LINEBURG


<< Пред. стр.

страница 23
(всего 26)

ОГЛАВЛЕНИЕ

След. стр. >>

предопределенной среде ОО.
Предполагается, что разработчик выполнил поиск явных уязвимостей, основываясь на
918

знании ОО и информации из общедоступных источников. Требование задано только по
идентификации явных уязвимостей, при этом подробный анализ не предполагается.
Разработчик фильтрует эту информацию на основе вышеизложенного определения и



157
показывает, что явные уязвимости являются непригодными для использования в
предопределенной среде.
Оценщику необходимо обратить внимание на три аспекта анализа, выполненного
919

разработчиком:
а) были ли при анализе разработчиком рассмотрены все поставляемые для оценки
материалы;
б) приняты ли соответствующие меры для предотвращения использования явных
уязвимостей в предопределенной среде;
в) остались ли некоторые явные уязвимости неидентифицированными.
Оценщику не следует беспокоиться, являются ли идентифицированные уязвимости явными
920

или не являются, если это не используется разработчиком в качестве основы для
заключения о непригодности уязвимостей для использования. В этом случае оценщик
проверяет правильность утверждений, делая заключение о противодействии нарушителю с
низким потенциалом нападения по отношению к идентифицированной уязвимости.
Понятие явные уязвимости не связано с понятием потенциал нападения. Последний
921

определяется оценщиком в ходе независимого анализа уязвимостей. Так как эти действия
не выполняются для AVA_VLA.1, то обычно поиск и фильтрация информации на основе
потенциала нападения оценщиком не осуществляются. Однако оценщик может еще
обнаружить потенциальные уязвимости в ходе оценки, а заключение, как их следует
учитывать, делается путем ссылки на определение явных уязвимостей и понятие низкого
потенциала нападения.
Заключение, остались ли некоторые явные уязвимости неидентифицированными,
922

ограничивается оценкой правильности анализа, выполненного разработчиком, сравнением
с информацией об уязвимостях из общедоступных источников, а также сравнением с
любыми последующими уязвимостями, идентифицированными оценщиком в ходе
выполнения других действий по оценке.
Уязвимость считается непригодной для использования, если существует одно или более из
923

следующих условий:
а) функции или меры безопасности в (ИТ или не-ИТ) среде предотвращают использование
уязвимости в предопределенной среде. Например, ограничивая физический доступ к ОО
только уполномоченными пользователями, можно фактически сделать уязвимость ОО к
вмешательству непригодной для использования;
б) уязвимость является пригодной для использования, но только нарушителями,
обладающими умеренным или высоким потенциалом нападения. Например, уязвимость
распределенного ОО к нападениям, связанным с перехватом сеанса, требует потенциала
нападения выше, чем требуется для использования явной уязвимости. Однако такие
уязвимости приводятся в ТОО в качестве остаточных уязвимостей;
в) в ЗБ либо не утверждается о противостоянии определенной угрозе, либо не утверждается
о следовании определенной политике безопасности организации, которая может быть
нарушена. Например, для межсетевого экрана, в ЗБ которого не заявлена политика
доступности и который уязвим к TCP SYN-атакам (нападение на общепринятый протокол
Интернета, которое лишает хосты способности к обслуживанию запросов на соединение),
не следует делать отрицательного заключения по данному действию оценщика только на
основе одной этой уязвимости.

158
Руководство по определению потенциала нападения, необходимого для использования
924

уязвимости, см. в п. 9.3.2.
AVA_VLA.1-3 Оценщик должен исследовать материалы анализа уязвимостей, выполненного
разработчиком, чтобы сделать заключение, согласуются ли они с ЗБ и
руководствами.
Анализ уязвимостей разработчиком может быть направлен на некоторую уязвимость с
925

предложением конкретных конфигураций или настроек функций ОО. Если такие
ограничения применения считаются действенными и согласованными с ЗБ, то
предполагается, что все такие конфигурации/настройки адекватно описаны в руководствах,
чтобы их мог применить потребитель.
9.6.2.3.2 Действие AVA_VLA.1.2E
AVA_VLA.1-4 Оценщик должен придумать тесты проникновения, основываясь на материалах
анализа уязвимостей, выполненного разработчиком.
Оценщик готовит к тестированию проникновения:
926

а) то, что необходимо, чтобы попытаться опровергнуть анализ разработчика в случаях,
когда обоснование разработчиком непригодности уязвимости для использования является,
по мнению оценщика, сомнительным;
б) то, что необходимо, чтобы сделать заключение о восприимчивости ОО, находящегося в
своей предопределенной среде, к явной уязвимости, не рассмотренной разработчиком.
Оценщику необходимо иметь доступ к текущей информации (например, от органа по
сертификации) о явных уязвимостях из общедоступных источников, которые могли быть не
рассмотрены разработчиком; оценщик также мог идентифицировать потенциальные
уязвимости в результате выполнения других действий по оценке.
Не предполагается тестирования оценщиком на предмет наличия уязвимостей (в том числе
927

