Приложение В (рекомендуемое). Основные примеры. Национальный стандарт РФ ГОСТ Р ИСО/МЭК ТО 15446-2008 "Информационная технология. Методы и средства обеспечения безопасности. Руководство по разработке профилей защиты и заданий по безопасности" (утв. введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 18.12.2008 N 526-ст) (утратил силу)

Приложение В
(рекомендуемое)

Основные примеры

B.1 Введение

В настоящем приложении приведены примеры угроз, ПБОр, предположений безопасности, целей безопасности в форме, рекомендуемой для ПЗ и ЗБ. Кроме того, настоящее приложение содержит рекомендации по выбору функциональных компонентов, описанных в ИСО/МЭК 15408-2, для спецификации характерных требований безопасности.

Формулировки угроз, ПБОр, предположений безопасности, целей и требований безопасности из настоящего приложения могут быть адаптированы для использования в конкретных ПЗ и ЗБ. В приведенных примерах для указания на то, что определенный термин (например, источник угрозы, активы, подлежащие защите) может быть заменен термином, специфичным для конкретного ПЗ и ЗБ, соответствующий текст выделен курсивом.

При разработке ПЗ и ЗБ допускается использование формулировок угроз, ПБОр, предположений безопасности, целей и требований безопасности, отличных от приведенных в данном приложении.

B.2 Примеры угроз

При разработке ПЗ или ЗБ важным моментом является определение угроз. Ниже приведены примеры угроз:

T.ABUSE - необнаруженная компрометация активов ИТ (преднамеренная или нет) в результате санкционированных действий уполномоченного пользователя ОО.

T.ACCESS - уполномоченный пользователь ОО может получить доступ к информации или ресурсам без разрешения их владельца или лица, ответственного за данную информацию или данные ресурсы.

Т.АТТАСК - необнаруженная компрометация активов ИТ в результате попытки нарушителя (сотрудника организации или постороннего лица) выполнить действия, которые ему не разрешены.

T.CAPTURE - нарушитель может перехватить данные, передаваемые по сети.

T.CONSUME - уполномоченный пользователь ОО расходует общие ресурсы, ставя под угрозу возможность для других уполномоченных пользователей получить доступ к этим ресурсам или использовать эти ресурсы.

T.COVERT - уполномоченный пользователь ОО может (преднамеренно или случайно) передавать (по скрытому каналу) чувствительную информацию пользователям, которые не имеют допуска к работе с данной информацией.

T.DENY - пользователь может участвовать в передаче информации (как отправитель или получатель), а затем впоследствии отрицать данный факт.

T.ENTRY - компрометация активов ИТ в результате использования ОО уполномоченным пользователем в ненадлежащее время дня или в ненадлежащем месте.

T.EXPORT - уполномоченный пользователь ОО может экспортировать информацию от ОО (в виде электронной или твердой копии) и впоследствии обрабатывать ее способами, противоречащими ее маркировке по степени секретности (конфиденциальности).

T.IMPERSON - нарушитель (постороннее лицо или сотрудник организации) может получить несанкционированный доступ к информации или ресурсам, выдавая себя за уполномоченного пользователя ОО.

T.INTEGRITY - целостность информации может быть поставлена под угрозу из-за ошибки пользователя, аппаратных ошибок или ошибок при передаче.

T.LINK - нарушитель может иметь возможность наблюдать за многократным использованием ресурсов или услуг какой-либо сущностью (субъектом или объектом) и, анализируя факты такого использования, получать информацию, которую требуется сохранить в секрете.

T.MODIFY - целостность информации может быть нарушена вследствие несанкционированной модификации или уничтожения информации нарушителем.

T.OBSERVE - нарушитель может иметь возможность наблюдать законное использование ресурса или услуги пользователем, в то время как пользователь желает сохранить в секрете факт использование этого ресурса или услуги.

T.SECRET - пользователь ОО может (преднамеренно или случайно) наблюдать (изучать) информацию, сохраненную в ОО, к которой он не имеет допуска.

Следующие угрозы могут учитываться при формулировании целей безопасности для среды:

TE.CRASH - ошибка человека, отказ программного обеспечения, аппаратных средств или источников питания могут вызвать внезапное прерывание в работе ОО, приводящее к потере или искажению критичных по безопасности данных.

TE.BADMEDIA - старение и износ носителей данных или ненадлежащее хранение и обращение со сменным носителем могут привести к его порче, ведущей к потере или искажению критичных по безопасности данных.

TE.PHYSICAL - критичные по безопасности части ОО могут быть подвергнуты физической атаке, ставящей под угрозу их безопасность.

TE.PRIVILEGE - компрометация активов ИТ может происходить в результате непреднамеренных или преднамеренных действий, предпринятых администраторами или другими привилегированными пользователями.

TE.VIRUS - целостность и/или доступность активов ИТ может быть нарушена в результате непреднамеренного занесения в систему компьютерного вируса уполномоченным пользователем ОО.

B.3 Примеры политики безопасности организации

Данный пункт содержит два типичных примера ПБОр.

ПБОр на основе дискреционного принципа управления доступом (P.DAC) - право доступа к конкретным объектам данных определяется на основе:

a) идентификационной информации владельца объекта;

b) идентификационной информации субъекта, осуществляющего доступ;

c) явных и неявных прав доступа к объекту, предоставленных субъекту владельцем данного объекта.

