ГОСТ Р ИСО МЭК 15408-2 2007 (1027764), страница 14
Текст из файла (страница 14)
Может включать в себя атрибуты безопасности, ассоциированные с данными пользователя.теля.e) Базовый: любые идентифицированные попытки блокировать передачу данных пользова-f) Детализированный: типы и/или результаты любых обнаруженных модификаций переданных данных пользователя.10.13.6 FDP_UIT.1 Целостность передаваемых данныхИерархический для: Нет подчиненных компонентов.Зависимости:[FDP_ACC.1 Ограниченное управление доступомилиFDP_IFC.1 Ограниченное управление информационными потоками][FTP_ITC.1 Доверенный канал передачи между ФБО илиFTP_TRP.1 Доверенный маршрут]10.13.6.1 FDP_UIT.1.1ФБО должны осуществлять [назначение: ПФБ управления доступом и/или ПФБуправления информационными потоками], предоставляющую возможность [выбор: отправление, получение] данных пользователя способом, защищенным от следующих ошибок: [выбор: модификация, удаление, вставка, повторение].10.13.6.2 FDP_UIT.1.2ФБО должны быть способны определить после получения данных пользователя,произошли ли следующие ошибки: [выбор: модификация, удаление, вставка, повторение].10.13.7 FDP_UIT.2 Восстановление переданных данных источникомИерархический для: Нет подчиненных компонентов.Зависимости:[FDP_ACC.1 Ограниченное управление доступомилиFDP_IFC.1 Ограниченное управление информационными потоками]FDP_UIT.1 Целостность передаваемых данныхFTP_ITC.1 Доверенный канал передачи между ФБО10.13.7.1 FDP_UIT.2.1ФБО должны осуществлять [назначение: ПФБ управления доступом и/или ПФБ управления информационными потоками], предоставляющую возможность восстановления после[назначение: список потенциально исправляемых ошибок] с помощью источника – доверенного продукта ИТ.10.13.8 FDP_UIT.3 Восстановление переданных данных получателемИерархический для: FDP_UIT.2 Восстановление переданных данных источникомЗависимости:[FDP_ACC.1 Ограниченное управление доступомилиFDP_IFC.1 Ограниченное управление информационными потоками]FDP_UIT.1 Целостность передаваемых данныхFTP_ITC.1 Доверенный канал передачи между ФБО10.13.8.1 FDP_UIT.3.1ФБО должны осуществлять [назначение: ПФБ управления доступом и/или ПФБ управления информационными потоками], предоставляющую возможность восстановления после [назначение: список потенциально исправляемых ошибок] без какой-либо помощи источника – доверенного продукта ИТ.58ГОСТ Р ИСО/МЭК 15408-2—…(проект, окончательная редакция)11Класс FIA: Идентификация и аутентификацияСемейства класса FIA содержат требования к функциям установления и верификации заявленного идентификатора пользователя.Идентификация и аутентификация требуются для обеспечения ассоциации пользователей ссоответствующими атрибутами безопасности (такими, как идентификатор, группы, роли, уровнибезопасности или целостности).Однозначная идентификация уполномоченных пользователей и правильная ассоциация атрибутов безопасности с пользователями и субъектами критичны для осуществления принятых политик безопасности.
Семейства этого класса связаны с определением и верификацией идентификаторов пользователей, определением их полномочий на взаимодействие с ОО, а также с правильной ассоциацией атрибутов безопасности с каждым уполномоченным пользователем. Эффективность требований других классов (таких, как «Защита данных пользователя», «Аудит безопасности») во многом зависит от правильно проведенных идентификации и аутентификации пользователей.59ГОСТ Р ИСО/МЭК 15408-2—…(проект, окончательная редакция)FIA_AFL Отказы аутентификации1FIA_ATD Определение атрибутов пользователя11FIA_SOS Спецификация секретов21234FIA_UAU Аутентификация пользователя567FIA_UID Идентификация пользователя1FIA_USB Связывание пользовательсубъект12Рисунок 36 – Декомпозиция класса FIA «Идентификация и аутентификация»11.1 Отказы аутентификации (FIA_AFL)11.1.1 Характеристика семействаСемейство FIA_AFL содержит требования к определению числа неуспешных попыток аутентификации и к действиям ФБО при превышении ограничений на неуспешные попытки аутентификации.
