ГОСТ Р ИСО/МЭК18045— 2008
l
k) материалы анализа стойкости функций безопасности ОО:
) ОО, пригодныйдля тестирования.
Дополнительным исходным материалом дляданного подвидадеятельности является:
а) текущая информация о явных уязвимостях (например, от органа оценки).
13.10.3.3 Замечания по применению
Использование термина круководства» вэтом подвидедеятельности относится к руководству пользо
вателя. руководству администратора и процедурам безопасной установки, генерации и запуска.
Рассмотрение пригодныхдля использования уязвимостей определяется целями безопасности и фун
кциональными требованиями в ЗБ. Например, если меры по предотвращению обхода функций безопасно
сти не требуются в ЗБ (FPT_PHP «Физическая защита ФБО», FPT_RVM «Посредничество при обращени
ях» и FPT_SEP «Разделение домена» отсутствуют), то уязвимости, на которых базируется обход, рассмат
ривать не следует.
Уязвимости могут быть или не быть идентифицированы вобщедоступных источниках и могут требо
вать или не требовать навыка для их использования. Эти два фактора являются связанными, но различны
ми. Не следует предполагать, что уязвимость может быть легко использована только потому, что она иден
тифицирована вобщедоступных источниках.
Следующие термины использованы вданном руководстве с конкретным значением:
a) уязвимость — слабость в ОО, которая может быть использована, чтобы нарушить политику безо
пасности в некоторой среде;
b
) анализ уязвимостей — систематический поиск уязвимостей в ОО и оценка найденных уязвимос
тей. чтобы сделать заключение об их значимости для предопределенной среды ОО;
c) явная уязвимость — уязвимость, которая является открытой для использования, требующего ми
нимума понимания ОО. технических познаний и ресурсов;
d) потенциальная уязвимость — уязвимость, существование которой в ОО предположено (на основа
нии теоретическидопускаемого маршрута нападения), но не подтверждено;
e) пригодная для использования уязвимость — уязвимость, которая может быть использована в пред
определенной среде ОО;
0 непригодная для использования уязвимость — уязвимость, которая не можетбыть использована в
предопределенной среде ОО;
д) остаточная уязвимость — непригодная для использования уязвимость, которая могла бы быть
использована нарушителем с более высоким потенциалом нападения, чем ожидается в предопределенной
среде ОО;
h)тестирование проникновения — тестирование, выполняемое с целью сделать заключение о при
годности к использованию в предопределенной среде ОО идентифицированных потенциальных уязвимос
тей ОО.
13.10.3.4 Действие AVA_VLA.2.1E
13.10.3.4.1 Шаг оценивания 4:AVA_VLA.2-1
ИСО/МЭК 15408-3 AVA_VLA.2.1C: Документация анализа уязвимостей должна содержать описа
ние анализа поставляемых материалов ОО. выполненного для поиска способов, которыми пользова
тель может нарушить ПВО.
ИСО/МЭК 15408-3 AVA_VLA.2.2C: Документация анализа уязвимостей должна содержать описа
ниерешения в отношении идентифицированных уязвимостей.
ИСО/МЭК 15408-3 AVA_VLA.2.3C; Документация анализа уязвимостей должна показать для всех
идентифицированныхуязвимостей, что ни одна из нихне может быть использована в предполагаемой
среде ОО.
ИСО/МЭК 15408-3 AVA_VLA.2.4C:Документация анализа уязвимостей должна содержать логичес
кое обоснование, что ОО с идентифицированными уязвимостямиустойчив поотношению к очевидным
атакам проникновения.
Оценщикдолжен исследовать материалы анализа уязвимостей, выполненного разработчиком, чтобы
сделать заключение, вся ли относящаяся к этому анализу информация рассмотрена при поиске уязви
мостей.
Предполагается, что анализ уязвимостей, выполненный разработчиком, охватывает поиск разработ
чиком уязвимостей, по меньшей мере, во всех поставляемых для оценки материалах и общедоступных
источниках информации.
Информация в общедоступных источниках является высокодинамичной. Поэтому возможно, что о
новых уязвимостях будет сообщено в общедоступных источниках в период между временем, когда
192