ГОСТ Р ИСО МЭК 15408-2 2007 (1027764), страница 27
Текст из файла (страница 27)
Это было сделано с цельюрасширения привлекаемых методов обнаружения вторжения, которые при анализе показателейфункционирования системы используют не только данные аудита (примерами других типов источников данных являются параметры сетевых дейтаграмм, данные о ресурсах/учете или комбинацииразличных системных данных). Поэтому от автора ПЗ/ЗБ требуется специфицировать виды данных, используемых при контроле показателей функционирования системы.Элементы FAU_SAA.4 «Сложная эвристика атаки» не требуют, чтобы реализация эвристикраспознавания прямой атаки осуществлялась теми же самыми ФБО, выполнение которых подлежит мониторингу. Поэтому компоненты, применяемые для обнаружения вторжения, можно разрабатывать независимо от системы, показатели функционирования которой подлежат анализу.C.4.5.2 ОперацииC.4.5.2.1 НазначениеВ FAU_SAA.4.1 автору ПЗ/ЗБ следует идентифицировать базовое множество перечня последовательностей системных событий, совпадение которых типично для известных сценариевпроникновения.
Эти последовательности событий представляют известные сценарии проникновения. Каждое событие в последовательности следует сопоставлять с контролируемыми системными событиями, и если в итоге все системные события произошли в действительности, это подтверждает (отображает) попытку проникновения.В FAU_SAA.4.1 автору ПЗ/ЗБ следует специфицировать базовое подмножество системныхсобытий, появление которых, в отличие от иных показателей функционирования системы, можетуказывать на нарушение ПБО. К ним относятся как события, сами по себе указывающие на очевидные нарушения ПБО, так и события, появление которых является достаточным основаниемдля принятия мер предосторожности.В FAU_SAA.4.2 автору ПЗ/ЗБ следует специфицировать информацию, используемую приопределении показателей функционирования системы. Информация является исходной для инструментальных средств анализа показателей функционирования системы, применяемых в ОО.
Вэту информацию могут входить данные аудита, комбинации данных аудита с другими системнымиданными и данные, отличные от данных аудита. При составлении ПЗ/ЗБ следует точно определить, какие системные события и атрибуты событий используются в качестве исходной информации.C.5 Просмотр аудита безопасности (FAU_SAR)C.5.1 Замечания по применениюСемейство FAU_SAR определяет требования, относящиеся к просмотру информации аудита.Следует, чтобы функции предоставляли возможность отбирать данные аудита до или послесохранения, обеспечивая, например, возможность избирательного просмотра данных о следующих действиях:- действия одного или нескольких пользователей (например, идентификация, аутентификация, вход в ОО и действия по управлению доступом);- действия, выполненные над определенным объектом или ресурсом ОО;- все события из указанного множества исключительных событий, подвергающихся аудиту;- действия, связанные с определенным атрибутом ПБО.Виды просмотра различаются по функциональным возможностям.
Обычный просмотр позволяет только просматривать данные аудита. Выборочный просмотр более сложен и содержит141ГОСТ Р ИСО/МЭК 15408-2—…(проект, окончательная редакция)требования возможности поиска на основании одного или нескольких критериев с логическими(т.е., типа "и/или") отношениями, сортировки или фильтрации данных аудита до их просмотра.C.5.2 FAU_SAR.1 Просмотр аудитаC.5.2.1 ОбоснованиеДанный компонент обеспечит уполномоченным пользователям возможность получения и интерпретации информации.
В случае пользователя-человека данная информация должна представляться в понятном для человека виде. В случае внешних сущностей ИТ, информация должнабыть однозначно представлена в электронном виде.C.5.2.2 Замечания по применению для пользователяКомпонент FAU_SAR.1 используется для определения возможности читать записи аудитадля пользователей и/или уполномоченных пользователей. Эти записи аудита будут представляться в удобном для пользователя виде. У пользователей различных типов могут быть разные требования к представлению данных аудита.Содержание записей аудита, предназначенных для просмотра, может быть установлено заранее.C.5.2.3 ОперацииC.5.2.3.1 НазначениеВ FAU_SAR.1.1 автору ПЗ/ЗБ следует указать уполномоченных пользователей, которые могут просматривать данные аудита.
