ГОСТ Р ИСО/МЭК 18045-2013; Страница 222

или поделиться

Ещё ГОСТы из 41757, используйте поиск в верху страницы

ГОСТ 32000-2012 Продукция алкогольная и сырье для ее производства. Метод определения массовой концентрации приведенного экстракта (Настоящий стандарт распространяется на алкогольную продукцию и сырье для ее производства: вина, виноматериалы, спиртные напитки и соки для промышленной переработки и устанавливает метод определения массовой концентрации приведенного экстракта) ГОСТ 32011-2013 Микробиология пищевых продуктов и кормов для животных. Горизонтальный метод обнаружения Escherichia coli О157 (Настоящий стандарт распространяется на пищевые продукты, корма для животных и устанавливает метод обнаружения бактерий Escherichia coli О157 с обязательным использованием четырех последовательных стадий) ГОСТ 32147-2013 Десерты фруктовые. Общие технические условия (Настоящий стандарт распространяется на фруктовые десерты, изготовленные из свежих, охлажденных или быстрозамороженных протертых фруктов одного или нескольких видов с добавлением или без добавления целых и (или) нарезанных фруктов или других пищевых ингредиентов, сахара и (или) натуральных подсластителей, загустителей, пищевых органических кислот, пищевых ароматизаторов, пищевых красителей)

Страница 222

Страница 1

Untitled document

ГОСТ Р ИСО/МЭК 18045—2013

f)общедоступная информация для поддержки идентификации возможных уязвимостей безопас

ности;

д) остаточные уязвимости, которые приводились в отчете во время оценивания каждого компонента.

15.7.3.3 Замечания по применению

См. Замечания по применению для «Подвида деятельности по оценке (AVA_VAN.3)».

15.7.3.4 Действие ACO_VUL.3.1E

ИСО/МЭК 15408-3 ACO_VUL.3.1C: Составной СЮдолжен быть пригодным для тестирования.

15.7.3.4.1 Шаг оценивания ACO_VUL.3-1

Оценщик должен исследовать составной ОО. чтобы сделать заключение, правильно ли он уста

новлен и находится ли в состоянии, которое известно.

Чтобы сделать заключение, правильно ли установлен составной ОО и находится ли в известном

состоянии, к составному ОО применяются шаги оценивания ATEJND.2-1 иATE JND.2-2.

Если в пакет доверия включены компоненты семейства АСО_СТТ, то оценщик может обратиться

к результату шага оценивания АСО_СТТ*-1, чтобы продемонстрировать, что эти требования были удов

летворены.

15.7.3.4.2 Шаг оценивания ACO_VUL.3-2

Оценщик должен исследовать конфигурацию составного ОО. чтобы сделать заключение о том,

что любые предположения и цели в ЗБ для компонентов, относящимся к сущностям ИТ. выполняются

другими компонентами.

В ЗБдля компонентов могут быть включены предположения о других компонентах, которые могут

использовать тот компонент, к которому ЗБ имеет отношение, например ЗБ для операционной системы,

используемой в качестве базового компонента, может включать предположение, что любые приложе

ния. загруженные в операционной системе, не запускаются привилегированным образом. Эти предпо

ложения и цели должны выполняться другими компонентами составного ОО.

15.7.3.5 Действие ACO_VUL.3.2E

15.7.3.5.1 Шаг оценивания ACO_VUL.3-3

Оценщикдолжен исследовать остаточные уязвимости после оценки базового компонента, чтобы сде

лать заключение о том. что они не пригодны для использования в составном ОО в его среде функциониро

вания.

Перечень уязвимостей данного продукта, идентифицированных во время оценки базового компо

нента. для которых было продемонстрировано, что использование их в базовом компоненте для про

ведения атаки невозможно, должен использоваться в качестве исходных данных этой деятельности.

Оценщикделает заключение, выполняется ли предположение о невозможности использования данной

уязвимости в составном ОО, или после сборки компонентов в составной ОО данную уязвимость снова

следует рассматривать как потенциально опасную. Например, если во время оценки базового компо

нента было вынесено предположение, что была отключена некая конкретная служба операционной

системы, которая была включена при оценке составного ОО, то любые потенциальные уязвимости,

касающиеся этой службы, которые ранее были исключены из рассмотрения согласно вынесенному

предположению, теперь следует рассматривать.

Кроме того, этот перечень известных, но непригодных для использования уязвимостей, полученный

в результате оценки базового компонента, следует рассматривать в свете любых известных, но потенци

ально непригодных для использования уязвимостей в других компонентах (например в зависимом

компо ненте) составного ОО. Это необходимо для рассмотрения случая, когда потенциальную

уязвимость, ко торую не получится использовать при отдельном использовании компонента, можно

использовать, если компонент интегрируется с сущностью ИТ. содержащей другую потенциальную

уязвимость.

15.7.3.5.2 Шаг оценивания ACO_VUL.3-4

Оценщик должен исследовать остаточные уязвимости после оценки зависимого компонента, что

бы сделать заключение о том. что они не пригодны для использования в составном ОО в его среде

функционирования.

Перечень уязвимостей данного продукта, идентифицированных во время оценки зависимого компо

нента. для которых было продемонстрировано, что использование их в зависимом компоненте для про

ведения атаки невозможно, должен использоваться в качестве исходных данных этой деятельности.

Оценщик делает заключение, выполняется ли предположение о невозможности использования данной

уязвимости в составном ОО. или после сборки компонентов в составной ОО данную уязвимость снова

следует рассматривать как потенциально опасную. Например, если во время оценки базового компонен

та было вынесено предположение, что продукт ИТ. отвечающий требованиям среды функционирования,

217