Предположения безопасности

Пользователь всегда может скомпрометировать информацию, к которой он имеет законный доступ. Таким образом, надо сформулировать предположения безопасности, которые могут быть выполнены только пользователями системы.

А1. Офицер безопасности системы присваивает уровни доверия, классификацию устройств и множества ролей корректно.

А2. Пользователь вводит корректную классификацию, когда изменяет, объединяет или переклассифицирует информацию.

А3. Пользователь классифицирует сообщения и определяет множества доступа для сущностей, которые он создает, так, что только пользователь с требуемой благонадежностью может просматривать информацию.

А4. Пользователь должным образом контролирует информацию объектов, требующих благонадежности.

Ограничения безопасности

Ограничения безопасности, в отличие от предположений безопасности, должны поддерживаться не пользователями системы, а непосредственно компьютерной системой.

B1. Авторизация – пользователь может запрашивать операции над сущностями, только если пользовательский идентификатор или текущая роль присутствуют во множестве доступа сущности вместе с этой операцией и со значением индекса, соответствующим позиции операнда, в которой сущность
относят в требуемой операции.

B2. Классификационная иерархия – классификация
контейнера всегда больше или равна классификации сущностей, которые он содержит.

B3. Изменения в объектах – информация, переносимая из
объекта, всегда наследует классификацию данного объекта. Информация, вставляемая в объект, должна иметь классификацию ниже классификации этого объекта.

B4. Просмотр – пользователь может просматривать (на некотором устройстве вывода) только сущности с классификацией меньше, чем классификация устройства вывода и степень доверия к пользователю (данное ограничение применяется к сущностям, адресуемым прямо или косвенно).

B5. Доступ к контейнерам, требующим степени доверия –
пользователь может получить доступ к косвенно адресованной сущности внутри контейнера, требующего степени доверия, только если его степень доверия не ниже классификации контейнера.

B6. Преобразование косвенных ссылок – пользовательский
идентификатор признается законным для сущности, к которой он обратился косвенно, только если он авторизован для просмотра этой сущности через ссылку.

B7. Требование меток – сущности, просмотренные
пользователем, должны быть помечены его степенью доверия.

B8. Установка степеней доверия, ролей,
классификации устройств – только пользователь с ролью офицера
безопасности системы может устанавливать данные значения. Текущее множество ролей пользователя может быть изменено только офицером безопасности системы или самим пользователем.

B9. Понижение классификации информации – никакая
классифицированная информация не может быть понижена в уровне своей классификации, за исключением случая, когда эту операцию выполняет пользователь с ролью "пользователь, уменьшающий классификацию информации".

В10. Уничтожение информации – операция уничтожения информации проводится только пользователем с ролью "пользователь, уничтожающий информацию".