Ранжирование компонентов

Характеристика семейства

Назначение

В FIA_UID.1.1 автору ПЗ/ЗБ следует специфицировать список действий, выполняемых при посредничестве ФБО от имени пользователя до его собственной идентификации. Этот список не может быть пустым. Если приемлемых действий нет, следует вместо этого компонента использовать компонент FIA_UID.2 «Идентификация до любого действия пользователя». Примером таких действий может служить запрос о помощи при выполнении процедуры логического входа в систему.

FIA_UID.1.2

ФБО должны требовать, чтобы каждый пользователь был успешно идентифицирован до разрешения любого другого действия, выполняемого при посредничестве ФБО от имени этого пользователя.

7.3 Анализ аудита безопасности (FAU_SAA)

Семейство FAU_SAA определяет требования для автоматизированных средств, которые анализируют показатели функционирования системы и данные аудита в целях поиска возможных или реальных нарушений безопасности. Этот анализ может использоваться для поддержки как обнаружения проникновения, так и автоматической реакции на потенциальное нарушение безопасности.

Действия, предпринимаемые при обнаружении нарушений, могут быть при необходимости определены с использованием семейства FAU_ARP «Автоматическая реакция аудита безопасности».

В FAU_SAA.1 «Анализ потенциального нарушения» требуется базовый порог обнаружения на основе установленного набора правил.

В FAU_SAA.2 «Выявление аномалии, основанное на профиле» ФБО поддерживают отдельные профили использования системы, где профиль представляет собой шаблоны предыстории использования, выполнявшиеся участниками целевой группы профиля. Целевая группа профиля может включать в себя одного или нескольких участников (например, отдельный пользователь; пользователи, совместно использующие общий идентификатор или общие учетные данные; пользователи, которым назначена одна роль; все пользователи системы или сетевого узла), которые взаимодействуют с ФБО. Каждому участнику целевой группы профиля назначается индивидуальный рейтинг подозрительной активности, который показывает, насколько текущие показатели действий участника соответствуют установленным шаблонам использования, представленным в профиле. Этот анализ может выполняться во время функционирования ОО или при анализе данных аудита в пакетном режиме.

В FAU_SAA.3 «Простая эвристика атаки» ФБО должны быть способны обнаружить возникновение характерных событий, которые свидетельствуют о значительной угрозе для реализации ФТБ. Этот поиск характерных событий может происходить в режиме реального времени или при анализе данных аудита в пакетном режиме.

В FAU_SAA.4 «Сложная эвристика атаки» ФБО должны быть способны задать и обнаружить многошаговые сценарии проникновения. Здесь ФБО способны сравнить события в системе (возможно, выполняемые несколькими участниками) с последовательностями событий, известными как полные сценарии проникновения. ФБО должны быть способны указать на обнаружение характерного события или последовательности событий, свидетельствующих о возможном нарушении реализации ФТБ.

7.3.3 Управление: FAU_SAA.1

Для функций управления из класса FMT могут рассматриваться следующие действия.

a) Сопровождение (добавление, модификация, удаление) правил из набора правил.

7.3.4 Управление: FAU_SAA.2

Для функций управления из класса FMT могут рассматриваться следующие действия.

a) Сопровождение (удаление, модификация, добавление) группы пользователей в целевой группе профиля.

7.3.5 Управление: FAU_SAA.3

Для функций управления из класса FMT могут рассматриваться следующие действия.

a) Сопровождение (удаление, модификация, добавление) подмножества событий системы.

7.3.6 Управление: FAU_SAA.4

Для функций управления из класса FMT могут рассматриваться следующие действия.

a) Сопровождение (удаление, модификация, добавление) подмножества событий системы.

b) Сопровождение (удаление, модификация, добавление) набора последовательностей событий системы.

7.3.7 Аудит: FAU_SAA.1, FAU_SAA.2, FAU_SAA.3, FAU_SAA.4

Если в ПЗ/ЗБ включено семейство FAU_GEN «Генерация данных аудита безопасности», то следует предусмотреть возможность аудита следующих действий.

a) Минимальный: подключение и отключение любого из механизмов анализа.

b) Минимальный: автоматические реакции, выполняемые инструментальными средствами.

