ГОСТ Р ИСО/МЭК 18045-2013; Страница 178

или поделиться

Ещё ГОСТы из 41757, используйте поиск в верху страницы

ГОСТ 32000-2012 Продукция алкогольная и сырье для ее производства. Метод определения массовой концентрации приведенного экстракта (Настоящий стандарт распространяется на алкогольную продукцию и сырье для ее производства: вина, виноматериалы, спиртные напитки и соки для промышленной переработки и устанавливает метод определения массовой концентрации приведенного экстракта) ГОСТ 32011-2013 Микробиология пищевых продуктов и кормов для животных. Горизонтальный метод обнаружения Escherichia coli О157 (Настоящий стандарт распространяется на пищевые продукты, корма для животных и устанавливает метод обнаружения бактерий Escherichia coli О157 с обязательным использованием четырех последовательных стадий) ГОСТ 32147-2013 Десерты фруктовые. Общие технические условия (Настоящий стандарт распространяется на фруктовые десерты, изготовленные из свежих, охлажденных или быстрозамороженных протертых фруктов одного или нескольких видов с добавлением или без добавления целых и (или) нарезанных фруктов или других пищевых ингредиентов, сахара и (или) натуральных подсластителей, загустителей, пищевых органических кислот, пищевых ароматизаторов, пищевых красителей)

Страница 178

Страница 1

Untitled document

ГОСТ Р ИСО/МЭК 18045—2013

Не предполагается тестирования оценщиком потенциальных уязвимостей (в том числе извест

ных из общедоступных источников), для использования которых требуется потенциал нападения выше,

чем Базовый. Однако, в некоторых случаях необходимо будет выполнить тест прежде, чем может

быть определена пригодность к использованию. Если в результате исследований в ходе оценки

оценщик об наружит потенциальную уязвимость, пригодную для использования только нарушителем

с большим, чем Базовый, потенциалом нападения, то она должна быть приведена в ТОО как остаточная

уязвимость.

14.2.1.6.4 Шаг оценивания AVA_VAN.1-8

Оценщик должен зафиксировать фактические результаты выполнения тестов проникновения.

Хотя некоторые специфические детали фактических результатов выполнения тестов могут от

личаться от ожидаемых (например поля времени и даты в записи аудита), общим результатам следует

быть идентичными. Следует исследовать любые непредвиденные результаты выполнения тестов. Вли

яние на оцонку следует установить и логически обосновать.

14.2.1.6.5 Шаг оценивания AVA_VAN.1-9

Оценщик должен привести в ТОО информацию об усилиях оценщика по тестированию проник

новения. кратко изложив подход к тестированию, тестируемую конфигурацию, глубину и результаты

тестирования.

Информация о тестировании проникновения, приводимая в ТОО. позволяет оценщику передать

общий подход к тестированию проникновения и усилия, затраченные на этот подвид деятельности.

Цель предоставления данной информации состоит в том. чтобы привести содержательный краткий

обзор усилий оценщика по тестированию проникновения. Это не означает, что информация в ТОО отно

сительно тестирования проникновения является точным воспроизведением конкретных шагов тестиро

вания или результатов отдельных тестов проникновения. Целью является предоставление достаточных

подробностей, чтобы позволить другим оценщикам и сотрудникам органов оценки получить некоторое

понимание выбранного подхода к тестированию проникновения, объема выполненного тестирования

проникновения, тестируемых конфигураций ОО и общих результатов действий по тестированию про

никновения.

Информация об усилиях оценщика по тестированию проникновения, которая обычно представле

на в соответствующем разделе ТОО. включает:

a) тестируемые конфигурации ОО. Конкретные конфигурации ОО. которые подвергались тести

рованию проникновения;

) ИФБО. которые подвергались тестированию проникновения. Краткий перечень ИФБО и других

интерфейсов ОО. на которых было сосредоточено тестирование проникновения;

c) вердикт по данному подвиду деятельности. Общий вывод по результатам тестирования про

никновения.

Приведенный перечень ни в коем случае не является исчерпывающим и предназначен только

для того, чтобы предоставить некоторое представление о типе информации, касающейся тестирования

проникновения, выполненного оценщиком в процессе оценки, которую следует привести в ТОО.

14.2.1.6.6 Шаг оценивания AVA_VAN.1-10

Оценщик должен исследовать результаты всего тестирования проникновения и выводы по всему

анализу уязвимостей, чтобы сделать заключение, является ли ОО. находящийся в своей среде функци

онирования. стойким к нарушителю, обладающему Базовым потенциалом нападения.

Если результаты показывают, что ОО. находящийся в своей среде функционирования, имеет уяз

вимости. пригодные для использования нарушителем, обладающим меньшим, чем Усиленный базо

вый, потенциалом нападения, то по этому действию оценщиком делается отрицательное заключение.

Руководство из приложения В.4 следует использовать для того, чтобы сделать заключение о по

тенциале нападения, требуемом для использования конкретной уязвимости, и может ли эта уязвимость

быть использована в предполагаемой среде функционирования. Может не быть необходимости вычис

лять потенциал нападения для каждого случая, а только если есть некоторое сомнение относительно

того, может ли уязвимость использоваться нарушителем, обладающим потенциалом нападения мень

шим. чем Усиленный базовый.

14.2.1.6.7 Шаг оценивания AVA_VAN.1-11

Оценщик должен привести в ТОО информацию обо всех пригодных для использования уязвимо

стях и остаточных уязвимостях, детализируя для каждой:

a) ее источник (например стала известна при выполнении действий ОМО. известна оценщику,

прочитана в публикации);

) связанные с ней невыполненные ФТБ;

c) описание;

173