ГОСТ Р ИСО/МЭК18045— 2008
l
Смысл предоставления данной информации состоит втом, чтобы привести содержательный краткий обзор
усилий по тестированию. Не имеется в виду, чтобы информация о тестировании в ТОО была точным воспро
изведением конкретных шагов тестирования или результатов отдельных тестов. Цельюявляется предоста
вить достаточные подробности, чтобы позволитьдругим оценщикам и сотрудникам органов оценки понять
выбранный подход ктестированию, объем выполненного оценщиком тестирования, объем выполненного
разработчиком тестирования, тестируемые конфигурации ОО и общий результат вида деятельности по тес
тированию.
Информация, относящаяся к усилиям оценщика по тестированию, которую обычно можно найти в
соответствующем разделе ТОО. включает в себя:
a) тестируемые конфигурации ОО. Конкретные конфигурации ОО. которые были протестированы;
b
) выбранный размер подмножества. Число протестированных в течение оценки функций безопасно
сти и логическое обоснование этого размера:
c)критерии выборадляфункций безопасности, которые составляют тестируемоеподмножество. Краткое
изложение факторов, рассмотренных при отборе функций безопасности для включения в подмножество;
d) протестированные функции безопасности. Краткий перечень функций безопасности, обоснованно
включенных в подмножество;
e) выполненные тесты разработчика. Число выполненных тестов разработчика и краткое описание
критериев, использованныхдля выбора данных тестов;
0 вердикт по ведудеятельности. Общий вывод по результатам тестирования, проведенного втечение
оценки.
Данный перечень ни в коем случае не является исчерпывающим и предназначен только для того,
чтобы дать некоторое представление о типе информации, касающейся тестирования, выполненного оцен
щиком в течение оценки, которую следует привести в ТОО.
13.10 Вид деятельности «Оценка уязвимостей»
Виддеятельности «Оценка уязвимостей» предназначен для того, чтобы сделать заключение о суще
ствовании и пригодности для использования в предопределенной среде недостатков или слабых мест в
ОО. Это заключение должно быть основано на анализе, выполненном разработчиком и оценщиком, и под
держано тестированием, выполненным оценщиком.
13.10.1 Оценка неправильного применения (AVA_MSU.2)
13.10.1.1 Цели
Цель данного подвида деятельности — сделать заключение, не являются ли руководства вводящи
ми в заблуждение, необоснованными или противоречивыми, были ли учтены процедуры безопасности для
всех режимов функционирования и будет ли использование руководств способствовать предотвращению
и обнаружению небезопасных состояний ОО.
13.10.1.2 Исходные данные
Свидетельствами оценки для данного подвида деятельности являются:
a) ЗБ:
b
)функциональная спецификация;
c) проект верхнего уровня;
d) проект нижнего уровня;
e) подмножество представления реализации;
0 модель политики безопасности ОО;
д) руководство пользователя;
h) руководство администратора;
i) процедуры безопасной установки, генерации и запуска;
j) материалы анализа неправильного применения руководств;
k) тестовая документация;
) ОО. пригодныйдля тестирования.
13.10.1.3 Замечания по применению
Использование термина «руководства» вэтом подвидедеятельности относится к руководству пользо
вателя, руководству администратора и процедурам безопасной установки, генерации и запуска. Здесь к
процедурам установки, генерации и запуска относятся все процедуры перевода ОО из состояния при по
ставке в состояние функционирования, ответственным за выполнение которых является администратор.
Этот компонент включает в себя требование к анализу, выполняемому разработчиком, которое не
присутствует в AVA_MSU.1 «Экспертиза руководств». Проверку правильности этого анализа не следует
186