Mục đích: Giám sát, bắt giữ, lưu trữ, phân tích và báo cáo thông tin liên quan đến các sự kiện an toàn.
Chức năng:
• Vừa là thúc đẩy vừa cản trở. Một số họ FAU tập trung vào việc ngăn cản những rắc rối an toàn bằng cách phát hiện ra những vi phạm an toàn tiềm năng hay thực sự, sắp sảy ra.
• Những họ FAU khác hỗ trợ phân tích, báo cáo, lưu trữ và ghi nhật trình truyền thống của những dữ liệu vết kiểm toán sau khi một sự việc xảy ra.
Lớp này bao gồm 06 họ sau đây:
1. Họ đáp trả tự động kiểm toán an toàn: Chức năng của nó là xác định hành động cần thực hiện trước những vi phạm an toàn tiềm năng. Họ này được ký hiệu là FAU_ARP.
Họ này chỉ gồm có 01 thành phần có tên là báo động an toàn và ký hiệu là FAU_ARP.1 : chức năng an toàn TOE (TSF) sẽ thực hiện các hành động thích hợp khi phát hiện thấy có những tổn thương tiềm tàng đến sự an toàn để ngăn cản khả năng xảy ra những nguy cơ đó.
2. Họ sinh dữ liệu kiểm toán an toàn: Chức năng của nó là xác định xem những sự kiện an toàn nào cần phải ghi lại. Họ này được ký hiệu là FAU_GEN. Họ này gồm có 02 thành phần :
• Sinh dữ liệu kiểm toán (FAU_GEN.1) : xác định mức độ các sự kiện có thể kiểm toán và đặc tả danh sách giữ liệu sẽ được ghi lại.
• Liên kết danh tính người sử dụng ( FAU_GEN.2.) : các chức năng an toàn của TOE sẽ liên kết các sự kiện kiểm toán với định danh của mỗi cá nhân gây ra sự kiện đó nhằm mục đích quy kết trách nhiệm sau này.
3. Họ phân tích kiểm toán an toàn: Chức năng của họ này là xác định những yêu cầu đối với phân tích tự động các sự kiện an toàn. Họ này được ký hiệu là FAU_SAA.
Họ này gồm có 04 thành phần :
• Phân tích vi phạm tiềm năng ( FAU_SAA.1) : phát hiện ngưỡng cơ bản dựa trên tập quy tắc cố định để phân tích xem liệu sự kiện nào đó có an toàn hay ko
• Phát hiện bất bình thường dựa trên hồ sơ ( FAU_SAA.2)
• Thử nghiệm kinh nghiệm đối với tấn công đơn giản ( FAU_SAA.3) : tìm kiếm những sự kiện có dấu hiệu đặc trưng đe dọa tới sự an toàn
• Thử nghiệm kinh nghiệm đối với tấn công phức tạp ( FAU_SAA.4) : thử nghiệm và tìm ra những kịch bản xâm nhập nhiều bước rồi so sánh với những sự kiện hệ thống rồi tìm ra những tổn thương tiềm năng dựa / những dấu hiệu đặc trưng
4. Họ duyệt lại kiểm toán an toàn: Chức năng của nó là xác định những yêu cầu đối với các công cụ duyệt lại kiểm toán. Họ này ký hiệu là FAU_SAR.
Họ này gồm có 03 thành phần :
• Duyệt lại kiểm toán (FAU_SAR.1) : cung cấp khả năng có thể đọc các thông tin kiểm toán
• Duyệt lại kiểm toán hạn chế ( FAU_SAR.2) : quy định một số người có thẩm quyền mới có thể đọc các thông tin kiểm toán.
• Duyệt lại kiểm toán lựa chọn ( FAU_SAR.3) : cho phép chọn lựa những dữ liệu kiểm toán cần xem dựa trên những tiêu chí nhất định
5. Họ lựa chọn sự kiện kiểm toán an toàn: Chức năng của nó là xác định khả năng lựa chọn xem những sự kiện nào mà đích đánh giá cần kiểm toán. Họ này ký hiệu là FAU_SEL. Họ này chỉ gồm có 01 thành phần có tên là kiểm toán có lựa chọn ký hiệu là FAU_SEL.1. : cho phép chứa hoặc loại bỏ các sự kiện kiểm toán từ tập dữ liệu kiểm toán do thành phần sinh dữ liệu kiểm toán thu đc dựa / các thuộc tính mà người viết đưa ra
6. Họ lưu trữ sự kiện kiểm toán an toàn: Chức năng của nó là xác định khả năng tạo ra và duy trì dấu vết kiểm toán an toàn. Họ này ký hiệu là FAU_STG.
Họ này gồm có 04 thành phần :
• Lưu trữ dấu vết kiểm toán có bảo vệ (FAU_STG.1) : bảo vệ dl này ko bị xóa sửa trái phép
• Những bảo đảm sẵn sàng dữ liệu kiểm toán ( FAU_STG.2) : đảm bảo TSF luôn cho phép sự sẵn sàng của dữ liệu kiểm toán
• Hành động trong trường hợp có thể mất dữ liệu kiểm toán ( FAU_STG.3): chỉ rõ những hành động khi vượt quá ngưỡng an toàn / vết kiểm toán để tránh mất dữ liệu
• Ngăn ngừa mất dữ liệu kiểm toán ( FAU_STG.4.) : chỉ ra những hành động phải thực hiện khi vết kiểm toán đã đầy trong CSDL để tránh mất mát