7.1.1. Аудит безопасности (FAU)
FAU_GEN.1
|
Генерация данных аудита
|
FAU_GEN.1.1
|
ФБО должны быть способны генерировать запись аудита для следующих событий, потенциально подвергаемых аудиту:
а) запуск и завершение выполнения функций аудита;
б) все события, потенциально подвергаемые аудиту, на базовом уровне аудита;
в) [события, приведенные во втором столбце таблицы 7.2, а также [назначение: другие специально определенные события, потенциально подвергаемые аудиту]].
|
FAU_GEN.1.2
|
ФБО должны регистрировать в каждой записи аудита, по меньшей мере, следующую информацию:
а) дату и время события, тип события, идентификатор субъекта доступа (если применимо) и результат события (успешный или неуспешный);
б) для каждого типа событий, потенциально подвергаемых аудиту, из числа определенных в функциональных компонентах, которые включены в ПЗ и (или) ЗБ, [назначение: другая относящаяся к аудиту информация].
|
Таблица 7.2 - События, подлежащие аудиту
Компонент
|
Событие
|
Детализация
|
FAU_GEN.1
|
Запуск и завершение выполнения функций аудита
|
|
FAU_GEN.1
|
Запись аудита для событий, связанных с истечением установленного администратором срока действия пароля
|
Идентификатор пользователя ОС
|
FAU_GEN.1
|
Запись аудита для событий, связанных с истечением установленного администратором срока действия идентификатора пользователя ОС (учетной записи)
|
Идентификатор пользователя ОС (учетной записи)
|
FMT_MOF.1
|
Все модификации политики аудита
|
|
FMT_MSA.1
|
Все модификации значений атрибутов безопасности, используемых для смены начальной аутентификационной информации пользователя ОС после однократного использования
|
Смена начальной аутентификационной информации пользователя ОС
|
FMT_MTD.1
|
Все модификации аутентификационной информации
|
Смена значений аутентификационной информации
|
FMT_MOF.1
FMT_MSA.1
|
Полнотекстовая запись привилегированных команд (команд, управляющих системными функциями)
|
Зависимости:
|
FPT_STM.1 Надежные метки времени.
|
FAU_SAR.1
|
Просмотр аудита
|
FAU_SAR.1.1
|
ФБО должны предоставлять [назначение: роли администраторов в соответствии с FMT_SMR.1] возможность читать [назначение: список информации аудита] из записей аудита.
|
FAU_SAR.1.2
|
ФБО должны предоставлять записи аудита в виде, позволяющем администратору воспринимать содержащуюся в них информацию.
|
Зависимости:
|
FAU_GEN.1 Генерация данных аудита.
|
FAU_SEL.1
|
Избирательный аудит
|
FAU_SEL.1.1
|
ФБО должны быть способны к осуществлению выбора совокупности событий, подвергающихся аудиту, из совокупности событий, потенциально подвергаемых аудиту, базируясь на следующих атрибутах:
а) идентификатор объекта доступа, идентификатор субъекта доступа, [выбор: идентификатор пользователя ОС, тип события];
|
Зависимости:
|
FAU_GEN.1 Генерация данных аудита;
FMT_MTD.1 Управление данными ФБО.
|
FAU_STG.1
|
Защищенное хранение журнала аудита
|
FAU_STG.1.1
|
ФБО должны защищать хранимые записи аудита в журнале регистрации событий безопасности ОС от несанкционированного удаления.
|
FAU_STG.1.2
|
ФБО должны быть способны [выбор, (выбрать одно из): предотвращать, выявлять] несанкционированную модификацию хранимых записей аудита в журнале регистрации событий безопасности ОС.
|
Зависимости:
|
FAU_GEN.1 Генерация данных аудита.
|
FAU_STG.3
|
Действия в случае возможной потери данных аудита
|
FAU_STG.3.1
|
ФБО должны выполнить [назначение: действия, которые нужно предпринять в случае возможного сбоя хранения журнала регистрации событий безопасности ОС], если журнал регистрации событий безопасности ОС превышает [назначение: принятое ограничение].
|
Зависимости:
|
FAU_STG.1 Защищенное хранение журнала аудита.
|
FAU_STG.4
|
Предотвращение потери данных аудита
|
FAU_STG.4.1
|
ФБО должны [выбор (выбрать одно из): игнорировать события, подвергающиеся аудиту; предотвращать события, подвергающиеся аудиту, исключая предпринимаемые уполномоченным привилегированным субъектом доступа; записывать поверх самых старых хранимых записей аудита; записывать действия уполномоченных привилегированных субъектов доступа поверх старых хранимых записей аудита] и [назначение: другие действия, которые нужно предпринять в случае возможного сбоя хранения журнала регистрации событий безопасности ОС] при переполнении журнала регистрации событий безопасности ОС.
|
Зависимости:
|
FAU_STG.1 Защищенное хранение журнала аудита.
|