ГОСТ Р ИСО/МЭК18045— 2008
11.9.2.4 Действие AVA_VLA.1.1Е
11.9.2.4.1 Шаг оценивания 2:AVA_VLA 1-1
ИСО/МЭК 15408-3 AVA_VLA.1.1C:Документация анализа уязвимостей должна содержать описа
ние анализапоставляемыхматериалов 00. выполненногодляпоиска явных способов, которыми пользо
ватель может нарушить ПБО.
ИСО/МЭК 15408-3 AVA_VLA.1.2С: Документация анализа уязвимостей должна содержать описа
ние решения в отношенииявных уязвимостей.
ИСО/МЭК 15408-3 AVA_VLA.1.ЗС: Документация анализа уязвимостей должна показать для всех
идентифицированныхуязвимостей, что ни одна из нихне может быть использована в предполагаемой
среде ОО.
Оценщикдолжен исследовать материалы анализа уязвимостей, выполненного разработчиком, чтобы
сделать заключение, вся ли относящаяся к этому анализу информация рассмотрена при поиске явных
уязвимостей.
Предполагается, что анализ уязвимостей, выполненный разработчиком, охватывает лоисх разработ
чиком явных уязвимостей, по меньшей мере, во всех поставляемых для оценки материалах и общедоступ
ных источниках информации. Оценщику следует использовать поставляемые для оценки материалы не
для выполнения независимого анализа уязвимостей (что не требуется AVA_VLA.1 «Анализ уязвимостей
разработчиком»), а как основу для оценки поиска разработчиком явных уязвимостей.
Информация в общедоступных источниках является очень динамичной. Поэтому возможно, что о
новых уязвимостях будет сообщено в общедоступных источниках в период между временем, когда разра
ботчик выполняет анализ уязвимостей, и временем завершения оценки. Моментом прекращения монито
ринга информации вобщедоступных источниках является выпуск органом оценки результатов оценки; по
этому за указаниями следует обращаться к органу оценки.
11.9.2.4.2 Шаг оценивания 2AVA_VLA. 1-2
Оценщикдолжен исследовать материалы анализа уязвимостей, выполненного разработчиком, чтобы
сделать заключение, описанали каждая явная уязвимость и дано ли обоснование того, почемуона являет ся
непригодной для использования в предопределенной среде ОО.
Предполагается, что разработчик выполнил поиск явных уязвимостей, основываясь на знании ОО и
информации из общедоступных источников. Требование задано только по идентификации явных уязвимос
тей. при этом подробный анализ не предполагается. Разработчик фильтрует эту информацию на основе
вышеизложенного определения и показывает, что явные уязвимости являются непригоднымидля исполь
зования в предопределенной среде.
Оценщику необходимо обратить внимание на три аспекта анализа, выполненного разработчиком:
a) были ли при анализе разработчиком рассмотрены все поставляемые для оценки материалы;
b
) приняты ли соответствующие меры для предотвращения использования явных уязвимостей впред
определенной среде.
c) осталисьли некоторые явные уязвимости неидентифицированными.
Оценщику не следует беспокоиться, являются ли идентифицированные уязвимости явными или не
являются, если это не используется разработчиком в качестве основы для заключения о непригодности
уязвимостей для использования. В этом случае оценщик проверяет правильность утверждений, делая
заключение о противодействии нарушителю с низким потенциалом нападения поотношению к идентифици
рованной уязвимости.
Понятие «явныеуязвимости» несвязанос понятием «потенциал нападения». Последний определяет
ся оценщиком в ходе независимого анализа уязвимостей. Так как эти действия не выполняются для
AVA_VLA.1 «Анализ уязвимостей разработчиком», то обычно поиск и фильтрация информации на основе
потенциала нападения оценщиком неосуществляются. Однако оценщик может еще обнаружить потенци
альные уязвимости в ходе оценки, а заключение, как их следует учитывать, сделать путем ссылки на
определение явныхуязвимостей и понятие низкого потенциала нападения.
Заключение, остались ли некоторые явные уязвимости неидентифицированными. ограничивается
оценкой правильности анализа, выполненного разработчиком, сравнением с информацией об уязвимостях
из общедоступных источников, а также сравнением с любыми последующими уязвимостями, идентифици
рованными оценщиком в ходе выполнениядругихдействий по оценке.
Уязвимость считают непригодной для использования, если выполнено одно или более условие из
следующих условий:
а)функции или меры безопасности в(ИТ или не-ИТ) среде предотвращают использование уязвимости
в предопределенной среде. Например, ограничивая физический доступ к ОО только уполномоченными
94