ГОСТ Р ИСО/МЭК18045— 2008
Оценщикдолжен исследовать материалы анализа уязвимостей, выполненного разработчиком, чтобы
сделать заключение, вся ли относящаяся к этому анализу информация рассмотрена при поиске явных
уязвимостей.
Предполагается, что анализ уязвимостей, выполненный разработчиком, охватывает поиск разработ
чиком явных уязвимостей, по меньшей мере, во всех поставляемых для оценки материалах и общедоступ
ных источниках информации. Оценщику следует использовать поставляемые для оценки материалы не
для выполнения независимого анализа уязвимостей (что не требуется AVA_VLA.1 «Анализ уязвимостей
разработчиком»), а как основу для оценки поиска разработчиком явных уязвимостей.
Информация в общедоступных источниках является очень динамичной. Поэтому возможно, что о
новых уязвимостях будет сообщено в общедоступных источниках в период между временем, когда разра
ботчик выполняет анализ уязвимостей, и временем завершения оценки. Моментом прекращения монито
ринга информации вобщедоступных источниках является выпуск органом оценки результатов оценки; по
этому за указаниями следует обращаться к органу оценки.
12.10.3.4.2 Шаг оценивания 3:AVA_VLA.1-2
Оценщикдолжен исследовать материалы анализа уязвимостей, выполненного разработчиком, чтобы
сделать заключение, описана ли каждая явная уязвимость и дано ли обоснование того, почемуона являет ся
непригодной для использования в предопределенной среде 00.
Предполагается, что разработчик выполнил поиск явных уязвимостей, основываясь на знании ОО и
информации из общедоступных источников. Требование задано только по идентификации явных уязвимос
тей. при этом подробный анализ не предполагается. Разработчик фильтрует эту информацию на основе
вышеизложенного определения и показывает, что явные уязвимости являются непригоднымидля исполь
зования в предопределенной среде.
Оценщику необходимо обратить внимание на три аспекта анализа, выполненного разработчиком:
a) были ли при анализе разработчиком рассмотрены все поставляемые для оценки материалы;
b
) приняты ли соответствующие меры для предотвращения использования явныхуязвимостей впред
определенной среде;
c) осталисьли некоторые явные уязвимости неидентифицированными.
Оценщику не следует беспокоиться, являются ли идентифицированные уязвимости явными или не
являются, если это не используется разработчиком в качестве основы для заключения о непригодности
уязвимостей для использования. В этом случае оценщик проверяет правильность утверждений, делая
заключение о противодействии нарушителю с низким потенциалом нападения поотношению к идентифици
рованной уязвимости.
Понятие «явныеуязвимости» несвязано с понятием «потенциал нападения». Последний определяет
ся оценщиком в ходе независимого анализа уязвимостей. Так как эти действия не выполняются для
AVA_VLA.1 «Анализ уязвимостей разработчиком», то обычно поиск и фильтрация информации на основе
потенциала нападения оценщиком неосуществляются. Однако оценщик может еще обнаружить потенци
альные уязвимости в ходе оценки, а заключение, как их следует учитывать, сделать путем ссылки на
определение явныхуязвимостей и понятие низкого потенциала нападения.
Заключение, остались ли некоторые явные уязвимости неидентифицированными. ограничивается
оценкой правильности анализа, выполненного разработчиком, сравнением с информацией об уязвимостях
из общедоступных источников, а также сравнением с любыми последующими уязвимостями, идентифици
рованными оценщиком в ходе выполнения другихдействий по оценке.
Уязвимость считают непригодной для использования, если выполнено одно или более условие из
следующих условий:
a)функции или меры безопасности в(ИТ или не-ИТ) среде предотвращают использование уязвимости
в предопределенной среде. Например, ограничивая физический доступ к 0 0 только уполномоченными
пользователями, можно фактически сделать уязвимость ОО к вмешательству непригодной для использо
вания;
b
) уязвимость является пригодной для использования, но только нарушителями, обладающими уме
ренным или высоким потенциалом нападения. Например, уязвимость распределенного ОО к нападениям,
связанным с перехватом сеанса, требует потенциала нападения выше, чем необходимо для использова
ния явной уязвимости. Такие уязвимости должны быть приведены в ТОО в качестве остаточных уязви
мостей;
c) в ЗБ либо неутверждается о противостоянии определенной угрозе, либо неутверждается о следо
вании определенной политике безопасности организации, которая может быть нарушена. Например, для
межсетевого экрана, в ЗБ которого не заявлена политикадоступности и который уязвим к TCP SYN-атакам
136