Цель безопасности-1
Достижение этой цели безопасности необходимо в связи с противостоянием угрозам Угроза-1, Угроза-2 и реализацией политики безопасности организации Политика безопасности-1, так как обеспечивает надлежащую регистрацию и предупреждение администратора безопасности о любых событиях, относящихся к возможным нарушениям безопасности, возможность для администратора безопасности выборочного ознакомления с информацией о произошедших по отношению к ОО событиях.
Цель безопасности-2
Достижение этой цели безопасности необходимо в связи с противостоянием угрозам Угроза-1, Угроза-2 и реализацией политики безопасности организации Политика безопасности-2, так как обеспечивает возможность управления параметрами САВЗ, которые влияют на выполнение функций безопасности САВЗ, со стороны уполномоченных администраторов безопасности.
Цель безопасности-3
Достижение этой цели безопасности необходимо в связи с противостоянием угрозам Угроза-1, Угроза-2 и реализацией политики безопасности организации Политика безопасности-3, так как обеспечивает управление со стороны уполномоченных администраторов безопасности режимами выполнения функций безопасности САВЗ.
Цель безопасности-4
Достижение этой цели безопасности необходимо в связи с противостоянием угрозе Угроза-2 и реализацией политики безопасности организации Политика безопасности-4, так как обеспечивает разграничение доступа к управлению САВЗ на основе ролей администраторов безопасности.
Цель безопасности-5
Достижение этой цели безопасности необходимо в связи с реализацией политики безопасности организации Политика безопасности-5, так как обеспечивает возможность администратору безопасности установки режимов и выполнения обновлений БД ПКВ САВЗ.
6.1.2. Обоснование целей безопасности для среды
В таблице 6.2 приведено отображение целей безопасности для среды на предположения безопасности, политики безопасности и угрозы.
Таблица 6.2
Отображение целей безопасности для среды на предположения безопасности, политики безопасности и угрозы
Цель для среды функционирования ОО-1 | Цель для среды функционирования ОО-2 | Цель для среды функционирования ОО-3 | Цель для среды функционирования ОО-4 | Цель для среды функционирования ОО-5 | Цель для среды функционирования ОО-6 | Цель для среды функционирования ОО-7 | Цель для среды функционирования ОО-8 | Цель для среды функционирования ОО-9 | Цель для среды функционирования ОО-10 | Цель для среды функционирования ОО-11 | Цель для среды функционирования ОО-12 | |
| Предположение-1 | Х | |||||||||||
| Предположение-2 | Х | |||||||||||
| Предположение-3 | Х | |||||||||||
| Предположение-4 | Х | |||||||||||
| Предположение-5 | Х | |||||||||||
| Предположение-6 | Х | Х | ||||||||||
| Предположение-7 | Х | |||||||||||
| Угроза среды-1 | Х | Х | Х | Х | ||||||||
| Угроза среды-2 | Х | Х | Х | Х | ||||||||
| Угроза среды-3 | Х |
Цель для среды функционирования ОО-1
Достижение этой цели безопасности необходимо в связи с реализацией предположения безопасности Предположение-1, так как обеспечивается доступ ОО ко всем данным ИС, которые необходимы ОО для реализации своих функциональных возможностей.
Цель для среды функционирования ОО-2
Достижение этой цели безопасности необходимо в связи с реализацией предположения безопасности Предположение-2, так как обеспечивается установка, конфигурирование и управление ОО в соответствии с эксплуатационной документацией.
Цель для среды функционирования ОО-3
Достижение этой цели безопасности необходимо в связи с реализацией предположения безопасности Предположение-3, так как обеспечивает совместимость объекта оценки с контролируемыми информационными ресурсами ИС.
Цель для среды функционирования ОО-4
Достижение этой цели безопасности необходимо в связи с реализацией предположения безопасности Предположение-4, так как обеспечивается возможность корректной совместной работы САВЗ с САВЗ других производителей в случае их совместного использования в ИС.
