ГОСТ Р ИСО/МЭК18045— 2008
В среднем нарушитель должен был бы ввести 2513 цифровых паролей болев чем за 2513 мин до ввода
Как результат, в среднем, успешное нападение произошло бы чуть меньше,
правильного цифрового пароля.
чем за:
2513минг42ч
60 МИН
ч
l
Используя подход, описанный в предыдущем подразделе, при идентификации следует выбирать значения
факторов, минимальные из каждой категории (все 0). так как существование уязвимости в такой функции очевид но.
На основании приведенных выше вычислений для непрофессионала является возможным нанести пораже ние
механизму в пределах нескольких суток (при получении доступа к ОО) без использования какого-либо обору дования
и без знания ОО. что дает значение 11. Получив результирующую сумму — 11. потенциал нападения, требуемый
для осуществления успешной атаки, определяют, по меньшей мере, как умеренный.
Уровни СФБ определены в терминах потенциала нападения в ИСО.’МЭК 15408-1. раздел 2. Поскольку для
того, чтобы утверищать о базовой СФБ. механизм должен противодействовать нарушителю с низким потенциа
лом нападения и поскольку механизм цифрового пароля является стойким к нарушителю с низким
потенциалом,
то этот механизм цифрового пароля, в лучшем случав, соответствует уровню ябазовая СФБ».
А.9
Сфера ответственности системы оценки
Настоящий стандарт описывает минимальный объем технической работы, которую необходимо выполнить
при оценках, проводимых под контролем органов оценки. Тем не менее, в нем также указаны (как явно, так и
неявно) виды деятельности или методы, на которые не распространяется взаимное признание результатов
оценки. Для внесения ясности и в целях уточнения границ, показывающих, где заканчивается настоящий стандарт и
где начинается методология конкретной системы оценки, ниже перечислены вопросы, оставленные на усмот рение
систем. В конкретной системе оценки возможно как решение всех указанных вопросов, так и оставление некоторых
из них неопределенными. (Было сделано все возможное для обеспечения полноты приведенного списка;
оценщикам, столкнувшимся с вопросом, не приведенным ниже и не рассмотренным в настоящем стан дарте.
следует проконсультироваться в своей системе оценки, чтобы выяснить, к чьей компетенции относится решение
этого вопроса.)
К вопросам, которые могут быть определены в конкретной системе оценки, относятся:
a) необходимое для обеспечения достаточности оценки — каждая система имеет способ (средства) вери
фикации работы ее оценщиков, либо требуя от оценщиков представления результатов работы органу оценки,
либо требуя от органа оценки повторения работы оценщика, либо еще каким-то способом, обеспечивающим, что все
органы оценки выполняют работу приемлемым образом и выдают сопоставимые результаты;
b
) процесс распоряжения свидетельствами оценки после завершения оценки;
c) требования по конфиденциальности (как со стороны оценщика, так и относительно неразглашения ин-
фюрмации. полученной в процессе оценки);
d) действия, предпринимаемые при возникновении проблем в процессе оценки (после решения проблемы
процесс оценки либо возобновляется, либо немедленно прекращается и исправленный продукт необходимо
заново представить для оценки);
e) конкретный (естественный) язык, на котором необходимо представить документацию;
f) документальные свидетельства, которые необходимо представить в составе ТОО: настоящий стандарт
определяет минимум, который следует привести в ТОО. а в конкретных системах оценки возможно требование
включения дополнительной информации;
д) дополнительные отчеты (помимо ТОО), требуемые от оценщиков, например отчеты о тестировании:
h) любые специфические СП. которые могут потребоваться в соответствии с системой, включая структуру,
получателей и тд. для таких СП:
i) структура конкретного содержания документальных сообщений (отчетов), разрабатываемых при оценке
ЗБ. — система оценки может иметь установленный формат для всех сообщений (отчетов), детализирующих ре
зультаты оценки, будь это оценка ОО или ЗБ:
j) любая требуемая дополнительно информация по идентификации ПЗ.‘ЗБ;
k) любые виды деятельности по принятию решения о пригодности сформулированных в явном виде требо
ваний в ЗБ;
) любые требования по подготовке свидетельства оценщика для поддержки переоценки и повторного
применения свидетельств;
т ) любые конкретные способы применения идентификаторов, эмблем, торговых марок и т.д. системы оценки;
п) любые конкретные указания по применению криптографии;
о) способы трактовки и применения системы оценки, национальных и международных интерпретаций;
р) перечень или описание приемлемых альтернатив тестированию там. где тестирование неосуществимо:
q) механизм, посредством которого орган оценки гложет определить, какие шаги оценщик предпринял при
тестировании;
г) предпочтительный подход при тестировании (если таковой имеется): на внутреннем интерфейсе или на
внешнем интерфейсе;
s) перечень или характеристика приемлемых способов (средств) проведения оценщиком анализа уязви
мостей (например, методология гипотез о недостатках);
t) информация относительно любых уязвимостей и недостатков, которые необходимо учитывать при оценке.
223