ГОСТРИСО/МЭК ТО 15446— 2008
при использовании ПЗ и ЗБ. а также ненужных повторений, обеспечив тем самым более простое
обоснование ПЗ и ЗБ.
Совпадение описаний угроз можно легко избежать, если специфицировать все угрозы на одинаковом
уровнедетализации. Например, нет необходимости при спецификации угрозы конкретным активам деталь
но описывать метод нападения, если конкретный сценарий нападения связан с более общими угрозами,
ранее изложенными в ПЗ или ЗБ.
Каждая угроза должна иметь уникальную метку. Это необходимодля упрощения использования ссы
лок (например, в тех частях раздела ПЗ «Обоснование», которые показывают связь изложенных целей
безопасности и угроз). Угрозы маркируют одним из перечисленных ниже способов:
a) последовательная нумерация угроз (например. У1. У2. УЗ и т.д.);
b
) присвоение уникальной метки, обеспечивающей краткое, но значащее «имя» (см. примеры в при
ложении В).
Преимущество подхода Ь) перед а) заключается в том. что уникальная метка является более инфор
мативной. так как несет в себе более значимую информацию, чем просто цифра. Неудобство подхода Ь)
заключается в том, что не всегда удается нанести уникальную метку (из-за практических ограничений,
связанных с ограничением числа символов в метке); так, в некоторых случаях метка может ввести в
заблуждение, или ее можно толковать по-разному.
Описаниеугроздолжнозатрагивать толькоте потенциальные события, которыенепосредственно могут
привести к компрометации активов, требующих защиты. Поэтому не рекомендуется включать в описание
угрозы, например, следующего вида: «В 0 0 могут существовать недостатки обеспечения безопасности
ОО». Такая формулировка угрозы не способствует пониманию пользователем ПЗ и ЗБ проблем безопасно
сти. Кроме того, учитывать сформулированную таким образом угрозудолжны не ОО и его среда, а разра
ботчики и оценщики ОО.
Применение контрмер для угроз может привести к атакам другого вида, что в свою очередь также
может привести к компрометации активов (например, обход или вмешательство в работу механизмов,
реализующих функции безопасности ОО). При рассмотрении в ПЗ и ЗБ такого рода угроз необходимо
стремиться к тому, чтобы:
a) в результате их включения в раздел «Среда безопасности ОО» преждевременно не рассматрива
лись детали реализации ОО. нарушающие системный подход к решению проблем безопасности;
b
) они (угрозы) не попадали в область действия существующих угроз.
Например, из существования угрозы X, направленной на компрометацию актива Y. следует, что лю
бая попытка обхода контрмер угрозе X может привести к компрометации актива Y. Следовательно, обход
контрмер угрозе X может рассматриваться в качестве метода нападения, который уже находится в области
действия угрозы X и. следовательно (в целях краткости формулировки аспектов безопасности ОО).
недол жен быть явно описан как отдельно реализуемая угроза.
При выборе требований безопасности ИТ. к которым (согласно стандартам серии ИСО/МЭК 15408) в
свою очередь предъявляются требования взаимной поддержки, существует необходимость рассмотрения
атак (например обход или вмешательство в процесс функционирования), направленных против контрмер,
реализуемых ОО. Любые возможные атаки также должны быть раскрыты на этапе оценки ОО. Также долж
ны быть выявлены все потенциально реализуемые атаки, направленные против функций безопасности ОО.
Примеры угроз приведены в приложении В.
8.3.4 Окончательное формулирование угроз
В раздел «Среда безопасности ОО» необходимо включать описание возможных угроз, влияющих
на безопасное функционирование ОО. Наибольший интерес представляют угрозы, которым должен проти
востоять ОО (часто вместе с организационными идругими мерами нетехнического характера). Однако
в целях полноты описания в ПЗ и ЗБ могут включаться угрозы, которым ОО непосредственно не
противостоит.
Ниже приведены примеры угроз, оказывающих влияние на безопасное функционирование ОО, но
которым ОО может не противостоять:
a) физическое нападение на ОО:
b
) злоупотребление правами со стороны привилегированных пользователей.
c) неправильное администрирование и функционирование ОО вследствие ненадлежащего исполне
ния обязанностей или недостаточной подготовки администраторов.
Окончательное решение о том. каким угрозам должон противостоять ОО. а каким — среда, может
быть принято толькопосле завершения формирования целей безопасности.
12