Профиль защиты ОС Линукс

Продолжение таблицы 2.5.1 

2.6 Обоснование

      Раздел  содержит обоснование выбора, формирования и использования целей безопасности и требований.

2.6.1 Цели безопасности, вытекающие из угроз

      Каждой  идентифицированной в таблице 2.2.1.1 угрозе безопасности соответствует цель (цели) безопасности, а также угроза может быть учтена в предположении безопасности. В таблице 1.1 приведено покрытие угроз целями безопасности. Далее приведены объяснения того, почему данная угроза покрывается данными целями.

      T.ADMIN_ERROR. Неправильное администрирование может происходить в результате некомпетентности администратора, плохой его осведомленности или его ненадежности, в предположении A.ADMIN рассматриваются эти возможности. Если ОО обеспечивает необходимую поддержку администратору (O.MANAGE) и администратор должным образом обучен (O.TRAINED _ADMIN), то эта угроза должна быть устранена.

      T.AUDIT_CORRUPT. Повреждение или уничтожение данных аудита физическими средствами учтено в предположении A.PHYSICAL. При разрушении или искажении данных аудита другим способом требуется наличие такой цели безопасности, которая бы требовала, чтобы система ИТ управляла доступом к своим ресурсам (O.ACCESS). Поскольку считается, что данные аудита являются данными ФБО, то для ФБО определена цель, которая требует защиты ФБО (O.SELF_PROTECTION) и их данных (O.AUDIT _PROTECTION). Администраторы могут потерять или разрушить данные аудита, если они не обучены (O.TRAINED_ADMIN) использованию средств администрирования, доступных им (O.MANAGE).

      T.CONFIG_CORRUPT. Повреждение или уничтожение данных конфигурации физическими средствами учтено в предположении A.PHYSICAL. При разрушении или искажении данных конфигурации другим способом требуется наличие такой цели безопасности, которая бы требовала, чтобы система ИТ управляла доступом к своим ресурсам (O.ACCESS). Поскольку считается, что данные конфигурации являются данными ФБО, то для ФБО определена цель, которая требует защиты ФБО (O.SELF_PROTECTION) и их данных. Администраторы могут потерять или разрушить данные аудита, если они не обучены (O.TRAINED_ADMIN) использованию средств администрирования, доступных им (O.MANAGE).

      T.DATA_NOT_SEPARATED. Наличие этой угрозы требует, чтобы данные были соответствующим образом помечены (O.MARKINGS), и чтобы осуществлялись политика управления доступом (O.MANDATORY_ACCESS) и политика целостности (O.MANDATORY_INTEGRITY), основанные на метках. Рассматривается также цель предотвращения доступа пользователей к помеченным данным, которые были сохранены в системных ресурсах, предварительно распределенных другим пользователям (O.RESIDUAL _INFORMATION). Таким образом, система ИТ может управлять доступом к ресурсам, этого требует цель (O.ACCESS).

      T.DOS. Наличие этой угрозы приводит к цели, обеспечивающей, чтобы никакой пользователь не мог блокировать доступ других к своим ресурсам (O.RESOURCE_SHARING).

      T.EAVESDROP. Наличие этой угрозы приводит к необходимости наличия цели шифрования в линии связи (O.ENCRYPTED_CHANNEL) для защиты любых данных ФБО (O.SELF_PROTECTION) или данных пользователя (O.PROTECT) от просмотра их неуполномоченными пользователями (O.ENCRYPTION _SERVICES).

      T.IMPROPER_INSTALLATION.  Доверенный персонал может запустить систему так, что она не будет обеспечена достаточной защитой (O.INSTALL), если персонал не обучен (O.TRAINED_ADMIN) использованию доступных средств администрирования (O.MANAGE).

      T.INSECURE_START.  Наличие этой угрозы приводит к необходимости определения цели доведения системы до безопасного состояния (O.RECOVERY) и, таким образом, к определению цели поддержания безопасности (O.TRUSTED _SYSTEM_OPERATION). Администраторы могут запустить систему так, что она не будет обеспечена достаточной защитой, если они не обучены (O.TRAINED_ADMIN) использованию доступных средств администрирования (O.MANAGE). Если есть возможность для администраторов преднамеренно запускать систему так, что она не будет обеспечена достаточной защитой, то необходимо пользоваться предположением (A.ADMIN), что они не будут делать так.

