F.9.1 Замечания для пользователя
Защита остаточной информации гарантирует, что находящиеся под контролем ФБО ресурсы, при высвобождении от объекта и до переназначения этих ресурсов другому объекту, рассматриваются ФБО таким образом, чтобы невозможно было восстановить данные ресурса целиком или их часть до высвобождения ресурса.
В ОО обычно имеется много функций, которые потенциально высвобождают ресурсы от объекта и потенциально переназначают эти ресурсы объектам. Некоторые, но не все такие ресурсы, могли использоваться для хранения критически важных данных при предыдущем использовании ресурса, для тех ресурсов семейство FDP_RIP предъявляет требования их подготовки к повторному использованию. Повторное использование объекта относится к явным запросам субъекта или пользователя на высвобождение ресурсов, а также к неявным действиям ФБО, которые приводят к высвобождению и последующему перераспределению ресурсов. Примеры явных запросов - удаление или усечение файла или освобождение области основной памяти. Примеры неявных действий ФБО - освобождение и перераспределение кэша.
Требование повторного использования объекта связано с содержанием ресурса, принадлежащего объекту, а не ко всей информации о ресурсе или объекте, которая может храниться в другом месте в ФБО. Например, чтобы удовлетворить требование FDP_RIP для файлов как объектов, требуется, чтобы все сектора, которые составляют файл, были подготовлены к повторному использованию.
Семейство применимо также при попеременном использовании различными субъектами ресурсов в системе. Например, в большинстве операционных систем для поддержки системных процессов обычно используются аппаратные регистры (в качестве ресурсов). Поскольку процессы постоянно переходят из активного состояния в состояние ожидания и обратно, эти регистры попеременно используются различными субъектами. Хотя подобные действия "подкачки" можно не считать занятием или освобождением ресурса, к таким событиям и ресурсам может быть применено семейство FDP_RIP Защита остаточной информации.
Семейство FDP_RIP «Защита остаточной информации» обычно связано с доступом к информации, не являющейся частью объекта, который определен в данный момент, или к которому осуществляется доступ; однако это правило не всегда соблюдается. Пусть, например, объект А является файлом, а объект В – диском, на котором размещается этот файл. Когда объект А удален, доступ к его остаточной информации определяется семейством FDP_RIP «Защита остаточной информации», хотя она все еще остается частью объекта В.
Важно иметь в виду, что FDP_RIP «Защита остаточной информации» применяется только к объектам типа on-line, а не off-line (т.е. не к автономным объектам, таким как резервные копии объектов на магнитных лентах). Например, если в ОО удаляется файл, в FDP_RIP может быть отображено требование отсутствия любой остаточной информации при освобождении ресурса; тем не менее, ФБО не могут распространить осуществление этого требования на тот же самый файл, существующий в виде автономной резервной копии. Следовательно, этот файл по-прежнему доступен. Если важно обеспечить недоступность, то автору ПЗ/ЗБ следует удостовериться, что соответствующая цель безопасности для среды отражена в руководстве администратора применительно к автономным объектам.
Семейства FDP_RIP «Защита остаточной информации» и FDP_ROL «Откат» могут вступать в конфликт, когда в первом отображено требование уничтожения остаточной информации во время передачи объекта от приложения к функциям безопасности (т.е. при освобождении объекта). Поэтому результат выполнения операции выбора "недоступность при освобождении ресурса" в FDP_RIP «Защита остаточной информации» нельзя совместить с использованием FDP_ROL «Откат» из-за возможного отсутствия информации, необходимой для отката в предыдущее состояние. В этом случае в FDP_RIP «Защита остаточной информации» следует выбрать "недоступность при распределении ресурса", что позволяет использовать FDP_ROL «Откат», хотя имеется риск, что ресурс, содержавший информацию, распределен новому объекту до выполнения отката. Если это произойдет, то откат будет невозможен.
В FDP_RIP «Защита остаточной информации» нет требований аудита из-за того, что в нем не отражены функции, вызываемые пользователем. Аудит распределенных или освобожденных ресурсов будет возможен как часть операций ПФБ управления доступом или информационными потоками.
Это семейство следует применять к объектам, специфицированным в ПФБ управления доступом или информационными потоками автором ПЗ/ЗБ.
F.9.2 FDP_RIP.1 Ограниченная защита остаточной информации