ГОСТ Р ИСО/МЭК 15408-2-2002
в) операционная роль — один профиль на всех пользователей, выполняющих данную операционную
роль;
г) система в целом —один профиль на всех пользователей системы.
Каждому члену целевой группы профиля присваивают индивидуальный рейтинг подозрительной актив
ности. показывающий, насколько сто деятельность соответствует шаблону испатьювания системы, установ
ленному в профиле этой группы.
Сложность средств обнаружения отклонений в значительной степени будет определяться числом целе
вых трупп, предусмотренных в ПЗ/ЗБ, и сложностью метрики профиля.
Этот компонент используют для определения как совокупности событий, потенциально подвергаемых
аудиту, появление которых (каждого в отдельности или совместно) указывает на возможные нарушения ПБО,
так и правил проведения анализа нарушений. Эта совокупность событий и правил может быть модифицирована
уполномоченным пользователем путем добавления, модификации или удаления событий или правил.
При составлении ПЗ/ЗБ следует перечислить вилы деятельности, которые следует отслеживать и анали
зировать с использованием ФБО. Автору ПЗ/ЗБ следует особо указать, какая информация о деятельности
пользователей необходима при составлении профилей использования системы.
FAl)_SAA.2 содержит требование, чтобы ФБО сопровождали профили использования системы. Пол со
провождением понимается активное участие детектора отклонений в обновлении профиля использования
системы в соответствии с новыми действиями, выполняемыми членами целевой труппы этого профиля. Важ
но. чтобы автором ПЗ/ЗБ была определена метрика представления деятельности пользователя. Индивид мо жет
выполнять тысячи различных действий, но детектор отклонений способен отобрать для контроля только
некоторые из них. Результаты аномальной деятельности интегрируются в профиль так же. как и результаты
нормальной деятельности (при условии выполнения мониторинга этих действий). То. что считалось отклоне
нием четыре месяца назад, сегодня может стать нормой (и наоборот) из-за изменения условий работы пользо
вателей. ФБО не будут способны учесть изменение ситуации, если в алгоритмах обновления профили нс отра
жена какая-либо аномальная деятельность пользователей.
Административные уведомлении следует доводить до уполномоченного пользователя таким образом,
чтобы он понимал важность рейтинга подозрительной активности.
Автору ПЗ/ЗБ следует определить, как интерпретировать рейтинги подозрительной активности и усло
вии. при которых в случае аномального поведения нужно обращаться к механизму компонента FAU_ARP.
Операции
Выб о р
Для FAU_SAA.2.1 автору ПЗ/ЗБ следует определить целевую группу профиля. Олин ПЗ/ЗБ может вклю
чать в себя несколько целевых групп профиля.
Для FAU_SAA.2.3 автору ПЗ/ЗБ следует определить условия, при которых ФБО сообщают об аномальном
повелении. Условия могут включать в себя достижение рейтингом подозрительнон активности некоторого значе
ния или основываться на определенном виде аномального повеления.
FAU_SAA.3 Простая эвристика атаки
Замечания по применению для пользователя
На практике случай, когда средства анализа могут точно предсказать ожидаемое нарушение безопасно
сти. является редкой удачей. Тем нс менее существуют некоторые системные события, важные настолько,
что всегда заслуживают отдельного отслеживания. Примерами таких событий являются удаление файла с клю
чевыми данными безопасности ФБО (например, файла паролей) или попытка удаленного пользователя полу
чить административные привилегии. Такие события называют
характерными,
поскольку они. в отличие от
остальных событий, свидетельствуют о попытках вторжения в систему.
Сложность средств анализа в значительной степени будет зависеть от назначений, сделанных автором
ПЗ/ЗБ при определении базового множества характерных событий.
В ПЗ/ЗБ следует перечислить события, отслеживаемые ФБО с целью их анализа. Автору ПЗ/ЗБ следует
указать, на основании какой информаими о событии его следует отнести к характерным.
Административные уведомления следует доводить до уполномоченного пользователя таким образом,
чтобы он понимал значение этих событий и приемлемую реакцию на них.
При спецификации этих требований предусмотрена возможность привлечения иных источников данных
о функционировании системы, кроме данных аудита. Это было сделано с целью расширения приатскасмых
методов обнаружения вторжения, которые при анализе показателей функционирования системы используют
нс только данные аудита (примерами других типов источников данных являются параметры сетевых дейтаг
рамм. данные о рссурсах/учстс или комбинации различных системных данных).
Элементы FAUSAA.3 не требуют, чтобы реализация эвристик распознавания прямой атаки осуществ
лялась теми же самыми ФБО. выполнение которых подлежит мониторингу. Поэтому компоненты, применя
емые для обнаружения вторжения, можно разрабатывать независимо от системы, показатели функциониро
вания которой подлежат анализу.