Точный
Статус документа
Статус документа

ГОСТ Р 57628-2017 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Руководство по разработке профилей защиты и заданий по безопасности

Приложение Б
(рекомендуемое)

     
Основные примеры

Б.1 Введение

В данном приложении приведены примеры угроз, ПБОр, предположений безопасности, целей безопасности. Кроме того, данное приложение содержит рекомендации по выбору функциональных компонентов, описанных в ГОСТ Р ИСО/МЭК 15408-2, для спецификации конкретных требований безопасности.

Формулировки угроз, ПБОр, предположений безопасности, целей и требований безопасности из данного приложения могут быть адаптированы для использования в конкретных ПЗ и ЗБ.

Б.2 Примеры угроз

При разработке ПЗ или ЗБ важным моментом является определение угроз. Ниже приведены примеры угроз:

- необнаруженная компрометация активов ИТ (преднамеренная или нет) в результате санкционированных действий уполномоченного пользователя ОО;

- уполномоченный пользователь ОО может получить доступ к информации или ресурсам без разрешения их владельца или лица, ответственного за данную информацию или данные ресурсы;

- необнаруженная компрометация активов ИТ в результате попытки нарушителя (сотрудника организации или постороннего лица) выполнить действия, которые ему не разрешены;

- нарушитель может перехватить данные, передаваемые по сети;

- уполномоченный пользователь ОО расходует общие ресурсы, ставя под угрозу возможность для других уполномоченных пользователей получить доступ к этим ресурсам или использовать эти ресурсы;

- уполномоченный пользователь ОО может (преднамеренно или случайно) передавать (по скрытому каналу) чувствительную информацию пользователям, которые не имеют допуска к работе с данной информацией;

- пользователь может участвовать в передаче информации (как отправитель или получатель), а затем впоследствии отрицать данный факт;

- компрометация активов ИТ в результате использования ОО уполномоченным пользователем в несоответствующее время дня или в несоответствующем месте;

- уполномоченный пользователь ОО может экспортировать информацию от ОО (в виде электронной или твердой копии) и впоследствии обрабатывать ее способами, противоречащими ее маркировке по степени секретности (конфиденциальности);

- нарушитель (постороннее лицо или сотрудник организации) может получить несанкционированный доступ к информации или ресурсам, выдавая себя за уполномоченного пользователя ОО;

- целостность информации может быть поставлена под угрозу из-за ошибки пользователя, аппаратных ошибок или ошибок при передаче;

- нарушитель может иметь возможность наблюдать за многократным использованием ресурсов или услуг какой-либо сущностью (субъектом или объектом) и, анализируя факты такого использования, получать информацию, которую требуется сохранить в секрете;

- целостность информации может быть нарушена вследствие несанкционированной модификации или уничтожения информации нарушителем;

- нарушитель может иметь возможность наблюдать законное использование ресурса или услуги пользователем, в то время как пользователь желает сохранить в секрете факт использования этого ресурса или услуги;

- пользователь ОО может (преднамеренно или случайно) наблюдать (изучать) информацию, сохраненную в ОО, к которой он не имеет допуска.

Следующие угрозы могут учитываться при формулировании целей безопасности для среды:

- ошибка человека, отказ программного обеспечения, аппаратных средств или источников питания могут вызвать внезапное прерывание в работе ОО, приводящее к потере или искажению критичных по безопасности данных;

- старение и износ носителей данных или несоответствующее хранение и обращение со сменным носителем могут привести к его порче, ведущей к потере или искажению критичных по безопасности данных;

- критичные по безопасности части ОО могут быть подвергнуты физической атаке, ставящей под угрозу их безопасность;

- компрометация активов ИТ может происходить в результате непреднамеренных или преднамеренных действий, предпринятых администраторами или другими привилегированными пользователями;

- целостность и (или) доступность активов ИТ может быть нарушена в результате непреднамеренного занесения в систему компьютерного вируса уполномоченным пользователем ОО.

Б.3 Примеры политики безопасности организации