Точный
Статус документа
Статус документа

ГОСТ Р ИСО/МЭК 18045-2008 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий

     11.9.2 Оценка анализа уязвимостей (AVA_VLA.1)

11.9.2.1 Цели

Цель данного подвида деятельности - сделать заключение, имеет ли OO, находящийся в своей предопределенной среде, явные уязвимости, пригодные для использования.

11.9.2.2 Исходные данные

Свидетельствами оценки для данного подвида деятельности являются:

а) ЗБ;

b) функциональная спецификация;

с) проект верхнего уровня;

d) руководство пользователя;

e) руководство администратора;

f) процедуры безопасной установки, генерации и запуска;

g) материалы анализа уязвимостей;

h) материалы анализа утверждений о стойкости функции;

i) OO, пригодный для тестирования.

Дополнительным исходным материалом для данного подвида деятельности является текущая информация касательно явных уязвимостей (например, от органа оценки).

11.9.2.3 Замечания по применению

Использование термина "руководства" в этом подвиде деятельности относится к руководству пользователя, руководству администратора и процедурам безопасной установки, генерации и запуска.

Рассмотрение пригодных для использования уязвимостей определяется целями безопасности и функциональными требованиями в ЗБ. Например, если меры по предотвращению обхода функций безопасности не требуются в ЗБ (FPT_PHP "Физическая защита ФБО", FPT_RVM "Посредничество при обращениях" и FPT_SEP "Разделение домена" отсутствуют), то уязвимости, на которых базируется обход, рассматривать не следует.

Уязвимости могут быть или не быть идентифицированы в общедоступных источниках и могут требовать или не требовать навыка для их использования. Эти два фактора являются связанными, но различными. Не следует предполагать, что уязвимость может быть легко использована только потому, что она идентифицирована в общедоступных источниках.

Следующие термины использованы в данном руководстве с конкретным значением:

a) уязвимость - слабость в OO, которая может быть использована, чтобы нарушить политику безопасности в некоторой среде;

b) анализ уязвимостей - систематический поиск уязвимостей в OO и оценка найденных уязвимостей, чтобы сделать заключение об их значимости для предопределенной среды OO;

c) явная уязвимость - уязвимость, которая является открытой для использования, требующего минимума понимания OO, технических познаний и ресурсов;

d) потенциальная уязвимость - уязвимость, существование которой в OO предположено (на основании теоретически допускаемого маршрута нападения), но не подтверждено;

е) пригодная для использования уязвимость - уязвимость, которая может быть использована в предопределенной среде OO;

f) непригодная для использования уязвимость - уязвимость, которая не может быть использована в предопределенной среде OO;

g) остаточная уязвимость - непригодная для использования уязвимость, которая могла бы быть использована нарушителем с более высоким потенциалом нападения, чем ожидается в предопределенной среде OO;

h) тестирование проникновения - тестирование, выполняемое с целью сделать заключение о пригодности к использованию в предопределенной среде OO идентифицированных потенциальных уязвимостей OO.

11.9.2.4 Действие AVA_VLA.1.1Е