ГОСТ Р ИСО/МЭК 15408-2-2013
7.3.2 Ранжирование компонентов
В FAUSAA.1 «Анализ потенциального нарушения» требуется базовый порог
обнаружения на основе установленного набора правил.
В FAUSAA.2 «Выявление аномалии, основанное на профиле» ФБО поддержи
вают отдельные профили использования системы, где профиль представляет собой
шаблоны предыстории использования, выполнявшиеся участниками целевой группы
профиля. Целевая группа профиля может включать в себя одного или нескольких
участников (например, отдельный пользователь; пользователи, совместно исполь
зующие общий идентификатор или общие учетные данные; пользователи, которым
назначена одна роль; все пользователи системы или сетевого узла), которые взаимо
действуют с ФБО. Каждому участнику целевой группы профиля назначается индиви
дуальный рейтинг подозрительной активности, который показывает, насколько те
кущие показатели действий участника соответствуют установленным шаблонам ис
пользования, представленным в профиле. Этот анализ может выполняться во время
функционирования 00 или при анализе данных аудита в пакетном режиме.
В FAU SAA.3 «Простая эвристика атаки» ФБО должны быть способны обнару
жить возникновение характерных событий, которые свидетельствуют о значительной
угрозе для реализации ФТБ. Этот поиск характерных событий может происходить в
режиме реального времени или при анализе данных аудита в пакетном режиме.
В FAUSAA.4 «Сложная эвристика атаки» ФБО должны быть способны задать и
обнаружить многошаговые сценарии проникновения. Здесь ФБО способны сравнить
события в системе (возможно, выполняемые несколькими участниками) с последо
вательностями событий, известными как полные сценарии проникновения. ФБО
должны быть способны указать на обнаружение характерного события или последо
вательности событий, свидетельствующих о возможном нарушении реализации
ФТБ.
7.3.3 Управление: FAU_SAA.1
Для функций управления из класса FMT могут рассматриваться следующие
действия.
а)
Сопровождение (добавление, модификация, удаление) правил из набора
правил.
23