Цель для среды функционирования ОО-5
Достижение этой цели безопасности необходимо в связи с противостоянием угрозе безопасности для среды Угроза для среды-1 и реализацией предположения безопасности Предположение-5, так как обеспечивается физическая защита элементов ИС, на которых установлен ОО.
Цель для среды функционирования ОО-6
Достижение этой цели безопасности необходимо в связи с реализацией политики безопасности Предположение-6, так как обеспечивается синхронизация по времени между компонентами ОО, а также между ОО и средой его функционирования.
Цель для среды функционирования ОО-7
Достижение этой цели безопасности необходимо в связи с реализацией предположения безопасности Предположение-7, так как персонал, ответственный за функционирование ОО, обеспечивает надлежащее функционирование ОО, руководствуясь эксплуатационной документацией.
Цель для среды функционирования ОО-8
Достижение этой цели безопасности необходимо в связи с противостоянием угрозе безопасности для среды Угроза для среды-2, так как обеспечивает доверенную связь между ОО и уполномоченными субъектами ИС (администраторами безопасности).
Цель для среды функционирования ОО-9
Достижение этой цели безопасности необходимо в связи с противостоянием угрозам безопасности для среды Угроза для среды-1 и Угроза для среды-2, так как обеспечивает функционирование ОО в среде функционирования, предоставляющей механизмы аутентификации и идентификации администраторов безопасности САВЗ.
Цель для среды функционирования ОО-10
Достижение этой цели безопасности необходимо в связи с противостоянием угрозе безопасности для среды Угроза для среды-3, так как обеспечивается доверенный канал получения обновлений БД ПКВ САВЗ.
Цель для среды функционирования ОО-11
Достижение этой цели безопасности необходимо в связи с противостоянием угрозам безопасности для среды Угроза для среды-1 и Угроза для среды-2, так как обеспечивается защищенная область для выполнения функций безопасности САВЗ.
Цель для среды функционирования ОО-12
Достижение этой цели безопасности необходимо в связи с противостоянием угрозам безопасности для среды Угроза для среды-1 и Угроза для среды-2, так как обеспечивается предоставления возможности управления атрибутами безопасности, связанными с доступом к функциям и данным ОО, только уполномоченным ролям (администраторам САВЗ и ИС).
6.2. Обоснование требований безопасности
6.2.1. Обоснование требований безопасности для ОО
6.2.1.1. Обоснование функциональных требований безопасности ОО
В таблице 6.3 представлено отображение функциональных требований безопасности ОО на цели безопасности для ОО.
Таблица 6.3
Отображение функциональных требований безопасности для ОО на цели безопасности для ОО
Цель безопасности-1 | Цель безопасности-2 | Цель безопасности-3 | Цель безопасности-4 | Цель безопасности-5 | |
| FAU_GEN.1 | X | ||||
| FAU_GEN.2 | X | ||||
| FAU_SAR.1 | X | ||||
| FAU_SAR.2 | X | ||||
| FAU_SAR.3 | X | ||||
| FMT_MOF.1 | X | X | |||
| FMT_MTD.1 | X | X | |||
| FMT_SMR.1 | X | ||||
| FAV_ALR_EXT.2 | X | ||||
| FAV_UPD_EXT.1 | X |
FAU_GEN.1 Генерация данных аудита
В требованиях данного компонента выделяются данные, которые должны быть включены в записи аудита для подвергаемых аудиту событий, связанных с ОО. Рассматриваемый компонент сопоставлен с целью Цель безопасности-1 и способствует ее достижению.
FAU_GEN.2 Ассоциация идентификатора пользователя
Выполнение требований данного компонента обеспечивает возможность ассоциировать каждое событие, потенциально подвергаемое аудиту, с идентификатором учетной записи пользователя или идентификатором регистрационной записи пользователя, который был инициатором этого события. Рассматриваемый компонент сопоставлен с целью Цель безопасности-1 и способствует ее достижению.