Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
- Главная
- Национальный стандарт РФ ГОСТ Р ИСО/МЭК 15408-2-2008 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. "Функциональные требования безопасности" (утв. приказом Федерального агентства по техническому регулированию и метрологии от 18 декабря 2008 г. N 520-ст) (отменен)
- Приложение G (обязательное). Идентификация и аутентификация (FIA)
Приложение G (обязательное). Идентификация и аутентификация (FIA)
Приложение G
(обязательное)
Идентификация и аутентификация (FIA)
Общим требованием безопасности является однозначная идентификация лица и/или объекта, выполняющего в ОО определенные функции. Это требование предполагает не только установление заявленного идентификатора каждого пользователя, но также и верификацию того, что каждый пользователь действительно тот, за кого себя выдает. Это достигается тем, что от пользователей требуется предоставлять ФБО некоторую информацию, которая, по сведениям ФБО, действительно ассоциирована с ними.
Семейства класса FIA определяют требования к функциям, устанавливающим и верифицирующим заявленный идентификатор каждого пользователя. Идентификация и аутентификация требуются для обеспечения ассоциации пользователей с соответствующими атрибутами безопасности (например, идентификаторами, группами, ролями, уровнями безопасности или целостности).
Однозначная идентификация уполномоченных пользователей и правильная ассоциация атрибутов безопасности с пользователями и субъектами критичны для осуществления определенных политик безопасности.
Семейство FIA_UID "Идентификация пользователя" предназначено для определения идентификатора пользователя.
Семейство FIA_UAU "Аутентификация пользователя" предназначено для верификации идентификатора пользователя.
Семейство FIA_AFL "Отказы аутентификации" предназначено для определения ограничений на число повторных неуспешных попыток аутентификации.
Семейство FIA_ATD "Определение атрибутов пользователя" предназначено для определения атрибутов пользователей, применяемых при осуществлении ПВО.
Семейство FIA_USB "Связывание пользователь-субъект" предназначено для корректной ассоциации атрибутов безопасности для каждого уполномоченного пользователя.
Семейство FIA_SOS "Спецификация секретов" предназначено для генерации и верификации секретов, соответствующих установленной метрике.
Декомпозиция класса FIA "Идентификация и аутентификация" на составляющие его компоненты показана на рисунке G.1.
G.1 Отказы аутентификации (FIA_AFL)
G.1.1 Замечания для пользователя
Семейство FIA_AFL содержит требования по определению числа попыток аутентификации и действиям ФБО в случае их неудачи. Параметрами, определяющими возможное число попыток аутентификации, среди прочих могут быть число попыток и допустимый интервал времени.
Процесс открытия сеанса пользователя предусматривает взаимодействие с пользователем, позволяющее открыть сеанс и независимое от фактической реализации. Если число неуспешных попыток аутентификации превысило установленное значение, то блокируются учетные данные пользователя и/или терминал, с которого выполнялись запросы. Если учетные данные пользователя заблокированы, то он не может войти в систему. Если заблокирован терминал, то он (или его адрес) не может быть использован для входа в систему. Эта ситуация сохранится, пока условия для повторения попыток открытия сеанса не будут удовлетворены.
G.1.2 FIA_AFL.1 Обработка отказов аутентификации
G.1.2.1 Замечания по применению для пользователя
Автор ПЗ/ЗБ может установить число неуспешных попыток аутентификации либо доверить это разработчику ОО или уполномоченному пользователю. Подсчет неуспешных попыток аутентификации должен быть связан не с последовательностью их возникновения, а с каким-либо событием аутентификации. Таким событием может быть число неуспешных попыток с момента последнего сеанса, успешно открытого с данного терминала.