      T.MASQUERADE. Наличие угрозы злонамеренного процесса маскировки под действия ФБО приводит к необходимости определения цели предоставления пользователям средств, обеспечивающих им уверенность в том, что они дискреционно поддерживают связь с ФБО (O.TRUSTED_PATH) и необходимых знаний для того, чтобы пользоваться этими средствами (O.TRAINED_USERS). Наличие угрозы маскировки пользователя под другого пользователя приводит  к необходимости цели идентификации пользователей (O.USER_ IDENTIFICATION) и к необходимости делать это надежно (O.USER _AUTHENTICATION). Угроза маскировки при помощи установления несанкционированного сеанса приводит к необходимости цели защиты канала коммуникаций от раскрытия (O.ENCRYPTED_CHANNEL) и модификации (O.TSF_CRYPTOGRAPHIC_INTEGRITY).

      T.OBJECTS_NOT_CLEAN. Наличие этой угрозы приводит к необходимости запрета пользователям иметь доступ к данным, которые были сохранены в системных ресурсах, предварительно распределенных другим пользователям (O.RESIDUAL _INFORMATION). Таким образом, система ИТ может управлять доступом к ресурсам, этого требует цель (O.ACCESS).

      T.POOR_DESIGN. Количество ошибок в проекте ОО может быть уменьшено путем устранения ошибок в логике проекта (O.SOUND_DESIGN) и с помощью тщательного отслеживания произведенных изменений (O.CONFIG_MGMT). Внесение ошибок в проект может быть устранено путем поиска возможно внесенных уязвимостей (O.VULNERABILITY _ANALYSIS). Проекты низкого качества, которые были правильно реализованы, могут быть выявлены при тестировании (O.TESTING и O.PENETRATION_TEST).

      T.POOR_IMPLEMENTATION. Количество ошибок в реализации ОО может быть уменьшено путем проверки  (O.TESTING) того, что реализация является правильным отражением проекта (O.SOUND_IMPLEMENTATION). Дополнительное количество ошибок в реализации может быть уменьшено путем поиска возможно внесенных уязвимостей (O.VULNERABILITY _ANALYSIS) и с помощью тестирования для выявления существования уязвимостей (O.PENETRATION _TEST). Внесение ошибок может также быть уменьшено с помощью отслеживания изменений (O.CONFIG_MGMT).

      T.POOR_TEST. Эта угроза основана на неспособности определить, являются ли тесты (O.TESTING) достаточными для того, чтобы показать, что ОО поддерживает свою безопасность (O.TRUSTED_SYSTEM_OPERATION). Наличие этой угрозы покажет адекватное тестирование (O.PENETRATION _TEST).

      T.REPLAY. Повторное осуществление аутентификации предоставило бы возможность  нарушителю получить доступ к ресурсам, защищаемым ОО (O.ACCESS). Пользователи могут быть осведомлены о факте, что кто-то повторно осуществлял аутентификацию, если ОО будет сообщать им при каждом входе в систему о предыдущем входе в систему (O.ACCESS_HISTORY). Использование некоторых типов шифрования (O.ENCRYPTED_CHANNEL, O.ENCRYPTION_SERVICES), например, использование различных ключей во время сеанса, может уменьшать возможность повторных нападений. Доступы по меткам времени могут быть осуществлены повторно, если нет средства, чтобы защитить целостность меток времени (O.TSF_CRYPTOGRAPHIC _INTEGRITY).

      T.SPOOFING. Наличие этой угрозы приводит к необходимости цели предоставления пользователям средств обеспечения их реальной связью с ФБО (O.TRUSTED_PATH). Подмену можно также избежать, используя средства цифровой подписи (O.ENCRYPTION_SERVICES, O.TSF_CRYPTOGRAPHIC _INTEGRITY). Подмена, целью которой является получение данных для криптоанализа, может быть предотвращена путем закрытия содержания сообщения (O.ENCRYPTED_CHANNEL).

