ГОСТ Р ИСО МЭК 15408-2 2007 (1027764), страница 26
Текст из файла (страница 26)
Эти правила могут включать в себя конкретныетребования, согласно которым необходимо, чтобы в течение указанного периода времени (например, установленного времени суток, заданного интервала времени) произошли определенные события. Если нет никаких дополнительных правил, которые должны использовать ФБО при анализежурнала аудита, то данное назначение может быть выполнено как "нет".C.4.3 FAU_SAA.2 Выявление аномалии, основанное на профилеC.4.3.1 Замечания по применению для пользователяПрофиль является структурой, характеризующей поведение пользователей и/или субъектов;он описывает различные способы взаимодействия пользователей/субъектов с ФБО. Шаблоны использования для пользователей/субъектов устанавливаются по отношению к различным видамрезультатов их деятельности, включая, например: шаблоны возникновения исключительных ситуаций; шаблоны использования ресурсов (когда, каких, как); шаблоны выполняемых действий.Метрики профиля ссылаются на способы, которыми различные виды деятельности отражаются впрофиле (например, измерение использованных ресурсов, счетчики событий, таймеры).Каждый профиль представляет собой ожидаемые шаблоны использования, выполняемыечленами группы, на которую он ориентирован (целевая группа профиля).
Этот шаблон может основываться на предшествующем использовании (шаблон предыстории) или на обычном использовании пользователями подобных целевых групп (ожидаемое поведение). Целевая группа профилявключает в себя одного или нескольких пользователей, взаимодействующих с ФБО. Деятельностькаждого члена группы данного профиля анализируется инструментальными средствами, чтобысравнить ее с шаблоном, представленным в профиле.
Примерами целевых групп профиля являются:a) учетная запись отдельного пользователя – один профиль для каждого пользователя;b) идентификатор группы или учетная запись группы – один профиль для всех пользователей, которые имеют один и тот же идентификатор группы или работают, используя общуюучетную запись;c) операционная роль – один профиль на всех пользователей, выполняющих данную операционную роль;d) система в целом – один профиль на всех пользователей системы.Каждому члену целевой группы профиля присваивают индивидуальный рейтинг подозрительной активности, показывающий, насколько его деятельность соответствует шаблону использования системы, установленному в профиле этой группы.Сложность средств обнаружения отклонений в значительной степени будет определятьсячислом целевых групп, предусмотренных в ПЗ/ЗБ, и сложностью метрики профиля.Этот компонент используют для определения как совокупности событий, потенциально подвергаемых аудиту, появление которых (каждого в отдельности или совместно) указывает на воз-138ГОСТ Р ИСО/МЭК 15408-2—…(проект, окончательная редакция)можные нарушения ПБО, так и правил проведения анализа нарушений.
Эта совокупность событийи правил может быть модифицирована уполномоченным пользователем путем добавления, модификации или удаления событий или правил.При составлении ПЗ/ЗБ следует перечислить виды деятельности, которые следует отслеживать и анализировать с использованием ФБО. Автору ПЗ/ЗБ следует особо указать, какая информация о деятельности пользователей необходима при составлении профилей использования системы.FAU_SAA.2 «Выявление аномалии, основанное на профиле» содержит требование, чтобыФБО сопровождали профили использования системы.
Под сопровождением понимается активноеучастие детектора отклонений в обновлении профиля использования системы в соответствии сновыми действиями, выполняемыми членами целевой группы этого профиля. Важно, чтобы автором ПЗ/ЗБ была определена метрика представления деятельности пользователя. Индивид можетвыполнять тысячи различных действий, но детектор отклонений способен отобрать для контролятолько некоторые из них. Результаты аномальной деятельности интегрируются в профиль так же,как и результаты нормальной деятельности (при условии выполнения мониторинга этих действий).То, что считалось отклонением четыре месяца назад, сегодня может стать нормой (и наоборот) изза изменения условий работы пользователей.
ФБО не будут способны учесть изменение ситуации,если в алгоритмах обновления профиля не отражена какая-либо аномальная деятельность пользователей.Административные уведомления следует доводить до уполномоченного пользователя такимобразом, чтобы он понимал важность рейтинга подозрительной активности.Автору ПЗ/ЗБ следует определить, как интерпретировать рейтинги подозрительной активности и условия, при которых в случае аномального поведения нужно обращаться к механизму компонента FAU_ARP.C.4.3.2 ОперацииC.4.3.2.1 ВыборВ FAU_SAA.2.1 автору ПЗ/ЗБ следует определить целевую группу профиля. Один ПЗ/ЗБ может включать в себя несколько целевых групп профиля.В FAU_SAA.2.3 автору ПЗ/ЗБ следует определить условия, при которых ФБО сообщают обаномальном поведении.
