Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Приложение G
(обязательное)
Идентификация и аутентификация (FIA)
Общим требованием безопасности является однозначная идентификация лица и/или объекта, выполняющего в ОО определенные функции. Это предполагает не только установление заявленного идентификатора каждого пользователя, но также и верификацию того, что каждый пользователь действительно тот, за кого он себя выдает. Это достигается тем, что от пользователей требуется предоставлять ФБО некоторую информацию, которая, по сведениям ФБО, действительно ассоциирована с ними.
Семейства класса FIA определяют требования к функциям, устанавливающим и верифицирующим заявленный идентификатор каждого пользователя. Идентификация и аутентификация требуются для обеспечения ассоциации пользователей с соответствующими атрибутами безопасности (такими, как идентификатор, группы, роли, уровни безопасности или целостности).
Однозначная идентификация уполномоченных пользователей и правильная ассоциация атрибутов безопасности с пользователями и субъектами критичны для осуществления определенных политик безопасности.
Семейство FIA_UID "Идентификация пользователя" предназначено для определения идентификатора пользователя.
Семейство FIA_UAU "Аутентификация пользователя" предназначено для верификации идентификатора пользователя.
Семейство FIA_AFL "Отказы аутентификации" предназначено для определения ограничений на число повторных неуспешных попыток аутентификации.
Семейство FIA_ATD "Определение атрибутов пользователя" предназначено для определения атрибутов пользователей, применяемых при осуществлении ПБО.
Семейство FIA_USB "Связывание пользователь-субъект" предназначено для корректной ассоциации атрибутов безопасности для каждого уполномоченного пользователя.
Семейство FIA_SOS "Спецификация секретов" предназначено для генерации и верификации секретов, удовлетворяющих установленной метрике.
Декомпозиция класса FDP на составляющие его компоненты приведена на рисунке G.1.
G.1. Отказы аутентификации (FIA_AFL)
G.1.1. Замечания для пользователя
Семейство FIA_AFL содержит требования по определению числа попыток аутентификации и действиям ФБО в случае их неудачи. Параметрами, определяющими возможное число попыток аутентификации, среди прочих могут быть количество попыток и допустимый интервал времени.
Процесс открытия сеанса пользователя предусматривает взаимодействие с пользователем, позволяющее открыть сеанс и независимое от фактической реализации. Если число неуспешных попыток аутентификации превысило установленное значение, то блокируются учетные данные пользователя и/или терминал, с которого выполнялись запросы. Если учетные данные пользователя заблокированы, то он не может войти в систему. Если заблокирован терминал, то он (или его адрес) не может быть использован для входа в систему. Эта ситуация сохранится, пока условия для повторения попыток открытия сеанса не будут удовлетворены.
G.1.2. FIA_AFL.1 Обработка отказов аутентификации
G.1.2.1. Замечания по применению для пользователя
Автор ПЗ/ЗБ может либо установить число неуспешных попыток аутентификации, либо доверить это разработчику ОО или уполномоченному пользователю. Подсчет неуспешных попыток аутентификации должен быть связан не с последовательностью их возникновения, а с каким-либо событием аутентификации. Таким событием может быть число неуспешных попыток с момента последнего сеанса, успешно открытого с данного терминала.
Автор ПЗ/ЗБ может определить список действий, которые должны предприниматься ФБО в случае отказа аутентификации. Уполномоченному администратору также может быть разрешено управлять этими событиями, если такую возможность предусмотрел автор ПЗ/ЗБ. Такими действиями, среди прочих, могут быть: отключение терминала, отключение учетных данных пользователя или подача сигнала тревоги администратору. Условия, при которых произойдет возвращение к обычному режиму работы, необходимо специфицировать через действия.
Чтобы предотвратить полную невозможность обслуживания, в ОО обычно обеспечивается невозможность блокирования учетных данных, по меньшей мере, одного пользователя.
