ГОСТ Р ИСО МЭК 15408-3 2007 (1027766), страница 31
Текст из файла (страница 31)
Основная цель анализа, проводимого оценщиком, – сделать заключение, что ООявляется стойким к нападениям проникновения со стороны нарушителя, обладающего низким (дляAVA_VLA.2 «Независимый анализ уязвимостей»), умеренным (для AVA_VLA.3 «Умеренно стойкий») или высоким (для AVA_VLA.4 «Высоко стойкий») потенциалом нападения. Для выполненияэтой цели оценщик сначала проверяет возможности использования всех идентифицированных138ГОСТ Р ИСО/МЭК 15408-3—…(проект, окончательная редакция)уязвимостей.
Это осуществляется посредством тестирования проникновения. Оценщику следуетпринять на себя роль нарушителя с одним из указанных выше потенциалов нападения при попытке проникновения в ОО. Любое использование уязвимостей таким нарушителем оценщику следуетрассматривать как "явное нападение проникновения" (в отношении элементов AVA_VLA.*.2C вконтексте компонентов AVA_VLA.2 «Независимый анализ уязвимостей», AVA_VLA.3 «Умеренностойкий», AVA_VLA 4 «Высоко стойкий».18.4.4AVA_VLA.1 Анализ уязвимостей разработчикомЗависимости: ADV_FSP.1 Неформальная функциональная спецификацияADV_HLD.1 Описательный проект верхнего уровняAGD_ADM.1 Руководство администратораAGD_USR.1 Руководство пользователя18.4.4.1 ЦелиРазработчик выполняет анализ уязвимостей, чтобы установить присутствие явных уязвимостей безопасности и подтвердить, что они не могут быть использованы в предполагаемой средеОО.18.4.4.2 Замечания по применениюОценщику следует предусмотреть выполнение дополнительных тестов для уязвимостей,выявленных при выполнении других частей оценки и потенциально пригодных для использования.18.4.4.3 Элементы действий разработчика18.4.4.3.1AVA_VLA.1.1DРазработчик должен выполнить анализ уязвимостей.18.4.4.3.2AVA_VLA.1.2DРазработчик должен предоставить документацию анализа уязвимостей.18.4.4.4 Элементы содержания и представления свидетельств18.4.4.4.1AVA_VLA.1.1CДокументация анализа уязвимостей должна содержать описание анализа поставляемых материалов ОО, выполненного для поиска явных способов, которыми пользовательможет нарушить ПБО.18.4.4.4.2AVA_VLA.1.2CДокументация анализа уязвимостей должна содержать описание решения в отношении явных уязвимостей.18.4.4.4.3AVA_VLA.1.3CДокументация анализа уязвимостей должна показать для всех идентифицированныхуязвимостей, что ни одна из них не может быть использована в предполагаемой среде ОО.18.4.4.5 Элементы действий оценщика18.4.4.5.1AVA_VLA.1.1EОценщик должен подтвердить, что представленная информация удовлетворяет всемтребованиям к содержанию и представлению свидетельств.18.4.4.5.2AVA_VLA.1.2EОценщик должен провести тестирование проникновения, основанное на анализе уязвимостей, выполненном разработчиком, для обеспечения учета явных уязвимостей.139ГОСТ Р ИСО/МЭК 15408-3—…(проект, окончательная редакция)18.4.5AVA_VLA.2 Независимый анализ уязвимостейЗависимости: ADV_FSP.1 Неформальная функциональная спецификацияADV_HLD.2 Детализация вопросов безопасности в проекте верхнего уровняADV_IMP.1 Подмножество реализации ФБОADV_LLD.1 Описательный проект нижнего уровняAGD_ADM.1 Руководство администратораAGD_USR.1 Руководство пользователя18.4.5.1 ЦелиРазработчик выполняет анализ уязвимостей, чтобы установить присутствие уязвимостейбезопасности и подтвердить, что они не могут быть использованы в предполагаемой среде ОО.