ГОСТ Р ИСО/МЭКТО 15446 — 2008
О
к
о
нч
а
ни
е
таб
лицы
С
.
1
Идентификатор угрозы
Типовая угроза
T.MAL
Связанные с криптографией активы ИТ могут быть модифицированы или рас
крыты неуполномоченному лицу или пользователю ОО в результате сбоя (отка
за) ОО
T.PHISICAL
Критичные с точки зрения безопасности части ОО могут быть подвержены фи
зическим атакам, которые могут поставить под угрозу (скомпрометировать) бе
зопасность
С.4.3 Политика безопасности организации
Правила ПБОр (если заданы), которыми должен руководствоваться ОО, также должны быть изложены в ПЗ
или ЗБ. Следует документировать изложение ПБОр относительно криптографических функциональных возмож
ностей ОО. которое не может быть включено или подразумеваться в описании угроз. Изложение ПБОр включает
в себя (но не ограничивается) изложение:
a) политики идентификации и аутентификации;
b
) политики управления доступом пользователей;
c) политики аудита и учета;
d) политики управления криптографическими ключами:
e) политики физической безопасности:
f) политики управления излучениями.
Разработчики ПЗ и ЗБ также могут применить изложение этих ПБОр к аспектам ОО, не связанным с крип
тографией.
Дополнительная информация различных составляющих политики безопасности для ОО, содержащего крип
тографические функциональные возможности, а также способ их представления в соответствии со стандартами
серии ИСО/МЭК 15408 представлены в С.5.5.
С.4.4 Цели безопасности и обоснование
Типовые цели безопасности приведены в таблице С.2.
Т а б л и ц а С.2 — Типовые цели безопасности для ОО
Идентификатор цели
Цель безопасности
O.I&A
ОО должен выполнять уникальную идентификацию всех пользователей и аутен
тификацию (проверку подлинности) идентификационной информации до пре
доставления пользователю доступа к сервисам ОО
O.DACOO
ОО должен предоставлять своим пользователям средства управления и огра
ничения доступа других пользователей (или идентифицированных групп пользо
вателей) к объектам и ресурсам, по отношению к которым первые являются
владельцами или ответственными, в соответствии с набором правил, опреде
ленных дискреционной политикой безопасности
О.РНР
ОО должен защищать себя и связанные с криптографией активы ИТ от несанк
ционированного физического доступа, модификации или использования
O.INTEGRITY
ОО должен иметь средства обнаружения нарушения целостности информации
O.FAILSAFE
В случав возникновения ошибки ОО должен сохранять безопасное состояние
O^DMIN
ОО должен предоставить уполномоченному администратору средства, позво
ляющие ему эффективно управлять ОО и его (ОО) функциями безопасности, а
также гарантировать, что только уполномоченные администраторы могут полу
чить доступ к таким функциональным возможностям
ОЕ.ЕМ1
Должны быть предприняты процедурные и физические меры для предотвраще
ния раскрытия связанных с криптографией активов ИТ неуполномоченным ли
цам или пользователям через электромагнитные излучения ОО
71