Законодательная база Российской Федерации

"ИНФОРМАЦИОННАЯ ТЕХНОЛОГИЯ. МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. КРИТЕРИИ ОЦЕНКИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ. ЧАСТЬ 2. ФУНКЦИОНАЛЬНЫЕ ТРЕБОВАНИЯ БЕЗОПАСНОСТИ. ГОСТ Р ИСО/МЭК 15408-2-2008" (утв. Приказом Ростехрегулирования от 18.12.2008 N 520-ст)

Аудит безопасности включает в себя распознавание, запись, хранение и анализ информации, связанной с действиями, относящимися к безопасности (например, с действиями, контролируемыми ПБО). Записи аудита, получаемые в результате, могут быть проанализированы с тем, чтобы определить, какие действия, относящиеся к безопасности, происходили и кто из пользователей за них отвечает.

Рисунок 9. Декомпозиция класса FAU "Аудит безопасности"

7.1. Автоматическая реакция аудита безопасности (FAU_ARP)

7.1.1. Характеристика семейства

Семейство FAU_ARP определяет реакцию на обнаружение событий, указывающих на возможное нарушение безопасности.

7.1.2. Ранжирование компонентов

Рисунок 10. Ранжирование компонентов семейства FAU_ARP

В FAU_ARP.1 "Сигналы нарушения безопасности" ФБО должны предпринимать действия в случае обнаружения возможного нарушения безопасности.

7.1.3. Управление: FAU_ARP.1

Для функций управления из класса FMT могут рассматриваться следующие действия.

a) Управление действиями (добавление, удаление или модификация).

7.1.4. Аудит: FAU_ARP.1

Если в ПЗ/ЗБ включено семейство FAU_GEN "Генерация данных аудита безопасности", то следует предусмотреть возможность аудита следующих действий:

a) минимальный: действия, предпринимаемые в ответ на ожидаемые нарушения безопасности.

7.1.5. FAU_ARP.1 Сигналы нарушения безопасности

Иерархический для: нет подчиненных компонентов.

Зависимости: FAU_SAA.1 Анализ потенциального нарушения

7.1.5.1. FAU_ARP.1.1

#ФБО должны предпринять [назначение: &список наименее разрушительных действий&] при обнаружении возможного нарушения безопасности#.

7.2. Генерация данных аудита безопасности (FAU_GEN)

7.2.1. Характеристика семейства

Семейство FAU_GEN определяет требования к регистрации возникновения событий, относящихся к безопасности, которые подконтрольны ФБО. Данное семейство идентифицирует уровень аудита, перечисляет типы событий, которые потенциально должны подвергаться аудиту с использованием ФБО, и определяет минимальный объем связанной с аудитом информации, которую следует представлять в записях аудита различного типа.

7.2.2. Ранжирование компонентов

Рисунок 11. Ранжирование компонентов семейства FAU_GEN

FAU_GEN.1 "Генерация данных аудита" определяет уровень событий, потенциально подвергаемых аудиту, и состав данных, которые должны быть зарегистрированы в каждой записи.

В FAU_GEN.2 "Ассоциация идентификатора пользователя" ФБО должны ассоциировать события, потенциально подвергаемые аудиту, и личные идентификаторы пользователей.

7.2.3. Управление: FAU_GEN.1, FAU_GEN.2

Действия по управлению не предусмотрены.

7.2.4. Аудит: FAU_GEN.1, FAU_GEN.2

Нет событий, для которых следует предусмотреть возможность аудита.

7.2.5. FAU_GEN.1 Генерация данных аудита

Иерархический для: нет подчиненных компонентов.

Зависимости: FPT_STM.1 Надежные метки времени

7.2.5.1. FAU_GEN.1.1

#ФБО должны быть способны генерировать запись аудита для следующих событий, потенциально подвергаемых аудиту:

a) запуск и завершение выполнения функций аудита;

b) все события, потенциально подвергаемые аудиту, на [выбор (выбрать одно из): &минимальный, базовый, детализированный, неопределенный&] уровне аудита;

c) [назначение: &другие специально определенные события, потенциально подвергаемые аудиту&]#.

7.2.5.2. FAU_GEN.1.2

#ФБО должны регистрировать в каждой записи аудита, по меньшей мере, следующую информацию:

a) дата и время события, тип события, идентификатор субъекта и результат события (успешный или неуспешный);

b) для каждого типа событий, потенциально подвергаемых аудиту, из числа определенных в функциональных компонентах, которые включены в ПЗ/ЗБ [назначение: &другая относящаяся к аудиту информация&]#.