ПБОр на основе мандатного принципа управления доступом (P.MAC) - право доступа к информации, маркированной по степени секретности (уровню конфиденциальности), определяется следующим образом:

a) данному лицу разрешен доступ к информации, только если оно имеет соответствующий допуск;

b) данное лицо не может изменять обозначение степени секретности (уровня конфиденциальности) информации в сторону снижения, если у него нет явных полномочий на выполнение таких действий.

Для каждой конкретной организации может потребоваться более подробное описание ПБОр, чем в приведенных выше примерах.

B.4 Примеры предположений безопасности

Данный раздел содержит примеры предположений безопасности, относящихся к физической защите, персоналу и связности ОО и его среды.

B.4.1 Примеры предположений, связанных с физической защитой

Предположение о расположении ресурсов ОО A.LOCATE - предполагается, что ресурсы ОО расположены в пределах контролируемой зоны, позволяющей предотвратить несанкционированный физический доступ.

Предположение о физической защите ОО A.PROTECT - предполагается, что аппаратные средства и программное обеспечение ОО, критичные по отношению к реализации политики безопасности, физически защищены от несанкционированной модификации со стороны потенциальных нарушителей.

B.4.2 Примеры предположений, связанных с персоналом

A.ADMIN - предполагается, что назначены один или несколько уполномоченных администраторов, которые компетентны (обладают необходимой квалификацией), чтобы управлять ОО и безопасностью информации, которую содержит ОО. При этом данным администраторам можно доверять в том, что они не злоупотребят преднамеренно своими привилегиями с тем, чтобы нарушить безопасность.

А.АТТАСК - предполагается, что нарушители имеют высокий уровень специальных знаний, мотивации и необходимые ресурсы.

A.USER - предполагается, что пользователи ОО обладают необходимыми привилегиями для доступа к информации, которой управляет ОО.

В.4.3 Примеры предположений, имеющих отношение к связности

A.DEVICE - предполагается, что все соединения с периферийными устройствами находятся в пределах контролируемой зоны.

A.FIREWALL - предполагается, что межсетевой экран настроен так, что он является единственной точкой сетевого соединения между частной (приватной) сетью и (потенциально) враждебной сетью.

A.PEER - предполагается, что любые другие системы, с которыми связывается ОО, принадлежат тому же органу управления, что и ОО, и работают при тех же самых ограничениях политики безопасности.

B.5 Примеры целей безопасности для объекта оценки

В данном подразделе приводятся примеры целей безопасности для ОО, которые могут использоваться при формировании ПЗ или ЗБ.

O.ADMIN - ОО должен предоставить уполномоченному администратору средства, позволяющие ему эффективно управлять ОО и его (OO) функциями безопасности, а также гарантировать, что только уполномоченные администраторы могут получить доступ к таким функциональным возможностям.

O.ANON - ОО должен предусматривать средства разрешения субъекту использовать ресурс или услугу без раскрытия идентификационной информации пользователя другим сущностям (объектам или субъектам).

O.AUDIT - ОО должен предусматривать средства регистрации любых событий, относящихся к безопасности, чтобы помочь администратору в обнаружении потенциальных нарушений (атак) или неправильной настройки параметров, которые делают ОО уязвимым для потенциальных нарушений (атак), а также держать пользователей подотчетными за любые действия, которые они исполняют и которые связаны с безопасностью.

O.DAC - ОО должен предоставлять пользователям средства управления и ограничения доступа других пользователей (или идентифицированных групп пользователей) к объектам и ресурсам, по отношению к которым первые являются владельцами или ответственными, в соответствии с набором правил, определенных политикой безопасности P.DAC.

O.ENCRYPT - ОО должен предусматривать средства защиты конфиденциальности информации при передаче последней по сети между двумя конечными системами.

O.ENTRY - ОО должен иметь возможность ограничения входа (доступа к ОО) пользователя на основе времени и расположения устройства входа (доступа).

O.I&A - ОО должен выполнять уникальную идентификацию всех пользователей и аутентификацию (проверку подлинности) идентификационной информации до предоставления пользователю доступа к сервисам ОО.

O. INTEGRITY - ОО должен иметь средства обнаружения нарушения целостности информации.

O.LABEL - ОО должен хранить и сохранять целостность меток для информации, хранимой и обрабатываемой ОО. Вывод данных (экспорт) ОО должен иметь метки секретности (конфиденциальности), которые в точности соответствуют внутренним меткам секретности (конфиденциальности).

O.MAC - ОО должен защищать конфиденциальность информации, за управление которой ОО отвечает, в соответствии с политикой безопасности P.MAC, основанной на непосредственном сравнении индивидуальных разрешений (полномочий) по отношению к информации и маркировки чувствительности (конфиденциальности и др.) информации (мандатный принцип контроля доступа).

O.NOREPUD - ОО должен иметь средства подготовки доказательства авторства для того, чтобы предотвратить возможность отрицания отправителем информации факта ее отправки получателю, и доказательства получения информации для того, чтобы предотвратить возможность отрицания получателем информации факта получения этой информации.

