ГОСТ Р ИСО/МЭК 18045— 2008
Т а б л и ц а А.2 — Стойкость функции безопасности ОО и потенциал нападения
У р о в е н ь С Ф Б
А д е с о а тн а я з а щ и та о т н а р у ш и те л я
с п о т е н ц и а л о м н а п а д е н и я
Н е д о с т а т о ч н а я за щ и та о т н а р у ш и те л я
с п о те н ц и а л о м н а п а д е н и я
Высокая СФБ
Высокий
Неприменимо — успешное нападение за
пределами практически возможного
Средняя СФБУмеренныйВысокий
Базовая СФБНизкийУмеренный
Существенные различия между этими видами анализа основаны на природе функции безопасности ОО. а
также на характере нападения. Анализ стойкости функции безопасности ОО выполняют только для функций
безопасности, реализуемых вероятностными или перестановочными механизмами, за исключением тех из них.
которые основаны на криптографии. Более того, при анализе предполагается, что вероятностный или перестано
вочный механизм безопасности реализован безупречно и что функция безопасности используется при нападе
нии с учетом ограничений ее проекта и реализации. Как показано в таблице А.2. уровень СФБ также отражает
нападение, описанное в терминах потенциала нападения, для защиты от которого спроектирована функция
безопасности, реализуемая вероятностными или перестановочными механизмами.
Анализ уязвимостей применяют ко всем некриптографическим функциям безопасности ОО. включая те из
них. механизмы реализации которых, по своей природе, являются вероятностными или перестановочными. В
отличив от анализа стойкости не делается никаких предположений относительно корректности проекта и
реали зации функции безопасности, а также не налагается ограничений на метод нападения или
взаимодействие нарушителя с ОО - если нападение возможно, то оно рассматривается в процессе анализа
уязвимостей. Как показано в таблице А.1. успешная оценка в соответствии с компонентом доверия, связанным с
анализом уязви мостей. отражает уровень угрозы, описанный в терминах потенциала нападения, для защиты от
которого спроек тированы и реализованы все функции безопасности ОО.
Общее использование понятия потенциала нападения устанавливает связь между утверждениями о СФБ
и оценками уязвимостей, но эту связь не следует рассматривать в качестве обязательной привязки утверждения
об уровне СФБ и компонента доверия, выбранного из семейства AVA_VLA «Анализ уязвимостей».
Например, выбор компонента AVA_VLA2 «Независимый анализ уязвимостей», который содержит требование о
стойкости к нарушителю с низким потенциалом нападения, не сводит выбор оценки СФБ к базовой СФБ.
Учитывая, что уязвимость неотъемлемо присутствует в любой функции, реализованной вероятностным или
перестановочным механизмом, и что такие функции являются обычно видимыми свойствами общедоступного
интерфейса (напри мер. пароль), автор ПЗ/ЗБ может потребовать более высокого уровня стойкости к
соответствующим нападениям и может выбрать более высокий уровень СФБ. Минимальное требование к СФБ
как «базовая СФБ» необходимо всегда, когда заявлен компонент из семейства AVA_SOF «Стойкость функций
безопасности ОО». Заявленный компонент семейства «Анализ уязвимостей» (AVA_VLA) устанавливает нижний
уровень требований к СФБ. и. например, требование к СФБ «базовая СФБ» следует рассматривать как не
соответствующее выбору компонента AVA_VLA-3 «Умеренно стойкий».
А.8.1 Потенциал нападения
А.8.1.1 Применение потенциала нападения
Потенциал нападения зависит от компетентности, ресурсов и мотивации нарушителя; каждый из этих фак
торов рассмотрен далее. Потенциал нападения специально рассматривается оценщиком двумя различными
способами в процессе оценки ЗБ и при выполнении действий по оценке уязвимостей. В процессе оценки ЗБ
оценщик делает заключение, является ли выбор компонентов требований доверия, в особенности компонентов
класса AVA «Оценка уязвимостей», соразмерным с потенциалом нападения источника угроз (см. ASE_REQ.1.4C).
Случаи, когда требования доверия несоразмерны, могут означать, что либо оценка не будет обеспечивать доста
точное доверие, либо оценка будет излишне трудоемкой. В процессе оценки уязвимостей оценщик использует
потенциал нападения как способ определения возможности использования идентифицированных уязвимостей в
предопределенной среде.
А.8.1.2Трактовка мотивации
Мотивация является фактором потенциала нападения, который может быть использован, чтобы описать
различные аспекты, относящиеся к нарушителю и активам, которые интересуют нарушителя. Во-первых, мотива
ция может подразумевать определенную вероятность нападения — из угрозы, описанной как высокомотивиро
ванная. можно предположить, что нападение неизбежно или что вследствие немотивированной угрозы нападе ние
не ожидается. Однако, за исключением этих двух крайних уровней мотивации, затруднительно, исходя из
мотивации, установить вероятность осуществления нападения.
Во-вторых, мотивация может подразумевать определенную ценность актива в денежном или ином выра
жении для нарушителя или владельца актива. Более ценный актив обусловит, вероятно, более высокую мотива цию
по сравнению с менее ценным активом. Однако, кроме общих рассуждений, трудно связать ценность актива
218