ГОСТ Р ИСО/МЭК 18045—2013
ся дальнейшее исследование. Это находится вне области выявленных уязвимостей, так как требуется
дальнейшее исследование.
Фокусированный подход к идентификации уязвимостей — анализ свидетельств в целях идентифи
кации любых потенциальных уязвимостей, которые становятся очевидны при изучении содержащейся в
свидетельствах информации. Такой анализ является неструктурированным, поскольку методика про
ведения не предопределена. Дальнейшее руководство по поводу направленного анализа уязвимостей
представлено в приложении В.2.2.2.2.
14.2.3.4 Действие AVA_VAN.3.1E
ИСО/МЭК 15408-3 AVA_VAN.3.1C: ОО должен быть пригоден для тестирования.
14.2.3.4.1 Шаг оценивания AVA_VAN.3-1
Оценщик должен исследовать ОО. чтобы сделать заключение, согласуется ли тестируемая кон
фигурация с оцениваемой конфигурацией, определенной в ЗБ.
ОО. предоставленному разработчиком и идентифицированному в плане тестирования, следует
иметь ту же уникальную маркировку, которая установлена в соответствии с подвидами деятельности
семейства А1_С_СМС «Возможности УК» и идентифицирована во введении ЗБ.
В ЗБ может быть определено более одной подлежащих оценке конфигураций. ОО может состоять
из ряда различных аппаратных и программных реализаций, которые подлежат тестированию в соот
ветствии с ЗБ. Оценщик верифицирует, что все конфигурации ОО согласованы с ЗБ.
Оценщику следует рассмотреть описанные в ЗБ цели безопасности для среды функционирова
ния ОО. которые могут быть применимы к среде тестирования, и удостовериться, что они достигаются
в среде тестирования. В ЗБ могут быть и другие цели безопасности, которые не применимы для сре
ды тестирования. Например, цель безопасности относительно допусков пользователей не применима
к среде тестирования, однако цель безопасности относительно единой точки подключения к сети при
менима к среде тестирования.
При использовании каких бы то ни было средств тестирования (например измерителей, анализа
торов) обеспечить правильную калибровку этих средств будет обязанностью оценщика.
14.2.3.4.2 Шаг оценивания AVA_VAN.3-2
Оценщик должен исследовать ОО. чтобы сделать заключение, правильно ли он установлен и на
ходится ли в состоянии, которое известно.
Оценщик имеет возможность сделать заключение о состоянии ОО несколькими способами. На
пример. предшествующее успешное завершение подвида деятельности AGD_PRE.1 позволит считать
удовлетворенным данный шаг оценивания, если оценщик все еще уверен, что тестируемый ОО был
правильно установлен и находится в известном состоянии. Если это не так. то оценщику рекомендуется
следовать процедурам разработчика, чтобы установить и запустить ОО. используя только поставляе
мое руководство.
Если оценщику приходится выполнить процедуры установки вследствие того, что ОО находится
в неизвестном состоянии, то при успешном завершении данный шаг оценивания мог бы удовлетворить
шаг оценивания AGD_PRE.1-3.
14.2.3.5 Действие AVA_VAN.3.2E
14.2.3.5.1 Шаг оценивания AVA_VAN.3-3
Оценщик должен исследовать общедоступные источники информации, чтобы идентифицировать
потенциальные уязвимости в ОО.
Оценщик исследует общедоступные источники информации, в целях поддержки идентификации
возможных потенциальных уязвимостей в ОО. Существует много общедоступных источников инфор
мации. которые следует рассмотреть оценщику. Например, общедоступные ресурсы в мировой сети,
включая:
a) специальные публикации (журналы, книги);
b
) исследовательские статьи;
c) материалы конференций.
Оценщику не следует ограничивать рассмотрение общедоступной информации вышеупомянуты
ми источниками, ему следует рассмотреть любую другую доступную информацию, имеющую отноше
ние к уязвимостям ОО.
В процессе исследования предоставленных разработчиком свидетельств оценщик будет исполь
зовать общедоступную информацию для дальнейшего поиска потенциальных уязвимостей. Оценщи ку
также следует особо рассмотреть всю доступную информацию, касающуюся идентифицированных
проблемных областей.
180