ГОСТ Р ИСО/МЭК18045— 2008
0 описание всех ожидаемых результатов и анализа, который следует проводить по отношению к
наблюдаемому режиму выполнения ФБО для сравнения с ожидаемыми результатами:
д) инструкции по завершению теста и установке необходимого посттестового состояния ОО.
Цель данного уровня детализации в тестовой документации — предоставить возможность другому
оценщику повторитьтесты и получить эквивалентный результат.
12.10.3.5.3 Шаг оценивания 3:AVA_VLA.1-6
Оценщикдолжен провести тестирование проникновения, основываясь на материалах анализа уязви
мостей, выполненного разработчиком.
Оценщик используетдокументацию для тестов проникновения, подготовленных на шаге оценивания
AVA_VLA.1-4, как основудля выполнения тестов проникновения по отношению к ОО. но это не препятству ет
оценщику выполнитьдополнительные специальные тесты проникновения. Если потребуется, оценщик
может подготовитьспециальные тесты врезультате изучения информации в процессе тестирования проник
новения, которые, если были выполнены оценщиком, должны быть внесены в документацию для тестов
проникновения. Такие тесты могут быть необходимы, чтобы исследовать непредвиденные результаты или
наблюдения, а также потенциальные уязвимости, существование которыхоценщик предположил во время
предварительно запланированного тестирования.
12.10.3.5.4 Шаг оценивания 3:AVA_VLA.1-7
Оценщикдолжен зафиксировать фактические результаты выполнения тестов проникновения.
Хотя некоторые специфические детали фактических результатов выполнения тестов могут отличаться
отожидаемых (например, поля времени и даты в записи аудита), общие результаты должен быть идентич
ными. Любые различия следует логически обосновать.
12.10.3.5.5 Шаг оценивания 3:AVA_VLA.1-8
Оценщик должен исследовать результаты всего тестирования проникновения и выводы по всему
анализу уязвимостей, чтобы сделать заключение, что ОО (в своей предопределенной среде) не имеет
пригодныхдля использования явных уязвимостей.
Если результаты показывают, что ОО имеет явные уязвимости, пригодные для использования в его
предопределенной среде, то это приводит к отрицательному вердикту по данномудействию оценщика.
12.10.3.5.6 Шаг оценивания 3:AVA_VLA.1-9
Оценщикдолжен привести в ТОО информацию об усилиях оценщика по тестированию проникнове
ния, кратко изложив подход к тестированию, тестируемую конфигурацию, глубину и результаты тестиро
вания.
Информация о тестировании проникновения, приводимая в ТОО, позволяет оценщику передать об
щий подход к тестированию проникновения и усилия, затраченные на этот подвид деятельности. Цель
предоставленияданной информации состоит втом, чтобы привести краткий содержательный обзор усилий
оценщика по тестированию проникновения. Это неозначает, что информация в ТОО относительно тестиро
вания проникновения является точным воспроизведением конкретных шагов тестирования или результатов
отдельных тестов проникновения. Целью является предоставить достаточные подробности, чтобы позво
литьдругим оценщикам и сотрудникам органов оценки понять выбранный подход к тестированию
проник новения. объем выполненного тестирования проникновения, тестируемые конфигурации ОО и
общий ре зультатдействий по тестированию проникновения.
Информация об усилиях оценщика по тестированию проникновения, которую обычно можно найти в
соответствующем разделе ТОО. включает в себя:
a) тестируемые конфигурации ОО. Конкретные конфигурации ОО, которые были подвергнуты тестиро
ванию проникновения:
b
) функции безопасности, подвергнутые тестированию проникновения. Краткий перечень функций
безопасности, на которых было сосредоточено тестирование проникновения:
c) вердикт по данному подвиду деятельности. Общее решение по результатам тестирования проник
новения.
Данный перечень ни в коем случае не является исчерпывающим и предназначен только для того,
чтобы дать некоторое представление о типе информации, касающейся тестирования проникновения, вы
полненного оценщиком в процессе оценки, которую следует привести в ТОО.
12.10.3.5.7 Шаг оценивания 3:AVA_VLA.1-10
Оценщикдолжен привести в ТОО информацию обо всех пригодных для использования уязвимостях
и остаточных уязвимостях, детализируя для каждой:
а)ее источник (например, стала известна при выполнениидействий ОМО, известна оценщику, прочи
тана в публикации);
138