ГОСТ Р ИСО/МЭК 18045— 2013
с)любая возможность непреднамеренной неверной настройки или использования незащищенным образом,
являющаяся результатом нападений, отмеченных в пункте «Вмешательство», приведенном выше.
В.2.2 Идентификация потенциальных уязвимостей
Потенциальные уязвимости могут быть идентифицированы оценщиком во время различных действий. Они
могут быть выявлены во время деятельности по оценке или в результате анализа свидетельств, проводимого в
целях поиска уязвимостей.
В.2.2.1 Выявленные уязвимости
Идентификация уязвимостей, которые обнаружил оценщик при проведении оценивания. — это тот случай,
когда потенциальные уязвимости идентифицированы оценщиком непосредственно во время проведения действий
оценки, то есть не производится анализ свидетельств с конкретной целью идентификации потенциальных уязви
мостей.
Такой метод непосредственного выявления сильно зависит от опыта и знаний оценщика; эти вопросы кон
тролирует орган оценки. В методике это не воспроизводимо, но документируется в целях обеспечения воспроиз
водимости заключений и выводов относительно потенциальных уязвимостей, которые приводит в отчете оценщик.
Не существует формальных аналитических критериев, требуемых для данного метода. Потенциальные уяз
вимости идентифицируются по свидетельствам, полученным на основании знаний и опыта оценщика. Однако дан
ный метод идентификации не ограничивается каким-либо подмножеством свидетельств.
Предполагается, что оценщик обладает знанием о типе техноложи. использованной в ОО. и известных
уязвимостей, находящихся в открытом доступе. Предполагаемый уровень знаний — знания, получаемые из по
чтовой рассылки по вопросам безопасности данного типа ОО. бюллетеней (по ошибкам, уязвимостям и спискам
недостатков безопасности), регулярно издаваемых организациями, исследующими вопросы безопасности про
дуктов и технологий, находящихся в широком использовании. Вовсе не обязательно, что оценщик no AVA_VAN.1
или AVA_VAN.2 знает также и результаты слушаний конференций или детализированные тезисы, произведенные
университетскими исследованиями. Однако, для того, чтобы удостовериться, что применяемые при оценке знания не
устарели, оценщику может потребоваться провести поиск материалов, находящихся в открытом доступе, в це лях
определения актуальности имеющихся знаний.
Для компонентов от AVA_VAN.3 до AVA_VAN.5 поиск оценщиком информации, находящейся в открытом до ступе.
как ожидается, будет включать в себя и результаты слушаний конференций и детализированные тезисы
университетских исследований, а также исследований, проведенных дружми соответствующими организациями.
Примеры того, каким образом могут быть выявлены уязвимости (каким образом оценщик может их обнару
жить):
a) в ходе исследования оценщиком некоторых свидетельств он вспоминает о потенциальной уязвимости,
которая была когда-то идентифицирована для продукта подобного типа, и предполагает, что и в оцениваемом ОО
данная уязвимость также имеет место;
b
) исследуя некоторые свидетельства, оценщик определяет недостаток спецификации интерфейса, который
отражает потенциальную уязвимость.
О потенциальной уязвимости ОО оценщик может узнать, прочитав о жповых уязвимостях данного конкрет
ного типа продукции ИТ в публикациях по безопасности или в рассылке электронных писем по безопасности, на ко
торую подписан оценщик.
Методы нападения могут быть напрямую развиты на основе потенциальных уязвимостей. Поэтому потенци
альные уязвимости, которые обнаруживает оценщик, подробно рассматриваются во время осуществления тестов
проникновения, основывающихся на результатах анализа уязвимостей, проведенного оценщиком. Не представля
ется возможным установить явно некое действие, которое однозначно позволит оценщику выявить потенциальную
уязвимость. Поэтому оценщик руководствуется подразумеваемыми действиями, которые описаны в AVA_VAN.1.2E и
AVA_VAN.*.4E.
Текущая информация относительно типовых уязвимостей и атак, информация о которых имеется в откры
том доступе, может быть предоставлена оценщику, например органом оценки. Эта информация должна быть при
нята во внимание оценщиком при сопоставлении выявленных уязвимостей и методов нападения, выполняемом
при подготовке к тестированию проникновения.
В.2.2.2 Виды анализа
Следующие типы анализа представлены в рамках действий оценщика.
В.2.2.2.1 Неструктурированный анализ
Данный жп действий по анализу, осуществляемых оценщиком (для Подвида деятельности по оценке AVA_
VAN.2) позволяет оценщику рассмотреть типовые уязвимости (как рассматривалось в В.2.1). Оценщик также при
меняет свой опыт и знания уязвимостей схожих технологических продуктов.
В.2.2.2.2 Фокусированный анализ
Во время проведения действий оценивания оценщик может также идентифицировать проблемные области.
К ним относятся определенные части свидетельств ОО. которые хотя формально и соответствуют требованиям
деятельносж. с которой связано данное свидетельство, но у оценщика есть к ним некоторые замечания.
Напри мер. конкретная спецификация интерфейса представляется особенно сложной, и поэтому может вызвать
ошибку или при разработке ОО. или при функционировании ОО. На данном этапе нет явной потенциальной
уязвимости, поэтому требуется дальнейшее исследование, что означает, что такой анализ находится вне области
выявленных уязвимостей, т.е. таких, которые обнаруживает оценщик при проведении действий по оценке.
232