ГОСТ Р ИСО/МЭК18045— 2008
11.8.4.5.2 Шаг оценивания 2:АТЕJND.2-10
Оценщикдолжен проверить, что всефактические результаты тестирования согласуются сожидаемы
ми результатами тестирования.
Противоречия между ожидаемыми результатами тестирования разработчиком и фактическими ре
зультатами тестирования заставляют оценщика разрешать эти несоответствия. Противоречия, с которыми
столкнулсяоценщик, могут быть разрешены разработчиком путем убедительногообъяснения и устранения
противоречий.
Если удовлетворительное объяснение или устранение противоречий не может быть достигнуто, то
уверенность оценщика в результатах тестирования разработчиком может уменьшиться; у оценщикадаже
может возникнуть необходимость в увеличении объема выборки, чтобы восстановить уверенность в ре
зультатах тестирования разработчиком. Если увеличение объема выборки неоправдает ожиданий оценщи
ка. может потребоваться повторение всей совокупности тестов разработчика. В конечном счете, для адек
ватного тестирования подмножества ФБО. идентифицированного на шаге оценивания ATEJND.2-4. недо
статочность тестов разработчика приведет к необходимости корректировки тестов разработчика или разра
ботки оценщиком новых тестов.
11.8.4.5.3 Шаг оценивания 2:АТЕJND.2-11
Оценщикдолжен привести в ТОО информацию об усилиях по тестированию, кратко изложив подход
ктестированию, тестируемую конфигурацию, глубину и результаты тестирования.
Информация оценщика о тестировании, приводимая в ТОО. позволяет оценщику передать общий
подход к тестированию и усилия, затраченные в течение оценки на вид деятельности по тестированию.
Смысл предоставления данной информации состоит в том. чтобы привести содержательный краткий обзор
усилий по тестированию. Не имеется в виду, чтобы информация о тестировании в ТОО былаточным воспро
изведением конкретных шагов тестирования или результатов отдельныхтестов. Целью является предоста
витьдостаточные подробности, чтобы позволитьдругим оценщикам и сотрудникам органов оценки понять
выбранный подход ктестированию, объем выполненного оценщиком тестирования, объем выполненного
разработчиком тестирования, тестируемые конфигурации ОО и общий результат вида деятельности по тес
тированию.
Информация, относящаяся к усилиям оценщика по тестированию, которую обычно можно найти в
соответствующем разделе ТОО. включает в себя:
a) тестируемые конфигурации ОО. Конкретные конфигурации ОО. которые были протестированы;
b
) выбранный размер подмножества. Число протестированных в течение оценки функций безопасно
сти и логическое обоснование этого размера:
c)критерии выборадляфункций безопасности, которые составляют тестируемоеподмножество. Краткое
изложение факторов, рассмотренных при отборефункций безопасности для включения в подмножество;
d) протестированные функции безопасности. Краткий перечень функций безопасности, обоснованно
включенных в подмножество:
e) выполненные тесты разработчика. Число выполненных тестов разработчика и краткое описание
критериев, использованныхдля выбора данных тестов;
0 вердикт по виду деятельности. Общий вывод по результатам тестирования, проведенного втечение
оценки.
Данный перечень ни в коем случае не является исчерпывающим и предназначен только для того,
чтобы дать некоторое представление о типе информации, касающейся тестирования, выполненного оцен
щиком в течение оценки, которую следует привести в ТОО.
11.9 Вид деятельности «Оценка уязвимостей»
Виддеятельности «Оценка уязвимостей» предназначен для того, чтобы сделать заключение о суще
ствовании и пригодности для использования в предопределенной среде недостатков или слабых мест в
ОО. Это заключение должно быть основано на анализе, выполненном разработчиком, и поддержано тести
рованием проникновения, выполненным оценщиком.
11.9.1 Оценка стойкости функций безопасности ОО (AVA_SOF.1)
11.9.1.1 Цели
Цельданного подвида деятельности — сделать заключение, приведены ли в ЗБ утверждения о СФБ
для всех вероятностных или перестановочных механизмов и поддержаны ли утверждения о СФБ. приве
денные разработчиком в ЗБ. корректным анализом.
11.9.1.2 Исходные данные
Свидетельствами оценки дляданного подвида деятельности являются:
a) ЗБ;
b
)функциональная спецификация;
90