next up previous
Next: Инварианты Up: Формальная Модель Секретности Previous: Формальная Модель Секретности

Переменные состояния

В модели секретности определены следующие защищённые (или лучше: секретные) состояния:

Субъекты S: Субъекты являются активными объектами системы (например, процессы).

Активный субъект: тождество субъекта, активного в настоящий момент и вызывающего функции перехода.

Объект O: Объекты являются пассивными составляющими системы (например, файлы, записи).

Объекты личных данных OP м O: Объектами личных данных являются объекты, содержащие информацию личного характера. Личными данными являются данные об идентифицированном или идентифицируемом человеке.

Объектные классы O-class: Объекты содержащие личную информацию могут быть выражены как классы, например, данные о пациенте в больнице, данные счёта. O-class = набор разнообразных объектных классов = {o-class1, o-class2, none...}.

Класс не персональных данных имеет предопределенное значение "none".

Функция объектного класса Class: Каждый объект классифицирован по объектному классу. Функция Class определена следующим образом: O -> O-class, где Class(Oj) является объектным классом объекта Oj.

"Ojн O \ OP: Class(Oj) = none.

Задачи T: Доступ субъектов к объектам должен быть разрешён только посредством выполнения задач. Для каждого приложения должны быть определены задачи.

Текущая Задача CT: Задачи, выполняемые субъектом в настоящий момент, называются текущими задачами. Если субъект в настоящий момент не выполняет какой-либо задачи, то значением его текущей задачи является Nil. Функция CT выражена следующим образом: S -> T х {Nil}, где CT(Si) является текущей задачей субъекта Si.

Авторизованные Задачи AT: AT это функция, определяющая не пустой набор задач для субъекта, для выполнения которых этот субъект авторизован. AT: S -> 2 Tх {Nil} \ ф, где AT(Si) является набором задач, для выполнения которых авторизован Si. " Si н S: Nil н AT(Si). Для простоты администрирования авторизованные задачи должны быть назначены пользовательским ролям, вместо индивидуальных пользователей.

Пользовательская Роль: Субъекты могут быть разделены на категории в зависимости от ролей, которые они могут принимать. Роль: S -> user-role, где user-role = {user, sec-officer, data-protection-officer, tp-manager,...}. Кроме того, должны быть определены дополнительные роли пользователя, если авторизованная задача предназначена для пользовательской роли, а не для индивидуального пользователя.

Пользователям, которые назначены "ответственными" за задачи, должен быть разрешен запрос на назначение этих задач. Следовательно, функция "ответственный" означает: Responsible: T -> 2 S, где Responsible(Ti) является набором субъектов, которые могут запрашивать делегирование Ti.

Цели P: Каждая задача служит для какой-то цели. Кроме того, в некоторых целях собираются личные данные. Цели должны быть выполнимыми для системных приложений.

Функции целей для задач T-Purpose: Каждая задача обслуживает одну единственную цель (однако каждая цель может быть достигнута выполнением различных задач). Функция T-Purpose выражена следующим образом: T -> P, где T-Purpose(Ti) является целью для задачи Ti.

Функция цели для класса объекта O-Purposes: Каждый объектный класс имеет определенные цели, для которых собираются личные данные.

Функция O-Purposes выражена следующим образом: O-class -> 2 P \ ф, где O-Purposes(O-classi) являются целями, для которых был получен объектный класс O-classi. Как показывает практика, не личные данные должны быть пригодны для использования для всех возможных целей: O-Purposes(none) = P.

Процедуры преобразования TRANS: Субъект не имеет произвольного доступа к объекту. Если он выполняет задачу, то он может осуществить некоторые процедуры преобразования, которые позволят получить доступ к объекту в установленном порядке.

Текущая Процедура Преобразования CTP: Процедура преобразования, осуществляемая субъектом в настоящий момент, называется текущей процедурой преобразования. Если субъект в настоящий момент не выполняет никаких процедур преобразования, то значением его процедуры преобразования является Nil. CTP: S -> TRANS х {Nil}.

Авторизованные Процедуры Преобразования ATP: При выполнении задачи субъект авторизован на выполнение некоторых процедур преобразования. ATP: T -> 2 Transх {Nil} \ ф, " Ti н T: Nil н ATP(Ti).

Права доступа A: Права доступа, которые может иметь субъект, определяются атрибутами доступа A = {read, write, append, delete, create}.

Необходимые допуски NA: Для любой задачи, которая обращается к объектным классам для выполнения которых необходима процедура преобразования, они должны быть определены заранее. Это выполняется указанием набора NA м T ╢ O-Class ╢ TRANS ╢ A, который состоит из кортежа вида (Ti, o-classj, transpk, x), где transpk = Nil. (Ti, o-classj, transpk, x) н NA означает, что при выполнении процедуры преобразования transpk, для выполнения задачи Ti, необходимо иметь x-access к объектам объектного класса o-classj.

Текущий набор допусков CA: Текущий x-access для субъекта Si к объекту Oj в даном состоянии представлена кортежем из трех элементов (Si, Oj, x), где x н {read, write, append}. Текущий набор допусков CA м S ╢ O ╢ A является набором кортежей представляющих все текущие допуски.

Уведомление C: В соответствии с большинством национальных законов о защите приватности, обработка и использование личных данных также приемлемы при уведомлении субъекта данных. Набор C м P ╢ O определен как набор кортежей (pi, Oj). Набор кортежей (pi, Oj) означает, что субъект данных уведомлён, что его личные данные, содержащиеся в объекте Oj, использованы при обработке цели pi.


next up previous
Next: Инварианты Up: Формальная Модель Секретности Previous: Формальная Модель Секретности