Если это необходимо, автор ПЗ/ЗБ может указать роли безопасности (см. FMT_SMR.1 «Роли безопасности»).В FAU_SAR.1.1 автору ПЗ/ЗБ следует указать, какие виды информации может получать иззаписей аудита данный пользователь. Примерами являются: "вся информация", "идентификаторсубъекта", "вся информация из записей аудита, имеющих ссылки на этого пользователя".C.5.3 FAU_SAR.2 Ограниченный просмотр аудитаC.5.3.1 Замечания по применению для пользователяВ компоненте FAU_SAR.2 определяется, что ни один пользователь, не указанный вFAU_SAR.1 «Просмотр аудита», не сможет читать записи аудита.C.5.4 FAU_SAR.3 Выборочный просмотр аудитаC.5.4.1 Замечания по применению для пользователяКомпонент FAU_SAR.3 определяет возможность выборочного просмотра данных аудита.Если просмотр проводится на основе нескольких критериев, то следует, чтобы они были логическисвязаны (например, операциями "и", "или"); а инструментальные средства предоставили возможность обработки данных аудита (например, сортировки, фильтрации).C.5.4.2 ОперацииC.5.4.2.1 ВыборВ FAU_SAR.3.1 автору ПЗ/ЗБ следует выбрать, какие действия: поиск, сортировку или упорядочение могут выполнять ФБО.C.5.4.2.2 НазначениеВ FAU_SAR.3.1 автору ПЗ/ЗБ следует установить критерии, возможно логически связанные,на основании которых производится выбор данных аудита для просмотра.
Логические связи используют при определении, производится ли операция над отдельными атрибутами или над совокупностью атрибутов. Примерами такого назначения может быть: "прикладная задача, учетныеданные и/или место нахождения пользователя". В этом случае операцию можно было бы специ-142ГОСТ Р ИСО/МЭК 15408-2—…(проект, окончательная редакция)фицировать с помощью любой комбинации этих трех атрибутов: прикладной задачи, учетных данных пользователя и места его нахождения.C.6 Выбор событий аудита безопасности (FAU_SEL)C.6.1 Замечания по применениюСемейство FAU_SEL содержит требования, связанные с отбором, какие события, потенциально подвергаемые аудиту, действительно подлежат аудиту.
События, потенциально подвергаемые аудиту, определяются в семействе FAU_GEN «Генерация данных аудита безопасности», нодля выполнения аудита этих событий их следует определить как выбираемые в компонентеFAU_SEL.1.Это семейство обеспечивает возможность предотвращения разрастания журнала аудита дотаких размеров, когда он становится бесполезным, путем определения приемлемой избирательности событий аудита безопасности.C.6.2 FAU_SEL.1 Избирательный аудитC.6.2.1 Замечания по применению для пользователяКомпонент FAU_SEL.1 определяет критерии, используемые для отбора событий, которыеподвергнутся аудиту.
Критерии могут допускать включение или исключение событий из совокупности событий, подвергающихся аудиту, на основе атрибутов пользователей, субъектов и объектовили типов событий.Для этого компонента не предполагается существование идентификаторов отдельных пользователей, что позволяет применять его для таких ОО, как, например, маршрутизаторы, которыемогут не поддерживать понятие пользователей.В распределенной среде в качестве критерия для отбора событий, которые подвергнутсяаудиту, может быть использован идентификатор узла сети.Права уполномоченных пользователей по просмотру или модификации условий отбора будут регулироваться функциями управления компонента FMT_MTD.1 «Управление данными ФБО».C.6.2.2 ОперацииC.6.2.2.1 ВыборВ FAU_SEL.l.l автору ПЗ/ЗБ следует выбрать, на каких атрибутах безопасности основана избирательность аудита: идентификатор объекта, идентификатор пользователя, идентификаторсубъекта, идентификатор узла сети или тип события.C.6.2.2.2 НазначениеВ FAU_SEL.l.l автору ПЗ/ЗБ следует определить дополнительные атрибуты, на которых основана избирательность аудита.
Если нет дополнительных правил, на которых основана избирательность аудита, то данное назначение может быть выполнено как "нет".C.7 Хранение данных аудита безопасности (FAU_STG)В.7.1 Замечания по применениюСемейство FAU_STG описывает требования по хранению данных аудита для последующегоиспользования, включая требования контроля за потерей информации аудита из-за сбоя системы,нападения и/или превышения объема памяти, отведенной для хранения.143ГОСТ Р ИСО/МЭК 15408-2—…(проект, окончательная редакция)C.7.2 FAU_STG.1 Защищенное хранение журнала аудитаC.7.2.1 Замечания по применению для пользователяПоскольку в распределенной среде расположение журнала аудита, который находится вОДФ, не обязательно совпадает с расположением функций генерации данных аудита, автор ПЗ/ЗБможет потребовать обеспечения неотказуемости отправления записи аудита или проведения аутентификации отправителя перед занесением записи в журнал аудита.ФБО будут защищать журнал аудита от несанкционированного уничтожения или модификации.














