2.2. "ИТ.СДЗ.УБ4.ПЗ. Методический документ. Профиль защиты средства доверенной загрузки уровня базовой системы ввода-вывода четвертого класса защиты" (утв. ФСТЭК России 30.12.2013)

В данном подразделе представлено краткое описание функциональных возможностей ОО.

Средства доверенной загрузки, соответствующие настоящему ПЗ, должны обеспечивать:

возможность регистрации возникновения событий, относящихся к безопасности и контролируемых средством доверенной загрузки;

возможность реагирования на обнаружение событий, указывающих на возможное нарушение безопасности;

возможность контроля целостности загружаемой операционной системы;

возможность со стороны администраторов СДЗ управлять режимом выполнения функций безопасности средства доверенной загрузки;

возможность со стороны администраторов СДЗ управлять данными (данными средства доверенной загрузки), используемыми функциями безопасности средства доверенной загрузки;

поддержку определенных ролей (учетных записей пользователей) для средства доверенной загрузки и их ассоциации с конкретными администраторами средства доверенной загрузки и пользователями информационной системы;

возможность тестирования (самотестирования) функций безопасности средства доверенной загрузки, проверки целостности программного обеспечения средства доверенной загрузки и целостности данных средства доверенной загрузки;

блокирование загрузки операционной системы при выявлении попыток загрузки нештатной операционной системы;

блокирование загрузки операционной системы при превышении числа неудачных попыток аутентификации пользователя;

блокирование загрузки операционной системы при нарушении целостности средства доверенной загрузки;

блокирование загрузки операционной системы при нарушении целостности загружаемой программной среды;

блокирование загрузки операционной системы при критичных типах сбоев и ошибок.

СДЗ уровня базовой системы ввода-вывода встраиваются в базовую систему ввода-вывода и должны обеспечивать невозможность подключения нарушителя в разрыв между базовой системой ввода-вывода и СДЗ путем реализации следующих процессов:

получение управления в процессе выполнения базовой системы ввода-вывода до передачи управления для загрузки операционной системы с машинного носителя информации;

самотестирование средства доверенной загрузки;

идентификация и аутентификация пользователя с использованием портов ввода-вывода средства вычислительной техники;

контроль целостности среды функционирования (программной среды и элементов аппаратного обеспечения средства вычислительной техники);

продолжение выполнения базовой системы ввода-вывода с последующей загрузкой операционной системы в случае положительной аутентификации пользователя;

блокировка загрузки в случае превышения неудачных попыток аутентификации пользователя или попытки загрузки нештатной операционной системы;

регистрация событий безопасности и запись информации аудита в выделенную область памяти.