7.2.6. FAU_GEN.2 Ассоциация идентификатора пользователя

Иерархический для: нет подчиненных компонентов.

7.2.6.1. FAU_GEN.2.1

#ФБО должны быть способны ассоциировать каждое событие, потенциально подвергаемое аудиту, с идентификатором пользователя, который был инициатором этого события#.

7.3. Анализ аудита безопасности (FAU_SAA)

7.3.1. Характеристика семейства

Семейство FAU_SAA определяет требования для автоматизированных средств, которые анализируют показатели функционирования системы и данные аудита в целях поиска возможных или реальных нарушений безопасности. Этот анализ может использоваться для поддержки как обнаружения проникновения, так и автоматической реакции на ожидаемое нарушение безопасности.

Действия, предпринимаемые при обнаружении нарушений, могут быть при необходимости определены с использованием семейства FAU_ARP "Автоматическая реакция аудита безопасности".

7.3.2. Ранжирование компонентов

Рисунок 12. Ранжирование компонентов семейства FAU_SAA

В FAU_SAA.1 "Анализ потенциального нарушения" требуется базовый порог обнаружения на основе установленного набора правил.

В FAU_SAA.2 "Выявление аномалии, основанное на профиле" ФБО поддерживают отдельные профили использования системы, где профиль представляет собой шаблоны предыстории использования, выполнявшиеся участниками целевой группы профиля. Целевая группа профиля может включать в себя одного или нескольких участников (например, отдельный пользователь; пользователи, совместно использующие общий идентификатор или общие учетные данные; пользователи, которым назначена одна роль; все пользователи системы или сетевого узла), которые взаимодействуют с ФБО. Каждому участнику целевой группы профиля назначается индивидуальный рейтинг подозрительной активности, который показывает, насколько текущие показатели действий участника соответствуют установленным шаблонам использования, представленным в профиле. Этот анализ может проводиться во время функционирования ОО или при анализе данных аудита в пакетном режиме.

В FAU_SAA.3 "Простая эвристика атаки" ФБО должны быть способны обнаружить возникновение характерных событий, которые свидетельствуют о значительной угрозе осуществлению ПБО. Этот поиск характерных событий может происходить в режиме реального времени или при анализе данных аудита в пакетном режиме.

В FAU_SAA.4 "Сложная эвристика атаки" ФБО должны быть способны задать и обнаружить многошаговые сценарии проникновения. Здесь ФБО способны сравнить события в системе (возможно, выполняемые несколькими участниками) с последовательностями событий, известными как полные сценарии проникновения. ФБО должны быть способны указать на обнаружение характерного события или последовательности событий, свидетельствующих о возможном нарушении ПБО.

7.3.3. Управление: FAU_SAA.1

Для функций управления из класса FMT могут рассматриваться следующие действия:

a) сопровождение (добавление, модификация, удаление) правил из набора правил.

7.3.4. Управление: FAU_SAA.2

Для функций управления из класса FMT могут рассматриваться следующие действия:

a) сопровождение (удаление, модификация, добавление) группы пользователей в целевой группе профиля.

7.3.5. Управление: FAU_SAA.3

Для функций управления из класса FMT могут рассматриваться следующие действия:

a) сопровождение (удаление, модификация, добавление) подмножества событий системы.

7.3.6. Управление: FAU_SAA.4

Для функций управления из класса FMT могут рассматриваться следующие действия:

a) сопровождение (удаление, модификация, добавление) подмножества событий системы;

b) сопровождение (удаление, модификация, добавление) набора последовательностей событий системы.

7.3.7. Аудит: FAU_SAA.1, FAU_SAA.2, FAU_SAA.3, FAU_SAA.4

Если в ПЗ/ЗБ включено семейство FAU_GEN "Генерация данных аудита безопасности", то следует предусмотреть возможность аудита следующих действий:

a) минимальный: подключение и отключение любого из механизмов анализа;

b) минимальный: автоматические реакции, выполняемые инструментальными средствами.

7.3.8. FAU_SAA.1 Анализ потенциального нарушения

Иерархический для: нет подчиненных компонентов.

Зависимости: FAU_GEN.1 Генерация данных аудита

7.3.8.1. FAU_SAA.1.1

#ФБО должны быть способны применять набор правил мониторинга событий, подвергающихся аудиту, и указывать на возможное нарушение ПБО, основываясь на этих правилах#.