Автор ПЗ/ЗБ может определить список действий, которые должны предприниматься ФБО в случае отказа аутентификации. Уполномоченному администратору также может быть разрешено управлять этими событиями, если такую возможность предусмотрел автор ПЗ/ЗБ. Такими действиями, среди прочих, могут быть: отключение терминала, отключение учетных данных пользователя или подача сигнала тревоги администратору. Условия, при которых произойдет возвращение к обычному режиму работы, необходимо специфицировать через действия.
Для того, чтобы предотвратить полную невозможность обслуживания, в ОО обычно обеспечивается невозможность блокирования учетных данных, по меньшей мере, одного пользователя.
Автор ПЗ/ЗБ может устанавливать иные действия для ФБО, относящиеся в том числе к правилам деблокирования процесса открытия сеанса пользователя или подаче сигнала тревоги администратору. Примерами таких действий (правил) являются: до истечения установленного времени; пока уполномоченный администратор вновь не деблокирует терминал или учетные данные пользователя; до истечения времени, связанного с предыдущими неуспешными попытками (например, после каждой неуспешной попытки время блокирования удваивается).
G.1.2.2 Операции
G.1.2.2.1 Выбор
В FIA_AFL.1.1 автор ПЗ/ЗБ должен выбрать или назначение положительного целого числа, или выражение "устанавливаемое администратором положительное целое число", определив диапазон допустимых значений.
G.1.2.2.2 Назначение
В FIA_AFL.1.1 автору ПЗ/ЗБ следует специфицировать события аутентификации. Примерами являются: число неуспешных попыток аутентификации для данного идентификатора пользователя с момента последней успешной попытки; число неуспешных попыток аутентификации для данного терминала с момента последней успешной попытки; число неуспешных попыток аутентификации за последние 10 мин. Необходимо указать, по меньшей мере, одно событие аутентификации.
В FIA_AFL.1.1, если выбрано назначение положительного целого числа, автору ПЗ/ЗБ следует специфицировать задаваемое по умолчанию число (положительное целое) неуспешных попыток аутентификации, при достижении или превышении которого будут инициироваться определенные действия.
В FIA_AFL.1.1 если выбрано "устанавливаемое администратором положительное целое число", то автору ПЗ/ЗБ следует специфицировать диапазон допустимых значений, из которого администратор ОО может установить число неудачных попыток аутентификации. Число неудачных попыток аутентификации должно быть меньше или равняться значению верхней границы и больше или равняться значению нижней границы диапазона.
В FIA_AFL.1.2 автору ПЗ/ЗБ следует специфицировать действия, предпринимаемые в случае достижения или превышения предельного значения числа попыток. Такими действиями могут быть: блокирование учетных данных на 5 мин, блокирование терминала на увеличивающийся интервал времени (число секунд, равное , где n - число неуспешных попыток) или блокирование (с уведомлением администратора) учетных данных вплоть до его снятия администратором. В описании действий следует указать принимаемые меры и срок их действия (или условия прекращения действия этих мер).
G.2 Определение атрибутов пользователя (FIA_ATD)
G.2.1 Замечания для пользователя
Все уполномоченные пользователи могут, помимо идентификатора пользователя, иметь другие атрибуты безопасности, применяемые при осуществлении ПБО. Семейство FIA_ATD определяет требования для ассоциации атрибутов безопасности с пользователями в соответствии с необходимостью поддержки ПБО.
Существуют зависимости от определений отдельных политик безопасности. Следует, чтобы такие определения содержали списки атрибутов, необходимых для осуществления политики.
G.2.2 FIA_ATD.1 Определение атрибутов пользователя
G.2.2.1 Замечания по применению для пользователя
Компонент FIA_ATD.1 специфицирует атрибуты безопасности, которые следует поддерживать на уровне пользователя. Это означает, что назначение и возможное изменение атрибутов безопасности, указанных в списке, осуществляется на уровне пользователя (то есть для каждого пользователя индивидуально). Иными словами, изменение атрибутов из списка, ассоциированного с каким-либо пользователем, не должно влиять на атрибуты безопасности других пользователей.
