Приложение С (обязательное). Аудит безопасности (FAU). Национальный стандарт РФ ГОСТ Р ИСО/МЭК 15408-2-2008 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. "Функциональные требования безопасности" (утв. приказом Федерального агентства по техническому регулированию и метрологии от 18.12.2008 N 520-ст) (отменен)

Приложение С
(обязательное)

Аудит безопасности (FAU)

Семейства аудита по ИСО/МЭК 15408 предоставляют авторам ПЗ/ЗБ возможность определить требования для мониторинга действий пользователя и в некоторых случаях обнаружить существующие, возможные или готовящиеся нарушения ПБО. Функции аудита безопасности ОО определены с тем, чтобы помочь осуществлять контроль за относящимися к безопасности событиями, и выступают как сдерживающий фактор нарушений безопасности. Требования семейств аудита используют функции, включающие в себя защиту данных аудита, формат записи, выбор событий, а также инструментальные средства анализа, сигналы оповещения при нарушении и анализ в реальном масштабе времени. Журнал аудита следует представлять в формате, доступном человеку либо явно (например, храня журнал аудита в таком формате), либо неявно (например, применяя инструментальные средства предварительной обработки данных аудита) или с использованием обоих методов.

При составлении требований аудита безопасности автору ПЗ/ЗБ следует обращать внимание на взаимосвязь семейств и компонентов аудита. Возможность реализации совокупности требований аудита в соответствии со списками зависимостей компонентов может привести и к некоторым недостаткам функции аудита (например, при проведении аудита всех событий, относящихся к безопасности, не будет возможности управлять ими на селективной основе, такой как принадлежность к отдельному пользователю или объекту).

С.1 Требования аудита в распределенной среде

Реализация требований аудита для сетей и других больших систем может значительно отличаться от реализации таких требований в автономной системе. Для больших и сложных систем требуется более продуманный план сбора и управления данными аудита, поскольку их труднее интерпретировать (и даже хранить). Обычный список, упорядоченный по времени, или журнал событий, подвергающихся аудиту, не применимы в глобальных, не синхронизированных сетях, в которых одновременно происходит множество событий.

Кроме того, в распределенном ОО в различных хост-компьютерах и серверах могут быть различные политики назначения имен. Для того чтобы избежать избыточности и "столкновения" имен, может потребоваться общесетевое соглашение об их согласованном представлении для аудита.

Для обслуживания распределенной системы может потребоваться хранилище данных аудита из многих объектов, доступное потенциально широкому кругу уполномоченных пользователей.

Наконец, к злоупотреблениям уполномоченных пользователей своими правами следует отнести систематическое уничтожение отдельных областей хранения данных аудита, относящихся к действиям администратора.

Декомпозиция класса FAU "Аудит безопасности" на составляющие его компоненты показана на рисунке С.1.

С.2 Автоматическая реакция аудита безопасности (FAU_ARP)

С.2.1 Замечания по применению

Семейство FAU_ARP "Автоматическая реакция аудита безопасности" содержит требования по обработке событий аудита. Конкретное требование может включать в себя требования сигнала тревоги или действий ФБО (автоматическая реакция). Например, ФБО могут обеспечивать подачу сигнала тревоги в реальном времени, прерывание процесса с выявленным нарушением, прекращение обслуживания, блокирование или закрытие учетных данных пользователя.

Событие аудита определяется как "возможное нарушение безопасности", если так указано в компонентах семейства FAU_SAA "Анализ аудита безопасности".

С.2.2 FAU_ARP.1 Сигналы нарушения безопасности

С.2.2.1 Замечания по применению для пользователя

При сигнале тревоги следует предпринять определенные действия. Они могут включать в себя информирование уполномоченного пользователя, предоставление уполномоченному пользователю перечня возможных мер противодействия или выполнение корректирующих действий. Автору ПЗ/ЗБ следует быть особенно внимательным при определении последовательности проведения таких действий.

С.2.2.2 Операции

С.2.2.2.1 Назначение

В элементе FAU_ARP.1.1 автору ПЗ/ЗБ следует определить действия, предпринимаемые в случае возможного нарушения безопасности. Примером списка таких действий является: "информировать уполномоченного пользователя, блокировать субъекта, действия которого могут привести к нарушению безопасности". Можно также указать, что предпринимаемые действия могут определяться уполномоченным пользователем.

