ГОСТ Р ИСО/МЭК 15408-2—2002
Авгор ПЗ/ЗБ может устанавливать иные действия для ФБО. относящиеся в том числе и к правилам
деблокирования процесса открытии сеанса пользователя или подаче сигнала тревоги администратору. Приме
рами таких действии являются: до истечения установленного времени; пока уполномоченный администратор
вновь не деблокирует терминал или учетные данные пользователя; до истечения времени, связанного с пре
дыдущими неуспешными попытками (например, после каждой неуспешной попытки время блокирования
удваивается).
Операции
Н а з н а ч е н и е
В FIA_AFL. 1.1 автору ПЗ/ЗБ следует специфицировать задаваемое по умолчанию число неуспешных по
пыток аутентификации, при достижении или превышении которого будут инициироваться определенные дей
ствия. В ПЗ/ЗБ можно указать, что «это число выбирается уполномоченным администратором*.
В FIA AFL.1.1 автору 113/ЗБ следует специфицировать события аутентификации. Примерами являются:
число неуспешных попыток аутентификации дли данного идентификатора пользователя с момента последней
успешной попытки; число неуспешных попыток аутентификации для данного терминала с момента последней
успешной попытки; число неуспешных попыток аутентификации за последние 10 мин. Необходимо указать по
меньшей мере одно событие аутентификации.
В FIA AFL.1.2 автору ПЗ/ЗБ следует специфицировать действия, предпринимаемые в случае достижения
или превышения предельного значения числа попыток. Такими действиями могут быть: блокирование учетных
данных на 5 мин. блокирование терминала иа увеличивающийся интервал времени (число секунд, равное 2’. тле
л —число неуспевших попыток) или блокирование, с уведомлением администратора, учетных данных вплоть до
сто снятия администратором. В описании действий следует указать принимаемые меры и сроки их действия (или
условия прекращения действия этих мер).
Ж.2 Определение атрибутов пользователя (FIA_ATD)
Все уполномоченные пользователи могут, помимо идентификатора пользователя, иметь другие атрибу
ты безопасности, применяемые при осуществлении ПВО. Семейство F1A_ATD определяет требования для
ассоциации атрибутов безопасности с пользователями в соответствии с необходимостью поддержки Г1БО.
Замечания для пользователя
Существуют зависимости от определений отдельных политик безопасности. Следует, чтобы такие опре
деления содержали списки атрибутов, необходимых для осуществления политики.
FIA_ATD.1 Определение атрибутов пользователя
Замечания по применению для пользователя
Компонент FlA_ATD.l спсинфицирует атрибуты безопасности, которые следует поддерживать на уров
не пользователя. Это означает, что назначение и возможное изменение атрибутов безопасности, указанных в
списке, осуществляется на уровне пользователя <т. с. для каждого пользователя индивидуально). Иными
слова ми. нс следует, чтобы изменение атрибутов из списка, ассоциированного с каким-либо пользователем,
вли яло на атрибуты безопасности других пользователей.
Если атрибуты безопасности принадлежат труппе пользователей (например, список возможностей труп
пы). пользователю потребуется иметь ссылку (как атрибут безопасности) на соответствующую группу.
Операции
Н а з н а ч е н и е
В FIA_ATD.1.1 автору ПЗ/ЗБ следует специфицировать атрибуты безопасности, ассоциируемые с каждым
отдельным пользователем. Примером может служить список, включающий в себя атрибуты «уровень допуска»,
«идентификатор группы», «права».
Ж.З Спецификация секретов (FIA_SOS)
Семейство FIA_SOS определяет требования к механизмам, которые реализуют определенную метрику
качества дня ирсдостаатясмых секретов и генерируют секреты, удовлетворяющие определенной метрике. При
мерами таких механизмов могут быть автоматическая проверка предоставляемых пользователями паролей или
автоматическая генерация паролей.
Секреты могут генерироваться вне ОО. например выбираться пользователями и вводиться и систему.
При этом может быть использован компонент FlA_SOS.l для обеспечения соответствия секретов, сгенериро
ванных вне системы, конкретным условиям, таким как минимально допустимый размер, отсутствие в
слова ре и/или неприменение ранее.
Секреты могут генерироваться самим ОО. В этом случае требование, чтобы сгенерированные ОО секре
ты соответствовали специфицированной метрике, обеспечивается компонентом FIA_SOS.2.
Замечания для пользователя
Секреты, рассматриваемые в данном семействе, содержат аутентификаиионные данные, предъявляе
мые пользователем механизму аутентификации, основанному на сведениях, которыми располагает пользова
тель. Когда используются криптографические ключи, вместо этого семейства следует использовать семейства
класса FCS.
FlA_SOS.l Верификация секретов
Замечания по применению для пользователя
123