ГОСТ Р ИСО/МЭК 18045— 2008
Время — это время, непрерывно затрачиваемое нарушителем, чтобы идентифицировать или использо
вать уязвимость. Применительно к данному рассмотрению, «за минуты» означает, что при нападении идентифи
кация и использование уязвимости занимают менее получаса; «за часы» означает нападение, которое может
быть успешным менее чем за сутки; «за сутки» означает, что нападение гложет быть успешным менее чем
за месяц, и «за месяцы» означает, что успешное нападение требует, по меньшей мере, месяца.
Компетентность специалиста относится к уровню общих знаний прикладной области или типа продукта
(например, операционной системы Unix, протоколов Интернета). Идентифицированными уровнями являются
следующие:
a) эксперты хорошо знакомы с основными алгоритмами, протоколами, аппаратными средствами, структу
рами и т.п.. реализованными в типе продукта или системы, а также с применяемыми принципами и концепциями
безопасности:
b
) профессионалы хорошо осведомлены в том. что касается режима безопасности продукта или системы
данного типа;
c) непрофессионал слабо осведомлен по сравнению с экспертом или профессионалом и не обладает
специфической компетентностью.
Знание ОО указывает на определенный уровень знаний. Оно отличается от общей компетентности, хотя и
связано с ней. Идентифицированными уровнями являются следующие:
a) отсутствие информации об ОО. кроме его назначения:
b
) общедоступная информация об ОО (например, полученная из руководства пользователя);
c) чувствительная информация об ОО (например, сведения о содержании проекта).
Здесь требуется внимательность, чтобы отделить информацию, необходимую для идентификации уязви
мости. от информации, необходимой для ее использования, особенно в области чувствительной информации.
Требовать чувствительную информацию об использовании уязвимости было бы необычно.
Доступ к ОО также является важным обстоятельством и имеет отношение к фактору «время». Идентифика
ция или использование уязвимости может требовать продолжительного доступа к ОО. что может увеличить веро
ятность обнаружения. Некоторые нападения могут требовать значительных автономных усилий и лишь
краткого доступа к ОО для использования уязвимости. Может также потребоваться непрерывный доступ или
доступ в виде нескольких сеансов. Применительно к данному рассмотрению, «за минуты» означает, что
требуется доступ ме нее получаса: «за часы» означает, что требуется доступ менее чем сутки; «за сутки» означает,
что требуется доступ менее чем месяц, и «за месяцы» означает, что требуется доступ, по меньшей мере, в
течение месяца. Когда доступ к ОО не увеличивает вероятность обнаружения (например, смарт-карта в
распоряжении нарушителя), этот фактор следует игнорировать.
Аппаратные средства’прсграммное обеспечение ИТ или другое оборудование указывает на оборудование,
которое требуется для идентификации или использования уязвимости.
a) Стандартное оборудование — это оборудование либо для идентификации уязвимости, либо для нападе
ния. которое легко доступно нарушителю. Это оборудование может быть частью самого ОО (например, отладчик
в операционной системе) или может быть легко получено (например, программное обеспечение, загружаемое
из Интернета, или простые сценарии нападения).
b
) Специализированное оборудование нелегко доступно нарушителю, но может быть приобретено без
значительных усилий. Это может быть покупка небольшого количества оборудования (например, анализатора
протоколов) или разработка более сложных сценариев и программ нападения.
c) Заказное оборудование нелегко доступно широкому кругу, поскольку либо может потребоваться его спе
циальная разработка (например, очень сложное программное обеспечение), либо оборудование настолько
специализировано, что его распространение является контролируемым и. возможно, даже ограниченным. Или
же оборудование может быть очень дорогим. Использование сотен персональных компьютеров, связанных че
рез Интернет, как правило, относится к этой категории.
Компетентность специалиста и знание ОО связаны с информацией, необходимой нарушителям, чтобы
быть способными к нападению на ОО. Существует неявная зависимость между компетентностью нарушителя и
его способностью эффективно использовать оборудование при нападении. Чем ниже компетентность нарушите
ля. тем ниже потенциал использования оборудования. Аналогично, чем выше компетентность, тем выше потен
циал оборудования, используемого при нападении. Будучи неявной, зависимость между компетентностью и ис
пользованием оборудования проявляется не всегда: например, если условия среды предотвращают использова
ние оборудования опытным нарушителем или если кем-то другим созданы и свободно распространяются (напри
мер, через Интернет) инструментальные средства нападения, требующие невысокой квалификации для эффек
тивного использования.
А.8.2.3 Подход к вычислению
В предыдущем пункте определены факторы, подлежащие рассмотрению. Однако для проведения стандар
тной оценки требуется дополнительное руководство. Для поддержки этого процесса предусмотрен следующий
подход. Должны быть представлены конкретные числа в целях достижения рейтингов, которые согласуются
с соответствующими уровнями оценки.
В таблице А.З идентифицированы факторы, обсуждавшиеся в предыдущем пункте, и приведены числовые
значения, которые поставлены в соответствие с двумя факторами: идентификацией и использованием
220