"Методический документ. Профиль защиты прикладного программного обеспечения автоматизированных систем и приложений кредитных организаций и некредитных финансовых организаций" (утв. Банком России)

А.2.1. Идентификация сессий веб-приложений (FIA_IWS_EXT)

Характеристика семейства

Семейство FIA_IWS_EXT "Идентификация сессий веб-приложений" определяет компоненты требований, направленные на предотвращение некорректного использования и раскрытия идентификаторов сессий веб-приложений.

Ранжирование компонентов

FIA_IWS_EXT.1 "Идентификация сессий веб-приложений" предназначен для задания требований, связанных с предотвращением некорректного использования и раскрытия идентификаторов сессий веб-приложений.

Управление: FIA_IWS_EXT.1

Действия по управлению не определены.

Аудит: FIA_IWS_EXT.1

Действия или события, подвергаемые аудиту, не определены.

FIA_IWS_EXT.1 Идентификация сессий веб-приложений

Иерархический для: нет подчиненных компонентов.

Зависимости:

отсутствуют.

FIA_IWS_EXT.1.1 ФБО должны [выбор:

нет идентификации сессий веб-приложений;

исключать использование предсказуемых идентификаторов сессий;

исключать возможность повторного использования идентификатора сессии (в том числе использование одинаковых идентификаторов в нескольких сессиях одного пользователя, неизменность идентификатора сессии после повторной аутентификации пользователя);

исключать возможность использования идентификатора сессии после ее завершения;

исключать возможность раскрытия идентификаторов сессий, в том числе передачу идентификаторов в незашифрованном виде, а также включение идентификаторов в запись журналов регистрации событий, в сообщения об ошибках

].

А.2. Класс FIA "Идентификация и аутентификация" А.3. Класс FMT "Управление безопасностью"