ГОСТ I» ИСО/МЭК 15408-2-2002
Семейство F1A_ATD предназначено для определения атрибутов пользователей, применяемых при осу
ществлении Г1БО.
Семейство FIA_USB предназначено для корректной ассоциации атрибутов безопасности для каждого
уполномоченного пользователя.
Семейство FIA_SOS предназначено для генерации и верификации секретов, удовлетворяющих установ
ленной метрике.
Декомпозиция класса FDP на составляющие его компоненты приведена на рисунке Ж.I.
Ьфрнтфиквцюияугантафмшрм
FlAuAH-Oneau вугаипфаящм
нз
1
F1A дш определены* «трмбутрв
ПР1ЫДИГИЯ
FIASCOSОш тфшиця
сщ т о»
43
“ “ I
2 I
Рисунок Ж.1 —Декомпозиция класса «Идентификация и аутентификация»
Ж.1 Отказы аутентифи
кации <F1A_AFL)
Семейство FIA_AFL со
держит требования по опреде
лению числа попыток аутенти
фикации и действиям ФБО в
случае их неудачи. Параметра
ми. определяющими возмож
ное число попыток аутентифи
кации. среди прочих, могут
быть количество попыток и до
пустимый интервал времени.
Процесс открытия сеан
са пользователя предусматрива
ет взаимодействие с пользова
телем. позволяющее открыть
сеанс и независимое от факти
ческой реализации. Если число
неуспешных попыток аутенти-
фикаиии превысило установ-
ленное значение, то блокиру
ются учетные данные пользо
ватели и/или терминал, с ко
торою выполнялись запросы.
Если учетные данные пользо
вателя заблокированы, то он
нс может войти всистему. Если
заблокирован терминал, го он
{иди сто адрес) нс может быть
использован для входа в систе
му. Эта ситуация сохранится,
пока условия для повторения
попыток открытия сеанса не
будут удовлетворены.
FIA_AFL1 Обработка от
казов аутентификации
Замечании по примене
нию для пользователя
Автор Г13/ЗБ может либо
установить число неуспешных
попыток аутентификации, либо доверить это разработчику ОО или уполномоченному пользователю. Неус
пешные попытки аутентификации не просто накапливаются, но скорее будут связаны с каким-либо событием
аутентификации. Таким событием может быть число неуспешных попыток с момента последнего сеанса, ус
пешно открытого с данного терминала.
Автор ПЗ/ЗБ может определить список действий, которые должны предприниматься ФБО в случае отка
за аутентификации. Уполномоченному администратору также может быть разрешено управлять этими событи
ями, если такую возможность предусмотрел автор ПЗ/ЗБ. Такими действиями, среди прочих, могут
быть: отключение терминала, отключение учетных ланных пользователя или подача сигнала тревоги
администрато ру. Условия, при которых произойдет возвращение к обычному режиму работы, необходимо
снсиифицировать через действия.
Чтобы предотвратить полную невозможность обслуживании, в ОО обычно обеспечивается невозмож
ность блокирования учетных данных по меньшей мерс одного пользователи.
а
ПЛ
Fl^UAUАугвншфипцт тльлоеотеля
-
б
LU
F1AJJD Идактмфмоим попиовжтвга
-
3
F1AJJ88 С т о н гшлиоштягъ-субикт
-
а
122