Information technology. Security techniques. Evaluation criteria for it security Security functional requirements

Вид материала

Документы

Содержание 7.2 Определение атрибутов пользователя (FIA_ATD) 7.3 Спецификация секретов (FIA_SOS) 7.4 Аутентификация пользователя (FIA_UAU)

Подобный материал:

• On international information security, 88.63kb.
• Dr. Web Security Space 0 Возможности решения, 216.05kb.
• Настройка eset nod32 Smart Security, 3.46kb.
• Tourist services. Requirements provided for tourist's security, 226.16kb.
• Tourist services. Requirements provided for tourist's security, 242.62kb.
• О проведении открытого запроса предложений, 45kb.
• Информационный бюллетень osint №22 ноябрь декабрь 2011, 7189.58kb.
• Задание параметров для групп пользователей Настройка шаблонов, 432.37kb.
• Темы конференции: Криптография. Актуальность в современном обществе. Современная киберпреступность, 20.64kb.
• Kaspersky Internet Security 2010: обзор продукта, 176.55kb.

7.2 Определение атрибутов пользователя (FIA_ATD)

Характеристика семейства

Все уполномоченные пользователи могут, помимо идентификатора пользователя, иметь другие атрибуты безопасности, применяемые при осуществлении ПБО. Семейство FIA_ATD определяет требования для ассоциации атрибутов безопасности с пользователями в соответствии с необходимостью поддержки ПБО.

Ранжирование компонентов


┌──────────────────────────────────┐ ┌───┐

│ FIA_ATD Определение атрибутов ├───┤ 1 │

│ пользователя │ └───┘

└──────────────────────────────────┘


FIA_ATD.1 "Определение атрибутов пользователя" позволяет поддерживать атрибуты безопасности пользователя для каждого пользователя индивидуально.

Управление FIA_ATD.1

Для функций управления из класса FMT могут рассматриваться следующие действия.

а) Уполномоченный администратор может быть способен определять дополнительные атрибуты безопасности для пользователей, если это указано в операции назначения.

Аудит: FIA_ATD.1

Нет идентифицированных действий/событий/параметров, для которых следует предусмотреть возможности аудита.

FIA_ATD.1 Определение атрибутов пользователя

Иерархический для: Нет подчиненных компонентов.

FIA_ATD.1.1 ФБО должны поддерживать для каждого пользователя следующий список атрибутов безопасности: [назначение: список атрибутов безопасности].

Зависимости: отсутствуют.

7.3 Спецификация секретов (FIA_SOS)

Характеристика семейства

Семейство FIA_SOS определяет требования к механизмам, которые реализуют определенную метрику качества для предоставляемых секретов и генерируют секреты, удовлетворяющие определенной метрике.

Ранжирование компонентов


┌───┐

┌──────────────────────────────────┐ ┌─┤ 1 │

│ FIA_SOS Спецификация секретов │ │ └───┘

│ ├─┤ ┌───┐

└──────────────────────────────────┘ └─┤ 2 │

└───┘


FIA_SOS.1 "Верификация секретов" содержит требование, чтобы ФБО верифицировали, отвечают ли секреты определенной метрике качества.

FIA_SOS.2 "Генерация секретов ФБО" содержит требование, чтобы ФБО были способны генерировать секреты, отвечающие определенной метрике качества.

Управление: FIA_SOS.1

Для функций управления из класса FMT может рассматриваться следующее действие.

а) Управление метрикой, используемой для верификации секретов.

Управление: FIA_SOS.2

Для функций управления из класса FMT может рассматриваться следующее действие.

а) Управление метрикой, используемой при генерации секретов.

Аудит: FIA_SOS.1, FIA_SOS.2

Если в ПЗ/ЗБ включено семейство FAU_GEN "Генерация данных аудита безопасности", то следует предусмотреть возможность (в зависимости от выбранного уровня) аудита следующих действий/событий/параметров.

а) Минимальный: отклонение ФБО любого проверенного секрета.

б) Базовый: отклонение или принятие ФБО любого проверенного секрета.

в) Детализированный: идентификация любых изменений заданных метрик качества.

FIA_SOS.1 Верификация секретов

Иерархический для: Нет подчиненных компонентов.

FIA_SOS.1.1 ФБО должны предоставить механизм для верификации того, что секреты отвечают [назначение: определенная метрика качества].

Зависимости: отсутствуют.

FIA_SOS.2 Генерация секретов ФБО

Иерархический для: Нет подчиненных компонентов.

