vào một đơn vị đo lường sự thay đổi cụ thể, nó là một hàm số của\r\nthuật toán được sử dụng, từ đơn giản như sử dụng các cơ chế kiểm tra tổng yếu\r\nvà kiểm tra chẵn lẻ mà không thể phát hiện được sự thay đổi nhiều bit cho tới\r\ncác hướng tiếp cận kiểm tra tổng được mã hóa phức tạp hơn. Đơn vị đo lường cần\r\nđược định nghĩa có thể hoặc là tham chiếu tới các cuộc tấn công mà nó chống lại\r\n(ví dụ chỉ có 1 trong số 1000 bản tin ngẫu nhiên được chấp nhận), hoặc tham\r\nchiếu tới các cơ chế phổ biến trong các tài liệu nghiên cứu (ví dụ sức mạnh của\r\nthuật toán phải tương đương với sức mạnh của thuật toán SHA).
\r\n\r\nHướng tiếp cận được lấy để sửa sự thay đổi\r\nthông tin phải được thực hiện thông qua một số dạng kiểm tra tổng sửa sai.
\r\n\r\nJ.4.3.2. Chú thích cho đánh giá viên
\r\n\r\nMột số cách thức có thể thỏa mãn yêu cầu này\r\nliên quan tới việc sử dụng các hàm mật mã hoặc một dạng kiểm tra tổng nào đó.
\r\n\r\nJ.4.3.3. Các hoạt động
\r\n\r\nJ.4.3.3.1. Chỉ định
\r\n\r\nTrong FPT_ITI.2.1, PP/ST nên xác định đơn vị\r\nxác định đo lường sự thay đổi mà cơ chế phát hiện phải thỏa mãn. Đơn vị đo\r\nlường sự thay đổi này sẽ xác định sức mạnh kỳ vọng của việc phát hiện thay đổi\r\nnội dung.
\r\n\r\nTrong FPT_ITI.2.2, PP/ST nên xác định những\r\nhành động được thực hiện nếu một sự thay đổi dữ liệu TSF được phát hiện ra. Một\r\nví dụ về hành động như vậy là "từ chối dữ liệu TSF, và yêu cầu sản phẩm\r\nđược tin cậy ban đầu gửi lại dữ liệu TSF".
\r\n\r\nTrong FPT_ITI.2.3, tác giả PP/ST nên định\r\nnghĩa các kiểu thay đổi nội dung mà TSF nên có khả năng khôi phục được từ đó.
\r\n\r\nJ.5. Vận chuyển dữ liệu nội bộ TOE TSF\r\n(FPT_ITT)
\r\n\r\nJ.5.1. Chú thích cho người sử dụng
\r\n\r\nHọ này cung cấp các yêu cầu hướng tới việc\r\nbảo vệ dữ liệu TSF khi nó được truyền đi giữa các phần tách biệt nhau của một\r\nTOE qua một kênh truyền nội bộ.
\r\n\r\nSự quyết định cấp độ tách biệt (vật lý hoặc\r\nlogic) có thể khiến ứng dụng của họ này trở nên có ích phụ thuộc vào môi trường\r\nsử dụng được dự tính. Trong một môi trường thù địch, có thể có nhiều rủi ro từ\r\nviệc truyền dữ liệu giữa các phần của TOE tách biệt nhau chỉ bởi một kênh hệ\r\nthống hoặc một kênh truyền thông giữa các tiến trình. Trong một môi trường hiền\r\nhòa hơn, các truyền thông có thể đi qua phương tiện mạng thông thường hơn.
\r\n\r\nJ.5.2. Chú thích cho đánh giá viên
\r\n\r\nMột cơ chế thiết thực sẵn có cho một TSF để\r\ncung cấp việc bảo vệ này là dựa vào mật mã.
\r\n\r\nJ.5.3. FPT_ITT.1 Bảo vệ vận chuyển dữ liệu\r\nnội bộ TSF cơ bản
\r\n\r\nJ.5.3.1. Các hoạt động
\r\n\r\nJ.5.3.1.1. Phép chọn
\r\n\r\nTrong FPT_ITT.1.1, tác giả PP/ST nên xác định\r\nkiểu bảo vệ kỳ vọng được cung cấp từ các lựa chọn: lộ thông tin, hay thay đổi\r\nnội dung.
\r\n\r\nJ.5.4. FPT_ITT.2 Phân chia vận chuyển dữ liệu\r\nTSF
\r\n\r\nJ.5.4.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nMột trong những cách để đạt được sự phân tách\r\ndữ liệu TSF dựa vào các thuộc tính có liên quan SFP là thông qua việc sử dụng\r\ncác kênh truyền logic hoặc vật lý.
\r\n\r\nJ.5.4.2. Các hoạt động
\r\n\r\nJ.5.4.2.1. Phép chọn
\r\n\r\nTrong FPT_ITT.2.1, tác giả PP/ST nên xác định\r\nkiểu bảo vệ kỳ vọng được cung cấp từ các lựa chọn: lộ thông tin, thay đổi nội\r\ndung.
\r\n\r\nJ.5.5. FPT_ITT.3 Giám sát tính toàn vẹn dữ\r\nliệu TSF
\r\n\r\nJ.5.5.1. Các hoạt động
\r\n\r\nJ.5.5.1.1. Phép chọn
\r\n\r\nTrong FPT_ITT.3.1, tác giả PP/ST nên xác định\r\nkiểu sửa đổi mong muốn mà TSF cần phải có khả năng phát hiện. Tác giả PP/ST nên\r\nchọn từ tập sau: sửa đổi dữ liệu, thay thế dữ liệu, sắp xếp lại dữ liệu, xóa dữ\r\nliệu, hoặc bất kỳ lỗi toàn vẹn nào.
\r\n\r\nJ.5.5.1.2. Chỉ định
\r\n\r\nTrong FPT_ITT.3.1, nếu tác giả PP/ST chọn\r\nphương án sau trong đoạn trước thì tác giả cũng nên xác định các lỗi toàn vẹn\r\nkhác mà TSF nên có khả năng phát hiện.
\r\n\r\nTrong FPT_ITT.3.2, tác giả PP/ST nên xác định\r\nhành động được thực hiện khi một lỗi toàn vẹn được xác định.
\r\n\r\nJ.6. Bảo vệ vật lý TSF (FPT_PHP)
\r\n\r\nJ.6.1. Chú thích cho người sử dụng
\r\n\r\nCác thành phần bảo vệ vật lý TSF tham chiếu\r\ntới các giới hạn về truy nhập không được phép tới TSF và tới sự ngăn chặn và\r\nchống trả lại thay đổi vật lý không được phép hoặc thay thế của TSF.
\r\n\r\nCác yêu cầu trong họ này đảm bảo rằng TSF\r\nđược bảo vệ khỏi sự xáo trộn và can thiệp vật lý. Thỏa mãn các yêu cầu này tạo\r\nra TSF được đóng gói và được sử dụng theo cách thức mà sự xáo trộn được phát\r\nhiện, hoặc sự chống trả xáo trộn vật lý được đo lường dựa vào các hệ số làm\r\nviệc đã được định nghĩa. Nếu không có các thành phần này, các hàm phát hiện của\r\nmột TSF sẽ đánh mất tín hiệu quả của chúng trong những môi trường mà ở đó hỏng\r\nhóc vật lý không thể ngăn chặn được. Thành phần này cũng cung cấp các yêu cầu\r\nliên quan tới cách thức TSF phải đáp trả những nỗ lực làm xáo trộn vật lý.
\r\n\r\nVí dụ về các kịch bản xáo trộn vật lý bao gồm\r\ntấn công cơ học, bức xạ, thay đổi nhiệt độ.
\r\n\r\nCó thể chấp nhận để các chức năng sẵn sàng\r\ncho người sử dụng được cho phép để phát hiện sự xáo trộn vật lý chỉ sẵn sàng ở\r\nchế độ không kết nối hoặc bảo trì. Việc kiểm soát nên ở đúng vị trí để giới hạn\r\ntruy nhập đối với người sử dụng được cho phép trong những chế độ như vậy. Bởi\r\nvì TSF có thể không thao tác trong các chế độ đó, việc cung cấp sự ràng buộc\r\nđơn giản đối với truy nhập của người sử dụng được cho phép có thể là không thực\r\nhiện được. Thực thi vật lý của TOE có thể bao gồm nhiều cấu trúc: ví dụ một vỏ\r\nbọc bên ngoài, thẻ, chip nhớ. Toàn bộ tập hợp các "thành phần" này\r\nphải bảo vệ (bảo vệ, nhắc nhở và chống lại) TSF khỏi sự xáo trộn vật lý. Điều\r\nnày không có nghĩa là tất cả các thiết bị cung cấp những đặc trưng này, nhưng\r\ntoàn bộ cấu trúc vật lý hoàn chỉnh này nên làm được điều đó.
\r\n\r\nMặc dù chỉ có tối thiểu công việc kiểm tra\r\nliên quan tới các thành phần này, nó lại là toàn bộ bởi vì một khả năng lớn các\r\ncơ chế phát hiện và cảnh báo có thể được thực thi một cách hoàn chỉnh trong\r\nphần cứng, bên dưới mức tương tác với một hệ thống con kiểm tra (ví dụ một hệ\r\nthống phát hiện bằng phần cứng dựa vào việc làm ngắt mạch và bật sáng một đi-ốt\r\nphát quang nếu mạch bị ngắt khi một nút được bấm bởi người sử dụng được cho\r\nphép). Tuy nhiên, một tác giả PP/ST có thể xác định rằng đối với một môi trường\r\nnguy cơ được dự báo cụ thể, việc kiểm tra sự xáo trộn vật lý là cần thiết. Nếu\r\nđúng trường hợp này, tác giả PP/ST nên bao gồm các yêu cầu phù hợp trong danh\r\nsách các sự kiện cần kiểm tra. Chú ý rằng bao gồm trong các yêu cầu này có thể\r\ntiềm ẩn các hệ quả đối với thiết kế phần cứng và giao diện của nó đối với phần\r\nmềm.
\r\n\r\nJ.6.2. FPT_PHP.1 Phát hiện thụ động các tấn\r\ncông vật lý
\r\n\r\nJ.6.2.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nFPT_PHP.1 Phát hiện thụ động các tấn công vật\r\nlý nên được sử dụng khi các mối đe dọa từ hành động xáo trộn không được phép\r\ncác thành phần của TOE không được trái với các phương thức mang tính thủ tục.\r\nNó nhắm tới các nguy cơ của các xáo trộn vật lý với TSF không phát hiện được.\r\nĐiển hình là một người sử dụng được cho phép có thể được cung cấp chức năng xác\r\nminh liệu có sự xáo trộn nào đã xảy ra không. Như đã viết, thành phần này đơn\r\ngiản là cung cấp một khả năng TSF để phát hiện hành động xáo trộn. Đặc tả của\r\ncác chức năng quản lý trong FMT_MOF.1 Quản lý các chức năng bảo mật nên được\r\ncân nhắc để xác định ai có thể sử dụng khả năng đó và bằng cách nào họ có thể\r\nsử dụng khả năng đó. Nếu điều này được thực hiện bởi các cơ chế không phải IT\r\n(ví dụ kiểm tra vật lý) thì các chức năng quản lý là không bắt buộc.
\r\n\r\nJ.6.3. FPT_PHP.2 Thông báo tấn công vật lý
\r\n\r\nJ.6.3.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nFPT_PHP.2 Báo cáo tấn công vật lý nên được sử\r\ndụng khi các mối đe dọa từ hành động xáo trộn không được phép các thành phần\r\ncủa TOE không được trái với các phương thức mang tính thủ tục và người ta yêu\r\ncầu rằng các cá nhân được Chỉ định được thông báo về hành động xáo trộn vật lý.\r\nNó nhắm tới nguy cơ mà hành động xáo trộn vật lý với các thành phần TSF mặc dù\r\nđược phát hiện ra nhưng có thể không được chú ý.
\r\n\r\nJ.6.3.2. Các hoạt động
\r\n\r\nJ.6.3.2.1. Chỉ định
\r\n\r\nTrong FPT_PHP.2.3, tác giả PP/ST nên cung cấp\r\nmột danh sách các thiết bị / thành phần TSF mà việc phát hiện tích cực các hành\r\nđộng xáo trộn vật lý là bắt buộc.
\r\n\r\nTrong FPT_PHP.2.3, tác giả PP/ST nên Chỉ định\r\nmột người sử dụng hoặc một vai trò để nhận báo cáo khi hành động xáo trộn được\r\nphát hiện. Kiểu người sử dụng hoặc vai trò có thể đa dạng tùy thuộc vào thành\r\nphần quản trị bảo mật cụ thể (từ họ hành vi FMT_MOF.1 Quản lý các chức năng bảo\r\nmật) được bao gồm trong PP/ST.
\r\n\r\nJ.6.4. FPT_PHP.3 Chống tấn công vật lý
\r\n\r\nJ.6.4.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nTừ một số dạng xáo trộn, việc TSF không chỉ\r\nphát hiện ra hành động xáo trộn mà còn thực sự chống lại nó hoặc trì hoãn kẻ\r\ntấn công là cần thiết.
\r\n\r\nThành phần này nên được sử dụng các thiết bị\r\nTSF và các thành phần TSF được kỳ vọng để thao tác trong môi trường mà hành vi\r\nxáo trộn vật lý (ví dụ quan sát, phân tích hoặc thay đổi) các bộ phận nội tại\r\ncủa một thiết bị TSF hoặc bản thân thành phần đó là một nguy cơ.
\r\n\r\nJ.6.4.2. Các hoạt động
\r\n\r\nJ.6.4.2.1. Chỉ định
\r\n\r\nTrong FPT_PHP.3.1, tác giả PP/ST nên xác định\r\ncác kịch bản xáo trộn đối với một danh sách các thiết bị / thành phần TSF mà\r\nTSF nên chống trả lại hành động xáo trộn vật lý. Danh sách này có thể được áp\r\ndụng cho một tập con đã được định nghĩa các thiết bị và các thành phần vật lý\r\nTSF dựa vào các cân nhắc như giới hạn công nghệ và sự phơi bày vật lý tương đối\r\ncủa thiết bị. Tập con như vậy nên được định nghĩa rõ ràng và được hiệu chỉnh.\r\nHơn thế nữa, TSF nên tự động đáp trả lại hành động xáo trộn vật lý. Sự đáp trả\r\ntự động nên theo cách mà chính sách của thiết bị được bảo toàn; ví dụ, với một\r\nchính sách giữ bí mật, việc vô hiệu hóa về mặt vật lý của thiết bị sao cho\r\nthông tin được bảo vệ sẽ không bị lấy đi là chấp nhận được.
\r\n\r\nTrong FPT_PHP.3.1, tác giả PP/ST nên xác định\r\ndanh sách các thiết bị / thành phần TSF mà TSF nên bảo vệ chống lại hành động\r\nxáo trộn vật lý trong các kịch bản được xác định trước.
\r\n\r\nJ.7. Khôi phục tin cậy (FPT_RCV)
\r\n\r\nJ.7.1. Chú thích cho người sử dụng
\r\n\r\nCác yêu cầu trong họ này đảm bảo TSF có thể\r\nxác định rằng TOE được khởi động mà không bị vô hiệu hóa chức năng bảo vệ và có\r\nthể khôi phục mà không bị vô hiệu hóa chức năng bảo vệ sau khi bị gián đoạn\r\nthao tác. Họ này là quan trọng vì trạng thái khởi động của TSF xác định việc\r\nbảo vệ của các trạng thái sau đó.
\r\n\r\nCác thành phần khôi phục tạo dựng lại các\r\ntrạng thái an toàn TSF, hoặc ngăn ngừa sự chuyển sang các trạng thái không an\r\ntoàn, như là một phản ứng trực tiếp khi gặp các hỏng hóc, gián đoạn thao tác\r\ntrong dự kiến hoặc khi khởi động. Các hỏng hóc phải được lường trước bao gồm:
\r\n\r\na) Tình trạng không thao tác của các hành\r\nđộng không che được mà luôn gây ra đổ vỡ của hệ thống (Ví dụ sự thiếu nhất quán\r\ncủa các bảng hệ thống then chốt, các chuyển giao không được kiểm soát trong nội\r\nbộ mã TSF được gây ra bởi các hỏng hóc chớp nhoáng của phần cứng hoặc phần dẻo,\r\nhỏng hóc nguồn, hỏng hóc bộ vi xử lý, hỏng hóc về truyền thông).
\r\n\r\nb) Các hỏng hóc về phương tiện truyền thông\r\ngây ra một phần hoặc tất cả các phương tiện truy truyền thông đại diện cho các\r\nđối tượng TSF làm cho chúng trở nên không thể truy nhập được hoặc bị sai lệch\r\n(ví dụ: lỗi kiểm tra chẵn lẻ, hỏng đầu đọc ổ đĩa, lỗi đọc/ghi do đầu đọc ổ đĩa\r\nbị lệch, lớp phủ từ bị bong, bui trên bề mặt ổ đĩa)
\r\n\r\nc) Sự gián đoạn thao tác gây ra bởi hành động\r\nquản lý sai lầm hoặc thiểu hành động quản lý đúng lúc (ví dụ: tắt hệ thống\r\nkhông đúng cách bằng việc tắt nguồn, bỏ qua sự khan hiếm các tài nguyên then\r\nchốt, cấu hình được cài đặt không phù hợp).
\r\n\r\nChú ý rằng việc khôi phục có thể bắt đầu một\r\nkịch bản hỏng hóc toàn bộ hoặc một phần. Mặc dù một hỏng hóc toàn bộ có thể xảy\r\nra trong một hệ điều hành đơn nhưng điều này ít có khả năng xảy ra trong một\r\nmôi trường phân tán. Trong những môi trường như vậy, các hệ thống con có thể bị\r\nhỏng nhưng các phần còn lại vẫn thao tác. Hơn nữa, các thành phần then chốt có\r\nthể có dự phòng (ổ đĩa, kênh truyền) và có thể có các điểm kiểm tra. Do đó,\r\nviệc khôi phục được diễn tả theo ý nghĩa là khôi phục về một trạng thái an\r\ntoàn.
\r\n\r\nCó các tương tác khác nhau giữa khôi phục\r\nđược tin cậy (FPT_RCV) và các thành phần Tự kiểm tra TSF (FPT_TST) được cân\r\nnhắc khi lựa chọn Khôi phục được tin cậy (FPT_RCV):
\r\n\r\na) Nhu cầu cho việc khôi phục được tin cậy có\r\nthể được chỉ ra trong các kết quả của việc tự kiểm tra TSF trong đó các kết quả\r\ncủa các phép tự kiểm tra cho biết rằng TSF đang ở trong một trạng thái không an\r\ntoàn và trở lại một trạng thái an toàn hoặc yêu cầu vào chế độ bảo dưỡng.
\r\n\r\nb) Một hỏng hóc, như được trình bày ở trên có\r\nthể được xác định bởi nhà quản trị. Hoặc là nhà quản trị thực hiện hành động để\r\nđưa TOE trở lại một trạng thái an toàn và sau đó kích hoạt các phép tự kiểm tra\r\nđể khẳng định rằng đã đạt được trạng thái an toàn. Hoặc, các phép tự kiểm tra\r\ncó thể được kích hoạt để hoàn chỉnh quá trình khôi phục.
\r\n\r\nc) Một sự kết hợp của các mục a. và b. ở\r\ntrên, trong đó nhu cầu đối với việc khôi phục được tin cậy được chỉ ra thông\r\nqua kết quả của việc tự kiểm tra TSF, nhà quản trị thực hiện các hành động để\r\nđưa TOE trở lại một trạng thái an toàn và sau đó kích hoạt các phép tự kiểm tra\r\nđể khẳng định rằng đã đạt được trạng thái an toàn.
\r\n\r\nd) Các phép tự kiểm tra phát hiện một hỏng\r\nhóc hoặc sự gián đoạn dịch vụ, sau đó hoặc là khôi phục tự động hoặc đưa vào\r\nchế độ bảo dưỡng.
\r\n\r\nHọ này xác định một chế độ bảo dưỡng. Trong\r\nchế độ bảo dưỡng, hành động bình thường có thể không thực hiện được hoặc bị cấm\r\nngặt, bằng không thì các trạng thái không an toàn có thể xảy ra. Trong các tình\r\nhuống điển hình, chỉ có người sử dụng được cho phép mới nên được cho phép để\r\ntruy nhập vào chế độ này nhưng các chi tiết thực sự về ai có thể truy nhập vào\r\nchế độ này là một chức năng của FMT: Bảo mật và quản lý. Nếu FMT: Bảo mật và\r\nquản lý không kiểm soát được ai có thể truy nhập vào chế độ này thì có thể cho\r\nphép bất kỳ người sử dụng này khôi phục hệ thống nếu TOE bắt đầu một trạng thái\r\nnhư vậy. Tuy nhiên, trong thực tế, cũng có thể không mong chờ việc người sử\r\ndụng khôi phục hệ thống có cơ hội để cấu hình TOE theo các gây vi phạm các SFR.
\r\n\r\nCác cơ chế được thiết kế để phát hiện các\r\nđiều kiện ngoại lệ trong thời gian thao tác đều nằm trong Tự kiểm tra TSF\r\n(FPT_TST), Lỗi bảo mật (FPT_FLS), và các lĩnh vực khác mà nhắm tới khái niệm\r\n"An toàn phần mềm". Có một khả năng lớn là việc sử dụng các họ này sẽ\r\nđược yêu cầu để hỗ trợ việc ban hành Khôi phục được tin cậy (FPT_RCV). Điều này\r\nlà để đảm bảo rằng TOE sẽ không thể phát hiện ra khi nào cần phải khôi phục.
\r\n\r\nTrong toàn bộ họ này, cụm từ "trạng thái\r\nan toàn" được sử dụng. Nó ám chỉ một trạng thái này đó mà TOE có dữ liệu\r\nTSF nhất quán và một TSF có thể thi hành chính sách một cách đúng đắng. Trạng\r\nthái này có thể là phần "khởi đầu" cho một hệ thống sạch, hoặc nó có\r\nthể là một trạng thái được kiểm tra nào đó.
