ГОСТ Р ИСО/МЭК 18045-2013; Страница 189

или поделиться

Ещё ГОСТы из 41757, используйте поиск в верху страницы

ГОСТ 32000-2012 Продукция алкогольная и сырье для ее производства. Метод определения массовой концентрации приведенного экстракта (Настоящий стандарт распространяется на алкогольную продукцию и сырье для ее производства: вина, виноматериалы, спиртные напитки и соки для промышленной переработки и устанавливает метод определения массовой концентрации приведенного экстракта) ГОСТ 32011-2013 Микробиология пищевых продуктов и кормов для животных. Горизонтальный метод обнаружения Escherichia coli О157 (Настоящий стандарт распространяется на пищевые продукты, корма для животных и устанавливает метод обнаружения бактерий Escherichia coli О157 с обязательным использованием четырех последовательных стадий) ГОСТ 32147-2013 Десерты фруктовые. Общие технические условия (Настоящий стандарт распространяется на фруктовые десерты, изготовленные из свежих, охлажденных или быстрозамороженных протертых фруктов одного или нескольких видов с добавлением или без добавления целых и (или) нарезанных фруктов или других пищевых ингредиентов, сахара и (или) натуральных подсластителей, загустителей, пищевых органических кислот, пищевых ароматизаторов, пищевых красителей)

Страница 189

Страница 1

Untitled document

ГОСТ Р ИСО/МЭК 18045—2013

не приводит к отрицательному заключению поданному действию. В случае, если анализ поддерживает

гипотезу, данные потенциальные уязвимости не следует рассматривать далее в качестве исходных

данных для тестирования проникновения. Однако такие уязвимости приводятся в ТОО как остаточные.

Потенциальным уязвимостям, по поводу которых выдвигается гипотеза, что эти уязвимости мо

гут использовать нарушители, обладающие Базовым или Усиленным базовым потенциалом нападения и

использование которых приводит к нарушению целей безопасности, следует быть самыми высокими по

приоритету потенциальными уязвимостями и их следует включать в перечень, который далее будет

использоваться для тестирования проникновения.

14.2.3.7.2 Шаг оценивания AVA_VAN.3-7

Оценщик должен разработать тестовую документацию для тестов проникновения, основанных

на перечне потенциальных уязвимостей, причем детализация этой документации должна быть доста

точна для обеспечения воспроизводимости тестов. Тестовая документация должна включать:

a) идентификацию тестируемой потенциальной уязвимости оцениваемого 00;

) инструкции по подключению и настройке всего требуемого тестового оборудования, как требу

ется для проведения конкретного теста проникновения;

c) инструкции по установке всех предварительных начальных условий выполнения теста проник

новения;

d) инструкции по инициированию ФБО;

e) инструкции по наблюдению режима выполнения ФБО;

f) описание всех ожидаемых результатов и необходимого анализа, который следует выполнить

по отношению к наблюдаемому режиму выполнения ФБО для сравнения с ожидаемыми результатами;

д) инструкции по завершению теста и установке необходимого послетестового состояния ОО.

Оценщик готовится к тестированию проникновения, основываясь на перечне потенциальных уяз

вимостей, идентифицированных во время поиска общедоступной информации и анализа свидетельств.

Не предполагается, что оценщик сделает заключение о возможности использования потенциаль

ных уязвимостей помимо тех. для которых требуется Усиленный базовый потенциал нападения, чтобы

осуществить нападение. Однако в результате исследований в ходе оценки оценщик может обнаружить

потенциальную уязвимость, пригодную для использования только нарушителем с большим, чем Уси

ленный базовый, потенциалом нападения. Такие уязвимости необходимо привести в ТОО как

остаточ ные уязвимости.

Поняв потенциальную уязвимость, оценщик определяет наиболее подходящий способ протести

ровать восприимчивость 00. Оценщик особенно внимательно рассматривает:

a) ИФБО или другой интерфейс ОО, который будет использован для инициирования выполне

ния ФБО и наблюдения за их реакцией (возможно, что оценщику потребуется использование иного ин

терфейса ОО помимо ИФБО для демонстрации свойств ФБО. в частности, приведенных в

«Описании архитектуры безопасности» (в соответствии с требованиями семейства ADV_ARC).

Следует отметить, что хотя интерфейсы ОО предоставляют средства тестирования свойств ФБО.

сами эти интерфейсы не являются предметом тестирования):

) начальные условия, которые будут необходимы для выполнения теста (т.е. какие-либо кон

кретные объекты или субъекты, которые необходимы и атрибуты безопасности, которые им необходи мо

будет иметь);

c) специальное оборудование для тестирования, которое потребуется либо для инициирования

ИФБО. либо для наблюдения за ИФБО (хотя маловероятно, что для использования уязвимости, для кото

рой предполагается Базовый потенциал нападения нарушителя, потребуется специальное оборудование):

d) следует ли заменить теоретическим анализом физическое тестирование, в частности в отно шении

того, когда результаты первоначального теста могут экстраполироватьсядля демонстрации того, что

повторные попытки нападения, вероятно, будут успешными после выполнения некоторого задан

ного числа попыток.

Оценщик, вероятно, посчитает целесообразным выполнить тестирование проникновения, исполь

зуя ряд наборов тестов, где каждый набор тестов будет использоваться для тестирования конкретной

потенциальной уязвимости.

Цель определения данного уровня детализации в тестовой документации — предоставить воз

можность другому оценщику повторить тесты и получить эквивалентный результат.

14.2.3.7.3 Шаг оценивания AVA_VAN.3-8

Оценщик должен провести тестирование проникновения.

Оценщик использует документацию для тестов проникновения, подготовленную на шаге оце

нивания AVA_VAN.3-6. как основу для выполнения тестов проникновения по отношению к ОО. но это

184