С.3 Генерация данных аудита безопасности (FAU_GEN)

С.3.1 Замечания по применению

Семейство FAU_GEN "Генерация данных аудита безопасности" содержит требования по спецификации событий аудита, которые следует генерировать с использованием ФБО для событий, относящихся к безопасности.

Это семейство организовано так, чтобы избежать зависимостей от всех компонентов, требующих поддержки аудита. В каждом компоненте имеется подготовленная секция "Аудит", в которой перечислены события, предлагаемые для аудита в его функциональной области. Содержание указанной области аудита используется автором ПЗ/ЗБ при составлении ПЗ/ЗБ для завершения операций этого компонента. Таким образом, спецификация того, что может подвергаться аудиту в функциональной области, содержится в указанной области.

Список событий, потенциально подвергаемых аудиту, полностью зависит от других функциональных семейств в ПЗ/ЗБ. Поэтому в описание каждого семейства следует включать список событий, относящихся к семейству и потенциально подвергаемых аудиту, для каждого компонента семейства. Каждое событие в списке потенциально подвергаемых аудиту событий, специфицированное в функциональном семействе, следует отнести к одному из принятых уровней генерации событий аудита (то есть минимальному, базовому, детализированному). Это предоставляет автору ПЗ/ЗБ информацию, позволяющую обеспечить, чтобы все события, потенциально подвергаемые аудиту, были специфицированы в ПЗ/ЗБ. Как необходимо специфицировать события, потенциально подвергаемые аудиту, в соответствующих функциональных семействах показано на следующем примере.

"Если в ПЗ/ЗБ включено семейство FAU_GEN "Генерация данных аудита безопасности", то следует предусмотреть возможность аудита следующих действий:

a) минимальный: успешное использование функций административного управления атрибутами безопасности пользователя;

b) базовый: все попытки использования функций административного управления атрибутами безопасности пользователя;

c) базовый: идентификация модифицированных атрибутов безопасности пользователя;

d) детализированный: новые значения атрибутов, за исключением чувствительных атрибутов (например, паролей, ключей шифрования)".

Для каждого выбранного функционального компонента в общую совокупность событий, потенциально подвергаемых аудиту, следует включить те указанные в нем события, которые соответствуют уровню, установленному в FAU_GEN "Генерация данных аудита безопасности". Если в приведенном выше примере в FAU_GEN "Генерация данных аудита безопасности" выбран уровень "базовый", события, указанные в перечислениях а) - с), следует отнести к потенциально подвергаемым аудиту.

Следует обратить внимание на то, что категорирование событий, потенциально подвергаемых аудиту, иерархично. Например, если требуется "Генерация базового аудита", то все события, потенциально подвергаемые как минимальному, так и базовому аудиту, следует включить в ПЗ/ЗБ с помощью соответствующей операции назначения, за исключением случая, когда событие более высокого уровня имеет большую детализацию, чем событие более низкого уровня. Если требуется "Генерация детализированного аудита", то в ПЗ/ЗБ следует включить все события, потенциально подвергаемые аудиту (минимальному, базовому и детализированному).

По усмотрению авторов ПЗ/ЗБ в список событий, потенциально подвергаемых аудиту, могут включаться события помимо требуемых для данного уровня аудита. Например, в ПЗ/ЗБ можно заявить только возможности проведения минимального аудита, несмотря на включение большой части возможностей базового аудита, поскольку некоторые из оставшихся вступают в противоречие с ограничениями ПЗ/ЗБ (например, могут требовать сбора недоступных данных).

Функциональные возможности, выполнение которых порождает события, потенциально подвергаемые аудиту, следует устанавливать в ПЗ или ЗБ как функциональные требования.

Ниже приведены примеры типов событий, которые следует определить как потенциально подвергаемые аудиту в каждом функциональном компоненте ПЗ/ЗБ:

a) введение объектов из ОДФ в адресное пространство субъекта;

b) удаление объектов;

c) предоставление или отмена прав или возможностей доступа;

d) изменение атрибутов безопасности субъекта или объекта;

e) проверки политики, выполняемые ФБО как результат запроса субъекта;

f) использование прав доступа для обхода проверок политики;

g) использование функций идентификации и аутентификации;

h) действия, предпринимаемые оператором и/или уполномоченным пользователем (например, подавление такого механизма защиты ФБО, как доступные человеку метки);

i) ввод/вывод данных с/на заменяемые носители (например, печатные материалы, ленты, дискеты).

