情報フロー制御機能(FDP_IFF)

ファミリのふるまい

このファミリは、FDP_IFCで名前付された(また方針の制御範囲も特定しているが、)情 報フロー制御SFPを履行できる特定の機能についての規則を述べる。これは、二種類の要 件からなる: 一つは共通の情報フロー機能の問題を扱い、他方は不正な情報フロー(すな わち隠れチャネル)を扱う。この区別は、不正な情報フローに関係する問題が、ある意味 で、情報フロー制御SFPの残りの部分と直交しているために生じたものである。この性質 によって、不正な情報フローは情報フロー制御SFPを回避し、その結果として方針を侵害 することになる。そのようなわけで、この発生を制限あるいは防止するための特別な機能 が必要になる。

コンポーネントのレベル付け

FDP_IFF.1 単純セキュリティ属性は、情報とその情報を流したり受け取ったりするサブ

ジェクトにおけるセキュリティ属性を要求する。単純セキュリティ属性は、この機能に よって実施されなければならない規則を特定し、この機能によってセキュリティ属性がど のように引き出されるかを記述する。

FDP_IFF.2 階層的セキュリティ属性は、TSPにおけるすべての情報フロー制御SFPが、

格子を形成する階層的セキュリティ属性の使用を要求することによって、FDP_IFF.1 単 純セキュリティ属性の要件をさらに詳しく規定する。

FDP_IFF.3 制限付き不正情報フローは、SFPが不正情報フローを扱うことを要求するが、

それを排除することは必要としない。

FDP_IFF.4 不正情報フローの部分的排除は、SFPがいくらかの不正情報フロー(全部を必 要とはしない)の排除を扱うことを要求する。

FDP_IFF.5 不正情報フローなしは、SFPがすべての不正情報フローの排除を扱うことを

要求する。

FDP_IFF.6 不正情報フロー監視は、SFPが、特定された不正情報フローについてその最

大容量を監視することを要求する。

FDP_IFF 情報フロー制御機能

1 3 6

4 5

2

管理: FDP_IFF.1、FDP_IFF.2

以下のアクションはFMTにおける管理機能と考えられる:

a) 明示的なアクセスに基づく決定に使われる属性の管理。

管理: FDP_IFF.3、FDP_IFF.4、FDP_IFF.5 予見される管理アクティビティはない。

管理: FDP_IFF.6

以下のアクションはFMTにおける管理機能と考えられる:

a) モニタ機能の有効化及び無効化。

b) モニタの対象となる最大容量の改変。

監査: FDP_IFF.1、FDP_IFF.2、FDP_IFF.5

FAU_GEN セキュリティ監査データ生成がPP/STに含まれていれば、以下のアクション

を監査対象にすべきである:

a) 最小: 要求された情報フローを許可する決定。

b) 基本: 情報フローに対する要求に関するすべての決定。

c) 詳細: 情報フローの実施を決定する上で用いられる特定のセキュリティ属性。

d) 詳細: 方針目的(policy goal)に基づいて流れた特定の情報のサブセット(例えば、対 象物のレベル低下の監査)。

監査: FDP_IFF.3、FDP_IFF.4、FDP_IFF.6

FAU_GEN セキュリティ監査データ生成がPP/STに含まれていれば、以下のアクション

を監査対象にすべきである:

a) 最小: 要求された情報フローを許可する決定。

b) 基本: 情報フローに対する要求に関するすべての決定。

c) 基本: 識別された不正情報フローチャネルの利用。

d) 詳細: 情報フローの実施の決定をする上で用いられる特定のセキュリティ属性。

e) 詳細: 方針目的(policy goal)に基づいて流れた、情報の特定のサブセット(例えば、

対象物の劣化の監査)。

f) 詳細: 特定した値を超える推定最大容量を持つ、識別された不正情報フローチャネ ルの利用。

FDP_IFF.1 単純セキュリティ属性

下位階層: なし

FDP_IFF.1.1 TSFは、以下のサブジェクト及び情報のセキュリティ属性の種別に基 づいて、[割付: 情報フロー制御SFP]を実施しなければならない: [割付:

示されたSFP下において制御されるサブジェクトと情報のリスト、及

び各々のセキュリティ属性]。

FDP_IFF.1.2 TSFは、以下の規則が保持されていれば、制御された操作を通じて、

制御されたサブジェクトと制御された情報間の情報フローを許可しな ければならない: [割付: 各々の操作に対して、サブジェクトと情報のセ キュリティ属性間に保持せねばならない、セキュリティ属性に基づく 関係]。