Условия могут включать в себя достижение рейтингом подозрительнойактивности некоторого значения или основываться на определенном виде аномального поведения.C.4.4 FAU_SAA.3 Простая эвристика атакиC.4.4.1 Замечания по применению для пользователяНа практике случай, когда средства анализа могут точно предсказать ожидаемое нарушениебезопасности, является редкой удачей. Тем не менее, существуют некоторые системные события,важные настолько, что всегда заслуживают отдельного отслеживания.
Примерами таких событийявляются удаление файла с ключевыми данными безопасности ФБО (например, файла паролей)или попытка удаленного пользователя получить административные привилегии. Такие событияназывают характерными, поскольку они, в отличие от остальных событий, свидетельствуют о попытках вторжения в систему.Сложность средств анализа в значительной степени будет зависеть от назначений, сделанных автором ПЗ/ЗБ при определении базового множества характерных событий.В ПЗ/ЗБ следует перечислить события, отслеживаемые ФБО с целью их анализа. АвторуПЗ/ЗБ следует указать, на основании какой информации о событии его следует отнести к характерным.139ГОСТ Р ИСО/МЭК 15408-2—…(проект, окончательная редакция)Административные уведомления следует доводить до уполномоченного пользователя такимобразом, чтобы он понимал значение этих событий и приемлемую реакцию на них.При спецификации этих требований предусмотрена возможность привлечения иных источников данных, кроме данных аудита, для мониторинга системы.
Это было сделано с целью расширения привлекаемых методов обнаружения вторжения, которые при анализе показателей функционирования системы используют не только данные аудита (примерами других типов источниковданных являются параметры сетевых дейтаграмм, данные о ресурсах/учете или комбинации различных системных данных).Элементы FAU_SAA.3 «Простая эвристика атаки» не требуют, чтобы реализация эвристикраспознавания прямой атаки осуществлялась теми же самыми ФБО, выполнение которых подлежит мониторингу. Поэтому компоненты, применяемые для обнаружения вторжения, можно разрабатывать независимо от системы, показатели функционирования которой подлежит анализу.C.4.4.2 ОперацииC.4.4.2.1 НазначениеВ FAU_SAA.3.1 автору ПЗ/ЗБ следует идентифицировать базовое подмножество системныхсобытий, появление которых, в отличие от иных показателей функционирования системы, можетуказывать на нарушение ПБО.
К ним относятся как события, сами по себе указывающие на очевидные нарушения ПБО, так и события, появление которых является достаточным основаниемдля принятия мер предосторожности.В FAU_SAA.3.2 автору ПЗ/ЗБ следует специфицировать информацию, используемую приопределении показателей функционирования системы. Информация является исходной для инструментальных средств анализа показателей функционирования системы, применяемых в ОО. Вэту информацию могут входить данные аудита, комбинации данных аудита с другими системнымиданными и данные, отличные от данных аудита.
При составлении ПЗ/ЗБ следует точно определить, какие системные события и атрибуты событий используются в качестве исходной информации.C.4.5 FAU_SAA.4 Сложная эвристика атакиC.4.5.1 Замечания по применению для пользователяНа практике случай, когда средства анализа могут точно предсказать ожидаемое нарушениебезопасности, является редкой удачей. Тем не менее, существуют некоторые системные события,важные настолько, что всегда заслуживают отдельного отслеживания. Примерами таких событийявляются удаление файла с ключевыми данными безопасности ФБО (например, файла паролей)или попытка удаленного пользователя получить административные привилегии. Такие событияназывают характерными, поскольку они, в отличие от остальных событий, свидетельствуют о попытках вторжения в систему. Последовательность событий является упорядоченным множествомхарактерных событий, которые могут указывать на попытки вторжения.Сложность средств анализа в значительной степени будет зависеть от назначений, сделанных автором ПЗ/ЗБ при определении базового множества характерных событий и последовательностей событий.Автору ПЗ/ЗБ следует определить базовое множество характерных событий и последовательностей событий, которые будут представлены в ФБО.
Дополнительные характерные событияи последовательности событий могут быть определены разработчиком системы.В ПЗ/ЗБ следует перечислить события, которые следует отслеживать ФБО с целью их анализа. Автору ПЗ/ЗБ следует указать, на основании какой информации о событии его можно отнести к характерным.Административные уведомления следует доводить до уполномоченного пользователя такимобразом, чтобы он понимал значение этих событий и приемлемую реакцию на них.140ГОСТ Р ИСО/МЭК 15408-2—…(проект, окончательная редакция)При спецификации этих требований предусмотрена возможность привлечения иных источников данных о функционировании системы, кроме данных аудита.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