Автор ПЗ/ЗБ может устанавливать иные действия для ФБО, относящиеся в том числе и к правилам деблокирования процесса открытия сеанса пользователя или подаче сигнала тревоги администратору. Примерами таких действий являются: до истечения установленного времени; пока уполномоченный администратор вновь не деблокирует терминал или учетные данные пользователя; до истечения времени, связанного с предыдущими неуспешными попытками (например, после каждой неуспешной попытки время блокирования удваивается).
G.1.2.2. Операции
G.1.2.2.1. Выбор
В FIA_AFL.1.1 автор ПЗ/ЗБ должен выбрать или назначение положительного целого числа, или фразу "устанавливаемое администратором положительное целое число", определив диапазон допустимых значений.
Рисунок G.1. Декомпозиция класса FIA "Идентификация и аутентификация"
G.1.2.2.2. Назначение
В FIA_AFL.1.1 автору ПЗ/ЗБ следует специфицировать события аутентификации. Примерами являются: число неуспешных попыток аутентификации для данного идентификатора пользователя с момента последней успешной попытки; число неуспешных попыток аутентификации для данного терминала с момента последней успешной попытки; число неуспешных попыток аутентификации за последние 10 мин. Необходимо указать, по меньшей мере, одно событие аутентификации.
В FIA_AFL.1.1, если выбрано назначение положительного целого числа, автору ПЗ/ЗБ следует специфицировать задаваемое по умолчанию число (положительное целое) неуспешных попыток аутентификации, при достижении или превышении которого будут инициироваться определенные действия.
В FIA_AFL.1.1, если выбрано "устанавливаемое администратором положительное целое число", то автору ПЗ/ЗБ следует специфицировать диапазон допустимых значений, из которого администратор ОО может установить количество неудачных попыток аутентификации. Количество неудачных попыток аутентификации должно быть меньше или равняться значению верхней границы и больше или равняться значению нижней границы диапазона.
G.1.2.2.3. Выбор
В FIA_AFL.1.2 автор ПЗ/ЗБ должен выбрать, будет ли достижение или превышение предельного значения числа неудачных попыток аутентификации приводить к какому-либо действию со стороны ФБО.
G.1.2.2.4. Назначение
В FIA_AFL.1.2 автору ПЗ/ЗБ следует специфицировать действия, предпринимаемые в случае достижения или превышения предельного значения числа попыток аутентификации, которые были выбраны. Такими действиями могут быть: блокирование учетных данных на 5 мин., блокирование терминала на увеличивающийся интервал времени (число секунд, равное , где n - число неуспешных попыток) или блокирование с уведомлением администратора учетных данных вплоть до его снятия администратором. В описании действий следует указать принимаемые меры и срок их действия (или условия прекращения действия этих мер).
G.2. Определение атрибутов пользователя (FIA_ATD)
G.2.1. Замечания для пользователя
Все уполномоченные пользователи могут, помимо идентификатора пользователя, иметь другие атрибуты безопасности, применяемые при осуществлении ФТБ. Семейство FIA_ATD определяет требования для ассоциации атрибутов безопасности с пользователями в соответствии с необходимостью поддержки ФТБ при принятии решений, связанных с безопасностью.
Существуют зависимости от определений отдельных политик безопасности (ПФБ). Следует, чтобы такие определения содержали списки атрибутов, необходимых для осуществления политики.
G.2.2. FIA_ATD.1 Определение атрибутов пользователя
G.2.2.1. Замечания по применению для пользователя
Компонент FIA_ATD.1 специфицирует атрибуты безопасности, которые следует поддерживать на уровне пользователя. Это означает, что назначение и возможное изменение атрибутов безопасности, указанных в списке, осуществляется на уровне пользователя (т.е. для каждого пользователя индивидуально). Иными словами, не следует, чтобы изменение атрибутов из списка, ассоциированного с каким-либо пользователем, влияло на атрибуты безопасности других пользователей.
Если атрибуты безопасности принадлежат группе пользователей (например, список возможностей группы), пользователю потребуется иметь ссылку (как атрибут безопасности) на соответствующую группу.