\r\n\r\nTiếp theo việc khôi phục, cần khẳng định rằng\r\ntrạng thái an toàn đã đạt được thông qua việc tự kiểm tra của TSF. Tuy nhiên, nếu\r\nviệc khôi phục được thực hiện theo cách mà chỉ có một trạng thái an toàn đạt\r\nđược còn không thì việc khôi phục bị hỏng thì sự phụ thuộc vào thành phần tự\r\nkiểm tra TSF FPT_TST.1 Kiểm tra TSF có thể không còn cần thiết.
\r\n\r\nJ.7.2. FPT_RCV.1 Khôi phục thủ công
\r\n\r\nJ.7.2.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nTrong phân cấp của họ yêu cầu khôi phục được\r\ntin cậy, việc khôi phục chỉ yêu cầu sự can thiệp thủ công là ít được mong đợi\r\nnhất, bởi vì nó ngăn việc sử dụng hệ thống theo các thức tự động. Thành phần\r\nnày được dự định để sử dụng trong các TOE mà không yêu cầu việc khôi phục tự\r\nđộng về một trạng thái an toàn. Các yêu cầu của thành phần này làm giảm nguy cơ\r\nvô hiệu hóa chức năng bảo vệ là kết quả từ việc TOE được thực hiện có giám sát\r\ntrả về một trạng thái an toàn sau khi khôi phục từ một hỏng hóc hoặc sự gián\r\nđoạn nào khác.
\r\n\r\nJ.7.2.2. Chú thích cho đánh giá viên
\r\n\r\nCác chức năng sẵn có cho người sử dụng được\r\nphép đối với việc khôi phục được tin cậy chỉ có trong chế độ bảo dưỡng là chấp\r\nnhận được. Việc giám sát nên được đưa vào nhằm giới hạn truy nhập trong khi bảo\r\ndưỡng cho người sử dụng được cho phép.
\r\n\r\nJ.7.2. Các hoạt động
\r\n\r\nJ.7.2.3.1. Chỉ định
\r\n\r\nTrong FPT_RCV.1.1, tác giả PP/ST nên xác định\r\ndanh sách các hỏng hóc hoặc các gián đoạn (ví dụ hỏng nguồn, cạn kiệt lưu trữ\r\nkiểm tra, hoặc bất kỳ hỏng hóc hoặc gián đoạn nào) theo sau việc TOE bắt đầu\r\nchế độ bảo dưỡng.
\r\n\r\nJ.7.3. FPT_RCV.2 Khôi phục tự động
\r\n\r\nJ.7.3.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nViệc khôi phục tự động được cân coi là hữu\r\ních hơn so với khôi phục thủ công bởi vì nó cho phép máy móc thao tác theo cách\r\nthức giảm bớt sự chú ý của con người.
\r\n\r\nThành phần FPT_RCV.2 Khôi phục tự động mở\r\nrộng phạm vi bao quát tính năng của FPT_RCV.1 Khôi phục thủ công bằng cách yêu\r\ncầu rằng cần có tối thiểu một cách thức tự động khôi phục từ hỏng hóc hoặc gián\r\nđoạn dịch vụ. Nó nhắm tới nguy cơ vô hiệu hóa chức năng bảo vệ bắt nguồn từ một\r\nTOE tự động trả về một trạng thái không an toàn sau khi khôi phục từ một hỏng\r\nhóc hoặc một sự gián đoán nào khác.
\r\n\r\nJ.7.3.2. Chú thích cho đánh giá viên
\r\n\r\nCác chức năng sẵn có cho người sử dụng được\r\nphép đối với việc khôi phục được tin cậy chỉ có trong chế độ bảo dưỡng là chấp\r\nnhận được. Việc giám sát nên được đưa vào nhằm giới hạn truy nhập trong khi bảo\r\ndưỡng cho người sử dụng được cho phép.
\r\n\r\nĐối với FPT_RCV.2.1, trách nhiệm của nhà phát\r\ntriển TSF là xác định tập hợp các hỏng hóc có thể khôi phục được và các gián\r\nđoạn về dịch vụ. Giả định rằng sức mạnh của các cơ chế khôi phục tự động sẽ\r\nđược xác minh.
\r\n\r\nJ.7.3.3. Các hoạt động
\r\n\r\nJ.7.3.3.1. Chỉ định
\r\n\r\nTrong FPT_RCV.2.1, tác giả PP/ST nên xác định\r\ndanh sách các hỏng hóc hoặc gián đoạn dịch vụ (ví dụ hỏng nguồn, cạn kiệt lưu\r\ntrữ kiểm tra, hoặc bất kỳ hỏng hóc hoặc gián đoạn nào) theo sau việc TOE bắt\r\nđầu chế độ bảo dưỡng.
\r\n\r\nTrong FPT_RCV.2.2, tác giả PP/ST nên xác định\r\ndanh sách các hỏng hóc hoặc các gián đoạn khác để buộc thực hiện chức năng khôi\r\nphục tự động.
\r\n\r\nJ.7.4. FPT_RCV.3 Khôi phục tự động tránh tổn\r\nthất lớn
\r\n\r\nJ.7.4.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nKhôi phục tự động được xem là có ích hơn khôi\r\nphục thủ công nhưng lại có rủi ro về việc đánh mất một số lượng đáng kể các đối\r\ntượng. Việc ngăn ngừa sự mất mát không đáng các đối tượng cung cấp thêm tiện\r\ních cho nỗ lực khôi phục.
\r\n\r\nThành phần FPT_RCV.3 Khôi phục tự động mà\r\nkhông bị mất mát không đáng mở rộng phạm vi bao quát tính năng của FPT_RCV.2\r\nKhôi phục tự động bằng cách yêu cầu không có mất mát không đáng của dữ liệu\r\nhoặc đối tượng TSF trong TSC. Tại FPT_RCV.2 Khôi phục tự động, các cơ chế khôi\r\nphục tự động có thể khôi phục một cách được tin cậy bằng cách xóa bỏ tất cả các\r\nđối tượng và trả về cho TSF một trạng thái an toàn. Kiểu khôi phục tự động này\r\nđược ngăn ngừa trong FPT_RCV.3 Khôi phục tự động mà không bị mất mát không\r\nđáng.
\r\n\r\nThành phần này nhắm tới nguy cơ vô hiệu hóa\r\nchức năng bảo vệ là kết quả từ một TOE tự động trả về một trạng thái không an\r\ntoàn sau khi khôi phục từ một hỏng hóc hoặc sự gián đoạn khác với sự mất mát\r\nlớn về dữ liệu TSF hoặc đối tượng dưới sự kiểm soát của TSF.
\r\n\r\nJ.7.4.2. Chú thích cho đánh giá viên
\r\n\r\nCác chức năng sẵn có cho người sử dụng được\r\nphép đối với việc khôi phục được tin cậy chỉ có trong chế độ bảo dưỡng là chấp\r\nnhận được. Việc giám sát nên được đưa vào nhằm giới hạn truy nhập trong khi bảo\r\ndưỡng cho người sử dụng được cho phép.
\r\n\r\nGiả định rằng đánh giá viên sẽ xác minh sức\r\nmạnh của các cơ chế khôi phục tự động.
\r\n\r\nJ.7.4.3. Các hoạt động
\r\n\r\nJ.7.4.3.1. Chỉ định
\r\n\r\nTrong FPT_RCV.3.1, tác giả PP/ST nên xác định\r\ndanh sách các hỏng hóc hoặc gián đoạn dịch vụ (ví dụ hỏng nguồn, cạn kiệt lưu\r\ntrữ kiểm tra) theo sau việc TOE bắt đầu chế độ bảo dưỡng.
\r\n\r\nTrong FPT_RCV.3.2, tác giả PP/ST nên xác định\r\ndanh sách các hỏng hóc hoặc các gián đoạn khác mà việc khôi phục tự động là\r\nphải thực hiện được.
\r\n\r\nTrong FPT_RCV.3.3, tác giả PP/ST nên cung cấp\r\nmột định lượng về mức độ chấp nhận được mất mát dữ liệu hoặc đối tượng TSF.
\r\n\r\nJ.7.5. FPT_RCV.4 Khôi phục chức năng
\r\n\r\nJ.7.5.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nViệc khôi phục chức năng yêu cầu rằng nếu như\r\ncó hỏng hóc trong TSF thì một số SF xác định trong TSF nên hoặc là hoàn thành\r\nmột cách thành công hoặc là khôi phục về một trạng thái an toàn.
\r\n\r\nJ.7.5.2. Các hoạt động
\r\n\r\nJ.7.5.2.1. Chỉ định
\r\n\r\nTrong FPT_RCV.4.1, tác giả PP/ST nên xác định\r\ndanh sách các SF và các kịch bản hỏng hóc. Khi gặp sự kiện một trong các kịch\r\nbản đã xác định xảy ra, những SF đã được xác định phải hoặc là hoàn thành một\r\ncách thành công hoặc là khôi phục về trạng thái an toàn và chắc chắn.
\r\n\r\nJ.8. Phát hiện chạy lại (FPT_RPL)
\r\n\r\nJ.8.1. Chú thích cho người sử dụng
\r\n\r\nHọ này nhắm tới việc phát hiện xem lại đối\r\nvới các loại thực thể khác nhau và các hành động tương ứng để sửa chữa.
\r\n\r\nJ.8.2. FPT_RPL.1 Phát hiện chạy lại
\r\n\r\nJ.8.2.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nCác thực thể bao gồm ở đây là, ví dụ, thông\r\nđiệp, yêu cầu dịch vụ, phản hồi dịch vụ hoặc phiên.
\r\n\r\nJ.8.2.1.1. Chỉ định
\r\n\r\nTrong FPT_RPL.1.1, tác giả PP/ST nên cung cấp\r\nmột danh sách các thực thể đã được xác định mà việc phát hiện replay có thể\r\nthực hiện được. Ví dụ về các thực thể như vậy bao gồm: thông điệp, yêu cầu dịch\r\nvụ, phản hồi dịch vụ và phiên người sử dụng.
\r\n\r\nJ.8.2.2. Các hoạt động
\r\n\r\nJ.8.2.2.1. Chỉ định
\r\n\r\nTrong FPT_RPL.1.1, tác giả PP/ST nên cung cấp\r\nmột danh sách các thực thể đã được xác định mà việc phát hiện replay là có thể\r\nthực hiện được. Ví dụ về các thực thể như vậy bao gồm: thông điệp, yêu cầu dịch\r\nvụ, phản hồi dịch vụ và phiên người sử dụng.
\r\n\r\nTrong FPT_RPL.1.2, tác giả PP/ST nên xác định\r\nmột danh sách các hành động có thể thực hiện bởi TSF khi việc xem lại bị phát\r\nhiện. Tập hợp tiềm năng các hành động có thể thực hiện bao gồm: từ chối thực\r\nthể được xem lại, yêu cầu khẳng định thực thể từ nguồn được xác định, và ngắt\r\nđối tượng mà thực thể được xem lại bắt nguồn từ đó.
\r\n\r\nJ.9. Giao thức đồng bộ trạng thái (FPT_SSP)
\r\n\r\nJ.9.1. Chú thích cho người sử dụng
\r\n\r\nCác hệ thống phân tán có thể làm tăng độ phức\r\ntạp hơn là các hệ thống tập trung thông qua tiềm năng đối với các khác biệt\r\ntrong trạng thái giữa các thành phần của hệ thống, và thông qua trễ truyền\r\nthông. Trong hầu hết các trường hợp, sự đồng bộ trạng thái giữa các chức năng\r\nphân tán liên quan tới một giao thức trao đổi, chứ không phải một hành động đơn\r\ngiản. Khi có ác ý tồn tại trong môi trường phân tán của các giao thức này, cần\r\nphải có các giao thức có khả năng tự bảo vệ phức tạp hơn.
\r\n\r\nGiao thức đồng bộ trạng thái (FPT_SSP) thiết\r\nđặt yêu cầu cho các chức năng bảo mật then chốt của TSF để sử dụng một giao\r\nthức được tin cậy. Giao thức đồng bộ trạng thái (FPT_SSP) đảm bảo rằng hai phần\r\nphân tán của TOE (ví dụ như hai máy tính) có các trạng thái của chúng được đồng\r\nbộ nhau sau một hành động liên quan tới bảo mật.
\r\n\r\nMột số trạng thái có thể không bao giờ được\r\nđồng bộ hoặc chi phí giao dịch có thể quá cao trong sử dụng thực tế; việc thu\r\nhồi một khóa mật mã là một ví dụ, trong đó việc biết được trạng thái sau hành\r\nđộng thu hồi được khởi phát có thể không bao giờ được biết tới. Hoặc là hành\r\nđộng được thực hiện và sự xác nhận không thể gửi đi được, hoặc là thông điệp bị\r\ntừ chối bởi đối tác truyền thông thù địch và việc thu hồi không bao giờ xảy ra.\r\nTính không xác định là duy nhất đối với các hệ thống phân tán. Tính không xác\r\nđịnh và sự đồng bộ trạng thái có liên quan, và một giải pháp như nhau có thể áp\r\ndụng. Sẽ là vô ích nếu thiết kế cho các trạng thái không xác định; tác giả\r\nPP/ST nên diễn tả các yêu cầu khác trong những tình huống như vậy (ví dụ phát\r\nbạo động, kiểm soát sự kiện).
\r\n\r\nJ.9.2. FPT_SSP.1 Xác nhận tin cậy một chiều\r\n(đơn)
\r\n\r\nJ.9.2.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nTrong thành phần này, TSF phải cung cấp một\r\nxác nhận cho một phần khác của TSF khi được yêu cầu. Việc xác nhận này nên chỉ\r\nrõ rằng một phần của TOE phân tán đã nhận thành công một sự chuyển giao không\r\nbị thay đổi từ một phần khác của TOE phân tán.
\r\n\r\nJ.9.3. FPT_SSP.2 Xác nhận tin cậy hai chiều
\r\n\r\nJ.9.3.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nTrong thành phần này, ngoài TSF có khả năng\r\ncung cấp một xác nhận về việc nhận được dữ liệu truyền, TSF phải tuân theo yêu\r\ncầu từ một phần khác của TSF về một xác nhận dành cho xác nhận đã nhận được.
\r\n\r\nVí dụ, TSF tại chỗ truyền đi một số dữ liệu\r\ntới một phần ở xa của TSF. Phần ở xa của TSF xác nhận việc nhận dữ liệu thành\r\ncông và yêu cầu rằng TSF gửi phải khẳng định là nhận được xác nhận đó. Cơ chế này\r\ncung cấp thêm sự tin tưởng rằng cả hai phần của TSF liên quan tới việc truyền\r\ndữ liệu biết được rằng việc truyền đã hoàn thành thành công.
\r\n\r\nJ.10. Nhãn thời gian (FPT_STM)
\r\n\r\nJ.10.1. Chú thích cho người sử dụng
\r\n\r\nHọ này nhắm tới các yêu cầu đối với một chức\r\nnăng dấu thời gian nằm trong một TOE. Nhiệm vụ của tác giả PP/ST là làm rõ ý\r\nnghĩa của cụm từ "dấu thời gian tin cậy được" và xác định trách nhiệm\r\ntrong việc xác định sự chấp nhận tin cậy.
\r\n\r\nJ.10.2. FPT_STM.1 Thẻ thời gian tin cậy
\r\n\r\nJ.10.2.1. Chú thích cho ứng dụng người sử\r\ndụng
\r\n\r\nMột số khả năng sử dụng của thành phần này\r\nbao gồm việc cung cấp dấu thời gian cho các mục đích kiểm soát cũng như cho\r\nviệc kết thúc thuộc tính bảo mật.
\r\n\r\nJ.11. Tính nhất quán dữ liệu liên-TSF\r\n(FPT_TDC)
\r\n\r\nJ.11.1. Chú thích cho người sử dụng
\r\n\r\nTrong một môi trường phân tán hoặc hệ thống\r\nghép, một TOE có thể cần trao đổi dữ liệu TSF (ví dụ các thuộc tính SFP liên\r\nkết với dữ liệu, thông tin kiểm soát, thông tin định danh) với sản phẩm IT được\r\ntin cậy khác. Họ này định nghĩa các yêu cầu đối với việc chia sẻ và thông dịch\r\nnhất quán các thuộc tính giữa TSF của TOE và các thuộc tính của một sản phẩm IT\r\nđược tin cậy khác.
\r\n\r\nCác thành phần trong họ này được dự định để\r\ncung cấp các yêu cầu đối với sự hỗ trợ tự động cho sự nhất quán dữ liệu TSF khi\r\ndữ liệu như vậy được truyền đi giữa TSF của TOE và sản phẩm IT được tin cậy\r\nkhác. Cũng có thể các điều kiện hoàn toàn thủ tục có thể được sử dụng để tạo ra\r\ntính nhất quán thuộc tính bảo mật, nhưng chúng không được cung cấp ở đây.
\r\n\r\nHọ này khác với FDP_ETC và FDP_ITC, vì hai họ\r\nnày chỉ liên quan tới việc giải quyết các thuộc tính bảo mật giữa TSF và các\r\nphương diện xuất/nhập của nó. Nếu tính toàn vẹn của dữ liệu TSF được xét tới,\r\ncác yêu cầu nên được chọn từ họ. Tính toàn vẹn của dữ liệu TSF được xuất\r\n(FPT_ITI). Các thành phần này xác định các yêu cầu đối với TSF để có thể phát\r\nhiện hoặc phát hiện và sửa các thay đổi đối với dữ liệu TSF khi chuyển qua.
\r\n\r\nJ.11.2. FPT_TDC.1 Tính nhất quán dữ liệu TSF\r\ncơ bản liên-TSF
\r\n\r\nJ.11.2.1. Chú thích cho ứng dụng người sử\r\ndụng
\r\n\r\nTSF chịu trách nhiệm duy trì tính nhất quán\r\ncủa dữ liệu TSF được sử dụng bởi hoặc được liên kết với chức năng cụ thể và các\r\nchức năng chung cho hai hoặc nhiều hệ thống được tin cậy. Để dữ liệu TSF được\r\nsử dụng hợp lý (ví dụ để tạo cho dữ liệu người sử dụng có cùng mức độ bảo vệ\r\nnhư ở bên trong TOE) bằng cách nhận sản phẩm IT được tin cậy, TOE và sản phẩm\r\nIT được tin cậy khác phải sử dụng một giao thức được thiết lập trước để trao\r\nđổi dữ liệu TSF.
\r\n\r\nJ.11.2.2. Các hoạt động
\r\n\r\nJ.11.2.2.1. Chỉ định
\r\n\r\nTrong FPT_TDC.1.1, tác giả PP/ST nên định\r\nnghĩa danh sách các kiểu dữ liệu TSF mà TSF sẽ cung cấp khả năng thông dịch một\r\ncách nhất quán khi được chia sẻ giữa TSF và sản phẩm IT được tin cậy khác.
\r\n\r\nTrong FPT_TDC.1.2, tác giả PP/ST nên Chỉ định\r\ndanh sách các quy tắc thông dịch sẽ được áp dụng bởi TSF.
\r\n\r\nJ.12. Kiểm thử các thực thể bên ngoài\r\n(FPT_TEE)
\r\n\r\nJ.12.1. Chú thích cho người sử dụng
\r\n\r\nHọ này định nghĩa các yêu cầu việc kiểm thử\r\nmột hoặc hơn nữa các thực thể bên ngoài do TSF thực hiện. Các thực thể bên\r\nngoài này không phải là người dùng, và chúng có thể gồm liên hợp của phần mềm\r\nvà/hoặc phầnc ứng tương tác với TOE.
\r\n\r\nMẫu kiểu kiểm thử có thể là:
\r\n\r\na) Các kiểm thử đối với sự xuất hiện của\r\ntường lửa, và có thể xem việc cấu hình đã đúng chưa.
\r\n\r\nb) Các kiểm thử một số tài sản của hệ điều\r\nhành mà một TOE chạy trên đó.
\r\n\r\nc) Kiểm thử một số tài sản của IC mà một OS\r\nTOE thẻ thông minh chạy trên đó (có nghĩa máy phát số ngẫu nhiên)
\r\n\r\nLưu ý rằng thực thể bên ngoài này có thể\r\n"nói dối" về kết quả kiểm thử, hoặc là có mục đích hoặc là do làm\r\nviệc không đúng.
\r\n\r\nCác kiểm thử này có thể thực hiện hoặc là chỉ\r\ntrong một số trạng thái bảo trì, lúc khởi động, đang trực tuyến, hoặc là liên\r\ntục. Các thao tác do TOE thực hiện bởi vì kết quả kiểm tra thử cũng được định\r\nnghĩa trong họ này.
\r\n\r\nJ.12.2. Các Chú thích cho đánh giá viên
\r\n\r\nCác kiểm thử thực thể bên ngoài có thể đủ để\r\nkiểm thử tất cả các đặc tính của chúng mà TSF tin cậy.
\r\n\r\nJ.12.3. FPT_TEE.1 Kiểm thử thực thể bên ngoài
\r\n\r\nJ.12.3.1. Chú thích cho ứng dụng người sử\r\ndụng
\r\n\r\nThành phần này không dự định để áp dụng cho\r\nngười dùng là con người.
\r\n\r\nThành phần này hỗ trợ cho việc kiểm thử theo\r\nđịnh kỳ các tài sản liên quan các thực thể bên ngoài mà thao tác của TSF dựa\r\nvào, bằng việc yêu cầu khả năng gọi chức năng kiểm thử định kỳ.
\r\n\r\nTác giả PP/ST có thể lọc các yêu cầu để chỉ\r\nrõ chức năng cần sẵn sàng ở chế độ on-line, off-line hay là bảo dưỡng hay\r\nkhông.
\r\n\r\nJ.12.3.2. Các Chú thích cho đánh giá viên
\r\n\r\nCác chức năng kiểm thử định kỳ sẵn sàng chỉ\r\ntrong một chế độ off-line hoặc bảo dưỡng là chấp nhận được. Trong khi bảo\r\ndưỡng, các kiểm soát cần sẵn sàng để giới hạn người dùng được cấp quyền truy\r\ncập vào.
