|
FIA_AFL.1 Обработка отказов аутентификации
|
|
FIA_AFL.1.1
|
ФБО должны обнаруживать, когда произойдет [выбор:
[назначение: положительное целое число];
устанавливаемое администратором положительное целое число в пределах [назначение: диапазон допустимых значений]
] неуспешных попыток аутентификации, относящихся к [назначение: список событий аутентификации].
|
|
FIA_AFL.1.2
|
При [выбор:
достижении;
превышении
] установленного числа неуспешных попыток аутентификации ФБО должны выполнить
[выбор:
блокирование доступа пользователя в ОО;
требование ввода пользователем дополнительной информации при невозможности ввода этой информации в автоматическом режиме
]
|
|
FIA_AFL.1.3
|
При истечении [назначение: интервал времени] от момента блокирования доступа пользователя в ОО по неуспешным попыткам аутентификации ФБО должны выполнить автоматическое разблокирование доступа пользователя в ОО.
|
|
Зависимости:
|
FIA_UAU.2 Аутентификация до любых действий пользователя.
|
|
FIA_ATD.1 Определение атрибутов пользователя
|
|
FIA_ATD.1.1
|
ФБО должны поддерживать для каждого пользователя следующий список атрибутов безопасности [назначение: список атрибутов безопасности].
Зависимости: отсутствуют.
|
|
FIA_IWS_EXT.1
|
Идентификация сессий веб-приложений
|
|
FIA_IWS_EXT.1.1
|
ФБО должны [уточнение:
определить минимальную длину идентификатора в размере 8 символов]
[выбор:
нет идентификации сессий веб-приложений;
исключать использование предсказуемых идентификаторов сессий;
|
|
исключать возможность повторного использования идентификатора сессии (в том числе использование одинаковых идентификаторов в нескольких сессиях одного пользователя, неизменность идентификатора сессии после повторной аутентификации пользователя);
|
|
исключать возможность использования идентификатора сессии после ее завершения;
|
|
исключать возможность раскрытия идентификаторов сессий, в том числе передачу идентификаторов в незашифрованном виде, а также включение идентификаторов в запись журналов регистрации событий, в сообщения об ошибках
].
|
|
Зависимости: отсутствуют.
|
|
FIA_SOS.1 Верификация секретов
|
|
FIA_SOS.1.1
|
ФБО должны предоставить механизм для верификации того, что секреты отвечают [назначение: определенная метрика качества].
|
|
Зависимости:
|
отсутствуют.
|
|
Замечание по применению:
|
|
Под метрикой качества в том числе следует понимать:
|
|
- ограничения на использование в алгоритмах аутентификации сужающих преобразований аутентификационных данных (например, приведение букв идентификатора пользователя и (или) пароля к одному регистру, ограничение количества значащих символов пароля);
- принудительное ограничение на минимальную сложность паролей (например, ограничение минимальной длины пароля, наличие символов различных классов, несовпадение пароля с идентификатором пользователя, несовпадение нового пароля с одним из ранее использовавшихся).
|
|
FIA_SOS.2 Генерация секретов ФБО
|
|
FIA_SOS.2.1
|
ФБО должны предоставить механизм генерации секретов, отвечающих [выбор:
нет генерации секретов
[назначение: определенная метрика качества]
].
|
|
FIA_SOS.2.2
|
ФБО должны ограничивать использование при генерации паролей единого первоначального пароля или формирование таких паролей по единому алгоритму, смену пароля пользователем без предварительной аутентификации, а также содержать механизм принудительной смены первоначального пароля при первом входе пользователя в ОО.
|
|
FIA_UAU.2 Аутентификация до любых действий пользователя
|
|
FIA_UAU.2.1
|
ФБО должны [выбор:
не требовать;
требовать
], чтобы каждый пользователь был успешно аутентифицирован до разрешения любого действия, выполняемого при посредничестве ФБО от имени этого пользователя.
|
|
Зависимости:
|
FIA_UID.1 Выбор момента идентификации.
|
|
FIA_UAU.4 Механизмы одноразовой аутентификации
|
|
FIA_UAU.4.1
|
ФБО должны предотвращать повторное применение аутентификационных данных, связанных с [назначение.
идентифицированный механизм (механизмы) аутентификации ].
|
|
Зависимости:
|
отсутствуют.
|
|
FIA_UAU.5 Сочетание механизмов аутентификации
|
|
FIA_UAU.5.1
|
ФБО должны предоставлять [назначение: список сочетаемых механизмов аутентификации] для поддержки аутентификации пользователя.
|
|
FIA_UAU.5.2
|
ФБО должны аутентифицировать представленный идентификатор пользователя согласно [назначение: правила, описывающие, как сочетание механизмов аутентификации обеспечивает аутентификацию].
|
|
Зависимости:
|
отсутствуют.
|
|
Замечания по применению:
|
|
1. Компонент предназначен для задания требований к функциональным возможностям ОО по поддержке многофакторной (двухфакторной) аутентификации.
2. В FIA_UAU.5.1 разработчик ЗБ указывает механизмы аутентификации, поддерживаемые ОО при многофакторной (двухфакторной) аутентификации.
3. В FIA_UAU.5.2 разработчик ЗБ указывает поддерживаемые правила сочетания механизмов аутентификации при многофакторной (двухфакторной) аутентификации.
|
|
FIA_UAU.6 Повторная аутентификация
|
|
FIA_UAU.6.1
|
ФБО должны повторно аутентифицировать пользователя при [назначение: список условий, при которых требуется повторная аутентификация] во время выполнения аутентификации.
|
|
FIA_UAU.7 Аутентификация с защищенной обратной связью
|
|
FIA_UAU.7.1
|
ФБО должны предоставлять пользователю только [назначение: список допустимой информации обратной связи] во время выполнения аутентификации.
|
|
Зависимости:
|
FIA_UAU.2 Аутентификация до любых действий пользователя.
|
|
Замечания по применению:
|
|
Во время ввода аутентификационной информации вводимые символы не должны отображаться. При конкретизации в ЗБ данного компонента указывается, что будет отображаться при вводе аутентификационной информации (условные знаки: точки, звездочки; количество введенных символов или др.).
|
|
FIA_UID.1 Выбор момента идентификации
|
|
FIA_UID.1.1
|
ФБО должны допускать [назначение: список действий, выполняемых при посредничестве ФБО] от имени пользователя прежде, чем он идентифицирован.
|
|
FIA_UID.1.2
|
ФБО должны требовать, чтобы каждый пользователь был успешно идентифицирован до разрешения любого другого действия, выполняемого при посредничестве ФБО от имени этого пользователя.
|
|
Зависимости:
|
отсутствуют.
|