O.PROTECT - ОО должен иметь средства собственной защиты от внешнего вмешательства или вмешательства со стороны не пользующихся доверием субъектов или попыток не пользующихся доверием субъектов обойти функции безопасности ОО.

O.PSEUD - ОО должен предусматривать средства для разрешения субъекту использовать ресурс или услугу без раскрытия идентификационной информации пользователя другим сущностям (объектам или субъектам) и в то же время держать эту сущность (объект, субъект) подотчетной за это использование.

O.RBAC - ОО должен предотвращать доступ пользователей к выполнению операций над ресурсами ОО, на которые они явным образом не уполномочены.

O.RESOURCE - ОО должен иметь средства управления использованием ресурсов пользователями ОО и субъектами в целях предотвращения несанкционированного отказа в обслуживании.

O.ROLLBACK - ОО должен иметь средства возврата к состоянию правильного функционирования, позволяя пользователю отменить транзакции в случае неправильной последовательности транзакций.

O.UNLINK - ОО должен иметь средства, позволяющие сущности многократно использовать ресурсы или услуги, выполняя это обособленно от других сущностей (объектов или субъектов), имеющих возможность доступа к тем же ресурсам или услугам.

O.UNOBS - ОО должен иметь средства, позволяющие пользователю использовать ресурс или услугу без раскрытия другим сущностям факта использования ресурса или услуги.

B.6 Примеры целей безопасности для среды

В данном разделе приводятся примеры целей безопасности для среды, которые могут использоваться при формировании ПЗ или ЗБ:

OE.AUDITLOG - администраторы ОО должны обеспечить эффективное использование функциональных возможностей аудита. В частности:

a) должны быть предприняты соответствующие действия (меры) для того, чтобы гарантировать непрерывное ведение журналов аудита, например, путем регулярного архивирования файлов регистрационных журналов перед очисткой журналов аудита с тем, чтобы обеспечить достаточное свободное пространство (на диске);

b) журналы аудита следует регулярно проверять и принимать соответствующие меры по обнаружению нарушений безопасности или событий, которые, по всей видимости, могут привести к таким нарушениям в будущем.

OE.AUTHDATA - ответственные за ОО должны обеспечить, чтобы данные аутентификации для каждой учетной записи пользователя ОО сохранялись в тайне и не раскрывались лицам, не уполномоченным использовать данную учетную запись.

OE.CONNECT - ответственные за ОО должны обеспечить отсутствие подключения к внешним системам или пользователям, которые могут нарушить безопасность ИТ.

OE.INSTALL - ответственные за ОО должны обеспечить безопасность ОО на этапах его поставки, установки и эксплуатации.

OE.PHYSICAL - ответственные за ОО должны обеспечить, чтобы те части ОО, которые являются критичными по отношению к реализации политики безопасности, были защищены от физического нападения, которое могло бы поставить под угрозу безопасность ИТ.

OE.RECOVERY - ответственные за ОО должны обеспечить, чтобы процедуры и/или механизмы были представлены так, чтобы после отказа системы или другой неисправности восстановление системы достигалось без ущерба для безопасности ИТ.

B.7 Пример соответствия целей безопасности и угроз

Пример соответствия целей безопасности и угроз приведен в таблице В.1. Формулировки угроз и целей безопасности не всегда соответствуют формулировкам, приведенным в разделах В2, В5 и В6.

