ГОСТ Р ИСО МЭК 15408-2 2007 (1027764), страница 7
Текст из файла (страница 7)
Классы и семействапредставлены в алфавитном (по-латински) порядке. В начале каждого класса имеется рисунок, показывающий таксономию этого класса, перечисляя семейства в этом классе и компоненты в каждом семействе. Рисунок также иллюстрирует иерархию компонентов внутри каждого семейства.В описании каждого функционального компонента приведены его зависимости от другихкомпонентов.Пример представления таксономии класса и иерархии компонентов в его семействах приведен на рисунке 8. Здесь первое семейство содержит три иерархических компонента, где компоненты 2 и 3 могут быть применены для выполнения зависимостей вместо компонента 1. Компонент 3иерархичен к компоненту 2 и может применяться для выполнения зависимостей вместо компонента 2.Имя классаСемейство 11231Семейство 2232Семейство 3143Рисунок 8 – Пример декомпозиции класса13ГОСТ Р ИСО/МЭК 15408-2—…(проект, окончательная редакция)В семействе 2 имеются три компонента, не все из которых иерархически связаны.
Компоненты 1 и 2 не иерархичны к другим компонентам. Компонент 3 иерархичен к компоненту 2 и можетприменяться для удовлетворения зависимостей вместо компонента 2, но не вместо компонента 1.В семействе 3 компоненты 2, 3 и 4 иерархичны к компоненту 1. Компоненты 2 и 3 иерархичны к компоненту 1, но несопоставимы по иерархии между собой. Компонент 4 иерархичен к компонентам 2 и 3.Подобные рисунки дополняют текст описания семейств и делают проще идентификацию отношений их компонентов. Они не заменяют пункт "Иерархический для" в описании каждого компонента, который устанавливает обязательные утверждения иерархии для каждого компонента.6.2.1 Выделение изменений в компонентеВзаимосвязь компонентов в пределах семейства показана с использованием полужирногошрифта.
Все новые требования в тексте компонентов выделены полужирным шрифтом. Для иерархически связанных компонентов требования выделены, когда они расширены или модифицированы по сравнению с требованиями предыдущего компонента. Кроме того, любые новые илирасширенные по сравнению с предыдущим компонентом разрешенные операции также выделеныполужирным шрифтом.14ГОСТ Р ИСО/МЭК 15408-2—…(проект, окончательная редакция)7 Класс FAU: Аудит безопасностиАудит безопасности включает в себя распознавание, запись, хранение и анализ информации, связанной с действиями, относящимися к безопасности (например, с действиями, контролируемыми ПБО). Записи аудита, получаемые в результате, могут быть проанализированы, чтобыопределить, какие действия, относящиеся к безопасности, происходили, и кто из пользователей заних отвечает.FAU_ARP Автоматическая реакция аудитабезопасности11FAU_GEN Генерация данных аудитабезопасности22FAU_SAA Анализ аудита безопасности1341FAU_SAR Просмотр аудита безопасности23FAU_SEL Выбор событий аудитабезопасности11234FAU_STG Хранение данных аудитабезопасностиРисунок 9 – Декомпозиция класса FAU «Аудит безопасности»7.1 Автоматическая реакция аудита безопасности (FAU_ARP)7.1.1 Характеристика семействаСемейство FAU_ARP определяет реакцию на обнаружение событий, указывающих на возможное нарушение безопасности.15ГОСТ Р ИСО/МЭК 15408-2—…(проект, окончательная редакция)7.1.2 Ранжирование компонентовFAU_ARP Автоматическая реакцияаудита безопасности1Рисунок 10 – Ранжирование компонентов семейства FAU_ARPВ FAU_ARP.1 «Сигналы нарушения безопасности» ФБО должны предпринимать действия вслучае обнаружения возможного нарушения безопасности.7.1.3 Управление: FAU_ARP.1Для функций управления из класса FMT могут рассматриваться следующие действия.a) Управление действиями (добавление, удаление или модификация).7.1.4 Аудит: FAU_ARP.1Если в ПЗ/ЗБ включено семейство FAU_GEN «Генерация данных аудита безопасности», тоследует предусмотреть возможность аудита следующих действий.a) Минимальный: действия, предпринимаемые в ответ на ожидаемые нарушения безопасности.7.1.5 FAU_ARP.1 Сигналы нарушения безопасностиИерархический для: Нет подчиненных компонентов.Зависимости: FAU_SAA.1 Анализ потенциального нарушения7.1.5.1 FAU_ARP.1.1ФБО должны предпринять [назначение: список наименее разрушительных действий]при обнаружении возможного нарушения безопасности.7.2 Генерация данных аудита безопасности (FAU_GEN)7.2.1 Характеристика семействаСемейство FAU_GEN определяет требования по регистрации возникновения событий, относящихся к безопасности, которые подконтрольны ФБО.
