4. Используемая уязвимость - недостатки механизмов идентификации/аутентификации.
5. Вид информационных ресурсов, потенциально подверженных угрозе - ресурсы ИС.
6. Нарушаемые характеристики безопасности информационных ресурсов - конфиденциальность, целостность, доступность.
7. Возможные последствия реализации угрозы - несанкционированный доступ к информации ИС; нарушение режимов функционирования.
3.3. Политика безопасности организации
Объект оценки должен выполнять приведенные ниже правила политики безопасности организации.
Политика безопасности-1
Объект оценки должен быть защищен от несанкционированного доступа и нарушений в отношении функций и данных ОО.
Политика безопасности-2
Должно осуществляться управление со стороны администраторов СДЗ режимами выполнения функций безопасности СДЗ.
Политика безопасности-3
Управление параметрами СДЗ, которые влияют на выполнение функций безопасности СДЗ, должно осуществляться только администраторами СДЗ.
Политика безопасности-4
Объект оценки должен осуществлять механизмы идентификации и аутентификации (распознавание, проверку подлинности и полномочий уполномоченных пользователей и администраторов).
Политика безопасности-5
Должна быть обеспечена невозможность несанкционированной загрузки ОС с нештатных носителей. Также объект оценки должен быть защищен от несанкционированного доступа и нарушений в отношении функций безопасности ОО.
Политика безопасности-6
Должны быть обеспечены надлежащие механизмы регистрации и предупреждения (сигнализации) о любых событиях, относящихся к возможным нарушениям безопасности.
4. Цели безопасности
4.1. Цели безопасности для объекта оценки
В данном разделе дается описание целей безопасности для ОО.
Цель безопасности-1
Разграничение доступа к управлению СДЗ
Объект оценки должен обеспечивать разграничение доступа к управлению СДЗ на основе ролей администраторов СДЗ.
Цель безопасности-2
Управление работой СДЗ
Объект оценки должен обеспечивать управление со стороны администраторов СДЗ режимами выполнения функций безопасности СДЗ.
Цель безопасности-3
Управление параметрами СДЗ
Объект оценки должен обеспечить возможность управления параметрами СДЗ, которые влияют на выполнение функций безопасности СДЗ со стороны администраторов СДЗ.
Цель безопасности-4
Тестирование и контроль целостности
Объект оценки должен осуществлять обеспечение контроля целостности параметров СДЗ и загружаемой операционной системы. Должно осуществляться выполнение встроенных в СДЗ тестов, направленных на проверку корректности работы механизмов СДЗ.
Цель безопасности-5
Блокирование СДЗ
Функции безопасности объекта оценки должны осуществлять блокировку загрузки ОС при выявлении попыток обхода механизмов защиты.
Цель безопасности-6
Аудит безопасности СДЗ
Объект оценки должен располагать надлежащими механизмами регистрации и предупреждения (сигнализации) администратора о любых событиях, относящихся к возможным нарушениям безопасности.
4.2. Цели безопасности для среды
В данном разделе дается описание целей безопасности для среды функционирования ОО.
Цель для среды функционирования ОО-1
Совместимость
Объект оценки должен быть совместим с СВТ, в котором он функционирует.
Цель для среды функционирования ОО-2
Эксплуатация ОО
Должны быть обеспечены установка, конфигурирование и управление объектом оценки в соответствии с эксплуатационной документацией.
Цель для среды функционирования ОО-3
Физическая защита ОО
Должна быть обеспечена невозможность осуществления действий, направленных на нарушение физической целостности СВТ, доступ к которым контролируется с применением СДЗ.