Таблица В.1 - Пример соответствия целей безопасности и угроз

Активы	Угрозы	Цели безопасности
Данные на носителях	Данные раскрыты путем незаконного перемещения носителя	Предупреждение	Контроль перемещения носителя. Предотвращение раскрытия данных (путем шифрования и т.д.)
		Обнаружение	Контроль хранения носителей
	Обращение к данным, изменение, удаление, добавление в приложение или извлечение из приложения данных неуполномоченным лицом	Предупреждение	Управление эксплуатацией (например, ограничение возможности использования прикладной программы или терминала приложений). Контроль прав доступа к данным
		Обнаружение	Аудит регистрационного журнала эксплуатации приложения, обнаружение незаконного умышленного изменения, искажения или хищения данных и контроль последовательной нумерации данных
		Реагирование	Резервное копирование/ восстановление данных
	Данные раскрыты путем их выгрузки с носителя данных неуполномоченным лицом	Предупреждение	Управление эксплуатацией (например, ограничение использования функции выгрузки или терминала приложения). Предотвращение раскрытия данных (путем шифрования и т.д.)
		Обнаружение	Аудит информации журнала эксплуатации
	Использование остаточной информации на носителе	Предупреждение	Очистка памяти при удалении данных. Предотвращение раскрытия данных (путем шифрования и т.д.)
	Незаконное копирование данных	Предупреждение	Управление эксплуатацией (например, ограничение использования функции копирования или терминала приложения). Контроль прав доступа к данным. Предотвращение раскрытия данных (путем шифрования и т.д.)
		Обнаружение	Аудит эксплуатации. Контроль оригинала (например, при помощи идентификационных меток, встроенных в исходные тексты)
	Данные незаконно используются, или их использование затруднено из-за изменения атрибутов доступа к данным неуполномоченным лицом	Предупреждение	Управление эксплуатацией (например, ограничение использования функции изменения атрибутов данных или терминала приложения). Контроль прав доступа к файлу регистрации атрибутов
		Обнаружение	Аудит эксплуатации
		Реагирование	Резервное копирование/восстановление данных
	Данные получены незаконно путем фальсификации файла	Предупреждение	Управление эксплуатацией (например, ограничение использования функций создания и удаления файлов или рабочего терминала). Предотвращение раскрытия данных (путем шифрования и т.д.)
		Обнаружение	Аудит информации о владельцах файлов
	Данные повреждены из-за разрушения носителя	Предупреждение	Физическая защита носителей и управление доступом к месту их хранения. Дублирование хранимых носителей
		Обнаружение	Контроль хранимых носителей
		Реагирование	Резервное копирование/ восстановление данных
	Данные уничтожены или их использование затруднено из-за неисправности устройства ввода-вывода	Предупреждение	Контроль качества устройств ввода-вывода. Дублирование хранимых носителей
		Обнаружение	Обнаружение отказов (средствами ОС). Аудит файла (журнала) регистрации выполнения программы
		Реагирование	Резервное копирование/ восстановление данных
	Обращение к данным, изменение, удаление, добавление в приложение или извлечение из приложения данных неуполномоченным лицом путем использования соответствующей команды	Предупреждение	Управление эксплуатацией (например, ограничение использования команд или терминала). Контроль прав доступа к данным
		Обнаружение	Аудит информации из файла (журнала) регистрации операций, обнаружение незаконного умышленного изменения, искажения или хищения данных и контроль последовательной нумерации данных
		Реагирование	Резервное копирование/ восстановление данных
	Зашифрованные данные не могут быть дешифрованы из-за потери секретного ключа	Предупреждение	Строгий контроль за использованием секретного ключа
		Реагирование	Восстановление секретного ключа шифрования
	Данные ошибочно удалены уполномоченным лицом	Предупреждение	Обеспечение надлежащих руководств по эксплуатации или автоматизация операций. Предотвращение операционных ошибок (например, путем повторной проверки и последовательной регистрации прав удаления)
		Обнаружение	Аудит информации из журнала эксплуатации
		Реагирование	Резервное копирование/ восстановление данных
Данные в телекоммуникационных линиях	Данные перехвачены или разрушены в телекоммуникационной линии	Предупреждение	Физическая защита телекоммуникационных линий или контроль подключения оборудования к линиям. Предотвращение раскрытия данных, обнаружение незаконного умышленного изменения, искажения или хищения данных (например, путем шифрования передаваемых данных)
		Обнаружение	Обнаружение незаконного умышленного изменения, искажения или хищения данных
		Реагирование	Повторная передача данных
	Данные прослушиваются, незаконно умышленно изменены, искажены, похищены, удалены или дополнены в системе коммутации	Предупреждение	Управление эксплуатацией коммутационной системы (например, ограничение использования анализаторов протоколов ЛВС)
	Данные незаконно используются в результате подмены их адресата, отправителя или изменения атрибутов доступа в системе коммутации	Предупреждение	Защита передаваемых данных (путем шифрования и т.д.). Управление эксплуатацией системы коммутации (ограничение использования функции отладки)
		Обнаружение	Управление обнаружением незаконного умышленного изменения, искажения или похищения данных. Аудит журнала, содержащего информацию о работе отладочных средств
		Реагирование	Повторная передача данных
	Связь заблокирована из-за повреждения линии	Предупреждение	Установка резервных телекоммуникационных линий. Контроль качества телекоммуникационных линий
		Обнаружение	Обнаружение повреждений (средствами ОС)
		Реагирование	Повторная передача данных
	Связь заблокирована из-за аномалий в канале связи	Предупреждение	Установка резервных каналообразующих устройств. Контроль качества каналов связи
		Обнаружение	Обнаружение отказов (средствами ОС)
		Реагирование	Повторная передача данных
	Несанкционированная повторная передача данных в неразрешенный адрес	Предупреждение	Управление эксплуатацией системы коммутации (например, наложение ограничений на регистрацию программ)
		Обнаружение	Предотвращение повторной передачи (путем использования порядковых номеров или временных меток)
Прикладные программы (приложения)	Выполнение приложения неуполномоченным лицом	Предупреждение	Управление правами на выполнение программы. Управление эксплуатацией системы коммутации (ограничение числа дисплеев отображения работы программ)
	Выполнение приложения неуполномоченным лицом	Предупреждение	Управление расположением и маршрутом выполнения программ. Обеспечение безопасности в момент
