Действующий
Подраздел 15.1 ГОСТ Р ИСО/МЭК 15408-3 определяет "уязвимости, возникающие при разработке", как уязвимости, внесенные в ходе процесса разработки ОО, связанные с возможностью преодоления некоторых его свойств. В том же подразделе ГОСТ Р ИСО/МЭК 15408-3 определяется, что оценка уязвимостей, возникающих при разработке, охвачена семейством доверия "Анализ уязвимостей" (AVA_VAN). В соответствии с ГОСТ Р ИСО/МЭК 15408-3 ожидается, что данный анализ определит, могут ли идентифицированные потенциальные уязвимости нарушить выполнение ФТБ; при анализе учитывается угроза того, что нарушитель может выполнять поиск недостатков [как идентифицированных потенциальных уязвимостей] (ГОСТ Р ИСО/МЭК 15408-3, пункт 15.2.1).
Компонент AVA_VAN.1 - младший по иерархии компонент в семействе доверия AVA_VAN, компонент AVA_VAN.5 - старший.
Текущая редакция ГОСТ Р ИСО/МЭК 15408 не предъявляет требований к заявителю (разработчику, производителю) по проведению анализа уязвимостей.
Для обеспечения преемственности требований и сохранения принятой технологии сертификации в профилях защиты, утвержденных ФСТЭК России, требования по проведению анализа уязвимостей заявителем (разработчиком, производителем) определяются путем выполнения уточнения над соответствующими компонентами ТДБ из семейства AVA_VAN:
- содержать результаты анализа, выполненного для поиска способов, которыми потенциально может быть нарушена реализация ФТБ;
- демонстрировать для всех идентифицированных уязвимостей, что ни одна из них не может быть использована в предполагаемой среде функционирования ОО.
Детализация проверки указанных требований приводится в настоящем стандарте в рамках выполнения действий AVA_VAN.X.1E в соответствии с ГОСТ Р ИСО/МЭК 15408 и ГОСТ Р ИСО/МЭК 18045.
Кроме того, в настоящем стандарте приводится детализация действий AVA_VAN.X.2E в соответствии с ГОСТ Р ИСО/МЭК 15408 и ГОСТ Р ИСО/МЭК 18045 по поиску и идентификации потенциальных уязвимостей на основе доступных источников для анализа:
ГОСТ Р ИСО/МЭК 18045 устанавливает конкретные шаги оценивания, связанные с действием "Идентификации потенциальной уязвимости в доступных источниках" (в подпунктах 14.2.1.5, 14.2.2.5, 14.2.3.5, 14.2.4.5) следующим образом.
Оценщик (испытательная лаборатория) должен исследовать доступные источники информации, чтобы идентифицировать потенциальные уязвимости ОО.
Возможность простого доступа нарушителя к информации, которая помогает идентифицировать уязвимости и облегчить нападение, существенно увеличивает потенциал нападения данного нарушителя. Доступность в сети Интернет информации об уязвимостях и современных средствах реализации атак позволяет с высокой степенью вероятности предположить, что данная информация будет использоваться при попытках идентифицировать потенциальные уязвимости в ОО и использовать их. Современные поисковые системы делают такую информацию легкодоступной оценщику, и заключение о стойкости ОО к нападениям с использованием опубликованных потенциальных уязвимостей, а также к хорошо известным типовым нападениям (атакам) может быть дано в терминах "эффективность-стоимость".
Поиск доступной информации необходимо сосредоточить на источниках, относящихся к конкретному продукту ИТ, на основании которого получен ОО. При определении требуемой широты поиска необходимо рассмотреть следующие факторы: тип ОО, опыт оценщика для проверки данного типа ОО, ожидаемый потенциал нападения и уровень доступных свидетельств по классу ADV "Разработка".
Оценщик должен привести в ТОО идентифицированные потенциальные уязвимости, которые являются предметом тестирования и применимы к данному ОО в среде его функционирования.
Может быть установлено, что не требуется дальнейшее рассмотрение конкретной потенциальной уязвимости, если оценщик идентифицирует, что использующихся в среде функционирования мер защиты, относящихся или не относящихся к ИТ, достаточно для предотвращения возможности использования потенциальной уязвимости в данной среде функционирования.
Оценщик фиксирует любые причины исключения потенциальных уязвимостей из дальнейшего рассмотрения, если он сделает заключение, что потенциальная уязвимость не применима в среде функционирования. В ином случае оценщик фиксирует выявленную потенциальную уязвимость для дальнейшего рассмотрения.