С.3.2 FAU_GEN.1 Генерация данных аудита

С.3.2.1 Замечания по применению для пользователя

Компонент FAU_GEN.1 "Генерация данных аудита" определяет требования по идентификации событий, потенциально подвергаемых аудиту, для которых следует генерировать записи аудита, и состав информации в этих записях.

Если ПБО не предусматривает ассоциации событий аудита с идентификатором пользователя, то достаточно применения только компонента FAU_GEN.1 "Генерация данных аудита". То же приемлемо и в случае, когда ПЗ/ЗБ содержит требования приватности. Если необходимо подключение идентификатора пользователя, допускается дополнительно использовать компонент FAU_GEN.2 "Ассоциация идентификатора пользователя".

С.3.2.2 Замечания по применению для оценщика

Имеется зависимость от FPT_STM "Метки времени". Если точное значение времени событий для данного ОО несущественно, то допускается логически обоснованный отказ от этой зависимости.

С.3.2.3 Операции

С.3.2.3.1 Выбор

В FAU_GEN.1.1 в разделе аудита функциональных требований, входящих в ПЗ/ЗБ, следует выбрать уровень событий, потенциально подвергаемых аудиту, указанный в разделе аудита других функциональных компонентов, включенных в ПЗ/ЗБ. Этот уровень может быть "минимальным", "базовым", "детализированным" или "неопределенным".

С.3.2.3.2 Назначение

В FAU_GEN.1.1 автору ПЗ/ЗБ следует составить список и других событий, потенциально подвергаемых аудиту, для включения в список событий, потенциально подвергаемых аудиту. Назначение в перечислении с) может не включать в себя ни одного события ("нет") или включать события из функциональных требований, потенциально подвергаемые аудиту более высокого уровня, чем требуется в перечислении b), а также события, генерируемые при использовании специфицированного интерфейса прикладного программирования (API).

В FAU_GEN.1.2 автору ПЗ/ЗБ следует для всех событий, потенциально подвергаемых аудиту и включенных в ПЗ/ЗБ, составить список иной информации, имеющей отношение к аудиту, для включения в записи событий аудита.

С.3.3 FAU_GEN.2 Ассоциация идентификатора пользователя

С.3.3.1 Замечания по применению для пользователя

Компонент FAU_GEN.2 связан с требованием использования идентификаторов пользователей при учете событий, потенциально подвергаемых аудиту. Этот компонент следует использовать в дополнение к FAU_GEN.1 "Генерация данных аудита".

Требования аудита и приватности могут противоречить друг другу. При проведении аудита желательно знать, кто выполнил действие. Пользователь может не пожелать предавать свои действия огласке, а также может не захотеть, чтобы его идентифицировали другие лица (например, на сайте поиска работы). Требование защиты идентификатора пользователя может также содержаться в политике безопасности организации. В таких случаях цели аудита и сохранения приватности прямо противоположны друг другу. Поэтому, если при выполнении требований аудита необходимо сохранить приватность, в этом компоненте можно использовать псевдоним пользователя. Требования по определению подлинного имени пользователя по псевдониму содержатся в классе "Приватность".

С.4 Анализ аудита безопасности (FAU_SAA)

С.4.1 Замечания по применению

Семейство FAU_SAA определяет требования для автоматизированных средств, которые анализируют показатели функционирования системы и данные аудита в целях поиска возможных или реальных нарушений безопасности. Этот анализ может использоваться для поддержки как обнаружения вторжения, так и автоматической реакции на ожидаемое нарушение безопасности.

Действия для выполнения ФБО при обнаружении ожидаемого или потенциального нарушения определяются в компонентах семейства FAU_ARP "Автоматическая реакция аудита безопасности".

Для анализа в режиме реального времени данные аудита могут преобразовываться не только в формат, используемый для автоматической обработки, но также в формат, удобный для просмотра уполномоченными пользователями.

С.4.2 FAU_SAA.1 Анализ потенциального нарушения

С.4.2.1 Замечания по применению для пользователя

Компонент FAU_SAA.1 используется для определения совокупности событий, потенциально подвергаемых аудиту, появление которых (каждого отдельно или в совокупности) указывает на потенциальные нарушения ПБО, и правил, применяемых для анализа этих нарушений.

С.4.2.2 Операции

С.4.2.2.1 Назначение

В FAU_SAA.1.2 автору ПЗ/ЗБ следует определить совокупность событий, потенциально подвергаемых аудиту, проявление которых (каждого в отдельности или совместно) будет указывать на возможные нарушения ПБО.

