"ИТ.СОВ.У4.ПЗ. Методический документ ФСТЭК России. Профиль защиты систем обнаружения вторжений уровня узла четвертого класса защиты" (утв. ФСТЭК России 03.02.2012)

Таблица 5.2. События, подлежащие аудиту

Таблица 5.2 - События, подлежащие аудиту

Компонент

Событие

Дополнительно регистрируемая информация

FAU_GEN.1

Запуск и завершение выполнения функций аудита. Доступ к ОО

Идентификатор объекта, вид запрашиваемого доступа

FAU_SAR.1

Чтение информации из записей аудита

FAU_SAR.2

Неуспешные попытки читать информацию из записей аудита

FMT_MOF.1

Все модификации режима выполнения функций, связанных со сбором данных о системе ИТ, их анализом и ответными реакциями

FMT_MTD.1

Все модификации данных СОВ, данных аудита и всех прочих данных ОО

FMT_SMR.1

Модификация группы пользователей - исполнителей роли

Идентификатор пользователя

FPT_TST.1

Выполнение и результаты самотестирования компонентов СОВ

FAU_GEN.2. Ассоциация идентификатора пользователя

FAU_GEN.2.1. ФБО должны быть способны ассоциировать каждое событие, потенциально подвергаемое аудиту, с идентификатором пользователя, который был инициатором этого события.

Зависимости: FAU_GEN.1 "Генерация данных аудита",

FIA_UID.1 "Выбор момента идентификации".

FAU_SAR.1. Просмотр аудита

FAU_SAR.1.1. ФБО должны предоставлять

[а) администратору безопасности;

б) [назначение: уполномоченные пользователи]]

возможность читать [назначение: список информации аудита] из записей аудита.

FAU_SAR.1.2. ФБО должны предоставлять записи аудита в виде, позволяющем пользователю воспринимать содержащуюся в них информацию.

Зависимости: FAU_GEN.1 "Генерация данных аудита".

FAU_SAR.2. Ограниченный просмотр аудита

FAU_SAR.2.1. ФБО должны запретить всем пользователям доступ к чтению записей аудита, за исключением пользователей, которым явно предоставлен доступ для чтения.

Зависимости: FAU_SAR.1 "Просмотр аудита".

FAU_SAR.3. Выборочный просмотр аудита

FAU_SAR.3.1. ФБО должны предоставлять возможность выполнить сортировку данных аудита, основанную на [следующих атрибутах:

а) дата и время;

б) идентификатор субъекта;

в) тип события;

г) результат события (успешный или неуспешный);

д) [назначение: другие атрибуты]].

Зависимости: FAU_SAR.1 "Просмотр аудита".

Замечания по применению: В ЗБ при выполнении второй операции "назначение" в FAU_SAR.3.1 следует указать критерии, основанные на комбинации атрибутов.

5.1.1.1. Аудит безопасности (FAU) 5.1.1.2. Управление безопасностью (FMT)