			отсутствия оператора. Наложение ограничений на использование терминалов приложений
		Обнаружение	Аудит выполнения программ
		Реагирование	Резервирование / восстановление данных
	Обращение к данным в библиотеке программ, модификация или удаление данных в библиотеке программ неуполномоченным лицом	Предупреждение	Управление правами доступа к библиотекам программ. Управление функционированием (ограничение использования команд модификации). Ограничение использования терминалов
		Обнаружение	Аудит функционирования
		Реагирование	Резервное копирование/ восстановление программ
	Незаконное использование программы или затруднение ее использования путем изменения ее атрибутов доступа неуполномоченным лицом	Предупреждение	Управление правами на выполнение программы. Управление правами на доступ к каталогу библиотеки программ. Управление функционированием (ограничение использования команд модификации)
		Обнаружение	Аудит функционирования
	Аномалии в ходе выполнения программы из-за аппаратного отказа компьютера	Предупреждение	Использование аппаратной конфигурации с дублированием. Контроль качества аппаратных средств
		Обнаружение	Обнаружение недостатков (средствами ОС)
		Реагирование	Восстановление работоспособности аппаратного обеспечения
Прикладные процессы и данные	Несанкционированное использование прикладных процессов (например, запросов по Telnet и FTP)	Предупреждение	Управление правами на выполнение программ. Использование межсетевых экранов (фильтров прикладного уровня). Использование инструкций по эксплуатации
		Обнаружение	Аудит выполнения программ
	Блокировка прикладных процессов (атаки, направленные на переполнение трафика, например, запросы на обработку потока ненужных данных)	Предупреждение	Назначить приоритеты обработки процессов. Запретить передачу электронной почты
		Обнаружение	Аудит сетевого доступа
	Отрицание факта обмена данными или отрицание их содержания	Предупреждение	Принятие мер, препятствующих отказу (например сохранение доказательств, используя третью доверенную сторону или функцию шифрования). Использование инструкций по эксплуатации
	Отказ от авторства данных	Предупреждение	Использование удостоверяющих сервисов (например, подтверждение авторства). Использование инструкций по эксплуатации
	Несанкционированная передача данных	Предупреждение	Управление потоками данных (например, использование межсетевого экрана и применение правил базы данных). Контроль качества прикладных программ. Управление функционированием (например наложение ограничений на регистрацию программ)
		Обнаружение	Аудит доступа к данным
	Несанкционированное использование данных или программ путем использования оставшихся в программах отладочных функций	Предупреждение	Управление правами на доступ к данным и на выполнение программ. Управление функционированием (например, ограничение возможности использовать функцию отладки)
		Обнаружение	Аудит выполнения прикладной программы
	Необоснованный отказ от предоставления услуги	Предупреждение	Назначение приоритетов обработки процессов. Контроль качества прикладных программ. Обучение и обеспечение инструкциями эксплуатационного персонала. Контроль качества аппаратных средств обработки данных. Оценка производительности ресурсов обработки данных
			Аудит выполнения прикладной программы
	Незаконное умышленное изменение, искажение, похищение, удаление или разрушение данных	Предупреждение	Управление правами на использование данных. Управление созданием и пересылкой данных
		Обнаружение	Обнаружение изменений данных
		Реагирование	Резервное копирование данных
	Несанкционированное выполнение операций	Предупреждение	Управление правами на выполнение операций. Контроль места выполнения операций (удаленный, через Интернет и т.д.)
		Обнаружение	Аудит выполнения операций
	Нарушение конфиденциальности	Предупреждение	Управление правами на использование конфиденциальной информации. Анонимность и использование псевдонимов. Обеспечение правильности завершения сеанса обработки данных
Отображаемые данные	Просмотр данных неуполномоченным лицом	Предупреждение	Физическая защита (изоляция) дисплея. Обеспечение выполнения требований эксплуатационных документов
	Несанкционированное копирование или печать	Предупреждение	Обеспечение защиты во время отсутствия уполномоченного лица. Ограничение использования функций копирования и печати. Обеспечение выполнения требований эксплуатационных документов
		Обнаружение	Контроль подлинности (электронные метки)
Вводимые данные	Данные раскрыты во время ввода	Предупреждение	Контроль доступа в помещение, в котором расположен терминал ввода информации. Обеспечение выполнения требований эксплуатационных документов
	Введенные данные несанкционированно изъяты (или удалены)	Предупреждение	Контроль носителя, на котором хранятся введенные данные. Обеспечение выполнения требований эксплуатационных документов
		Реагирование	Резервное копирование вводимых данных
Данные, выводимые на печать	Ознакомление или изъятие данных неуполномоченным лицом	Предупреждение	Физическая защита печатаемых данных. Обеспечение выполнения требований эксплуатационных документов
	Несанкционированное копирование	Предупреждение	Защита от копирования. Обеспечение выполнения требований эксплуатационных документов
		Обнаружение	Контроль подлинности (электронная метка)
Данные пользователей	Пользователь (человек, система, терминал) не может быть идентифицирован	Предупреждение	Идентификация доступа. Идентификация (назначение идентификатора каждому пользователю/системе; IP-адрес). Ограничение рабочих мест
		Обнаружение	Аудит выполнения идентификации
	Маскировка путем использования раскрытой идентификационной информации пользователя (человека, системы, терминала)	Предупреждение	Аутентификация пользователя. Контроль идентификационной информации
		Обнаружение	Аудит выполнения идентификации
	Пользователь не идентифицирован	Предупреждение	Безотлагательная аутентификация (аутентификация до любых действий пользователя). Надежная идентификация. Аутентификация на основе секретного ключа, пароля, биометрических характеристик. Аутентификация с обратной связью
		Обнаружение	Аудит выполнения аутентификации
	Маскировка путем использования незаконно раскрытой информации аутентификации	Предупреждение	Использование нескольких механизмов аутентификации. Управление доступом к серверу (раннее обнаружение атак; регистрация информации о выполнении аутентификации). Защита аутентификационной информации (однонаправленное шифрование)