В FAU_SAA.1.2 автору ПЗ/ЗБ следует определить любые другие правила, которые ФБО следует использовать для анализа журнала аудита. Эти правила могут включать в себя конкретные требования, согласно которым необходимо, чтобы в течение указанного периода времени (например, установленного времени суток, заданного интервала времени) произошли определенные события. Если нет никаких дополнительных правил, которые должны использовать ФБО при анализе журнала аудита, то данное назначение может быть выполнено как "нет".

С.4.3 FAU_SAA.2 Выявление аномалии, основанное на профиле

С.4.3.1 Замечания по применению для пользователя

Профиль является структурой, характеризующей поведение пользователей и/или субъектов; он описывает различные способы взаимодействия пользователей/субъектов с ФБО. Шаблоны использования для пользователей/субъектов устанавливают по отношению к различным видам результатов их деятельности, включая, например, шаблоны возникновения исключительных ситуаций, шаблоны использования ресурсов (когда, каких, как), шаблоны выполняемых действий. Метрики профиля ссылаются на способы, которыми различные виды деятельности отражаются в профиле (например, измерение использованных ресурсов, счетчики событий, таймеры).

Каждый профиль представляет собой ожидаемые шаблоны использования, выполняемые членами группы, на которую он ориентирован (целевая группа профиля). Данный шаблон может основываться на предшествующем использовании (шаблон предыстории) или на обычном использовании пользователями подобных целевых групп (ожидаемое поведение). Целевая группа профиля включает в себя одного или нескольких пользователей, взаимодействующих с ФБО. Деятельность каждого члена группы данного профиля анализируется инструментальными средствами, чтобы сравнить ее с шаблоном, представленным в профиле. Примерами целевых групп профиля являются:

a) учетная запись отдельного пользователя - один профиль для каждого пользователя;

b) идентификатор группы или учетная запись группы - один профиль для всех пользователей, которые имеют один и тот же идентификатор группы или работают, используя общую учетную запись;

c) операционная роль - один профиль на всех пользователей, выполняющих данную операционную роль;

d) система в целом - один профиль на всех пользователей системы.

Каждому члену целевой группы профиля присваивают индивидуальный рейтинг подозрительной активности, показывающий, насколько его деятельность соответствует шаблону использования системы, установленному в профиле этой группы.

Сложность средств обнаружения отклонений в значительной степени будет определяться числом целевых групп, предусмотренных в ПЗ/ЗБ, и сложностью метрики профиля.

Данный компонент используют для определения как совокупности событий, потенциально подвергаемых аудиту, появление которых (каждого в отдельности или вместе) указывает на возможные нарушения ПБО, так и правил проведения анализа нарушений. Указанная совокупность событий и правил может быть модифицирована уполномоченным пользователем путем добавления, модификации или удаления событий или правил.

При составлении ПЗ/ЗБ следует перечислить виды деятельности, которые следует отслеживать и анализировать с использованием ФБО. Автору ПЗ/ЗБ следует особо указать, какая информация о деятельности пользователей необходима при составлении профилей использования системы.

FAU_SAA.2 "Выявление аномалии, основанное на профиле" содержит требование, чтобы ФБО сопровождали профили использования системы. Под сопровождением понимается активное участие детектора отклонений в обновлении профиля использования системы в соответствии с новыми действиями, выполняемыми членами целевой группы этого профиля. Важно, чтобы автором ПЗ/ЗБ была определена метрика представления деятельности пользователя. Индивид может выполнять тысячи различных действий, но детектор отклонений способен отобрать для контроля только некоторые из них. Результаты аномальной деятельности интегрируются в профиль так же, как и результаты нормальной деятельности (при условии выполнения мониторинга этих действий). То, что считалось отклонением четыре месяца назад, сегодня может стать нормой (и наоборот) из-за изменения условий работы пользователей. ФБО не будут способны учесть изменение ситуации, если в алгоритмах обновления профиля не отражена какая-либо аномальная деятельность пользователей.

Административные уведомления следует доводить до уполномоченного пользователя так, чтобы он понимал важность рейтинга подозрительной активности.

Автору ПЗ/ЗБ следует определить, как интерпретировать рейтинги подозрительной активности и условия, при которых в случае аномального поведения нужно обращаться к механизму семейства FAU_ARP "Автоматическая реакция аудита безопасности".

С.4.3.2 Операции

С.4.3.2.1 Выбор

В FAU_SAA.2.1 автору ПЗ/ЗБ следует определить целевую группу профиля. Один ПЗ/ЗБ может включать в себя несколько целевых групп профиля.

