ГОСТ Р ИСО/МЭК 18045-2013; Страница 244

или поделиться

Ещё ГОСТы из 41757, используйте поиск в верху страницы

ГОСТ 32000-2012 Продукция алкогольная и сырье для ее производства. Метод определения массовой концентрации приведенного экстракта (Настоящий стандарт распространяется на алкогольную продукцию и сырье для ее производства: вина, виноматериалы, спиртные напитки и соки для промышленной переработки и устанавливает метод определения массовой концентрации приведенного экстракта) ГОСТ 32011-2013 Микробиология пищевых продуктов и кормов для животных. Горизонтальный метод обнаружения Escherichia coli О157 (Настоящий стандарт распространяется на пищевые продукты, корма для животных и устанавливает метод обнаружения бактерий Escherichia coli О157 с обязательным использованием четырех последовательных стадий) ГОСТ 32147-2013 Десерты фруктовые. Общие технические условия (Настоящий стандарт распространяется на фруктовые десерты, изготовленные из свежих, охлажденных или быстрозамороженных протертых фруктов одного или нескольких видов с добавлением или без добавления целых и (или) нарезанных фруктов или других пищевых ингредиентов, сахара и (или) натуральных подсластителей, загустителей, пищевых органических кислот, пищевых ароматизаторов, пищевых красителей)

Страница 244

Страница 1

Untitled document

ГОСТ Р ИСО/МЭК 18045—2013

Окончание

таблицы

В.2

Фактор

Значение

Возможностьдо-

ступа к ОО

Отсутствие необходимости в доступе/неограниченный доступ

Простой доступ

Умеренная возможность доступа

Затруднительный доступ

Невозможность доступа

..(2>

Оборудование

Стандартное

Специализированное

4<3>

Сделанное на заказ

Несколько видов сделанного на заказ оборудования

1,1’ Если требуется несколько поочередно работающих профессионалов для завершения нападения,

результирующий уровень компетентности все равно будет «Профессионал» (что соответствует значению 3).

2) Указывает, что канал атаки невозможно осуществить из-за предпринятых других мер в предполагае

мой среде функционирования ОО.

’,3’ Если для проведения различных этапов нападения требуются различные испытательные стенды

со специальным оборудованием, это расценивается как заказное оборудование.

Чтобы определить стойкость ОО по отношению к атакам, использующим идентифицированные потенциаль

ные уязвимости, следует применить следующее:

a) определить возможные сценарии нападения {AS1, AS2.... ASn} на ОО в среде функционирования:

) для каждого сценария нападения выполнить теоретический анализ и вычислить соответствующий потен

циал нападения, используя таблицу В.2;

c) при необходимости для каждого сценария нападения выполнить тесты проникновения, чтобы подтвер

дить или опровергнуть результаты теоретического анализа;

d) распределить все сценарии нападения {AS1.AS2..., ASn} на две группы:

1) сценарии нападения, которые были успешно реализованы (то есть те. которые использовалисьдля успеш

ной компрометации ФТБ), и

2) сценарии нападения, для которых есть демонстрация того, что они нереализуемы.

e) для каждого успешно реализованного сценария нападения применить таблицу В.З и сделать заключение

о том. нет ли противоречия между стойкостью ОО и выбранным компонентом доверия семейства AVA_VAN (см.

последнюю колонку таблицы В.З).

f) в случае обнаружения подобного противоречия, по оценке уязвимостей выносится отрицательный вер

дикт. Например, если автор ЗБ выбрал компонентAVA_VAN.5. а сценарий нападения с потенциалом нападения 21

(«Высокий») нарушил безопасность ОО. В этом случав ОО стойкий только к атакам нарушителя с «Умеренным»

потенциалом нападения, что противоречит требованиям AVA_VAN.5. Следовательно, при оценке уязвимостей вы

носится отрицательный вердикт.

Колонка «Диапазон значений» таблицы В.З указывает на диапазон значений потенциала нападения (вычислен

ных с использованием таблицы В.2) тех сценариев нападения, которые не приводят к нарушению выполнения ФТБ.

Подобный подход не позволяет учесть все обстоятельства и факторы, но должен более темноуказывать на уро

вень противодействия нападениям, требуемый для достижения стандартных рейтингов. Другие факторы, такие какрас

чет на малую вероятность случайных воздействий, не включены в данную базовую модель, но могут

использоваться оценщиком как логическое обоснование для рейтинга иного, чем тот. который представлен в базовой

модели.

Следует отметить, что в то время как ряд уязвимостей, оцениваемых по отдельности, может указывать на вы

сокий уровень противодействия нападениям, комбинация уязвимостей будет свидетельствовать о применимости бо

лее низкого общего рейтинга. Другими словами, наличие одной уязвимости может упростить использование другой.

В случае, если автор ПЗ/ЗБ хочет использовать таблицу потенциала нападения для определения уровня на

падения. которому может противостоять ОО (выборка компонентов семейства «Анализ уязвимостей» AVA_VAN). он

должен сделать следующее: для всех различных сценариев нападения (то есть для всех различных типов наруши

теля и/или различных методов нападения, которые предполагаются автором), которые не должны нарушить выпол

нение ФТБ. следует использовать таблицу несколько раз в целях определения различных значений предполагаемого

потенциала нападения для каждого такого нереализуемого сценария. Затем автор ПЗ/ЗБ выбирает самое большое

значение в целях определения уровня стойкости ОО. которое определяется по Таблице В.З: стойкость ОО должна

быть, по крайней мере, равной этому наибольшему значению. Например, наибольшее значение потенциалов на-

239