ГОСТ Р ИСО/МЭК 18045—2013
c) вмешательство:
d) прямое нападение;
e) мониторинг;
0 неправильное применение.
Пункты b) — f) объясняются более детально в приложении В.
«Описание архитектуры безопасности» следует рассматривать в свете каждой из вышеупомяну
тых рубрик типовых потенциальных уязвимостей. Каждую потенциальную уязвимость следует рассма
тривать при поиске возможных способов нарушения защиты ФБО и компрометации ФБО.
14.2.3.6.2 Шаг оценивания AVA_VAN.3-5
Оценщик должен привести в ТОО идентифицированные потенциальные уязвимости, которые яв
ляются кандидатами на тестирование и применимы к данному 00 в среде его функционирования.
Может быть идентифицировано, что не требуется дальнейшее рассмотрение конкретной потен
циальной уязвимости, если оценщик идентифицирует, что использующихся в среде функционирования
мер защиты, относящихся или не относящихся к ИТ. достаточно для предотвращения возможности ис
пользования потенциальной уязвимости в данной среде функционирования. Например, ограничение
физического доступа к ОО и предоставление такого доступа только уполномоченным пользователям
может эффективно снизить вероятность использования потенциальной уязвимости для несанкциони
рованного вмешательства в ОО.
Оценщик фиксирует любые причины исключения потенциальных уязвимостей из дальнейше
го рассмотрения, если он сделает заключение, что потенциальная уязвимость не применима в сре
де функционирования. В ином случав оценщик фиксирует выявленную потенциальную уязвимость
для дальнейшего рассмотрения.
Оценщик должен привести в ТОО перечень потенциальных уязвимостей, применимых к ОО в его
среде функционирования, который может использоваться в качестве исходных данных для действий по
тестированию проникновения.
14.2.3.7 Действие AVA_VAN.3.4E
14.2.3.7.1 Шаг оценивания AVA_VAN.3-6
Оценщик должен разработать тесты проникновения, основываясь на проведенном независимом
поиске потенциальных уязвимостей.
Оценщик готовит к тестированию проникновения то. что необходимо, чтобы сделать заключение
о восприимчивости ОО. находящегося в своей среде функционирования, к потенциальным уязвимо
стям, идентифицированным в процессе поиска по источникам общедоступной информации. Любая
текущая информация об известных потенциальных уязвимостях, предоставленная оценщику третьей
стороной (например органом оценки), рассматривается оценщиком наряду с любыми обнаруженными
в результате выполнения других действий по оценке потенциальными уязвимостями.
Оценщику следует помнить, что при рассмотрении «Описания архитектуры безопасности» для по
иска уязвимостей (как детализировано в AVA_VAN.3-4), следует выполнить тестирование в целях под
тверждения архитектурных свойств. Это. вероятно, потребует проведения негативных тестов, чтобы
попытаться опровергнуть свойства архитектуры безопасности. При разработке стратегии тестирования
проникновения оценщик обеспечивает, чтобы каждая из основных характеристик в «Описании архитек
туры безопасности» была протестирована либо при функциональном тестировании (как рассмотрено
в разделе 13), либо при тестировании проникновения, проведенном оценщиком.
Вероятно, будет целесообразным выполнить тестирование проникновения, используя ряд набо
ров тестов, где каждый набор тестов будет использоваться для тестирования конкретной потенциаль
ной уязвимости.
Не предполагается тестирования оценщиком на предмет наличия потенциальных уязвимостей
(в том числе известных из общедоступных источников) помимо тех. для использования которых тре
буется Усиленный базовый потенциал нападения. Однако в некоторых случаях необходимо будет вы
полнить некоторый тест прежде, чем может быть определена пригодность к использованию. Когда в ре
зультате исследований в ходе оценки оценщик обнаруживает некоторую потенциальную уязвимость,
для использования которой требуется потенциал нападения выше, чем Усиленный базовый, она приво
дится в ТОО как остаточная уязвимость.
Руководство по определению необходимого для использования потенциальной уязвимости по
тенциала нападения представлено в приложении В.4.
Если по поводу потенциальных уязвимостей выдвигают гипотезу, что эти уязвимости могут ис
пользовать только нарушители, обладающие Умеренным или Высоким потенциалом нападения, это
183