ГОСТ I»ИСО/МЭК 15408-2-2002
ПРИЛОЖЕНИЕ Ь
(справочное)
Функциональные классы, семейства и компонеигы
Приложения В—П содержат замечания по применению функциональных классов, определенных ранее
в настоящем стандарте.
ПРИЛОЖЕНИЕ В
(справочное)
Аудитбезопасности (FAU)
Семейства аудита ОК предоставляют авторам ПЗ/ЗБ возможность определить требования для монито
ринга действий пользователя и в некоторых случаях обнаружить существующие, возможные или готовящиеся
нарушения ПБО. Функции аудита безопасности ОО определены, чтобы помочь осуществлять контроль за
относящимися к безопасности событиями, и выступают как сдерживающий фактор нарушений
безопасности. Требования семейств аудита используют функции, включающие в себя защиту данных
аудита, формат запи си, выбор событий, а закже инструментальные средства анализа, сигналы
оповещения при нарушении и анализ в реальном масштабе времени. Журнал аудита следует представить
в формате, доступном человеку либо явно (например, храня журнал аудита в таком формате), либо
неявно (например, применяя инстру ментальные средства предварительной обработки данных аудита) или
же с использованием обоих методов.
При составлении требований аудита безопасности автору ПЗ/ЗБ следует обращать внимание на взаимо
связь семейств и компонентов аудита. Возможность реализации совокупности требований аудита в соответ
ствии со списками зависимостей компонентов может привести и к некоторым недостаткам функции
аудита. Так. при проведении аудита всех событий, относящихся к безопасности, они не сгруппируются по
определен ному принципу, например по принадлежности к отдельному пользователю или объекту.
Требования аудита в распределенной среде
Реализация требований аудита для сетей и других больших систем может значительно отличаться от
реализации таких требований в автономной системе. Для больших и сложных систем требуется более проду
манный план сбора и упра&тення данными аудита, поскольку их труднее интерпретировать (и даже хранить).
Обычный список, упорядоченный по времени, или же журнал событий, подвергающихся аудиту, нс приме
нимы в глобальных, не синхронизированных сетях, где одновременно происходит множество событий.
Кроме того, в распределенном ОО в различных хост-компьютерах и серверах могут быть различные
политики назначения имен. Чтобы избежать избыточности и «столкновения» имен, может потребоваться
общесетевос соглашение об их согласованном представлении .тля аудита.
Для обслуживания распределенной системы может потребоваться хранилище данных аудита из многих
объектов, доступное потенциально широкому кругу уполномоченных пользователей.
Наконец, к злоупотреблениям уполномоченных пользователей своими правами следует отнести систе
матическое уничтожение отдельных областей хранения ланных аудита, относящихся к действиям админист
ратора.
Дско.мпозиция класса FAU на составляющие его компоненты показана на рисунке 8.1.
В.1 Автоматическая реакция аудита безопасности (FAU_ARP)
Семейство FAU_ARP содержит требования но обработке событий аудзгга. Конкретное требование мо
жет включать в себя требования снимала тревоги или действий ФБО (автоматическая рслкззз(я). Например,
ФБО могут обеспечивать подачу сигнала тревоги в реальном времени, прерывание процесса с выявленным
нарушением, прекращение обслуживания, блокирование или закрытие учетных данных пользователя.
Замечания по применению
Событие аудита определяется как «возможное нарушение безопасности», если так указано в компонен
тах семейства FAU SAA.
FAU_ARP.l Сигналы нарушения безопасности
Замечания по применению для пользователя
При сигнале тревоги следует предпринять определенные действия. Они могут включать в себя информи
рование уполномоченного пользователя, предоставление уполномоченному пользователю перечня возмож
ных мер противодействия или же выполнение корректирующих действий. Автору ПЗ/ЗБ следует быть особенно
внимательным при определении последовательности проведения таких дейсттшй.
Операции
Н а з н а ч е н и е
90