ГОСТ Р ИСО/МЭК 18045-2013; Страница 195

или поделиться

Ещё ГОСТы из 41757, используйте поиск в верху страницы

ГОСТ 32000-2012 Продукция алкогольная и сырье для ее производства. Метод определения массовой концентрации приведенного экстракта (Настоящий стандарт распространяется на алкогольную продукцию и сырье для ее производства: вина, виноматериалы, спиртные напитки и соки для промышленной переработки и устанавливает метод определения массовой концентрации приведенного экстракта) ГОСТ 32011-2013 Микробиология пищевых продуктов и кормов для животных. Горизонтальный метод обнаружения Escherichia coli О157 (Настоящий стандарт распространяется на пищевые продукты, корма для животных и устанавливает метод обнаружения бактерий Escherichia coli О157 с обязательным использованием четырех последовательных стадий) ГОСТ 32147-2013 Десерты фруктовые. Общие технические условия (Настоящий стандарт распространяется на фруктовые десерты, изготовленные из свежих, охлажденных или быстрозамороженных протертых фруктов одного или нескольких видов с добавлением или без добавления целых и (или) нарезанных фруктов или других пищевых ингредиентов, сахара и (или) натуральных подсластителей, загустителей, пищевых органических кислот, пищевых ароматизаторов, пищевых красителей)

Страница 195

Страница 1

Untitled document

ГОСТ Р ИСО/МЭК 18045—2013

Оценщику следует помнить, что при рассмотрении «Описания архитектуры безопасности» для по

иска уязвимостей (как детализировано в AVA_VAN.4-3), следует выполнить тестирование в целях под

тверждения архитектурных свойств. Если требованияATE_DPT включены в ТДБ. то в свидетельства те

стирования разработчика будет включено тестирование, проводимое для подтверждения правильности

реализации любых конкретных механизмов, детально описанных в «Описании архитектуры безопасно

сти». Однако проводимое разработчиком тестирование не обязательно должно включать тестирование

всех аспектов свойств архитектуры, обеспечивающих защиту ФБО, так как большая часть таких тестов

будет являться негативными тестами, которые проводятся, чтобы попытаться опровергнуть эффектив

ность этих свойств. При разработке стратегии тестирования проникновения оценщик обеспечивает,

что каждая из основных характеристик в «Описании архитектуры безопасности» протестирована либо

при функциональном тестировании (как рассмотрено в главе 13). либо при тестировании проникнове

ния, проведенном оценщиком.

Оценщик, вероятно, посчитает целесообразным выполнить тестирование проникновения, исполь

зуя ряд наборов тестов, где каждый набор тестов будет использоваться для тестирования конкретной

потенциальной уязвимости.

Не предполагается тестирования оценщиком на предмет наличия потенциальных уязвимостей

(в том числе известных изобщедоступных источников) помимо тех. для использования которых требуется

Умеренный потенциал нападения. Однако в некоторых случаях необходимо будет выполнить некоторый

тест прежде, чем может бытьопределена пригодность к использованию. Когда в результате

исследований оценщик обнаруживает некоторую потенциальную уязвимость, для использования которой

требуется по тенциал нападения выше, чем Умеренный, она приводится в ТОО как остаточная

уязвимость.

Руководство по определению необходимого для использования потенциальной уязвимости по

тенциала нападения представлено в приложении В.4.

Потенциальным уязвимостям, ло поводу которых выдвигается гипотеза, что эти уязвимости могут

использовать нарушители, обладающие Умеренным (или ниже) потенциалом нападения и использова

ние которых приводит к нарушению целей безопасности, следует быть самыми высокими ло приоритету

потенциальными уязвимостями, и их следует включать в перечень, который далее будет использовать ся

для тестирования проникновения.

14.2.4.7.2 Шаг оценивания AVA_VAN.4-7

Оценщик должен разработать тестовую документацию для тестов проникновения, основанных

на перечне потенциальных уязвимостей, причем детализация этой документации должна быть доста

точна для обеспечения воспроизводимости тестов. Тестовая документация должна включать:

a) идентификацию тестируемой потенциальной уязвимости оцениваемого 00;

) инструкции по подключению и настройке всего требуемого тестового оборудования, как требу

ется для проведения конкретного теста проникновения;

c) инструкциипоустановкевсехпредварительных начальныхусловий выполнениятеста проникновения;

d) инструкции по инициированию ФБО;

e) инструкции по наблюдению режима выполнения ФБО;

f) описание всех ожидаемых результатов и необходимого анализа, который следует выполнить

по отношению к наблюдаемому режиму выполнения ФБО для сравнения с ожидаемыми результатами;

д) инструкции по завершению теста и установке необходимого послетестового состояния ОО.

Оценщик готовится к тестированию проникновения, основываясь на перечне потенциальных уяз

вимостей. идентифицированных во время поиска общедоступной информации и анализа свидетельств.

Не предполагается, что оценщик сделает заключение о возможности использования потенциаль

ных уязвимостей помимо тех. для которых требуется Умеренный потенциал нападения, чтобы осуще

ствить нападение. Однако в результате исследований в ходе оценки оценщик может обнаружить потен

циальную уязвимость, пригодную для использования только нарушителем с большим, чем Умеренный,

потенциалом нападения. Такие уязвимости нужно приводить в ТОО как остаточные уязвимости.

Поняв потенциальную уязвимость, оценщик определяет наиболее подходящий способ протести

ровать восприимчивость ОО. Оценщик особенно внимательно рассматривает:

а) ИФБО или другой интерфейс ОО, который будет использоваться для инициирования выполне

ния ФБО и наблюдения за реакцией ФБО (возможно, что оценщику потребуется использование иного

интерфейса ОО помимо ИФБО для демонстрации свойств ФБО. в частности, приведенных в «Описании

архитектуры безопасности» (в соответствии с требованиями семейства ADV_ARC. Следует отметить,

что хотя интерфейсы ОО предоставляют средства тестирования свойств ФБО. сами эти

интерфейсы не являются предметом тестирования);

190