Это семейство идентифицирует уровеньаудита, перечисляет типы событий, которые потенциально должны подвергаться аудиту с использованием ФБО, и определяет минимальный объем связанной с аудитом информации, которуюследует представлять в записях аудита различного типа.7.2.2 Ранжирование компонентов1FAU_GEN Генерация данных аудитабезопасности2Рисунок 11 – Ранжирование компонентов семейства FAU_GENFAU_GEN.1 «Генерация данных аудита» определяет уровень событий, потенциально подвергаемых аудиту, и состав данных, которые должны быть зарегистрированы в каждой записи.16ГОСТ Р ИСО/МЭК 15408-2—…(проект, окончательная редакция)В FAU_GEN.2 «Ассоциация идентификатора пользователя» ФБО должны ассоциировать события, потенциально подвергаемые аудиту, и личные идентификаторы пользователей.7.2.3 Управление: FAU_GEN.1, FAU_GEN.2Действия по управлению не предусмотрены.7.2.4 Аудит: FAU_GEN.1, FAU_GEN.2Нет событий, для которых следует предусмотреть возможность аудита.7.2.5 FAU_GEN.1 Генерация данных аудитаИерархический для: Нет подчиненных компонентов.Зависимости: FPT_STM.1 Надежные метки времени7.2.5.1 FAU_GEN.1.1ФБО должны быть способны генерировать запись аудита для следующих событий,потенциально подвергаемых аудиту:a) запуск и завершение выполнения функций аудита;b) все события, потенциально подвергаемые аудиту, на [выбор (выбрать одно из):минимальный, базовый, детализированный, неопределенный] уровне аудита;c) [назначение: другие специально определенные события, потенциально подвергаемые аудиту].7.2.5.2 FAU_GEN.1.2ФБО должны регистрировать в каждой записи аудита, по меньшей мере, следующуюинформацию:a) дата и время события, тип события, идентификатор субъекта и результат события(успешный или неуспешный);b) для каждого типа событий, потенциально подвергаемых аудиту, из числа определенных в функциональных компонентах, которые включены в ПЗ/ЗБ, [назначение: другаяотносящаяся к аудиту информация].7.2.6 FAU_GEN.2 Ассоциация идентификатора пользователяИерархический для: Нет подчиненных компонентов.Зависимости: FAU_GEN.1 Генерация данных аудитаFIA_UID.1 Выбор момента идентификации7.2.6.1 FAU_GEN.2.1ФБО должны быть способны ассоциировать каждое событие, потенциально подвергаемое аудиту, с идентификатором пользователя, который был инициатором этого события.7.3 Анализ аудита безопасности (FAU_SAA)7.3.1 Характеристика семействаСемейство FAU_SAA определяет требования для автоматизированных средств, которыеанализируют показатели функционирования системы и данные аудита в целях поиска возможныхили реальных нарушений безопасности.
Этот анализ может использоваться для поддержки как обнаружения проникновения, так и автоматической реакции на ожидаемое нарушение безопасности.Действия, предпринимаемые при обнаружении нарушений, могут быть при необходимостиопределены с использованием семейства FAU_ARP «Автоматическая реакция аудита безопасности».17ГОСТ Р ИСО/МЭК 15408-2—…(проект, окончательная редакция)7.3.2 Ранжирование компонентов2FAU_SAA Анализ аудита безопасности134Рисунок 12 – Ранжирование компонентов семейства FAU_SAAВ FAU_SAA.1 «Анализ потенциального нарушения» требуется базовый порог обнаруженияна основе установленного набора правил.В FAU_SAA.2 «Выявление аномалии, основанное на профиле» ФБО поддерживают отдельныепрофили использования системы, где профиль представляет собой шаблоны предыстории использования, выполнявшиеся участниками целевой группы профиля. Целевая группа профиля можетвключать в себя одного или нескольких участников (например, отдельный пользователь; пользователи, совместно использующие общий идентификатор или общие учетные данные; пользователи,которым назначена одна роль; все пользователи системы или сетевого узла), которые взаимодействуют с ФБО.