В FAU_SAA.2.3 автору ПЗ/ЗБ следует определить условия, при которых ФБО сообщают об аномальном поведении. Условия могут включать в себя достижение рейтингом подозрительной активности некоторого значения или основываться на определенном виде аномального поведения.

С.4.4 FAU_SAA.3 Простая эвристика атаки

С.4.4.1 Замечания по применению для пользователя

На практике случай, когда средства анализа могут точно предсказать ожидаемое нарушение безопасности, является редкой удачей. Тем не менее, существуют некоторые системные события, важные настолько, что всегда заслуживают отдельного отслеживания. Примерами таких событий являются удаление файла с ключевыми данными безопасности ФБО (например, файла паролей) или попытка удаленного пользователя получить административные привилегии. Такие события называют "характерными", поскольку они в отличие от остальных событий свидетельствуют о попытках вторжения в систему.

Сложность средств анализа в значительной степени будет зависеть от назначений, сделанных автором ПЗ/ЗБ при определении базового множества "характерных" событий.

В ПЗ/ЗБ следует перечислить события, отслеживаемые ФБО с целью их анализа. Автору ПЗ/ЗБ следует указать, на основании какой информации о событии его следует отнести к "характерным".

Административные уведомления следует доводить до уполномоченного пользователя так, чтобы он понимал значение этих событий и приемлемую реакцию на них.

При спецификации этих требований предусмотрена возможность привлечения иных источников данных, кроме данных аудита, для мониторинга системы. Это было сделано с целью расширения привлекаемых методов обнаружения вторжения, которые при анализе показателей функционирования системы используют не только данные аудита (примерами других типов источников данных являются параметры сетевых дейтаграмм, данные о ресурсах/учете или комбинации различных системных данных).

Элементы FAU_SAA.3 "Простая эвристика атаки" не требуют, чтобы реализация эвристик распознавания прямой атаки осуществлялась теми же ФБО, выполнение которых подлежит мониторингу. Поэтому компоненты, применяемые для обнаружения вторжения, можно разрабатывать независимо от системы, показатели функционирования которой подлежит анализу.

С.4.4.2 Операции

С.4.4.2.1 Назначение

В FAU_SAA.3.1 автору ПЗ/ЗБ следует идентифицировать базовое подмножество системных событий, появление которых, в отличие от иных показателей функционирования системы, может указывать на нарушение ПБО. К ним относятся как события, сами по себе указывающие на очевидные нарушения ПБО, так и события, появление которых является достаточным основанием для принятия мер предосторожности.

В FAU_SAA.3.2 автору ПЗ/ЗБ следует специфицировать информацию, используемую при определении показателей функционирования системы. Данная информация является исходной для инструментальных средств анализа показателей функционирования системы, применяемых в ОО. Эта информация может включать в себя данные аудита, комбинации данных аудита с другими системными данными и данные, отличные от данных аудита. При составлении ПЗ/ЗБ следует точно определить, какие системные события и атрибуты событий используются в качестве исходной информации.

С.4.5 FAU_SAA.4 Сложная эвристика атаки

С.4.5.1 Замечания по применению для пользователя

На практике случай, когда средства анализа могут точно предсказать ожидаемое нарушение безопасности, является редкой удачей. Тем не менее, существуют некоторые системные события, важные настолько, что всегда заслуживают отдельного отслеживания. Примерами таких событий являются удаление файла с ключевыми данными безопасности ФБО (например, файла паролей) или попытка удаленного пользователя получить административные привилегии. Такие события называют "характерными", поскольку они, в отличие от остальных событий, свидетельствуют о попытках вторжения в систему. Последовательность событий является упорядоченным множеством "характерных" событий, которые могут указывать на попытки вторжения.

Сложность средств анализа в значительной степени будет зависеть от назначений, сделанных автором ПЗ/ЗБ при определении базового множества "характерных" событий и последовательностей событий.

Автору ПЗ/ЗБ следует определить базовое множество "характерных" событий и последовательностей событий, которые будут представлены в ФБО. Дополнительные "характерные" события и последовательности событий могут быть определены разработчиком системы.

В ПЗ/ЗБ следует перечислить события, которые следует отслеживать ФБО с целью их анализа. Автору ПЗ/ЗБ следует указать, на основании какой информации о событии его можно отнести к "характерным".

Административные уведомления следует доводить до уполномоченного пользователя так, чтобы он понимал значение этих событий и приемлемую реакцию на них.

