ГОСТ Р ИСО/МЭК 18045-2013; Страница 221

или поделиться

Ещё ГОСТы из 41757, используйте поиск в верху страницы

ГОСТ 32000-2012 Продукция алкогольная и сырье для ее производства. Метод определения массовой концентрации приведенного экстракта (Настоящий стандарт распространяется на алкогольную продукцию и сырье для ее производства: вина, виноматериалы, спиртные напитки и соки для промышленной переработки и устанавливает метод определения массовой концентрации приведенного экстракта) ГОСТ 32011-2013 Микробиология пищевых продуктов и кормов для животных. Горизонтальный метод обнаружения Escherichia coli О157 (Настоящий стандарт распространяется на пищевые продукты, корма для животных и устанавливает метод обнаружения бактерий Escherichia coli О157 с обязательным использованием четырех последовательных стадий) ГОСТ 32147-2013 Десерты фруктовые. Общие технические условия (Настоящий стандарт распространяется на фруктовые десерты, изготовленные из свежих, охлажденных или быстрозамороженных протертых фруктов одного или нескольких видов с добавлением или без добавления целых и (или) нарезанных фруктов или других пищевых ингредиентов, сахара и (или) натуральных подсластителей, загустителей, пищевых органических кислот, пищевых ароматизаторов, пищевых красителей)

Страница 221

Страница 1

Untitled document

ГОСТ Р ИСО/МЭК 18045—2013

Рассмотрение компонентов составногоОО при независимом анализеуязвимостиоценщикадля оценки

компонентов будет принимать несколько отличающуюся от зарегистрированной вAVA_VAN.2.3E форму, по

скольку будет не обязательно рассматривать все уровни представления проекта как относящиеся к пакету

доверия. Их будут рассматривать во время оценки компонентов, но свидетельства могут быть недоступны

для оценкисоставногоОО. Однако общий подход, описанный в единицахработы, связанных сAVA_VAN.2.3E,

применим, и на егоосновании следует проводить поиск потенциальных уязвимостей в составном ОО.

Анализ уязвимостей отдельных компонентов, используемых в составном ОО. будет выполнен уже

во время оценки отдельных компонентов. Анализ уязвимостей во время оценки составного ОО должен

быть направлен на идентификацию любых уязвимостей, введенных в результате интеграции компонен

тов или внесения любых изменений в использование компонентов между конфигурацией

оцененного компонента к конфигурации составного ОО.

Оценщик будет использовать понимание конструкции компонентов согласно детализации в ин

формации о зависимостях для зависимого компонента и информации о разработке и обосновании

композиции для базового компонента вместе с информацией о проекте зависимого компонента. Эта

информация позволит оценщику получать понимание того, каким образом взаимодействуют базовый

компонент и зависимый компонент, а также идентифицировать потенциальные уязвимости, которые

могут возникать в результате этого взаимодействия.

Оценщик рассматривает все новые руководства по установке, запуску и функционированию со

ставного ОО для идентификации любых потенциальных уязвимостей, полученных из-за пересмотра

данных руководств.

Если над каким-либо из отдельных компонентов были проведены действия по обеспечению не

прерывности доверия после завершения оценки компонентов, оценщик рассматривает исправления

при проведении независимого анализа уязвимостей. Основным источником исходных данных по поводу

внесенных изменений будет информация, представленная в открытом отчете по действиям, обеспечи

вающим непрерывность доверия (например в отчете об обслуживании). Эта информация дополняется

любыми обновлениямидокументации руководств, следующей из внесения в систему изменений, а также

любой общедоступной информацией об изменениях, например на веб-сайте поставщика.

Любые риски, идентифицированные из-за нехватки свидетельств для выяснения полной степени

воздействия любых исправлений или отклонений конфигурации компонента от оцененной конфигура

ции. должны быть зарегистрированы в ходе анализа уязвимости оценщика.

15.7.2.8 Действие ACO_VUL.2.5E

15.7.2.8.1 Шаг оценивания ACO_VUL.2-9

Оценщик долженпровеститестированиепроникновениятак. какдетальноописаноeAVA_VAN.2.4E.

Оценщик применяет все шаги оценивания, необходимые для удовлетворения действия оценщика

AVA_VAN.2.4E. и приводит в ТОО для составного ОО весь проведенный анализ и вердикты, требующи

еся по данному шагу оценивания.

Оценщик также применяет шаги оценивания по действию оценщика AVA_VAN.2.1E, чтобы сделать за

ключение о том. что предоставленный разработчиком составной ОО является пригоднымдля тестирования.

15.7.3Подвид деятельности по оценке (ACO_VUL.3)

15.7.3.1 Цели

Цель этого подвида деятельности состоит в том. чтобы сделать заключение о том. имеются ли

в составном ОО в его среде функционирования уязвимости, легко пригодные для использования на

рушителями с Усиленным базовым потенциалом нападения.

Разработчик предоставляет анализ расположения любых остаточных уязвимостей компонентов,

которые приводились в отчете, а также любых уязвимостей, появившихся в результате комбинирования

базовых и зависимых компонентов. Оценщик выполняет поиск в общедоступных источниках информации

для идентификации любых новых потенциальных уязвимостей в компонентах (то есть тех проблем, о кото

рых сообщалось в общедоступныхисточниках послепроведенияоценивания компонентов). Также оценщик

выполняет независимый анализ уязвимостей составного ОО и проводит тестирование проникновения.

15.7.3.2 Исходные данные

Свидетельствами оценки этого подвида деятельности являются:

a) пригодный для тестирования составной ОО:

) составное ЗБ:

c) обоснование композиции;

d) информация о зависимостях:

e) документация руководств;

216