6. Нарушаемые характеристики безопасности информационных ресурсов - целостность.
7. Возможные последствия реализации угрозы - нарушение режимов функционирования СДЗ.
Угроза-4
1. Аннотация угрозы - преодоление или обход функций СДЗ идентификация/аутентификация за счет недостаточного качества аутентификационной информации.
2. Источники угрозы - внутренний нарушитель, внешний нарушитель.
3. Способ реализации угрозы - преодоление или обход функций СДЗ идентификация/аутентификация.
4. Используемая уязвимость - недостатки механизмов идентификации/аутентификации.
5. Вид информационных ресурсов, потенциально подверженных угрозе - ресурсы ИС.
6. Нарушаемые характеристики безопасности информационных ресурсов - конфиденциальность, доступность.
7. Возможные последствия реализации угрозы - несанкционированный доступ к информации ИС.
Угроза-5
1. Аннотация угрозы - несанкционированное получение доступа к ресурсам СДЗ из программной среды СВТ после завершения работы СДЗ.
2. Источники угрозы - внутренний нарушитель, внешний нарушитель.
3. Способ реализации угрозы - получение доступа к ресурсам.
4. Используемая уязвимость - недостатки механизмов защиты СДЗ.
5. Вид информационных ресурсов, потенциально подверженных угрозе - защищаемые ресурсы.
6. Нарушаемые характеристики безопасности информационных ресурсов - конфиденциальность, целостность, доступность.
7. Возможные последствия реализации угрозы - несанкционированная загрузка ОС; несанкционированный доступ к информации ИС; нарушение режимов функционирования.
3.2.2. Угрозы, которым противостоит среда
В настоящем ПЗ определены следующие угрозы, которым должна противостоять среда функционирования ОО.
Угроза среды-1
1. Аннотация угрозы - отключение (обход) или блокирование СДЗ.
2. Источники угрозы - внутренний нарушитель, внешний нарушитель.
3. Способ реализации угрозы - несанкционированный доступ к СДЗ с использованием штатных и нештатных средств, в том числе удаленно (по сети).
4. Используемые уязвимости - недостатки механизмов управления доступом, физическая защита СВТ.
5. Вид информационных ресурсов, потенциально подверженных угрозе - данные функций безопасности СДЗ.
6. Нарушаемые свойства безопасности информационных ресурсов - доступность.
7. Возможные последствия реализации угрозы - неэффективность работы СДЗ.
Угроза среды-2
1. Аннотация угрозы - нарушение целостности ПО СДЗ.
2. Источники угрозы - внутренний нарушитель, внешний нарушитель.
3. Способ реализации угрозы - несанкционированный доступ к СДЗ с использованием штатных и нештатных средств.
4. Используемые уязвимости - недостатки механизмов управления доступом, физической защиты оборудования ИС; недостатки механизмов защиты журналов аудита СДЗ.
5. Вид информационных ресурсов, потенциально подверженных угрозе - ПО СДЗ, данные СДЗ.
6. Нарушаемые свойства безопасности информационных ресурсов - целостность, доступность.
7. Возможные последствия реализации угрозы - нарушение режимов функционирования СДЗ.
3.3. Политика безопасности организации
Объект оценки должен выполнять приведенные ниже правила политики безопасности организации.
Политика безопасности-1
Объект оценки должен быть защищен от несанкционированного доступа и нарушений в отношении функций и данных ОО.
Политика безопасности-2
Должно осуществляться управление со стороны уполномоченных администраторов СДЗ режимами выполнения функций безопасности СДЗ.
Политика безопасности-3
Управление параметрами СДЗ, которые влияют на выполнение функций безопасности СДЗ, должно осуществляться только администраторами СДЗ.
Политика безопасности-4
Должна быть обеспечена возможность доступа к информационным ресурсам в случае успешной проверки подлинности операционной системы.
Политика безопасности-5
Объект оценки должен осуществлять механизмы идентификации и аутентификации.
Политика безопасности-6
Должны быть обеспечены механизмы регистрации возможных нарушений безопасности.