"ИНФОРМАЦИОННАЯ ТЕХНОЛОГИЯ. МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. КРИТЕРИИ ОЦЕНКИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ. ЧАСТЬ 2. ФУНКЦИОНАЛЬНЫЕ ТРЕБОВАНИЯ БЕЗОПАСНОСТИ. ГОСТ Р ИСО/МЭК 15408-2-2008" (утв. Приказом Ростехрегулирования от 18.12.2008 N 520-ст)
7. Класс FAU. Аудит безопасности
Аудит безопасности включает в себя распознавание, запись, хранение и анализ информации, связанной с действиями, относящимися к безопасности (например, с действиями, контролируемыми ПБО). Записи аудита, получаемые в результате, могут быть проанализированы с тем, чтобы определить, какие действия, относящиеся к безопасности, происходили и кто из пользователей за них отвечает.
Рисунок 9. Декомпозиция класса FAU "Аудит безопасности"
7.1. Автоматическая реакция аудита безопасности (FAU_ARP)
7.1.1. Характеристика семейства
Семейство FAU_ARP определяет реакцию на обнаружение событий, указывающих на возможное нарушение безопасности.
7.1.2. Ранжирование компонентов
Рисунок 10. Ранжирование компонентов семейства FAU_ARP
В FAU_ARP.1 "Сигналы нарушения безопасности" ФБО должны предпринимать действия в случае обнаружения возможного нарушения безопасности.
7.1.3. Управление: FAU_ARP.1
Для функций управления из класса FMT могут рассматриваться следующие действия.
a) Управление действиями (добавление, удаление или модификация).
7.1.4. Аудит: FAU_ARP.1
Если в ПЗ/ЗБ включено семейство FAU_GEN "Генерация данных аудита безопасности", то следует предусмотреть возможность аудита следующих действий:
a) минимальный: действия, предпринимаемые в ответ на ожидаемые нарушения безопасности.
7.1.5. FAU_ARP.1 Сигналы нарушения безопасности
Иерархический для: нет подчиненных компонентов.
Зависимости: FAU_SAA.1 Анализ потенциального нарушения
7.1.5.1. FAU_ARP.1.1
#ФБО должны предпринять [назначение: &список наименее разрушительных действий&] при обнаружении возможного нарушения безопасности#.
7.2. Генерация данных аудита безопасности (FAU_GEN)
7.2.1. Характеристика семейства
Семейство FAU_GEN определяет требования к регистрации возникновения событий, относящихся к безопасности, которые подконтрольны ФБО. Данное семейство идентифицирует уровень аудита, перечисляет типы событий, которые потенциально должны подвергаться аудиту с использованием ФБО, и определяет минимальный объем связанной с аудитом информации, которую следует представлять в записях аудита различного типа.
7.2.2. Ранжирование компонентов
Рисунок 11. Ранжирование компонентов семейства FAU_GEN
FAU_GEN.1 "Генерация данных аудита" определяет уровень событий, потенциально подвергаемых аудиту, и состав данных, которые должны быть зарегистрированы в каждой записи.
В FAU_GEN.2 "Ассоциация идентификатора пользователя" ФБО должны ассоциировать события, потенциально подвергаемые аудиту, и личные идентификаторы пользователей.
7.2.3. Управление: FAU_GEN.1, FAU_GEN.2
Действия по управлению не предусмотрены.
7.2.4. Аудит: FAU_GEN.1, FAU_GEN.2
Нет событий, для которых следует предусмотреть возможность аудита.
7.2.5. FAU_GEN.1 Генерация данных аудита
Иерархический для: нет подчиненных компонентов.
Зависимости: FPT_STM.1 Надежные метки времени
7.2.5.1. FAU_GEN.1.1
#ФБО должны быть способны генерировать запись аудита для следующих событий, потенциально подвергаемых аудиту:
a) запуск и завершение выполнения функций аудита;
b) все события, потенциально подвергаемые аудиту, на [выбор (выбрать одно из): &минимальный, базовый, детализированный, неопределенный&] уровне аудита;
c) [назначение: &другие специально определенные события, потенциально подвергаемые аудиту&]#.
7.2.5.2. FAU_GEN.1.2
#ФБО должны регистрировать в каждой записи аудита, по меньшей мере, следующую информацию:
a) дата и время события, тип события, идентификатор субъекта и результат события (успешный или неуспешный);
b) для каждого типа событий, потенциально подвергаемых аудиту, из числа определенных в функциональных компонентах, которые включены в ПЗ/ЗБ [назначение: &другая относящаяся к аудиту информация&]#.
