ГОСТ Р ИСО/МЭК 15408-2—2002
Идентификация и аутентификация требуются для обеспечения ассоциации пользователей с соот
ветствующими атрибутами безопасности (такими, как идентификатор, группы, роли, уровни безопас
ности или целостности).
Однозначная идентификация уполномоченных пользователей и правильная ассоциация атрибу
тов безопасности с пользователями и субъектами критичны для осуществления принятых политик
безопасности. Семействаэтого классасвязаны с определением и верификацией идентификаторов пользо
вателей, определением их полномочий на взаимодействие с 00, а также с правильной ассоциацией
атрибутов безопасности с каждым уполномоченным пользователем. Эффективностьтребований
других классов (таких, как «Зашита данных пользователя», «Аудит безопасности*) во многом
зависит от правильно проведенных идентификации иауте>гтификации пользователей.
Декомпозиция класса FD1* на составляющие его компоненты приведена на рисунке 7.1.
7.1 Отказы аутентификации (FIA_AFL)
Характеристика семейства
Семейство F1A_AFL содержиттребования к определению числа неуспешных попыток аутенти
фикации и к действиям ФБО при превышении ограничений на неуспешные попытки аутентификации.
Параметрами, определяющими возможное число попыток аутентификации, среди прочих могут быть
количество попыток и допустимый интервал времени.
Ранжирование компонентов
FIA^AFLОлпшаупипфааиш
FIA_AFL.l «Обработка отказов аутентификации» содержит требование, чтобы ФБО были спо
собны прервать процесс открытия сеанса после определенного числа неуспешных попыток ауте»гтифи-
кацни пользователя. Также требуется, чтобы после прерывания процесса открытия сеанса ФБО
были бы способны блокировать учетные данные пользователя или место входа (например, рабочую
станцию), с которого выполнялись попытки, до наступления определенного администратором
условия.
Управление: F1A_AFL.1
Для функций управления из класса FMT могут рассматриваться следующие действия.
а) Управление ограничениями для неуспешных попыток аутентификации.
б) Управление действиями, предпринимаемыми при неуспешной аутентификации.
Аудит: FIA_AFL1
Если в II3/3Б включено семейство FAU_GEN «Генерация данных аудита безопасности», то
следует предусмотреть возможность (в зависимости от выбранного уровня) аудита следующих дей-
ствий/собыгий/параметров.
а) Минимальный: достижение ограничения неуспешных попыток аутентификации и предприня
тые действия (например, блокирование терминала), а также, при необходимости, последующее вос
становление нормального состояния (например, деблокирование терминала).
FIA_AFL. 1Обработка отказов аутентификации
Иерархический для: Нет подчиненных компонентов.
FIA_AFL.1.1 ФБО должны обнаруживать, когда произойдет |назначение: число] неуспешных по
пыток аутентификации, относящихся к (назначение: список событий аутентифика
ции].
F1A_AFL.1.2 Придостижении или превышении определенногочисла неуспешных попыток аутенти
фикации ФБО должны выполнить (назначение: список действий|.
Зависимости: F1A_UAU,1 Выбор момента аутентификации
7.2 Определение атрибутов пользователя (FIA_ATD)
Характеристика семейства
Все уполномоченные пользователи могут, помимо идентификатора пользователя, иметь другие
атрибутыбезопасности, применяемые при осуществлении ПБО. Семейство F1A_ATDопределяет требо
вания для ассоциации атрибутов безопасности с пользователями в соответствии с необходимостью
поддержки ПБО.
43