ГОСТ Р ИСО/МЭК 18045— 2013
теля (где под нарушителем может пониматься и группа лиц, дополняющих знания друг друга в различных обла
стях) и его способностью эффективно использовать оборудование при нападении. Чем ниже компетентность на
рушителя, тем ниже потенциал использования оборудования (аппаратных средств/программного обеспечения ИТ
или другого оборудования). Аналогично, чем выше компетентность, тем выше потенциал оборудования, исполь
зуемого при нападении. Будучи неявной, зависимость между компетентностью и использованием оборудования
проявляется не всегда: например если меры безопасности среды предотвращают использование оборудования
опытным нарушителем или если кем-то другим созданы и свободно распространяются (например через Интернет)
инструментальные средства нападения, требующие невысокой квалификации для эффективного использования.
В.4.2.3 Вычисление потенциала нападения
В таблице В.2 идентифицируются факторы, обсуждавшиеся в предыдущем подразделе, и приводятся число
вые значения, а также общее значение для каждого фактора.
Когда значение фактора оказывается близким к границе диапазона, оценщику следует подумать об исполь
зовании значения, усредняющего табличные. Например, если для осуществления нападения требуется доступ к
двадцати образцам ОО. то для этого фактора может быть выбрано значение между 0 и 4. Или. если проект
основан на общедоступном проекте, но разработчик внес в проект изменения, то для этого фактора может быть
выбрано значение между 0 и 3. в соответствии с представлением оценщика о том. насколько данные изменения
влияют на проект. Таблица В.2 предназначена для руководства.
К спецификации, отмеченной в таблице «*’» при рассмотрении
В озм ож ност и дост упа,
не следует отно
ситься как к естественному развитию шкалы времени, определенной в предыдущих диапазонах, связанных с этим
фактором. Эта спецификация идентифицирует, что по некоторой особой причине потенциальная уязвимость ОО в
предполагаемой среде функционирования не может быть использована нарушителем. Например, несанкциониро
ванный доступ к ОО в известной среде функционирования (то есть в случае ОО как системы) гложет быть обнаружен
спустя определенное количество времени при проведении регулярной проверки, и нарушитель не может получить
доступ к ОО на необходимые ему две недели, не будучи обнаружен. Однако это не применимо для ОО. подключен
ного к сети, где есть возможность удаленного доступа к ОО. или в случае, когда физическая среда ОО неизвестна.
Т а б л и ц а В.2. Вычисление потенциала нападения
ФакторЗначение
Общее
затрачиваемое
время
£ 1 день0
£ 1 неделя1
£ 2 недели2
£ 1 месяц4
£ 2 месяца7
£ 3 месяца10
£ 4 месяца13
£ 5 месяца15
£ 6 месяца17
> 6 месяцев19
Компетентность
Непрофессионал0
Профессионал
34U
Эксперт6
Группа экспертов8
Знание ОО
Общедоступная информация0
Информация ограниченного доступа3
Чувствительная информация7
Критически важная информация11
238