ГОСТ Р ИСО/МЭК 18045-2013; Страница 193

или поделиться

Ещё ГОСТы из 41757, используйте поиск в верху страницы

ГОСТ 32000-2012 Продукция алкогольная и сырье для ее производства. Метод определения массовой концентрации приведенного экстракта (Настоящий стандарт распространяется на алкогольную продукцию и сырье для ее производства: вина, виноматериалы, спиртные напитки и соки для промышленной переработки и устанавливает метод определения массовой концентрации приведенного экстракта) ГОСТ 32011-2013 Микробиология пищевых продуктов и кормов для животных. Горизонтальный метод обнаружения Escherichia coli О157 (Настоящий стандарт распространяется на пищевые продукты, корма для животных и устанавливает метод обнаружения бактерий Escherichia coli О157 с обязательным использованием четырех последовательных стадий) ГОСТ 32147-2013 Десерты фруктовые. Общие технические условия (Настоящий стандарт распространяется на фруктовые десерты, изготовленные из свежих, охлажденных или быстрозамороженных протертых фруктов одного или нескольких видов с добавлением или без добавления целых и (или) нарезанных фруктов или других пищевых ингредиентов, сахара и (или) натуральных подсластителей, загустителей, пищевых органических кислот, пищевых ароматизаторов, пищевых красителей)

Страница 193

Страница 1

Untitled document

ГОСТ Р ИСО/МЭК 18045—2013

следует признать, что для этого типа поиска подход может развиться далее в результате полученной во

время поиска информации. Поэтому оценщик также приводит в отчете информацию о любых дей

ствиях. предпринятых в дополнение к описанным в подходе для дальнейшего исследования проблем,

приводящих к потенциальным уязвимостям, и о том. какие свидетельства были исследованы в процес се

поиска потенциальных уязвимостей.

14.2.4.6 Действие AVA_VAN.4.3E

14.2.4.6.1 Шаг оценивания AVA_VAN.4-4

Оценщик должен провести методический анализ ЗБ. документации руководств, функциональной

спецификации, проекта 0 0 и описания архитектуры безопасности, чтобы идентифицировать возмож

ные потенциальные уязвимости в ОО.

Руководство по проведению методического анализа представлено в приложении В.2.2.2.3.

Данный подход к идентификации потенциальных уязвимостей предусматривает упорядоченный

планируемый подход. Применяется системный подход к исследованию. Оценщик должен описать ис

пользуемый метод с точки зрения рассматриваемых свидетельств, исследуемой информации этих сви

детельств. способа рассмотрения этой информации и выдвигаемых гипотез.

Должна быть использована методология гипотез о недостатках, посредством которой анализиру

ются ЗБ. свидетельства разработки (функциональная спецификация, проект ОО. представление реали

зации), а также руководства, а после этого делаются предположения о потенциальных уязвимостях в ОО.

Оценщик использует знания проекта ОО и функционирования ОО. полученные от изучения по

ставляемых материалов ОО. чтобы выдвинуть гипотезу о недостатках и идентифицировать потенци

альные недостатки разработки ОО и потенциальные ошибки в специфицированном методе функцио

нирования ОО.

«Описание архитектуры безопасности» предоставляет сведения об анализе уязвимостей, прове

денном разработчиком, поскольку в ней документировано, каким образом в ФБО обеспечена собствен

ная защита от вмешательства недоверенных субъектов и предотвращение обхода функциональных

возможностей обеспечения безопасности. Таким образом, оценщик базируется на своем понимании

защиты ФБО. полученном в результате анализа этих свидетельств и расширенном за счет знаний, полу

ченных из других свидетельств по классуADV, связанных с разработкой.

Принятый подход при методическом анализе уязвимостей направлен на проблемные области,

идентифицированные во время исследования свидетельств разработки и руководств в рамках про

ведения действий по оценке. Однако оценщику следует также рассмотреть каждый аспект анализа

архитектуры безопасности для поиска любых способов, которыми можно нарушить защиту ФБО. Мо

жет оказаться полезным структурировать методический анализ на основе материала, представленного в

«Описании архитектуры безопасности», учитывая, если это применимо, аспекты из других свиде

тельств по классуADV. Анализ может быть в дальнейшем развит в целях предоставления уверенности в

том. что рассмотрены все материалы других свидетельств класса ADV.

Ниже приводится несколько примеров гипотез, которые могут быть выдвинуты:

a) рассмотрение возможности ввода нарушителем некорректных исходных данных через интер

фейсы на уровне внешних интерфейсов:

) исследование ключевых механизмов безопасности, приведенных в «Описании архитектуры

безопасности», таких как разделение процессов, при котором выдвигается гипотеза о возможном пере

полнении внутреннего буфера, что может привести к нарушению такого разделения;

c) поиск в целях идентификации любых объектов, созданных в представлении реализации ОО,

которые не полностью контролируются ФБО и могут быть использованы нарушителем для компроме

тации ФТБ.

Например, оценщик может идентифицировать, что интерфейсы являются потенциальной обла

стью слабых мест ОО и определить подход к поиску уязвимостей таким образом, что: «все специфика

ции интерфейсов, представленные в функциональной спецификации и проекте ОО. будут исследованы

для выдвижения гипотезы о потенциальных уязвимостях», а затем продолжить объяснение

методов, используемых при выдвижении таких гипотез.

Дополнительно рассматриваются проблемные области, идентифицированные оценщиком во вре

мя исследования свидетельств в процессе проведения действий пооценке. Проблемные области также

могут быть идентифицированы во время выполнения других шагов оценивания, связанных с данным

компонентом, в особенности шагов AVA_VAN.4-7, AVA_VAN.4-5 и AVA_VAN.4-6. при выполнении кото

рых разработка и проведение тестов проникновения могут позволить идентифицировать проблемные

области, для которых требуется дальнейшее исследование, или потенциальные уязвимости.

188