Каждому участнику целевой группы профиля назначается индивидуальный рейтингподозрительной активности, который показывает, насколько текущие показатели действий участника соответствуют установленным шаблонам использования, представленным в профиле. Этотанализ может выполняться во время функционирования ОО или при анализе данных аудита в пакетном режиме.В FAU_SAA.3 «Простая эвристика атаки» ФБО должны быть способны обнаружить возникновение характерных событий, которые свидетельствуют о значительной угрозе осуществлениюПБО. Этот поиск характерных событий может происходить в режиме реального времени или прианализе данных аудита в пакетном режиме.В FAU_SAA.4 «Сложная эвристика атаки» ФБО должны быть способны задать и обнаружитьмногошаговые сценарии проникновения. Здесь ФБО способны сравнить события в системе (возможно, выполняемые несколькими участниками) с последовательностями событий, известнымикак полные сценарии проникновения.
ФБО должны быть способны указать на обнаружение характерного события или последовательности событий, свидетельствующих о возможном нарушенииПБО.7.3.3 Управление: FAU_SAA.1Для функций управления из класса FMT могут рассматриваться следующие действия.a) Сопровождение (добавление, модификация, удаление) правил из набора правил.7.3.4 Управление: FAU_SAA.2Для функций управления из класса FMT могут рассматриваться следующие действия.a) Сопровождение (удаление, модификация, добавление) группы пользователей в целевойгруппе профиля.7.3.5 Управление: FAU_SAA.3Для функций управления из класса FMT могут рассматриваться следующие действия.a) Сопровождение (удаление, модификация, добавление) подмножества событий системы.7.3.6 Управление: FAU_SAA.4Для функций управления из класса FMT могут рассматриваться следующие действия.18ГОСТ Р ИСО/МЭК 15408-2—…(проект, окончательная редакция)a) Сопровождение (удаление, модификация, добавление) подмножества событий системы.b) Сопровождение (удаление, модификация, добавление) набора последовательностей событий системы.7.3.7 Аудит: FAU_SAA.1, FAU_SAA.2, FAU_SAA.3, FAU_SAA.4Если в ПЗ/ЗБ включено семейство FAU_GEN «Генерация данных аудита безопасности», тоследует предусмотреть возможность аудита следующих действий.a) Минимальный: подключение и отключение любого из механизмов анализа.b) Минимальный: автоматические реакции, выполняемые инструментальными средствами.7.3.8 FAU_SAA.1 Анализ потенциального нарушенияИерархический для: Нет подчиненных компонентов.Зависимости: FAU_GEN.1 Генерация данных аудита7.3.8.1 FAU_SAA.1.1ФБО должны быть способны применить набор правил мониторинга событий, подвергающихся аудиту, и указать на возможное нарушение ПБО, основываясь на этих правилах.7.3.8.2 FAU_SAA.1.2ФБО должны осуществлять следующие правила при мониторинге событий, подвергающихся аудиту:a) накопление или объединение известных [назначение: подмножество определенных событий, потенциально подвергаемых аудиту], указывающих на возможное нарушение безопасности;b) [назначение: другие правила].7.3.9 FAU_SAA.2 Выявление аномалии, основанное на профилеИерархический для: FAU_SAA.1 Анализ потенциального нарушенияЗависимости: FIA_UID.1 Выбор момента идентификации7.3.9.1 FAU_SAA.2.1ФБО должны быть способны сопровождать профили использования системы, гдекаждый отдельный профиль представляет известные шаблоны предыстории использования, выполнявшиеся участниками [назначение: спецификация целевой группы профиля].7.3.9.2 FAU_SAA.2.2ФБО должны быть способны сопровождать рейтинг подозрительной активности длякаждого пользователя, чьи действия отражены в профиле, где рейтинг подозрительной активности показывает степень несогласованности действий, выполняемых пользователем,с установленными шаблонами использования, представленными в профиле.7.3.9.3 FAU_SAA.2.3ФБО должны быть способны указать на ожидаемое нарушение ПБО, когда рейтингподозрительной активности пользователя превышает следующие пороговые условия [назначение: условия, при которых