	Маскировка путем использования незаконно раскрытой информации аутентификации	Предупреждение	Ограничение путей доступа (например, запрет доступа с использованием общих телекоммуникационных линий и Интернет). Использование одноразовых паролей
		Обнаружение	Аудит доступа к системе
		Реагирование	Блокировка работы пользователя
	Маскировка путем незаконного (логического) вывода аутентификационной информации	Предупреждение	Аутентификация (предотвращение логического вывода). Управление доступом к серверу (раннее обнаружение атак; обеспечение невозможности получения доступа к серверу на длительный период). Использование нескольких механизмов аутентификации. Управление аутентификационной информацией (например, предотвращение логического вывода, использование длинного секретного ключа шифрования, синтаксических правил генерации аутентификационной информации и изменение ее начального значения)
		Обнаружение	Аудит доступа к системе
		Реагирование	Блокировка работы пользователя. Минимизация нежелательного воздействия (минимизация времени действия)
	Маскировка путем использования недействительной аутентификационной информации	Предупреждение	Контроль срока действия аутентификационной информации. Управление аутентификационной информацией (например, контроль за уничтожением информации)
		Обнаружение	Аудит доступа к системе
	Использование недействительного права из-за сбоя журнала регистрации прав пользователей	Предупреждение	Контроль за пользователями (безотлагательное отражение модификации прав пользователей)
		Обнаружение	Аудит доступа к системе
	Действия пользователя несанкционированно раскрыты (нарушение конфиденциальности)	Предупреждение	Управление правами доступа к регистрационной информации, имеющей отношение к пользователям. Анонимность и использование псевдонимов. Обеспечение правильности завершения сеанса обработки данных
		Обнаружение	Аудит доступа к системе
	Отрицание факта передачи данных	Предупреждение	Предотвращение отказа от факта передачи данных. Обеспечение выполнения требований эксплуатационных документов
		Обнаружение	Аудит обмена данными
	Отрицание владения данными	Предупреждение	Автоматическая регистрация владельца в процессе формирования данных
		Обнаружение	Аудит доступа к системе
	Отрицание факта приема данных	Предупреждение	Предотвращение отказа от факта приема данных. Обеспечение выполнения требований эксплуатационных документов
		Обнаружение	Аудит обмена данными
	Данные посланы несоответствующему получателю вследствие его маскировки под авторизованного пользователя или ошибки спецификации	Предупреждение	Аутентификация адресата. Обеспечение выполнения требований эксплуатационных документов
		Обнаружение	Аудит обмена данными
	Маскировка путем подделки информации аутентификации	Предупреждение	Управление правами доступа к аутентификационной информации. Проверка достоверности аутентификационной информации. Управление аутентификационной информацией (например, предотвращение фальсификации, надежная организация процесса аутентификации, физическая защита устройств аутентификации)
		Обнаружение	Управление доступом к серверу (раннее обнаружение атак)
Системные службы и данные	Нарушение безопасности системы путем раскрытия секретного ключа шифрования	Предупреждение	Создание секретных ключей шифрования достаточной стойкости и длины и использование стандартных протоколов передачи ключей
		Обнаружение	Аудит функционирования системы
		Реагирование	Назначение нового секретного ключа
	Система незаконно используется пользователем, который выдает себя за оператора во время отсутствия оператора	Предупреждение	Обеспечение надлежащей защиты во время отсутствия оператора (например, временное прекращение работы, сеанса и проведение повторной аутентификации)
	Нарушение безопасности системы вследствие несанкционированного действия или ошибки уполномоченного пользователя	Предупреждение	Предотвратить ошибки уполномоченного пользователя (например, путем использования запросов подтверждения выполняемых действий). Управление правами пользователя (назначение минимально необходимых прав). Управление аудитом, разработка инструкций, повышение квалификации пользователей и применение штрафов
		Обнаружение	Аудит функционирования системы
	Внедрение вирусов	Предупреждение	Проверка на отсутствие вирусов в полученных программах, а также файлах, присоединенных к сообщениям, поступающим по электронной почте. Управление доступом (назначение соответствующих прав доступа и защита файлов). Запрет использования данных или программ, полученных извне. Контроль инсталляции программ
		Обнаружение	Аудит работы системы
		Реагирование	Выполнение необходимых ответных действий (Например, остановка системы Или отключение от внешней системы)
	Несанкционированное проникновение в систему	Предупреждение	Идентификация, аутентификация и подтверждение прав пользователей (авторизация) при доступе в систему. Управление конфигурацией системы (например, подключением оборудования и внешними соединениями). Управление пользователями
		Обнаружение	Аудит функционирования системы
	Проникновение в систему, используя известные дефекты протоколов (например, протокола IP)	Предупреждение	Использование межсетевых экранов (фильтрация). Контроль доступа к системным ресурсам. Ограничение доступа к программам или сервисам, реализующим уязвимые протоколы
		Обнаружение	Аудит функционирования системы
	Нарушение безопасности системы вследствие несанкционированной замены системной программы	Предупреждение	Контроль доступа к библиотеке системных программ. Управление функционированием (разработка документации по использованию системных программ)
	Нарушение безопасности системы вследствие несанкционированной замены системной программы	Обнаружение	Аудит доступа к библиотеке программ
		Реагирование	Резервное копирование программ
	Обслуживание прекращено из-за разрушения системной программы	Предупреждение	Дублирование библиотеки системных программ. Контроль носителей программ и эксплуатации программ
	Несанкционированная системная операция	Предупреждение	Управление правами на выполнение операций. Управление эксплуатацией (ограничения выполнения операций)
		Обнаружение	Аудит эксплуатации
Информационное оборудование	Повреждение или изъятие	Предупреждение	Дублирование. Управление доступом в помещение, где расположено оборудование. Управление конфигурацией оборудования в период хранения
	Отключение питания	Предупреждение	Использование резервных источников электропитания. Использование источников бесперебойного питания
		Реагирование	Возобновление электропитания

