ГОСТ Р ИСО/МЭК 15408-3-2002; Страница 95

или поделиться

Ещё ГОСТы из 41757, используйте поиск в верху страницы

ГОСТ Р ИСО/МЭК 15910-2002 Информационная технология. Процесс создания документации пользователя программного средства Information technology. Software user documentation process (Настоящий стандарт определяет минимально необходимый процесс создания документации пользователя всех видов для программного средства, имеющего интерфейс пользователя. . Стандарт предназначен для разработчиков и потребителей документации пользователя.. Настоящий стандарт используется для печатной документации, а также для справочных экранов, справочной системы обеспечения поставки, справочной информации и т.д.. Стандарт предназначен для применения при двусторонних отношениях и может быть использован, если обе стороны корпоративно связаны. Стандарт также может быть использован одной из сторон для самоконтроля) ГОСТ Р ИСО/МЭК 37-2002 Потребительские товары. Инструкции по применению. Общие требования Products of consumer interest. Instructions for use. General requirements (Настоящий стандарт устанавливает принципы и предлагает рекомендации по подготовке и изложению инструкций по применению потребительских товаров. Он предназначен для:. - организаций, разрабатывающих стандарты на потребительские изделия;. - конструкторов изделий, изготовителей, технических и других специалистов, занимающихся подготовкой и составлением таких инструкций.. Принципы и подробные рекомендации, представленные в настоящем стандарте, должны применяться одновременно с конкретными требованиями к инструкциям, установленным в стандартах на конкретные изделия или группы изделий) ГОСТ 1820-2001 Спички. Технические условия Matches. Specifications (Настоящий стандарт распространяется на спички в коробках, предназначенные для использования в быту.. Стандарт не распространяется на спички специального назначения, сувенирные и спички, предназначенные для экспорта, на которые разрабатываются национальные нормативные документы)

Страница 95

Страница 1

Untitled document

ГОСТ Р ИСО/МЭК 15408-3-2002

Элементы содержания и предсташения свидетельств

AVA_SOF.I.lC Для каждого механизма, имеющею утверждение относигелыю стойкости функции

безопасности ОО, анализ должен показать, что ее стойкостьдостигает или превы

шает минимальный уровень стойкости, определенный в ПЗ/ЗБ.

AVA_SOF.1.2C Для каждого механизма, имеющего утверждение относительно конкретной стой

кости функции безопасности (К), анализ должен показать, что ее стойкость дости

гает или превышаег конкретный показатель, определенный в ПЗ/ЗБ.

Элементы действий оценщика

AVA_SOF.l.lE Оценщик должен подтвердить, что представленная информация удовлетворяет

всем требованиям к содержанию и представлению свидетельств.

AVASOF.1.2Е Оценщик должен подтвердить, что утверждения тноеителыю стойкости коррек

тны.

14.4 Анализ уязвимостей (AVA_VLA)

Цели

Анализ уязвимостей позволяет сделать заключение, могутли уязвимости, идентифицированные

в процессе оценки ОО и его ожидаемого применения или другими методами (например, из гипотезы о

недостатках), быть использованы пользователями для нарушения ИБО.

При анализе уязвимостей рассматривают угрозы, что пользователь будет всостоянии обнаружить

недостатки, позволяющие получить несанкционированный доступ к ресурсам (например, данным),

препятствовать выполнению ФБО и искажать ихили же ограничивать санкционированные возможно

сти других пользователей.

Ранжнрова» iие компог

ichtob

Ранжирование основано на повышении строгости анализа уязвимостей разработан ком и оценщи

ком.

Замечания по применению

Разработчик выполняет анализуязвимостей, чтобы установить присутствиеуязвимостей безопас

ности: при этом следует рассматривать по меньшей мере содержание всех поставляемых материалов

ОО. включая ЗБ. с учетом намеченного оценочного уровня доверия. От разработчика требуется задо

кументировать местоположение идентифицированных уязвимостей, чтобы позволить оценщику ис

пользовать эту информацию, если ее признают полезной, для поддержки независимого анализа уязви

мостей оценщиком.

Анализ, проводимый разработчиком, предназначен для подтверждения невозможности использо

вания идентифицированныхуязвимостей безопасности в предполагаемой среде ОО и стойкости ОО к

явным нападениям проникновения.

Под явными уязвимостями понимают те. которые открыты атя использования, требующего

минимума понимания ОО. умений, технического опыта и ресурсов. Они могул быть подсказаны

описанием интерфейса ФБО. К явным уязвимостям относятся известные из общедоступных источни

ков (и разработчику следует детально знать их) или полученные от органа оценки.

Систематический поиск уязвимостей предусматривает, чтобы разработчик идентифицировал эти

уязвимости структурированным и повторяемым образом, в противоположность идентификации их

частными методами. Следует, чтобы свидетельство того, что поиск уязвимостей был систематическим,

включяло в себя идентификацию всейдокументации ОО. на которой был основан поиск недостатков.

Независимый анализ уязвимостей не ограничивается уязвимостями, идентифицированными раз

работчиком. Основная цель анализа, проводимогооценщиком, —сделать заключение, что ОО являет

ся стойким к нападениям проникновения со стороны нарушителя, облалаюшего низким (для

AVA_VLA.2), умеренным (аля AVA_VLA.3) или высоким (для AVA_VLA.4) потенциалом нападения.

Для выполнения этой цели оценщиксначала проверяет возможности использования всех идентифици

рованных уязвимостей. Этоосуществляется посредством тестирования проникновения. Оценщику сле

дует принять на себя роль нарушителя с одним из указанным выше потенциалов нападения при

попытке проникновения в ОО. Любое использование уязвимостей таким нарушителем опеншику сле

дует рассматривать как «явное нападение проникновения» (в отношении злемешов AVA_VLA.\2C) в

контексте компонентовAVA_VLA.2—4.

AVA_VLA.l Анализ уязвимостей разработчиком

Цели