КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
А.6.2 Угрозы
|
|
|
|
А.6.1 Введение
В разделе ЗБ ” Описание проблемы безопасности“ определяется проблема безопасности, которая должна быть решена. Описание проблемы безопасности относительно ОК является аксиоматическим. Таким образом, формирование описания проблемы безопасности находится вне области применения ОК.
Однако следует отметить, что полноценность результатов оценки в существенной степени зависит от ЗБ, а полноценность ЗБ в существенной степени зависит от качества описания проблемы безопасности. Поэтому зачастую необходимо потратить существенные ресурсы и использовать четкие процессы и процедуры анализа, чтобы получить хорошее описание проблемы безопасности.
Следует отметить, что согласно ОК-3 не обязательно иметь изложение всех подразделов в описании проблемы безопасности; ЗБ, в котором изложены угрозы, не обязательно должно содержать изложение ПБОр и наоборот. Кроме того, в ЗБ могут быть опущены предположения.
Также следует отметить, что, когда ОО является физически распределенным, может оказаться предпочтительным рассмотреть соответствующие угрозы, ПБОр и предположения отдельно для различных областей (доменов) среды функционирования ОО.
Данный подраздел ” описания проблемы безопасности“ представляет угрозы, которым должен противостоять ОО, его среда функционирования или их сочетание.
Угроза определяется негативным действием, выполняемым источником угрозы по отношению к некоторому активу.
Негативные действия – действия, выполняемые источником угрозы по отношению к некоторому активу. Эти действия влияют на одну или более характеристик актива, которые связаны со значимостью данного актива.
Источники угроз могут быть описаны как отдельные сущности, но в некоторых случаях может оказаться предпочтительным описать их как типы сущностей, группы сущностей и т.п.
|
|
|
Примеры источников угроз – хакеры, пользователи, компьютерные процессы и происшествия. Далее источники угроз могут быть описаны через такие аспекты, как компетентность, доступные ресурсы, возможности и мотивация.
Примеры угроз:
· хакер (со значительной компетентностью, стандартным оборудованием и профинансированный для реализации угрозы), осуществляющий удаленное копирование конфиденциальных файлов из сети компании;
· компьютерный червь, существенно снижающий производительность глобальной сети;
· системный администратор, нарушающий приватность пользователя;
· пользователь Интернета, прослушивающий трафик конфиденциального электронного обмена.
А.6.3 Политика безопасности организации (ПБОр)
Данный подраздел ”Определения Описания проблемы безопасности“ представляет ПБОр, которые должны быть реализованы ОО, его средой функционирования или их сочетанием.
ПБОр – правила безопасности, процедуры или руководящие принципы, предписанные (или предполагаемые быть предписанными) в настоящее время и/или в будущем фактической или гипотетической организацией в среде функционирования. ПБОр может быть установлена организацией, управляющей средой функционирования ОО, или может быть установлена законодательными или регулирующими органами. ПБОр может относиться к ОО и/или к среде функционирования ОО.
Примеры ПБОр:
· все продукты, которые используются государственными организациями, должны соответствовать национальным стандартам по генерации пароля и криптографии;
· только пользователям с привилегиями правами системного администратора и допуском секретного отдела должно быть разрешено разрешается управление файл-сервером Департамента.
|
|
|
|
Дата добавления: 2014-01-15; Просмотров: 598; Нарушение авторских прав?; Мы поможем в написании вашей работы!