В.8 Примеры функциональных требований безопасности

Данный раздел в качестве примера идентифицирует функции безопасности, функциональные компоненты, описанные в ИСО/МЭК 15408-2, которые могут быть использованы для формулирования соответствующих ФТБ. Функции безопасности объединены в следующие группы:

- идентификация и аутентификация;

- управление доступом;

- аудит;

- целостность;

- доступность;

- приватность;

- обмен данными.

В.8.1 Требования идентификации и аутентификации

Функциональные компоненты для требований идентификации и аутентификации представлены в таблице В.2.

Таблица В.2 - Функциональные компоненты для требований идентификации и аутентификации

Требования безопасности		Функциональные компоненты
Управление доступом в систему (регистрацией)	Идентификация пользователей	FIA_UID.1-2
	Аутентификация пользователей	FIA_UAU.1-2
	Ограничение числа неудачных входов в систему	FIA_AFL.1
	Доверенный маршрут для входа в систему	FTP_TRP.1
	Управление доступом по времени и местоположению	FTA_TSE.1
Выбор паролей	Управление выбором сгенерированных пользователями паролей (например, минимальная длина, фильтры пароля, история пароля)	FIA_SOS.1
	Автоматическая генерация пароля ОО	FIA_SOS.2
	Окончание действия пароля	FMT_SAE.1
Защита аутентификационных данных	Скрытие пароля во время его ввода	FIA_UAU.7
	Защита от несанкционированной модификации и наблюдения	FMT_MTD.1
	Защита от повторной передачи	FPT_RPL.1
	Защита от копирования и подделки	FIA_UAU.3
	Защита от повторного использования аутентификационных данных (например, одноразовое использование пароля)	FIA_UAU.4
	Защищенный маршрут для изменения пароля	FTP_TRR.1
Блокирование сеанса	Блокирование вследствие бездействия пользователя	FTA_SSL.1
	Блокирование по запросу пользователя	FTA_SSL.2
	Завершение вследствие бездействия пользователя	FTA_SSL.3
Учетные записи и профили пользователей	Управление созданием, удалением и использованием учетных записей пользователя	FMT_MTD.1
	Определение атрибутов безопасности пользователя, содержащихся в его профиле	FIA_ATD.1
	Управление модификацией профилей пользователя (то есть атрибутами безопасности пользователя)	FMT_MTD.1

B.8.2 Требования управления доступом

Функциональные компоненты для требований управления доступом представлены в таблице В.3.

Таблица В.3 - Функциональные компоненты для требований управления доступом

Требования безопасности		Функциональные компоненты
Дискреционное управление доступом	Область действия политики безопасности (объекты, субъекты и действия, охватываемые политикой)	FDP_ACC.1-2
	Правила управления доступом субъектов к объектам	FDP_ACF.1
	Отмена прав в соответствии с политикой дискреционного управления доступом	FDP_ACF.1
Управление, основанное на атрибутах дискреционного управления доступом	Изменение прав доступа к объекту	FMT_MSA.1
	Задание атрибутов по умолчанию для вновь создаваемых объектов	FMT_MSA.3
	Изменение владельца объекта	FMT_MSA.1
	Изменение принадлежности к группе пользователей	FMT_MSA.1
Мандатное управление доступом	Область действия политики безопасности (объекты, субъекты и действия, охватываемые политикой)	FDP_IFC.1-2
	Правила управления доступом/информационными потоками	FDP_IFC.2
	Отмена прав в соответствии с политикой мандатного управления доступом	FDP_IFF.7-8
	Ограничение скрытых каналов	FDP_IFF.3-6
Управление, основанное на атрибутах мандатного управления доступом	Изменение меток объекта	FMT_MSA.1
	Задание меток по умолчанию для вновь создаваемых объектов	FMT_MSA.3
	Изменение разрешений пользователям	FMT_MSA.1
	Выбор разрешения на установление сеанса связи при входе в систему	FTA_LSA.1
Экспорт/импорт	Импорт немаркированных данных	FDP_ITC.1
	Экспорт с использованием каналов/устройств связи	FDP_ETC.1-2
	Маркировка отпечатанных выходных данных	FDP_ETC.2
Информационные метки	Ограничения на значения информационных меток	FDP_IFF.2.3
Информационные метки	Правила, управляющие "плавающими" метками	FDP_IFF.2.3
Повторное использование объекта	Защита остаточной информации в файлах, памяти и т.д.	FDP_RIP.1-2
Ролевое управление доступом	Область действия политики безопасности (на основе ролей, операций)	FDP_ACC.1-2
	Правила контроля выполнения операций	FDP_ACF.1
Управление на основе атрибутов ролей	Идентификация ролей	FMT_SMR.1-2
	Осуществление управления доступом на основе разделения действий по доступу между несколькими субъектами	FDP_ACF.1 FMT_SMR.2.3
	Управление полномочиями/авторизацией пользователей	FMT_MSA.1
	Изменение возможностей ролей	FMT_MSA.1
	Изменение ролей пользователей	FMT_MSA.1
Управление доступом на основе межсетевого экрана	Представление информационного потока в виде субъект-объект (например, на основе адресов и портов источника/адресата)	FDP_IFC.1-2 FDP_IFF.1
	Представление информационного потока по отношению к сеансу связи (предполагает использование proxy-серверов)	FTA_TSE.1

