(Действующий) Национальный стандарт РФ ГОСТ Р 58142-2018 "Информационная технология....

Докипедия просит пользователей использовать в своей электронной переписке скопированные части текстов нормативных документов. Автоматически генерируемые обратные ссылки на источник информации, доставят удовольствие вашим адресатам.

Действующий
3.12 потенциальная уязвимость: Предполагаемый, но не подтвержденный недостаток объекта оценки.
Примечание - Предположение основывают на теоретически допустимой схеме нападения с целью нарушения функциональных требований безопасности.
3.13 остаточная уязвимость: Уязвимое место объекта оценки, которое не может быть использовано в среде функционирования объекта оценки, но которое может быть использовано для нарушения функциональных требований безопасности нарушителем с более высоким потенциалом нападения, чем предполагается в среде функционирования объекта оценки.
3.14 профиль защиты: Независимое от реализации изложение потребностей в обеспечении безопасности для некоторого типа объекта оценки.
3.15 задание по безопасности: Зависимое от реализации изложение потребностей в обеспечении безопасности для конкретного идентифицированного объекта оценки.

4 Обозначения и сокращения

В настоящем стандарте применены следующие обозначения:
ЗБ - задание по безопасности;
ИТ - информационная технология;
ТДБ - требование доверия к безопасности;
ТОО - технический отчет по оценке;
ФТБ - функциональное требование безопасности.

5 Общие положения

Подраздел 15.1 ГОСТ Р ИСО/МЭК 15408-3 определяет "уязвимости, возникающие при разработке", как уязвимости, внесенные в ходе процесса разработки ОО, связанные с возможностью преодоления некоторых его свойств. В том же подразделе ГОСТ Р ИСО/МЭК 15408-3 определяется, что оценка уязвимостей, возникающих при разработке, охвачена семейством доверия "Анализ уязвимостей" (AVA_VAN). В соответствии с ГОСТ Р ИСО/МЭК 15408-3 ожидается, что данный анализ определит, могут ли идентифицированные потенциальные уязвимости нарушить выполнение ФТБ; при анализе учитывается угроза того, что нарушитель может выполнять поиск недостатков [как идентифицированных потенциальных уязвимостей] (ГОСТ Р ИСО/МЭК 15408-3, пункт 15.2.1).
Компоненты семейства доверия AVA_VAN ранжированы следующим образом:
- AVA_VAN.1 "Обзор уязвимостей" (ГОСТ Р ИСО/МЭК 15408-3, пункт 15.2.3);
- AVA_VAN.2 "Анализ уязвимостей" (ГОСТ Р ИСО/МЭК 15408-3, пункт 15.2.4);
- AVA_VAN.3 "Фокусированный анализ уязвимостей" (ГОСТ Р ИСО/МЭК 15408-3, пункт 15.2.5);
- AVA_VAN.4 "Методический анализ уязвимостей" (ГОСТ Р ИСО/МЭК 15408-3, пункт 15.2.6);
- AVA_VAN.5 "Усиленный методический анализ" (ГОСТ Р ИСО/МЭК 15408-3, пункт 15.2.7).
Компонент AVA_VAN.1 - младший по иерархии компонент в семействе доверия AVA_VAN, компонент AVA_VAN.5 - старший.
Текущая редакция ГОСТ Р ИСО/МЭК 15408 не предъявляет требований к заявителю (разработчику, производителю) по проведению анализа уязвимостей.
"AVA_VAN.4 Методический анализ уязвимостей
...
Элементы действий заявителя (разработчика, производителя)
AVA_VAN.4.1D Разработчик должен представить ОО для тестирования.
Элементы содержания и представления документированной информации (свидетельств)
AVA_VAN.4.1С ОО должен быть пригоден для тестирования.
..."
Для обеспечения преемственности требований и сохранения принятой технологии сертификации в профилях защиты, утвержденных ФСТЭК России, требования по проведению анализа уязвимостей заявителем (разработчиком, производителем) определяются путем выполнения уточнения над соответствующими компонентами ТДБ из семейства AVA_VAN:
"AVA_VAN.4 Методический анализ уязвимостей
...
Элементы действий заявителя (разработчика, производителя)
AVA_VAN.X.1 D Заявитель (разработчик, производитель) должен выполнить анализ уязвимостей ОО.
Элементы содержания и представления документированной информации (свидетельств)
AVA_VAN.X.1С Документация анализа уязвимостей должна:
- содержать результаты анализа, выполненного для поиска способов, которыми потенциально может быть нарушена реализация ФТБ;
- идентифицировать проанализированные предполагаемые уязвимости;
- демонстрировать для всех идентифицированных уязвимостей, что ни одна из них не может быть использована в предполагаемой среде функционирования ОО.
...".
Детализация проверки указанных требований приводится в настоящем стандарте в рамках выполнения действий AVA_VAN.X.1E в соответствии с ГОСТ Р ИСО/МЭК 15408 и ГОСТ Р ИСО/МЭК 18045.
Кроме того, в настоящем стандарте приводится детализация действий AVA_VAN.X.2E в соответствии с ГОСТ Р ИСО/МЭК 15408 и ГОСТ Р ИСО/МЭК 18045 по поиску и идентификации потенциальных уязвимостей на основе доступных источников для анализа:
- в AVA_VAN.1.2Е (ГОСТ Р ИСО/МЭК 15408-3, подпункт 15.2.3.4.2);
- в AVA_VAN.2.2E (ГОСТ Р ИСО/МЭК 15408-3, подпункт 15.2.4.4.2);
- в AVA_VAN.3.2Е (ГОСТ Р ИСО/МЭК 15408-3, подпункт 15.2.5.4.2);
- в AVA_VAN.4.2E (ГОСТ Р ИСО/МЭК 15408-3, подпункт 15.2.6.4.2);
- в AVA_VAN.5.2E (ГОСТ Р ИСО/МЭК 15408-3, подпункт 15.2.7.4.2).
ГОСТ Р ИСО/МЭК 18045 устанавливает конкретные шаги оценивания, связанные с действием "Идентификации потенциальной уязвимости в доступных источниках" (в подпунктах 14.2.1.5, 14.2.2.5, 14.2.3.5, 14.2.4.5) следующим образом.
AVA_VAN.1-3, AVA_VAN.2-3, AVA_VAN.3-3, AVA_VAN.4-3