ГОСТ Р ИСО/МЭК 18045—2013
c) чувствительная информация об ОО (например сведения, которыми обладают закрытые рабочие группы
организации-разработчика, и доступ к которым имеют только члены данных групп);
d) критически важная информация об ОО (например сведения, которые известны только нескольким лицам,
и доступ к которым строго контролируется на основе личной ответственности и необходимости доступа для вы
полнения рабочих обязанностей).
Уровень знания об ОО может различаться еще и в зависимости от детализации проекта ОО. хотя это осуще
ствимо только на уровне описания основ ОО. Некоторые проекты ОО могут представлять собой общедоступную
информацию (или сильно зависящую от общедоступной) и поэтому даже представление проекта будет класси
фицироваться как общедоступная информация или. в крайнем случае, как информация ограниченного доступа,
тогда как доступ к представлению реализации других ОО будет строго контролироваться, т.к. нарушитель может
получить из него сведения, которые могут помочь ему в осуществлении нападения, и поэтому такие представления
реализации будут считаться чувствительной или даже критически важной информацией.
Бывают ситуации, когда требуется применить в описании несколько различных типов знания. По умолчанию
выбирается самый высокий уровень факторов знания об ОО.
В озм ож ност ь дост упа к ОО
(Возможность) также является важным обстоятельством и имеет отношение
к фактору «общее затрачиваемое время». Идентификация или использование уязвимости могут требовать про
должительного доступа к ОО, что может увеличить вероятность обнаружения. Некоторые методы нападения
могут требовать значительных автономных усилий без подключения к ОО и лишь краткого времени доступа к ОО
для ис пользования уязвимости. Может также потребоваться непрерывный доступ или доступ в виде нескольких
сеансов.
Для некоторых ОО возможностьдоступа к ОО может равняться числу образцов ОО. которые может получить
нарушитель. Это особенно справедливо для тех случаев, когда попытки проникновения к ОО и компрометации
ФТБ могут привести к разрушению ОО или превентивному использованию обработки ОО для дальнейшего тести
рования. например аппаратных средств. Часто в этих случаях распределение ОО контролируется таким образом,
что нарушитель должен потратить дополнительные усилия для получения доступа к остальным образцам ОО.
В целях данного обсуждения;
a) «отсутствие необходимости в доступе/неограниченный доступ» означает, что для нападения не важна
возможность доступа к ОО. т.к. нет опасности обнаружения при осуществлении доступа к ОО и нет препятствий
для доступа к образцам ОО для нападения;
b
) «простой доступ» означает, что доступ требуется менее чем на день, а количество образцов ОО. к кото
рым требуется доступ для осуществления нападения, меньше десяти;
c) «умеренная возможность доступа» означает, что доступ требуется менее чем на месяц, а количество об
разцов ОО. к которым требуется доступ для осуществления нападения, меньше сотни;
d) «затруднительный доступ» означает, что доступ требуется хотя бы на месяц, а количество образцов ОО,
к которым требуется доступ для осуществления нападения, больше или равно ста;
e) «невозможность доступа» означает, что времени возможности доступа недостаточно для осуществления
нападения (промежуток времени, во время которого актив, на который направлено нападение, доступен или уяз
вим. меньше, чем промежуток времени, требуемыйдля осуществления нападения). Например, криптографический
ключ некоторого актива меняется раз в неделю, а для его успешного подбора требуются две недели. Другой по
добный случай — когда достаточное для осуществления нападения количество образцов ОО недоступно наруши
телю — например если ОО является аппаратным средством, и вероятность его разрушения в процессе нападения
больше, чем вероятность успешного завершения нападения, а у нарушителя есть всего один образец ОО.
Рассмотрение данного фактора может привести к вынесению заключения о том. что невозможно реализо
вать использование уязвимости вследствие того, что требуемый нарушителю промежуток времени доступа боль
ше, чем промежуток времени реальной возможности осуществления доступа.
А ппарат ны е сре дст ва/програм м ное обеспечение И Т или другое оборудование указы вает на об о
рудование,
которое требуется для идентификации или использования уязвимости.
a) Стандартное оборудование — это оборудование либо для идентификации уязвимости, либо для напа
дения. которое легко доступно нарушителю. Это оборудование может быть частью самого ОО (например отлад чик
в операционной системе) или может быть легко получено (например программное обеспечение, загружаемое из
Интернета, анализаторы протоколов или простые сценарии нападения).
b
) Специализированное оборудование, которое не слишком легко доступнодля нарушителя, но может быть
приобретено без значительных усилий. Это может включать или покупку небольшого количества оборудования
(например средств атаки по энергопотреблению, использование сотни ПК. объединенных через сеть Интернет, по
дойдет к этой категории) или разработку более сложных сценариев и программ нападения. Если для проведения
различных этапов нападения требуются различные испытательные стенды со специальным оборудованием, это
расценивается как заказное оборудование.
c) Заказное оборудование, недоступное широкому кругу пользователей, поскольку для него либо может по
требоваться специальная разработка (например очень сложного программного обеспечения), либо оборудование
настолько специализировано, что его распространение контролируется и. возможно, это оборудование является
оборудованием ограниченного распространения. Или же данное оборудование очень дорогостоящее.
d) Уровень «Несколько видов заказного оборудования» применяется в том случае, когда для осуществления
отдельных этапов нападения необходимо различное, сделанное на заказ оборудование.
Компетентность специалиста и знание ОО связаны с информацией, необходимой нарушителям для того,
чтобы быть способными к нападению на ОО. Существует неявная зависимость между компетентностью наруши-
237