Методический документ ИТ.СДЗ.УБ4.ПЗ "Профиль защиты средства доверенной загрузки уровня базовой системы ввода-вывода четвертого класса защиты" (утв. Федеральной службой по техническому и экспортному контролю 30 декабря 2013 г.) стр. 4

  1. Документы
Персонал, ответственный за функционирование ОО, должен обеспечивать надлежащее функционирование ОО, руководствуясь эксплуатационной документацией.

3.2. Угрозы безопасности информации

3.2.1. Угрозы, которым должен противостоять объект оценки

В настоящем ПЗ определена следующая угроза, которой необходимо противостоять средствами ОО.
Угроза-1
1. Аннотация угрозы - несанкционированный доступ к информации за счет загрузки нештатной операционной системы и обхода правил разграничения доступа штатной операционной системы и (или) других средств защиты информации, работающих в среде штатной операционной системы.
2. Источники угрозы - внутренний нарушитель, внешний нарушитель.
3. Способ реализации угрозы - попытки несанкционированной загрузки нештатной операционной системы с использованием носителей информации.
4. Используемые уязвимости - наличие в составе СВТ устройств для подключения носителей информации с нештатной операционной системой; отсутствие или недостатки механизмов блокирования загрузки нештатной операционной системы.
5. Вид информационных ресурсов, потенциально подверженных угрозе - атрибуты безопасности субъектов и объектов доступа, правила управления доступом субъектов к объектам доступа.
6. Нарушаемые свойства безопасности информационных ресурсов - доступность.
7. Возможные последствия реализации угрозы - несанкционированный доступ к информации пользователей СВТ и ИС; нарушение режимов функционирования СВТ и ИС.
Угроза-2
1. Аннотация угрозы - нарушение целостности программной среды средств СВТ и (или) состава компонентов аппаратного обеспечения СВТ в ИС.
2. Источники угрозы - внутренний нарушитель, внешний нарушитель.
3. Способ реализации угрозы - несанкционированное изменение программной среды СВТ и (или) извлечение (подмена), модификация компонентов аппаратного обеспечения СВТ.
4. Используемые уязвимости - недостатки, связанные с возможностью осуществления доступа к оборудованию, отсутствие механизмов контроля целостности программной среды и состава компонентов СВТ.
5. Вид информационных ресурсов, потенциально подверженных угрозе - программная среда СВТ, аппаратные компоненты СВТ.
6. Нарушаемые свойства безопасности информационных ресурсов - целостность, доступность.
7. Возможные последствия реализации угрозы - несанкционированный доступ к информации пользователей СВТ и ИС; нарушение режимов функционирования СВТ и ИС.
Угроза-3
1. Аннотация угрозы - обход нарушителями компонентов СДЗ.
2. Источники угрозы - внутренний нарушитель, внешний нарушитель.
3. Способ реализации угрозы - несанкционированный доступ к ресурсам ИС с использованием штатных и нештатных средств.
4. Используемые уязвимости - недостатки механизмов управления доступом, физической защиты оборудования ИС.
5. Вид информационных ресурсов, потенциально подверженных угрозе - ресурсы ИС.
6. Нарушаемые свойства безопасности информационных ресурсов - конфиденциальность, целостность, доступность.
7. Возможные последствия реализации угрозы - нарушение режимов функционирования СДЗ; доступность ресурсов ИС, СДЗ.
Угроза-4
1. Аннотация угрозы - несанкционированное изменение конфигурации (параметров) СДЗ.
2. Источники угрозы - внутренний нарушитель, внешний нарушитель.
3. Способ реализации угрозы - несанкционированный доступ к конфигурационной информации (настройкам) СДЗ.
4. Используемая уязвимость - недостатки процедур разграничения полномочий в ИС, уязвимости технических, программных и программно-технических средств ИС, которые взаимодействуют с СДЗ и могут влиять на функционирование СДЗ, недостатки механизмов управления доступом, физической защиты оборудования в ИС.
5. Вид информационных ресурсов, потенциально подверженных угрозе - настройки программного обеспечения СДЗ.
6. Нарушаемые характеристики безопасности информационных ресурсов - целостность.
7. Возможные последствия реализации угрозы - нарушение режимов функционирования СДЗ.

3.2.2. Угрозы, которым должна противостоять среда

В настоящем ПЗ определены следующие угрозы, которым должна противостоять среда функционирования ОО:
Угроза среды-1
1. Аннотация угрозы - отключение (обход) или блокирование базовой системы ввода-вывода.
2. Источники угрозы - внутренний нарушитель.
3. Способ реализации угрозы - несанкционированный доступ к СДЗ с использованием штатных и нештатных средств.
4. Используемые уязвимости - недостатки механизмов управления доступом, физическая защита СВТ.
5. Вид информационных ресурсов, потенциально подверженных угрозе - данные функций безопасности СДЗ.
6. Нарушаемые свойства безопасности информационных ресурсов - доступность.
7. Возможные последствия реализации угрозы - неэффективность работы СДЗ.
Угроза среды-2
1. Аннотация угрозы - преодоление или обход идентификации/аутентификации за счет недостаточного качества аутентификационной информации.
2. Источники угрозы - внутренний нарушитель, внешний нарушитель.
3. Способ реализации угрозы - преодоление или обход идентификации/аутентификации.
Содержание
Методический документ ИТ.СДЗ.ПР4.ПЗ "Профиль защиты средства доверенной загрузки уровня платы расширения четвертого класса защиты" (утв. Федеральной службой по техническому и экспортному контролю 30 декабря 2013 г.)
Методический документ ИТ.САВЗ.А5.ПЗ "Профиль защиты средств антивирусной защиты типа "А" пятого класса защиты" (утв. Федеральной службой по техническому и экспортному контролю 14 июня 2012 г.)
Методический документ ИТ.САВЗ.Г4.ПЗ "Профиль защиты средств антивирусной защиты типа "Г" четвертого класса защиты" (утв. Федеральной службой по техническому и экспортному контролю 14 июня 2012 г.)
Методический документ ИТ.САВЗ.А4.ПЗ "Профиль защиты средств антивирусной защиты типа "А" четвертого класса защиты" (утв. Федеральной службой по техническому и экспортному контролю 14 июня 2012 г.)
Методический документ ИТ.САВЗ.А6.ПЗ "Профиль защиты средств антивирусной защиты типа "А" шестого класса защиты" (утв. Федеральной службой по техническому и экспортному контролю 14 июня 2012 г.)