G.2.2.2. Операции
G.2.2.2.1. Назначение
В FIA_ATD.1.1 автору ПЗ/ЗБ следует специфицировать атрибуты безопасности, ассоциируемые с каждым отдельным пользователем. Примером может служить список, включающий в себя атрибуты "уровень допуска", "идентификатор группы", "права".
G.3. Спецификация секретов (FIA_SOS)
G.3.1. Замечания для пользователя
Семейство FIA_SOS определяет требования к механизмам, которые реализуют определенную метрику качества для предоставляемых секретов и генерируют секреты, удовлетворяющие определенной метрике. Примерами таких механизмов могут быть автоматическая проверка предоставляемых пользователями паролей или автоматическая генерация паролей.
Секреты могут генерироваться вне ОО, например выбираться пользователями и вводиться в систему. При этом может быть использован компонент FIA_SOS.1 "Верификация секретов" для обеспечения соответствия секретов, сгенерированных вне системы, конкретным условиям, таким как минимально допустимый размер, отсутствие в словаре и/или неприменение ранее.
Секреты могут также генерироваться самим ОО. В этом случае требование, чтобы сгенерированные ОО секреты соответствовали специфицированной метрике, обеспечивается компонентом FIA_SOS.2 "Генерация секретов ФБО".
Секреты, рассматриваемые в данном семействе, содержат аутентификационные данные, предъявляемые пользователем механизму аутентификации, основанному на сведениях, которыми располагает пользователь. Когда используются криптографические ключи, вместо этого семейства следует использовать семейства класса FCS "Криптографическая поддержка".
G.3.2. FIA_SOS.1 Верификация секретов
G.3.2.1. Замечания по применению для пользователя
Секреты могут создаваться пользователем. Компонент FIA_SOS.1 обеспечивает возможность верификации соответствия секретов, созданных пользователем, определенной метрике качества.
G.3.2.2. Операции
G.3.2.2.1. Назначение
В FIA_SOS.1.1 автору ПЗ/ЗБ следует предоставить определенную метрику качества. Эта метрика может быть специфицирована как собственно описание проверки качества или как ссылка на государственный стандарт, определяющий метрики качества, соответствие которым необходимо для секретов. К примерам метрик качества можно отнести описание допустимых символьных структур секретов и/или описание допустимых размеров секретов.
G.3.3. FIA_SOS.2 Генерация секретов ФБО
G.3.3.1. Замечания по применению для пользователя
Компонент FIA_SOS.2 позволяет ФБО генерировать секреты для специальных функций, таких как аутентификация по паролю.
Если в алгоритме генерации секретов используется генератор псевдослучайных чисел, на его вход следует подавать произвольные величины, что предоставляло бы высокую степень непредсказуемости выходных данных. Эти произвольные величины могут быть получены из таких доступных параметров системы, как системные часы, значения системных регистров, дата, время и т.д. Эти параметры следует выбирать с таким расчетом, чтобы количество произвольных величин, которое можно из них получить, было бы не меньше минимального числа секретов, которые необходимо сгенерировать.
G.3.3.2. Операции
G.3.3.2.1. Назначение
В FIA_SOS.2.1 автору ПЗ/ЗБ следует предоставить определенную метрику качества. Эта метрика может быть специфицирована как собственно описание проверки качества или как ссылка на государственный стандарт, определяющий метрики качества, соответствие которым необходимо для секретов. К примерам метрик качества относятся описание допустимых символьных структур секретов и/или допустимых размеров секретов.
В FIA_SOS.2.2 автору ПЗ/ЗБ следует представить список функций из числа ФБО, для которых необходимо использовать секреты, генерируемые ФБО. Примером такой функции может служить механизм аутентификации по паролю.
G.4. Аутентификация пользователя (FIA_UAU)
G.4.1. Замечания для пользователя
Семейство FIA_UAU определяет типы механизмов аутентификации пользователя, предоставляемые ФБО. Оно также определяет те атрибуты, на которых необходимо базировать механизмы аутентификации пользователя.
