ГОСТ Р ИСО/МЭК 15408-2—2002
Аудит: FAU.SAA.I, FAU_S.AA.2. FAU_SAA.3, FAU_SAA-4
Если и Г13/ЗБ включено семейство FAU_GEN «Генерация данных аудита безопасности», то
следует предусмотреть возможность (в зависимости от выбранного уровня) аудита следующих дей-
ствий/событий/параметров.
а) Минимальный: подключение и отключение любого из механизмов анализа.
б) Минимальный: автоматические реакции, выполняемые инструментальными средствами.
FAU SAA.1Анализ потенциальногонарушения
Иерархический для: Нет подчиненных компонентов.
FAU_SAA.1.1 ФБО должны быть способны применить набор правил мониторинга событий, под
вергающихся аудиту, и указать на возможное нарушение ИБО, основываясь на
этих правилах.
FAILSAA. 1.2 ФБО должны реализовать следующие правила при мониторинге событий, подвер
гающихсяаудиту:
а) накопление или объединение известных |назначение: подмножество определенных событии,
потенциально подвергаемых аудиту], указывающих на возможное нарушение безопасности;
б ) [назначение: другие правила].
Зависимости: FAll_GEN.l Генерация данных аудита
FAU_SAA.2 Выявление аномалии, основанное на профиле
Иерархический для: FAU_SAA.l
FAU_SAA.2.1 ФБО должны быть способны сопровождатьнрофилн использования системы, где
каждый отдельный профиль представляет известные шаблоны предыстории ис
пользования, выполнявшиеся участниками [назначение: спецификация целевой груп
пы профиля[.
FAU_SA\.2.2 ФБО должны быть способны сопровождать рейтинг подозрительной активности
для каждого пользователя, чьи действия отражены в профиле, где рейтинг подо
зрительной активности показывает степень несогласованности действий, выпол
няемых пользователем, с установленными шаблонами использования, представ
ленными в профиле.
FAU_SAA.2.3 ФБО должны быть способны указать на ожидаемое нарушение ИБО, когда рейтинг
подозрительной активности пользователя превышает следующие пороговые усло
вия [назначение: условия, при которых ФЬО сообщает об аномальных дейст
виях].
Зависимости: F1A_UID.I Выбор момента идентификации
FAU_SAA.3 Простая эвристика атаки
Иерархическийдля: FAU_SAA.l
FAU_SAA.3.1ФБО должны быть способны сопровождать внутреннее представление следующих
характерных событий [назначение: подмножество событий системы|, которые
могут указывать на нарушение ИБО.
FAU_SAA.3.2 ФБО должны быть способны сравнить характерные события с записью показате
лей функционирования системы, полученных при обработке [назначение: информа
ция, используемая для определения показателей функционирования системы[.
FAU_SAA.3.3 ФБО должны быть способны указать на ожидаемое нарушение ИБО, когда собы
тие системы соответствует характерному событию, указывающему на возможное
нарушение ИБО.
Зависимости: отсутствуют.
FAU_SAA.4 Сложная эвристика атаки
Иерархический дтя: FAU_SAA.3
FAU_SAA.4.I ФБО должны быть способны сопровождать внутреннее представление следующих
последовательностей событий известных сценариев проникновения [назначение:
список последовательностей событий системы, совпадение которых характерно
д.гяизвестных сценариев проникновения] и следующих характерных событий |на
значение: подмножествособытий системы], которые могут указывать на возмож
ное нарушение ИБО.
15