next up previous
Next: Управление информационным потоком Up: Формальная Модель Секретности Previous: Инварианты

Ограничения

При создании или удалении личных данных также должны быть соблюдены принципы необходимости обработки данных и взаимосвязанности целей. Эти принципы могут быть сформулированы добавлением ограничений, являющихся свойствами последовательности состояний (ограничение отличается от инварианта, так как оно принимает во внимание отношения между значениями в двух последовательных состояниях - перед и после каждой функции перехода состояния). В следующем примере символ *, после переменной состояния, используется для обозначения нового состояния.

  1. Субъект может создать объект личных данных только в том случае, если это необходимо для его текущей задачи: (CT(subj), o-classk, CTP(subj), create) I" NA U` Oj I" OP Oj I" OP* U' class*(Oj) (1) o-classk
  2. Субъект может удалить объект личных данных только в том случае, если это необходимо для его текущей задачи: (CT(subj), Class(Oj), CTP(subj), delete) I" NA U` Oj I OP Oj I OP*
  3. Субъект может создать объект личных данных только в том случае, если цель его текущей задачи соответствует цели класса объекта o-classk (взаимосвязанность целей): T-Purpose (CT (Si)) I" O-Purposes (o-classk) U` Oj I" OP Oj I" OP* U' class*(Oj) (1) o-classk
  4. Субъект может удалить объект личных данных только в том случае, если цель его текущей задачи соответствует цели класса объекта, или имеется согласие от субъекта данных (взаимосвязанность целей): T-Purpose (CT (Si)) I" O-Purposes (Class(Oj)) U` (T-Purpose( CT(Si)),Oj ) I" C U` Oj I OP Oj I OP*


next up previous
Next: Управление информационным потоком Up: Формальная Модель Секретности Previous: Инварианты