ГОСТ Р ИСО/МЭК 18045-2013; Страница 187

или поделиться

Ещё ГОСТы из 41757, используйте поиск в верху страницы

ГОСТ 32000-2012 Продукция алкогольная и сырье для ее производства. Метод определения массовой концентрации приведенного экстракта (Настоящий стандарт распространяется на алкогольную продукцию и сырье для ее производства: вина, виноматериалы, спиртные напитки и соки для промышленной переработки и устанавливает метод определения массовой концентрации приведенного экстракта) ГОСТ 32011-2013 Микробиология пищевых продуктов и кормов для животных. Горизонтальный метод обнаружения Escherichia coli О157 (Настоящий стандарт распространяется на пищевые продукты, корма для животных и устанавливает метод обнаружения бактерий Escherichia coli О157 с обязательным использованием четырех последовательных стадий) ГОСТ 32147-2013 Десерты фруктовые. Общие технические условия (Настоящий стандарт распространяется на фруктовые десерты, изготовленные из свежих, охлажденных или быстрозамороженных протертых фруктов одного или нескольких видов с добавлением или без добавления целых и (или) нарезанных фруктов или других пищевых ингредиентов, сахара и (или) натуральных подсластителей, загустителей, пищевых органических кислот, пищевых ароматизаторов, пищевых красителей)

Страница 187

Страница 1

Untitled document

ГОСТ Р ИСО/МЭК 18045—2013

и руководства (общедоступные документы). Таким образом, хотя цели доверия к ОО обеспечивают,

что проект ОО и представление реализации отвечают требованиям, эти представления проекта следу ет

исследовать для дальнейшего изучения проблемных областей.

С другой стороны, если источник информации общедоступен, было бы разумно предположить,

что нарушитель имеет доступ к данному источнику информации и может использовать эту информацию

при попытках осуществления атаки на ОО. Поэтомуданный источник нужно рассмотреть при фокусиро

ванном подходе к исследованию.

Примеры выборки подмножества свидетельств, которые требуется рассмотреть:

a) Для оценки, когда предоставлены все уровни представления проекта от функциональной

спецификации до представления реализации, исследуется информация, которая может быть выбрана в

функциональной спецификации и представлении реализации, поскольку в функциональной специфи

кации предоставлена детализация интерфейсов, доступных нарушителю, и представление реализации

включает в себя проектные решения, сделанные для всех других представлений проекта. Поэтому ин

формацию о проекте ОО рассматривают как часть представления реализации.

) Исследование особого подмножества информации в каждом из представлений проекта, преду

сматривающем оценку.

c) Охват конкретных ФТБ каждым из представлений проекта, предоставленных для оценки.

d) Исследование каждого из представлений проекта, предоставленных для оценки, с рассмотре

нием различных ФТБ в рамках каждого представления проекта.

e) Исследование аспектов свидетельств, предоставленных для оценки, касающихся текущей ин

формации о потенциальных уязвимостях, полученной оценщиком (например от системы оценки).

Данный подход к идентификации потенциальных уязвимостей предусматривает упорядоченный

планируемый подход; применяется системный подход к исследованию. Оценщик должен описать ис

пользуемый метод с точки зрения рассматриваемых свидетельств, исследуемой информации этих сви

детельств. способа рассмотрения этой информации и выдвигаемых гипотез.

Ниже приводится несколько примеров гипотез, которые могут быть выдвинуты:

a) рассмотрение возможности ввода нарушителем некорректных исходных данных через интер

фейсы на уровне внешних интерфейсов;

) исследование ключевых механизмов безопасности, приведенных в «Описании архитектуры

безопасности», таких как разделение процессов, при котором выдвигается гипотеза о возможном пере

полнении внутреннего буфера, что может привести к нарушению такого разделения;

c) поиск в целях идентификации любых объектов, созданных в представлении реализации ОО,

которые не полностью контролируются ФБО. и могут быть использованы нарушителем для компроме

тации ФТБ.

Например, оценщик может идентифицировать, что интерфейсы являются потенциальной обла

стью слабых мест ОО и определить подход к поиску таким образом, что «все спецификации интерфей

сов. представленные в функциональной спецификации и проекте ОО. будут исследованыдля выдвиже

ния гипотезы о потенциальных уязвимостях», а затем продолжить объяснение методов, используемых

при выдвижении таких гипотез.

Процесс идентификации является итерационным (повторяющимся), т.е. идентификация одной

потенциальной уязвимости может привести к идентификации другой проблемной области, которая тре

бует дальнейшего исследования.

Оценщик приводит в отчете (сообщении), какие действия были предприняты для идентифика

ции потенциальных уязвимостей на основе общедоступной информации. Однако, осуществляя этот

тип поиска, оценщик может быть не в состоянии заранее, до начала анализа, описать шаги, которые

он предпримет при идентификации потенциальных уязвимостей, поскольку подход может развиваться

и претерпевать изменения в зависимости от информации, выявленной в процессе поиска.

Оценщик приводит в отчете, какие свидетельства были исследованы в процессе поиска потенци

альных уязвимостей. Выбор свидетельств может производиться на основании идентифицированных

оценщиком проблемных областей, связанных со свидетельствами, которые нарушитель, как предпо

лагается. может получить, или согласно другому обоснованию, предложенному оценщиком.

Исходя из ФТБ. которые должны выполняться для данного ОО в среде функционирования, оцен

щику при независимом анализе уязвимостей следует рассмотреть характерные потенциальные уязви

мости под каждой из следующих рубрик:

a) потенциальные уязвимости, характерные для конкретного типа оцениваемого ОО. которые мо

гут быть указаны органом оценки;

) обход ФБО;

182