ГОСТ Р ИСО/МЭК 15408-2-2002
Компонент FAU_SEL. I определяет критерии, используемые для отбора событий, которые подвергнутся
аудиту. Критерии могут допускать включение или исключение событий из совокупности событий, подвергаю
щихся аудиту, на основе атрибутов пользователей, субъектов и объектов или типов событий.
Для этого компонента нс предполагается существование идентификаторов отдельных пользователей,
что позволяет применять его для таких 0 0 . как. например, маршрутизаторы, которые могут не поддерживать
понятие пользователей.
В распределенной среде в качестве критерия для отбора событий, которые подвергнутся аудиту, может
быть использован идентификатор узла сети.
Права уполномоченных пользователей по просмотру иди модификации условий отбора будут регулиро
ваться функциями управления компонента FMT_MTD.l «Управление данными ФБО».
Операции
Выбор
Для FAU SEL.l. 1* автору ПЗ/ЗБ следует выбрать, на каких атрибутах безопасности основана избиратель
ность аудита: ндс
1
ггификатор объекта, идентификатор полыоватсля, идентификатор субъекта, идентификатор
узла сети или тип события.
Н а з н а ч е н и е
Для FAU_SEL.1.16 автору ПЗ/ЗЬ следует определить список дополнительных атрибутов, на которых ос
нована избирательность аудита.
В.6 Хранение данных аудита безопасности (FAU_STG)
Семейство FAU_STG описывает требования по хранению данных аудита для последующего использова
ния. включая требования контроля за потерей информации аудита из-за сбоя системы, нападения и/или
превышения объема памяти, отведенной для хранения.
FAU_STG.l Защищенное хранение журнала аудита
Замечания по применению для пользователя
Поскольку в распределенной среде расположение журнала аудита, который находится в ОДФ. нс обяза
тельно совпадаете расположением функций генерации данных аудита, автор ПЗ/ЗБ может потребовать обес
печения нсотказусмости отправлении записи аудита или проведения аутентификации отправителя перед зане
сением записи в журнал аудита.
ФБО будут защищать журнал аудита от несанкционированного уничтожении или модификации. Отме
тим. что в некоторых системах аудитор (роль) может нс располагать полномочиями на удаление записей
иудита в течение определенного периода времени.
Операции
Выбор
В PAU_STG.I.2 автору ПЗ/ЗБ следует специфицировать, должны ли ФБО ирсдогвращать или только
выявлять модификацию журнала аудита.
FAU_STG.2 Гарантии доступности данных аудкга
Замечания по применению для пользователя
Компонент FAU_STG.2 позволяет автору ПЗ/ЗБ определить метрику для журнала аудита.
Поскольку в распределенной среде расположение журнала аудита, который находится в ОДФ. нс обяза
тельно совпадаете расположением функций генерации данных аудита, автор ПЗ/ЗБ может потребовать обес
печения нсотказусмости отправления записи аудита или проведения аутентификации отправителя перед зане
сением записи в журнал аудита.
Операции
Выбор
ВFAU_STG.2.2 автору ПЗ/ЗБ следует специфицировать должны ли ФБО предотвращать или только выяв
лять модификацию журнала аудита.
В FAU_STG.2.3 автору ПЗ/ЗБ следует специфицировать условие, при котором ФБО должны быть все сиге
способны сопровождать определенный объем данных аудита. Это может быть одно из следующих условий: пере
полнение журнала аудита, сбой, атака.
Н а з н а ч е н и е
В FAU_STG.2.3 автору ПЗ/ЗЬ следует спеинфнцироватъ метрику, которую ФБО должны обеспечить при
представлении журнала аудита. Эта метрика ограничивает потерю данных указанием максимальною числа запи
сей, которые необходимо сохранять, или временем, в течение которого обеспечивается хранение записей. При
мером метрики может быть число «100000», указывающее, что журнал аудита рассчитан на 100000 записей.
FAU_STG.3 Действия в случае возможной потери данных аудита
Замечания по применению для пользователя
Компонент FAU_STG.3 содержит требование выполнения определенных действии в случае превышения
журналом аудита некоторого заранее определяемого предела.
7
-
1-1323
97