ГОСТ Р ИСО/МЭК 18045—2013
к пакету доверия. Их будут рассматривать во время оценки компонентов, но свидетельства могут быть
недоступны для оценки составного ОО. Однако общий подход, описанный в единицах работы, связанных с
AVA_VAN.3.3E. применим, и на его основании следует проводить поиск потенциальных уязвимостей в со
ставном ОО.
Анализ уязвимостей отдельных компонентов, используемых в составном ОО. будет выполнен уже
во время оценки отдельных компонентов. Анализ уязвимостей во время оценки составного ОО должен
быть направлен на идентификацию любых уязвимостей, введенных в результате интеграции компонен
тов или внесения любых изменений в использование компонентов между конфигурацией оцененного
компонента к конфигурации составного ОО.
Оценщик будет использовать понимание конструкции компонентов согласно детализации в ин
формации о зависимостях для зависимого компонента и информации о разработке и обосновании
композиции для базового компонента вместе с информацией о проекте зависимого компонента. Эта
информация позволит оценщику получать понимание того, каким образом взаимодействуют базовый
компонент и зависимый компонент, а также идентифицировать потенциальные уязвимости, которые
могут возникать в результате этого взаимодействия.
Оценщик рассматривает все новые руководства по установке, запуску и функционированию со
ставного ОО для идентификации любых потенциальных уязвимостей, полученных из-за пересмотра
данных руководств.
Если над каким-либо из отдельных компонентов были проведены действия по обеспечению не
прерывности доверия после завершения оценки компонентов, оценщик рассматривает исправления
при проведении независимого анализа уязвимостей. Основным источником исходных данных по пово ду
внесенных изменений будет информация, представленная в открытом отчете подействиям, обеспе
чивающим непрерывность доверия (например в отчете об обслуживании). Эта информация дополня
ется любыми обновлениями документации руководств, следующей из внесения в систему изменений, а
также любой общедоступной информацией об изменениях, например на веб-сайте поставщика.
Любые риски, идентифицированные из-за нехватки свидетельств для выяснения полной степени
воздействия любых исправлений или отклонений конфигурации компонента от оцененной конфигура
ции. должны быть зарегистрированы в ходе анализа уязвимости оценщика.
15.7.3.8 Действие ACO_VUL.3.5E
15.7.3.8.1 Шаг оценивания ACO_VUL.3-9
Оценщикдолженпровести тестированиепроникновениятак. какдетальиоописанов AVA_ VAN.3.4E.
Оценщик применяет все шаги оценивания, необходимые для удовлетворения действия оценщика
AVA_VAN.3.4E. и приводит в ТОО для составного ОО весь проведенный анализ и вердикты, требующи
еся по данному шагу оценивания.
Оценщик также применяет шаги оценивания подействию оценщика AVA_VAN.2.1E, чтобы сделать
заключение о том, что предоставленный разработчиком составной ОО является пригодным для тестиро
вания.
219