Оценщик выполняет независимое тестирование проникновения, поддержанное собственнымнезависимым анализом уязвимостей, чтобы сделать независимое заключение, что ОО являетсястойким к нападениям проникновения, выполняемым нарушителями, обладающими низким потенциалом нападения.18.4.5.2 Элементы действий разработчика18.4.5.2.1AVA_VLA.2.1DРазработчик должен выполнить анализ уязвимостей.18.4.5.2.2AVA_VLA.2.2DРазработчик должен предоставить документацию анализа уязвимостей.18.4.5.3 Элементы содержания и представления свидетельств18.4.5.3.1AVA_VLA.2.1CДокументация анализа уязвимостей должна содержать описание анализа поставляемых материалов ОО, выполненного для поиска способов, которыми пользователь может нарушить ПБО.18.4.5.3.2AVA_VLA.2.2CДокументация анализа уязвимостей должна содержать описание решения в отношенииидентифицированных уязвимостей.18.4.5.3.3AVA_VLA.2.3CДокументация анализа уязвимостей должна показать для всех идентифицированных уязвимостей, что ни одна из них не может быть использована в предполагаемой среде ОО.18.4.5.3.4AVA_VLA.2.4CДокументация анализа уязвимостей должна содержать логическое обоснование, чтоОО с идентифицированными уязвимостями устойчив по отношению к очевидным атакампроникновения.18.4.5.4 Элементы действий оценщика18.4.5.4.1AVA_VLA.2.1EОценщик должен подтвердить, что представленная информация удовлетворяет всем требованиям к содержанию и представлению свидетельств.18.4.5.4.2AVA_VLA.2.2EОценщик должен провести тестирование проникновения, основанное на анализе уязвимостей, выполненном разработчиком, для обеспечения учета идентифицированных уязвимостей.18.4.5.4.3AVA_VLA.2.3EОценщик должен выполнить независимый анализ уязвимостей.140ГОСТ Р ИСО/МЭК 15408-3—…(проект, окончательная редакция)18.4.5.4.4AVA_VLA.2.4EОценщик должен выполнить независимое тестирование проникновения, основанноена независимом анализе уязвимостей, и сделать независимое заключение о возможностииспользования дополнительно идентифицированных уязвимостей в предполагаемой среде.18.4.5.4.5AVA_VLA.2.5EОценщик должен сделать независимое заключение, что ОО является стойким к нападениям проникновения, выполняемым нарушителем, обладающим низким потенциалом нападения.18.4.6AVA_VLA.3 Умеренно стойкийЗависимости: ADV_FSP.1 Неформальная функциональная спецификацияADV_HLD.2 Детализация вопросов безопасности в проекте верхнего уровняADV_IMP.1 Подмножество реализации ФБОADV_LLD.1 Описательный проект нижнего уровняAGD_ADM.1 Руководство администратораAGD_USR.1 Руководство пользователя18.4.6.1 ЦелиРазработчик выполняет анализ уязвимостей, чтобы установить присутствие уязвимостейбезопасности и подтвердить, что они не могут быть использованы в предполагаемой среде ОО.Оценщик выполняет независимое тестирование проникновения, поддержанное собственнымнезависимым анализом уязвимостей, чтобы сделать независимое заключение, что ОО являетсястойким к нападениям проникновения, выполняемым нарушителями, обладающими умереннымпотенциалом нападения.18.4.6.2 Элементы действий разработчика18.4.6.2.1AVA_VLA.3.1DРазработчик должен выполнить анализ уязвимостей.18.4.6.2.2AVA_VLA.3.2DРазработчик должен предоставить документацию анализа уязвимостей.18.4.6.3 Элементы содержания и представления свидетельств18.4.6.3.1AVA_VLA.3.1CДокументация анализа уязвимостей должна содержать описание анализа поставляемых материалов ОО, выполненного для поиска способов, которыми пользователь может нарушить ПБО.18.4.6.3.2AVA_VLA.3.2CДокументация анализа уязвимостей должна содержать описание решения в отношенииидентифицированных уязвимостей.18.4.6.3.3AVA_VLA.3.3CДокументация анализа уязвимостей должна показать для всех идентифицированных уязвимостей, что ни одна из них не может быть использована в предполагаемой среде ОО.18.4.6.3.4AVA_VLA.3.4CДокументация анализа уязвимостей должна содержать логическое обоснование, что ОО сидентифицированными уязвимостями устойчив по отношению к очевидным атакам проникновения.18.4.6.3.5AVA_VLA.3.5C141ГОСТ Р ИСО/МЭК 15408-3—…(проект, окончательная редакция)Документация анализа уязвимостей должна показывать, что поиск уязвимостей является систематическим.18.4.6.4 Элементы действий оценщика18.4.6.4.1AVA_VLA.3.1EОценщик должен подтвердить, что представленная информация удовлетворяет всем требованиям к содержанию и представлению свидетельств.18.4.6.4.2AVA_VLA.3.2EОценщик должен провести тестирование проникновения, основанное на анализе уязвимостей, выполненном разработчиком, для обеспечения учета идентифицированных