ГОСТ Р ИСО/МЭК 18045—2013
лять потенциал нападения для каждого случая, а только если есть некоторое сомнение относительно
того, может ли уязвимость использоваться нарушителем, обладающим потенциалом нападения мень
шим. чем Умеренный.
14.2.3.7.7 Шаг оценивания AVA_VAN.3-12
Оценщик должен привести в ТОО информацию обо всех пригодных для использования уязвимо
стях и остаточных уязвимостях, детализируя для каждой:
a) ее источник (например стала известна при выполнении действий ОМО. известна оценщику,
прочитана в публикации):
b
) связанные с ней невыполненные ФТБ:
c) описание;
d) пригодна ли она для использования в среде функционирования или нет (т. е. пригодна лидля ис
пользования или является остаточной уязвимостью);
e) количество времени, уровень компетенции, уровень знаний об ОО. уровень возможности до
ступа и оборудование, требуемые для использования идентифицированных уязвимостей, а также со
ответствующие значения с использованием таблиц В.2 и В.З приложения В.4.
14.2.4 Подвид деятельности по оценке (AVA_VAN.4)
14.2.4.1 Цели
Цель данного подвида деятельности — сделать заключение, имеет ли ОО. находящийся в своей
среде функционирования, уязвимости, пригодные для использования нарушителями, обладающими
Умеренным потенциалом нападения.
14.2.4.2 Исходные данные
Свидетельствами оценки для данного подвида деятельности являются:
a) ЗБ;
b
) функциональная спецификация:
c) проект ОО;
d) описание архитектуры безопасности;
e) выбранное подмножество реализации;
f) документация руководств;
д) ОО. пригодный для тестирования;
h) общедоступная информация для поддержки идентификации потенциальных уязвимостей.
Другие неявные свидетельства оценки для этого подвида деятельности зависят от компонентов,
которые были включены в пакет доверия. Свидетельства, предоставляемые для каждого компонента,
должны использоваться в качестве исходных данных для этого подвида деятельности.
Другие исходные данные для данного подвида деятельности:
а)текущая информация, касающаяся известных из общедоступных источников потенциальных
уязвимостей и атак (например от органа оценки).
14.2.4.3 Замечания по применению
Методический подход к анализу принимает форму структурированного исследования свиде
тельств. Для данного метода требуется, чтобы оценщик определил структуру и форму анализа (то есть
способ, которым будет проведён анализ, является предопределенным, в отличие от фокусированного
метода идентификации уязвимостей). Данный метод определяется в терминах того, какая информация
будет подвергнута рассмотрению, каким образом и с какой целью. Дальнейшее руководство по прове
дению методического анализа уязвимостей представлено в приложении В.2.2.2.3.
14.2.4.4 Действие AVA_VAN.4.1E
ИСО/МЭК 15408-3 AVA_VAN.4.1C: ОО
должен быть пригоден для тестирования.
14.2.4.4.1 Шаг оценивания AVA_VAN.4-1
Оценщик должен исследовать ОО. чтобы сделать заключение, согласуется ли тестируемая кон
фигурация с оцениваемой конфигурацией, определенной в ЗБ.
ОО. предоставленному разработчиком и идентифицированному в плане для тестирования, сле
дует иметь ту же уникальную маркировку, которая установлена в соответствии с подвидами деятель
ности семейства ALC_CMC «Возможности УК» и идентифицирована во введении ЗБ.
В ЗБ может быть определено более одной подлежащих оценке конфигураций. ОО может состоять
из ряда различных аппаратных и программных реализаций, которые подлежат тестированию в соот
ветствии с ЗБ. Оценщик верифицирует, что все конфигурации ОО согласованы с ЗБ.
Оценщику следует рассмотреть описанные в ЗБ цели безопасности для среды функционирова
ния ОО. которые могут быть применимы к среде тестирования, и удостовериться, что они достигаются
186