G.4.2. FIA_UAU.1 Выбор момента аутентификации
G.4.2.1. Замечания по применению для пользователя
Компонент FIA_UAU.1 содержит требование, чтобы автор ПЗ/ЗБ определил список действий, которые выполняются при посредничестве ФБО и допускаются ФБО от имени пользователя до того, как будет произведена аутентификация пользователя. Эти действия, выполняемые при посредничестве ФБО, с точки зрения безопасности не имеют отношения к пользователям, неверно идентифицировавшим себя до аутентификации. Все прочие действия, выполняемые при посредничестве ФБО и не включенные в этот список, разрешаются пользователю только после завершения аутентификации.
Этот компонент не применим для разрешения каких-либо действий до выполнения идентификации. Для этого необходимо использовать либо FIA_UID.1 "Выбор момента идентификации", либо FIA_UID.2 "Идентификация до любого действия пользователя" с соответствующими назначениями.
G.4.2.2. Операции
G.4.2.2.1. Назначение
В FIA_UAU.1.1 автору ПЗ/ЗБ следует специфицировать список любых других действий, выполняемых при посредничестве ФБО от имени пользователя прежде, чем завершится аутентификация пользователя. Этот список не может быть пустым. Если таких действий нет, следует вместо этого компонента использовать компонент FIA_UAU.2 "Аутентификация до любых действий пользователя". Примером таких действий может служить запрос о помощи при выполнении процедуры логического входа в систему.
G.4.3. FIA_UAU.2 Аутентификация до любых действий пользователя
G.4.3.1. Замечания по применению для пользователя
Компонент FIA_UAU.2 содержит требование завершения аутентификации пользователя до выполнения любых действий при посредничестве ФБО от имени этого пользователя.
G.4.4. FIA_UAU.3 Аутентификация, защищенная от подделок
G.4.4.1. Замечания по применению для пользователя
Компонент FIA_UAU.3 содержит требования к механизмам, предоставляющим защиту аутентификационных данных. Аутентификационные данные, заимствованные у другого пользователя или полученные незаконным способом, следует обнаружить и/или отвергнуть. Эти механизмы предоставляют уверенность, что пользователи, аутентифицированные ФБО, действительно те, кем они представляются.
Этот компонент применим только для механизмов аутентификации, основанных на уникальных аутентификационных данных (например, биометрических). ФБО не смогут обнаружить и предотвратить тиражирование пароля за пределами ОДФ.
G.4.4.2. Операции
G.4.4.2.1. Выбор
В FIA_UAU.3.1 автору ПЗ/ЗБ следует специфицировать, будут ли ФБО обнаруживать и/или предотвращать подделку данных аутентификации.
В FIA_UAU.3.2 автору ПЗ/ЗБ следует специфицировать, будут ли ФБО обнаруживать и/или предотвращать копирование данных аутентификации.
G.4.5. FIA_UAU.4 Механизмы одноразовой аутентификации
G.4.5.1. Замечания по применению для пользователя
Компонент FIA_UAU.4 содержит требования к механизмам аутентификации, основанным на аутентификационных данных одноразового использования. В качестве таких данных может использоваться то, что пользователь имеет или знает, но не свойства самого пользователя. Примеры одноразовых данных аутентификации пользователя: одноразовые пароли, зашифрованные метки времени, случайные числа секретной таблицы преобразований.
Автор ПЗ/ЗБ может определить, к какому механизму(ам) аутентификации применимы эти требования.
G.4.5.2. Операции
G.4.5.2.1. Назначение
В FIA_UAU.4.1 автору ПЗ/ЗБ следует привести список механизмов аутентификации, к которым применяется это требование. Назначением может быть: "все механизмы аутентификации". Примером назначения может быть: "механизмы аутентификации, используемые для аутентификации пользователей во внешней сети".