Если атрибуты безопасности принадлежат группе пользователей (например список возможностей группы), пользователю потребуется иметь ссылку (как атрибут безопасности) на соответствующую группу.
G.2.2.2 Операции
G.2.2.2.1 Назначение
В FIA_ATD.1.1 автору ПЗ/ЗБ следует специфицировать атрибуты безопасности, ассоциируемые с каждым отдельным пользователем. Примером может служить список, включающий в себя атрибуты "уровень допуска", "идентификатор группы", "права".
G.3 Спецификация секретов (FIA_SOS)
G.3.1 Замечания для пользователя
Семейство FIA_SOS определяет требования к механизмам, которые реализуют определенную метрику качества для предоставляемых секретов и генерируют секреты, удовлетворяющие определенной метрике. Примерами таких механизмов могут быть автоматическая проверка предоставляемых пользователями паролей или автоматическая генерация паролей.
Секреты могут генерироваться вне ОО, например, выбираться пользователями и вводиться в систему. При этом может быть использован компонент FIA_SOS.1 "Верификация секретов" для обеспечения соответствия секретов, сгенерированных вне системы, конкретным условиям, таким как минимально допустимый размер, отсутствие в словаре и/или неприменение ранее.
Секреты могут также генерироваться самим ОО. В этом случае требование, чтобы сгенерированные ОО секреты соответствовали специфицированной метрике, обеспечивается компонентом FIA_SOS.2 "Генерация секретов ФБО".
Секреты, рассматриваемые в данном семействе, содержат аутентификационные данные, предъявляемые пользователем механизму аутентификации, основанному на сведениях, которыми располагает пользователь. Если используются криптографические ключи, вместо этого семейства следует использовать семейства класса FCS "Криптографическая поддержка".
G.3.2 FIA_SOS.1 Верификация секретов
G.3.2.1 Замечания по применению для пользователя
Секреты могут создаваться пользователем. Компонент FIA_SOS.1 обеспечивает возможность верификации соответствия секретов, созданных пользователем, определенной метрике качества.
G.3.2.2 Операции
G.3.2.2.1 Назначение
В FIA_SOS.1.1 автору ПЗ/ЗБ следует предоставить определенную метрику качества. Эта метрика может быть специфицирована как собственно описание проверки качества или как ссылка на нормативный документ, определяющий метрики качества, соответствие которым необходимо для секретов. К примерам метрик качества можно отнести описание допустимых символьных структур секретов и/или описание допустимых размеров секретов.
G.3.3 FIA_SOS.2 Генерация секретов ФБО
G.3.3.1 Замечания по применению для пользователя
Компонент FIA_SOS.2 позволяет ФБО генерировать секреты для специальных функций, таких как аутентификация по паролю.
Если в алгоритме генерации секретов используется генератор псевдослучайных чисел, то на его вход следует подавать произвольные величины, что будет обеспечивать высокую степень непредсказуемости выходных данных. Эти произвольные величины могут быть получены из таких доступных параметров системы, как системные часы, значения системных регистров, дата, время и т.д. Эти параметры следует выбирать с таким расчетом, чтобы число произвольных величин, которое можно из них получить, было бы не меньше минимального числа секретов, которые необходимо сгенерировать.
G.3.3.2 Операции
G. 3.3.2.1 Назначение
В FIA_SOS.2.1 автору ПЗ/ЗБ следует обеспечить определенную метрику качества. Эта метрика может быть специфицирована как собственно описание проверки качества или как ссылка на нормативный документ, определяющий метрики качества, соответствие которым необходимо для секретов. К примерам метрик качества относятся описание допустимых символьных структур секретов и/или допустимых размеров секретов.
В FIA_SOS.2.2 автору ПЗ/ЗБ следует представить список функций из числа ФБО, для которых необходимо использовать секреты, генерируемые ФБО. Примером такой функции может служить механизм аутентификации по паролю.