При спецификации данных требований предусмотрена возможность привлечения иных источников данных о функционировании системы, кроме данных аудита. Это сделано с целью расширения привлекаемых методов обнаружения вторжения, которые при анализе показателей функционирования системы используют не только данные аудита (примерами других типов источников данных являются параметры сетевых дейтаграмм, данные о ресурсах/учете или комбинации различных системных данных). Поэтому от автора ПЗ/ЗБ требуется специфицировать виды данных, используемых при контроле показателей функционирования системы.

Элементы FAU_SAA.4 "Сложная эвристика атаки" не требуют, чтобы реализация эвристик распознавания прямой атаки осуществлялась теми же ФБО, выполнение которых подлежит мониторингу. Поэтому компоненты, применяемые для обнаружения вторжения, можно разрабатывать независимо от системы, показатели функционирования которой подлежат анализу.

С.4.5.2 Операции

С.4.5.2.1 Назначение

В FAU_SAA.4.1 автору ПЗ/ЗБ следует идентифицировать базовое множество перечня последовательностей системных событий, совпадение которых типично для известных сценариев проникновения. Эти последовательности событий представляют известные сценарии проникновения. Каждое событие в последовательности следует сопоставлять с контролируемыми системными событиями, и если в итоге все системные события произошли в действительности, это подтверждает (отображает) попытку проникновения.

В FAU_SAA.4.1 автору ПЗ/ЗБ следует специфицировать базовое подмножество системных событий, появление которых, в отличие от иных показателей функционирования системы, может указывать на нарушение ПБО. К ним относятся как события, сами по себе указывающие на очевидные нарушения ПБО, так и события, появление которых является достаточным основанием для принятия мер предосторожности.

В FAU_SAA.4.2 автору ПЗ/ЗБ следует специфицировать информацию, используемую при определении показателей функционирования системы. Информация является исходной для инструментальных средств анализа показателей функционирования системы, применяемых в ОО. В эту информацию могут входить данные аудита, комбинации данных аудита с другими системными данными и данные, отличные от данных аудита. При составлении ПЗ/ЗБ следует точно определить, какие системные события и атрибуты событий используются в качестве исходной информации.

С.5 Просмотр аудита безопасности (FAU_SAR)

С.5.1 Замечания по применению

Семейство FAU_SAR определяет требования, относящиеся к просмотру информации аудита.

Следует, чтобы функции предоставляли возможность отбирать данные аудита до или после сохранения, обеспечивая, например, возможность избирательного просмотра данных о следующих действиях:

- действия одного или нескольких пользователей (например идентификация, аутентификация, вход в ОО и действия по управлению доступом);

- действия, выполненные над определенным объектом или ресурсом 00;

- все события из указанного множества исключительных событий, подвергающихся аудиту;

- действия, связанные с определенным атрибутом ПБО.

Виды просмотра различаются по функциональным возможностям. Обычный просмотр позволяет только просматривать данные аудита. Выборочный просмотр более сложен и содержит требования возможности поиска на основании одного или нескольких критериев с логическими (то есть типа "и/или") отношениями, сортировки или фильтрации данных аудита до их просмотра.

C.5.2 FAU_SAR.1 Просмотр аудита

С.5.2.1 Обоснование

Данный компонент обеспечит уполномоченным пользователям возможность получения и интерпретации информации. В случае пользователя-человека данная информация должна представляться в понятном для человека виде. В случае внешних сущностей ИТ информация должна быть однозначно представлена в электронном виде.

С.5.2.2 Замечания по применению для пользователя

Компонент FAU_SAR.1 используется для определения возможности читать записи аудита для пользователей и/или уполномоченных пользователей. Эти записи аудита будут представляться в удобном для пользователя виде. У пользователей различных типов могут быть разные требования к представлению данных аудита.

Содержание записей аудита, предназначенных для просмотра, может быть установлено заранее.

С.5.2.3 Операции

С.5.2.3.1 Назначение

В FAU_SAR.1.1 автору ПЗ/ЗБ следует указать уполномоченных пользователей, которые могут просматривать данные аудита. Если это необходимо, автор ПЗ/ЗБ может указать роли безопасности (см. FMT_SMR.1 "Роли безопасности").

В FAU_SAR.1.1 автору ПЗ/ЗБ следует указать, какие виды информации может получать из записей аудита данный пользователь. Примерами являются "вся информация", "идентификатор субъекта", "вся информация из записей аудита, имеющих ссылки на этого пользователя".

