ГОСТ Р ИСО/МЭК 15408-2-2002
Операции
Выб о р
В FIA_l)AU.3.1 автору ПЗ/ЗБ следует специфицировать, будут ли ФЬО обнаруживать и/илн предотвра
щать подделку данных аутентификации.
В FIA_UAU.3.2 автору ИЗ/ЗБ следует специфицировать, будут ли ФБО обнаруживать и/или предотвра
щать копирование данных аутентификации.
FIA_UAU.4 Механизмы отпора киши аутентификации
Замечания по применению для пользователя
Компонент FIA_UAU.4 содержит требования к механизмам аутентификации, основанным на аутенти
фикационных данных одноразового использования. В качестве таких данных может использоваться то. что
пользователь имеет или знает, но не свойства самого пользователя. Примеры одноразовых данных аутентифи
кации пользователя: одноразовые нароли, зашифрованные метки времени, случайные числа секретной таб
лицы преобразований.
Автор Г13/ЗБ может определить, к какому механизму (ам) аутентификации применимы эти требования.
Операции
Н а з н а ч е н и е
В FIA_l)AU.4.1 автору ПЗ/ЗБ следует привести список механизмов аутентификации, к которым применя
ется это требование. Назначением может быть: «все механизмы аутентификации*. Примером назначения может
быть: «механизмы аутентификации, используемые для аутентификации пользователей во внешней сети».
FIA_liAU.5 Сочетание механизмов аутентификации
Замечания по применению для пользователя
Применение компонентов FlA_UAU.5 позволяет специфицировать требования к применению несколь
ких механизмов аутентификации в 00. Требования, применяемые к каждому отдельному механизму, необхо
димо выбирать из класса FIA. Чтобы отразить различающиеся требования к разным механизмам
аутентифика ции, можно многократно использовать один и тот же выбранный компонент.
Для обеспечения возможностей механизмов аутентификации, а также правил, определяющих успеш
ность аутентификации, можно привлекать функции управления из класса FMT.
Для допуска в систему анонимных пользователей можно ввести механизм аутентификации типа «отсут ствие
аутентификации». Использование доступа такого типа следует четко разъяснить в правилах FIA_IJAU.5.2.
Операции
Н а з н а ч е н и е
В FIA_UAU.5.1 автору ПЗ/ЗБ следует определить предоставляемые механизмы аутентификации. Приме
ром списка механизмов может служить: «отсутствие аутентификации, механизм пароля, биометрия (сканирова
ние сетчатки), механизм ключа шифрования».
В FIA_l)AU.5.2 автору ПЗ/ЗБ следует специфицировать правила, описывающие, как механизмы обеспе
чивают аутентификацию и когда используется каждый из них. Это значит, что для любой возможной ситуации
необходимо указать совокупность механизмов, которые могли бы использоваться для аутентификации. Пример
такого правила: «Для аутентификации пользователей, имеющих особые права доступа, должны использоваться
совместно механизм пароля и биометрия, причем аутентификация успешна при успешной аутентификации каж
дым механизмом: для аутентификации остальных пользователей должен использоваться только механизм паро
ля».
Автор ПЗ/ЗБ может задать ограничения, в пределах которых уполномоченному администратору разрешено
специфицировать конкретные правила. Пример правила: «аутентификация пользователя всегда должна произво
диться посредством аппаратного ключа; администратор может специфицировать дополнительные механизмы
аутентификации, которые также необходимо использовать». Автор ПЗ/ЗБ может и нс специфицировать ограни
чения, а оставить выбор механизмов аутентификации и их правил полностью на усмотрение уполномоченного
администратора.
FIAJUAU.6 Повторная аутентификация
Замечания по применению для пользователя
В компоненте FIA_UAlJ.6 рассматривается потенциальная потребностьповторной аутентификации пользо
вателей в определенные моменты времени. Эю может возникнуть при обращении пользователя к ФБО с
запросом о выполнении действий, критичных по безопасности, а также при запросах о повторной аутентифи
кации. исходящих от сущностей, не свя занных с ФБО, например от серверного приложения, которое запра
шивает от ФЬО повторную аутентификацию обслуживаемого клиента.
Операции
9 -1- 1323
125