7.3.8.2. FAU_SAA.1.2

#ФБО должны осуществлять следующие правила при мониторинге событий, подвергающихся аудиту:

a) накопление или объединение известных [назначение: &подмножество определенных событий, потенциально подвергаемых аудиту&], указывающих на возможное нарушение безопасности;

b) [назначение: &другие правила&]#.

7.3.9. FAU_SAA.2 Выявление аномалии, основанное на профиле

Иерархический для: FAU_SAA.1 Анализ потенциального нарушения

Зависимости: FIA_UID.1 Выбор момента идентификации

7.3.9.1. FAU_SAA.2.1

#ФБО должны быть способны сопровождать профили использования системы, где каждый отдельный профиль представляет известные шаблоны предыстории использования, выполнявшиеся участниками [назначение: &спецификация целевой группы профиля&]#.

7.3.9.2. FAU_SAA.2.2

#ФБО должны быть способны сопровождать рейтинг подозрительной активности для каждого пользователя, чьи действия отражены в профиле, где рейтинг подозрительной активности показывает степень несогласованности действий, выполняемых пользователем, с установленными шаблонами использования, представленными в профиле#.

7.3.9.3. FAU_SAA.2.3

#ФБО должны быть способны указывать на ожидаемое нарушение ПБО, когда рейтинг подозрительной активности пользователя превышает следующие пороговые условия [назначение: &условия, при которых ФБО сообщают об аномальных действиях&]#.

7.3.10. FAU_SAA.3 Простая эвристика атаки

Иерархический для: FAU_SAA.1 Анализ потенциального нарушения

Зависимости: нет зависимостей.

7.3.10.1. FAU_SAA.3.1

#ФБО должны быть способны сопровождать внутреннее представление следующих характерных событий [назначение: &подмножество событий системы&], которые могут указывать на нарушение ПБО#.

7.3.10.2. FAU_SAA.3.2

#ФБО должны быть способны сравнивать характерные события с записью показателей функционирования системы, полученных при обработке [назначение: &информация, используемая для определения показателей функционирования системы&]#.

7.3.10.3. FAU_SAA.3.3

#ФБО должны быть способны указывать на ожидаемое нарушение ПБО, когда событие системы соответствует характерному событию, указывающему на возможное нарушение ПБО#.

7.3.11. FAU_SAA.4 Сложная эвристика атаки

Иерархический для: FAU_SAA.3 Простая эвристика атаки

Зависимости: нет зависимостей.

7.3.11.1. FAU_SAA.4.1

ФБО должны быть способны сопровождать внутреннее представление #следующих последовательностей событий известных сценариев проникновения [назначение: &список последовательностей событий системы, совпадение которых характерно для известных сценариев проникновения&]# и следующих характерных событий [назначение: подмножество событий системы], которые могут указывать на возможное нарушение ПБО.

7.3.11.2. FAU_SAA.4.2

ФБО должны быть способны сравнивать характерные события и #последовательности событий# с записью показателей функционирования системы, полученных при обработке [назначение: информация, используемая для определения показателей функционирования системы].

7.3.11.3. FAU_SAA.4.3

ФБО должны быть способны указывать на ожидаемое нарушение ПБО, когда #показатели функционирования системы# соответствуют характерному событию #или последовательности событий#, указывающим на возможное нарушение ПБО.

7.4. Просмотр аудита безопасности (FAU_SAR)

7.4.1. Характеристика семейства

Семейство FAU_SAR определяет требования к средствам аудита, к которым следует предоставить доступ уполномоченным пользователям для использования при просмотре данных аудита.

7.4.2. Ранжирование компонентов

Рисунок 13. Ранжирование компонентов семейства FAU_SAR

FAU_SAR.1 "Просмотр аудита" предоставляет возможность читать информацию из записей аудита.

FAU_SAR.2 "Ограниченный просмотр аудита" содержит требование отсутствия доступа к информации кому-либо, кроме пользователей, указанных в FAU_SAR.1 "Просмотр аудита".

FAU_SAR.3 "Выборочный просмотр аудита" содержит требование отбора данных аудита средствами просмотра аудита на основе критериев просмотра.

7.4.3. Управление: FAU_SAR.1

Для функций управления из класса FMT могут рассматриваться следующие действия:

a) поддержка (удаление, модификация, добавление) группы пользователей с правом доступа к чтению записей аудита.

7.4.4. Управление: FAU_SAR.2, FAU_SAR.3

Действия по управлению не предусмотрены.