\r\n\r\nJ.12.3.3. Các hoạt động
\r\n\r\nJ.12.3.3.1. Phép chọn
\r\n\r\nTrong FPT_TEE.1.1, tác giả PP/ST cần ghi rõ\r\nkhi nào TSF sẽ chạy kiểm thử thực thể bên ngoài, trong lúc đầu khởi động, định\r\nkỳ trong thao tác thông thường, khi một người dùng được cấp quyền yêu cầu, và\r\ntrong các điều kiện khác. Nếu các kiểm thử chạy thường xuyên, thì người dùng\r\nđầu cuối có thể tin hơn rằng TOE đang vận hành chính xác hơn là nếu các kiểm\r\nthử chạy ít thường xuyên. Tuy nhiên, cần tin rằng TOE đang vận hành chính xác\r\nphải cân bằng với ảnh hưởng tiềm năng đối với phản kháng của TOE, cũng như mọi\r\nlần, tự kiểm thử có thể làm chậm thao tác thông thường của TOE.
\r\n\r\nJ.12.3.3.2. Chỉ định
\r\n\r\nTrong FPT_TEE.1.1, tác giả PP/ST cần ghi rõ\r\ncác tài sản của các thực thể bên ngoài do các kiểm thử kiểm tra. Các ví dụ về\r\ntài sản này có thể gồm cấu hình hoặc tài sản sẵn sàng của máy chủ thư mục hỗ\r\ntrợ một số phần kiểm soát truy cập của TSF.
\r\n\r\nTrong FPT_TEE.1.1, tác giả PP/ST cần, nếu\r\nchọn các điều kiện khác, chỉ rõ tần số mà tự kiểm thử sẽ chạy. Một ví dụ của\r\nđiều kiện và tần số khác này có thể sẽ chạy kiểm thử mỗi lần người dùng yêu cầu\r\nbắt đầu một phiên với TOE. Ví dụ, có thể là trường hợp kiểm thử một máy chủ thư\r\nmục trước khi nó tương tác với TSF trong quá trình xác thực người dùng.
\r\n\r\nTrong FPT_TEE.1.2, tác giả PP/ST cần chỉ rõ\r\nthao tác nào TSF sẽ thực thi khi kiểm thử không thực hiện được. Ví dụ về thao\r\ntác này, được minh họa bởi ví dụ máy chủ thư mục, có thể bao gồm cả việc kết\r\nnối tới một máy chủ dự phòng đang sẵn sàng hoặc mặt khác cả việc tìm máy chủ\r\nsao lưu.
\r\n\r\nJ.13. Tính nhất quán bản sao dữ liệu bên\r\ntrong TOE TSF (FPT_TRC)
\r\n\r\nJ.13.1. Chú thích cho người sử dụng
\r\n\r\nCác yêu cầu của họ này là cần thiết để đảm\r\nbảo tính nhất quán của dữ liệu TSF khi dữ liệu này được sao chép ở bên trong\r\nTOE. Dữ liệu như vậy có thể trở thành không nhất quán nếu một kênh nội bộ giữa\r\ncác phần của TOE trở nên không thao tác. Nếu TOE được cấu trúc nội bộ như một\r\nmạng của các phần của TOE, điều này có thể xảy ra khi các phần bị vô hiệu hóa,\r\ncác liên kết mạng bị đứt, v.v…
\r\n\r\nCách thức đảm bảo tính nhất quán không được\r\nxác định trong thành phần này. Nó có thể đạt được thông qua một dạng của ghi\r\nnhớ giao dịch (trong đó các giao dịch thích hợp được truy lục lại cho một trạm\r\nkhi kết nối lại); nó có thể cập nhật dữ liệu được sao lưu thông qua một giao\r\nthức đồng bộ. Nếu một giao thức cụ thể là cần thiết cho một PP/ST, nó có thể\r\nđược xác định thông qua sự sàng lọc.
\r\n\r\nCũng có khả năng không thể đồng bộ được một\r\nsố trạng thái, hoặc chi phí cho việc đồng bộ như vậy là quá cao. Ví dụ của tình\r\nhuống như vậy là việc thu hồi kênh truyền thông và khóa mật mã. Các trạng thái\r\ntrung gian có thể xảy ra, nếu một hành vi cụ thể được mong đợi, nó nên được xác\r\nđịnh thông qua sự sàng lọc.
\r\n\r\nJ.13.2. FPT_TRC.1 Tính nhất quán bên trong\r\nTSF
\r\n\r\nJ.13.2.1. Các hoạt động
\r\n\r\nJ.13.2.1.1. Chỉ định
\r\n\r\nTrong FPT_TRC.1.2, tác giả PP/ST nên xác định\r\ndanh sách các SF phụ thuộc vào tính nhất quán của bản sao dữ liệu TSF.
\r\n\r\nJ.14. Tự kiểm tra TSF (FPT_TST)
\r\n\r\nJ.14.1. Chú thích cho người sử dụng
\r\n\r\nHọ này định nghĩa các yêu cầu đối với phép tự\r\nkiểm tra của TSF tương ứng với một số thao tác chính xác được kỳ vọng. Ví dụ là\r\ncác giao diện cho các chức năng bắt buộc thực hiện và các thao tác số học mẫu\r\ntrên các phần then chốt của TOE. Các phép thử này có thể được thực hiện khi\r\nkhởi động, định kỳ, theo yêu cầu của người sử dụng được cho phép, hoặc khi các\r\nđiều kiện khác được thỏa mãn. Các hành động được thực hiện bởi TOE là kết quả\r\ncủa phép tự kiểm tra được định nghĩa trong họ khác. Các yêu cầu của họ này cũng\r\nlà cần thiết để phát hiện sự hư hại của mã thực thi TSF (ví dụ phần mềm TSF) và\r\ndữ liệu TSF gây bởi nhiều hỏng hóc khác nhau và không nhất thiết gây ra việc\r\ndừng thao tác của TOE (mà có thể được quản lý bởi một họ khác). Các phép kiểm\r\ntra này phải được thực hiện bởi vì những hỏng hóc này có thể không được ngăn\r\nngừa một cách cần thiết. Những hỏng hóc như vậy có thể xảy ra hoặc là bởi vì\r\ncác chế độ hỏng hóc chưa biết trước hoặc sơ suất trong thiết kế phần cứng, phần\r\ndẻo hoặc phần mềm hoặc bởi vì sự hư hại mang tính phá hoại đối với TSF do bảo\r\nvệ logic hoặc vật lý không phù hợp.
\r\n\r\nThêm vào đó, việc sử dụng thành phần này, với\r\ncác điều kiện thích hợp, có thể giúp ngăn ngừa các thay đổi TSF không thích hợp\r\nhoặc mang tính phá hoại được áp dụng vào TOE thao tác là kết quả của các thao\r\ntác bảo dưỡng.
\r\n\r\nThuật ngữ "thao tác chính xác của\r\nTSF" trước tiên ám chỉ tới thao tác của phần mềm TSF và tính toàn vẹn của\r\ndữ liệu TSF. Cỗ máy trừu tượng mà phần mềm TSF được thực thi theo đó được kiểm\r\ntra thông qua sự phụ thuộc vào Kiểm tra cỗ máy trừu tượng bên dưới (FPT_AMT).
\r\n\r\nJ.14.2. FPT_TST.1 Kiểm tra TST
\r\n\r\nJ.14.2.1. Chú thích cho ứng dụng người sử\r\ndụng
\r\n\r\nThành phần này cung cấp hỗ trợ cho việc kiểm\r\ntra các chức năng then chốt của thao tác TSF bằng cách yêu cầu khả năng kích\r\nhoạt các chức năng kiểm tra và kiểm tra tính toàn vẹn của dữ liệu và mã thực\r\nthi TSF.
\r\n\r\nJ.14.2.2. Chú thích cho đánh giá viên
\r\n\r\nCó thể chấp nhận các chức năng dành cho người\r\nsử dụng được phép đối với việc kiểm tra định kỳ chỉ dành cho chế độ không kết\r\nnối hoặc bảo dưỡng. Các kiểm soát nên ở vị trí để hạn chế truy nhập trong các\r\nchế độ này đối với người sử dụng được cho phép.
\r\n\r\nJ.14.2.3. Các hoạt động
\r\n\r\nJ.14.2.3.1. Phép chọn
\r\n\r\nTrong FPT_TST.1.1, tác giả PP/ST nên xác định\r\nkhi nào TSF sẽ thực thi phép kiểm tra TSF; trong thời gian khởi động, định kỳ\r\ntrong thời gian thao tác bình thường, khi nhận được yêu cầu của một người sử\r\ndụng được cho phép, khi gặp các điều kiện khác. Đối với trường hợp sau, tác giả\r\nPP/ST cũng nên Chỉ định những điều kiện đó là gì thông qua các Chỉ định sau.
\r\n\r\nTrong FPT_TST.1.1, tác giả PP/ST nên xác định\r\nliệu các phép tự kiểm tra có được thực hiện hay không để chứng minh thao tác\r\nchính xác của toàn bộ TSF hoặc chỉ một số phần xác định của TSF.
\r\n\r\nJ.14.2.3.2. Chỉ định
\r\n\r\nTrong FPT_TST.1.1, tác giả PP/ST nên xác định\r\nđiều kiện mà tự phép kiểm tra nên xảy ra.
\r\n\r\nTrong FPT_TST.1.1, tác giả PP/ST nên, nếu\r\nđược lựa chọn, xác định danh sách các phần của TSF sẽ là chủ thể để tự kiểm\r\ntra.
\r\n\r\nJ.14.2.3.3. Phép chọn
\r\n\r\nTrong FPT_TST.1.2, tác giả PP/ST nên xác định\r\nliệu tính toàn vẹn dữ liệu có được xác minh đối với tất cả dữ liệu TSF không\r\nhay là chỉ với dữ liệu được lựa chọn.
\r\n\r\nJ.14.2.3.4. Chỉ định
\r\n\r\nTrong FPT_TST.1.2, tác giả PP/ST nên, nếu\r\nđược lựa chọn, xác định danh sách dữ liệu TSF sẽ được xác minh tính toàn vẹn.
\r\n\r\n\r\n\r\n
Lớp này cung cấp ba họ yêu cầu chức năng cung\r\ncấp sự sẵn sàng được yêu cầu bởi các tài nguyên chẳng hạn như khả năng tính\r\ntoán và/hoặc không gian lưu trữ. Họ chịu lỗi cung cấp việc bảo vệ chống lại sự\r\nkhông sẵn sàng của các khả năng gây ra bởi hỏng hóc của TOE. Họ Quyền ưu tiên\r\ncủa dịch vụ đảm bảo rằng các tài nguyên sẽ được cấp phát cho các nhiệm vụ quan\r\ntrọng hơn hoặc là cấp bách hơn và không thể bị độc chiếm bởi các nhiệm vụ có\r\nQuyền ưu tiên thấp hơn. Họ Cấp phát tài nguyên cung cấp các giới hạn trong việc\r\nsử dụng các tài nguyên sẵn có, từ đó ngăn chặn người sử dụng khỏi việc độc\r\nchiếm tài nguyên.
\r\n\r\nHình K.1 cho thấy phân tách của lớp này thành\r\ncác thành phần cấu thành của nó.
\r\n\r\n![](\"00907947_files/image029.jpg\")
K.1. Khả năng chịu lỗi (FRU_FLT)
\r\n\r\nK.1.1. Chú thích cho người sử dụng
\r\n\r\nHọ này cung cấp các yêu cầu đối với tính sẵn\r\ncó của các khả năng thậm chí trong cả các tình huống trục trặc. Ví dụ về các\r\ntrục trặc như vậy là trục trặc nguồn, trục trặc phần cứng hoặc lỗi phần mềm.\r\nTrong trường hợp xác định được là lỗi như vậy, TOE sẽ duy trì các khả năng đã\r\nđược xác định. Tác giả PP/ST có thể xác định rằng, ví dụ, một TOE được sử dụng\r\ntrong nhà máy hạt nhân sẽ có thể tiếp tục thao tác của quy trình tắt hệ thống\r\nkhi gặp trường hợp trục trặc nguồn hoặc trục trặc truyền thông xảy ra.
\r\n\r\nBởi vì TOE chỉ có thể tiếp tục hoạt động\r\nchính xác của nó nếu các SFR được bắt buộc thực hiện, yêu cầu là hệ thống này\r\nphải giữ nguyên trong một trạng thái an toàn sau khi gặp trục trặc. Khả năng\r\nnày được cung cấp bởi FPT_FLS.1 Trục trặc với sự duy trì trạng thái an toàn.
\r\n\r\nCác cơ chế để cung cấp khả năng chịu lỗi có\r\nthể là chủ động hoặc bị động. Nếu là cơ chế chủ động, các chức năng xác định\r\nđược đưa vào thac tác sao cho chúng được kích hoạt trong trường hợp lỗi xảy ra.\r\nVí dụ, báo động lửa là một cơ chế chủ động: TSF sẽ phát hiện lửa và có thể thực\r\nhiện hành động như chuyển thao tác sang dự phòng. Trong cơ chế bị động, kiến\r\ntrúc của TOE có khả năng quản lý lỗi. Ví dụ, việc sử dụng một cách thức bầu đa\r\nsố nro đó với nhiều bộ vi xử lý là một giải pháp bị động; trục trặc của một bộ\r\nvi xử lý sẽ không làm gián đoạn hành động của TOE (mặc dù nó cần được phát hiện\r\nđể cho phép khắc phục).
\r\n\r\nĐối với họ này, trục trặc được phát hiện một\r\ncách vô tình (chẳng hạn như ngập lụt hoặc tháo nhầm thiết bị) hoặc có chủ ý\r\n(chẳng hạn như việc độc chiếm) sẽ là không quan trọng.
\r\n\r\nK.1.2. FRU_FLT.1 Khả năng chịu lỗi suy giảm
\r\n\r\nK.1.2.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nThành phần này được dự định để xác định khả\r\nnăng nào mà TOE vẫn sẽ cung cấp sau khi xảy ra một trục trặc của hệ thống. Bởi\r\nvì thật là khó để mô tả tất cả các trục trặc, phân loại các trục trặc có thể\r\nphải xác định. Ví dụ của các trục trặc chung gồm có ngập lụt phòng máy tính,\r\nngắt nguồn điện trong thời gian ngắn, hỏng CPU hoặc máy tính, trục trặc phần\r\nmềm hoặc tràn bộ đệm.
\r\n\r\nK.1.2.2. Các hoạt động
\r\n\r\nK.1.2.2.1. Chỉ định
\r\n\r\nTrong FRU_FLT.1.1, tác giả PP/ST nên xác định\r\ndanh sách các khả năng TOE mà TOE sẽ duy trì trong suốt thời gian và sau khi\r\nmột lỗi được xác định.
\r\n\r\nTrong FRU_FLT.1.1, tác giả PP/ST nên xác định\r\ndanh sách các loại trục trặc mà TOE rõ ràng phải được bảo vệ. Nếu một trục trặc\r\ntrong danh sách này xảy ra, TOE sẽ có thể tiếp tục thao tác của nó.
\r\n\r\nK.1.3. FRU_FLT.2 Khả năng chịu đựng lỗi giới\r\nhạn
\r\n\r\nK.1.3.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nThành phần này được dự định để xác định loại\r\ntrục trặc nào mà TOE phải chống chịu được. Bởi vì thật là khó để mô tả tất cả\r\ncác trục trặc, có thể phải xác định phân loại các trục trặc. Ví dụ của các trục\r\ntrặc chung gồm có ngập lụt phòng máy tính, ngắt nguồn điện trong thời gian\r\nngắn, hỏng CPU hoặc máy tính, trục trặc phần mềm hoặc tràn bộ đệm.
\r\n\r\nK.1.3.2. Các hoạt động
\r\n\r\nK.1.3.2.1. Chỉ định
\r\n\r\nTrong FRU_FLT.2.1, tác giả PP/ST nên xác định\r\ndanh sách loại trục trặc mà TOE rõ ràng phải được bảo vệ. Nếu một trục trặc\r\ntrong danh sách xảy ra, TOE sẽ có khả năng tiếp tục thao tác của nó.
\r\n\r\nK.2. Ưu tiên dịch vụ (FRU_PRS)
\r\n\r\nK.2.1. Chú thích cho người sử dụng
\r\n\r\nCác yêu cầu của họ này cho phép TSF kiểm soát\r\nviệc sử dụng tài nguyên trong phạm vi TSF bởi người sử dụng và các chủ thể mà\r\ncác thao tác có quyền ưu tiên cao trong phạm vi TSF sẽ luôn đạt được mà không\r\nbị cản trở hoặc bị làm chậm trễ bởi các thao tác có quyền ưu tiên thấp. Nói\r\ncách khác, các nhiệm vụ cấp bách sẽ không bị trì hoãn bởi các nhiệm vụ ít cấp\r\nbách hơn.
\r\n\r\nHọ này có thể ứng dụng vào nhiều loại tài\r\nnguyên, ví dụ, khả năng xử lý và dung lượng kênh truyền thông.
\r\n\r\nCơ chế Quyền ưu tiên của dịch vụ có thể là\r\nchủ động hoặc bị động. Trong hệ thống Quyền ưu tiên của dịch vụ bị động, hệ\r\nthống sẽ lựa chọn nhiệm vụ có quyền ưu tiên cao nhất khi phải lựa chọn giữa\r\nhai ứng dụng đang đợi phục vụ. Trong khi sử dụng các cơ chế Quyền ưu tiên của\r\ndịch vụ bị động, khi một nhiệm vụ có quyền ưu tiên thấp đang chạy, nó không thể\r\nbị ngắt bởi một nhiệm vụ có quyền ưu tiên cao. Khi sử dụng các cơ chế Quyền ưu\r\ntiên của dịch vụ chủ động, các nhiệm vụ có quyền ưu tiên thấp có thể bị ngắt\r\nbởi các nhiệm vụ mới có quyền ưu tiên cao.
\r\n\r\nYêu cầu kiểm toán nói rằng tất cả các lý do\r\ntừ chối nên được kiểm toán. Người phát triển được quyết định một thao tác không\r\nbị từ chối mà bị trì hoãn.
\r\n\r\nK.2.2. FRU_PRS.1 Ưu tiên dịch vụ có giới hạn
\r\n\r\nK.2.2.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nThành phần này định nghĩa các quyền ưu tiên\r\ncho một chủ thể và các tài nguyên mà quyền ưu tiên này sẽ được sử dụng với. Nếu\r\nmột chủ thể cố gắng thao tác trên một tài nguyên được kiểm soát bởi các yêu cầu\r\nQuyền ưu tiên của Dịch vụ, truy cập và/hoặc thời gian của truy cập sẽ phụ thuộc\r\nvào quyền ưu tiên của chủ thể, quyền ưu tiên của chủ thể đang hành động, và\r\nquyền ưu tiên của các chủ thể vẫn ở trong hàng đợi.
\r\n\r\nK.2.2.2. Các hoạt động
\r\n\r\nK.2.2.2.1. Chỉ định
\r\n\r\nTrong FRU_PRS.1.2, tác giả PP/ST nên xác định\r\nmột danh sách các tài nguyên được kiểm soát mà TSF buộc thực hiện quyền ưu tiên\r\ncủa dịch vụ (ví dụ: các tài nguyên như các tiến trình, không gian đĩa, bộ nhớ,\r\nbăng thông).
\r\n\r\nK.2.3. FRU_PRS.2 Quyền ưu tiên dịch vụ đầy đủ
\r\n\r\nK.2.3.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nThành phần này định nghĩa các quyền ưu tiên\r\ncho một chủ thể. Tất cả các tài nguyên có thể chia sẻ trong TSC sẽ tùy thuộc\r\nvào cơ chế Quyền ưu tiên của Dịch vụ. Nếu một chủ thể có thực hiện trên một tài\r\nnguyên TSC chia sẻ được, truy cập và/hoặc thời gian truy cập sẽ phụ thuộc vào\r\nquyền ưu tiên của chủ thể, quyền ưu tiên của chủ thể đang hành động, và quyền\r\nưu tiên của các chủ thể vẫn ở trong hàng đợi.
\r\n\r\nK.3. Cấp phát tài nguyên (FRU_RSA)
\r\n\r\nK.3.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nCác yêu cầu của họ này cho phép TSF kiểm soát\r\nviệc sử dụng các tài nguyên trong phạm vi TSC bởi người sử dụng và các chủ thể\r\nmà việc từ chối dịch vụ không được phép sẽ không xảy ra do việc độc chiếm tài\r\nnguyên bởi người sử dụng hoặc chủ thể khác.
\r\n\r\nCác quy tắc cấp phát tài nguyên cho phép tạo\r\nra hạn ngạch hoặc các cách làm khác để định nghĩa các giới hạn đối với số lượng\r\ncủa không gian tài nguyên hoặc thời gian có thể được cấp phát vì lợi ích của\r\nmột người sử dụng hoặc một chủ thể xác định. Ví dụ, các quy tắc này có thể là:
\r\n\r\nCung cấp cho đối tượng các hạn ngạch mà giới\r\nhạn số lượng và/hoặc kích thước của các đối tượng mà một người sử dụng cụ thể\r\ncó thể cấp phát.
\r\n\r\nViệc kiểm soát việc cấp phát / giải phóng của\r\ncác đơn vị tài nguyên đã được Chỉ định trước nằm trong sự kiểm soát của TSF.
\r\n\r\nNói chung, những chức năng này sẽ được thực\r\nthi thông qua việc sử dụng các thuộc tính được Chỉ định cho người sử dụng và\r\ncác tài nguyên.
\r\n\r\nMục đích của những thành phần này là để đảm\r\nbảo một mức độ công bằng cụ thể giữa các người sử dụng và các chủ thể (ví dụ:\r\nmột người sử dụng đơn lẻ nào đó không nên cấp phát tất cả không gian sẵn có).\r\nBởi vì việc cấp phát tài nguyên thường vượt quá thời gian tồn tại của một chủ\r\nthể (tức là tệp tin thường tồn tại lâu hơn các ứng dụng mà sinh ra nó), và\r\nnhiều bản cài đặt của các chủ thể bởi cùng một người sử dụng không nên tác động\r\ntiêu cực quá nhiều tới các người sử dụng khác, các thành phần cho phép các giới\r\nhạn cấp phát liên quan tới các người sử dụng. Trong một số tình huống các tài\r\nnguyên được cấp phát bởi một chủ thể (ví dụ bộ nhớ chính hoặc chu trình CPU).\r\nTrong những ví dụ đó, các thành phần cho phép việc cấp phát tài nguyên là dựa\r\ntrên cấp bậc của chủ thể.