      T.SYSACC. Угроза со стороны нарушителя, получающего доступ к учетной записи администратора (O.ACCESS), может осуществляться физическими средствами (A.PHYSICAL).В других случаях доступ к учетной записи администратора может быть получен после идентификации (O.USER_IDEN-TIFICATION) и аутентификации (O.USER_AUTHENTICATION). Администраторы могут быть информированы о факте доступа к их учетной записи с использованием правильных данных аутентификации (O.ACCESS _HISTORY). Администратор должен знать об этом (O.TRAINED _ADMIN), чтобы проверять данную информацию (O.MANAGE) при каждом входе в систему.

      T.UNATTENDED_SESSION. Несопровождаемые сеансы должны быть защищены (O.PROTECT) от несанкционированного доступа (O.ACCESS). Это может быть выполнено просто путем информирования пользователей, что они не должны оставлять сеансы без сопровождения (O.TRAINED_USERS), или требуя от пользователей повторно проводить аутентификацию (O.USER_AUTHENTICATION) после возвращения к несопровождаемому сеансу. Если экран не очищается (O.RESIDUAL _INFORMATION) и могут быть видны данные, то в этом случае должна быть предусмотрена другая защита данных.

      T.UNAUTH_ACCESS. Предположение A.PHYSICAL адресовано угрозе несанкционированного физического доступа. Наличие угрозы другого типа несанкционированного  доступа приводит к необходимости целей защиты данных пользователя (O.PROTECT) или данных ФБО, или ресурсов (O.SELF_PROTECTION) от несанкционированного доступа (O.ACCESS). Доступ к данным пользователя может быть либо дискреционным (O.DISCRETIONARY_ACCESS), либо мандатным (O.MANDATORY _ACCESS) доступом для предотвращения раскрытия, либо мандатным (O.MANDATORY_INTEGRITY) доступом для защиты целостности.

      T.UNAUTH_MODIFICATION. Предположение A.PHYSICAL адресовано угрозе несанкционированной модификации системных атрибутов или ресурсов, основанной на физическом доступе. Наличие другой угрозы несанкционированной модификации приводит к необходимости целей защиты данных ФБО или ресурсов (O.SELF_PROTECTION) от несанкционированной модификации (O.ACCESS). Доступ к данным пользователя может быть либо дискреционным (O.DISCRETIONARY_ACCESS), либо мандатным (O.MANDATORY _ACCESS) доступом для предотвращения раскрытия, либо мандатным (O.MANDATORY_INTEGRITY) доступом для защиты целостности. Системные атрибуты включают маркирование метками (O.MARKINGS).

      T.UNDETECTED_ACTIONS. Основное предположение о физической защите (A.PHYSICAL) адресовано угрозе необнаруженной физической манипуляции с ОО. Другие действия также должны быть обнаружены и зарегистрированы (O.AUDIT _GENERATION). Для того чтобы предотвратить удаление, записи аудита должны быть защищены (O.AUDIT_PROTECTION). Для обнаружения другого пользователя, компрометировавшего учетную запись путем повторного выполнения аутентификации, должна быть информация о предыдущем входе в систему (O.ACCESS_HISTORY).

      T.UNIDENTIFIED_ACTIONS. Угроза отказа администратору, желающему получить информацию о событиях аудита, приводит к необходимости цели иметь для администратора средства (O.MANAGE), предоставляющие обзор записей аудита (O.AUDIT _REVIEW), и знания, как работать с этими средствами (O.TRAINED _ADMIN).

      T.UNKNOWN_STATE. Наличие этой угрозы приводит к необходимости цели восстановления безопасного состояния системы (O.RECOVERY).

      T.USER_CORRUPT. Наличие этой угрозы требует защиты данных пользователя (O.PROTECT) от несанкционированного доступа (O.ACCESS). Санкционированный доступ может быть получен в соответствии с политикой дискреционного управления доступом (O.DISCRETIONARY_ACCESS) или политикой мандатного управления доступом (O.MANDATORY_ACCESS), или политикой мандатного управления целостностью (O.MANDATORY _INTEGRITY). Осуществление политики дискреционного управления доступом основано на атрибутах, установленных владельцами объектов (O.DISCRETIONARY _USER_CONTROL).