ГОСТ Р ИСО/МЭК 15408-2-2002
Зависимости: FAU_GEN.l Генерация данных аудита
F1A_U1D.I Выбор момента идентификации
3.3 Анализ аудита безопасности (FAU_SAA)
Характеристика семейства
Семейство FAU_SAAопределяет требования для автоматизированных средств, которые анализи
руют показатели функционирования системы и данные аудита в целях поиска возможных или реаль
ных нарушений безопасности. Этот анализ может использоваться для поддержки как обнаружения
проникновения, так и автоматической реакции на ожидаемое нарушение безопасности.
Действия, предпринимаемые при обнаружении нарушений, могут быть при необходимости опре
делены с использованием семейства FAU_ARP.
Ранжирование компонентов
В FAU_SAA. I «Анализ потенциального нарушения» требуется базовый порог обнаружения на
основе установленного набора правил.
В FAU_SAA.2 «Выявление аномалии, основанное на профиле» ФБО поддерживают отдельные
профили использования системы, где профиль представляет собой шаблоны предыстории использова
ния, выполнявшиеся участниками целевойгруппы профиля. Целевая труппа профиля может включать в
себя одного или нескольких участников (например, отдельный пользователь; пользователи, совместно
использующие общий идентификатор или общие учетныеданные; пользователи, которым назначена
одна роль; все пользователи системы или сетевого узла), которые взаимодействуют с ФБО. Каждому
участнику целевой группы профиля назначается индивидуальный рейтингподозрительной активнос
ти, который показывает, насколько текущие показатели действии участника соответствуют установ
ленным шаблонам использования, представленным в профиле. Этот анализ может выполняться во
время функционирования ОО или при анализе данных аудита в пакетном режиме.
В FAU_SAA.3 «Простая эвристика атаки* ФБО должны быть способны обнаружить возникнове
ние характерных событий, которые свидетельствуют о значительной угрозе осуществлению ПБО. Этот
поиск характерных событий может происходить в режиме реального времени или при анализе данных
аудита в пакетном режиме.
В FAU_SAA.4 «Сложная эвристика атаки» ФБО должны быть способны задать и обнаружить
многошаговые сценарии проникновения. Здесь ФБО способны сравнить события в системе (возможно,
выполняемые несколькими участниками) с последовательностями событий, известными как полные
сценарии проникновения. ФБО должны быть способны указать на обнаружение характерного события
или последовательности событий, свидетельствующих о возможном нарушении ПБО.
Управление; FAUSAA.1
Ятя функций управления из класса FMT может рассматриваться следующее действие.
а) Сопровождение (добавление, модификация, удаление) правил из набора правил.
Управление: FAU_SAA.2
Ятя функций управления из класса FMT может рассматриваться следующеедействие.
а)Сопровождение (удаление, модификация, добавление) группы пользователей в целевой группе
профиля.
Управление: FAU_SAA.3
Япя функций управления из класса FMT может рассматриваться следующее действие.
а) Сопровождение (удаление, модификация, добавление) подмножества событий системы.
Управление: FAU_SAA.4
Я™ функций управления из класса FMT могут рассматриваться следующие действия.
а) Сопровождение (удаление, модификация, добавление) подмножества событий системы.
б) Сопровождение (удаление, модификация, добавление) набора последовательностей событий
системы.
14