G.4.6. FIA_UAU.5 Сочетание механизмов аутентификации
G.4.6.1. Замечания по применению для пользователя
Применение компонента FIA_UAU.5 позволяет специфицировать требования к применению нескольких механизмов аутентификации в ОО. Требования, применяемые к каждому отдельному механизму, необходимо выбирать из класса FIA "Идентификация и аутентификация". Чтобы отразить разные требования к разным механизмам аутентификации, можно многократно использовать один и тот же выбранный компонент.
Для обеспечения возможностей механизмов аутентификации, а также правил, определяющих успешность аутентификации, можно привлекать функции управления из класса FMT.
Для разрешения анонимным пользователям взаимодействовать с ОО можно ввести механизм аутентификации типа "отсутствие аутентификации". Использование доступа такого типа следует четко разъяснить в правилах FIA_UAU.5.2.
G.4.6.2. Операции
G.4.6.2.1. Назначение
В FIA_UAU.5.1 автору ПЗ/ЗБ следует определить предоставляемые механизмы аутентификации. Примером списка механизмов может служить: "отсутствие аутентификации, механизм пароля, биометрия (сканирование сетчатки), механизм ключа шифрования".
В FIA_UAU.5.2 автору ПЗ/ЗБ следует специфицировать правила, описывающие, как механизмы аутентификации обеспечивают аутентификацию и когда используется каждый из них. Это значит, что для любой возможной ситуации необходимо указать совокупность механизмов, которые могли бы использоваться для аутентификации. Пример такого правила: "Для аутентификации пользователей, имеющих особые права доступа, должны совместно использоваться механизм пароля и биометрия, причем аутентификация успешна при успешной аутентификации каждым механизмом; для аутентификации остальных пользователей должен использоваться только механизм пароля".
Автор ПЗ/ЗБ может задать ограничения, в пределах которых уполномоченному администратору разрешено специфицировать конкретные правила. Пример правила: "аутентификация пользователя всегда должна производиться посредством аппаратного ключа; администратор может специфицировать дополнительные механизмы аутентификации, которые также необходимо использовать". Автор ПЗ/ЗБ может и не специфицировать ограничения, а оставить выбор механизмов аутентификации и их правил полностью на усмотрение уполномоченного администратора.
G.4.7. FIA_UAU.6 Повторная аутентификация
G.4.7.1. Замечания по применению для пользователя
В компоненте FIA_UAU.6 рассматривается потенциальная потребность повторной аутентификации пользователей в определенные моменты времени. Такая потребность может возникнуть при обращении пользователя к ФБО с запросом о выполнении действий, критичных по безопасности, а также при запросах о повторной аутентификации, исходящих от сущностей, не связанных с ФБО, например от серверного приложения, которое запрашивает от ФБО повторную аутентификацию обслуживаемого клиента.
G.4.7.2. Операции
G.4.7.2.1. Назначение
В FIA_UAU.6.1 автору ПЗ/ЗБ следует привести список условий, требующих повторной аутентификации. Этот список может включать в себя завершение периода времени, выделенного пользователю, запрос пользователя в целях изменения действующих атрибутов безопасности или запрос пользователя к ФБО в целях выполнения некоторых критичных функций безопасности.
Автор ПЗ/ЗБ может задать пределы, в которых следует допускать повторную аутентификацию, оставив их детализацию на усмотрение уполномоченного администратора. Пример подобного правила: "пользователь должен проходить повторную аутентификацию не реже одного раза в сутки; администратор может потребовать более частую повторную аутентификацию, но не чаще одного раза в 10 мин".
G.4.8. FIA_UAU.7 Аутентификация с защищенной обратной связью
G.4.8.1. Замечания по применению для пользователя
В компоненте FIA_UAU.7 рассматривается обратная связь с пользователем в процессе аутентификации. В некоторых системах обратная связь выражается в том, что пользователю сообщается количество набранных им символов, но сами символы скрываются, в других системах даже эта информация может считаться неприемлемой.
