7.1.1. "ИТ.ОС.В4.ПЗ. Методический документ. Профиль защиты операционных систем типа "В" четвертого класса защиты" (утв. ФСТЭК России 11.05.2017)

FAU_GEN.1

Генерация данных аудита

FAU_GEN.1.1

ФБО должны быть способны генерировать запись аудита для следующих событий, потенциально подвергаемых аудиту:

а) запуск и завершение выполнения функций аудита;

б) все события, потенциально подвергаемые аудиту, на базовом уровне аудита;

в) [события, приведенные во втором столбце таблицы 7.2, а также [назначение: другие специально определенные события, потенциально подвергаемые аудиту]].

FAU_GEN.1.2

ФБО должны регистрировать в каждой записи аудита, по меньшей мере, следующую информацию:

а) дату и время события, тип события, идентификатор субъекта доступа (если применимо) и результат события (успешный или неуспешный);

б) для каждого типа событий, потенциально подвергаемых аудиту, из числа определенных в функциональных компонентах, которые включены в ПЗ и (или) ЗБ, [назначение: другая относящаяся к аудиту информация].

Зависимости:

FPT_STM.1 Надежные метки времени.

FAU_SAR.1

Просмотр аудита

FAU_SAR.1.1

ФБО должны предоставлять [назначение: роли администраторов в соответствии с FMT_SMR.1] возможность читать [назначение: список информации аудита] из записей аудита.

FAU_SAR.1.2

ФБО должны предоставлять записи аудита в виде, позволяющем администратору воспринимать содержащуюся в них информацию.

Зависимости:

FAU_GEN.1 Генерация данных аудита.

FAU_SEL.1

Избирательный аудит

FAU_SEL.1.1

ФБО должны быть способны к осуществлению выбора совокупности событий, подвергающихся аудиту, из совокупности событий, потенциально подвергаемых аудиту, базируясь на следующих атрибутах:

а) идентификатор объекта доступа, идентификатор субъекта доступа, [выбор: идентификатор пользователя ОС, тип события];

б) [назначение: список дополнительных атрибутов, на которых основана избирательность аудита].

Зависимости:

FAU_GEN.1 Генерация данных аудита;

FMT_MTD.1 Управление данными ФБО.

FAU_STG.1

Защищенное хранение журнала аудита

FAU_STG.1.1

ФБО должны защищать хранимые записи аудита в журнале регистрации событий безопасности ОС от несанкционированного удаления.

FAU_STG.1.2

ФБО должны быть способны [выбор, (выбрать одно из): предотвращать, выявлять] несанкционированную модификацию хранимых записей аудита в журнале регистрации событий безопасности ОС.

Зависимости:

FAU_GEN.1 Генерация данных аудита.

FAU_STG.3

Действия в случае возможной потери данных аудита

FAU_STG.3.1

ФБО должны выполнить [назначение: действия, которые нужно предпринять в случае возможного сбоя хранения журнала регистрации событий безопасности ОС], если журнал регистрации событий безопасности ОС превышает [назначение: принятое ограничение].

Зависимости:

FAU_STG.1 Защищенное хранение журнала аудита.

FAU_STG.4

Предотвращение потери данных аудита

FAU_STG.4.1

ФБО должны [выбор (выбрать одно из): "предотвращать события, подвергающиеся аудиту, исключая предпринимаемые уполномоченным привилегированным субъектом доступа", "записывать поверх самых старых хранимых записей аудита", "записывать действия уполномоченных привилегированных субъектов доступа поверх старых хранимых записей аудита"], обеспечивать возможность передавать данные аудита для внешнего хранения и [назначение: другие действия, которые нужно предпринять в случае возможного сбоя хранения журнала регистрации событий безопасности ОС] при переполнении журнала регистрации событий безопасности ОС.

Зависимости:

FAU_STG.1 Защищенное хранение журнала аудита.