ГОСТ Р ИСО/МЭК 18045-2013; Страница 180

или поделиться

Ещё ГОСТы из 41757, используйте поиск в верху страницы

ГОСТ 32000-2012 Продукция алкогольная и сырье для ее производства. Метод определения массовой концентрации приведенного экстракта (Настоящий стандарт распространяется на алкогольную продукцию и сырье для ее производства: вина, виноматериалы, спиртные напитки и соки для промышленной переработки и устанавливает метод определения массовой концентрации приведенного экстракта) ГОСТ 32011-2013 Микробиология пищевых продуктов и кормов для животных. Горизонтальный метод обнаружения Escherichia coli О157 (Настоящий стандарт распространяется на пищевые продукты, корма для животных и устанавливает метод обнаружения бактерий Escherichia coli О157 с обязательным использованием четырех последовательных стадий) ГОСТ 32147-2013 Десерты фруктовые. Общие технические условия (Настоящий стандарт распространяется на фруктовые десерты, изготовленные из свежих, охлажденных или быстрозамороженных протертых фруктов одного или нескольких видов с добавлением или без добавления целых и (или) нарезанных фруктов или других пищевых ингредиентов, сахара и (или) натуральных подсластителей, загустителей, пищевых органических кислот, пищевых ароматизаторов, пищевых красителей)

Страница 180

Страница 1

Untitled document

ГОСТ Р ИСО/МЭК 18045—2013

Если оценщику приходится выполнить процедуры установки вследствие того, что 0 0 находится

в неизвестном состоянии, то при успешном завершении данный шаг оценивания мог бы удовлетворить

шаг оценивания AGD_PRE.1-3.

14.2.2.5 Действие AVA_VAN.2.2E

14.2.2.5.1 Шаг оценивания AVA_VAN.2-3

Оценщик должен исследовать общедоступные источники информации, чтобы идентифицировать

потенциальные уязвимости в ОО.

Оценщик исследует общедоступные источники информации, в целях поддержки идентификации воз

можных потенциальных уязвимостей в ОО. Существует много общедоступных источников информации,

которые следует рассмотретьоценщику. Например, общедоступные ресурсы в мировой сети, включая:

a) специальные публикации (журналы, книги);

) исследовательские статьи.

Оценщику не следует ограничивать рассмотрение общедоступной информации вышеупомянуты

ми источниками, ему следует рассмотреть любую другую доступную информацию, имеющую отноше

ние к уязвимостям ОО.

В процессе исследования предоставленных разработчиком свидетельств оценщик будет исполь

зовать общедоступную информацию для дальнейшего поиска потенциальных уязвимостей. Оценщи ку

также следует особо рассмотреть всю доступную информацию, касающуюся идентифицированных

проблемных областей.

Возможность легкого доступа нарушителя к информации, которая помогает идентифицировать

уязвимости и облегчить нападение, существенно увеличивает потенциал нападения данного наруши

теля. Доступность в сети Интернет информации об уязвимостях и современных средств нападения по

зволяет с высокой степенью вероятности предположить, чтоданная информация будет использоваться

при попытках идентифицировать потенциальные уязвимости в ОО и использовать их. Современные

средства поиска делают такую информацию легкодоступной оценщику, и заключение о стойкости ОО к

нападениям с использованием опубликованных потенциальных уязвимостей, а также к хорошо из

вестным типовым нападениям (атакам) может быть сделано в терминах «эффективность-стоимость».

Поиск общедоступной информации следует сосредоточить на тех источниках, которые относятся

к конкретному продукту ИТ. на основании которого получен ОО. При определении требуемой широты

этого поиска следует рассмотреть следующие факторы: тип ОО. опыт оценщика для данного типа

ОО, ожидаемый потенциал нападения и уровень доступных свидетельств согласно классуADV.

Процесс идентификации является итерационным (повторяющимся), т.е. идентификация одной

потенциальной уязвимости может привести к идентификации другой проблемной области, которая тре

бует дальнейшего исследования.

Оценщик приводит в отчете (сообщении), какие действия были предприняты для идентифика

ции потенциальных уязвимостей на основе общедоступной информации. Однако, осуществляя этот

тип поиска, оценщик может быть не в состоянии заранее, до начала анализа, описать шаги,

которые он предпримет при идентификации потенциальных уязвимостей, поскольку подход может

развиваться и претерпевать изменения в зависимости от информации, выявленной в процессе поиска.

Оценщик приводит в отчете, какие свидетельства были исследованы в процессе поиска потенци

альных уязвимостей. Выбор свидетельств может производиться на основании идентифицированных

оценщиком проблемных областей, связанных со свидетельствами, которые нарушитель, как предпо

лагается. может получить, или согласно другому обоснованию, предложенному оценщиком.

14.2.2.6 Действие AVA_VAN.2.3E

14.2.2.6.1 Шаг оценивания AVA_VAN.2-4

Оценщик должен провести поиск в ЗБ, документации руководств, функциональной специфика

ции. проекте ОО и описании архитектуры безопасности, чтобы идентифицировать возможные потенци

альные уязвимости в ОО.

Следует выполнить поиск свидетельств, посредством которого анализируются спецификации

и документация ОО. а после этого выдвигаются гипотезы или делаются предположения о потенциаль

ных уязвимостях в ОО. Затем перечень предполагаемых уязвимостей упорядочивается по приоритетам

на основе оцененной вероятности существования потенциальной уязвимости и. предполагая, что уяз

вимость существует, на основе потенциала нападения, требуемого для ее использования, а также

возможностей, предоставляющихся нарушителю, или предполагаемого ущерба, который обусловлен

конкретной уязвимостью. Упорядоченный по приоритетам перечень потенциальных уязвимостей ис

пользуют для управления тестированием проникновения в ОО.

175