5. Вид информационных ресурсов, потенциально подверженных угрозе - настройки программного обеспечения СДЗ.
6. Нарушаемые характеристики безопасности информационных ресурсов - целостность.
7. Возможные последствия реализации угрозы - нарушение режимов функционирования СДЗ.
Угроза-4
1. Аннотация угрозы - преодоление или обход функций СДЗ, идентификация/аутентификация за счет недостаточного качества аутентификационной информации.
2. Источники угрозы - внутренний нарушитель, внешний нарушитель.
3. Способ реализации угрозы - преодоление или обход функций СДЗ идентификация/аутентификация.
4. Используемая уязвимость - недостатки механизмов идентификации/аутентификации.
5. Вид информационных ресурсов, потенциально подверженных угрозе - ресурсы ИС.
6. Нарушаемые характеристики безопасности информационных ресурсов - конфиденциальность, доступность.
7. Возможные последствия реализации угрозы - несанкционированный доступ к информации ИС.
3.2.2. Угрозы, которым противостоит среда
В настоящем ПЗ определены следующие угрозы, которым должна противостоять среда функционирования ОО.
Угроза среды-1
1. Аннотация угрозы - отключение (обход) или блокирование СДЗ.
2. Источники угрозы - внутренний нарушитель, внешний нарушитель.
3. Способ реализации угрозы - несанкционированный доступ к СДЗ с использованием штатных и нештатных средств, в том числе удаленно (по сети).
4. Используемые уязвимости - недостатки механизмов управления доступом, физическая защита СВТ.
5. Вид информационных ресурсов, потенциально подверженных угрозе - данные функций безопасности СДЗ.
6. Нарушаемые свойства безопасности информационных ресурсов - доступность.
7. Возможные последствия реализации угрозы - неэффективность работы СДЗ.
Угроза среды-2
1. Аннотация угрозы - нарушение целостности ПО СДЗ.
2. Источники угрозы - внутренний нарушитель, внешний нарушитель.
3. Способ реализации угрозы - несанкционированный доступ к СДЗ с использованием штатных и нештатных средств.
4. Используемые уязвимости - недостатки механизмов управления доступом, физической защиты оборудования ИС; недостатки механизмов защиты журналов аудита СДЗ.
5. Вид информационных ресурсов, потенциально подверженных угрозе - ПО СДЗ, данные СДЗ.
6. Нарушаемые свойства безопасности информационных ресурсов -целостность, доступность.
7. Возможные последствия реализации угрозы - нарушение режимов функционирования СДЗ.
3.3. Политика безопасности организации
Объект оценки должен выполнять приведенные ниже правила политики безопасности организации.
Политика безопасности-1
Объект оценки должен быть защищен от несанкционированного доступа и нарушений в отношении функций и данных ОО.
Политика безопасности-2
Управление параметрами СДЗ, которые влияют на выполнение функций безопасности СДЗ, должно осуществляться только уполномоченными администраторами СДЗ.
Политика безопасности-3
Должна быть обеспечена возможность доступа к информационным ресурсам в случае успешной проверки подлинности операционной системы.
Политика безопасности-4
Объект оценки должен осуществлять механизмы идентификации и аутентификации.
4. Цели безопасности
4.1. Цели безопасности для объекта оценки
В данном разделе дается описание целей безопасности для ОО.
Цель безопасности-1
Разграничение доступа к управлению СДЗ
Объект оценки должен обеспечивать разграничение доступа к управлению СДЗ на основе ролей администраторов СДЗ.
Цель безопасности-2
Управление параметрами СДЗ
Объект оценки должен обеспечить возможность управления параметрами СДЗ, которые влияют на выполнение функций безопасности СДЗ, со стороны администраторов СДЗ.
Цель безопасности-3
Доступ к данным