2. Источник угрозы - внутренний нарушитель, внешний нарушитель.
3. Способ реализации угрозы - внедрение КВ в объекты ИС.
4. Используемые уязвимости - неполнота комплекса средств защиты информации, применяемых в ИС.
5. Вид информационных ресурсов, потенциально подверженных угрозе - информационные ресурсы ИС, в которой установлен ОО.
6. Нарушаемые свойства безопасности информационных ресурсов - конфиденциальность, целостность, доступность.
7. Возможные последствия реализации угрозы - деструктивные воздействия КВ.
3.2.2. Угрозы, которым должна противостоять среда
В настоящем ПЗ определены следующие угрозы, которым должна противостоять среда функционирования ОО.
Угроза среды-1
1. Аннотация угрозы - отключение или блокирование САВЗ нарушителями.
2. Источники угрозы - внутренний нарушитель, внешний нарушитель.
3. Способ реализации угрозы - несанкционированный доступ к САВЗ с использованием штатных и нештатных средств.
4. Используемые уязвимости - недостатки процедур разграничения полномочий в ИС, уязвимости технических, программных и программно-технических средств ИС, которые взаимодействуют с САВЗ и могут влиять на функционирование САВЗ, недостатки механизмов управления доступом, защиты сеансов, физической защиты оборудования в ИС.
5. Вид информационных ресурсов, потенциально подверженных угрозе - данные функций безопасности объекта оценки (ФБО).
6. Нарушаемые свойства безопасности информационных ресурсов - целостность, доступность.
7. Возможные последствия реализации угрозы - неэффективность работы САВЗ.
Угроза среды-2
1. Аннотация угрозы - несанкционированное изменение конфигурации САВЗ.
2. Источник угрозы - внутренний нарушитель, внешний нарушитель.
3. Способ реализации угрозы - несанкционированный доступ к конфигурационной информации (настройкам) САВЗ.
4. Используемая уязвимость - недостатки процедур разграничения полномочий в ИС, уязвимости технических, программных и программно-технических средств ИС, которые взаимодействуют с САВЗ и могут влиять на функционирование САВЗ, недостатки механизмов управления доступом, защиты сеансов, физической защиты оборудования в ИС.
5. Вид информационных ресурсов, потенциально подверженные угрозе - настройки программного обеспечения САВЗ.
6. Нарушаемые характеристики безопасности информационных ресурсов - целостность.
7. Возможные последствия реализации угрозы - нарушение режимов функционирования САВЗ, необнаружение внедрения КВ в ИС.
Угроза среды-3
1. Аннотация угрозы - несанкционированное внесения изменений в логику функционирования САВЗ через механизм обновления БД ПКВ.
2. Источник угрозы - внутренний нарушитель, внешний нарушитель.
3. Способ реализации угрозы - осуществление несанкционированных действий с использованием штатных средств, предоставляемых ИС, а также специализированных инструментальных средств.
4. Используемая уязвимость - недостатки механизмов обеспечения доверенного канала получения обновлений БД ПКВ.
5. Вид информационных ресурсов, потенциально подверженных угрозе - программное обеспечение и БД ПКВ САВЗ.
6. Нарушаемые свойства безопасности информационных ресурсов - целостность, доступность.
7. Возможные последствия реализации угрозы - нарушение режимов функционирования САВЗ, необнаружение внедрения КВ в ИС.
3.3. Политика безопасности организации
Объект оценки должен следовать приведенным ниже правилам политики безопасности организации.
Политика безопасности-1
Должны быть обеспечены надлежащие механизмы регистрации и предупреждения о любых событиях, относящихся к возможным нарушениям безопасности. Механизмы регистрации должны предоставлять уполномоченным на это субъектам ИС возможность выборочного ознакомления с информацией о произошедших событиях.
Политика безопасности-2
Управление параметрами САВЗ, которые влияют на выполнение функций безопасности САВЗ, должно осуществляться только администраторами безопасности.
Политика безопасности-3
Должно осуществляться управление со стороны уполномоченных администраторов безопасности режимами выполнения функций безопасности САВЗ.
Политика безопасности-4
Объект оценки должен быть защищен от несанкционированного доступа и нарушений в отношении функций и данных ОО.
Политика безопасности-5
Объект оценки должен обеспечивать возможность администратору безопасности установки режимов и выполнения обновлений БД ПКВ САВЗ.
4. Цели безопасности
4.1. Цели безопасности для объекта оценки
В данном разделе дается описание целей безопасности для ОО.
Цель безопасности-1
Аудит безопасности САВЗ
Объект оценки должен располагать надлежащими механизмами регистрации и предупреждения администратора безопасности о любых событиях, относящихся к возможным нарушениям безопасности. Механизмы регистрации должны предоставлять администраторам безопасности возможность выборочного ознакомления с информацией о произошедших по отношению к объекту оценки событиях.