ГОСТ Р ИСО/МЭК15408 -2— 2008
правил проведения анализа нарушений. Указанная совокупность событий и правил может быть модифицирова
на уполномоченным пользователем путем добавления, модификации или удаления событий или правил.
При составлении ПЗЗБ следует перечислить виды деятельности, которые следует отслеживать и анализи
ровать с использованием ФБО. Автору ПЗ/ЗБ следует особо указать, какая информация о деятельности пользо
вателей необходима при составлении профилей использования системы.
FAU
_
SAA.2 «Выявление аномалии, основанное на профиле» содержит требование, чтобы ФБО сопровож
дали профили использования системы. Под сопровождением понимается активное участие детектора отклоне
ний в обновлении профиля использования системы в соответствии с новыми действиями, выполняемыми члена ми
целевой группы этого профиля. Важно, чтобы автором ПЗ/ЗБ была определена метрика представления дея
тельности пользователя. Индивид может выполнять тысячи различных действий, но детектор отклонений спосо бен
отобрать для контроля только некоторые из них. Результаты аномальной деятельности интегрируются в
профиль так же. как и результаты нормальной деятельности (при условии выполнения мониторинга этих дей
ствий). То. что считалось отклонением четыре месяца назад, сегодня может стать нормой (и наоборот) из-за
изменения условий работы пользователей. ФБО не будут способны учесть изменение ситуации, если в алгорит
мах обновления профиля не отражена какая-либо аномальная деятельность пользователей.
Административные уведомления следует доводить до уполномоченного пользователя так. чтобы он пони
мал важность рейтинга подозрительной активности.
Автору ПЗ/ЗБ следует определить, как интерпретировать рейтинги подозрительной активности и условия,
при которых в случав аномального поведения нужно обращаться к механизму семейства FAU
_
ARP «Автоматичес
кая реакция аудита безопасности».
С.4.3.2 Операции
С.4.3.2.1 Выбор
В FAU
_
SAA.2.1 автору ПЗ/ЗБ следует определить целевую группу профиля. Один ПЗ’ЗБ может включать в
себя несколько целевых групп профиля.
В FAU
_
SAA.2.3 автору ПЗ/ЗБ следует определить условия, при которых ФБО сообщают об аномальном пове
дении. Условия могут включать в себя достижение рейтингом подозрительной активности некоторого значения
или основываться на определенном виде аномального поведения.
С.4.4 FAU
_
SAA.3 Простая эвристика атаки
С.4.4.1 Замечания по применению для пользователя
На практике случай, когда средства анализа могут точно предсказать ожидаемое нарушение безопасности,
является редкой удачей. Тем не менее, существуют некоторые системные события, важные настолько, что всегда
заслуживают отдельного отслеживания. Примерами таких событий являются удаление файла с ключевыми дан
ными безопасности ФБО (например, файла паролей) или попытка удаленного пользователя получить админис
тративные привилегии. Такие события называют «характерными», поскольку они в отличив от остальных событий
свидетельствуют о попытках вторжения в систему.
Сложность средств анализа в значительной степени будет зависеть от назначений, сделанных автором
ПЗ/ЗБ при определении базового множества «характерных» событий.
В ПЗ/ЗБ следует перечислить события, отслеживаемые ФБО с целью их анализа. Автору ПЗ/ЗБ следует
указать, на основании какой информации о событии его следует отнести к «характерным».
Административные уведомления следует доводить до уполномоченного пользователя так. чтобы он пони
мал значение этих событий и приемлемую реакцию на них.
При спецификации этих требований предусмотрена возможность привлечения иных источников данных,
кроме данных аудита, для мониторинга системы. Это было сделано с целью расширения привлекаемых методов
обнаружения вторжения, которые при анализе показателей функционирования системы используют не только
данные аудита (примерами других типов источников данных являются параметры сетевых дейтаграмм, данные о
ресурсах/учете или комбинации различных системных данных).
Элементы FAU
_
SAA.3 «Простая эвристика атаки» не требуют, чтобы реализация эвристик распознавания
прямой атаки осуществлялась теми же ФБО. выполнение которых подлежит мониторингу. Поэтому компоненты,
применяемые для обнаружения вторжения, можно разрабатывать независимо от системы, показатели функци
онирования которой подлежит анализу.
С.4.4.2 Операции
С.4.4.2.1 Назначение
В FAU
_
SAA.3.1 автору ПЗ/ЗБ следует идентифицировать базовое подмножество системных событий, появ
ление которых, в отличив от иных показателей функционирования системы, может указывать на нарушение ПБО. К
ним относятся как события, сами по себе указывающие на очевидные нарушения ПБО. так и события, появле ние
которых является достаточным основанием для принятия мер предосторожности.
В FAU
_
SAA.3.2 автору ПЗ/ЗБ следует специфицировать информацию, используемую при определении пока
зателей функционирования системы. Данная информация является исходной для инструментальных средств
анализа показателей функционирования системы, применяемых в ОО. Эта информация может включать в себя
данные аудита, комбинации данных аудита с другими системными данными и данные, отличные от данных ауди
та. При составлении ПЗ/ЗБ следует точно определить, какие системные события и атрибуты событий используют ся
в качестве исходной информации.
97