Information technology. Security techniques. Evaluation criteria for it security Security functional requirements

Вид материалаДокументы
7 Класс FIA. Идентификация и аутентификация
Рисунок 7.1 - Декомпозиция класса "Идентификация и аутентификация"
7.1 Отказы аутентификации (FIA_AFL)
Подобный материал:
1   ...   16   17   18   19   20   21   22   23   ...   78

7 Класс FIA. Идентификация и аутентификация



Семейства класса FIA содержат требования к функциям установления и верификации заявленного идентификатора пользователя.


┌──────────────────────────────┐

│Идентификация и аутентификация│

└───┬──────────────────────────┘

│ ┌──────────────────────────────────┐ ┌───┐

├─┤ FIA_AFL Отказы аутентификации ├───┤ 1 │

│ │ │ └───┘

│ └──────────────────────────────────┘

│ ┌──────────────────────────────────┐ ┌───┐

├─┤ FIA_ATD Определение атрибутов ├───┤ 1 │

│ │ пользователя │ └───┘

│ └──────────────────────────────────┘

│ ┌───┐

│ ┌──────────────────────────────────┐ ┌─┤ 1 │

├─┤ FIA_SOS Спецификация секретов │ │ └───┘

│ │ ├─┤ ┌───┐

│ └──────────────────────────────────┘ └─┤ 2 │

│ └───┘

│ ┌───┐ ┌───┐

│ ┌──────────┤ 1 ├──┤ 2 │

│ │ ┌───┐└───┘ └───┘

│ ├─────┤ 3 │

│ │ └───┘┌───┐

│ ├──────────┤ 4 │

│ ┌──────────────────────────────────┐ │ ┌───┐└───┘

├─┤ FIA_UAU Аутентификация │ ├─────┤ 5 │

│ │ пользователя ├─┤ └───┘┌───┐

│ └──────────────────────────────────┘ ├──────────┤ 6 │

│ │ ┌───┐└───┘

│ └─────┤ 7 │

│ └───┘

│ ┌──────────────────────────────────┐ ┌───┐ ┌───┐

├─┤FIA_UJD Идентификация пользователя├───┤ 1 ├──┤ 2 │

│ │ │ └───┘ └───┘

│ └──────────────────────────────────┘

│ ┌──────────────────────────────────┐ ┌───┐

└─┤ FIA_USB Связывание ├───┤ 1 │

│ пользователь-субъект │ └───┘

└──────────────────────────────────┘


Рисунок 7.1 - Декомпозиция класса "Идентификация и аутентификация"


Идентификация и аутентификация требуются для обеспечения ассоциации пользователей с соответствующими атрибутами безопасности (такими, как идентификатор, группы, роли, уровни безопасности или целостности).

Однозначная идентификация уполномоченных пользователей и правильная ассоциация атрибутов безопасности с пользователями и субъектами критичны для осуществления принятых политик безопасности. Семейства этого класса связаны с определением и верификацией идентификаторов пользователей, определением их полномочий на взаимодействие с ОО, а также с правильной ассоциацией атрибутов безопасности с каждым уполномоченным пользователем. Эффективность требований других классов (таких, как "Защита данных пользователя", "Аудит безопасности") во многом зависит от правильно проведенных идентификации и аутентификации пользователей.

Декомпозиция класса FDP на составляющие его компоненты приведена на рисунке 7.1.

7.1 Отказы аутентификации (FIA_AFL)



Характеристика семейства

Семейство FIA_AFL содержит требования к определению числа неуспешных попыток аутентификации и к действиям ФБО при превышении ограничений на неуспешные попытки аутентификации. Параметрами, определяющими возможное число попыток аутентификации, среди прочих могут быть количество попыток и допустимый интервал времени.

Ранжирование компонентов


┌──────────────────────────────────┐ ┌───┐

│ FIA_AFL Отказы аутентификации ├───┤ 1 │

│ │ └───┘

└──────────────────────────────────┘


FIA_AFL.1 "Обработка отказов аутентификации" содержит требование, чтобы ФБО были способны прервать процесс открытия сеанса после определенного числа неуспешных попыток аутентификации пользователя. Также требуется, чтобы после прерывания процесса открытия сеанса ФБО были бы способны блокировать учетные данные пользователя или место входа (например, рабочую станцию), с которого выполнялись попытки, до наступления определенного администратором условия.

Управление: FIA_AFL.1

Для функций управления из класса FMT могут рассматриваться следующие действия.

а) Управление ограничениями для неуспешных попыток аутентификации.

б) Управление действиями, предпринимаемыми при неуспешной аутентификации.

Аудит: FIA_AFL.1

Если в ПЗ/ЗБ включено семейство FAU_GEN "Генерация данных аудита безопасности", то следует предусмотреть возможность (в зависимости от выбранного уровня) аудита следующих действий/событий/параметров.

а) Минимальный: достижение ограничения неуспешных попыток аутентификации и предпринятые действия (например, блокирование терминала), а также, при необходимости, последующее восстановление нормального состояния (например, деблокирование терминала).

FIA_AFL.1 Обработка отказов аутентификации

Иерархический для: Нет подчиненных компонентов.

FIA_AFL.1.1 ФБО должны обнаруживать, когда произойдет [назначение: число] неуспешных попыток аутентификации, относящихся к [назначение: список событий аутентификации].

FIA_AFL.1.2 При достижении или превышении определенного числа неуспешных попыток аутентификации ФБО должны выполнить [назначение: список действий].

Зависимости: FIA_UAU.1 Выбор момента аутентификации