B.8.3 Требования аудита

Функциональные компоненты для требований аудита представлены в таблице В.4.

Таблица В.4 - Функциональные компоненты для требований аудита

Требования безопасности		Функциональные компоненты
События аудита	Спецификация подлежащих аудиту событий и информации, подлежащей регистрации	FAU_GEN.1
	Управление выбором подлежащих аудиту событий	FMT_MTD.1
	Обоснование выбора подлежащих аудиту событий	FAU_SEL.1
	Учет действий отдельных пользователей (после получения доступа в систему)	FAU_GEN.2
Обнаружение вторжений и ответная реакция	Генерация сигнала нарушения и ответная реакция на неизбежное нарушение безопасности	FAU_ARR.1
	Определение правил, событий, последовательности событий или моделей (шаблонов), по которым можно предположить о возможности нарушения безопасности	FAU_SAA.1-4
Защита журнала аудита	Защита от потери данных, например, при переполнении журнала аудита, прерывании функционирования	FAU_STG.2-4
Защита журнала аудита	Защита от несанкционированного доступа к данным аудита	FAU_STG.1
Анализ журнала аудита	Использование инструментальных средств анализа журналов аудита	FAU_SAR.1-3

B.8.4 Требования целостности

Функциональные компоненты для требований целостности представлены в таблице В.5 (включая данные аутентификации).

Таблица В.5 - Функциональные компоненты для требований целостности

Требования безопасности		Функциональные компоненты
Целостность данных	Обнаружение ошибок в хранимых данных	FDP_SDI.1
	Генерация и верификация значений контрольных сумм, односторонних хэш-функций, дайджестов сообщений и т.д.	FDP_DAU.1
	Откат транзакций (например, для баз данных)	FDP_ROL.1
Целостность ОО	Обнаружение несанкционированных изменений	FPT_PHP.1-2
	Противодействие несанкционированным изменениям	FPT_PHP.3
Данные аутентификации	Генерация и верификация цифровых подписей (сигнатур)	FDP_DAU.2
	Генерация и верификация цифровых сертификатов (например, сертификатов открытых ключей)	FDP_DAU.2

B.8.5 Требования доступности

Функциональные компоненты для требований доступности представлены в таблице В.6.

Таблица В.6 - Функциональные компоненты для требований доступности

Требования безопасности		Функциональные компоненты
Использование ресурсов	Введение ограничений (квот) на использование общих ресурсов отдельными пользователями	FRU_RSA.1-2
	Ограничение числа сеансов, открываемых одним пользователем	FTA_MCS.1-2
Обработка ошибок	Поддержание функционирования ОО в случае отказа (отказоустойчивость)	FRU_FLT.1-2
	Обнаружение ошибки	FPT_TST.1
	Устранение ошибки	FPT_RCV.1
Планирование	Планирование действий/процессов согласно установленным приоритетам обслуживания	FRU_PRS.1-2

B.8.6 Требования приватности

Функциональные компоненты для требований приватности представлены в таблице В.7.

Таблица В.7 - Функциональные компоненты для требований приватности

Требования безопасности		Функциональные компоненты
Приватность идентификационной информации пользователей	Защита от раскрытия идентификационной информации пользователя при использовании им сервисов или ресурсов	FPR_ANО.1
Приватность идентификационной информации пользователей	Анонимное, но подотчетное использование сервисов или ресурсов путем применения псевдонимов пользователей	FPR_PSE.1
Приватность использования ресурсов/ сервисов	Защита от раскрытия фактов использования конкретным пользователем определенных сервисов или ресурсов	FPR_UNL.1
	Скрытное использование определенных сервисов или ресурсов	FPR_UNО.1

В.8.7 Требования обмена данными

Функциональные компоненты для требований обмена данными представлены в таблице В.8.

Таблица В.8 - Функциональные компоненты для требований обмена данными

Требования безопасности		Функциональные компоненты
Конфиденциальность обмена данными	Пользовательские данные	FDP_UCT.1
	Критичные по безопасности данные (например, ключи и пароли)	FPT_ITC.1
Целостность передаваемых данных	Пользовательские данные	FDP_UIT.1-3
	Критичные по безопасности данные (например, ключи и пароли)	FPT_ITI.1-2
Невозможность отрицания фактов обмена информацией	Доказательство отправления передаваемой информации	FCO_NRО.1-2
	Доказательство получения передаваемой информации	FCO_NRR.1-2