ГОСТ Р ИСО/МЭК 18045-2013; Страница 196

или поделиться

Ещё ГОСТы из 41757, используйте поиск в верху страницы

ГОСТ 32000-2012 Продукция алкогольная и сырье для ее производства. Метод определения массовой концентрации приведенного экстракта (Настоящий стандарт распространяется на алкогольную продукцию и сырье для ее производства: вина, виноматериалы, спиртные напитки и соки для промышленной переработки и устанавливает метод определения массовой концентрации приведенного экстракта) ГОСТ 32011-2013 Микробиология пищевых продуктов и кормов для животных. Горизонтальный метод обнаружения Escherichia coli О157 (Настоящий стандарт распространяется на пищевые продукты, корма для животных и устанавливает метод обнаружения бактерий Escherichia coli О157 с обязательным использованием четырех последовательных стадий) ГОСТ 32147-2013 Десерты фруктовые. Общие технические условия (Настоящий стандарт распространяется на фруктовые десерты, изготовленные из свежих, охлажденных или быстрозамороженных протертых фруктов одного или нескольких видов с добавлением или без добавления целых и (или) нарезанных фруктов или других пищевых ингредиентов, сахара и (или) натуральных подсластителей, загустителей, пищевых органических кислот, пищевых ароматизаторов, пищевых красителей)

Страница 196

Страница 1

Untitled document

ГОСТ Р ИСО/МЭК 18045—2013

) начальные условия, которые будут необходимы для выполнения теста (т.е. какие-либо кон

кретные объекты или субъекты, которые необходимы и атрибуты безопасности, которые им необходи мо

будет иметь);

c) специальное оборудование для тестирования, которое потребуется либо для инициирования

ИФБО. либо для наблюдения за ИФБО (хотя маловероятно, что для использования уязвимости, для кото

рой предполагается Базовый потенциал нападения нарушителя, потребуется специальное оборудование);

d) следует ли заменить теоретическим анализом физическое тестирование, в частности в отно шении

того, когда результаты первоначального теста могут экстраполироваться длядемонстрации того, что

повторные попытки нападения, вероятно, будут успешными после выполнения некоторого задан

ного числа попыток.

Оценщик, вероятно, посчитает целесообразным выполнить тестирование проникновения, исполь

зуя ряд наборов тестов, где каждый набор тестов будет использоваться для тестирования конкретной

потенциальной уязвимости.

Цель определения данного уровня детализации в тестовой документации — предоставить воз

можность другому оценщику повторить тесты и получить эквивалентный результат.

14.2.4.7.3 Шаг оценивания AVA_VAN.4-8

Оценщик должен провести тестирование проникновения.

Оценщик использует документацию для тестов проникновения, подготовленную на шаге оце

нивания AVA_VAN.4-6, как основу для выполнения тестов проникновения по отношению к 00. но это не

мешает оценщику выполнить дополнительные специальные тесты проникновения. Если потребу ется.

оценщик может разработать специальные тесты в результате изучения информации в процессе

тестирования проникновения, которые, если были выполнены оценщиком, должны быть внесены в до

кументацию тестов проникновения. Такие тесты могут быть необходимы, чтобы исследовать непред

виденные результаты или наблюдения, а также потенциальные уязвимости, о существовании которых

оценщик сделал предположение во время предварительно запланированного тестирования.

Если тестирование проникновения показывает, что уязвимость, о которой было сделано пред

положение. не существует, то оценщику следует сделать заключение, был ли некорректным анализ

оценщика, и не являются ли предоставленные для оценки материалы некорректными или неполными.

Не предполагается тестирования оценщиком потенциальных уязвимостей (в том числе извест

ных из общедоступных источников), для использования которых требуется потенциал нападения выше,

чем Умеренный. Однако в некоторых случаях необходимо будет выполнить тест прежде, чем

может быть определена пригодность к использованию. Если в результате исследований в ходе оценки

оцен щик обнаружит потенциальную уязвимость, пригодную для использования только нарушителем с

боль шим. чем Умеренный, потенциалом нападения, то она должна быть приведена в ТОО как

остаточная уязвимость.

14.2.4.7.4 Шаг оценивания AVA_VAN.4-9

Оценщик должен зафиксировать фактические результаты тестов проникновения.

Хотя некоторые специфические детали фактических результатов выполнения тестов могут от

личаться от ожидаемых (например поля времени и даты в записи аудита), общим результатам следует

быть идентичными. Следует исследовать любые непредвиденные результаты выполнения тестов. Вли

яние на оценку следует установить и логически обосновать.

14.2.4.7.5 Шаг оценивания AVA_VAN.4-10

Оценщик должен привести в ТОО информацию об усилиях оценщика по тестированию проник

новения. кратко изложив подход к тестированию, тестируемую конфигурацию, глубину и результаты

тестирования.

Информация о тестировании проникновения, приводимая в ТОО, позволяет оценщику передать об

щий подход к тестированию проникновения и усилия, затраченные на этот подвид деятельности. Цель

предоставления данной информации состоит в том. чтобы привести содержательный краткий обзор уси

лий оценщика по тестированию проникновения. Это не означает, что информация в ТОО относительно

те стирования проникновения является точным воспроизведением конкретных шагов тестирования или

ре зультатов отдельных тестов проникновения. Целью является предоставление достаточных

подробностей, чтобы позволить другим оценщикам и сотрудникам органов оценки получить некоторое

понимание вы бранного подхода к тестированию проникновения, объема выполненного тестирования

проникновения, тестируемых конфигураций ОО и общих результатов действий по тестированию

проникновения.

Информация об усилиях оценщика по тестированию проникновения, которая обычно представле

на в соответствующем разделе ТОО. включает:

191