Затверджую
Вид материала | Документы |
Содержание3.2 Загрози безпеці об’єкта експертизи 3.3 Політика безпеки автоматизованої системи |
- Затверджую затверджую голова Кримського Голова Державної податкової Республіканського, 117.84kb.
- “Затверджую”, 639.38kb.
- Юрія Федьковича «затверджую», 585.95kb.
- Володимира Даля "затверджую", 183.23kb.
- Затверджую: Проректор з навчальної роботи, 59.36kb.
- «Затверджую», 21.74kb.
- Юрія Федьковича " затверджую, 825.92kb.
- Юрія Федьковича " затверджую, 245.34kb.
- Юрія Федьковича " затверджую, 501.24kb.
- Затверджую прийнятий на засіданні, 1283.44kb.
3.2 Загрози безпеці об’єкта експертизи
У табл. 2 представлені потенційні загрози безпеці, які можуть виникати при використанні ОЕ у межах АС відповідного класу. Множина загроз визначена на основі матеріалів [7] та припущень ТВ щодо використання ОЕ. Позначення загрози складається з префіксу „ЗАГ” (для англійського варіанта - „T”) та назви загрози, розділених крапкою.
Таблиця 2
Позначення загрози | Опис загрози | Клас АС | ||
1 | 2 | 3 | ||
ЗАГ.Пошкодження_аудиту T.AUDIT_CORRUPT | Модифікація або видалення даних аудиту неуповноваженим користувачем | + | + | + |
ЗАГ.Пошкодження_конфігурації T.CONFIG_CORRUPT | Модифікація конфігураційних даних неуповноваженим користувачем | + | + | + |
ЗАГ.Неочищений_об’єкт T.OBJECTS_NOT_CLEAN | Несанкціонований доступ до інформації внаслідок неочищення даних з об’єктів між їхнім використанням різними користувачами | + | + | + |
ЗАГ.Витік_даних_авторизації T.SPOOF | Несанкціонований доступ до автентифікаційних даних авторизованих користувачів за допомогою засобів, які видаються за автентифікаційний компонент ОЕ під час спроби користувача ініціювати вхід у систему | + | + | + |
ЗАГ.Адміністративний_доступ T.SYSACC | Несанкціоновані дії користувача в ОЕ під виглядом адміністратора шляхом використання недоліків системи керування доступом | + | + | + |
ЗАГ.Доступ_системних_даних T.UNAUTH_ACCESS | Доступ до системних даних ОЕ неуповноваженим користувачем внаслідок недоліків системи керування доступом | + | + | + |
ЗАГ.Модифікація_КЗЗ T.UNAUTH_MODIFICATION | Несанкціонований доступ до ОЕ і даних користувачів шляхом модифікації КЗЗ з причини відмови системи захисту КЗЗ | + | + | + |
ЗАГ.Невиявлення_дій T.UNDETECTED_ACTIONS | Виконання неавторизованих дій, які будуть невиявленими з причини відмови системи реєстрації (аудиту) | + | + | + |
ЗАГ.Фальсифікація_даних_користувача T.USER_CORRUPT | Модифікація даних користувачів неавторизованим користувачем з причини відмови системи обмеження доступу до даних | + | + | + |
ЗАГ.Компрометація_обміну | Отримання або модифікація даних обміну неавторизованим користувачем шляхом перехвату, підміни пакетів, підміни відправника або отримувача даних | - | - | + |
3.3 Політика безпеки автоматизованої системи
Політика безпеки АС містить набір правил, обмежень та рекомендацій, що регламентують порядок безпечної обробки інформації в типових умовах використання АС (табл. 3). Множина правил безпеки визначена на основі матеріалів [7], припущень ТВ щодо використання ОЕ (підрозділ 4.1) та визначених у табл. 2 загроз безпеці ОЕ. Позначення правила безпеки складається з префіксу „ПБ” (для англійського варіанта - „P”) та назви правила безпеки, розділених крапкою.
Таблиця 3
Позначення правила безпеки | Зміст правила безпеки | Класи АС | ||
1 | 2 | 3 | ||
ПБ.Підзвітність_користувачів P.ACCOUNTABILITY | Користувачі системи повинні бути підзвітними в їх діях в межах ОЕ | + | + | + |
ПБ.Авторизація_користувачів P.AUTHORIZED_USERS | До ресурсів ОЕ можуть мати доступ тільки ті користувачі, які отримали авторизацію | + | + | + |
ПБ.Обмеження_доступу P.NEED_TO_KNOW | ОЕ повинен забезпечувати можливість обмежувати авторизованих користувачів в доступі, модифікації та знищенні інформації в захищених ресурсах | + | + | + |
ПБ.Обмеження_авторизації P.AUTHORIZATION | ОЕ повинен забезпечувати можливість для обмеження рівня повноважень користувача | + | + | + |
ПБ.Захист_обміну P-IPSEC | ОЕ повинен надавати можливість захисту даних при обміні між розподіленими частинами захищеної системи | - | - | + |
ПБ.Доступність_ресурсів | ОЕ повинен забезпечувати певний рівень цілісності та доступності інформації при збоях, відмовах та обслуговуванні системи | + | + | + |