ГОСТ Р ИСО/МЭК 18045—2013
a) тестируемые конфигурации 00. Конкретные конфигурации 00, которые подвергались тести
рованию проникновения;
b
) ИФБО. которые подвергались тестированию проникновения. Краткий перечень ИФБО и других
интерфейсов ОО. на которых было сосредоточено тестирование проникновения;
c) вердикт по данному подвиду деятельности. Общий вывод по результатам тестирования проник
новения.
Приведенный перечень ни в коем случае не является исчерпывающим и предназначен только
для того, чтобы предоставить некоторое представление о типе информации, касающейся тестирования
проникновения, выполненного оценщиком в процессе оценки, которую следует привести в ТОО.
14.2.4.7.6 Шаг оценивания AVA_VAN.4-11
Оценщик должен исследовать результаты всего тестирования проникновения и выводы по всему
анализу уязвимостей, чтобы сделать заключение, является ли 00, находящийся в своей среде функци
онирования, стойким к нарушителю, обладающему Умеренным потенциалом нападения.
Если результаты показывают, что ОО. находящийся в своей среде функционирования, имеет уяз
вимости, пригодные для использования нарушителем, обладающим меньшим, чем Высокий, потенциа
лом нападения, то по этому действию оценщиком делается отрицательное заключение.
Руководство из приложения В.4 следует использовать для того, чтобы сделать заключение о по
тенциале нападения, требуемом для использования конкретной уязвимости, и может ли эта уязвимость
быть использована в предполагаемой среде функционирования. Может не быть необходимости вычис
лять потенциал нападения для каждого случая, а только если есть некоторое сомнение относительно
того, может ли уязвимость использоваться нарушителем, обладающим потенциалом нападения мень
шим, чем Высокий.
14.2.4.7.7 Шаг оценивания AVA_VAN.4-12
Оценщик должен привести в ТОО информацию обо всех пригодных для использования уязвимо
стях и остаточных уязвимостях, детализируя для каждой:
a) ее источник (например стала известна при выполнении действий ОМО, известна оценщику,
прочитана в публикации);
b
) связанные с ней невыполненные ФТБ;
c) описание;
d) пригодна ли она для использования в среде функционирования или нет (т. е. пригодна ли для ис
пользования или является остаточной уязвимостью);
e) количество времени, уровень компетенции, уровень знаний об 00, уровень возможности до
ступа и оборудование, требуемые для использования идентифицированных уязвимостей, а также со
ответствующие значения с использованием таблиц В.2 и В.З приложения В.4.
14.2.5 Подвид деятельности по оценке (AVA_VAN.5)
Общее руководство отсутствует; за консультациями по выполнению данного подвида деятельно
сти следует обращаться в конкретную систему оценки.
15 КлассАСО: Композиция
15.1 Введение
Вид деятельности «Композиция» предназначен для того, чтобы сделать заключение, могут ли
компоненты ОО быть объединены безопасным образом, как определено в ЗБ составного ОО. Это до
стигается посредством исследования и тестирования взаимодействий между компонентами, поддер
жанными исследованием проекта компонентов и проведением анализа уязвимостей.
15.2 Замечания по применению
Семейство «Зависимости зависимых компонентов» (ACO_REL) идентифицирует случай, когда за
висимый компонент полагается на продукт ИТ в среде функционирования (удовлетворенной базовым
компонентом при оценке составного 00) для предоставления своих сервисов безопасности. Эта зави
симость идентифицируется в терминах интерфейсов, которые зависимый компонент ожидает получить
от базового. Затем в классе «Свидетельство разработки» (ACO_DEV) определяется, какие интерфейсы
базового компонента рассматривались (как ИФБО) во время оценки базового компонента.
Следует отметить, что семейство «Зависимости зависимых компонентов» не охватывает другие
свидетельства, которые могут быть необходимы для рассмотрения технических проблем интеграции
компонентов (например описания не относящихся к ФБО интерфейсов операционной системы, правил
интеграции и т.д.). Эти вопросы находятся вне проблемной области оценки безопасности композиции
и рассматриваются как проблема функциональной композиции.
192