G.4 Аутентификация пользователя (FIA_UAU)
G.4.1 Замечания для пользователя
Семейство FIA_UAU определяет типы механизмов аутентификации пользователя, предоставляемые ФБО. Оно также определяет те атрибуты, на которых необходимо базировать механизмы аутентификации пользователя.
G.4.2 FIA_UAU.1 Выбор момента аутентификации
G.4.2.1 Замечания по применению для пользователя
Компонент FIA_UAU.1 содержит требование, чтобы автор ПЗ/ЗБ определил список действий, которые выполняются при посредничестве ФБО и допускаются ФБО от имени пользователя до того, как будет произведена аутентификация пользователя. Эти действия, выполняемые при посредничестве ФБО, с точки зрения безопасности не имеют отношения к пользователям, неверно идентифицировавшим себя до аутентификации. Все прочие действия, выполняемые при посредничестве ФБО и не включенные в этот список, разрешаются пользователю только после завершения аутентификации.
Этот компонент не применим для разрешения каких-либо действий до выполнения идентификации. Для этого необходимо использовать FIA_UID.1 "Выбор момента идентификации" либо FIA_UID.2 "Идентификация до любого действия пользователя" с соответствующими назначениями.
G.4.2.2 Операции
G.4.2.2.1 Назначение
В FIA_UAU.1.1 автору ПЗ/ЗБ следует специфицировать список действий, выполняемых при посредничестве ФБО от имени пользователя прежде, чем завершится аутентификация пользователя. Этот список не может быть пустым. Если таких действий нет, следует вместо этого компонента использовать компонент FIA_UAU.2 "Аутентификация до любых действий пользователя". Примером таких действий может служить запрос о помощи при выполнении процедуры логического входа в систему.
G.4.3 FIA_UAU.2 Аутентификация до любых действий пользователя
G.4.3.1 Замечания по применению для пользователя
Компонент FIA_UAU.2 содержит требование завершения аутентификации пользователя до выполнения любых действий при посредничестве ФБО от имени этого пользователя.
G.4.4 FIA_UAU.3 Аутентификация, защищенная от подделок
G.4.4.1 Замечания по применению для пользователя
Компонент FIA_UAU.3 содержит требования к механизмам, предоставляющим защиту аутентификационных данных. Аутентификационные данные, заимствованные у другого пользователя или полученные незаконным способом, следует обнаружить и/или отвергнуть. Данные механизмы предоставляют уверенность, что пользователи, аутентифицированные ФБО, являются действительно теми, кем они представляются.
Этот компонент применим только для механизмов аутентификации, основанных на уникальных аутентификационных данных (например, биометрических). ФБО не смогут обнаружить и предотвратить тиражирование пароля за пределами ОДФ.
G.4.4.2 Операции
G.4.4.2.1 Выбор
В FIA_UAU.3.1 автору ПЗ/ЗБ следует специфицировать, будут ли ФБО обнаруживать и/или предотвращать подделку данных аутентификации.
В FIA_UAU.3.2 автору ПЗ/ЗБ следует специфицировать, будут ли ФБО обнаруживать и/или предотвращать копирование данных аутентификации.
G.4.5 FIA_UAU.4 Механизмы одноразовой аутентификации
G.4.5.1 Замечания по применению для пользователя
Компонент FIA_UAU.4 содержит требования к механизмам аутентификации, основанным на аутентификационных данных одноразового использования. В качестве таких данных может использоваться то, что пользователь имеет или знает, но не свойства самого пользователя. Примеры одноразовых данных аутентификации пользователя: одноразовые пароли, зашифрованные метки времени, случайные числа секретной таблицы преобразований.
Автор ПЗ/ЗБ может определить, к какому механизму(ам) аутентификации применимы эти требования.
