"ИТ.ОС.Б4.ПЗ. Методический документ. Профиль защиты операционных систем типа "Б" четвертого класса защиты" (утв. ФСТЭК России 11.05.2017)

Таблица 7.2 - События, подлежащие аудиту

Компонент

Событие

Детализация

FAU_GEN.1

Запуск и завершение выполнения функций аудита

FAU_GEN.1

Запись аудита для событий, связанных с истечением установленного администратором срока действия пароля

Идентификатор пользователя ОС

FMT_MOF.1

Все модификации политики аудита

FMT_MSA.1

Все модификации значений атрибутов безопасности, используемых для смены начальной аутентификационной информации пользователя ОС после однократного использования

Смена начальной аутентификационной информации пользователя ОС

FMT_MTD.1

Все модификации аутентификационной информации

Смена значений аутентификационной информации

FMT_MOF.1

FMT_MSA.1

Полнотекстовая запись привилегированных команд (команд, управляющих системными функциями)

Зависимости:

FPT_STM.1 Надежные метки времени.

FAU_SAR.1

Просмотр аудита

FAU_SAR.1.1

ФБО должны предоставлять [назначение: роли администраторов в соответствии с FMT_SMR.1] возможность читать [назначение: список информации аудита] из записей аудита.

FAU_SAR.1.2

ФБО должны предоставлять записи аудита в виде, позволяющем администратору воспринимать содержащуюся в них информацию.

Зависимости:

FAU_GEN.1 Генерация данных аудита.

FAU_SEL.1

Избирательный аудит

FAU_SEL.1.1

ФБО должны быть способны к осуществлению выбора совокупности событий, подвергающихся аудиту, из совокупности событий, потенциально подвергаемых аудиту, базируясь на следующих атрибутах:

а) идентификатор объекта доступа, идентификатор субъекта доступа, [выбор: идентификатор пользователя ОС, тип события];

б) [назначение: список дополнительных атрибутов, на которых основана избирательность аудита].

Зависимости:

FAU_GEN.1 Генерация данных аудита;

FMT_MTD.1 Управление данными ФБО.

FAU_STG.1

Защищенное хранение журнала аудита

FAU_STG.1.1

ФБО должны защищать хранимые записи аудита в журнале регистрации событий безопасности ОС от несанкционированного удаления.

FAU_STG.1.2

ФБО должны быть способны [выбор, (выбрать одно из):

предотвращать, выявлять] несанкционированную модификацию хранимых записей аудита в журнале регистрации событий безопасности ОС.

Зависимости:

FAU_GEN.1 Генерация данных аудита.

FAU_STG.3

Действия в случае возможной потери данных аудита

FAU_STG.3.1

ФБО должны выполнить [назначение: действия, которые нужно предпринять в случае возможного сбоя хранения журнала регистрации событий безопасности ОС], если журнал регистрации событий безопасности ОС превышает [назначение: принятое ограничение].

Зависимости:

FAU_STG.1 Защищенное хранение журнала аудита.

FAU_STG.4

Предотвращение потери данных аудита

FAU_STG.4.1

ФБО должны [выбор (выбрать одно из): игнорировать события, подвергающиеся аудиту; предотвращать события, подвергающиеся аудиту, исключая предпринимаемые уполномоченным привилегированным субъектом доступа; записывать поверх самых старых хранимых записей аудита; записывать действия уполномоченных привилегированных субъектов доступа поверх старых хранимых записей аудита] и [назначение: другие действия, которые нужно предпринять в случае возможного сбоя хранения журнала регистрации событий безопасности ОС] при переполнении журнала регистрации событий безопасности ОС.

Зависимости:

FAU_STG.1 Защищенное хранение журнала аудита.

7.1.1. Аудит безопасности (FAU) 7.1.2. Защита данных пользователя (FDP)