7.3.8 FAU_SAA.1 Анализ потенциального нарушения

Иерархический для: Нет подчиненных компонентов.

Зависимости: FAU_GEN.1 Генерация данных аудита

7.3.8.1 FAU_SAA.1.1

ФБО должны быть способны применить набор правил мониторинга событий, подвергающихся аудиту, и указать на возможное нарушение реализации ФТБ, основываясь на этих правилах.

7.3.8.2 FAU_SAA.1.2

ФБО должны осуществлять следующие правила при мониторинге событий, подвергающихся аудиту:

a) накопление или объединение известных [назначение: подмножество определенных событий, потенциально подвергаемых аудиту ], указывающих на возможное нарушение безопасности;

b) [назначение: другие правила ].

7.3.9 FAU_SAA.2 Выявление аномалии, основанное на профиле

Иерархический для: Нет подчиненных компонентов

Зависимости: FIA_UID.1 Выбор момента идентификации

7.3.9.1 FAU_SAA.2.1

ФБО должны быть способны сопровождать профили использования системы, где каждый отдельный профиль представляет известные шаблоны предыстории использования, выполнявшиеся участниками [назначение: спецификация целевой группы профиля ].

7.3.9.2 FAU_SAA.2.2

ФБО должны быть способны сопровождать рейтинг подозрительной активности для каждого пользователя, чьи действия отражены в профиле, где рейтинг подозрительной активности показывает степень несогласованности действий, выполняемых пользователем, с установленными шаблонами использования, представленными в профиле.

7.3.9.3 FAU_SAA.2.3

ФБО должны быть способны указать на вероятное нарушение реализации ФТБ, когда рейтинг подозрительной активности пользователя превышает следующие пороговые условия [назначение: условия, при которых ФБО сообщают об аномальных действиях ].

7.3.10 FAU_SAA.3 Простая эвристика атаки

Иерархический для: Нет подчиненных компонентов

Зависимости: отсутствуют.

7.3.10.1 FAU_SAA.3.1

ФБО должны быть способны сопровождать внутреннее представление следующих характерных событий [назначение: подмножество событий системы ], которые могут указывать на нарушение реализации ФТБ.

7.3.10.2 FAU_SAA.3.2

ФБО должны быть способны сравнить характерные события с записью показателей функционирования системы, полученных при обработке [назначение: информация, используемая для определения показателей функционирования системы ].

7.3.10.3 FAU_SAA.3.3

ФБО должны быть способны указать на потенциальное нарушение реализации ФТБ, когда событие системы соответствует характерному событию, указывающему на потенциальное нарушение реализации ФТБ.

7.3.11 FAU_SAA.4 Сложная эвристика атаки

Иерархический для: FAU_SAA.3 Простая эвристика атаки

Зависимости: отсутствуют.

7.3.11.1 FAU_SAA.4.1

ФБО должны быть способны сопровождать внутреннее представление следующих последовательностей событий известных сценариев проникновения [назначение: список последовательностей событий системы, совпадение которых характерно для известных сценариев проникновения ] и следующих характерных событий [назначение: подмножество событий системы ], которые могут указывать на возможное нарушение реализации ФТБ.

7.3.11.2 FAU_SAA.4.2

ФБО должны быть способны сравнить характерные события и последовательности событий с записью показателей функционирования системы, полученных при обработке [назначение: информация, используемая для определения показателей функционирования системы ].

7.3.11.3 FAU_SAA.4.3

ФБО должны быть способны указать на потенциальное нарушение реализации ФТБ, когда показатели функционирования системы соответствуют характерному событию или последовательности событий, указывающим на потенциальное нарушение реализации ФТБ.

7.4 Просмотр аудита безопасности (FAU_SAR)

Дата добавления: 2014-01-15; Просмотров: 348; Нарушение авторских прав?; Мы поможем в написании вашей работы!