7.4.5. Аудит: FAU_SAR.1

Если в ПЗ/ЗБ включено семейство FAU_GEN "Генерация данных аудита безопасности", то следует предусмотреть возможность аудита следующих действий:

a) базовый: чтение информации из записей аудита.

7.4.6. Аудит: FAU_SAR.2

Если в ПЗ/ЗБ включено семейство FAU_GEN "Генерация данных аудита безопасности", то следует предусмотреть возможность аудита следующих действий:

a) базовый: неуспешные попытки читать информацию из записей аудита.

7.4.7. Аудит: FAU_SAR.3

Если в ПЗ/ЗБ включено семейство FAU_GEN "Генерация данных аудита безопасности", то следует предусмотреть возможность аудита следующих действий:

a) детализированный: параметры, используемые при просмотре.

7.4.8. FAU_SAR.1 Просмотр аудита

Иерархический для: нет подчиненных компонентов.

Зависимости: FAU_GEN.1 Генерация данных аудита

Компонент FAU_SAR.1 предоставит уполномоченным пользователям возможность получать и интерпретировать информацию. Для человека-пользователя эту информацию требуется представлять в понятном для него виде. Для внешней сущности ИТ информацию требуется представлять только в электронном виде.

7.4.8.1. FAU_SAR.1.1

#ФБО должны предоставлять [назначение: &уполномоченные пользователи&] возможность читать [назначение: &список информации аудита&] из записей аудита#.

7.4.8.2. FAU_SAR.1.2

#ФБО должны предоставлять записи аудита в виде, позволяющем пользователю воспринимать содержащуюся в них информацию#.

7.4.9. FAU_SAR.2 Ограниченный просмотр аудита

Иерархический для: нет подчиненных компонентов.

Зависимости: FAU_SAR.1 Просмотр аудита

7.4.9.1. FAU_SAR.2.1

#ФБО должны запрещать всем пользователям доступ к чтению записей аудита, за исключением пользователей, которым явно предоставлен доступ для чтения#.

7.4.10. FAU_SAR.3 Выборочный просмотр аудита

Иерархический для: нет подчиненных компонентов.

Зависимости: FAU_SAR.1 Просмотр аудита

7.4.10.1. FAU_SAR.3.1

#ФБО должны предоставлять возможность выполнять [выбор: &поиск, сортировка, упорядочение&] данных аудита, основанный на [назначение: &критерии с логическими отношениями&]#.

7.5. Выбор событий аудита безопасности (FAU_SEL)

7.5.1. Характеристика семейства

Семейство FAU_SEL определяет требования для отбора событий, которые будут подвергаться аудиту во время функционирования ОО, а также требования для включения или исключения событий из совокупности событий, подвергающихся аудиту.

7.5.2. Ранжирование компонентов

Рисунок 14. Ранжирование компонентов семейства FAU_SEL

FAU_SEL.1 "Избирательный аудит" содержит требования возможности включения или исключения события из совокупности событий, подвергающихся аудиту, на основе атрибутов, определяемых разработчиком ПЗ/ЗБ.

7.5.3. Управление: FAU_SEL.1

Для функций управления из класса FMT могут рассматриваться следующие действия:

a) сопровождение прав просмотра/модификации событий аудита.

7.5.4. Аудит: FAU_SEL.1

Если в ПЗ/ЗБ включено семейство FAU_GEN "Генерация данных аудита безопасности", то следует предусмотреть возможность аудита следующих действий:

a) минимальный: все модификации конфигурации аудита, происходящие во время сбора данных аудита.

7.5.5. FAU_SEL.1 Избирательный аудит

Иерархический для: нет подчиненных компонентов.

7.5.5.1. FAU_SEL.1.1

#ФБО должны быть способны к включению событий, потенциально подвергаемых аудиту, в совокупность событий, подвергающихся аудиту, или к их исключению из этой совокупности по следующим атрибутам:

a) [выбор: &идентификатор объекта, идентификатор пользователя, идентификатор субъекта, идентификатор узла сети, тип события&];

b) [назначение: &список дополнительных атрибутов, на которых основана избирательность аудита&]#.

7.6. Хранение данных аудита безопасности (FAU_STG)

7.6.1. Характеристика семейства

Семейство FAU_STG определяет требования, при выполнении которых ФБО способны создавать и сопровождать журнал аудита безопасности.

7.6.2. Ранжирование компонентов

Рисунок 15. Ранжирование компонентов семейства FAU_STG

В FAU_STG.1 "Защищенное хранение журнала аудита" содержатся требования защиты журнала аудита от несанкционированного удаления и/или модификации.

