ГОСТ Р ИСО/МЭК18045— 2008
Затем для получения рейтинга уязвимости следует использовать таблицу А.4.
Т а б л и ц а А.4 — Рейтинг уязвимостей
Диапазон значений
ОО противостоит
нарушителю с потенциалом нападения
Уровень СФБ
< 10
Пет рейтинга
—
10— 17
Н изкий
Базовый
18 — 24
Умеренный
Средний
> 2 4
Высокий
Высокий
Подобный подход не позволяет учесть все обстоятельства и факторы, но должен более точно указывать на
уровень противодействия нападениям, требуемый для достижения рейтингов, приведенных в таблице А.4. Другие
факторы, такие как расчет на малую вероятность случайных воздействий или вероятность обнаружения атаки до
того, как она может быть завершена, не включены в базовую модель, но могут быть использованы оценщиком как
логическое обоснование для рейтинга иного, чем тот. на который может указывать базовая модель.
В случаях, когда, например, определяется рейтинг механизма пароля, а реализация ОО такова, что допус
кается очень мало попыток до ограничения нападения, рейтинг стойкости будет почти полностью связан с веро
ятностью правильного угадывания пароля в течение этих немногочисленных попыток. Такие меры ограничения
обычно рассматривают как часть функции управления доступом, и в то время как сам механизм пароля может
получить, например, только рейтинг «средняя СФБ». для функции управления доступом может быть вынесено
суждение о рейтинге «высокая СФБ».
В то время как ряд уязвимостей, оцененных по отдельности, может указывать на высокое противодействие
нападениям, наличие других уязвимостей может изменять табличные значения так. что комбинация уязвимостей
будет свидетельствовать о применимости более низкого общего рейтинга. Таким образом, наличие одной уязви
мости может упростить использование другой. Предполагается, что такая оценка является частью анализа уязви
мостей разработчиком и оценщиком.
А.8.3 Пример анализа стойкости функции
Ниже представлен анализ СФБ для гипотетического механизма цифрового пароля.
Информация, полученная из ЗБ и свидетельств проекта, показывает, что идентификация и аутентификация
предоставляют основу для управления доступом к сетевым ресурсам с терминалов, расположенных далеко друг от
друга. Управление физическим доступом к терминалам каким-либо эффективным способом не осуществляет ся.
Управление продолжительностью доступа к терминалу каким-либо эффективным способом не осуществляет ся.
Уполномоченные пользователи системы подбирают себе свои собственные цифровые пароли для входа в
систему во время начальной авторизации использования системы и в дальнейшем — по запросу пользователя.
Система содержит следующие ограничения на цифровые пароли, выбираемые пользователем:
a) цифровой пароль должен быть не менее четырех и не более шести цифр длиной;
b
) последовательные числовые ряды (типа 7.6.5.4.3) не допускаются:
c) повторение цифр не допускается (каждая цифра должна быть уникальной).
Руководство, предоставляемое пользователям на момент выбора цифрового пароля, является таковым,
чтобы цифровые пароли были случайны, насколько это возможно, и не связаны каким-либо способом с конкрет
ным пользователем, например с датой рождения.
Число возможных значений цифровых паролей рассчитывают следующим образом:
a) Шаблоны, используемые людьми, являются важным обстоятельством, которое может влиять на подход
к поиску возможных значений цифровых паролей и таким образом влиять на СФБ. Допуская самый плохой
вариант сценария, когда пользователь выбирает число, состоящее только из четырех цифр, число перестановок
цифрового пароля в предположении, что каждая цифра уникальна, равно:
7(8)(9)(10) = 5040.
b
) Число возможных увеличивающихся рядов - семь, как и число убывающих рядов. После отбрасывания
этих рядов число возможных значений цифровых паролей равно:
5040 - 14 = 5026.
На основе дополнительной информации, полученной из свидетельств проекта, в механизме цифрового
пароля спроектирована характеристика блокировки терминала. После шестой подряд неудачной попытки аутен
тификации терминал блокируется на один час. Счетчик неудачной аутентификации сбрасывается через пять
минут; таким образом, нарушитель в лучшем случае может осуществить пять попыток ввода цифрового пароля
каждые пять минут или 60 вводов цифрового пароля в час.
222