С.5.3 FAU_SAR.2 Ограниченный просмотр аудита

С.5.3.1 Замечания по применению для пользователя

В компоненте FAU_SAR.2 определяется, что ни один пользователь, не указанный в FAU_SAR.1 "Просмотр аудита", не сможет читать записи аудита.

С.5.4 FAU_SAR.3 Выборочный просмотр аудита

С.5.4.1 Замечания по применению для пользователя

Компонент FAU_SAR.3 определяет возможность выборочного просмотра данных аудита. Если просмотр проводится на основе нескольких критериев, то необходимо, чтобы они были логически связаны (например, операциями "и", "или"), а инструментальные средства предоставили возможность обработки данных аудита (например, сортировки, фильтрации).

С.5.4.2 Операции

С.5.4.2.1 Выбор

В FAU_SAR.3.1 автору ПЗ/ЗБ следует выбрать, какие действия (поиск, сортировку и/или упорядочение) могут выполнять ФБО.

С.5.4.2.2 Назначение

В FAU_SAR.3.1 автору ПЗ/ЗБ следует установить критерии, возможно логически связанные, на основании которых проводится выбор данных аудита для просмотра. Логические связи используют при определении, проводится ли операция над отдельными атрибутами или совокупностью атрибутов. Примерами такого назначения могут быть прикладная задача, учетные данные и/или место нахождения пользователя. В данном случае операцию допускается специфицировать с помощью любой комбинации этих трех атрибутов.

С.6 Выбор событий аудита безопасности (FAU_SEL)

С.6.1 Замечания по применению

Семейство FAU_SEL "Выбор событий аудита безопасности" содержит требования, связанные с идентификацией того, какие события, потенциально подвергаемые аудиту, действительно подлежат аудиту. События, потенциально подвергаемые аудиту, определяются в семействе FAU_GEN "Генерация данных аудита безопасности", но для выполнения аудита этих событий их следует определить как выбираемые в компоненте FAU_SEL.1.

Это семейство обеспечивает возможность предотвращения разрастания журнала аудита до таких размеров, когда он становится бесполезным, путем определения приемлемой избирательности событий аудита безопасности.

С.6.2 FAU_SEL.1 Избирательный аудит

С.6.2.1 Замечания по применению для пользователя

Компонент FAU_SEL.1 определяет критерии, используемые для отбора событий, которые будут подвергнуты аудиту. Критерии могут допускать включение или исключение событий из совокупности событий, подвергающихся аудиту, на основе атрибутов пользователей, субъектов и объектов или типов событий.

Для этого компонента не предполагается существование идентификаторов отдельных пользователей, что позволяет применять его для таких ОО, как например, маршрутизаторы, которые могут не поддерживать понятие пользователей.

В распределенной среде в качестве критерия для отбора событий, которые будут подвергнуты аудиту, может быть использован идентификатор узла сети.

Права уполномоченных пользователей по просмотру или модификации условий отбора будут регулироваться функциями управления компонента FMT_MTD.1 "Управление данными ФБО".

С.6.2.2 Операции

С.6.2.2.1 Выбор

В FAU_SEL.1.1 автору ПЗ/ЗБ следует выбрать, на каких атрибутах безопасности основана избирательность аудита: идентификатор объекта, идентификатор пользователя, идентификатор субъекта, идентификатор узла сети или тип события.

С.6.2.2.2 Назначение

В FAU_SEL.1.1 автору ПЗ/ЗБ следует определить дополнительные атрибуты, на которых основана избирательность аудита. Если нет дополнительных правил, на которых основана избирательность аудита, то данное назначение может быть выполнено как "нет".

С.7 Хранение данных аудита безопасности (FAU_STG)

С.7.1 Замечания по применению

Семейство FAU_STG описывает требования по хранению данных аудита для последующего использования, включая требования контроля за потерей информации аудита из-за сбоя системы, нападения и/или превышения объема памяти, отведенной для хранения.

С.7.2 FAU_STG.1 Защищенное хранение журнала аудита

С.7.2.1 Замечания по применению для пользователя

Поскольку в распределенной среде расположение журнала аудита, который находится в ОДФ, не обязательно совпадает с расположением функций генерации данных аудита, автор ПЗ/ЗБ может потребовать обеспечения неотказуемости отправления записи аудита или проведения аутентификации отправителя перед занесением записи в журнал аудита.

ФБО будут защищать журнал аудита от несанкционированного уничтожения или модификации. Отметим, что в некоторых системах аудитор (роль) может не располагать полномочиями на удаление записей аудита в течение определенного периода времени.