7.2.6. FAU_GEN.2 Ассоциация идентификатора пользователя
Иерархический для: нет подчиненных компонентов.
#ФБО должны быть способны ассоциировать каждое событие, потенциально подвергаемое аудиту, с идентификатором пользователя, который был инициатором этого события#.
7.3. Анализ аудита безопасности (FAU_SAA)
7.3.1. Характеристика семейства
Семейство FAU_SAA определяет требования для автоматизированных средств, которые анализируют показатели функционирования системы и данные аудита в целях поиска возможных или реальных нарушений безопасности. Этот анализ может использоваться для поддержки как обнаружения проникновения, так и автоматической реакции на ожидаемое нарушение безопасности.
Действия, предпринимаемые при обнаружении нарушений, могут быть при необходимости определены с использованием семейства FAU_ARP "Автоматическая реакция аудита безопасности".
7.3.2. Ранжирование компонентов
Рисунок 12. Ранжирование компонентов семейства FAU_SAA
В FAU_SAA.1 "Анализ потенциального нарушения" требуется базовый порог обнаружения на основе установленного набора правил.
В FAU_SAA.2 "Выявление аномалии, основанное на профиле" ФБО поддерживают отдельные профили использования системы, где профиль представляет собой шаблоны предыстории использования, выполнявшиеся участниками целевой группы профиля. Целевая группа профиля может включать в себя одного или нескольких участников (например, отдельный пользователь; пользователи, совместно использующие общий идентификатор или общие учетные данные; пользователи, которым назначена одна роль; все пользователи системы или сетевого узла), которые взаимодействуют с ФБО. Каждому участнику целевой группы профиля назначается индивидуальный рейтинг подозрительной активности, который показывает, насколько текущие показатели действий участника соответствуют установленным шаблонам использования, представленным в профиле. Этот анализ может проводиться во время функционирования ОО или при анализе данных аудита в пакетном режиме.
В FAU_SAA.3 "Простая эвристика атаки" ФБО должны быть способны обнаружить возникновение характерных событий, которые свидетельствуют о значительной угрозе осуществлению ПБО. Этот поиск характерных событий может происходить в режиме реального времени или при анализе данных аудита в пакетном режиме.
В FAU_SAA.4 "Сложная эвристика атаки" ФБО должны быть способны задать и обнаружить многошаговые сценарии проникновения. Здесь ФБО способны сравнить события в системе (возможно, выполняемые несколькими участниками) с последовательностями событий, известными как полные сценарии проникновения. ФБО должны быть способны указать на обнаружение характерного события или последовательности событий, свидетельствующих о возможном нарушении ПБО.
7.3.3. Управление: FAU_SAA.1
Для функций управления из класса FMT могут рассматриваться следующие действия:
a) сопровождение (добавление, модификация, удаление) правил из набора правил.
7.3.4. Управление: FAU_SAA.2
Для функций управления из класса FMT могут рассматриваться следующие действия:
a) сопровождение (удаление, модификация, добавление) группы пользователей в целевой группе профиля.
7.3.5. Управление: FAU_SAA.3
Для функций управления из класса FMT могут рассматриваться следующие действия:
a) сопровождение (удаление, модификация, добавление) подмножества событий системы.
7.3.6. Управление: FAU_SAA.4
Для функций управления из класса FMT могут рассматриваться следующие действия:
a) сопровождение (удаление, модификация, добавление) подмножества событий системы;
b) сопровождение (удаление, модификация, добавление) набора последовательностей событий системы.
7.3.7. Аудит: FAU_SAA.1, FAU_SAA.2, FAU_SAA.3, FAU_SAA.4
Если в ПЗ/ЗБ включено семейство FAU_GEN "Генерация данных аудита безопасности", то следует предусмотреть возможность аудита следующих действий:
a) минимальный: подключение и отключение любого из механизмов анализа;
b) минимальный: автоматические реакции, выполняемые инструментальными средствами.
7.3.8. FAU_SAA.1 Анализ потенциального нарушения
Иерархический для: нет подчиненных компонентов.
Зависимости: FAU_GEN.1 Генерация данных аудита
7.3.8.1. FAU_SAA.1.1
#ФБО должны быть способны применять набор правил мониторинга событий, подвергающихся аудиту, и указывать на возможное нарушение ПБО, основываясь на этих правилах#.
