ГОСТ Р ИСО/МЭК 18045—2013
Оценщик применяет все шаги оценивания, необходимые для удовлетворения ATEJND.2.3E,
а также приводит в ТОО для составного ОО весь проведенный им анализ, его результаты и вердикты,
продиктованные выполнением соответствующих шагов оценивания.
При выборе для тестирования интерфейсов ФБО составного ОО. оценщику следует принимать
во внимание любые модификации компонентов оцененной версии или конфигурации. Примерами мо
дификаций компонентов оцененной версии или конфигурации могут быть примененные исправления,
изменение конфигурации в результате внесения изменений в документацию руководств, доверие к до
полнительной части компонента, которая относится к ФБО компонента. Эти модификации будут иден
тифицированы во время деятельности по оценке семейства «Обоснование композиции» (ACO_COR).
15.6.3.5.2 Шаг оценивания АСО_СТТ.2-11
Оценщикдолжен провести тестирование в соответствии с «Подвидом деятельности пооценкеАТЕ_
IND.2» для подмножества интерфейсов базового компонента, чтобы подтвердить, что они выполняются
согласно спецификации.
Оценщик применяет все шаги оценивания, необходимые для удовлетворения ATEJND.2.3E,
а также приводит в ТОО для составного ОО весь проведенный им анализ, его результаты и вердикты,
продиктованные выполнением соответствующих шагов оценивания.
При выборе для тестирования интерфейсов ФБО составного ОО, оценщику следует принимать
во внимание любые модификации компонентов оцененной версии или конфигурации. Примерами мо
дификаций компонентов оцененной версии или конфигурации могут быть примененные исправления,
изменение конфигурации в результате внесения изменений в документацию руководств, доверие к до
полнительной части компонента, которая относится к ФБО компонента. Эти модификации будут иден
тифицированы во время деятельности по оценке семейства «Обоснование композиции» (ACO_COR).
15.7 Анализ уязвимостей композиции (ACO_VUL)
15.7.1 Подвид деятельности по оценке (ACO_VUL.1)
15.7.1.1 Цели
Цель этого подвида деятельности состоит в том. чтобы сделать заключение о том. имеются ли
в составном ОО в его среде функционирования легко пригодные для использования уязвимости.
Разработчик предоставляет детальное описание любых остаточных уязвимостей для компонен
тов. которые приводятся в отчете при оценке. Оценщик выполняет анализ расположения остаточных
уязвимостей, информация о которых приводилась в отчете, а также выполняет поиск в общедоступных
источниках информации для идентификации любых новых потенциальных уязвимостей в компонентах
(то есть тех проблем, о которых сообщалось в общедоступных источниках после проведения оценива
ния базового компонента). Затем оценщик выполняет тестирование проникновения в целях демонстра
ции того, что потенциальные уязвимости не могут использоваться в ОО в его среде функционирования
нарушителем с Базовым потенциалом нападения.
15.7.1.2 Исходные данные
Свидетельствами оценки этого подвида деятельности являются:
a) пригодный для тестирования составной ОО;
b
) составное ЗБ;
c) обоснование композиции;
d) документация руководств;
e) общедоступная информация для поддержки идентификации возможных уязвимостей безопас
ности:
0 остаточные уязвимости, которые приводятся в отчете во время оценивания каждого компонента.
15.7.1.3 Замечания по применению
См. Замечания по применению для «Подвида деятельности по оценке (AVA_VAN.1)».
15.7.1.4 Действие ACO_VUL.1.1E
ИСО/МЭК 15408-3 ACO_VUL.1.1C: Составной ОО должен быть пригодным для тестирования.
15.7.1.4.1 Шаг оценивания ACO_VUL.1-1
Оценщик должен исследовать составной ОО. чтобы сделать заключение, правильно ли он уста
новлен и находится ли в состоянии, которое известно.
Чтобы сделать заключение, правильно ли установлен составной ОО и находится ли в известном
состоянии, к составному ОО применяются шаги оценивания ATEJND.2-1 и ATEJND.2-2.
Если в пакетдоверия включены компоненты семейства АСО_СТТ. то оценщик можетобратиться к ре
зультатушагаоценивания АСО_СТТ*-1.чтобыпродемонстрировать, что эти требованиябыли удовлетворены.
211