ГОСТ Р ИСО/МЭК 18045—2013
Однако на данном уровне строгости анализ только подмножества свидетельств разработки
и руководств и их содержания недопустим. Описанием подхода следует обеспечить демонстрацию
того, что используемый методический подход достаточно полон и предоставляет уверенность в
том, что при использовании подхода к поиску в поставляемых материалах 0 0 рассматривалась вся
инфор мация. представленная в этих материалах.
Данный подход к идентификации потенциальных уязвимостей предусматривает упорядоченный
планируемый подход. Применяется системный подход к исследованию. Оценщик должен описать ис
пользуемый метод с точки зрения рассматриваемых свидетельств, исследуемой информации этих сви
детельств. способа рассмотрения этой информации и выдвигаемых гипотез. Данный подход следует со
гласовать с органом оценки, а орган оценки может предоставить детализацию любых дополнительных
подходов, которые следует предпринять оценщику при проведении анализа уязвимостей и при иденти
фикации любой дополнительной информации, которую следует рассмотреть оценщику.
Хотя системный подход для идентификации потенциальных уязвимостей для данного подхода
предопределен, процесс идентификации все еще может быть итерационным (повторяющимся), т.е.
идентификация одной потенциальной уязвимости может привести к идентификации другой проблем
ной области, которая требует дальнейшего исследования.
Исходя из ФТБ. которые должны выполняться для данного ОО в среде функционирования, оцен щику
при независимом анализе уязвимостей следует рассмотреть характерные потенциальные уязви
мости под каждой из следующих рубрик:
a) потенциальные уязвимости, характерные для конкретного типа оцениваемого ОО, которые мо
гут быть указаны органом оценки;
b
) обход ФБО:
c) вмешательство;
d) прямое нападение;
e) мониторинг;
О неправильное применение.
Пункты b) — f) объясняются более детально в приложении В.
«Описание архитектуры безопасности» следует рассматривать в свете каждой из вышеупомяну
тых рубрик типовых потенциальных уязвимостей. Каждую потенциальную уязвимость следует рассма
тривать при поиске возможных способов нарушения защиты ФБО и компрометации ФБО.
14.2.4.6.2 Шаг оценивания AVA_VAN.4-5
Оценщик должен привести в ТОО идентифицированные потенциальные уязвимости, которые яв
ляются кандидатами на тестирование и применимы к данному ОО в среде его функционирования.
Может быть идентифицировано, что не требуется дальнейшее рассмотрение конкретной потен
циальной уязвимости, если оценщик идентифицирует, что использующихся в среде функционирования
мер защиты, относящихся или не относящихся к ИТ. достаточно для предотвращения возможности ис
пользования потенциальной уязвимости в данной среде функционирования. Например, ограничение
физического доступа к ОО и предоставление такого доступа только уполномоченным пользователям
может эффективно снизить вероятность использования потенциальной уязвимости для несанкциони
рованного вмешательства в ОО.
Оценщик фиксирует любые причины исключения потенциальных уязвимостей из дальнейше
го рассмотрения, если он сделает заключение, что потенциальная уязвимость не применима в сре
де функционирования. В ином случае оценщик фиксирует выявленную потенциальную уязвимость
для дальнейшего рассмотрения.
Оценщик должен привести в ТОО перечень потенциальных уязвимостей, применимых к ОО в его
среде функционирования, который может использоваться в качестве исходных данных для действий по
тестированию проникновения.
14.2.4.7 Действие AVA_VAN.4.4E
14.2.4.7.1 Шаг оценивания AVA_VAN.4-6
Оценщик должен разработать тесты проникновения, основываясь на проведенном независимом
поиске потенциальных уязвимостей.
Оценщик готовит к тестированию проникновения то. что необходимо, чтобы сделать заключение
о восприимчивости ОО. находящегося в своей среде функционирования, к потенциальным уязвимо
стям, идентифицированным в процессе поиска по источникам общедоступной информации. Любая
текущая информация об известных потенциальных уязвимостях, предоставленная оценщику третьей
стороной (например органом оценки), рассматривается оценщиком наряду с любыми обнаруженными
в результате выполнения других действий по оценке потенциальными уязвимостями.
189