7.3.8.2. FAU_SAA.1.2
#ФБО должны осуществлять следующие правила при мониторинге событий, подвергающихся аудиту:
a) накопление или объединение известных [назначение: &подмножество определенных событий, потенциально подвергаемых аудиту&], указывающих на возможное нарушение безопасности;
b) [назначение: &другие правила&]#.
7.3.9. FAU_SAA.2 Выявление аномалии, основанное на профиле
Иерархический для: FAU_SAA.1 Анализ потенциального нарушения
Зависимости: FIA_UID.1 Выбор момента идентификации
7.3.9.1. FAU_SAA.2.1
#ФБО должны быть способны сопровождать профили использования системы, где каждый отдельный профиль представляет известные шаблоны предыстории использования, выполнявшиеся участниками [назначение: &спецификация целевой группы профиля&]#.
7.3.9.2. FAU_SAA.2.2
#ФБО должны быть способны сопровождать рейтинг подозрительной активности для каждого пользователя, чьи действия отражены в профиле, где рейтинг подозрительной активности показывает степень несогласованности действий, выполняемых пользователем, с установленными шаблонами использования, представленными в профиле#.
7.3.9.3. FAU_SAA.2.3
#ФБО должны быть способны указывать на ожидаемое нарушение ПБО, когда рейтинг подозрительной активности пользователя превышает следующие пороговые условия [назначение: &условия, при которых ФБО сообщают об аномальных действиях&]#.
7.3.10. FAU_SAA.3 Простая эвристика атаки
Иерархический для: FAU_SAA.1 Анализ потенциального нарушения
Зависимости: нет зависимостей.
7.3.10.1. FAU_SAA.3.1
#ФБО должны быть способны сопровождать внутреннее представление следующих характерных событий [назначение: &подмножество событий системы&], которые могут указывать на нарушение ПБО#.
7.3.10.2. FAU_SAA.3.2
#ФБО должны быть способны сравнивать характерные события с записью показателей функционирования системы, полученных при обработке [назначение: &информация, используемая для определения показателей функционирования системы&]#.
7.3.10.3. FAU_SAA.3.3
#ФБО должны быть способны указывать на ожидаемое нарушение ПБО, когда событие системы соответствует характерному событию, указывающему на возможное нарушение ПБО#.
7.3.11. FAU_SAA.4 Сложная эвристика атаки
Иерархический для: FAU_SAA.3 Простая эвристика атаки
Зависимости: нет зависимостей.
7.3.11.1. FAU_SAA.4.1
ФБО должны быть способны сопровождать внутреннее представление #следующих последовательностей событий известных сценариев проникновения [назначение: &список последовательностей событий системы, совпадение которых характерно для известных сценариев проникновения&]# и следующих характерных событий [назначение: подмножество событий системы], которые могут указывать на возможное нарушение ПБО.
7.3.11.2. FAU_SAA.4.2
ФБО должны быть способны сравнивать характерные события и #последовательности событий# с записью показателей функционирования системы, полученных при обработке [назначение: информация, используемая для определения показателей функционирования системы].
7.3.11.3. FAU_SAA.4.3
ФБО должны быть способны указывать на ожидаемое нарушение ПБО, когда #показатели функционирования системы# соответствуют характерному событию #или последовательности событий#, указывающим на возможное нарушение ПБО.
7.4. Просмотр аудита безопасности (FAU_SAR)
7.4.1. Характеристика семейства
Семейство FAU_SAR определяет требования к средствам аудита, к которым следует предоставить доступ уполномоченным пользователям для использования при просмотре данных аудита.
7.4.2. Ранжирование компонентов
Рисунок 13. Ранжирование компонентов семейства FAU_SAR
FAU_SAR.1 "Просмотр аудита" предоставляет возможность читать информацию из записей аудита.
FAU_SAR.2 "Ограниченный просмотр аудита" содержит требование отсутствия доступа к информации кому-либо, кроме пользователей, указанных в FAU_SAR.1 "Просмотр аудита".
FAU_SAR.3 "Выборочный просмотр аудита" содержит требование отбора данных аудита средствами просмотра аудита на основе критериев просмотра.
7.4.3. Управление: FAU_SAR.1
Для функций управления из класса FMT могут рассматриваться следующие действия:
a) поддержка (удаление, модификация, добавление) группы пользователей с правом доступа к чтению записей аудита.
7.4.4. Управление: FAU_SAR.2, FAU_SAR.3
Действия по управлению не предусмотрены.