FIA_SOS.2.1 ФБО должны предоставить механизм генерации секретов, отвечающих [назначение: определенная метрика качества].

FIA_SOS.2.2 ФБО должны быть способны использовать генерируемые ими секреты для [назначение: список функций ФБО].

Зависимости: отсутствуют.

7.4 Аутентификация пользователя (FIA_UAU)

Характеристика семейства

Семейство FIA_UAU определяет типы механизмов аутентификации пользователя, предоставляемые ФБО. Оно также определяет те атрибуты, на которых необходимо базировать механизмы аутентификации пользователя.

Ранжирование компонентов


┌───┐ ┌───┐

┌──────────┤ 1 ├──┤ 2 │

│ ┌───┐└───┘ └───┘

├─────┤ 3 │

│ └───┘┌───┐

├──────────┤ 4 │

┌──────────────────────────────────┐ │ ┌───┐└───┘

│ FIA_UAU Аутентификация │ ├─────┤ 5 │

│ пользователя ├─┤ └───┘┌───┐

└──────────────────────────────────┘ ├──────────┤ 6 │

│ ┌───┐└───┘

└─────┤ 7 │

└───┘


FIA_UAU.1 "Выбор момента аутентификации" позволяет пользователю выполнить некоторые действия до аутентификации пользователя.

FIA_UAU.2 "Аутентификация до любых действий пользователя" содержит требование, чтобы пользователи прошли аутентификацию прежде, чем ФБО даст им возможность предпринимать какие-либо действия.

FIA_UAU.3 "Аутентификация, защищенная от подделок" содержит требование, чтобы механизм аутентификации был способен выявить аутентификационные данные, которые были фальсифицированы или скопированы, и предотвратить их использование.

FIA_UAU.4 "Механизмы одноразовой аутентификации" содержит требование наличия механизма аутентификации, который оперирует аутентификационными данными одноразового использования.

FIA_UAU.5 "Сочетание механизмов аутентификации" содержит требование предоставления и применения различных механизмов аутентификации пользователей в особых случаях.

FIA_UAU.6 "Повторная аутентификация" содержит требование возможности определения событий, при которых необходима повторная аутентификация пользователя.

FIA_UAU.7 "Аутентификация с защищенной обратной связью" содержит требование, чтобы во время аутентификации пользователю предоставлялась строго ограниченная информация о ней.

Управление: FIA_UAU.1

Для функций управления из класса FMT могут рассматриваться следующие действия.

а) Управление аутентификационными данными администратором.

б) Управление аутентификационными данными пользователем, ассоциированным с этими данными.

в) Управление списком действий, которые могут быть предприняты до того, как пользователь аутентифицирован.

Управление: FIA_UAU.2

Для функций управления из класса FMT могут рассматриваться следующие действия.

а) Управление аутентификационными данными администратором.

б) Управление аутентификационными данными пользователем, ассоциированным с этими данными.

Управление: FIA_UAU.3, FIA_UAU.4, FIA_UAU.7

Действия по управлению не предусмотрены.

Управление: FIA_UAU.5

Для функций управления из класса FMT могут рассматриваться следующие действия.

а) Управление механизмами аутентификации.

б) Управление правилами аутентификации.

Управление: FIA_UAU.6

Для функций управления из класса FMT может рассматриваться следующее действие.

а) Управление запросом на повторную аутентификацию, если для уполномоченного администратора предусмотрена возможность такого запроса.

Аудит: FIA_UAU.1

Если в ПЗ/ЗБ включено семейство FAU_GEN "Генерация данных аудита безопасности", то следует предусмотреть возможность (в зависимости от выбранного уровня) аудита следующих действий/событий/параметров.

а) Минимальный: неуспешное использование механизма аутентификации.

б) Базовый: все случаи использования механизма аутентификации.

в) Детализированный: все действия при посредничестве ФБО до аутентификации пользователя.

Аудит: FIA_UAU.2

Если в ПЗ/ЗБ включено семейство FAU_GEN "Генерация данных аудита безопасности", то следует предусмотреть возможность (в зависимости от выбранного уровня) аудита следующих действий/событий/параметров.

а) Минимальный: неуспешное использование механизма аутентификации.

б) Базовый: все случаи использования механизма аутентификации.

Аудит: FIA_UAU.3

Если в ПЗ/ЗБ включено семейство FAU_GEN "Генерация данных аудита безопасности", то следует предусмотреть возможность (в зависимости от выбранного уровня) аудита следующих действий/событий/параметров.