\r\n\r\nHọ này áp đặt các yêu cầu đối với việc cấp\r\nphát tài nguyên, không phải là bản thân việc sử dụng tài nguyên đó. Các yêu cầu\r\nkiểm toán do đó, như đã được nói tới, cũng áp dụng cho việc cấp phát tài\r\nnguyên, không áp dụng cho việc sử dụng tài nguyên đó.
\r\n\r\nK.3.2. FRU_RSA.1 Các chỉ tiêu tối đa
\r\n\r\nK.3.2.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nThành phần này cung cấp các yêu cầu đối với\r\ncơ chế hạn ngạch mà chỉ áp dụng cho một tập hợp xác định các tài nguyên có thể\r\nchia sẻ trong TOE. Các yêu cầu này cho phép các hạn ngạch gắn với một người sử\r\ndụng nào đó có thể được Chỉ định cho các nhóm người sử dụng hoặc chủ thể cũng\r\nnhư áp dụng được đối với TOE.
\r\n\r\nK.3.2.2. Các hoạt động
\r\n\r\nK.3.2.2.1. Chỉ định
\r\n\r\nTrong FRU_RSA.1.1, tác giả PP/ST nên xác định\r\ndanh sách các tài nguyên được kiểm soát mà các giới hạn cấp phát tài nguyên tối\r\nđa được yêu cầu với chúng (ví dụ các tiến trình, không gian đĩa, bộ nhớ, băng\r\nthông). Nếu tất cả các tài nguyên trong TSF cần được bao gồm, cụm từ "tất\r\ncả các tài nguyên TSF" có thể được xác định.
\r\n\r\nK.3.2.2.2. Phép chọn
\r\n\r\nTrong FRU_RSA.1.1, tác giả PP/ST nên lựa chọn\r\nxem liệu các hạn ngạch tối đa có áp dụng cho những người sử dụng đơn lẻ, cho\r\nmột nhóm người sử dụng hoặc chủ thể đã được định nghĩa, hoặc bất kỳ kết hợp nào\r\nđó của các đối tượng này.
\r\n\r\nTrong FRU_RSA.1.1, tác giả PP/ST nên lựa chọn\r\nxem liệu các hạn ngạch tối đa có thể áp dụng cho bất kỳ thời gian nào (một cách\r\nđồng thời), hoặc trong một khoảng thời gian cụ thể.
\r\n\r\nK.3.3. FRU_RSA.2 Các chỉ tiêu tối đa và tối\r\nthiểu
\r\n\r\nK.3.3.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nThành phần này cung cấp các yêu cầu đối với\r\ncác cơ chế hạn ngạch áp dụng cho một tập hợp xác định các tài nguyên chia sẻ\r\nđược trong TOE. Các yêu cầu này cho phép các hạn ngạch gắn với một người sử\r\ndụng nào đó có thể được Chỉ định cho các nhóm người sử dụng hoặc chủ thể cũng\r\nnhư áp dụng được đối với TOE.
\r\n\r\nK.3.3.2. Các hoạt động
\r\n\r\nK.3.3.2.1. Chỉ định
\r\n\r\nTrong FRU_FRS.2.1, tác giả PP/ST nên xác định\r\ncác tài nguyên mà các giới hạn cấp phát tài nguyên tối đa và tối thiểu được yêu\r\ncầu (ví dụ các tiến trình, không gian đĩa, bộ nhớ, băng thông). Nếu tất cả các\r\ntài nguyên trong TSF cần được bao gồm, cụm từ "tất cả các tài nguyên\r\nTSF" có thể được xác định.
\r\n\r\nK.3.3.2.2. Phép chọn
\r\n\r\nTrong FRU_RSA.2.1, tác giả PP/ST nên lựa chọn\r\nxem liệu các hạn ngạch tối đa có áp dụng cho những người sử dụng đơn lẻ, cho\r\nmột nhóm đã được định nghĩa các người sử dụng hoặc các chủ thể hoặc bất kỳ kết\r\nhợp nào đó của những đối tượng này.
\r\n\r\nTrong FRU_RSA.2.1, tác giả PP/ST nên lựa chọn\r\nliệu các hạn ngạch tối đa có áp dụng cho thời gian bất kỳ (một cách đồng thời),\r\nhoặc trong một khoảng thời gian xác định.
\r\n\r\nK.3.3.2.3. Chỉ định
\r\n\r\nTrong FRU_RSA.2.2, tác giả PP/ST nên xác định\r\ncác tài nguyên được kiểm soát mà các giới hạn cấp phát tối thiểu được thiết đặt\r\n(ví dụ các tiến trình, không gian đĩa, bộ nhớ băng thông). Nếu tất cả các tài\r\nnguyên trong TSF cần được bao gồm, cụm từ "tất cả các tài nguyên TSF"\r\ncó thể được xác định.
\r\n\r\nK.3.3.2.4. Phép chọn
\r\n\r\nTrong FRU_RSA.2.2, tác giả PP/ST nên lựa chọn\r\nxem liệu các hạn ngạch tối thiểu có áp dụng cho những người sử dụng đơn lẻ, cho\r\nmột nhóm đã được định nghĩa các người sử dụng hoặc các chủ thể hoặc bất kỳ kết\r\nhợp nào đó của những đối tượng này.
\r\n\r\nTrong FRU_RSA.2.2, tác giả PP/ST nên lựa chọn\r\nliệu các hạn ngạch tối thiểu có áp dụng cho thời gian bất kỳ (một cách đồng\r\nthời), hoặc trong một khoảng thời gian xác định.
\r\n\r\n\r\n\r\n
Việc thiết lập phiên của người sử dụng bao\r\ngồm việc tạo ra một hoặc nhiều chủ thể thực hiện các thao tác trong TOE đại\r\ndiện cho người sử dụng. Vào lúc kết thúc thủ tục thiết lập phiên, với các yêu\r\ncầu truy nhập TOE được thỏa mãn, các chủ thể được tạo ra mang các thuộc tính\r\nđược xác định bởi các chức năng định danh và xác thực. Họ này xác định các yêu\r\ncầu chức năng đối với việc kiểm soát sự thiết lập một phiên của người sử dụng.
\r\n\r\nMột phiên của người sử dụng được định nghĩa\r\nlà khoảng thời gian bắt đầu vào lúc định danh / xác thực, hoặc nếu phù hợp hơn,\r\nlúc bắt đầu của tương tác giữa người sử dụng và hệ thống, cho đến lúc tất cả\r\ncác chủ thể (các tài nguyên và các thuộc tính) liên quan tới phiên đó được giải\r\nphóng.
\r\n\r\nHình L.1 minh họa cấu trúc của lớp này thành\r\ncác thành phần cấu thành của nó.
\r\n\r\n![](\"00907947_files/image030.jpg\")
L.1. Giới hạn trên phạm vi các thuộc tính có\r\nthể lựa chọn (FTA_LSA)
\r\n\r\nL.1.1. Chú thích cho người sử dụng
\r\n\r\nHọ này định nghĩa các yêu cầu sẽ giới hạn các\r\nthuộc tính an toàn phiên mà một người sử dụng có thể lựa chọn và các chủ thể mà\r\nmột người sử dụng có thể được gắn với dựa vào: phương thức của truy cập nhập;\r\nvị trí hoặc cổng truy nhập; và/hoặc thời gian (ví dụ giờ-trong-ngày,\r\nngày-trong-tuần).
\r\n\r\nHọ này cung cấp khả năng cho một tác giả\r\nPP/ST để xác định các yêu cầu đối với TSF để đặt các giới hạn cho miền của các\r\nthuộc tính an ninh của người sử dụng dựa vào một điều kiện môi trường. Ví dụ,\r\nmột người sử dụng có thể được cho phép để thiết lập một "phiên bí\r\nmật" trong suốt nhiều giờ làm việc bình thường nhưng ngoài các giờ đó ra\r\ncũng người sử dụng này có thể bị giới hạn chỉ thiết lập được "các phiên\r\nkhông bí mật". Định danh của các ràng buộc có liên quan tên miền của các\r\nthuộc tính lựa chọn được có thể đạt được thông qua việc sử dụng thao tác lựa\r\nchọn. Các ràng buộc này có thể được ứng dụng trên cơ sở thuộc tính này kế tiếp\r\nthuộc tính kia. Khi tồn tại một nhu cầu xác định các ràng buộc trên nhiều thuộc\r\ntính thành phần này sẽ phải được lặp lại cho mỗi thuộc tính. Các ví dụ về các\r\nthuộc tính có thể được sử dụng để giới hạn các thuộc tính an ninh phiên là:
\r\n\r\na) Phương thức truy nhập có thể được sử dụng\r\nđể xác định kiểu môi trường mà người sử dụng sẽ thao tác (ví dụ giao thức\r\ntruyền tệp, đầu cuối, vtam).
\r\n\r\nb) Vị trí của truy nhập có thể được sử dụng\r\nđể giới hạn miền của các thuộc tính lựa chọn được của người sử dụng dựa vào một\r\nvị trí của người sử dụng hoặc cổng truy nhập. Khả năng này là sử dụng cụ thể\r\ntrong các môi trường sẵn có các phương tiện quay số hoặc các phương tiện mạng.
\r\n\r\nc) Thời điểm truy nhập có thể được sử dụng để\r\ngiới hạn miền của các thuộc tính lựa chọn được của người sử dụng. Ví dụ, các\r\nkhoảng có thể dựa vào giờ-trong-ngày, ngày-trong-tuần, hoặc các ngày cụ thể.\r\nRàng buộc này cung cấp một số bảo vệ đối với các thao tác của người sử dụng mà\r\ncó thể xảy ra vào một thời điểm mà việc giám sát phù hợp hoặc các biện pháp thủ\r\ntục phù hợp có thể không được sử dụng.
\r\n\r\nL.1.2. FTA_LSA.1 Giới hạn trên phạm vi các\r\nthuộc tính có thể lựa chọn
\r\n\r\nL.1.2.1. Các hoạt động
\r\n\r\nL.1.2.1.1. Chỉ định
\r\n\r\nTrong FTA_LSA.1.1, tác giả PP/ST nên xác định\r\ntập hợp các thuộc tính an ninh phiên được ràng buộc. Ví dụ của các thuộc tính\r\nan ninh phiên này là mức độ được phép của người sử dụng, mức độ toàn vẹn và các\r\nvai trò.
\r\n\r\nTrong FTA_LSA.1.1, tác giả PP/ST nên xác định\r\ntập hợp các thuộc tính có thể được sử dụng để xác định phạm vi của các thuộc\r\ntính an ninh phiên. Ví dụ của các thuộc tính như vậy là định danh người sử\r\ndụng, vị trí thao tác, thời điểm truy nhập và phương thức truy nhập.
\r\n\r\nL.2. Giới hạn về nhiều phiên diễn ra đồng\r\nthời (FTA_MCS)
\r\n\r\nL.2.1. Chú thích cho người sử dụng
\r\n\r\nHọ này định nghĩa số lượng phiên mà một người\r\nsử dụng có thể có đồng thời (các phiên đồng thời). Số lượng các phiên đồng thời\r\nnày có thể hoặc là tập hợp của một nhóm người sử dụng hoặc đối với mỗi người sử\r\ndụng đơn lẻ.
\r\n\r\nL.2.2. FTA_MCS.1 Giới hạn cơ sở trên đa phiên\r\nđồng thời
\r\n\r\nL.2.2.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nThành phần này cho phép hệ thống giới hạn số\r\nlượng phiên để sử dụng hiệu quả các tài nguyên của TOE.
\r\n\r\nL.2.2.2. Các hoạt động
\r\n\r\nL.2.2.2.1. Chỉ định
\r\n\r\nTrong FTA_MCS.1.2, tác giả PP/ST nên xác định\r\nmột số lượng ngầm định các phiên đồng thời được sử dụng.
\r\n\r\nL.2.3. FTA_MCS.2 Giới hạn thuộc tính mỗi\r\nngười dùng cho nhiều phiên đồng thời
\r\n\r\nL.2.3.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nThành phần này cung cấp các khả năng bổ sung\r\ncho FTA_MCS.1 Giới hạn cơ bản về số lượng phiên đồng thời, bằng cách cho phép\r\nthực hiện nhiều ràng buộc hơn đối với số lượng phiên đồng thời mà người sử dụng\r\ncó thể kích hoạt. Các ràng buộc này là dưới dạng các thuộc tính an ninh của\r\nngười sử dụng, chẳng hạn như định danh người sử dụng hoặc tư cách của một vai\r\ntrò.
\r\n\r\nL.2.3.2. Các hoạt động
\r\n\r\nL.2.3.2.1. Chỉ định
\r\n\r\nTrong FTA_MCS.2.1, tác giả PP/ST nên xác định\r\ncác quy tắc xác định số lượng tối đa các phiên đồng thời. Một ví dụ về một quy\r\ntắc như vậy là "số lượng tối đa các phiên đồng thời là một nếu người sử\r\ndụng có một mức phân loại "bí mật" và bằng năm trong những trường hợp\r\ncòn lại".
\r\n\r\nTrong FTA_MCS.2.2, tác giả PP/ST nên xác định\r\nsố lượng tối đa ngầm định các phiên đồng thời được sử dụng.
\r\n\r\nlại người sử dụng, phải xảy ra.
\r\n\r\nL.3. Khóa và chấm dứt phiên (FTA_SSL)
\r\n\r\nL.3.1. Chú thích cho người sử dụng
\r\n\r\nHọ này định nghĩa các yêu cầu đối với TSF để\r\ncung cấp khả năng khóa và mở khóa người dùng đầu hoặc TSF đầu và hủy các phiên\r\ntương tác.
\r\n\r\nKhi một người sử dụng đang tương tác trực\r\ntiếp với các chủ thể trong TOE (phiên tương tác), thiết bị đầu cuối của người\r\nsử dụng là có thể bị tấn công nếu bị bỏ mặc. Họ này cung cấp các yêu cầu đối\r\nvới TSF để cấm thao tác (khóa) thiết bị đầu cuối hoặc kết thúc phiên sau một\r\nkhoảng thời gian xác định không thao tác, và đối với người sử dụng để kích hoạt\r\nviệc cấm thao tác (khóa) thiết bị đầu cuối hoặc hủy phiên. Để kích hoạt lại\r\nthiết bị đầu cuối, một sự kiện được xác định bởi tác giả PP/ST, chẳng hạn như\r\nxác thực lại người dùng phải xảy ra.
\r\n\r\nMột người sử dụng được coi là không thao tác\r\nnếu người đó không cung cấp bất kỳ kích thích nào với TOE trong một khoảng thời\r\ngian cụ thể.
\r\n\r\nMột tác giả PP/ST nên cân nhắc liệu có nên\r\nbao gồm FTP_TRP.1 Đường truyền được tin cậy. Trong trường hợp như vậy, chức\r\nnăng "khóa phiên" nên được bao gồm trong tháo tác tại FTP_TRP.1\r\nĐường truyền được tin cậy.
\r\n\r\nL.3.2. FTA_SSL.1 Khóa phiên khởi tạo bởi TSF
\r\n\r\nL.3.2.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nFTA_SSL.1 khóa phiên được khởi phát bởi TSF\r\ncung cấp khả năng cho TSF để khóa một phiên người sử dụng đang thao tác sau một\r\nkhoảng thời gian xác định. Việc khóa một thiết bị đầu cuối có thể ngăn ngừa bất\r\nkỳ tương tác nào thêm với một phiên đang thao tác thông qua việc sử dụng đầu\r\ncuối đã bị khóa.
\r\n\r\nNếu các thiết bị hiển thị được ghi đè, nội\r\ndung thay thể không nhất thiết là tĩnh (tức là cho phép "các thao tác tiết\r\nkiệm màn hình").
\r\n\r\nThành phần này cho phép tác giả PP/ST xác\r\nđịnh sự kiện nào sẽ mở khóa cho phiên. Các sự kiện này có thể liên quan tới\r\nthiết bị đầu cuối (ví dụ tập hợp cố định các phím để mở khóa cho phiên), người\r\nsử dụng (ví dụ xác thực lại) hoặc thời gian.
\r\n\r\nL.3.2.2. Các hoạt động
\r\n\r\nL.3.2.2.1. Chỉ định
\r\n\r\nTrong FTA_SSL.1.1, tác giả PP/ST nên xác định\r\nkhoảng thời gian không thao tác của người sử dụng từ đó kích hoạt việc khóa một\r\nphiên tương tác. Nếu điều này được mong đợi, tác giả PP/ST có thể, thông qua\r\nviệc Chỉ định, xác định khoảng thời gian còn lại dành cho một nhà quản trị được\r\ncho phép hoặc người sử dụng đó. Các chức năng quản lý trong lớp FMT có thể xác\r\nđịnh khả năng để thay đổi khoảng thời gian này, đưa chúng trở thành giá trị\r\nngầm định.
\r\n\r\nTrong FTA_SSL.1.2, tác giả PP/ST nên xác định\r\ncác sự kiện nên xảy ra trước khi phiên được mở khóa. Các ví dụ về một sự kiện như\r\nvậy là: "xác thực lại người sử dụng" hoặc "người sử dụng nhập\r\nvào một chuỗi phím để mở khóa".
\r\n\r\nL.3.3. FTA_SSL.2 Khóa tạo bởi người dùng
\r\n\r\nL.3.3.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nFTA_SSL.2 Việc mở khóa được khởi phát bởi\r\nngười sử dụng cung cấp khả năng đối với một người sử dụng được cho phép để khóa\r\nvà mở khóa phiên tương tác riêng của người đó. Điều đó cung cấp cho người sử\r\ndụng được cho phép khả năng để phong tỏa một cách hiệu quả việc sử dụng thêm\r\ncác phiên đang thao tác mà không phải ngắt phiên đang thao tác.
\r\n\r\nNếu các thiết bị hiển thị được ghi đè, nội\r\ndung thay thế không nhất thiết là tĩnh (tức là cho phép "các thao tác tiết\r\nkiệm màn hình").
\r\n\r\nL.3.3.2. Các hoạt động
\r\n\r\nL.3.3.2.1. Chỉ định
\r\n\r\nTrong FTA_SSL.2.2, tác giả PP/ST nên xác định\r\ncác sự kiện nên xảy ra trước khi phiên được mở khóa. Các ví dụ về một sự kiện\r\nnhư vậy là: "xác thực lại người sử dụng" hoặc "người sử dụng\r\nnhập vào một chuỗi phím để mở khóa".
\r\n\r\nL.3.4. FTA_SSL.3 Kết thúc phiên khởi tạo bởi\r\nTSF
\r\n\r\nL.3.4.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nFTA_SSL.3 Việc kết thúc được khởi phát bởi\r\nTSF yêu cầu TSF kết thúc một phiên người sử dụng không thao tác sau một khoảng\r\nthời gian không thao tác.
\r\n\r\nTác giả PP/ST nên biết rằng một phiên có thể\r\ntiếp tục sau khi người sử dụng kết thúc thao tác của họ, ví dụ, việc xử lý chạy\r\nnền. Yêu cầu này có thể ngắt chủ thể chạy nền này sau một khoảng thời gian không\r\nthao tác của người sử dụng mà không quan tâm tới trạng thái của chủ thể.
\r\n\r\nL.3.4.2. Các hoạt động
\r\n\r\nL.3.4.2.1. Chỉ định
\r\n\r\nTrong FTA_SSL.3.1, tác giả PP/ST nên xác định\r\nkhoảng thời gian không thao tác của người sử dụng mà sẽ khởi phát việc kết thúc\r\nmột phiên không thao tác. Nếu điều này được mong đợi, tác giả PP/ST có thể,\r\nthông qua việc Chỉ định, xác định khoảng thời gian còn lại dành cho một nhà\r\nquản trị được cho phép hoặc người sử dụng đó. Các chức năng quản lý trong lớp\r\nFMT có thể xác định khả năng để thay đổi khoảng thời gian này, đưa chúng trở\r\nthành giá trị ngầm định.
\r\n\r\nL.3.5. FTA_SSL.4 Kết thúc phiên khởi tạo bởi\r\nngười dùng
\r\n\r\nL.3.5.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nViệc hủy bỏ người dùng ban đầu FTA_SSL cho\r\nphép người dùng được cấp quyền hủy bỏ phiên tương tác của anh ta.
\r\n\r\nTác giả PP/ST cần ý thức rằng một phiên có\r\nthể tiếp tục sau khi người dùng kết thúc hoạt động của anh ta, ví dụ, xử lý cơ\r\nsở. Yêu cầu này có thể cho phép người dùng hủy bỏ đối tượng cơ sở mà không cần\r\nquan tâm đến trạng thái của chủ thể.
\r\n\r\nL.4. Các biểu trưng truy nhập TOE (FTA_TAB)
\r\n\r\nL.4.1. Chú thích cho người sử dụng
\r\n\r\nTrước khi định danh và xác thực, các yêu cầu\r\ntruy nhập TOE cung cấp khả năng cho TOE để hiển thị một thông điệp cảnh báo\r\nmang tính chất tư vấn người sử dụng tiềm năng nên gắn với việc sử dụng phù hợp\r\ncủa TOE.
\r\n\r\nL.4.2. FTA_TAB.1 Các biểu trưng truy nhập TOE\r\nmặc định
\r\n\r\nL.4.2.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nThành phần này yêu cầu việc cảnh báo mang\r\ntính chất tư vấn liên quan tới việc sử dụng không được phép của TOE. Một tác\r\ngiả PP/ST có thể sàng lọc yêu cầu để bao gồm một biểu ngữ ngầm định.