FAU_STG.2 "Гарантии доступности данных аудита" определяет гарантии того, что ФБО поддерживают имеющиеся данные аудита при возникновении нежелательной ситуации.

FAU_STG.3 "Действия в случае возможной потери данных аудита" определяет действия, которые необходимо предпринять, если превышен заданный порог заполнения журнала аудита.

FAU_STG.4 "Предотвращение потери данных аудита" определяет действия при переполнении журнала аудита.

7.6.3. Управление: FAU_STG.1

Действия по управлению не предусмотрены.

7.6.4. Управление: FAU_STG.2

Для функций управления из класса FMT могут рассматриваться следующие действия:

a) сопровождение параметров, которые управляют возможностями хранения журнала аудита.

7.6.5. Управление: FAU_STG.3

Для функций управления из класса FMT могут рассматриваться следующие действия:

a) отслеживание порога заполнения;

b) сопровождение (удаление, модификация, добавление) действий, которые нужно предпринять при возможном сбое хранения журнала аудита.

7.6.6. Управление: FAU_STG.4

Для функций управления из класса FMT могут рассматриваться следующие действия:

a) сопровождение (удаление, модификация, добавление) действий, которые нужно предпринять при сбое хранения журнала аудита.

7.6.7. Аудит: FAU_STG.1, FAU_STG.2

Нет событий, для которых следует предусмотреть возможность аудита.

7.6.8. Аудит: FAU_STG.3

Если в ПЗ/ЗБ включено семейство FAU_GEN "Генерация данных аудита безопасности", то следует предусмотреть возможность аудита следующих действий:

a) базовый: предпринимаемые действия после превышения порога заполнения.

7.6.9. Аудит: FAU_STG.4

Если в ПЗ/ЗБ включено семейство FAU_GEN "Генерация данных аудита безопасности", то следует предусмотреть возможность аудита следующих действий:

a) базовый: предпринимаемые действия при сбое хранения журнала аудита.

7.6.10. FAU_STG.1 Защищенное хранение журнала аудита

Иерархический для: нет подчиненных компонентов.

Зависимости: FAU_GEN.1 Генерация данных аудита

7.6.10.1. FAU_STG.1.1

#ФБО должны защищать хранимые записи аудита от несанкционированного удаления#.

7.6.10.2. FAU_STG.1.2

#ФБО должны быть способны [выбор (выбрать одно из): &предотвращать, выявлять&] несанкционированную модификацию хранимых записей аудита в журнале аудита#.

7.6.11. FAU_STG.2 Гарантии доступности данных аудита

Иерархический для: FAU_STG.1 Защищенное хранение журнала аудита.

Зависимости: FAU_GEN.1 Генерация данных аудита

7.6.11.1. FAU_STG.2.1

ФБО должны защищать хранимые записи аудита от несанкционированного удаления.

7.6.11.2. FAU_STG.2.2

ФБО должны быть способны [выбор (выбрать одно из): предотвращать, выявлять] несанкционированную модификацию хранимых записей аудита в #журнале аудита#.

7.6.11.3. FAU_STG.2.3

#ФБО должны обеспечивать поддержку [назначение: &показатель сохранности записей аудита&] при наступлении следующих событий: [выбор: &переполнение журнала аудита, сбой, атака&]#.

7.6.12. FAU_STG.3 Действия в случае возможной потери данных аудита

Иерархический для: нет подчиненных компонентов.

Зависимости: FAU_STG.1 Защищенное хранение журнала аудита

7.6.12.1. FAU_STG.3.1

#ФБО должны выполнять [назначение: &действия, которые нужно предпринимать в случае возможного сбоя хранения журнала аудита&], если журнал аудита превышает [назначение: &принятое ограничение&]#.

7.6.13. FAU_STG.4 Предотвращение потери данных аудита

Иерархический для: FAU_STG.3 Действия в случае возможной потери данных аудита

Зависимости: FAU_STG.1 Защищенное хранение журнала аудита

7.6.13.1. FAU_STG.4.1

#ФБО должны [выбор (выбрать одно из): &"игнорировать события, подвергающиеся аудиту", "предотвращать события, подвергающиеся аудиту, исключая предпринимаемые уполномоченным пользователем со специальными правами", "записывать поверх самых старых хранимых записей аудита"& и [назначение: &другие действия, которые нужно предпринимать в случае возможного сбоя хранения журнала аудита&] при переполнении журнала аудита#.