7.4.5. Аудит: FAU_SAR.1
Если в ПЗ/ЗБ включено семейство FAU_GEN "Генерация данных аудита безопасности", то следует предусмотреть возможность аудита следующих действий:
a) базовый: чтение информации из записей аудита.
7.4.6. Аудит: FAU_SAR.2
Если в ПЗ/ЗБ включено семейство FAU_GEN "Генерация данных аудита безопасности", то следует предусмотреть возможность аудита следующих действий:
a) базовый: неуспешные попытки читать информацию из записей аудита.
7.4.7. Аудит: FAU_SAR.3
Если в ПЗ/ЗБ включено семейство FAU_GEN "Генерация данных аудита безопасности", то следует предусмотреть возможность аудита следующих действий:
a) детализированный: параметры, используемые при просмотре.
7.4.8. FAU_SAR.1 Просмотр аудита
Иерархический для: нет подчиненных компонентов.
Зависимости: FAU_GEN.1 Генерация данных аудита
Компонент FAU_SAR.1 предоставит уполномоченным пользователям возможность получать и интерпретировать информацию. Для человека-пользователя эту информацию требуется представлять в понятном для него виде. Для внешней сущности ИТ информацию требуется представлять только в электронном виде.
7.4.8.1. FAU_SAR.1.1
#ФБО должны предоставлять [назначение: &уполномоченные пользователи&] возможность читать [назначение: &список информации аудита&] из записей аудита#.
7.4.8.2. FAU_SAR.1.2
#ФБО должны предоставлять записи аудита в виде, позволяющем пользователю воспринимать содержащуюся в них информацию#.
7.4.9. FAU_SAR.2 Ограниченный просмотр аудита
Иерархический для: нет подчиненных компонентов.
Зависимости: FAU_SAR.1 Просмотр аудита
7.4.9.1. FAU_SAR.2.1
#ФБО должны запрещать всем пользователям доступ к чтению записей аудита, за исключением пользователей, которым явно предоставлен доступ для чтения#.
7.4.10. FAU_SAR.3 Выборочный просмотр аудита
Иерархический для: нет подчиненных компонентов.
Зависимости: FAU_SAR.1 Просмотр аудита
7.4.10.1. FAU_SAR.3.1
#ФБО должны предоставлять возможность выполнять [выбор: &поиск, сортировка, упорядочение&] данных аудита, основанный на [назначение: &критерии с логическими отношениями&]#.
7.5. Выбор событий аудита безопасности (FAU_SEL)
7.5.1. Характеристика семейства
Семейство FAU_SEL определяет требования для отбора событий, которые будут подвергаться аудиту во время функционирования ОО, а также требования для включения или исключения событий из совокупности событий, подвергающихся аудиту.
7.5.2. Ранжирование компонентов
Рисунок 14. Ранжирование компонентов семейства FAU_SEL
FAU_SEL.1 "Избирательный аудит" содержит требования возможности включения или исключения события из совокупности событий, подвергающихся аудиту, на основе атрибутов, определяемых разработчиком ПЗ/ЗБ.
7.5.3. Управление: FAU_SEL.1
Для функций управления из класса FMT могут рассматриваться следующие действия:
a) сопровождение прав просмотра/модификации событий аудита.
7.5.4. Аудит: FAU_SEL.1
Если в ПЗ/ЗБ включено семейство FAU_GEN "Генерация данных аудита безопасности", то следует предусмотреть возможность аудита следующих действий:
a) минимальный: все модификации конфигурации аудита, происходящие во время сбора данных аудита.
7.5.5. FAU_SEL.1 Избирательный аудит
Иерархический для: нет подчиненных компонентов.
#ФБО должны быть способны к включению событий, потенциально подвергаемых аудиту, в совокупность событий, подвергающихся аудиту, или к их исключению из этой совокупности по следующим атрибутам:
a) [выбор: &идентификатор объекта, идентификатор пользователя, идентификатор субъекта, идентификатор узла сети, тип события&];
b) [назначение: &список дополнительных атрибутов, на которых основана избирательность аудита&]#.
7.6. Хранение данных аудита безопасности (FAU_STG)
7.6.1. Характеристика семейства
Семейство FAU_STG определяет требования, при выполнении которых ФБО способны создавать и сопровождать журнал аудита безопасности.
7.6.2. Ранжирование компонентов
Рисунок 15. Ранжирование компонентов семейства FAU_STG
В FAU_STG.1 "Защищенное хранение журнала аудита" содержатся требования защиты журнала аудита от несанкционированного удаления и/или модификации.