\r\n\r\nL.5. Lịch sử truy nhập TOE (FTA_TAH)
\r\n\r\nL.5.1. Chú thích cho người sử dụng
\r\n\r\nHọ này định nghĩa các yêu cầu đối với TSF để\r\nhiển thị cho người sử dụng, tiếp theo việc thiết lập thành công phiên làm việc\r\nđối với TOE, một lịch sử của các nỗ lực không thành công nhằm truy nhập tài\r\nkhoản. Lịch sử này có thể bao gồm ngày, giờ, cách thức truy nhập, và công của\r\ntruy nhập thành công cuối cùng vào TOE, cũng như số lượng các nỗ lực không\r\nthành công nhằm truy nhập vào TOE tính từ truy nhập thành công cuối cùng bởi\r\nmột người sử dụng xác định.
\r\n\r\nL.5.2. FTA_TAH.1 Lịch sử truy nhập TOE
\r\n\r\nL.5.2.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nHọ này có thể cung cấp cho người sử dụng được\r\ncho phép thông tin cho chỉ ra sự lạm dụng có thể có đối với tài khoản của người\r\nsử dụng.
\r\n\r\nThành phần này yêu cầu người sử dụng được\r\ncung cấp thông tin. Người sử dụng nên có thể xem lại thông tin, nhưng không bị\r\nbuộc phải làm như vậy. Nếu một người sử dụng muốn như vậy thì họ có thể, ví dụ,\r\ntạo ra các đoạn mã lệnh để từ chối thông tin này và bắt đầu các tiến trình\r\nkhác.
\r\n\r\nL.5.2.2. Các hoạt động
\r\n\r\nL.5.2.2.1. Phép chọn
\r\n\r\nTrong FTA_TAH.1.1, tác giả PP/ST nên lựa chọn\r\ncác thuộc tính an ninh của việc thiết lập phiên thành công cuối cùng mà sẽ được\r\nhiển thị tại giao diện người sử dụng. Các mục là: ngày, giờ, phương thức truy\r\nnhập (chẳng hạn ftp), và/hoặc vị trí (ví dụ thiết bị đầu cuối 50).
\r\n\r\nTrong FTA_TAH.1.2, tác giả PP/ST nên lựa chọn\r\ncác thuộc tính an ninh của việc thiết lập phiên thành công cuối cùng mà sẽ được\r\nhiển thị tại giao diện người sử dụng. Các mục là: ngày, giờ, phương thức truy\r\nnhập (chẳng hạn ftp), và/hoặc vị trí (ví dụ thiết bị đầu cuối 50).
\r\n\r\nL.6. Thiết lập phiên TOE (FTA_TSE)
\r\n\r\nL.6.1. Chú thích cho người sử dụng
\r\n\r\nHọ này định nghĩa các yêu cầu để từ chối chấp\r\nnhận một người sử dụng thiết lập một phiên với TOE dựa vào các thuộc tính chẳng\r\nhạn như vị trí hoặc cổng truy nhập, thuộc tính an ninh của người sử dụng (ví dụ\r\nđịnh danh, mức độ được phép, mức độ toàn vẹn, tư cách thành viên của một vai\r\ntrò), khoảng thời gian (ví dụ giờ-trong-ngày, ngày-trong-tuần, ngày theo lịch)\r\nhoặc kết hợp của các tham số trên.
\r\n\r\nHọ này cung cấp khả năng cho tác giả PP/ST để\r\nxác định các yêu cầu đối với TOE để đặt các ràng buộc lên khả năng của một\r\nngười sử dụng được cho phép để thiết lập một phiên với TOE. Định danh của các\r\nràng buộc liên quan có thể đạt được thông qua việc sử dụng thao tác lựa chọn.\r\nCác ví dụ của các thuộc tính có thể được sử dụng để xác định các ràng buộc\r\nthiết lập phiên là:
\r\n\r\na) Vị trí của truy nhập có thể được sử dụng\r\nđể ràng buộc khả năng của một người sử dụng để thiết lập một phiên thao tác với\r\nTOE dựa vào vị trí hoặc cổng truy nhập của người sử dụng. Khả năng này là tùy\r\ntừng sử dụng cụ thể trong các môi trường sẵn có các phương tiện quay số hoặc\r\ncác phương tiện mạng.
\r\n\r\nb) Các thuộc tính an ninh của người sử dụng\r\ncó thể được sử dụng để đặt các ràng buộc lên khả năng của một người sử dụng để\r\nthiết lập một phiên thao tác với TOE. Ví dụ, những thuộc tính này có thể cung\r\ncấp khả năng từ chối việc thiết lập phiên dựa vào một trong số các thông tin\r\nsau:
\r\n\r\nĐịnh danh của người sử dụng
\r\n\r\nMức độ được phép của người sử dụng
\r\n\r\nMức độ toàn vẹn của người sử dụng
\r\n\r\nTư cách thành viên của một vai trò
\r\n\r\nKhả năng này là liên quan cụ thể tới các tình\r\nhuống trong đó việc cho phép hoặc đăng nhập có thể xảy ra tại một vị trí khác\r\nso với nơi các kiểm tra truy nhập TOE được thực hiện.
\r\n\r\nc) Thời gian truy nhập có thể được sử dụng để\r\nràng buộc khả năng của một người sử dụng để thiết lập một phiên thao tác với\r\nTOE dựa vào các khoảng thời gian. Ví dụ, các khoảng thời gian có thể dựa vào\r\ngiờ-trong-ngày, ngày-trong-tuần hoặc các ngày theo lịch. Ràng buộc này cung cấp\r\nkhả năng bảo vệ mang tính chất hành động lại các hành động có thể xảy ra tại\r\nmột thời điểm mà việc giám sát thích hợp hoặc các biện pháp thủ tục thích hợp\r\ncó thể không được thực hiện.
\r\n\r\nL.6.2. FTA_TSE.1 Thiết lập phiên TOE
\r\n\r\nL.6.2.1. Các hoạt động
\r\n\r\nL.6.2.1.1. Chỉ định
\r\n\r\nTrong FTA_TSE.1.1, tác giả PP/ST nên xác định\r\ncác thuộc tính có thể được sử dụng để hạn chế thiết lập phiên. Ví dụ về các\r\nthuộc tính có thể là định danh người sử dụng, vị trí ban đầu (ví dụ không cho phép\r\nthiết bị đầu cuối ở xa), thời gian truy nhập (ví dụ các giờ ở bên ngoài\r\nkhoảng), hoặc thưởng thức truy nhập (ví dụ X-windows).
\r\n\r\n\r\n\r\n
Người sử dụng thường cần thực hiện các chức\r\nnăng thông qua tương tác trực tiếp với TSF. Một đường truyền được tin cậy cung\r\ncấp sự tin tưởng rằng một người sử dụng đang truyền thông trực tiếp với TSF bất\r\ncứ khi nào nó được kích hoạt. Một phản hồi của người sử dụng thông qua một\r\nđường truyền được tin cậy đảm bảo rằng các ứng dụng không được tin cậy không\r\nthể chặn hoặc làm thay đổi phản hồi của người sử dụng. Tương tự như vậy, các\r\nkênh được tin cậy là một các tiếp cận đối với truyền thông an toàn giữa TSF và\r\ncác sản phẩm IT được tin cậy khác.
\r\n\r\nSự thiếu vắng của một đường truyền được tin\r\ncậy có thể cho phép các lỗ hổng kiểm soát hoặc kiểm soát truy nhập trong các\r\nmôi trường mà các ứng dụng không được tin cậy được sử dụng. Những ứng dụng này\r\ncó thể chặn thông tin riêng tư của người sử dụng, chẳng hạn như mật khẩu, và sử\r\ndụng nó để đóng giả những người sử dụng khác. Kết quả là, trách nhiệm đối với\r\nbất kỳ hành động hệ thống nào không thể được Chỉ định một cách đáng tin cậy cho\r\nmột thực thể kiểm soát được. Cũng như vậy, những ứng dụng này có thể đưa ra\r\nthông tin sai trên màn hiển thị của người sử dụng không hề nghi ngờ, kết quả là\r\ncác hành động tiếp theo của người sử dụng có thể bị sai và dẫn đến lỗ hổng an\r\nninh.
\r\n\r\nHình M.1 biểu diễn phân tách của lớp này gồm\r\ncác thành phần cấu thành nó.
\r\n\r\n![](\"00907947_files/image031.jpg\")
M.1. Kênh tin cậy liên-TSF (FTP_ITC)
\r\n\r\nM.1.1. Chú thích cho người sử dụng
\r\n\r\nHọ này định nghĩa các quy tắc dành cho việc\r\ntạo ra một kết nối kênh truyền được tin cậy chạy giữa TSF và một sản phẩm IT\r\nđược tin cậy khác để đảm bảo hiệu năng của các thao tác an ninh then chốt giữa\r\ncác sản phẩm. Một ví dụ của một thao tác an ninh then chốt như vậy là việc cập nhật\r\ncơ sở dữ liệu xác thực TSF bởi việc chuyển giao dữ liệu từ một sản phẩm được\r\ntin cậy mà chức năng của nó là thu thập dữ liệu kiểm toán.
\r\n\r\nM.1.2. FTP_ITC.1 Kênh tin cậy liên TSF
\r\n\r\nM.1.2.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nThành phần này nên được sử dụng khi yêu cầu\r\nmột kênh truyền thông được tin cậy giữa TSF và một sản phẩm IT được tin cậy\r\nkhác.
\r\n\r\nM.1.2.2. Các hoạt động
\r\n\r\nM.1.2.2.1. Phép chọn
\r\n\r\nTrong FTP_ITC.1.2, tác giả PP/ST phải xác\r\nđịnh xem liệu TSF cục bộ hay sản phẩm IT được tin cậy ở xa hay cả hai sẽ có khả\r\nnăng khởi phát kênh truyền được tin cậy.
\r\n\r\nM.1.2.2.2. Chỉ định
\r\n\r\nTrong FTP_ITC.1.3, tác giả PP/ST nên xác định\r\ncác chức năng yêu cầu một kênh truyền được tin cậy. Các ví dụ về các chức năng\r\nnày có thể bao gồm việc chuyển giao người sử dụng, chủ thể và/hoặc các thuộc\r\ntính an ninh đối tượng và đảm bảo tính nhất quán của dữ liệu TSF.
\r\n\r\nM.2. Đường dẫn tin cậy (FTP_TRP)
\r\n\r\nM.2.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nHọ này định nghĩa các yêu cầu để thiết lập và\r\nduy trì việc truyền thông được tin cậy đến và đi khỏi người sử dụng và TSF. Một\r\nđường truyền được tin cậy có thể được yêu cầu đối với bất kỳ tương tác liên\r\nquan tới an ninh nào. Việc tráo đối đường truyền được tin cậy có thể được khởi\r\nphát bởi một người sử dụng trong suốt thời gian tương tác với TSF, hoặc TSF có\r\nthể thiết lập truyền thông với người sử dụng thông qua một đường truyền được\r\ntin cậy.
\r\n\r\nM.2.2. FTP_TRP.1 Đường dẫn tin cậy
\r\n\r\nM.2.2.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nThành phần này nên được sử dụng khi việc\r\ntruyền thông được tin cậy giữa một người sử dụng và TSF được yêu cầu, hoặc là\r\nchỉ dành cho các mục đích xác thực ban đầu hoặc là dành cho các thao tác bổ\r\nsung của người sử dụng xác định.
\r\n\r\nM.2.2.2. Các hoạt động
\r\n\r\nM.2.2.2.1. Phép chọn
\r\n\r\nTrong FTP_TRP.1.1, tác giả PP/ST nên xác định\r\nliệu đường truyền được tin cậy có phải được mở rộng cho người sử dụng ở xa\r\nvà/hoặc người sử dụng cục bộ hay không.
\r\n\r\nTrong FTP_TRP.1.1, tác giả PP/ST nên xác định\r\nsẽ bảo vệ dữ liệu không bị sửa đổi, để lộ và/hoặc các kiểu vi phạm tính toàn\r\nvẹn và tin cậy khác.
\r\n\r\nM.2.2.2.2. Chỉ định
\r\n\r\nTrong FTP_TRP.1.1, nếu được lựa chọn, tác giả\r\nPP/ST nên xác định bất cứ kiểu bổ sung vi phạm tính toàn vẹn và tin cậy nào\r\ntrước việc đường dẫn tin cậy sẽ bảo vệ dữ liệu.
\r\n\r\nM.2.2.2.3. Phép chọn
\r\n\r\nTrong FTP_TRP.1.2, tác giả PP/ST nên chỉ rõ\r\nTSF, người dùng nội bộ, và hoặc người dùng từ xa có thể bắt đầu đường dẫn thế\r\nnào.
\r\n\r\nTrong FTP_TRP.1.3, tác giả PP/ST nên chỉ rõ\r\nđường dẫn tin cậy sẽ được sử dụng cho xác thực người dùng đầu tiên và/hoặc cho\r\ncác dịch vụ cụ thể khác.
\r\n\r\nM.2.2.2.4. Chỉ định
\r\n\r\nTrong FTP_TRP.1.3, nếu được lựa chọn, tác giả\r\nPP/ST nên xác định các dịch vụ khác mà nếu cần sẽ yêu cầu đường dẫn tin cậy cho\r\ncác dịch vụ này.
\r\n\r\n\r\n\r\n
Lời nói đầu
\r\n\r\nLời giới thiệu
\r\n\r\n1. Phạm vi áp dụng
\r\n\r\n2. Tài liệu viện dẫn
\r\n\r\n3. Thuật ngữ, định nghĩa, ký hiệu và các từ\r\nviết tắt
\r\n\r\n4. Tổng quan
\r\n\r\n4.1. Bố cục của tiêu chuẩn
\r\n\r\n5. Mô hình các yêu cầu chức năng
\r\n\r\n6. Các thành phần chức năng an toàn
\r\n\r\n6.1. Tổng quan
\r\n\r\n6.1.1. Cấu trúc lớp
\r\n\r\n6.1.2. Cấu trúc họ
\r\n\r\n6.1.3. Cấu trúc thành phần
\r\n\r\n6.2. Danh mục thành phần
\r\n\r\n6.2.1. Nhấn mạnh các thay đổi thành phần
\r\n\r\n7. Lớp FAU: Kiểm toán an toàn
\r\n\r\n7.1. Phản hồi tự động kiểm toán an toàn\r\n(FAU_ARP)
\r\n\r\n7.1.1. Hành xử của họ
\r\n\r\n7.1.2. Phân mức thành phần
\r\n\r\n7.1.3. Quản lý của FAU_ARP.1
\r\n\r\n7.1.4. Kiểm toán FAU_ARP.1
\r\n\r\n7.1.5. Cảnh báo an toàn FAU_ARP.1
\r\n\r\n7.2. Tạo các dữ liệu kiểm toán an toàn\r\n(FAU_GEN)
\r\n\r\n7.2.1. Hành xử của họ
\r\n\r\n7.2.2. Phân mức thành phần
\r\n\r\n7.2.3. Quản lý của FAU_GEN.1, FAU_GEN.2
\r\n\r\n7.2.4. Kiểm toán của FAU_GEN1, FAU_GEN2
\r\n\r\n7.2.5. Tạo dữ liệu kiểm toán FAU_GEN.1
\r\n\r\n7.2.6. FAU_GEN.2 Kết hợp định danh người dùng
\r\n\r\n7.3. Phân tích kiểm toán an toàn (FAU_SAA)
\r\n\r\n7.3.1. Hành xử của họ
\r\n\r\n7.3.2. Phân mức thành phần
\r\n\r\n7.3.3. Quản lý của FAU_SAA.1
\r\n\r\n7.3.4. Quản lý của FAU_SAA.2
\r\n\r\n7.3.5. Quản lý của FAU_SAA.3
\r\n\r\n7.3.6. Quản lý của FAU_SAA.4
\r\n\r\n7.3.7. Kiểm toán của FAU_SAA.1, FAU_SAA.2,\r\nFAU_SAA.3, FAU_SAA.4.
