ГОСТ Р ИСО/МЭК 18045—2013
Приведенный перечень ни в коем случае не является исчерпывающим и предназначен только
для того, чтобы предоставить некоторое представление о типе информации, касающейся тестирования
проникновения, выполненного оценщиком в процессе оценки, которую следует привести в ТОО.
14.2.2.7.6 Шаг оценивания AVA_VAN.2-11
Оценщик должен исследовать результаты всего тестирования проникновения и выводы по всему
анализу уязвимостей, чтобы сделать заключение, является ли 00. находящийся в своей среде функци
онирования. стойким к нарушителю, обладающему Базовым потенциалом нападения.
Если результаты показывают, что ОО. находящийся в своей среде функционирования, имеет уяз
вимости. пригодные для использования нарушителем, обладающим меньшим, чем Усиленный базо
вый. потенциалом нападения, то по этому действию оценщиком делается отрицательное заключение.
Руководство из приложения В.4 следует использовать для того, чтобы сделать заключение о по
тенциале нападения, требуемом для использования конкретной уязвимости, и может ли эта уязвимость
быть использована в предполагаемой среде функционирования. Может не быть необходимости вычис
лять потенциал нападения для каждого случая, а только если есть некоторое сомнение относительно
того, может ли уязвимость использоваться нарушителем, обладающим потенциалом нападения мень
шим. чем Усиленный базовый.
14.2.2.7.7 Шаг оценивания AVA_VAN.2-12
Оценщик должен привести в ТОО информацию обо всех пригодных для использования уязвимо
стях и остаточных уязвимостях, детализируя для каждой:
a) ее источник (например стала известна при выполнении действий ОМО, известна оценщику,
прочитана в публикации);
b
) связанные с ней невыполненные ФТБ;
c) описание;
d) пригодна ли она для использования всреде функционирования или нет (т. е. пригодна ли для ис
пользования или является остаточной уязвимостью);
e) количество времени, уровень компетентности, уровень знания ОО. уровень возможности до
ступа. оборудование, требуемые для использования идентифицированных уязвимостей, а также соот
ветствующие значения с использованием таблиц В.2 и В.З приложения В.4.
14.2.3 Подвид деятельности по оценке (AVA_VAN.3)
14.2.3.1 Цели
Цель данного подвида деятельности — сделать заключение, имеет ли ОО. находящийся в своей
среде функционирования, уязвимости, пригодные для использования нарушителями, обладающими
Усиленным базовым потенциалом нападения.
14.2.3.2 Исходные данные
Свидетельствами оценки для данного подвида деятельности являются:
a) ЗБ;
b
) функциональная спецификация;
c) проект ОО:
d) описание архитектуры безопасности;
e) выбранное подмножество реализации:
О документация руководств;
д) ОО. пригодный для тестирования:
h) общедоступная информация для поддержки идентификации потенциальных уязвимостей.
Другие неявные свидетельства оценки для этого подвида деятельности зависят от компонентов,
которые были включены в пакет доверия. Свидетельства, предоставляемые для каждого компонента,
должны использоваться в качестве исходных данных для этого подвида деятельности.
Другие исходные данные для данного подвида деятельности:
а)текущая информация, касающаяся известных из общедоступных источников потенциальных
уязвимостей и атак (например от органа оценки).
14.2.3.3 Замечания по применению
В процессе выполнения действий по оценке оценщик может также идентифицировать проблем
ные области. К ним относятся определенные части свидетельств ОО. которые хотя формально и со
ответствуют требованиям для конкретной деятельности, с которой связано данное свидетельство,
но у оценщика есть по отношению к ним некоторые сомнения. Например, конкретная спецификация
интерфейса представляется особенно сложной и поэтому может вызвать ошибку или при разработке
ОО. или при функционировании ОО. На данном этапе нет потенциальной уязвимости, поэтому требует-
179