ГОСТ Р ИСО/МЭК 18045—2013
Оценщик будет использовать общедоступную информацию для поиска уязвимостей базового ком
понента так. как описано в AVA_VAN.1-2.
Те потенциальные уязвимости, информация о которых была общедоступной до оценивания базо
вого компонента, не должны исследоваться далее, если только для оценщика не очевидно, что потен
циал нападения, требуемый от нарушителя для использования потенциальной уязвимости, был значи
тельно уменьшен. Это может быть реализовано путем внедрения какой-либо новой технологии
после оценки базового компонента, что означает, что использование потенциальной уязвимости
упростилось.
15.7.1.6.2 Шаг оценивания ACO_VUL.1-6
Оценщик должен исследовать общедоступные источники информации, чтобы поддержать иден
тификацию возможных уязвимостей защиты зависимого компонента, которые стали известны после
завершения оценки зависимого компонента.
Оценщик будет использовать общедоступную информацию так. как описано вAVA_VAN.1-2 для по
иска уязвимостей зависимого компонента.
Те потенциальные уязвимости, информация о которых была общедоступной до оценивания за
висимого компонента, не должны исследоваться далее, если только для оценщика не очевидно, что по
тенциал нападения, требуемый от нарушителя для использования потенциальной уязвимости, был
значительно уменьшен. Это может быть реализовано путем внедрения какой-либо новой технологии
после оценки зависимого компонента, что означает, что возможность использования потенциальной
уязвимости была упрощена.
15.7.1.6.3 Шаг оценивания ACO_VUL.1-7
Оценщик должен привести в ТОО идентифицированные потенциальные уязвимости, которые яв
ляются кандидатами на тестирование и применимы к данному составному ОО в среде его функциони
рования.
Чтобы сделать заключение, относятся ли уязвимости к составному ОО в его среде функциониро
вания, используются свидетельства ЗБ. документации руководств и функциональной спецификации.
Оценщик делает запись относительно любых причин исключения уязвимостей из дальнейшего
рассмотрения, если он делает заключение о том. что уязвимость невозможно использовать в среде
функционирования. В ином случае оценщик фиксирует потенциальную уязвимость для дальнейшего
рассмотрения.
Оценщик должен привести в ТОО перечень потенциальных уязвимостей, применимых к состав
ному ОО в его среде функционирования; эта информация может использоваться в качестве исходных
данных для действий по тестированию проникновения (то есть для ACO_VUL.1.4E).
15.7.1.7 Действие ACO_VUL.1.4E
15.7.1.7.1 Шаг оценивания ACO_VUL.1-8
Оценщикдолжен провести тестирование проникновения так. какдетальноописано вAVA_VAN.1.ЗЕ.
Оценщик применяет все шаги оценивания, необходимые для удовлетворения действия оценщика
AVA_VAN.1.ЗЕ. и приводит в ТОО для составного ОО весь проведенный анализ и вердикты, требующи
еся по данному шагу оценивания.
Оценщик также применяет шаги оценивания подействию оценщикаAVA_VAN.1.1E, чтобы сделать
заключение о том, что предоставленный разработчиком составной ОО является пригодным для тести
рования.
15.7.2 Подвид деятельности по оценке (ACO_VUL.2)
15.7.2.1 Цели
Цель этого подвида деятельности состоит в том. чтобы сделать заключение о том. имеются ли
в составном ОО в его среде функционирования уязвимости, легко пригодные для использования на
рушителями с Базовым потенциалом нападения.
Разработчик предоставляет детальное описание любых остаточных уязвимостей, которые приво
дятся в отчете, а также любых уязвимостей, появившихся в результате комбинирования базовых и за
висимых компонентов. Оценщик выполняет поиск в общедоступных источниках информации для иден
тификации любых новых потенциальных уязвимостей в компонентах (то есть тех проблем, о которых
сообщалось в общедоступных источниках после проведения оценивания компонентов). Также оценщик
выполняет независимый анализ уязвимостей составного ОО и проводит тестирование проникновения.
15.7.2.2 Исходные данные
Свидетельствами оценки этого подвида деятельности являются:
a) пригодный для тестирования составной ОО;
b
) составное ЗБ;
213