ГОСТ Р ИСО/МЭК 18045—2013
там элемента конфиденциальных данных (например к криптографическому ключу), то необходимо рассмотреть,
как можно получить остальные данные (для рассматриваемого примера некоторые биты информации могут быть
получены непосредственно в ходе дальнейших экспериментов, а некоторые могут быть открыты путем применения
различных специальных методов, например поиска методом полного перебора). Не всегда обязательно проводить
все эксперименты, чтобы идентифицировать полностью проведенное нападение, если очевидно, что нападение
фактически доказывает, что был получен доступ к активам ОО и что полное нападение гложет быть осуществлено в
реальных условиях при использовании уязвимости, согласно целевому компоненту семейства
AVA_VAN.
В не
которых случаях единственный способ доказать, что нападение гложет быть осуществлено в реальных условиях
при использовании уязвимости согласно целевому компоненту семейства AVA_VAN состоит в том. чтобы полно
стью провести нападение, и затем присвоить данному нападению некий рейтинг в зависимости от того, какие ре
сурсы потребовались для его реализации. Предполагается, что выходными данными идентификации потенциаль
ной уязвимости является сценарий нападения, который дает пошаговое описание того, каким образом имеющуюся
уязвимость данного ОО можно использовать для проведения нападения.
Во многих случаях оценщики проводят оценку параметров, необходимых для того, чтобы нарушитель вос
пользовался уязвимостью, а не осуществляют полное моделирование такого использования данной уязвимости.
Такая оценка и ее обоснование будут приведены в ТОО.
В.4.2.2 Учитываемые факторы
В ходе анализа потенциала нападения, требуемого для использования уязвимости, необходимо учитывать
следующие факторы:
a) время, затрачиваемое на идентификацию уязвимости и её использование (общее затрачиваемое
время):
b
) требующаяся техническая компетентность специалиста (компетентность специалиста):
c) знание проекта ОО и его функционирования (знание ОО);
d) возможность доступа к ОО:
e) аппаратные средства/программное обеспечение ИТ или другое оборудование, требуемое для ис
пользования уязвимости.
Во многих случаях эти факторы не являются независимыми и могут в различной степени заменять друг дру
га. Например, компетентность или аппаратные средства/программное обеспечение могут быть заменой времени.
Эти факторы обсуждаются далее (уровни каждого фактора рассматриваются в порядке увеличения). В таком слу
чае в фазе использования уязвимости рассматривается наименее «затратная» комбинация факторов.
Общее
зат рачиваем ое врем я
— это время, которое необходимо нарушителю для идентификации потен
циальной уязвимости, хоторая может существовать в ОО. разработки метода нападения и поддержания усилий по
осуществлению нападения на ОО. При рассмотрении данного фактора для определения требуемого нарушите лю
количества времени используется пессимистичный, наиболее неблагоприятный сценарий. Идентифицирован ными
уровнями отрезков времени являются следующие:
a) менее одного дня:
b
) от одногодня до недели: c)
от одной до двух недель: d) от
двух недель до месяца:
6} месяц, два месяца, три — каждый дополнительный месяц до шести означает увеличение значения;
0 более шести месяцев.
Ком пет ент ност ь специалист а
относится к уровню общих знаний основополагающих принципов, типа
продукта или методе» нападения (например знаний об операционной системе Unix, протоколах Интернета, пере
полнении буфера). Идентифицированными уровнями являются следующие:
a) непрофессионалы слабо осведомлены по сравнению с экспертами или профессионалами, и не обладают
специфической компетентностью;
b
) профессионалы хорошо осведомлены в том. что касается режима безопасности продукта или системы дан
ного типа:
c) эксперты хорошо знакомы с основными алгоритмами, протоколами, аппаратными средствами, структу
рами. режимом безопасности, с применяемыми принципами и концепциями безопасности, а также с методами и
средствами определения новых атак, криптографическими средствами и методами, классическими атаками на
данный тип продукта ИТ. методами нападения и т.п.. реализуемыми для данного типа продукта или системы;
d) уровень «Эксперт в нескольких областях знаний или группа экспертов» применяется в случав, когда
для осуществления отдельных этапов нападения необходимы знания на уровне Эксперт в различных областях.
Бывают ситуации, когда требуется применить в описании несколько различных типов компетентности.
По умолчанию выбирается самый высокий уровень факторов компетентности. В некоторых особых случаях при
менимо значение уровня «Эксперт в нескольких областях знаний или группа экспертов», но в этом случав необхо
димо отметить, что области знаний, в которых предполагаемые нарушители являются экспертами, должны
быть принципиально разными, например управление аппаратными средствами и криптография.
Знание ОО
указывает на определенный уровень знаний об ОО. Оно отличается от общей компетентности,
хотя и связано с ней. Идентифицированными уровнями являются следующие:
a) общедоступная информация об ОО (например полученная из сети Интернет);
b
) информация ограниченного доступа об ОО (например сведения, которыми управляет организация-раз
работчик и предоставляет их другим организациям на условиях соглашения о неразглашении информации):
236