ГОСТ Р ИСО/МЭК 18045—2013
падения всех сценариев нападения, которые не должны подрывать выполнение политики безопасности ОО, опреде
ленное таким способом, будет «Умеренный»: следовательно, уровень стойкости ОО должен быть, по крайней мере.
«Умеренным» (то есть либо «Умеренным», либо «Высоким»), поэтому автор ПЗ/ЗБ может выбрать в качестве соот
ветствующего компонента доверия или AVA_VAN.4 (для «Умеренного») или AVA_VAN.5 (для «Высокого»).
Т а б л и ц а В.З. Рейтинг уязвимостей и уровень стойкости ОО
Диапазон
значений
Потенциал нападения,
требуемый
для использования
сценария:
ОО противостоит
нарушителю
с потенциалом
нападения:
Удовлетворяет
требованиям
компонентов доверия:
Heудовлетворяет
требованиям
компонентов:
0-9
Базовый
Не
противостоит
AVA VAN.1.
AVA VAN.2.
AVA VAN.3.
AVA VAN.4.
AVA_VAN.5
10-13
Усиленный базовый
Базовый
AVA VAN. 1.
AVA_VAN.2
AVA VAN.3.
AVA VAN.4.
AVA_VAN.5
14-19
Умеренный
Усиленный
базовый
AVA VAN. 1.
AVA VAN.2.
AVA_VAN.3
AVA VAN.4.
AVA_VAN.5
20-24
Высокий
Умеренный
AVA VAN.1.
AVA VAN.2.
AVA VAN.3.
AVA_VAN.4
AVA_VAN.5
=>25
За пределами
высокого
Высокий
AVA VAN.1.
AVA VAN.2.
AVA VAN.3.
AVA VAN .4.
AVA VAN.5
В.5 Пример расчета для случая прямого нападения
Механизмы, подвергающиеся прямому нападению, часто жизненно необходимы для обеспечения безопас
ности системы, и разработчики часто усиливают эти механизмы. Например, в ОО может быть использован простой
механизм аутентификации по цифровому паролю, который может быть преодолен нарушителем, если у того име
ется возможность неоднократно повторять попытки угадывания значения пароля другого пользователя. Система
может усилить этот механизм, установив тем или иным образом ограничения на значения пароля и на его исполь
зование. В процессе оценки анализ этого прямого нападения может проводиться следующим образом.
Информация, полученная из ЗБ и свидетельств проекта, показывает, что идентификация и аутентификация
предоставляют основу для управления доступом к сетевым ресурсам с терминалов, расположенных далеко друг от
друга. Управление физическим доступом к терминалам каким-либо эффективным способом не осуществляется.
Управление продолжительностью доступа к терминалу каким-либо эффективным способом не осуществляется.
Уполномоченные пользователи системы подбирают себе свои собственные цифровые пароли для входа в систему во
время начальной авторизации использования системы и в дальнейшем — по запросу пользователя. Система
содержит следующие ограничения на цифровые пароли, выбираемые пользователем:
a) цифровой пароль должен быть не менее четырех и не более шести цифр длиной;
b
) последовательные числовые ряды (типа 7.6.5.4.3) не допускаются;
c) повторение цифр не допускается (каждая цифра должна быть уникальной).
Руководство, предоставляемое пользователям на момент выбора цифрового пароля, является таковым, что
бы цифровые пароли были случайны, насколько это возможно, и не связаны каким-либо способом с конкретным
пользователем, например с датой рождения.
Число возможных значений цифровых паролей рассчитывается следующим образом:
а) Шаблоны, используемые людьми, являются важным обстоятельством, которое может влиять на подход
к поиску возможных значений цифровых паролей. Допуская самый плохой вариант сценария, когда пользователь
выбирает число, состоящее только из четырех цифр, число перестановок цифрового пароля, если предположить,
что каждая цифра уникальна, равно:
7(8)(9)(10( = 5040
240