известных из общедоступных источников), помимо тех, которые являются явными. Однако
в некоторых случаях необходимо будет выполнить тест прежде, чем пригодность к
использованию может быть определена. Когда в результате исследований в ходе оценки
оценщик обнаруживает некоторую уязвимость, помимо явных, она приводится в ТОО как
остаточная уязвимость.
Поняв предполагаемую явную уязвимость, оценщик определяет наиболее подходящий
928

способ протестировать восприимчивость ОО. В частности оценщик рассматривает:
а) интерфейсы функций безопасности, которые будут использоваться для инициирования
выполнения ФБО и наблюдения их реакции;
б) начальные условия, которые будут необходимы для выполнения теста (т.е., какие-либо
конкретные объекты или субъекты, которые будут необходимы, и атрибуты безопасности,
которые им необходимо будет иметь);
в) специальное оборудование для тестирования, которое потребуется либо для
инициирования функции безопасности, либо для наблюдения за функцией безопасности
(хотя маловероятно, что специальное оборудование потребовалось бы для использования
явной уязвимости).
Оценщик, вероятно, посчитает целесообразным выполнить тестирование проникновения,
929

используя ряд наборов тестов, где каждый набор тестов будет использоваться для
тестирования конкретной явной уязвимости.


159
AVA_VLA.1-5 Оценщик должен разработать тестовую документацию для тестов
проникновения, основанных на материалах анализа уязвимостей, выполненного
разработчиком, детализация которой достаточна, чтобы обеспечить
воспроизводимость тестов. Тестовая документация должна включать:
а) идентификацию тестируемой явной уязвимости ОО;
б) инструкции по подключению и установке всего требуемого тестового оборудования, как
требуется для проведения конкретного теста проникновения;
в) инструкции по установке всех предварительных начальных условий выполнения теста
проникновения;
г) инструкции по инициированию ФБО;
д) инструкции по наблюдению режима выполнения ФБО;
е) описание всех ожидаемых результатов и необходимого анализа, который выполняется по
отношению к наблюдаемому режиму выполнения ФБО для сравнения с ожидаемыми
результатами;
ж) инструкции по завершению тестирования и установке необходимого пост-тестового
состояния ОО.
Цель определения данного уровня детализации в тестовой документации – дать
930

возможность другому оценщику повторить тесты и получить эквивалентный результат.
AVA_VLA.1-6 Оценщик должен провести тестирование проникновения, основываясь на
материалах анализа уязвимостей, выполненного разработчиком.
Оценщик использует документацию для тестов проникновения, разработанную на шаге
931

оценивания AVA_VLA.1-4, как основу для выполнения тестов проникновения по
отношению к ОО, но это не препятствует оценщику выполнить дополнительные
специальные тесты проникновения. Если потребуется, оценщик может придумать
специальные тесты в результате изучения информации в процессе тестирования
проникновения, которые, если выполнялись оценщиком, заносятся в документацию для
тестов проникновения. Такие тесты могут потребоваться, чтобы разобраться с
непредвиденными результатами или наблюдениями или исследовать потенциальные
уязвимости, существование которых предположил оценщик во время предварительно
запланированного тестирования.
AVA_VLA.1-7 Оценщик должен зафиксировать фактические результаты тестов проникновения.
Хотя некоторые специфические детали фактических результатов выполнения тестов могут
932

отличаться от ожидаемых (например, поля времени и даты в записи аудита), общий
результат должен быть идентичным. Любые различия следует строго обосновать.
AVA_VLA.1-8 Оценщик должен исследовать результаты всего тестирования проникновения и
выводы по всему анализу уязвимостей, чтобы сделать заключение, что ОО (в
своей предопределенной среде) не имеет пригодных для использования явных
уязвимостей.
Если результаты показывают, что ОО имеет явные уязвимости, пригодные для
933

использования в его предопределенной среде, то это приводит к отрицательному вердикту
по данному действию оценщика.
AVA_VLA.1-9 Оценщик должен привести в ТОО информацию об усилиях оценщика по
тестированию проникновения, вкратце изложив подход к тестированию,
тестируемую конфигурацию, глубину и результаты тестирования.
Информация о тестировании проникновения, приводимая в ТОО, позволяет оценщику
934