уязвимостей.18.4.6.4.3AVA_VLA.3.3EОценщик должен выполнить независимый анализ уязвимостей.18.4.6.4.4AVA_VLA.3.4EОценщик должен выполнить независимое тестирование проникновения, основанное на независимом анализе уязвимостей, и сделать независимое заключение о возможности использования дополнительно идентифицированных уязвимостей в предполагаемой среде.18.4.6.4.5AVA_VLA.3.5EОценщик должен сделать независимое заключение, что ОО является стойким к нападениямпроникновения, выполняемым нарушителем, обладающим умеренным потенциалом нападения.18.4.7AVA_VLA.4 ВысокостойкийЗависимости: ADV_FSP.1 Неформальная функциональная спецификацияADV_HLD.2 Детализация вопросов безопасности в проекте верхнего уровняADV_IMP.1 Подмножество реализации ФБОADV_LLD.1 Описательный проект нижнего уровняAGD_ADM.1 Руководство администратораAGD_USR.1 Руководство пользователя18.4.7.1 ЦелиРазработчик выполняет анализ уязвимостей, чтобы установить присутствие уязвимостейбезопасности и подтвердить, что они не могут быть использованы в предполагаемой среде ОО.Оценщик выполняет независимое тестирование проникновения, поддержанное собственнымнезависимым анализом уязвимостей, чтобы сделать независимое заключение, что ОО являетсястойким к нападениям проникновения, выполняемым нарушителями, обладающими высоким потенциалом нападения.18.4.7.2 Элементы действий разработчика18.4.7.2.1AVA_VLA.4.1DРазработчик должен выполнить анализ уязвимостей.18.4.7.2.2AVA_VLA.4.2DРазработчик должен предоставить документацию анализа уязвимостей18.4.7.3 Элементы содержания и представления свидетельств18.4.7.3.1AVA_VLA.4.1CДокументация анализа уязвимостей должна содержать описание анализа поставляемых материалов ОО, выполненного для поиска способов, которыми пользователь может нарушить ПБО.18.4.7.3.2142AVA_VLA.4.2CГОСТ Р ИСО/МЭК 15408-3—…(проект, окончательная редакция)Документация анализа уязвимостей должна содержать описание решения в отношенииидентифицированных уязвимостей.18.4.7.3.3AVA_VLA.4.3CДокументация анализа уязвимостей должна показать для всех идентифицированных уязвимостей, что ни одна из них не может быть использована в предполагаемой среде ОО.18.4.7.3.4AVA_VLA.4.4CДокументация анализа уязвимостей должна содержать логическое обоснование, что ОО сидентифицированными уязвимостями устойчив по отношению к очевидным атакам проникновения.18.4.7.3.5AVA_VLA.4.5CДокументация анализа уязвимостей должна показывать, что поиск уязвимостей являетсясистематическим.18.4.7.3.6AVA_VLA.4.6CДокументация анализа уязвимостей должна содержать логическое обоснование, чтоанализ полностью учитывает все поставляемые материалы ОО.18.4.7.4 Элементы действий оценщика18.4.7.4.1AVA_VLA.4.1EОценщик должен подтвердить, что представленная информация удовлетворяет всем требованиям к содержанию и представлению свидетельств.18.4.7.4.2AVA_VLA.4.2EОценщик должен провести тестирование проникновения, основанное на анализе уязвимостей, выполненном разработчиком, для обеспечения учета идентифицированных уязвимостей.18.4.7.4.3AVA_VLA.4.3EОценщик должен выполнить независимый анализ уязвимостей.18.4.7.4.4AVA_VLA.4.4EОценщик должен выполнить независимое тестирование проникновения, основанное на независимом анализе уязвимостей, и сделать независимое заключение о возможности использования дополнительно идентифицированных уязвимостей в предполагаемой среде.18.4.7.4.5AVA_VLA.4.5EОценщик должен сделать независимое заключение, что ОО является стойким к нападениямпроникновения, выполняемым нарушителем, обладающим высоким потенциалом нападения.143ГОСТ Р ИСО/МЭК 15408-3—…(проект, окончательная редакция)Приложение A(справочное)Перекрестные ссылки между компонентами доверияЗависимости между компонентами, приведенные в разделах 8-18, являются прямыми зависимостями между компонентами доверия.Нижеследующие таблицы зависимостей для компонентов доверия показывают их прямые икосвенные зависимости.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