FDP_IFF.1.3 TSFは、[割付: 追加の情報フロー制御SFP規則]を実施しなければなら ない。

FDP_IFF.1.4 TSFは、以下の[割付: 追加のSFP能力のリスト]を提供しなければなら ない。

FDP_IFF.1.5 TSFは、以下の規則に基づいて、情報フローを明示的に承認しなけれ ばならない: [割付: セキュリティ属性に基づいて、明示的に情報フロー を承認する規則]

FDP_IFF.1.6 TSFは、次の規則に基づいて、情報フローを明示的に拒否しなければ ならない: [割付: セキュリティ属性に基づいて、明示的に情報フローを 拒否する規則]

依存性: FDP_IFC.1 サブセット情報フロー制御

FMT_MSA.3 静的属性初期化

FDP_IFF.2 階層的セキュリティ属性

下位階層: FDP_IFF.1

FDP_IFF.2.1 TSFは、以下のサブジェクト及び情報のセキュリティ属性の種別に基

づいて、[割付: 情報フロー制御SFP]を実施しなければならない: [割付:

示されたSFP下において制御されるサブジェクトと情報のリスト、及 び各々に対応する、セキュリティ属性]。

FDP_IFF.2.2 TSFは、セキュリティ属性の間の順序関係に基づく以下の規則が保持

されていれば、制御された操作を通じて、制御されたサブジェクトと 制御された情報間の情報フローを許可しなければならない: [割付: 各々 の操作に対して、サブジェクトと情報のセキュリティ属性間に保持せ ねばならない、セキュリティ属性に基づく関係]。

FDP_IFF.2.3 TSFは、[割付: 追加の情報フロー制御SFP規則]を実施しなければなら

ない。

FDP_IFF.2.4 TSFは、以下の[割付: 追加のSFP能力のリスト]を提供しなければなら ない。

FDP_IFF.2.5 TSFは、以下の規則に基づいて、情報フローを明示的に承認しなけれ

ばならない: [割付: セキュリティ属性に基づいて、明示的に情報フロー を承認するための規則]

FDP_IFF.2.6 TSFは、次の規則に基づいて、情報フローを明示的に拒否しなければ

ならない: [割付: セキュリティ属性に基づいて明示的に情報フローを拒 否するための規則]

FDP_IFF.2.7 TSFは、以下の関係を任意の二つの有効な情報フロー制御セキュリ ティ属性に対して実施しなければならない。

a) 二つの有効なセキュリティ属性を考えたとき、セキュリティ属性が 同じであるか、一方のセキュリティ属性が他方よりも上か、または セキュリティ属性が比較不能であるかどうかを判別する順序付け機 能が存在する; 及び

b) 任意の二つの有効なセキュリティ属性を考えたとき、この二つの有 効なセキュリティ属性より上かまたは同等である有効なセキュリ ティ属性が存在するという「最小の上限」がセキュリティ属性の セットに存在する;及び

c) 任意の二つの有効なセキュリティ属性を考えたとき、この二つの有 効なセキュリティ属性より下かまたは同等である有効なセキュリ ティ属性が存在するという「最大の下限」が、セキュリティ属性の セットに存在する。

依存性: FDP_IFC.1 サブセット情報フロー制御

FMT_MSA.3 静的属性初期化

FDP_IFF.3 制限付き不正情報フロー

下位階層: なし

FDP_IFF.3.1 TSFは、[割付: 不正情報フロー種別]の容量を[割付: 最大容量]に制限す る[割付: 情報フロー制御SFP]を実施しなければならない。

依存性: AVA_CCA.1 隠れチャネル分析

FDP_IFC.1 サブセット情報フロー制御 

FDP_IFF.4 不正情報フローの部分的排除

下位階層: FDP_IFF.3

FDP_IFF.4.1 TSFは、[割付: 不正情報フロー種別]の容量を[割付: 最大容量]に制限す る[割付: 情報フロー制御SFP]を実施しなければならない。

FDP_IFF.4.2 TSFは、以下の種別の[割付: 不正情報フロー種別の空でないリスト]を 防止しなければならない。

依存性: AVA_CCA.1 隠れチャネル分析

FDP_IFC.1 サブセット情報フロー制御

FDP_IFF.5 不正情報フローなし

下位階層: FDP_IFF.4

FDP_IFF.5.1 TSFは、[割付: 情報フロー制御SFPの名前]を回避する不正情報フロー が存在しないことを保証しなければならない。

依存性: AVA_CCA.3 徹底的隠れチャネル分析

FDP_IFC.1 サブセット情報フロー制御 

FDP_IFF.6 不正情報フロー監視

下位階層: なし

FDP_IFF.6.1 TSFは、[割付: 不正情報フローの種別のリスト]が[割付: 最大容量]を超 えるのを監視するために[割付: 情報フロー制御SFP]を実施しなければ ならない。

依存性: AVA_CCA.1 隠れチャネル分析

FDP_IFC.1 サブセット情報フロー制御