С.7.2.2 Операции

С.7.2.2.1 Выбор

В FAU_STG.1.2 автору ПЗ/ЗБ следует специфицировать, должны ли ФБО предотвращать или только выявлять модификацию журнала аудита. Может быть выбран только один из этих вариантов.

С.7.3 FAU_STG.2 Гарантии доступности данных аудита

С.7.3.1 Замечания по применению для пользователя

Компонент FAU_STG.2 позволяет автору ПЗ/ЗБ определить метрику для журнала аудита.

Поскольку в распределенной среде расположение журнала аудита, который находится в ОДФ, не обязательно совпадает с расположением функций генерации данных аудита, автор ПЗ/ЗБ может потребовать обеспечения неотказуемости отправления записи аудита или проведения аутентификации отправителя перед занесением записи в журнал аудита.

С.7.3.2 Операции

С.7.3.2.1 Выбор

В FAU_STG.2.2 автору ПЗ/ЗБ следует специфицировать, должны ли ФБО предотвращать или только выявлять модификацию журнала аудита. Может быть выбран только один из этих вариантов.

С.7.3.2.2 Назначение

В FAU_STG.2.3 автору ПЗ/ЗБ следует специфицировать метрику, которую ФБО должны обеспечить для журнала аудита. Эта метрика ограничивает потерю данных указанием максимального числа записей, которые необходимо сохранять, или временем, в течение которого обеспечивается хранение записей. Примером метрики может быть число 100000, указывающее, что журнал аудита рассчитан на 100000 записей.

С.7.3.2.3 Выбор

В FAU_STG.2.3 автору ПЗ/ЗБ следует специфицировать условие, при котором ФБО должны быть все еще способны сопровождать определенный объем данных аудита. Это может быть одно из следующих условий: переполнение журнала аудита, сбой, атака.

С.7.4 FAU_STG.3 Действия в случае возможной потери данных аудита

С.7.4.1 Замечания по применению для пользователя

Компонент FAU_STG.3 содержит требование выполнения определенных действий в случае превышения журналом аудита некоторого заранее определяемого предела.

С.7.4.2 Операции

С.7.4.2.1 Назначение

В FAU_STG.3.1 автору ПЗ/ЗБ следует указать значение заранее определяемого предела принятого ограничения. Если функции управления допускают, что уполномоченный пользователь может его изменить, то предел принятого ограничения является значением по умолчанию. Автор ПЗ/ЗБ может позволить уполномоченному пользователю всегда определять это ограничение. В этом случае назначение может быть, например, следующим: "ограничение устанавливает уполномоченный пользователь".

В FAU_STG.3.1 автору ПЗ/ЗБ следует специфицировать действия, предпринимаемые в случае возможного переполнения журнала аудита. Эти действия могут включать в себя информирование уполномоченного пользователя.

С.7.5 FAU_STG.4 Предотвращение потери данных аудита

С.7.5.1 Замечания по применению для пользователя

В компоненте FAU_STG.4 определяется режим функционирования ОО при переполнении журнала аудита: игнорирование записей аудита либо приостановка функционирования ОО для предотвращения возникновения событий, подвергающихся аудиту. Устанавливают, что независимо от принятого решения, уполномоченный пользователь, имеющий соответствующие права, может продолжать генерировать события (действия), подвергающиеся аудиту. Это делается потому, что в противном случае уполномоченный администратор не смог бы осуществить даже перезапуск системы. Следует также предусмотреть действия, предпринимаемые ФБО при переполнении журнала аудита, поскольку игнорирование событий, способствующее лучшей доступности ОО, приведет также к возможности совершать действия, не оставляя о них записей и не относя их на счет определенного пользователя.

С.7.5.2 Операции

С.7.5.2.1 Выбор

В FAU_STG.4.1 автору ПЗ/ЗБ следует выбрать, должны ли ФБО в случае переполнения журнала аудита игнорировать проведение аудита, следует ли предотвращать действия, подвергающиеся аудиту, или следует новые записи помещать вместо старых. Может быть выбран только один из вариантов.

С.7.5.2.2 Назначение

В FAU_STG.4.1 автору ПЗ/ЗБ следует определить другие действия, предпринимаемые в случае сбоя хранения данных аудита, такие как информирование уполномоченного пользователя. Если нет никаких других действий, которые нужно предпринять в случае сбоя хранения данных аудита, то данное назначение может быть выполнено как "нет".