ГОСТ Р ИСО/МЭК 18045-2013; Страница 60

или поделиться

Ещё ГОСТы из 41757, используйте поиск в верху страницы

ГОСТ 32000-2012 Продукция алкогольная и сырье для ее производства. Метод определения массовой концентрации приведенного экстракта (Настоящий стандарт распространяется на алкогольную продукцию и сырье для ее производства: вина, виноматериалы, спиртные напитки и соки для промышленной переработки и устанавливает метод определения массовой концентрации приведенного экстракта) ГОСТ 32011-2013 Микробиология пищевых продуктов и кормов для животных. Горизонтальный метод обнаружения Escherichia coli О157 (Настоящий стандарт распространяется на пищевые продукты, корма для животных и устанавливает метод обнаружения бактерий Escherichia coli О157 с обязательным использованием четырех последовательных стадий) ГОСТ 32147-2013 Десерты фруктовые. Общие технические условия (Настоящий стандарт распространяется на фруктовые десерты, изготовленные из свежих, охлажденных или быстрозамороженных протертых фруктов одного или нескольких видов с добавлением или без добавления целых и (или) нарезанных фруктов или других пищевых ингредиентов, сахара и (или) натуральных подсластителей, загустителей, пищевых органических кислот, пищевых ароматизаторов, пищевых красителей)

Страница 60

Страница 1

Untitled document

ГОСТ Р ИСО/МЭК 18045—2013

сделано, например путем ссылки на соответствующие подразделы проекта 00, где указано, каким об

разом ИФБО средства обработки пакетных заданий достигает своих целей безопасности.

На этом же примере предположим, что есть ИФБО. единственное назначение которого состоит

в том, чтобы показывать время суток. Оценщику следует сделать заключение о том. что в описании

адекватно утверждается, что этот ИФБО не может управлять какими-либо защищенными

ресурсами и не вызывает функции безопасности.

Другой пример обхода — это когда предполагается, что ФБО поддерживают конфиденциальность

криптографического ключа {которыйдопускается использоватьдля криптографическихопераций, но не

допустимо производить операции по его чтению и записи). Если у злоумышленника есть возможность

прямого физического доступа к устройству, он может быть в состоянии провести атаку по сторонним

каналам, например атаку по энергопотреблению, атаку по времени или даже по электромагнитному из

лучению от устройства, и на основании этих данных вывести ключ.

Если такие сторонние каналы присутствуют, в демонстрацию следует включить адресацию к пре

пятствующим возникновению этих сторонних каналов механизмам, таким как рандомизированные вну

тренние часы, технология двойной линии и т. д. Верификация таких механизмов проводится на комби

нации доводов, основанных только на проектной документации, и результатов тестирования.

В качестве последнего примера использования функций безопасности, а не защищенного ресур

са. рассмотрим ЗБ. которое содержит раздел FCO_NRO,2 «Принудительное доказательство отправ

ления». где представлено требование, чтобы в ФБО были представлены свидетельства отправления

для типов информации, определенных в ЗБ. Предположим, что к «типам информации» относится вся

информация, которую 0 0 посылает через электронную почту. В этом случае оценщику следует ис

следовать описание, чтобы удостовериться, что все ИФБО. которые могут быть вызваны для отправ

ки электронного письма, осуществляют функцию «свидетельство отправления» с должной степенью

детализации. Описание может ссылаться на руководство пользователя для выявления всех мест от

правления писем электронной почты (например, почтовая программа, уведомления скриптов/пакетных

заданий) и затем того, как каждое из этих мест вызывает функцию генерации свидетельств.

Оценщику также следует удостовериться, что описание является всесторонним, т. е. в нём каж

дый интерфейс проанализирован относительно всего набора предъявляемых ФТБ. От оценщика может

потребоваться исследовать сопроводительную информацию (функциональную спецификацию, проект

ОО. другие части «Описания архитектуры безопасности», руководство пользователя по эксплуатации,

и. возможно, даже представление реализации, как предоставлено для ОО) для вынесения заключения о

том. что в описании правильно отражены все аспекты интерфейса. Оценщику следует рассмотреть, на

какие ФТБ может влиять тот или иной ИФБО (из описания ИФБО и его реализации в сопроводи

тельной документации), а затем исследовать описание, чтобы вынести заключение о том, охвачены ли

описанием эти аспекты.

10.4 Функциональная спецификация (ADV_FSP)

10.4.1 Подвид деятельности по оценке (ADV_FSP.1)

10.4.1.1 Цели

Цель данного подвида деятельности — сделать заключение, предоставил ли разработчик опи

сание верхнего уровня хотя бы для осуществляющих и поддерживающих ФТБ ИФБО. в терминах

описаний их параметров. Других свидетельств, от которых может ожидаться возможность измерения

точности данных описаний, не требуется; оценщик только удостоверяется, что описания кажутся прав

доподобными.

10.4.1.2 Исходные данные

Свидетельствами оценки для этого подвида деятельности являются:

a) ЗБ;

) функциональная спецификация;

c) руководство пользователя по эксплуатации.

10.4.1.3 Действие ADV_FSP.1.1E

ИСО/МЭК 15408-3 ADV_FSP.1.1C. В функциональной спецификации должны описываться назна

чение и метод использования для каждого из ИФБО. осуществляющего или поддерживающего выпол

нение ФТБ.

10.4.1.3.1 Шаг оценивания ADV_FSP.1-1

Оценщикдолжен исследовать функциональную спецификацию, чтобы сделать заключение о том,

что в ней указано назначение каждого из ИФБО. осуществляющего или поддерживающего выполнение

ФТБ из осуществляющих и поддерживающих ИФБО.