G.4.5.2 Операции
G.4.5.2.1 Назначение
В FIA_UAU.4.1 автору ПЗ/ЗБ следует привести список механизмов аутентификации, к которым применяется это требование. Назначением может быть: "все механизмы аутентификации". Примером назначения может быть также следующее: "механизмы аутентификации, используемые для аутентификации пользователей во внешней сети".
G.4.6 FIA_UAU.5 Сочетание механизмов аутентификации
G.4.6.1 Замечания по применению для пользователя
Применение компонента FIA_UAU.5 позволяет специфицировать требования к применению нескольких механизмов аутентификации в ОО. Требования, применяемые к каждому отдельному механизму, необходимо выбирать из класса FIA "Идентификация и аутентификация". Чтобы отразить разные требования к разным механизмам аутентификации, можно многократно использовать один и тот же выбранный компонент.
Для обеспечения возможностей механизмов аутентификации, а также правил, определяющих успешность аутентификации, можно привлекать функции управления из класса FMT.
Для допуска в систему анонимных пользователей можно ввести механизм аутентификации типа "отсутствие аутентификации". Использование доступа такого типа следует четко разъяснить в правилах FIA_UAU.5.2.
G.4.6.2 Операции
G.4.6.2.1 Назначение
В FIA_UAU.5.1 автору ПЗ/ЗБ следует определить предоставляемые механизмы аутентификации. Примером списка механизмов может быть следующий: "отсутствие аутентификации, механизм пароля, биометрия (сканирование сетчатки), механизм ключа шифрования".
В FIA_UAU.5.2 автору ПЗ/ЗБ следует специфицировать правила, описывающие, как механизмы аутентификации обеспечивают аутентификацию и когда используется каждый из них. Это значит, что для любой возможной ситуации необходимо указать совокупность механизмов, которые могли бы использоваться для аутентификации. Пример такого правила: "для аутентификации пользователей, имеющих особые права доступа, должны совместно использоваться механизм пароля и биометрия, причем аутентификация успешна при успешной аутентификации каждым механизмом; для аутентификации остальных пользователей должен использоваться только механизм пароля".
Автор ПЗ/ЗБ может задать ограничения, в пределах которых уполномоченному администратору разрешено специфицировать конкретные правила. Пример правила: "аутентификация пользователя всегда должна производиться посредством аппаратного ключа; администратор может специфицировать дополнительные механизмы аутентификации, которые также необходимо использовать". Автор ПЗ/ЗБ может и не специфицировать ограничения, а оставить выбор механизмов аутентификации и их правил полностью на усмотрение уполномоченного администратора.
G.4.7 FIA_UAU.6 Повторная аутентификация
G.4.7.1 Замечания по применению для пользователя
В компоненте FIA_UAU.6 рассматривается потенциальная потребность повторной аутентификации пользователей в определенные моменты времени. Такая потребность может возникнуть при обращении пользователя к ФБО с запросом о выполнении действий, критичных по безопасности, а также при запросах о повторной аутентификации, исходящих от сущностей, не связанных с ФБО, например, от серверного приложения, которое запрашивает от ФБО повторную аутентификацию обслуживаемого клиента.
G.4.7.2 Операции
G.4.7.2.1 Назначение
В FIA_UAU.6.1 автору ПЗ/ЗБ следует привести список условий, требующих повторной аутентификации. Этот список может включать в себя завершение периода времени, выделенного пользователю, запрос пользователя с целью изменения действующих атрибутов безопасности или запрос пользователя к ФБО с целью выполнения некоторых критичных функций безопасности.
Автор ПЗ/ЗБ может задать пределы, в которых следует допускать повторную аутентификацию, оставив их детализацию на усмотрение уполномоченного администратора. Пример подобного правила: "пользователь должен проходить повторную аутентификацию не реже одного раза в сутки; администратор может потребовать более частую повторную аутентификацию, но не чаще одного раза в 10 мин".
