ГОСТ Р ИСО/МЭК18045— 2008
a) идентификацию тестируемой явной уязвимости ОО;
b
) инструкции по подключению и настройке всего необходимого тестового оборудования, как требует
сядля проведения конкретного теста проникновения:
c) инструкции по установке всех предварительных начальных условий выполнения теста проникно
вения;
d) инструкции по инициированию ФБО;
e) инструкции по наблюдению режима выполнения ФБО;
0 описание всех ожидаемых результатов и анализа, который следует проводить по отношению к
наблюдаемому режиму выполнения ФБО для сравнения с ожидаемыми результатами:
д) инструкции по завершению теста и установке необходимого посттестоеого состояния ОО.
Цель данного уровня детализации в тестовой документации — предоставить возможность другому
оценщику повторитьтесты и получить эквивалентный результат.
11.9.2.5.3 Шаг оценивания 2iAVA_VLA.1-6
Оценщикдолжен провести тестирование проникновения, основываясь на материалах анализа уязви
мостей, выполненного разработчиком.
Оценщик используетдокументацию для тестов проникновения, подготовленных на шаге оценивания
AVA_VLA.1-4, как основудля выполнения тестов проникновения по отношению к ОО. но это не препятству ет
оценщику выполнитьдополнительные специальные тесты проникновения. Если потребуется, оценщик
может подготовитьспециальные тесты врезультате изучения информации в процессе тестирования проник
новения, которые, если были выполнены оценщиком, должны быть внесены в документацию для тестов
проникновения. Такие тесты могут быть необходимы, чтобы исследовать непредвиденные результаты или
наблюдения, а также потенциальные уязвимости, существование которых предположил оценщик во время
предварительно запланированного тестирования.
11.9.2.5.4 Шаг оценивания 2;AVA_VLA 1-7
Оценщикдолжен зафиксировать фактические результаты выполнения тестов проникновения.
Хотя некоторые специфическиедетали фактических результатов выполнения тестов могут отличаться
от ожидаемых (например, поля времени и даты в записи аудита), общий результат должен быть идентич
ным. Любые различия следует логически обосновать.
11.Э.2.5.5 Шаг оценивания 2;AVA_VLA.1-8
Оценщик должен исследовать результаты всего тестирования проникновения и выводы по всему
анализу уязвимостей, чтобы сделать заключение, что ОО (в своей предопределенной среде) не имеет
пригодныхдля использования явных уязвимостей.
Если результаты показывают, что ОО имеет явные уязвимости, пригодные для использования в его
предопределенной среде, то это приводит к отрицательному вердикту по данномудействию оценщика.
11.9.2.5.6 Шаг оценивания 2:AVA_VLA 1-9
Оценщик должен привести в ТОО информацию об усилиях оценщика по тестированию проникнове
ния. кратко изложив подход к тестированию, тестируемую конфигурацию, глубину и результаты
тестирования.
Информация о тестировании проникновения, приводимая в ТОО, позволяет оценщику передать об
щий подход к тестированию проникновения и усилия, затраченные на этот подвид деятельности. Цель
предоставленияданной информации состоит в том. чтобы привести краткий содержательный обзор усилий
оценщика по тестированию проникновения. Это неозначает, что информация в ТОО относительно
тестиро вания проникновения является точным воспроизведением конкретных шагов тестирования или
результатов отдельных тестов проникновения. Целью является предоставить достаточные подробности,
чтобы позво литьдругим оценщикам и сотрудникам органов оценки понять выбранный подход к
тестированию проник новения, объем выполненного тестирования проникновения, тестируемые
конфигурации ОО и общий ре зультатдействий по тестированию проникновения.
Информация об усилиях оценщика по тестированию проникновения, которую обычно можно найти в
соответствующем разделе ТОО, включает в себя.
a)тестируемые конфигурации ОО. Конкретные конфигурации ОО, которые были подвергнуты тестиро
ванию проникновения;
b
) функции безопасности, подвергнутые тестированию проникновения. Краткий перечень функций
безопасности, на которых былососредоточено тестирование проникновения;
c) вердикт по данному подвиду деятельности. Общее решение по результатам тестирования проник
новения.
96