ФБО сообщают об аномальных действиях].7.3.10 FAU_SAA.3 Простая эвристика атакиИерархический для: FAU_SAA.1 Анализ потенциального нарушенияЗависимости: отсутствуют.7.3.10.1 FAU_SAA.3.119ГОСТ Р ИСО/МЭК 15408-2—…(проект, окончательная редакция)ФБО должны быть способны сопровождать внутреннее представление следующиххарактерных событий [назначение: подмножество событий системы], которые могут указывать на нарушение ПБО.7.3.10.2 FAU_SAA.3.2ФБО должны быть способны сравнить характерные события с записью показателейфункционирования системы, полученных при обработке [назначение: информация, используемая для определения показателей функционирования системы].7.3.10.3 FAU_SAA.3.3ФБО должны быть способны указать на ожидаемое нарушение ПБО, когда событиесистемы соответствует характерному событию, указывающему на возможное нарушениеПБО.7.3.11 FAU_SAA.4 Сложная эвристика атакиИерархический для: FAU_SAA.3 Простая эвристика атакиЗависимости: отсутствуют.7.3.11.1 FAU_SAA.4.1ФБО должны быть способны сопровождать внутреннее представление следующих последовательностей событий известных сценариев проникновения [назначение: список последовательностей событий системы, совпадение которых характерно для известныхсценариев проникновения] и следующих характерных событий [назначение: подмножество событий системы], которые могут указывать на возможное нарушение ПБО.7.3.11.2 FAU_SAA.4.2ФБО должны быть способны сравнить характерные события и последовательности событий с записью показателей функционирования системы, полученных при обработке [назначение:информация, используемая для определения показателей функционирования системы].7.3.11.3 FAU_SAA.4.3ФБО должны быть способны указать на ожидаемое нарушение ПБО, когда показателифункционирования системы соответствуют характерному событию или последовательностисобытий, указывающим на возможное нарушение ПБО.7.4 Просмотр аудита безопасности (FAU_SAR)7.4.1 Характеристика семействаСемейство FAU_SAR определяет требования к средствам аудита, к которым следует предоставить доступ уполномоченным пользователям для использования при просмотре данных аудита.7.4.2 Ранжирование компонентов1FAU_SAR Просмотр аудита безопасности23Рисунок 13 - Ранжирование компонентов семейства FAU_SAR20ГОСТ Р ИСО/МЭК 15408-2—…(проект, окончательная редакция)FAU_SAR.1 «Просмотр аудита» предоставляет возможность читать информацию из записейаудита.FAU_SAR.2 «Ограниченный просмотр аудита» содержит требование отсутствия доступа кинформации кому-либо, кроме пользователей, указанных в FAU_SAR.1 «Просмотр аудита».FAU_SAR.3 «Выборочный просмотр аудита» содержит требование, чтобы средства просмотра аудита отбирали данные аудита на основе критериев просмотра.7.4.3 Управление: FAU_SAR.1Для функций управления из класса FMT могут рассматриваться следующие действия.a) поддержка (удаление, модификация, добавление) группы пользователей с правом доступа кчтению записей аудита.7.4.4 Управление: FAU_SAR.2, FAU_SAR.3Действия по управлению не предусмотрены.7.4.5 Аудит: FAU_SAR.1Если в ПЗ/ЗБ включено семейство FAU_GEN «Генерация данных аудита безопасности», то следует предусмотреть возможность аудита следующих действий.a) Базовый: чтение информации из записей аудита.7.4.6 Аудит: FAU_SAR.2Если в ПЗ/ЗБ включено семейство FAU_GEN «Генерация данных аудита безопасности», то следует предусмотреть возможность аудита следующих действий.a) Базовый: неуспешные попытки читать информацию из записей аудита.7.4.7 Аудит: FAU_SAR.3Если в ПЗ/ЗБ включено семейство FAU_GEN «Генерация данных аудита безопасности», то следует предусмотреть возможность аудита следующих действий.a) Детализированный: параметры, используемые при просмотре.7.4.8 FAU_SAR.1 Просмотр аудитаИерархический для: Нет подчиненных компонентов.Зависимости: FAU_GEN.1 Генерация данных аудитаКомпонент FAU_SAR.1 предоставит уполномоченным пользователям возможность получатьи интерпретировать информацию.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