Этот компонент содержит требование, чтобы аутентификационные данные не возвращались пользователю в первоначальном виде. В рабочих станциях принято представлять набранные символы пароля условными знаками (например, звездочками).
G.4.8.2. Операции
G.4.8.2.1. Назначение
В FIA_UAU.7.1 автору ПЗ/ЗБ следует определить вид обратной связи с пользователем при проведении аутентификации. Примером такого назначения может служить: "число набранных символов", другой тип обратной связи - "механизм аутентификации, через который не удалось осуществить аутентификацию".
G.5. Идентификация пользователя (FIA_UID)
G.5.1. Замечания для пользователя
Семейство FIA_UID определяет условия, при которых от пользователей требуется собственная идентификация до выполнения при посредничестве ФБО каких-либо иных действий, требующих идентификации пользователя.
G.5.2. FIA_UID.1 Выбор момента идентификации
G.5.2.1. Замечания по применению для пользователя
Компонент FIA_UID.1 устанавливает требования по идентификации пользователей. Автор ПЗ/ЗБ может указать конкретные действия, которые могут быть выполнены до завершения идентификации.
При использовании компонента упоминаемые в нем действия, которые допускается выполнять при посредничестве ФБО до идентификации, следует также привести и в компоненте FIA_UAU.1 "Выбор момента аутентификации".
G.5.2.2. Операции
G.5.2.2.1. Назначение
В FIA_UID.1.1 автору ПЗ/ЗБ следует специфицировать список действий, выполняемых при посредничестве ФБО от имени пользователя до его собственной идентификации. Этот список не может быть пустым. Если приемлемых действий нет, следует вместо этого компонента использовать компонент FIA_UID.2 "Идентификация до любого действия пользователя". Примером таких действий может служить запрос о помощи при выполнении процедуры логического входа в систему.
G.5.3. FIA_UID.2 Идентификация до любых действий пользователя
G.5.3.1. Замечания по применению для пользователя
Компонент FIA_UID.2 содержит требование идентификации пользователей. До идентификации пользователя ФБО не допускают выполнение им никаких действий.
G.6. Связывание пользователь-субъект (FIA_USB)
G.6.1. Замечания для пользователя
Для работы с ОО аутентифицированный пользователь обычно активизирует какой-либо субъект. Тогда атрибуты безопасности этого пользователя ассоциируются (полностью или частично) с этим субъектом. Семейство FIA_USB определяет требования по созданию и сопровождению ассоциации атрибутов безопасности пользователя с субъектом, действующим от имени пользователя.
G.6.2. FIA_USB.1 Связывание пользователь-субъект
G.6.2.1. Замечания по применению для пользователя
Выражение "действующий от имени", использовавшееся и ранее, требует некоторых пояснений. Установлено, что субъект действует от имени пользователя, создавшего субъект или активизировавшего его для решения некоторой задачи. Поэтому, когда субъект создается, то он действует от имени пользователя, инициировавшего его создание. Если пользователь предпочитает анонимность, субъект также действует от его имени, но идентификатор этого пользователя неизвестен. Особую категорию составляют субъекты, которые обслуживают нескольких пользователей (например, серверный процесс). Тогда "владельцем" этого субъекта считается пользователь, создавший его.
G.6.2.2. Операции
G.6.2.2.1. Назначение
В FIA_USB.1 автору ПЗ/ЗБ следует специфицировать список атрибутов безопасности пользователя, которые должны быть связаны с субъектами.
В FIA_USB.1.2 автору ПЗ/ЗБ следует специфицировать какие-либо правила, которые должны применяться по отношению к исходной ассоциации атрибутов с субъектами, или слово "нет".
В FIA_USB.1.3 автору ПЗ/ЗБ следует специфицировать какие-либо правила, которые должны применяться при внесении изменений в атрибуты безопасности пользователей, связанные с субъектами, действующими от имени пользователей, или слово "нет".
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.