Параметрами, определяющими возможное число попыток аутентификации, среди прочихмогут быть количество попыток и допустимый интервал времени.11.1.2 Ранжирование компонентов60ГОСТ Р ИСО/МЭК 15408-2—…(проект, окончательная редакция)FIA_AFL Отказы аутентификации1Рисунок 37 – Ранжирование компонентов семейства FIA_AFLFIA_AFL.1 «Обработка отказов аутентификации» содержит требование, чтобы ФБО былиспособны прервать процесс открытия сеанса после определенного числа неуспешных попыток аутентификации пользователя. Также требуется, чтобы после прерывания процесса открытия сеансаФБО были бы способны блокировать учетные данные пользователя или место входа (например,рабочую станцию), с которого выполнялись попытки, до наступления определенного администратором условия.11.1.3 Управление: FIA_AFL.1Для функций управления из класса FMT могут рассматриваться следующие действия.a) Управление ограничениями для неуспешных попыток аутентификации.b) Управление действиями, предпринимаемыми при неуспешной аутентификации.11.1.4 Аудит: FIA_AFL.1Если в ПЗ/ЗБ включено семейство FAU_GEN «Генерация данных аудита безопасности», тоследует предусмотреть возможность аудита следующих действий.a) Минимальный: достижение ограничения неуспешных попыток аутентификации и предпринятые действия (например, блокирование терминала), а также, при необходимости, последующеевосстановление нормального состояния (например, деблокирование терминала).11.1.5 FIA_AFL.1 Обработка отказов аутентификацииИерархический для: Нет подчиненных компонентов.Зависимости: FIA_UAU.1 Выбор момента аутентификации11.1.5.1 FIA_AFL.1.1ФБО должны обнаруживать, когда произойдет [выбор: [назначение: положительноецелое число], устанавливаемое администратором положительное целое число в пределах [назначение: диапазон допустимых значений]] неуспешных попыток аутентификации,относящихся к [назначение: список событий аутентификации].11.1.5.2 FIA_AFL.1.2При достижении или превышении определенного числа неуспешных попыток аутентификации ФБО должны выполнить [назначение: список действий].11.2 Определение атрибутов пользователя (FIA_ATD)11.2.1 Характеристика семействаВсе уполномоченные пользователи могут, помимо идентификатора пользователя, иметьдругие атрибуты безопасности, применяемые при осуществлении ПБО.
Семейство FIA_ATD определяет требования для ассоциации атрибутов безопасности с пользователями в соответствии снеобходимостью поддержки ПБО.11.2.2 Ранжирование компонентов61ГОСТ Р ИСО/МЭК 15408-2—…(проект, окончательная редакция)FIA_ATD Определение атрибутов пользователя1Рисунок 38 – Ранжирование компонентов семейства FIA_ATDFIA_ATD.1 «Определение атрибутов пользователя» позволяет поддерживать атрибутыбезопасности пользователя для каждого пользователя индивидуально.11.2.3 Управление: FIA_ATD.1Для функций управления из класса FMT могут рассматриваться следующие действия.a) Уполномоченный администратор может быть способен определять дополнительные атрибуты безопасности для пользователей, если это указано в операции назначения.11.2.4 Аудит: FIA_ATD.1Нет событий, для которых следует предусмотреть возможность аудита.11.2.5 FIA_ATD.1 Определение атрибутов пользователяИерархический для: Нет подчиненных компонентов.Зависимости: отсутствуют.11.2.5.1 FIA_ATD.1.1ФБО должны поддерживать для каждого пользователя следующий список атрибутовбезопасности: [назначение: список атрибутов безопасности].11.3 Спецификация секретов (FIA_SOS)11.3.1 Характеристика семействаСемейство FIA_SOS определяет требования к механизмам, которые реализуют определенную метрику качества для предоставляемых секретов и генерируют секреты, удовлетворяющиеопределенной метрике.11.3.2 Ранжирование компонентов1FIA_SOS Спецификация секретов2Рисунок 39 – Ранжирование компонентов семейства FIA_SOSFIA_SOS.1 «Верификация секретов» содержит требование, чтобы ФБО верифицировали,отвечают ли секреты определенной метрике качества.FIA_SOS.2 «Генерация секретов ФБО» содержит требование, чтобы ФБО были способны генерировать секреты, отвечающие определенной метрике качества.11.3.3 Управление: FIA_SOS.1Для функций управления из класса FMT могут рассматриваться следующие действия.a) Управление метрикой, используемой для верификации секретов.62ГОСТ Р ИСО/МЭК 15408-2—…(проект, окончательная редакция)11.3.4 Управление: FIA_SOS.2Для функций управления из класса FMT могут рассматриваться следующие действия.a) Управление метрикой, используемой при генерации секретов.11.3.5 Аудит: FIA_SOS.1, FIA_SOS.2Если в ПЗ/ЗБ включено семейство FAU_GEN «Генерация данных аудита безопасности», тоследует предусмотреть возможность аудита следующих действий.a) Минимальный: отклонение ФБО любого проверенного секрета.b) Базовый: отклонение или принятие ФБО любого проверенного секрета.c) Детализированный: идентификация любых изменений заданных метрик качества.11.3.6 FIA_SOS.1 Верификация секретовИерархический для: Нет подчиненных компонентов.Зависимости: отсутствуют.11.3.6.1 FIA_SOS.1.1ФБО должны предоставить механизм для верификации того, что секреты отвечают[назначение: определенная метрика качества].11.3.7 FIA_SOS.2 Генерация секретов ФБОИерархический для: Нет подчиненных компонентов.Зависимости: отсутствуют.11.3.7.1 FIA_SOS.2.1ФБО должны предоставить механизм генерации секретов, отвечающих [назначение:определенная метрика качества].11.3.7.2 FIA_SOS.2.2ФБО должны быть способны использовать генерируемые ими секреты для [назначение: список функций ФБО].11.4 Аутентификация пользователя (FIA_UAU)11.4.1 Характеристика семействаСемейство FIA_UAU определяет типы механизмов аутентификации пользователя, предоставляемые ФБО.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