\r\n\r\n7.3.8. FAU_SAA.1 Phân tích khả năng phá hoại
\r\n\r\n7.3.9. FAU_SAA.2 Phát hiện bất thường dựa\r\ntrên mô tả tóm tắt
\r\n\r\n7.3.10. FAU_SAA.3 Thử nghiệm tấn công đơn\r\ngiản
\r\n\r\n7.3.11. AU_SAA.4 Thử nghiệm tấn công phức tạp
\r\n\r\n7.4. Soát xét kiểm toán an toàn (FAU_SAR)
\r\n\r\n7.4.1. Hành xử của họ
\r\n\r\n7.4.2. Phân mức thành phần
\r\n\r\n7.4.3. Quản lý của FAU_SAR.1
\r\n\r\n7.4.4. Quản lý của FAU_SAR.2, FAU_SAR.3
\r\n\r\n7.4.5. Kiểm toán của FAU_SAR.1
\r\n\r\n7.4.6. Kiểm toán của FAU_SAR.2
\r\n\r\n7.4.7. Kiểm toán của FAU_SAR.3
\r\n\r\n7.4.8. FAU_SAR.1 Soát xét kiểm toán
\r\n\r\n7.4.9. FAU_SAR.2 Soát xét kiểm toán có hạn\r\nchế
\r\n\r\n7.4.10. FAU_SAR.3 Soát xét kiểm toán có chọn\r\nlựa
\r\n\r\n7.5. Lựa chọn sự kiện kiểm toán an toàn\r\n(FAU_SEL)
\r\n\r\n7.5.1. Hành xử của họ
\r\n\r\n7.5.2. Phân mức thành phần
\r\n\r\n7.5.3. Quản lý của FAU_SEL.1
\r\n\r\n7.5.4. Kiểm toán của FAU_SEL.1
\r\n\r\n7.5.5. FAU_SEL.1 kiểm toán lựa chọn
\r\n\r\n7.6. Lưu trữ sự kiện kiểm toán an toàn\r\n(FAU_STG)
\r\n\r\n7.6.1. Hành xử của họ
\r\n\r\n7.6.2. Phân mức thành phần
\r\n\r\n7.6.3. Quản lý của FAU_STG.1
\r\n\r\n7.6.4. Quản lý của FAU_STG.2
\r\n\r\n7.6.5. Quản lý của FAU_STG.3
\r\n\r\n7.6.6. Quản lý của FAU_STG.4
\r\n\r\n7.6.7. Kiểm toán của FAU_STG.1, FAU_STG.2
\r\n\r\n7.6.8. Kiểm toán của FAU_STG.3
\r\n\r\n7.6.9. Kiểm toán của FAU_STG.4
\r\n\r\n7.6.10. FAU_STG.1 Lưu trữ vết kiểm toán có\r\nbảo vệ
\r\n\r\n7.6.11. FAU_STG.2 Đảm bảo sự sẵn sàng của dữ\r\nliệu kiểm toán
\r\n\r\n7.6.12. FAU_STG.3 Hành động trong trường hợp\r\ndữ liệu kiểm toán có thể bị mất
\r\n\r\n7.6.13. FAU_STG.4 Ngăn chặn mất dữ liệu kiểm\r\ntoán
\r\n\r\n8. Lớp FCO: Truyền thông
\r\n\r\n8.1. Không chối bỏ nguồn gốc (FCO_NRO)
\r\n\r\n8.1.1. Hành xử của họ
\r\n\r\n8.1.2. Phân mức thành phần
\r\n\r\n8.1.3. Quản lý của FCO_NRO.1, FCO_NRO.2
\r\n\r\n8.1.4. Kiểm toán của FCO_NRO.1
\r\n\r\n8.1.5. Kiểm toán của FCO_NRO.2
\r\n\r\n8.1.6. FCO_NRO.1 Lựa chọn kiểm chứng nguồn\r\ngốc
\r\n\r\n8.1.7. FCO_NRO.2 Thực thi kiểm chứng nguồn\r\ngốc
\r\n\r\n8.2. Không thể từ chối của bên nhận (FCO_NRR)
\r\n\r\n8.2.1. Hành xử của họ
\r\n\r\n8.2.2. Phân mức thành phần
\r\n\r\n8.2.3. Quản lý của FCO_NRR.1, FCO_NRR.2
\r\n\r\n8.2.4. Kiểm toán của FCO_NRR.1
\r\n\r\n8.2.5. Kiểm toán của FCO_NRR.2
\r\n\r\n8.2.6. FCO_NRR.1 Lựa chọn kiểm chứng bên nhận
\r\n\r\n8.2.7. FCO_NRR.2 Thực thi kiểm chứng bên nhận
\r\n\r\n9. Class FCS: Hỗ trợ mật mã
\r\n\r\n9.1. Quản lý khóa mật mã (FCS_CKM)
\r\n\r\n9.1.1. Hành xử của họ
\r\n\r\n9.1.2. Phân mức thành phần
\r\n\r\n9.1.3. Quản lý của FCS_CKM.1, FCS_CKM.2,\r\nFCS_CKM.3, FCS_CKM.4
\r\n\r\n9.1.4. Kiểm toán của FCS_CKM FCS_CKM.1,\r\nFCS_CKM.2, FCS_CKM.3, FCS_CKM.4
\r\n\r\n9.1.5. FCS_CKM.1 Tạo khóa mật mã
\r\n\r\n9.1.6. FCS_CKM.2 Phân phối khóa mật mã
\r\n\r\n9.1.7. FCS_CKM.3 Truy nhập khóa mật mã
\r\n\r\n9.1.8. FCS_CKM.4 Hủy bỏ khóa mật mã
\r\n\r\n9.2. Hoạt động mật mã (FCS_COP)
\r\n\r\n9.2.1. Hành xử của họ
\r\n\r\n9.2.2. Phân mức thành phần
\r\n\r\n9.2.3. Quản lý của FCS_COP.1
\r\n\r\n9.2.4. Kiểm toán của FCS_COP.1
\r\n\r\n9.2.5. FCS_COP.1 Hoạt động mật mã
\r\n\r\n10. Lớp FDP: Bảo vệ dữ liệu người dùng
\r\n\r\n10.1. Chính sách kiểm soát truy cập (FDP_ACC)
\r\n\r\n10.1.1. Hành xử của họ
\r\n\r\n10.1.2. Phân mức thành phần
\r\n\r\n10.1.3. Quản lý của FDP_ACC.1, FDP_ACC.2
\r\n\r\n10.1.4. Kiểm toán của FDP_ACC.1, FDP_ACC.2
\r\n\r\n10.1.5. FDP_ACC.1 Kiểm soát truy nhập tập con
\r\n\r\n10.1.6. FDP_ACC.2 Kiểm soát truy nhập toàn bộ
\r\n\r\n10.2. Các chức năng kiểm soát truy nhập\r\n(FDP_ACF)
\r\n\r\n10.2.1. Hành xử của họ
\r\n\r\n10.2.2. Phân mức thành phần
\r\n\r\n10.2.3. Quản lý của FDP_ACF.1
\r\n\r\n10.2.4. Kiểm toán của FDP_ACF.1
\r\n\r\n10.2.5. FDP_ACF.1 Kiểm soát truy nhập dựa\r\ntrên thuộc tính an toàn
\r\n\r\n10.3. Xác thực dữ liệu (FDP_DAU)
\r\n\r\n10.3.1. Hành xử của họ
\r\n\r\n10.3.2. Phân mức thành phần
\r\n\r\n10.3.3. Quản lý của FDP_DAU.1, FDP_DAU.2
\r\n\r\n10.3.4. Kiểm toán của FDP_DAU.1
\r\n\r\n10.3.5. Kiểm toán của FDP_DAU.2
\r\n\r\n10.3.6. FDP_DAU.1 Xác thực dữ liệu cơ sở
\r\n\r\n10.3.7. FDP_DAU.2 Xác thực dữ liệu với định\r\ndanh người đảm bảo
\r\n\r\n10.4 . Xuất dữ liệu từ TOE (FDP_ETC)
\r\n\r\n10.4.1. Hành xử của họ
\r\n\r\n10.4.2. Phân mức thành phần
\r\n\r\n10.4.3. Quản lý của FDP_ETC.1
\r\n\r\n10.4.4. Quản lý của FDP_ETC.2
\r\n\r\n10.4.5. Kiểm toán của FDP_ETC.1, FDP_ETC.2
\r\n\r\n10.4.6. FDP_ETC.1 Xuất dữ liệu người dùng không\r\ncó các thuộc tính an toàn
\r\n\r\n10.4.7. FDP_ETC.2 Xuất dữ liệu người dùng với\r\ncác thuộc tính an toàn
\r\n\r\n10.5 . Chính sách kiểm soát luồng thông tin\r\n(FDP_IFC)
\r\n\r\n10.5.1. Hành xử của họ
\r\n\r\n10.5.2. Phân mức thành phần
\r\n\r\n10.5.3. Quản lý của FDP_IFC.1, FDP_IFC.2
\r\n\r\n10.5.4. Kiểm toán của FDP_IFC.1, FDP_IFC.2
\r\n\r\n10.5.5. FDP_IFC.1 Kiểm soát luồng thông tin\r\ntập con
\r\n\r\n10.5.6. FDP_IFC Kiểm soát luồng thông tin đầy\r\nđủ
\r\n\r\n10.6. Các chức năng kiểm soát luồng thông tin\r\n(FDP_IFF)
\r\n\r\n10.6.1. Hành xử của họ
\r\n\r\n10.6.2. Phân mức thành phần
\r\n\r\n10.6.3. Quản lý của FDP_IFF.1, FDP_IFF.2
\r\n\r\n10.6.4. Quản lý của FDP_IFF.3, FDP_IFF.4,\r\nFDP_IFF.5
\r\n\r\n10.6.5. Quản lý của FDP_IFF.6
\r\n\r\n10.6.6. Kiểm toán của FDP_IFF.1, FDP_IFF.2,\r\nFDP_IFF.5
\r\n\r\n10.6.7. Kiểm toán của FDP_IFF.3, FDP_IFF.4,\r\nFDP_IFF.6
\r\n\r\n10.6.8. FDP_IFF.1 Các thuộc tính an toàn đơn\r\ngiản
\r\n\r\n10.6.9. FDP_IFF.2 Các thuộc tính an toàn phân\r\ncấp
\r\n\r\n10.6.10. FDP_IFF.3 Giới hạn các luồng thông\r\ntin bất hợp pháp
\r\n\r\n10.6.11. FDP_IFF.4 Loại trừ từng phần các\r\nluồng thông tin bất hợp pháp
\r\n\r\n10.6.12. FDP_IFF.5 Không có các luồng thông\r\ntin bất hợp pháp
\r\n\r\n10.6.13. FDP_IFF.6 Giám sát luồng thông tin bất\r\nhợp pháp
\r\n\r\n10.7. Nhập dữ liệu từ bên ngoài TOE (FDP_ITC)
\r\n\r\n10.7.1. Hành xử của họ
\r\n\r\n10.7.2. Phân mức thành phần
\r\n\r\n10.7.3. Quản lý của FDP_ITC.1, FDP_ITC.2
\r\n\r\n10.7.4. Kiểm toán của FDP_ITC.1, FDP_ITC.2
\r\n\r\n10.7.5. FDP_ITC.1 Nhập dữ liệu người dùng\r\nkhông có các thuộc tính an toàn
\r\n\r\n10.7.6. FDP_ITC.2 Nhập dữ liệu người dùng với\r\ncác thuộc tính an toàn
\r\n\r\n10.8 . Vận chuyển nội bộ TOE (FDP_ITT)
\r\n\r\n10.8.1. Hành xử của họ
\r\n\r\n10.8.2. Phân mức thành phần
\r\n\r\n10.8.3. Quản lý của FDP_ITT.1, FDP_ITT.2
\r\n\r\n10.8.4. Quản lý của FDP_ITT.3, FDP_ITT.4
\r\n\r\n10.8.5. Kiểm toán của FDP_ITT.1, FDP_ITT.2
\r\n\r\n10.8.6. Kiểm toán của FDP_ITT.3, FDP_ITT.4
\r\n\r\n10.8.7. FDP_ITT.1 Bảo vệ vận chuyển nội bộ cơ\r\nsở
\r\n\r\n10.8.8. FDP_ITT.2 Phân tách truyền tải bởi\r\ncác thuộc tính
\r\n\r\n10.8.9. FDP_ITT.3 Giám sát toàn vẹn
\r\n\r\n10.8.10. FDP_ITT.4 Giám sát toàn vẹn dựa trên\r\nthuộc tính
\r\n\r\n10.9. Bảo vệ thông tin dư thừa (FDP_RIP)
\r\n\r\n10.9.1. Hành xử của họ
\r\n\r\n10.9.2. Phân mức thành phần
\r\n\r\n10.9.3. Quản lý của FDP_RIP.1, FDP_RIP.2
\r\n\r\n10.9.4. Kiểm toán của FDP_RIP.1, FDP_RIP.2
\r\n\r\n10.9.5. FDP_RIP.1 Bảo vệ thông tin dư thừa\r\ntập con
\r\n\r\n10.9.6. FDP_RIP.2 Bảo vệ thông tin dư thừa\r\nđầy đủ
\r\n\r\n10.10. Khôi phục (FDP_ROL)
\r\n\r\n10.10.1. Hành xử của họ
\r\n\r\n10.10.2. Phân mức thành phần
\r\n\r\n10.10.3. Quản lý của FDP_ROL.1, FDP_ROL.2
\r\n\r\n10.10.4. Kiểm toán của FDP_ROL.1, FDP_ROL.2
\r\n\r\n10.10.5. FDP_ROL.1 Khôi phục cơ bản
\r\n\r\n10.10.6. FDP_ROL.2 Khôi phục cải tiến
\r\n\r\n10.11. Toàn vẹn dữ liệu lưu trữ (FDP_SDI)
\r\n\r\n10.11.1. Hành xử của họ
\r\n\r\n10.11.2. Phân mức thành phần
\r\n\r\n10.11.3. Quản lý của FDP_SDI.1
\r\n\r\n10.11.4. Quản lý của FDP_SDI.2
\r\n\r\n10.11.5. Kiểm toán của FDP_SDI.1
\r\n\r\n10.11.6. Kiểm toán của FDP_SDI.2
\r\n\r\n10.11.7. FDP_SDI.1 Giám sát toàn vẹn dữ liệu\r\nlưu trữ
\r\n\r\n10.11.8. FDP_SDI.2 Giám sát toàn vẹn dữ liệu\r\nlưu trữ và hành động
\r\n\r\n10.12. Bảo vệ vận chuyển bí mật dữ liệu người\r\ndùng liên-TSF (FDP_UCT)
\r\n\r\n10.12.1. Hành xử của họ
\r\n\r\n10.12.2. Phân mức thành phần
\r\n\r\n10.12.3. Quản lý của FDP_UCT.1
\r\n\r\n10.12.4. Kiểm toán của FDP_UCT.1
\r\n\r\n10.12.5. FDP_UCT.1 Bí mật trao đổi dữ liệu cơ\r\nbản
\r\n\r\n10.13. Bảo vệ vận chuyển toàn vẹn dữ liệu\r\nngười dùng liên-TSF (FDP_UIT)
\r\n\r\n10.13.1. Hành xử của họ
\r\n\r\n10.13.2. Phân mức thành phần
\r\n\r\n10.13.3. Quản lý của FDP_UIT.1, FDP_UIT.2,\r\nFDP_UIT.3
\r\n\r\n10.13.4. Kiểm toán của FDP_UIT.1
\r\n\r\n10.13.5. Kiểm toán của FDP_UIT.2, FDP_UIT.3
\r\n\r\n10.13.6. FDP_UIT.1 Toàn vẹn trao đổi dữ liệu
\r\n\r\n10.13.7. FDP_UIT.2 Khôi phục trao đổi dữ liệu\r\ngốc
\r\n\r\n10.13.8. FDP_UIT.3 Khôi phục trao đổi dữ liệu\r\nđích
\r\n\r\n11. Lớp FIA: Định danh và xác thực
\r\n\r\n11.1. Các lỗi xác thực (FIA_AFL)
\r\n\r\n11.1.1. Hành xử của họ
\r\n\r\n11.1.2. Phân mức thành phần
\r\n\r\n11.1.3. Quản lý của FIA_AFL.1
\r\n\r\n11.1.4. Kiểm toán của FIA_AFL.1
\r\n\r\n11.1.5. Xử lỗi xác thực FIA_AFL.1
\r\n\r\n11.2. Định nghĩa thuộc tính người dùng\r\n(FIA_ATD)
\r\n\r\n11.2.1. Hành xử của họ
\r\n\r\n11.2.2. Phân mức thành phần
\r\n\r\n11.2.3. Quản lý của FIA_ATD.1
\r\n\r\n11.2.4. Kiểm toán của FIA_ATD.1
\r\n\r\n11.2.5. FIA_ATD.1 Định nghĩa thuộc tính người\r\ndùng
\r\n\r\n11.3. Đặc tả các của các bí mật (FIA_SOS)
\r\n\r\n11.3.1. Hành xử của họ
\r\n\r\n11.3.2. Phân mức thành phần
\r\n\r\n11.3.3. Quản lý của FIA_SOS.1
\r\n\r\n11.3.4. Quản lý của FIA_SOS.2
\r\n\r\n11.3.5. Kiểm toán của FIA_SOS.1, FIA_SOS.2
\r\n\r\n11.3.6. FIA_SOS.1 Thẩm tra của các bí mật
\r\n\r\n11.3.7. FIA_SOS.2 Tạo các bí mật TSF
\r\n\r\n11.4 . Xác thực người dùng (FIA_UAU)
\r\n\r\n11.4.1. Hành xử của họ
\r\n\r\n11.4.2. Phân mức thành phần
\r\n\r\n11.4.3. Quản lý của FIA_UAU.1
\r\n\r\n11.4.4. Quản lý của FIA_UAU.2
\r\n\r\n11.4.5. Quản lý của FIA_UAU.3, FIA_UAU.4,\r\nFIA_UAU.7
\r\n\r\n11.4.6. Quản lý của FIA_UAU.5
\r\n\r\n11.4.7. Quản lý của FIA_UAU.6
\r\n\r\n11.4.8. Kiểm toán của FIA_UAU.1
\r\n\r\n11.4.9. Kiểm toán của FIA_UAU.2
\r\n\r\n11.4.10. Kiểm toán của FIA_UAU.3
\r\n\r\n11.4.11. Kiểm toán của FIA_UAU.4
\r\n\r\n11.4.12. Kiểm toán của FIA_UAU.5
\r\n\r\n11.4.13. Kiểm toán của FIA_UAU.6
\r\n\r\n11.4.14. Kiểm toán của FIA_UAU.7
\r\n\r\n11.4.15. FIA_UAU.1 Định thời cho xác thực
\r\n\r\n11.4.16. FIA_UAU.2 Xác thực người dùng trước\r\nkhi hành động
\r\n\r\n11.4.17. FIA_UAU.3 Xác thực không thể giả mạo
\r\n\r\n11.4.18. FIA_UAU.4 Các cơ chế xác thực đơn
\r\n\r\n11.4.19. FIA_UAU.5 Cơ chế đa xác thực
\r\n\r\n11.4.20. FIA_UAU.6 Xác thực lại
\r\n\r\n11.4.21. FIA_UAU.7 Phản hồi xác thực có bảo\r\nvệ
\r\n\r\n11.5 . Định danh người dùng (FIA_UID)
\r\n\r\n11.5.1. Hành xử của họ
\r\n\r\n11.5.2. Phân mức thành phần
\r\n\r\n11.5.3. Quản lý của FIA_UID.1
\r\n\r\n11.5.4. Quản lý của FIA_UID.2
\r\n\r\n11.5.5. Kiểm toán của FIA_UID.1, FIA_UID.2
\r\n\r\n11.5.6. FIA_UID.1 Định thời cho định danh
\r\n\r\n11.5.7. FIA_UID.2 Định danh người dùng trước\r\nkhi hành động
\r\n\r\n11.6 . Liên kết chủ đề - người dùng (FIA_USB)
\r\n\r\n11.6.1. Hành xử của họ
\r\n\r\n11.6.2. Phân mức thành phần
\r\n\r\n11.6.3. Quản lý của FIA_USB.1
\r\n\r\n11.6.4. Kiểm toán của FIA_USB.1
\r\n\r\n11.6.5. FIA_USB.1 Liên kết chủ thể - người\r\ndùng
\r\n\r\n12. Lớp FMT: Quản lý an toàn
\r\n\r\n12.1. Quản lý các chức năng trong TSF\r\n(FMT_MOF)
\r\n\r\n12.1.1. Hành xử của họ
\r\n\r\n12.1.2. Phân mức thành phần
\r\n\r\n12.1.3. Quản lý của FMT_MOF.1
\r\n\r\n12.1.4. Kiểm toán của FMT_MOF.1
\r\n\r\n12.1.5. FMT_MOF.1 Các cơ chế hoạt động của\r\nquản lý chức năng an toàn
\r\n\r\n12.2. Quản lý các thuộc tính an toàn\r\n(FMT_MSA)
\r\n\r\n12.2.1. Hành xử của họ
\r\n\r\n12.2.2. Phân mức thành phần
\r\n\r\n12.2.3. Quản lý của FMT_MSA.1
\r\n\r\n12.2.4. Quản lý của FMT_MSA.2
\r\n\r\n12.2.5. Quản lý của FMT_MSA.3
\r\n\r\n12.2.6. Quản lý của FMT_MSA.4
\r\n\r\n12.2.7. Kiểm toán của FMT_MSA.1
\r\n\r\n12.2.8. Kiểm toán của FMT_MSA.2
\r\n\r\n12.2.9. Kiểm toán của FMT_MSA.3
\r\n\r\n12.2.10. Kiểm toán của FMT_MSA.4
\r\n\r\n12.2.11. FMT_MSA.1 Quản lý các thuộc tính an\r\ntoàn
\r\n\r\n12.2.12. FMT_MSA.2 Các thuộc tính an toàn
\r\n\r\n12.2.13. FMT_MSA.3 Khởi tạo các thuộc tính\r\ntĩnh
\r\n\r\n12.2.14. FMT_MSA.4 88
\r\n\r\n12.3 . Quản lý dữ liệu TSF (FMT_MTD)
\r\n\r\n12.3.1. Hành xử của họ
\r\n\r\n12.3.2. Phân mức thành phần
\r\n\r\n12.3.3. Quản lý của FMT_MTD.1
\r\n\r\n12.3.4. Quản lý của FMT_MTD.2
\r\n\r\n12.3.5. Quản lý của FMT_MTD.3
\r\n\r\n12.3.6. Kiểm toán của FMT_MTD.1
\r\n\r\n12.3.7. Kiểm toán của FMT_MTD.2
\r\n\r\n12.3.8. Kiểm toán của FMT_MTD.3
\r\n\r\n12.3.9. FMT_MTD.1 Quản lý dữ liệu TSF
\r\n\r\n12.3.10. FMT_MTD.2 Quản lý các hạn chế trên\r\ndữ liệu TSF
\r\n\r\n12.3.11. FMT_MTD.3 Dữ liệu TSF an toàn
\r\n\r\n12.4 . Hủy bỏ (FMT_REV)
\r\n\r\n12.4.1. Hành xử của họ
\r\n\r\n12.4.2. Phân mức thành phần
\r\n\r\n12.4.3. Quản lý của FMT_REV.1
\r\n\r\n12.4.4. Kiểm toán của FMT_REV.1
\r\n\r\n12.4.5. FMT_REV.1 Hủy bỏ
\r\n\r\n12.5 . Hết hạn thuộc tính an toàn (FMT_SAE)
\r\n\r\n12.5.1. Hành xử của họ
\r\n\r\n12.5.2. Phân mức thành phần
\r\n\r\n12.5.3. Quản lý của FMT_SAE.1
\r\n\r\n12.5.4. Kiểm toán của FMT_SAE.1
\r\n\r\n12.5.5. FMT_SAE.1 Cấp phép hạn chế thời gian
\r\n\r\n12.6 . Đặc tả các chức năng quản lý (FMT_SMF)
\r\n\r\n12.6.1. Hành xử của họ
\r\n\r\n12.6.2. Phân mức thành phần
\r\n\r\n12.6.3. Quản lý của FMT_SMF.1
\r\n\r\n12.6.4. Kiểm toán của FMT_SMF.1
\r\n\r\n12.6.5. FMT_SMF.1 Định rõ các chức năng quản\r\nlý