FAU_STG.2 "Гарантии доступности данных аудита" определяет гарантии того, что ФБО поддерживают имеющиеся данные аудита при возникновении нежелательной ситуации.
FAU_STG.3 "Действия в случае возможной потери данных аудита" определяет действия, которые необходимо предпринять, если превышен заданный порог заполнения журнала аудита.
FAU_STG.4 "Предотвращение потери данных аудита" определяет действия при переполнении журнала аудита.
7.6.3. Управление: FAU_STG.1
Действия по управлению не предусмотрены.
7.6.4. Управление: FAU_STG.2
Для функций управления из класса FMT могут рассматриваться следующие действия:
a) сопровождение параметров, которые управляют возможностями хранения журнала аудита.
7.6.5. Управление: FAU_STG.3
Для функций управления из класса FMT могут рассматриваться следующие действия:
a) отслеживание порога заполнения;
b) сопровождение (удаление, модификация, добавление) действий, которые нужно предпринять при возможном сбое хранения журнала аудита.
7.6.6. Управление: FAU_STG.4
Для функций управления из класса FMT могут рассматриваться следующие действия:
a) сопровождение (удаление, модификация, добавление) действий, которые нужно предпринять при сбое хранения журнала аудита.
7.6.7. Аудит: FAU_STG.1, FAU_STG.2
Нет событий, для которых следует предусмотреть возможность аудита.
7.6.8. Аудит: FAU_STG.3
Если в ПЗ/ЗБ включено семейство FAU_GEN "Генерация данных аудита безопасности", то следует предусмотреть возможность аудита следующих действий:
a) базовый: предпринимаемые действия после превышения порога заполнения.
7.6.9. Аудит: FAU_STG.4
Если в ПЗ/ЗБ включено семейство FAU_GEN "Генерация данных аудита безопасности", то следует предусмотреть возможность аудита следующих действий:
a) базовый: предпринимаемые действия при сбое хранения журнала аудита.
7.6.10. FAU_STG.1 Защищенное хранение журнала аудита
Иерархический для: нет подчиненных компонентов.
Зависимости: FAU_GEN.1 Генерация данных аудита
7.6.10.1. FAU_STG.1.1
#ФБО должны защищать хранимые записи аудита от несанкционированного удаления#.
7.6.10.2. FAU_STG.1.2
#ФБО должны быть способны [выбор (выбрать одно из): &предотвращать, выявлять&] несанкционированную модификацию хранимых записей аудита в журнале аудита#.
7.6.11. FAU_STG.2 Гарантии доступности данных аудита
Иерархический для: FAU_STG.1 Защищенное хранение журнала аудита.
Зависимости: FAU_GEN.1 Генерация данных аудита
7.6.11.1. FAU_STG.2.1
ФБО должны защищать хранимые записи аудита от несанкционированного удаления.
7.6.11.2. FAU_STG.2.2
ФБО должны быть способны [выбор (выбрать одно из): предотвращать, выявлять] несанкционированную модификацию хранимых записей аудита в #журнале аудита#.
7.6.11.3. FAU_STG.2.3
#ФБО должны обеспечивать поддержку [назначение: &показатель сохранности записей аудита&] при наступлении следующих событий: [выбор: &переполнение журнала аудита, сбой, атака&]#.
7.6.12. FAU_STG.3 Действия в случае возможной потери данных аудита
Иерархический для: нет подчиненных компонентов.
Зависимости: FAU_STG.1 Защищенное хранение журнала аудита
7.6.12.1. FAU_STG.3.1
#ФБО должны выполнять [назначение: &действия, которые нужно предпринимать в случае возможного сбоя хранения журнала аудита&], если журнал аудита превышает [назначение: &принятое ограничение&]#.
7.6.13. FAU_STG.4 Предотвращение потери данных аудита
Иерархический для: FAU_STG.3 Действия в случае возможной потери данных аудита
Зависимости: FAU_STG.1 Защищенное хранение журнала аудита
7.6.13.1. FAU_STG.4.1
#ФБО должны [выбор (выбрать одно из): &"игнорировать события, подвергающиеся аудиту", "предотвращать события, подвергающиеся аудиту, исключая предпринимаемые уполномоченным пользователем со специальными правами", "записывать поверх самых старых хранимых записей аудита"& и [назначение: &другие действия, которые нужно предпринимать в случае возможного сбоя хранения журнала аудита&] при переполнении журнала аудита#.