а) Минимальный: обнаружение фальсифицированных аутентификационных данных.

б) Базовый: все безотлагательно предпринимаемые меры и результаты проверок на фальсифицированные данные.

Аудит: FIA_UAU.4

Если в ПЗ/ЗБ включено семейство FAU_GEN "Генерация данных аудита безопасности", то следует предусмотреть возможность (в зависимости от выбранного уровня) аудита следующих действий/событий/параметров.

а) Минимальный: попытки повторного использования аутентификационных данных.

Аудит: FIA_UAU.5

Если в ПЗ/ЗБ включено семейство FAU_GEN "Генерация данных аудита безопасности", то следует предусмотреть возможность (в зависимости от выбранного уровня) аудита следующих действий/событий/параметров.

а) Минимальный: итоговое решение аутентификации.

б) Базовый: результат действия каждого активизированного механизма вместе с итоговым решением.

Аудит: FIA_UAU.6

Если в ПЗ/ЗБ включено семейство FAU_GEN "Генерация данных аудита безопасности", то следует предусмотреть возможность (в зависимости от выбранного уровня) аудита следующих действий/событий/параметров.

а) Минимальный: неуспешная повторная аутентификация.

б) Базовый: все попытки повторной аутентификации.

Аудит: FIA_UAU.7

Нет идентифицированных действий/событий/параметров, для которых следует предусмотреть возможность аудита.

FIA_UAU.1 Выбор момента аутентификации

Иерархический для: Нет подчиненных компонентов.

FIA_UAU.1.1 ФБО должны допускать выполнение [назначение: список действий, выполняемых при посредничестве ФБО] от имени пользователя прежде, чем пользователь аутентифицирован.

FIA_UAU.1.2 ФБО должны требовать, чтобы каждый пользователь был успешно аутентифицирован до разрешения любого другого действия, выполняемого при посредничестве ФБО от имени этого пользователя.

Зависимости: FIA_UID.1 Выбор момента идентификации

FIA_UAU.2 Аутентификация до любых действий пользователя

Иерархический для: FIA_UAU.1

FIA_UAU.2.1 ФБО должны требовать, чтобы каждый пользователь был успешно аутентифицирован до разрешения любого действия, выполняемого при посредничестве ФБО от имени этого пользователя.

Зависимости: FIA_UID.1 Выбор момента идентификации

FIA_UAU.3 Аутентификация, защищенная от подделок

Иерархический для: Нет подчиненных компонентов.

FIA_UAU.3.1 ФБО должны [выбор: обнаруживать, предотвращать] применение любым пользователем ФБО аутентифицированных данных, которые были подделаны.

FIA_UAU.3.2 ФБО должны [выбор: обнаруживать, предотвращать] применение любым пользователем ФБО аутентифицированных данных, которые были скопированы у какого-либо другого пользователя ФБО.

Зависимости: отсутствуют.

FIA_UAU.4 Механизмы одноразовой аутентификации

Иерархический для: Нет подчиненных компонентов.

FIA_UAU.4.1 ФБО должны предотвращать повторное применение аутентификационных данных, связанных с [назначение: идентифицированный механизм (механизмы) аутентификации].

Зависимости: отсутствуют.

FIA_UAU.5 Сочетание механизмов аутентификации

Иерархический для: Нет подчиненных компонентов.

FIA_UAU.5.1 ФБО должны предоставлять [назначение: список сочетаемых механизмов аутентификации] для поддержки аутентификации пользователя.

FIA_UAU.5.2 ФБО должны аутентифицировать любой представленный идентификатор пользователя согласно [назначение: правила, описывающие, как сочетание механизмов аутентификации обеспечивает аутентификацию].

Зависимости: отсутствуют.

FIA_UAU.6 Повторная аутентификация

Иерархический для: Нет подчиненных компонентов.

FIA_UAU.6.1 ФБО должны повторно аутентифицировать пользователя при [назначение: список условий, при которых требуется повторная аутентификация].

Зависимости: отсутствуют.

FIA_UAU.7 Аутентификация с защищенной обратной связью

Иерархический для: Нет подчиненных компонентов.

FIA_UAU.7.1 ФБО должны предоставлять пользователю только [назначение: список допустимой информации обратной связи] во время выполнения аутентификации.

Зависимости: FIA_UAU.1 Выбор момента аутентификации