Затверджую

Вид материалаДокументы

Содержание


3.2 Загрози безпеці об’єкта експертизи
3.3 Політика безпеки автоматизованої системи
Подобный материал:
1   ...   4   5   6   7   8   9   10   11   ...   25

3.2 Загрози безпеці об’єкта експертизи


У табл. 2 представлені потенційні загрози безпеці, які можуть виникати при використанні ОЕ у межах АС відповідного класу. Множина загроз визначена на основі матеріалів [7] та припущень ТВ щодо використання ОЕ. Позначення загрози складається з префіксу „ЗАГ” (для англійського варіанта - „T”) та назви загрози, розділених крапкою.

Таблиця 2


Позначення загрози

Опис загрози

Клас АС

1

2

3

ЗАГ.Пошкодження_аудиту

T.AUDIT_CORRUPT

Модифікація або видалення даних аудиту неуповноваженим користувачем

+

+

+

ЗАГ.Пошкодження_конфігурації

T.CONFIG_CORRUPT

Модифікація конфігураційних даних неуповноваженим користувачем

+

+

+

ЗАГ.Неочищений_об’єкт

T.OBJECTS_NOT_CLEAN


Несанкціонований доступ до інформації внаслідок неочищення даних з об’єктів між їхнім використанням різними користувачами

+

+

+

ЗАГ.Витік_даних_авторизації

T.SPOOF


Несанкціонований доступ до автентифікаційних даних авторизованих користувачів за допомогою засобів, які видаються за автентифікаційний компонент ОЕ під час спроби користувача ініціювати вхід у систему

+

+

+

ЗАГ.Адміністративний_доступ

T.SYSACC


Несанкціоновані дії користувача в ОЕ під виглядом адміністратора шляхом використання недоліків системи керування доступом

+

+

+

ЗАГ.Доступ_системних_даних

T.UNAUTH_ACCESS


Доступ до системних даних ОЕ неуповноваженим користувачем внаслідок недоліків системи керування доступом

+

+

+

ЗАГ.Модифікація_КЗЗ

T.UNAUTH_MODIFICATION


Несанкціонований доступ до ОЕ і даних користувачів шляхом модифікації КЗЗ з причини відмови системи захисту КЗЗ

+

+

+

ЗАГ.Невиявлення_дій

T.UNDETECTED_ACTIONS


Виконання неавторизованих дій, які будуть невиявленими з причини відмови системи реєстрації (аудиту)

+

+

+

ЗАГ.Фальсифікація_даних_користувача

T.USER_CORRUPT

Модифікація даних користувачів неавторизованим користувачем з причини відмови системи обмеження доступу до даних

+

+

+

ЗАГ.Компрометація_обміну

Отримання або модифікація даних обміну неавторизованим користувачем шляхом перехвату, підміни пакетів, підміни відправника або отримувача даних

-

-

+

3.3 Політика безпеки автоматизованої системи


Політика безпеки АС містить набір правил, обмежень та рекомендацій, що регламентують порядок безпечної обробки інформації в типових умовах використання АС (табл. 3). Множина правил безпеки визначена на основі матеріалів [7], припущень ТВ щодо використання ОЕ (підрозділ 4.1) та визначених у табл. 2 загроз безпеці ОЕ. Позначення правила безпеки складається з префіксу „ПБ” (для англійського варіанта - „P”) та назви правила безпеки, розділених крапкою.


Таблиця 3


Позначення правила безпеки

Зміст правила безпеки

Класи АС

1

2

3

ПБ.Підзвітність_користувачів

P.ACCOUNTABILITY

Користувачі системи повинні бути підзвітними в їх діях в межах ОЕ

+

+

+

ПБ.Авторизація_користувачів

P.AUTHORIZED_USERS

До ресурсів ОЕ можуть мати доступ тільки ті користувачі, які отримали авторизацію

+

+

+

ПБ.Обмеження_доступу

P.NEED_TO_KNOW


ОЕ повинен забезпечувати можливість обмежувати авторизованих користувачів в доступі, модифікації та знищенні інформації в захищених ресурсах

+

+

+

ПБ.Обмеження_авторизації

P.AUTHORIZATION

ОЕ повинен забезпечувати можливість для обмеження рівня повноважень користувача

+

+

+

ПБ.Захист_обміну

P-IPSEC


ОЕ повинен надавати можливість захисту даних при обміні між розподіленими частинами захищеної системи

-

-

+

ПБ.Доступність_ресурсів

ОЕ повинен забезпечувати певний рівень цілісності та доступності інформації при збоях, відмовах та обслуговуванні системи

+

+

+