ГОСТ Р ИСО/МЭК 18045—2013
d) пригодна ли она для использования в среде функционирования или нет (т. е. пригодна лидля ис
пользования или является остаточной уязвимостью);
e) количество времени, уровень компетентности, уровень знания ОО. уровень возможности до
ступа. оборудование, требуемые для использования идентифицированных уязвимостей, а также соот
ветствующие значения с использованием таблиц В.2 и В.З приложения В.4.
14.2.2Подвид деятельности по оценке (AVA_VAN.2)
14.2.2.1 Цели
Цель данного подвида деятельности — сделать заключение, имеет ли ОО. находящийся в своей
среде функционирования, уязвимости, пригодные для использования нарушителями, обладающими
Базовым потенциалом нападения.
14.2.2.2 Исходные данные
Свидетельствами оценки для данного подвида деятельности являются;
a) ЗБ;
b
) функциональная спецификация;
c) проект ОО;
d) описание архитектуры безопасности.
e) документация руководств;
f) ОО. пригодный для тестирования;
д) общедоступная информация для поддержки идентификации потенциальных уязвимостей.
Другие неявные свидетельства оценки для этого подвида деятельности зависят от компонентов,
которые были включены в пакет доверия. Свидетельства, предоставляемые для каждого компонента,
должны использоваться в качестве исходных данных для этого подвида деятельности.
Другие исходные данные для данного подвида деятельности;
а)текущая информация, касающаяся известных из общедоступных источников потенциальных
уязвимостей и атак (например от органа оценки).
14.2.2.3 Замечания по применению
Оценщику следует рассмотреть необходимость выполнения дополнительных тестов в случае,
если при проведении других действий по оценке он обнаружил потенциальные уязвимости.
14.2.2.4 Действие AVA_VAN.2.1E
ИСО/МЭК 15408-3 AVA_VAN.2.1C: ОО должен быть пригоден для тестирования.
14.2.2.4.1 Шаг оценивания AVA_VAN.2-1
Оценщик должен исследовать ОО, чтобы сделать заключение, согласуется ли тестируемая кон
фигурация с оцениваемой конфигурацией, определенной в ЗБ.
ОО. предоставленному разработчиком и идентифицированному в плане тестирования, следует
иметь ту же уникальную маркировку, которая установлена в соответствии с подвидами деятельности
ALC_CMC «Возможности УК» и идентифицирована во введении ЗБ.
В ЗБ может быть определено более одной подлежащих оценке конфигураций. ОО может состоять
из ряда различных аппаратных и программных реализаций, которые подлежат тестированию в соот
ветствии с ЗБ. Оценщик верифицирует, что все тестируемые конфигурации согласованы с ЗБ.
Оценщику следует рассмотреть описанные в ЗБ цели безопасности для среды функционирова
ния ОО, которые могут быть применимы к среде тестирования, и удостовериться, что они достигаются
в среде тестирования. В ЗБ могут быть и другие цели безопасности, которые не применимы для сре
ды тестирования. Например, цель безопасности относительно допусков пользователей не применима
к среде тестирования, однако цель безопасности относительно единой точки подключения к сети при
менима к среде тестирования.
При использовании каких бы то ни было средств тестирования (например измерителей, анализа
торов) обеспечить правильную калибровку этих средств будет обязанностью оценщика.
14.2.2.4.2 Шаг оценивания AVA_.VAN.2-2
Оценщик должен исследовать ОО. чтобы сделать заключение, правильно ли он установлен и на
ходится ли в состоянии, которое известно.
Оценщик имеет возможность сделать заключение о состоянии ОО несколькими способами. На
пример, предшествующее успешное завершение подвида деятельности AGD_PRE.1 позволит считать
удовлетворенным данный шаг оценивания, если оценщик все еще уверен, что тестируемый ОО был
правильно установлен и находится в известном состоянии. Если это не так. то оценщику рекомендуется
следовать процедурам разработчика, чтобы установить и запустить ОО. используя только поставляе
мое руководство.
174