\r\n\r\n12.7 . Các quy tắc quản lý an toàn (FMT_SMR)
\r\n\r\n12.7.1. Hành xử của họ
\r\n\r\n12.7.2. Phân mức thành phần
\r\n\r\n12.7.3. Quản lý của FMT_SMR.1
\r\n\r\n12.7.4. Quản lý của FMT_SMR.2
\r\n\r\n12.7.5. Quản lý của FMT_SMR.3
\r\n\r\n12.7.6. Kiểm toán của FMT_SMR.1
\r\n\r\n12.7.7. Kiểm toán của FMT_SMR.2
\r\n\r\n12.7.8. Kiểm toán của FMT_SMR.3
\r\n\r\n12.7.9. FMT_SMR.1 Các quy tắc an toàn
\r\n\r\n12.7.10. FMT_SMR.2 Hạn chế về các vai trò an\r\ntoàn
\r\n\r\n12.7.11. FMT_SMR.3 Chỉ định các vai trò
\r\n\r\n13. Lớp FPR: Riêng tư
\r\n\r\n13.1. Nặc danh (FPR_ANO)
\r\n\r\n13.1.1. Hành xử của họ
\r\n\r\n13.1.2. Phân mức thành phần
\r\n\r\n13.1.3. Quản lý của FPR_ANO.1, FPR_ANO.2
\r\n\r\n13.1.4. Kiểm toán của FPR_ANO.1, FPR_ANO.2
\r\n\r\n13.1.5. FPR_ANO.1 Nặc danh
\r\n\r\n13.1.6. FPR_ANO.2 Nặc danh không có thông tin\r\nníu kéo
\r\n\r\n13.2 . Biệt danh (FPR_PSE)
\r\n\r\n13.2.1. Hành xử của họ
\r\n\r\n13.2.2. Phân mức thành phần
\r\n\r\n13.2.3. Quản lý của FPR_PSE.1, FPR_PSE.2,\r\nFPR_PSE.3
\r\n\r\n13.2.4. Kiểm toán của FPR_PSE.1, FPR_PSE.2,\r\nFPR_PSE.3
\r\n\r\n13.2.5. FPR_PSE.1 Biệt danh
\r\n\r\n13.2.6. FPR_PSE.2 Biệt danh nghịch đảo
\r\n\r\n13.2.7. FPR_PSE.3 Biệt danh bí danh
\r\n\r\n13.3 . Tính không thể liên kết (FPR_UNL)
\r\n\r\n13.3.1. Hành xử của họ
\r\n\r\n13.3.2. Phân mức thành phần
\r\n\r\n13.3.3. Quản lý của FPR_UNL.1
\r\n\r\n13.3.4. Kiểm toán của FPR_UNL.1
\r\n\r\n13.3.5. FPR_UNL1.1 Tính không thể liên kết
\r\n\r\n13.4. Tính không thể quan sát (FPR_UNO)
\r\n\r\n13.4.1. Hành xử của họ
\r\n\r\n13.4.2. Phân mức thành phần
\r\n\r\n13.4.3. Quản lý của FPR_UNO.1, FPR_UNO.2
\r\n\r\n13.4.4. Quản lý của FPR_UNO.3
\r\n\r\n13.4.5. Quản lý của FPR_UNO.4
\r\n\r\n13.4.6. Kiểm toán của FPR_UNO.1, FPR_UNO.2
\r\n\r\n13.4.7. Kiểm toán của FPR_UNO.3
\r\n\r\n13.4.8. Kiểm toán của FPR_UNO.4
\r\n\r\n13.4.9. FPR_UNO.1 Tính không thể quan sát
\r\n\r\n13.4.10. FPR_UNO.2 Tính không thể quan sát\r\nảnh hưởng đến cấp phát thông tin
\r\n\r\n13.4.11. FPR_UNO.3 Tính không thể quan sát\r\nkhông có thông tin níu kéo
\r\n\r\n13.4.12. FPR_UNO.4 Tính quan sát được người\r\ndùng có thẩm quyền
\r\n\r\n14. Lớp FPT: bảo vệ TSF
\r\n\r\n14.1. An toàn khi có lỗi (FPT_FLS)
\r\n\r\n14.1.1. Hành xử của họ
\r\n\r\n14.1.2. Phân mức thành phần
\r\n\r\n14.1.3. Quản lý của FPT_FLS.1
\r\n\r\n14.1.4. Kiểm toán của FPT_FLS.1
\r\n\r\n14.1.5. FPT_FLS.1 Lỗi với bảo toàn trạng thái\r\nan toàn
\r\n\r\n14.2. Tính sẵn sàng xuất dữ liệu TSF\r\n(FPT_ITA)
\r\n\r\n14.2.1. Hành xử của họ
\r\n\r\n14.2.2. Phân mức thành phần
\r\n\r\n14.2.3. Quản lý của FPT_ITA.1
\r\n\r\n14.2.4. Kiểm toán của FPT_ITA.1
\r\n\r\n14.2.5. FPT_ITA.1 Tính sẵn sàng liên TSF\r\ntrong hệ tính sẵn sàng được định nghĩa
\r\n\r\n14.3 . Tính bí mật của dữ liệu TSF xuất ra\r\n(FPT_ITC)
\r\n\r\n14.3.1. Hành xử của họ
\r\n\r\n14.3.2. Phân mức thành phần
\r\n\r\n14.3.3. Quản lý của FPT_ITC.1
\r\n\r\n14.3.4. Kiểm toán của FPT_ITC.1
\r\n\r\n14.3.5. FPT_ITC.1 Độ tin cậy liên TSF trong\r\nquá trình truyền tải
\r\n\r\n14.4 . Tính toàn vẹn của dữ liệu TSF xuất ra\r\n(FPT_ITI)
\r\n\r\n14.4.1. Hành xử của họ
\r\n\r\n14.4.2. Phân mức thành phần
\r\n\r\n14.4.3. Quản lý của FPT_ITI.1
\r\n\r\n14.4.4. Quản lý của FPT_ITI.2
\r\n\r\n14.4.5. Kiểm toán của FPT_ITI.1
\r\n\r\n14.4.6. Kiểm toán của FPT_ITI.2
\r\n\r\n14.4.7. FPT_ITI.1 Phát hiện sự thay đổi\r\nliên-TSF
\r\n\r\n14.4.8. FPT_ITI.2 Phát hiện và chỉnh sửa thay\r\nđổi liên-TSF
\r\n\r\n14.5 . Vận chuyển dữ liệu nội bộ TOE TSF\r\n(FPT_ITT)
\r\n\r\n14.5.1. Hành xử của họ
\r\n\r\n14.5.2. Phân mức thành phần
\r\n\r\n14.5.3. Quản lý của FPT_ITT.1
\r\n\r\n14.5.4. Quản lý của FPT_ITT.2
\r\n\r\n14.5.5. Quản lý của FPT_ITT.3
\r\n\r\n14.5.6. Kiểm toán của FPT_ITT.1, FPT_ITT.2
\r\n\r\n14.5.7. Kiểm toán của FPT_ITT.3
\r\n\r\n14.5.8. FPT_ITT.1 Bảo vệ vận chuyển dữ liệu\r\nnội bộ TSF cơ bản
\r\n\r\n14.5.9. FPT_ITT.2 Phân chia vận chuyển dữ\r\nliệu TSF
\r\n\r\n14.5.10. FPT_ITT.3 Giám sát tính toàn vẹn dữ\r\nliệu TSF
\r\n\r\n14.6 . Bảo vệ vật lý TSF (FPT_PHP)
\r\n\r\n14.6.1. Hành xử của họ
\r\n\r\n14.6.2. Phân mức thành phần
\r\n\r\n14.6.3. Quản lý của FPT_PHP.1
\r\n\r\n14.6.4. Quản lý của FPT_PHP.2
\r\n\r\n14.6.5. Quản lý của FPT_PHP.3
\r\n\r\n14.6.6. Kiểm toán của FPT_PHP.1
\r\n\r\n14.6.7. Kiểm toán của FPT_PHP.2
\r\n\r\n14.6.8. Kiểm toán của FPT_PHP.3
\r\n\r\n14.6.9. FPT_PHP.1 Phát hiện thụ động tấn công\r\nvật lý
\r\n\r\n14.6.10. FPT_PHP.2 Thông báo tấn công vật lý
\r\n\r\n14.6.11. FPT_PHP.3 Chống tấn công vật lý
\r\n\r\n14.7 . Khôi phục tin cậy (FPT_RCV)
\r\n\r\n14.7.1. Hành xử của họ
\r\n\r\n14.7.2. Phân mức thành phần
\r\n\r\n14.7.3. Quản lý của FPT_RCV.1
\r\n\r\n14.7.4. Quản lý của FPT_RCV.2, FPT_RCV.3
\r\n\r\n14.7.5. Quản lý của FPT_RCV.4
\r\n\r\n14.7.6. Kiểm toán của FPT_RCV.1, FPT_RCV.2,\r\nFPT_RCV.3
\r\n\r\n14.7.7. Kiểm toán của FPT_RCV.4
\r\n\r\n14.7.8. FPT_RCV.1 Khôi phục thủ công
\r\n\r\n14.7.9. FPT_RCV.2 Khôi phục tự động
\r\n\r\n14.7.10. FPT_RCV.3 Khôi phục tự động tránh\r\ntổn thất lớn
\r\n\r\n14.7.11. FPT_RCV.4 Khôi phục chức năng
\r\n\r\n14.8 . Phát hiện chạy lại (FPT_RPL)
\r\n\r\n14.8.1. Hành xử của họ
\r\n\r\n14.8.2. Phân mức thành phần
\r\n\r\n14.8.3. Quản lý của FPT_RPL.1
\r\n\r\n14.8.4. Kiểm toán của FPT_RPL.1
\r\n\r\n14.8.5. FPT_RPL.1 Phát hiện chạy lại
\r\n\r\n14.9 . Giao thức đồng bộ trạng thái (FPT_SSP)
\r\n\r\n14.9.1. Hành xử của họ
\r\n\r\n14.9.2. Phân mức thành phần
\r\n\r\n14.9.3. Quản lý của FPT_SSP.1, FPT_SSP.2
\r\n\r\n14.9.4. Kiểm toán của FPT_SSP.1, FPT_SSP.2
\r\n\r\n14.9.5. FPT_SSP.1 Xác nhận tin cậy một chiều\r\n(đơn)
\r\n\r\n14.9.6. FPT_SSP.2 Xác nhận tin cậy hai chiều
\r\n\r\n14.10. Nhãn thời gian (FPT_STM)
\r\n\r\n14.10.1. Hành xử của họ
\r\n\r\n14.10.2. Phân mức thành phần
\r\n\r\n14.10.3. Quản lý của FPT_STM.1
\r\n\r\n14.10.4 Kiểm toán của FPT_STM.1
\r\n\r\n14.10.5. FPT_STM.1 Thẻ thời gian tin cậy
\r\n\r\n14.11. Tính nhất quán dữ liệu liên-TSF\r\n(FPT_TDC)
\r\n\r\n14.11.1. Hành xử của họ
\r\n\r\n14.11.2. Phân mức thành phần
\r\n\r\n14.11.3. Quản lý của FPT_TDC.1
\r\n\r\n14.11.4. Kiểm toán của FPT_TDC.1
\r\n\r\n14.11.5. FPT_TDC.1 Tính nhất quán dữ liệu TSF\r\ncơ bản liên-TSF
\r\n\r\n14.12. Kiểm thử các thực thể bên ngoài\r\n(FPT_TEE)
\r\n\r\n14.12.1. Hành xử của họ
\r\n\r\n14.12.2. Phân mức thành phần
\r\n\r\n14.12.3. Quản lý của FPT_TEE.1
\r\n\r\n14.12.4. Kiểm toán của FPT_TEE.1
\r\n\r\n14.12.5. FPT_TEE.1 Kiểm thử các thực thể bên\r\nngoài
\r\n\r\n14.13. Tính nhất quán bản sao dữ liệu bên\r\ntrong TOE TSF (FPT_TRC)
\r\n\r\n14.13.1. Hành xử của họ
\r\n\r\n14.13.2. Phân mức thành phần
\r\n\r\n14.13.3. Quản lý của FPT_TRC.1
\r\n\r\n14.13.4. Kiểm toán của FPT_TRC.1
\r\n\r\n14.13.5. FPT_TRC.1 Tính nhất quán bên trong\r\nTSF
\r\n\r\n14.14. Tự kiểm tra TSF (FPT_TST)
\r\n\r\n14.14.1. Hành xử của họ
\r\n\r\n14.14.2. Phân mức thành phần
\r\n\r\n14.14.3. Quản lý của FPT_TST.1
\r\n\r\n14.14.4. Kiểm toán của FPT_TST.1
\r\n\r\n14.14.5. FPT_TST.1 Kiểm tra TSF
\r\n\r\n15. Lớp FRU: Sử dụng tài nguyên
\r\n\r\n15.1. Khả năng chịu lỗi (FRU_FLT)
\r\n\r\n15.1.1. Hành xử của họ
\r\n\r\n15.1.2. Phân mức thành phần
\r\n\r\n15.1.3. Quản lý của FRU_FLT.1, FRU_FLT.2
\r\n\r\n15.1.4. Kiểm toán của FRU_FLT.1
\r\n\r\n15.1.5. Kiểm toán của FRU_FLT.2
\r\n\r\n15.1.6. FRU_FLT.1 Khả năng chịu lỗi suy giảm
\r\n\r\n15.1.7. FRU_FLT.2 Khả năng chịu lỗi giới hạn
\r\n\r\n15.2. Ưu tiên dịch vụ (FRU_PRS)
\r\n\r\n15.2.1. Hành xử của họ
\r\n\r\n15.2.2. Phân mức thành phần
\r\n\r\n15.2.3. Quản lý của FRU_PRS.1, FRU_PRS.2
\r\n\r\n15.2.4. Kiểm toán của FRU_PRS.1, FRU_PRS.2
\r\n\r\n15.2.5. FRU_PRS.1 Ưu tiên dịch vụ có giới hạn
\r\n\r\n15.2.6. FRU_PRS.2 Quyền ưu tiên dịch vụ đầy\r\nđủ
\r\n\r\n15.3. Cấp phát tài nguyên (FRU_RSA)
\r\n\r\n15.3.1. Hành xử của họ
\r\n\r\n15.3.2. Phân mức thành phần
\r\n\r\n15.3.3. Quản lý của FRU_RSA.1
\r\n\r\n15.3.4. Quản lý của FRU_RSA.2
\r\n\r\n15.3.5. Kiểm toán của FRU_RSA.1, FRU_RSA.2
\r\n\r\n15.3.6. FRU_RSA.1 Các chỉ tiêu tối đa
\r\n\r\n15.3.7. FRU_RSA.2 Các chỉ tiêu tối đa và tối\r\nthiểu
\r\n\r\n16. Lớp FTA: Truy nhập TOE
\r\n\r\n16.1. Giới hạn trên phạm vi các thuộc tính có\r\nthể lựa chọn (FTA_LSA)
\r\n\r\n16.1.1. Hành xử của họ
\r\n\r\n16.1.2. Phân mức thành phần
\r\n\r\n16.1.3. Quản lý của FTA_LSA.1
\r\n\r\n16.1.4. Kiểm toán của FTA_LSA.1
\r\n\r\n16.1.5. FTA_LSA.1 Giới hạn trên phạm vi các\r\nthuộc tính có thể lựa chọn
\r\n\r\n16.2 . Giới hạn về nhiều phiên diễn ra đồng\r\nthời (FTA_MCS)
\r\n\r\n16.2.1. Hành xử của họ
\r\n\r\n16.2.2. Phân mức thành phần
\r\n\r\n16.2.3. Quản lý của FTA_MCS.1
\r\n\r\n16.2.4. Quản lý của FTA_MCS.2
\r\n\r\n16.2.5. Kiểm toán của FTA_MCS.1, FTA_MCS.2
\r\n\r\n16.2.6. FTA_MCS.1 Giới hạn cơ sở trên đa\r\nphiên đồng thời
\r\n\r\n16.2.7. FTA_MCS.2 Giới hạn thuộc tính mỗi\r\nngười dùng cho nhiều phiên đồng thời
\r\n\r\n16.3 . Khóa và chấm dứt phiên (FTA_SSL)
\r\n\r\n16.3.1. Hành xử của họ
\r\n\r\n16.3.2. Phân cấp thành phần
\r\n\r\n16.3.3. Quản lý của FTA_SSL.1
\r\n\r\n16.3.4. Quản lý của FTA_SSL.2
\r\n\r\n16.3.5. Quản lý của FTA_SSL.3
\r\n\r\n16.3.6. Quản lý của FTA_SSL.4
\r\n\r\n16.3.7. Kiểm toán của FTA_SSL.1, FTA_SSL.2
\r\n\r\n16.3.8. Kiểm toán của FTA_SSL.3
\r\n\r\n16.3.9. Kiểm toán của FTA_SSL.4
\r\n\r\n16.3.10. FTA_SSL.1 Khóa phiên khởi tạo bởi\r\nTSF
\r\n\r\n16.3.11. FTA_SSL.2 Khóa khởi tạo bởi người\r\ndùng
\r\n\r\n16.3.12. FTA_SSL.3 Kết thúc phiên khởi tạo\r\nbởi TSF
\r\n\r\n16.4 . Các biểu trưng truy nhập TOE (FTA_TAB)
\r\n\r\n16.4.1. Hành xử của họ
\r\n\r\n16.4.2. Phân mức thành phần
\r\n\r\n16.4.3. Quản lý của FTA_TAB.1
\r\n\r\n16.4.4. Kiểm toán của FTA_TAB.1
\r\n\r\n16.4.5. FTA_TAB.1 Các biểu trưng truy nhập\r\nTOE mặc định
\r\n\r\n16.5 . Lịch sử truy nhập TOE (FTA_TAH)
\r\n\r\n16.5.1. Hành xử của họ
\r\n\r\n16.5.2. Phân mức thành phần
\r\n\r\n16.5.3. Quản lý của FTA_TAH.1
\r\n\r\n16.5.4. Kiểm toán của FTA_TAH.1
\r\n\r\n16.5.5. FTA_TAH.1 Lịch sử truy nhập TOE
\r\n\r\n16.6. Thiết lập phiên TOE (FTA_TSE)
\r\n\r\n16.6.1. Hành xử của họ
\r\n\r\n16.6.2. Phân mức thành phần
\r\n\r\n16.6.3. Quản lý của FTA_TSE.1
\r\n\r\n16.6.4. Kiểm toán của FTA_TSE.1
\r\n\r\n16.6.5. FTA_TSE.1 Thiết lập phiên TOE
\r\n\r\n17. Lớp FTP: Đường dẫn/Kênh tin cậy
\r\n\r\n17.1. Kênh tin cậy liên-TSF (FTP_ITC)
\r\n\r\n17.1.1. Hành xử của họ
\r\n\r\n17.1.2. Phân mức thành phần
\r\n\r\n17.1.3. Quản lý của FTP_ITC.1
\r\n\r\n17.1.4. Kiểm toán của FTP_ITC.1
\r\n\r\n17.1.5. FTP_ITC.1 Kênh tin cậy liên TSF
\r\n\r\n17.2. Đường dẫn tin cậy (FTP_TRP)
\r\n\r\n17.2.1. Hành xử của họ
\r\n\r\n17.2.2. Phân mức thành phần
\r\n\r\n17.2.3. Quản lý của FTP_TRP.1
\r\n\r\n17.2.4. Kiểm toán của FTP_TRP.1
\r\n\r\n17.2.5. FTP_TRP.1 Đường dẫn tin cậy
\r\n\r\nPhụ lục A_(Quy định)_Ghi chú về ứng dụng các\r\nyêu cầu chức năng an toàn
\r\n\r\nA.1. Cấu trúc phần ghi chú
\r\n\r\nA.1.1. Cấu trúc lớp
\r\n\r\nA.1.2. Cấu trúc họ
\r\n\r\nA.1.3. Cấu trúc thành phần
\r\n\r\nA.2. Các bảng về mối phụ thuộc
\r\n\r\nPhụ lục B_(Quy định)_Các lớp, họ và thành\r\nphần chức năng
\r\n\r\nPhụ lục C_(Quy định)_Lớp FAU: Kiểm toán an\r\ntoàn
\r\n\r\nC.1. Các yêu cầu kiểm toán trong môi trường\r\nphân tán
\r\n\r\nC.2. Đáp ứng tự động kiểm toán an toàn\r\n(FAU_ARP)
\r\n\r\nC.2.1. Chú thích cho người sử dụng
\r\n\r\nC.2.2. FAU_ARP.1 Cảnh báo an toàn
\r\n\r\nC.3. Tạo các dữ liệu kiểm toán an toàn\r\n(FAU_GEN)
\r\n\r\nC.3.1. Chú thích cho người sử dụng
\r\n\r\nC.3.2. FAU_GEN.1 Tạo dữ liệu kiểm toán
\r\n\r\nC.3.3. FAU_GEN.2 Kết hợp định danh người dùng
\r\n\r\nC.4. Phân tích kiểm toán an toàn (FAU_SAA)
\r\n\r\nC.4.1. Chú thích cho người sử dụng
\r\n\r\nC.4.2. FAU_SAA.1 Phân tích khả năng vi phạm
\r\n\r\nC.4.3. FAU_SAA.2 Phát hiện bất thường dựa\r\ntrên mô tả tóm tắt
\r\n\r\nC.4.4. FAU_SAA Thử nghiệm tấn công đơn giản
\r\n\r\nC.4.5. FAU_SAA.4 Thử nghiệm tấn công phức tạp
\r\n\r\nC.5. Soát xét kiểm toán an toàn (FAU_SAR)
\r\n\r\nC.5.1. Chú thích cho người sử dụng
\r\n\r\nC.5.2. FAU_SAR.1 Soát xét kiểm toán
\r\n\r\nC.5.3. FAU_SAR.2 Soát xét kiểm toán có hạn\r\nchế
\r\n\r\nC.5.4. FAU_SAR.3 Soát xét kiểm toán có chọn\r\nlựa
\r\n\r\nC.6. Lựa chọn sự kiện kiểm toán an toàn\r\n(FAU_SEL)
\r\n\r\nC.6.1. Chú thích cho người sử dụng
\r\n\r\nC.6.2. FAU_SEL.1 Kiểm toán lựa chọn
\r\n\r\nC.7. Lưu trữ sự kiện kiểm toán an toàn\r\n(FAU_STG)
\r\n\r\nC.7.1. Chú thích cho người sử dụng
\r\n\r\nC.7.2. FAU_STG.1 Lưu trữ các vết kiểm toán có\r\nbảo vệ
\r\n\r\nC.7.3. FAU_STG.2 Đảm bảo sự sẵn sàng của dữ\r\nliệu kiểm toán
\r\n\r\nC.7.4. FAU_STG.3 Hành động trong trường hợp\r\ncó thể mất mát dữ liệu kiểm toán
\r\n\r\nC.7.5. FAU_STG.4 Ngăn chặn mất mát dữ liệu\r\nkiểm toán
\r\n\r\nPhụ lục D_(Quy định)_Lớp FCO: Truyền thông
\r\n\r\nD.1. Không chối bỏ nguồn gốc (FCO_NRO)
\r\n\r\nD.1.1. Chú thích cho người sử dụng
\r\n\r\nD.1.2. FCO_NRO.1 Lựa chọn kiểm chứng nguồn\r\ngốc
\r\n\r\nD.1.3. FCO_NRO.2 Thực thi kiểm chứng nguồn\r\ngốc
\r\n\r\nD.2. Không thể từ chối của bên nhận (FCO_NRR)
\r\n\r\nD.2.1. Chú thích cho người sử dụng
\r\n\r\nD.2.2. FCO_NRR.1 Lựa chọn kiểm chứng bên nhận
\r\n\r\nD.2.3. FCO_NRR.2 Thực thi kiểm chứng bên nhận
\r\n\r\nPhụ lục E_(Quy định)_Lớp FCS: Hỗ trợ mật mã
\r\n\r\nΕ.1. Quản lý khóa mật mã (FCS_CKM)
\r\n\r\nΕ.1.1. Chú thích cho người sử dụng
\r\n\r\nΕ.1.2. FCS_CKM.1 Tạo khóa mật mã
\r\n\r\nΕ.1.3. FCS_CKM.2 Phân phối khóa mật mã