G.4.8 FIA_UAU.7 Аутентификация с защищенной обратной связью
G.4.8.1 Замечания по применению для пользователя
В компоненте FIA_UAU.7 рассматривается обратная связь с пользователем в процессе аутентификации. В некоторых системах обратная связь выражается в том, что пользователю сообщается число набранных им символов, но сами символы скрываются, в других системах даже эта информация может считаться неприемлемой.
Этот компонент содержит требование, чтобы аутентификационные данные не возвращались пользователю в первоначальном виде. В рабочих станциях принято представлять набранные символы пароля условными знаками (например, звездочками).
G.4.8.2 Операции
G.4.8.2.1 Назначение
В FIA_UAU.7.1 автору ПЗ/ЗБ следует определить вид обратной связи с пользователем при проведении аутентификации. Примером такого назначения может служить "число набранных символов", другой тип обратной связи - "механизм аутентификации, через который не удалось осуществить аутентификацию".
G.5 Идентификация пользователя (FIA_UID)
G.5.1 Замечания для пользователя
Семейство FIA_UID определяет условия, при которых от пользователей требуется собственная идентификация до выполнения при посредничестве ФБО каких-либо иных действий, требующих идентификации пользователя.
G.5.2 FIA_UID.1 Выбор момента идентификации
G.5.2.1 Замечания по применению для пользователя
Компонент FIA_UID.1 устанавливает требования по идентификации пользователей. Автор ПЗ/ЗБ может указать конкретные действия, которые могут быть выполнены до завершения идентификации.
При использовании компонента упоминаемые в нем действия, которые допускается выполнять при посредничестве ФБО до идентификации, следует также привести и в компоненте FIA_UAU.1 "Выбор момента аутентификации".
G.5.2.2 Операции
G.5.2.2.1 Назначение
В FIA_UID.1.1 автору ПЗ/ЗБ следует специфицировать список действий, выполняемых при посредничестве ФБО от имени пользователя до его собственной идентификации. Этот список не может быть пустым. Если приемлемых действий нет, следует вместо этого компонента использовать компонент FIA_UID.2 "Идентификация до любого действия пользователя". Примером таких действий может служить запрос о помощи при выполнении процедуры логического входа в систему.
G.6 Связывание пользователь-субъект (FIA_USB)
G.6.1 Замечания для пользователя
Для работы с ОО аутентифицированный пользователь обычно активизирует какой-либо субъект. Тогда атрибуты безопасности этого пользователя ассоциируются (полностью или частично) с этим субъектом. Семейство FIA_USB определяет требования по созданию и сопровождению ассоциации атрибутов безопасности пользователя с субъектом, действующим от имени пользователя.
G.6.2 FIA_USB.1 Связывание пользователь-субъект
G.6.2.1 Замечания по применению для пользователя
Выражение "действующий от имени", использовавшееся и ранее, требует некоторых пояснений. Установлено, что субъект действует от имени пользователя, создавшего субъект или активизировавшего его для решения некоторой задачи. Поэтому, когда субъект создается, то он действует от имени пользователя, инициировавшего его создание. Если пользователь предпочитает анонимность, субъект также действует от его имени, но идентификатор этого пользователя неизвестен. Особую категорию составляют субъекты, которые обслуживают нескольких пользователей (например серверный процесс). Тогда "владельцем" этого субъекта считается пользователь, создавший его.
G.6.2.2 Операции
G.6.2.2.1 Назначение
В FIA_USB.1 автору ПЗ/ЗБ следует специфицировать список атрибутов безопасности пользователя, которые должны быть связаны с субъектами.
В FIA_USB.1.2 автору ПЗ/ЗБ следует специфицировать какие-либо правила, которые должны применяться по отношению к исходной ассоциации атрибутов с субъектами, или слово "нет".
В FIA_USB.1.3 автору ПЗ/ЗБ следует специфицировать какие-либо правила, которые должны применяться при внесении изменений в атрибуты безопасности пользователей, связанные с субъектами, действующими от имени пользователей, или слово "нет".