ГОСТ Р ИСО/МЭК18045— 2008
12.9.5.5.3 Шаг оценивания 3ATEJND.2-11
Оценщикдолжен привести в ТОО информацию об усилиях по тестированию, кратко изложив подход
ктестированию, тестируемую конфигурацию, глубину и результаты тестирования.
Информация оценщика о тестировании, приводимая в ТОО, позволяет оценщику передать общий
подход к тестированию и усилия, затраченные в течение оценки на вид деятельности по тестированию.
Смысл предоставления данной информации состоит втом, чтобы привести содержательный краткий обзор
усилий по тестированию. Не имеется в виду, чтобы информация о тестировании в ТОО былаточным воспро
изведением конкретных шагов тестирования или результатов отдельных тестов. Целью является предоста
вить достаточные подробности, чтобы позволитьдругим оценщикам и сотрудникам органов оценки понять
выбранный подход ктестированию, объем выполненного оценщиком тестирования, объем выполненного
разработчиком тестирования, тестируемые конфигурации ОО и общий результат вида деятельности по тес
тированию.
Информация, относящаяся к усилиям оценщика по тестированию, которую обычно можно найти в
соответствующем разделе ТОО. включает в себя.
a)тестируемые конфигурации ОО. Конкретные конфигурации ОО. которые были протестированы;
b
) выбранный размер подмножества. Число протестированных в течение оценки функций безопасно
сти и логическое обоснование этого размера;
c) критерии выбора для функций безопасности, которые составляют тестируемое подмножество.
Краткое изложение факторов, рассмотренных при отборе функций безопасности для включения в под
множество;
d) протестированные функции безопасности. Краткий перечень функций безопасности, обоснованно
включенных в подмножество;
e) выполненные тесты разработчика. Число выполненных тестов разработчика и краткое описание
критериев, использованныхдля выбора данных тестов;
0 вердикт по видудеятельности. Общий вывод по результатам тестирования, проведенного втечение
оценки.
Данный перечень ни в коем случае не является исчерпывающим и предназначен только для того,
чтобы дать некоторое представление о типе информации, касающейся тестирования, выполненного оцен
щиком в течение оценки, которую следует привести вТОО.
12.10 Вид деятельности «Оценка уязвимостей»
Виддеятельности «Оценка уязвимостей» предназначен для того, чтобы сделать заключение о суще
ствовании и пригодности для использования в предопределенной среде недостатков или слабых мест в
ОО. Это заключениедолжно быть основано на анализе, выполненном разработчиком и оценщиком, и под
держано тестированием, выполненным оценщиком.
12.10.1 Оценка неправильного применения (AVA_MSU.1)
12.10.1.1 Цели
Цель данного подвидадеятельности — сделать заключение, не являются ли руководства вводящи
ми в заблуждение, необоснованными или противоречивыми, были ли учтены процедуры безопасности для
всех режимов функционирования и будет ли использование руководств способствовать предотвращению
и обнаружению небезопасных состояний ОО.
12.10.1.2 Исходные данные
Свидетельствами оценки дляданного подвида деятельности являются;
a) ЗБ;
b
)функциональная спецификация;
c) проект верхнего уровня;
d) руководство пользователя;
e) руководство администратора;
0 процедуры безопасной установки, генерации и запуска;
д) тестовая документация.
12.10.1.3 Замечания по применению
Использование термина «руководства» в этом подвиде деятельности относится к руководству
пользователя, руководству администратора и процедурам безопасной установки, генерации и запуска.
Здесь к процедурам установки, генерации и запуска относятся все процедуры перевода ОО из состояния
при поставке в состояние функционирования, ответственным за выполнение которых является админи
стратор.
130