\r\n\r\nΕ.1.4. FCS_CKM.3 Truy nhập khóa mật mã
\r\n\r\nΕ.1.5. FCS_CKM.4 Hủy bỏ khóa mật mã
\r\n\r\nΕ.2. Hoạt động mật mã (FCS_COP)
\r\n\r\nΕ.2.1. Chú thích cho người sử dụng
\r\n\r\nΕ.2.2. FCS_COP.1 Hoạt động mật mã
\r\n\r\nPhụ lục F_(Quy định)_Lớp FDP: Bảo vệ dữ liệu\r\nngười dùng
\r\n\r\nF.1. Chính sách kiểm soát truy nhập (FDP_ACC)
\r\n\r\nF.1.1. Chú thích cho người sử dụng
\r\n\r\nF.1.2. FDP_ACC.1 Kiểm soát truy nhập tập con
\r\n\r\nF.1.3. FDP_ACC.2 Kiểm soát truy nhập toàn bộ
\r\n\r\nF.2. Các chức năng kiểm soát truy nhập\r\n(FDP_ACF)
\r\n\r\nF.2.1. Chú thích cho người sử dụng
\r\n\r\nF.2.2. Kiểm soát truy nhập dựa trên thuộc\r\ntính an toàn FDP_AFC.1
\r\n\r\nF.3. Xác thực dữ liệu (FDP_DAU)
\r\n\r\nF.3.1. Chú thích cho người sử dụng
\r\n\r\nF.3.2. Xác thực dữ liệu cơ sở FDP_DAU.1
\r\n\r\nF.3.3. FDP_DAU.2 Xác thực dữ liệu với định\r\ndanh người đảm bảo
\r\n\r\nF.4. Xuất dữ liệu ra ngoài TOE (FDP_ETC)
\r\n\r\nF.4.1. Chú thích cho người sử dụng
\r\n\r\nF.4.2. FDP_ETC.1 Xuất dữ liệu người dùng\r\nkhông có các thuộc tính an toàn
\r\n\r\nF.4.3. FDP_ETC.2 Xuất dữ liệu người dùng với\r\nthuộc tính an toàn
\r\n\r\nF.5. Chính sách kiểm soát luồng tin (FDP_IFC)
\r\n\r\nF.5.1. Chú thích cho người sử dụng
\r\n\r\nF.5.2. FDP_IFC.1 Kiểm soát luồng thông tin\r\ntập con
\r\n\r\nF.5.3. FDP_IFC.2 Kiểm soát luồng tin đầy đủ
\r\n\r\nF.6. Các chức năng kiểm soát luồng tin\r\n(FDP_IFF)
\r\n\r\nF.6.1. Chú thích cho người sử dụng
\r\n\r\nF.6.2. FDP_IFF.1 Các thuộc tính an toàn đơn\r\ngiản
\r\n\r\nF.6.3. FDP_IFF.2 Các thuộc tính an toàn phân\r\ncấp
\r\n\r\nF.6.4. FDP_IFF.3 Giới hạn các luồng thông tin\r\nbất hợp pháp
\r\n\r\nF.6.5. FDP_IFF.4 Loại trừ từng phần các luồng\r\nthông tin bất hợp pháp
\r\n\r\nF.6.6. FDP_IFF.5 Không có các luồng thông tin\r\nbất hợp pháp
\r\n\r\nF.6.7. FDP_IFF.6 Giám sát luồng thông tin bất\r\nhợp pháp
\r\n\r\nF.7. Nhập dữ liệu từ bên ngoài TOE (FDP_ITC)
\r\n\r\nF.7.1. Chú thích cho người sử dụng
\r\n\r\nF.7.2. FDP_ITC.1 Nhập dữ liệu người dùng\r\nkhông có các thuộc tính an toàn
\r\n\r\nF.7.3. Nhập dữ liệu người dùng với các thuộc\r\ntính an toàn FDP_ITC.2
\r\n\r\nF.8. Vận chuyển nội bộ TOE (FDP_ITT)
\r\n\r\nF.8.1. Chú thích cho người sử dụng
\r\n\r\nF.8.2. FDP_ITT.1 Bảo vệ chuyển giao cơ sở bên\r\ntrong
\r\n\r\nF.8.3. FDP_ITT.2 Phân tách truyền tải bởi các\r\nthuộc tính
\r\n\r\nF.8.4. FDP_ITT.3 Giám sát toàn vẹn
\r\n\r\nF.8.5. FDP_ITT.4 Giám sát toàn vẹn dựa trên\r\nthuộc tính
\r\n\r\nF.9. Bảo vệ thông tin dư thừa (FDP_RIP)
\r\n\r\nF.9.1. Chú thích cho người sử dụng
\r\n\r\nF.9.2. FDP_RIP.1 Bảo vệ thông tin dư thừa tập\r\ncon
\r\n\r\nF.9.3. FDP_RIP.2 Bảo vệ thông tin dư thừa đầy\r\nđủ
\r\n\r\nF.10. Khôi phục (FDP_ROL)
\r\n\r\nF.10.1. Chú thích cho người sử dụng
\r\n\r\nF.10.2. FDP_ROL.1 Khôi phục cơ bản
\r\n\r\nF.10.3. FDP_ROL.2 Khôi phục cải tiến Chú\r\nthích cho ứng dụng người sử dụng
\r\n\r\nF.11. Toàn vẹn dữ liệu lưu trữ (FDP_SDI)
\r\n\r\nF.11.1. Chú thích cho người sử dụng
\r\n\r\nF.11.2. FDP_SDI.1 Giám sát toàn vẹn lưu trữ\r\ndữ liệu
\r\n\r\nF.11.3. FDP_SDI.2 Giám sát toàn vẹn dữ liệu\r\nlưu trữ và hành động
\r\n\r\nF.12. Bảo vệ vận chuyển bí mật dữ liệu người\r\ndùng liên-TSF (FDP_UCT)
\r\n\r\nF.12.1. Chú thích cho người sử dụng
\r\n\r\nF.12.2. FDP_UCT.1 Bí mật trao đổi dữ liệu cơ\r\nbản
\r\n\r\nF.13. Bảo vệ chuyển toàn vẹn dữ liệu người\r\ndùng liên-TSF (FDP_UIT)
\r\n\r\nF.13.1. Chú thích cho người sử dụng
\r\n\r\nF.13.2. FDP_UIT.1 Toàn vẹn trao đổi dữ liệu
\r\n\r\nF.13.3. FDP_UIT.2 Khôi phục trao đổi dữ liệu\r\ngốc
\r\n\r\nF.13.4. FDP_UIT.3 Khôi phục trao đổi dữ liệu\r\nđích
\r\n\r\nPhụ lục G_(Quy định)_Lớp FIA: Định danh và\r\nxác thực
\r\n\r\nG.1. Các lỗi xác thực (FIA_AFL)
\r\n\r\nG.1.1. Chú thích cho người sử dụng
\r\n\r\nG.1.2. FIA_AFL.1 Xử lý lỗi xác thực
\r\n\r\nG.2. Định nghĩa thuộc tính người dùng\r\n(FIA_ATD)
\r\n\r\nG.2.1. Chú thích cho người sử dụng
\r\n\r\nG.2.2. Xác định thuộc tính người dùng\r\nFIA_ATD.1
\r\n\r\nG.3. Đặc tả các bí mật (FIA_SOS)
\r\n\r\nG.3.1. Chú thích cho người sử dụng
\r\n\r\nG.3.2. Thẩm tra các bí mật FIA_SOS.1
\r\n\r\nG.3.2.2.1. Chỉ định
\r\n\r\nG.3.3. FIA_SOS.1 Tạo các bí mật TSF
\r\n\r\nG.4. Xác thực người dùng (FIA_UAU)
\r\n\r\nG.4.1. Chú thích cho người sử dụng
\r\n\r\nG.4.2. FIA_UAU.1 Định thời cho xác thực
\r\n\r\nG.4.3. FIA_UAU.2 Xác thực người dùng trước\r\nkhi hành động
\r\n\r\nG.4.4. FIA_UAU.3 Xác thực không thể giả mạo
\r\n\r\nG.4.5. FIA_UAU.4 Các cơ chế sử dụng xác thực\r\nđơn
\r\n\r\nG.4.6. FIA_UAU.5 Cơ chế đa xác thực
\r\n\r\nG.4.7. FIA_UAU.6 Xác thực lại
\r\n\r\nG.4.8. FIA_UAU.7 Phản hồi xác thực có bảo vệ
\r\n\r\nG.5. Định danh người dùng (FIA_UID)
\r\n\r\nG.5.1. Chú thích cho người sử dụng
\r\n\r\nG.5.2. FIA_UID.1 Định thời cho định danh
\r\n\r\nG.5.3. FIA_UID.2 Định danh người dùng trước\r\nkhi hành động
\r\n\r\nG.6 . Liên kết chủ thể - người dùng (FIA_USB)
\r\n\r\nG.6.1. Chú thích cho người sử dụng
\r\n\r\nG.6.2. FIA_USB.1 Liên kết chủ thể - người\r\ndùng
\r\n\r\nPhụ lục H_(Quy định)_Lớp FMT: Quản lý an toàn
\r\n\r\nH.1. Quản lý các chức năng trong TSF\r\n(FMT_MOF)
\r\n\r\nH.1.1. Chú thích cho người sử dụng
\r\n\r\nH.1.2. FMT_MOF.1 Các cơ chế hoạt động của\r\nquản lý chức năng an toàn
\r\n\r\nH.2. Quản lý các thuộc tính an toàn (FMT_MSA)
\r\n\r\nH.2.1. Chú thích cho người sử dụng
\r\n\r\nH.2.2. FMT_MSA.1 Quản lý các thuộc tính an\r\ntoàn
\r\n\r\nH.2.3. FMT_MSA.2 Đảm bảo các thuộc tính an\r\ntoàn
\r\n\r\nH.2.4. FMT_MSA.3 Khởi tạo thuộc tính tĩnh
\r\n\r\nH.2.5. FMT_MSA Kế thừa giá trị thuộc tính an\r\ntoàn
\r\n\r\nH.2.5.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nH.3. Quản lý dữ liệu TSF (FMT_MTD)
\r\n\r\nH.3.1. Chú thích cho người sử dụng
\r\n\r\nH.3.2. FMT_MTD.1 Quản lý dữ liệu TSF
\r\n\r\nH.3.3. FMT_MTD.2 Quản lý hạn chế trên dữ liệu\r\nTSF
\r\n\r\nH.3.4. FMT_MTD.3 Dữ liệu TSF an toàn
\r\n\r\nH.4. Hủy bỏ (FMT_REV)
\r\n\r\nH.4.1. Chú thích cho người sử dụng
\r\n\r\nH.4.2. FMT_REV.1 Hủy bỏ
\r\n\r\nH.5 . Hết hạn thuộc tính an toàn (FMT_SAE)
\r\n\r\nH.5.1. Chú thích cho ứng dụng người sử dụng
\r\n\r\nH.5.2. FMT_SAE.1 Cấp phép hạn chế thời gian
\r\n\r\nH.6. Đặc tả các chức năng quản lý (FMT_SMF)
\r\n\r\nH.6.1. Chú thích cho người sử dụng
\r\n\r\nH.6.2. FMT_SMF.1 Định rõ các chức năng quản\r\nlý
\r\n\r\nH.7. Các quy tắc quản lý an toàn (FMT_SMR)
\r\n\r\nH.7.1. Chú thích cho người sử dụng
\r\n\r\nH.7.2. FMT_SMR.1 Các quy tắc an toàn
\r\n\r\nH.7.3. FMT_SMR.2 Hạn chế về các vai trò an\r\ntoàn
\r\n\r\nH.7.4. FMT_SMR.3 Chỉ định các vai trò
\r\n\r\nPhụ lục I_(Quy định)_Lớp FPR: Riêng tư
\r\n\r\nI.1. Nặc danh (FPR_ANO)
\r\n\r\nI.1.1. Chú thích cho người sử dụng
\r\n\r\nI.1.2 . FPR_ANO.1 Nặc danh
\r\n\r\nI.1.3 . FPR_ANO.2 Nặc danh không có thông tin\r\nníu kéo
\r\n\r\nI.2. Biệt danh (FPR_PSE)
\r\n\r\nI.2.1. Chú thích cho người sử dụng
\r\n\r\nI.2.2 . FPR_PSE.1 Biệt danh
\r\n\r\nI.2.3 . FPR_PSE.2 Biệt danh nghịch đảo
\r\n\r\nI.2.4 . FPR_PSE.3 Biệt danh bí danh
\r\n\r\nI.3. Tính không thể liên kết (FPR_UNL)
\r\n\r\nI.3.1. Chú thích cho người sử dụng
\r\n\r\nI.3.2 . FPR_UNL.1 Tính không thể liên kết
\r\n\r\nI.4. Tính không thể quan sát (FPR_UNO)
\r\n\r\nI.4.1. Chú thích cho người sử dụng
\r\n\r\nI.4.2 FPR_UNO.1 Tính không thể quan sát
\r\n\r\nI.4.3 . FPR_UNO.2 Tính không thể quan sát ảnh\r\nhưởng đến cấp phát thông tin
\r\n\r\nI.4.4 . FPR_UNO.3 Tính không thể quan sát\r\nkhông có thông tin níu kéo
\r\n\r\nI.4.5 . FPR_UNO.4 Tính quan sát được người\r\ndùng có thẩm quyền
\r\n\r\nPhụ lục J_(Quy định)_Lớp FPT: Bảo vệ TSF
\r\n\r\nJ.1. An toàn khi có lỗi (FPT_FLS)
\r\n\r\nJ.1.1. Chú thích cho người sử dụng
\r\n\r\nJ.1.2. FPT_FLS.1 Lỗi với bảo toàn trạng thái\r\nan toàn
\r\n\r\nJ.2. Tính sẵn sàng xuất dữ liệu TSF (FPT_ITA)
\r\n\r\nJ.2.1. Chú thích cho người sử dụng
\r\n\r\nJ.2.2. FPT_ITA.1 Tính sẵn sàng liên TSF trong\r\nhệ tính sẵn sàng được định nghĩa
\r\n\r\nJ.3. Tính bí mật của dữ liệu TSF xuất ra\r\n(FPT_ITC)
\r\n\r\nJ.3.1. Chú thích cho người sử dụng
\r\n\r\nJ.3.2. FPT_ITI.1 Độ tin cậy liên TSF trong\r\nquá trình truyền tải
\r\n\r\nJ.4. Tính toàn vẹn của dữ liệu TSF xuất ra\r\n(FPT_ITI)
\r\n\r\nJ.4.1. Chú thích cho người sử dụng
\r\n\r\nJ.4.2. FPT_ITT.1 Phát hiện sự thay đổi\r\nliên-TSF
\r\n\r\nJ.4.3. FPT_ITT.2 Phát hiện và chỉnh sửa thay\r\nđổi liên-TSF
\r\n\r\nJ.5. Vận chuyển dữ liệu nội bộ TOE TSF\r\n(FPT_ITT)
\r\n\r\nJ.5.1. Chú thích cho người sử dụng
\r\n\r\nJ.5.2. Chú thích cho đánh giá viên
\r\n\r\nJ.5.3. FPT_ITT.1 Bảo vệ vận chuyển dữ liệu\r\nnội bộ TSF cơ bản
\r\n\r\nJ.5.4. FPT_ITT.2 Phân chia vận chuyển dữ liệu\r\nTSF
\r\n\r\nJ.5.5. FPT_ITT.3 Giám sát tính toàn vẹn dữ\r\nliệu TSF
\r\n\r\nJ.6. Bảo vệ vật lý TSF (FPT_PHP)
\r\n\r\nJ.6.1. Chú thích cho người sử dụng
\r\n\r\nJ.6.2. FPT_PHP.1 Phát hiện thụ động các tấn\r\ncông vật lý
\r\n\r\nJ.6.3. FPT_PHP.2 Thông báo tấn công vật lý
\r\n\r\nJ.6.4. FPT_PHP.3 Chống tấn công vật lý
\r\n\r\nJ.7. Khôi phục tin cậy (FPT_RCV)
\r\n\r\nJ.7.1. Chú thích cho người sử dụng
\r\n\r\nJ.7.2. FPT_RCV.1 Khôi phục thủ công
\r\n\r\nJ.7.3. FPT_RCV.2 Khôi phục tự động
\r\n\r\nJ.7.4. FPT_RCV.3 Khôi phục tự động tránh tổn\r\nthất lớn
\r\n\r\nJ.7.5. FPT_RCV.4 Khôi phục chức năng
\r\n\r\nJ.8. Phát hiện chạy lại (FPT_RPL)
\r\n\r\nJ.8.1. Chú thích cho người sử dụng
\r\n\r\nJ.8.2. FPT_RPL.1 Phát hiện chạy lại
\r\n\r\nJ.9. Giao thức đồng bộ trạng thái (FPT_SSP)
\r\n\r\nJ.9.1. Chú thích cho người sử dụng
\r\n\r\nJ.9.2. FPT_SSP.1 Xác nhận tin cậy một chiều\r\n(đơn)
\r\n\r\nJ.9.3. FPT_SSP.2 Xác nhận tin cậy hai chiều
\r\n\r\nJ.10. Nhãn thời gian (FPT_STM)
\r\n\r\nJ.10.1. Chú thích cho người sử dụng
\r\n\r\nJ.10.2. FPT_STM.1 Thẻ thời gian tin cậy
\r\n\r\nJ.11. Tính nhất quán dữ liệu liên-TSF (FPT_TDC)
\r\n\r\nJ.11.1. Chú thích cho người sử dụng
\r\n\r\nJ.11.2. FPT_TDC.1 Tính nhất quán dữ liệu TSF\r\ncơ bản liên-TSF
\r\n\r\nJ.12. Kiểm thử các thực thể bên ngoài\r\n(FPT_TEE)
\r\n\r\nJ.12.1. Chú thích cho người sử dụng
\r\n\r\nJ.12.2. Các chú thích cho đánh giá viên
\r\n\r\nJ.12.3. FPT_TEE.1 Kiểm thử thực thể bên ngoài
\r\n\r\nJ.13. TÍnh nhất quán bản sao dữ liệu bên\r\ntrong TOE TSF (FPT_TRC)
\r\n\r\nJ.13.1. Chú thích cho người sử dụng
\r\n\r\nJ.13.2. FPT_TRC.1 Tính nhất quán bên trong\r\nTSF
\r\n\r\nJ.14. Tự kiểm tra TSF (FPT_TSF)
\r\n\r\nJ.14.1. Chú thích cho người sử dụng
\r\n\r\nJ.14.2. FPT_TSF.1 Kiểm tra TSF
\r\n\r\nPhụ lục K_(Quy định)_Lớp FRU: Sử dụng tài\r\nnguyên
\r\n\r\nK.1. Khả năng chịu lỗi (FRU_FLT)
\r\n\r\nK.1.1. Chú thích cho người sử dụng
\r\n\r\nK.1.2. FRU_FLT.1 Khả năng chịu lỗi suy giảm
\r\n\r\nK.1.3. FRU_FLT.2 Khả năng chịu đựng lỗi giới\r\nhạn
\r\n\r\nK.2. Ưu tiên dịch vụ (FRU_PRS)
\r\n\r\nK.2.1. Chú thích cho người sử dụng
\r\n\r\nK.2.2. FRU_PRS.1 Ưu tiên dịch vụ có giới hạn
\r\n\r\nK.2.3. FRU_PRS.2 Quyền ưu tiên dịch vụ đầy đủ
\r\n\r\nK.3. Cấp phát tài nguyên (FRU_RSA)
\r\n\r\nK.3.1. Chú thích cho người sử dụng
\r\n\r\nK.3.2. FRU_RSA.1 Các chỉ tiêu tối đa
\r\n\r\nK.3.3. FRU_RSA.2 Các chỉ tiêu tối đa và tối\r\nthiểu
\r\n\r\nPhụ lục L_(Quy định)_Lớp FTA: Truy cập TOE
\r\n\r\nL.1. Giới hạn trên phạm vi các thuộc tính có\r\nthể lựa chọn (FTA_LSA)
\r\n\r\nL.1.1. Chú thích cho người sử dụng
\r\n\r\nL.1.2. FTA_LSA.1 Giới hạn trên phạm vi các\r\nthuộc tính có thể lựa chọn
\r\n\r\nL.2. Giới hạn về nhiều phiên diễn ra đồng\r\nthời (FTA_MCS)
\r\n\r\nL.2.1. Chú thích cho người sử dụng
\r\n\r\nL.2.2. FTA_MCS.1 Giới hạn cơ sở trên đa phiên\r\nđồng thời
\r\n\r\nL.2.3. FTA_MCS.2 Giới hạn thuộc tính mỗi\r\nngười dùng cho nhiều phiên đồng thời
\r\n\r\nL.3. Khóa và chấm dứt phiên (FTA_SSL)
\r\n\r\nL.3.1. Chú thích cho người sử dụng
\r\n\r\nL.3.2. FTA_SSL.1 Khóa phiên khởi tạo bởi TSF
\r\n\r\nL.3.3. FTA_SSL.2 Khóa khởi tạo bởi người dùng
\r\n\r\nL.3.4. FTA_SSL.3 Kết thúc phiên khởi tạo bởi\r\nTSF
\r\n\r\nL.3.5. FTA_SSL.4 Kết thúc phiên khởi tạo bởi\r\nngười dùng
\r\n\r\nL.4. Các biểu tượng truy nhập TOE (FTA_TAB)
\r\n\r\nL.4.1. Chú thích cho người sử dụng
\r\n\r\nL.4.2. FTA_TAB.1 Các biểu trưng truy nhập TOE\r\nmặc định
\r\n\r\nL.5. Lịch sử truy nhập TOE (FTA_TAH)
\r\n\r\nL.5.1. Chú thích cho người sử dụng
\r\n\r\nL.5.2. FTA_TAH.1 Lịch sử truy nhập TOE
\r\n\r\nL.6. Thiết lập phiên TOE (FTA_TSE)
\r\n\r\nL.6.1. Chú thích cho người sử dụng
\r\n\r\nL.6.2. FTA_TSE.1 Thiết lập phiên TOE
\r\n\r\nPhụ lục M_(Quy định)_Lớp FTP: Đường dẫn/Kênh\r\ntin cậy
\r\n\r\nM.1 . Kênh tin cậy liên-TSF (FTP_ITC)
\r\n\r\nM.1.1. Chú thích cho người sử dụng
\r\n\r\nM.1.2. FTP_ITC.1 Kênh tin cậy liên TSF
\r\n\r\nM.2. Đường dẫn tin cậy (FTP_TRP)
\r\n\r\nM.2.1. Chú thích cho người sử dụng
\r\n\r\nM.2.2. FTP_TRP.1 Đường dẫn tin cậy
\r\n\r\n\r\n\r\n
File gốc của Tiêu chuẩn Việt Nam TCVN 8709-2:2011 (ISO/IEC 15408-2 : 2008) về Công nghệ thông tin – Các kỹ thuật an toàn – Các tiêu chí đánh giá an toàn CNTT – Phần 2: Các thành phần chức năng an toàn đang được cập nhật.
Tiêu chuẩn Việt Nam TCVN 8709-2:2011 (ISO/IEC 15408-2 : 2008) về Công nghệ thông tin – Các kỹ thuật an toàn – Các tiêu chí đánh giá an toàn CNTT – Phần 2: Các thành phần chức năng an toàn
Tóm tắt
| Cơ quan ban hành | Đã xác định |
| Số hiệu | TCVN8709-2:2011 |
| Loại văn bản | Tiêu chuẩn Việt Nam |
| Người ký | Đã xác định |
| Ngày ban hành | 2011-01-01 |
| Ngày hiệu lực | |
| Lĩnh vực | Xây dựng - Đô thị |
| Tình trạng | Còn hiệu lực |