передать общий подход к тестированию проникновения и усилия, затраченные на этот

160
подвид деятельности. Цель предоставления этой информации состоит в том, чтобы дать
краткий содержательный обзор усилий оценщика по тестированию проникновения. Это не
означает, что информация в ТОО относительно тестирования проникновения является
точным воспроизведением конкретных шагов тестирования или результатов отдельных
тестов проникновения. Целью является предоставить достаточные подробности, чтобы
позволить другим оценщикам и сотрудникам органа по сертификации получить некоторое
понимание выбранного подхода к тестированию проникновения, объема выполненного
тестирования проникновения, тестируемых конфигураций ОО и общих результатов
действий по тестированию проникновения.
Информация об усилиях оценщика по тестированию проникновения, которую обычно
935

можно найти в соответствующем разделе ТОО, включает:
а) тестируемые конфигурации ОО. Конкретные конфигурации ОО, которые подвергались
тестированию проникновения;
б) функции безопасности, которые подвергались тестированию проникновения. Краткий
перечень функций безопасности, на которых было сосредоточено тестирование
проникновения;
в) вердикт по данному подвиду деятельности. Общее решение по результатам тестирования
проникновения.
Данный перечень ни в коем случае не является исчерпывающим и предназначен только для
936

того, чтобы дать некоторое представление о типе информации, касающейся тестирования
проникновения, выполненного оценщиком в процессе оценки, которую следует
представить в ТОО.
AVA_VLA.1-10 Оценщик должен привести в ТОО информацию обо всех пригодных для
использования уязвимостях и остаточных уязвимостях, детализируя для каждой:
а) ее источник (например, стала известна при выполнении действий ОМО, известна
оценщику, прочитана в публикации);
б) связанную с ней функцию (функции) безопасности, не достигнутую цель (цели),
нарушенную политику (политики) безопасности организации, реализованную угрозу
(угрозы);
в) описание;
г) пригодна ли она для использования в предопределенной среде или нет (т.е., пригодная ли
для использования или является остаточной уязвимостью);
д) идентификацию участника оценки (например, разработчик, оценщик), который ее
идентифицировал.
9.6.3 Подвид деятельности AVA_VLA.2
9.6.3.1 Цель
Цель данного подвида деятельности – сделать заключение, имеет ли ОО, находящийся в
937

своей предопределенной среде, уязвимости, пригодные для использования нарушителями,
обладающими низким потенциалом нападения.
9.6.3.2 Исходные данные
Свидетельствами оценки для данного подвида деятельности являются:
938

а) ЗБ;
б) функциональная спецификация;
в) проект верхнего уровня;
г) проект нижнего уровня;

161
д) подмножество представления реализации;
е) модель политики безопасности ОО;
ж) руководство пользователя;
з) руководство администратора;
и) процедуры безопасной инсталляции, генерации и запуска;
к) материалы анализа уязвимостей;
л) ОО, пригодный для тестирования.
Дополнительным исходным материалом для данного подвида деятельности является:
939

а) текущая информация о явных уязвимостях (например, от органа по сертификации).
9.6.3.3 Действия оценщика
Этот подвид деятельности включает пять элементов действий оценщика из части 3 ОК:
940

а) AVA_VLA.2.1E;
б) AVA_VLA.2.2E;
в) AVA_VLA.2.3E;
г) AVA_VLA.2.4E;
д) AVA_VLA.2.5E.
9.6.3.3.1 Действие AVA_VLA.2.1E
AVA_VLA.2.1C, AVA_VLA.2.2C
AVA_VLA.2-1 Оценщик должен исследовать материалы анализа уязвимостей, выполненного
разработчиком, чтобы сделать заключение, вся ли относящаяся к делу
информация рассмотрена при поиске уязвимостей.
Предполагается, что анализ уязвимостей, выполненный разработчиком, охватывает поиск
941

разработчиком уязвимостей, по меньшей мере, во всех поставляемых для оценки
материалах и общедоступных источниках информации.
Информация в общедоступных источниках является высоко динамичной. Поэтому
942

возможным является, что о новых уязвимостях будет сообщено в общедоступных
источниках в период между временем, когда разработчик выполняет анализ уязвимостей, и
временем завершения оценки. Моментом прекращения мониторинга информации в
общедоступных источниках является выпуск органом по сертификации результатов
оценки; поэтому за указаниями следует обращаться к органу по сертификации.
AVA_VLA.2-2 Оценщик должен исследовать материалы анализа уязвимостей, выполненного
разработчиком, чтобы сделать заключение, описана ли каждая
идентифицированная уязвимость и дано ли обоснование того, почему она
является непригодной для использования в предопределенной среде ОО.
Уязвимость считается непригодной для использования, если выполняется одно или более
943

из следующих условий:
а) функции или меры безопасности в (ИТ или не-ИТ) среде предотвращают использование
уязвимости в предопределенной среде. Например, ограничивая физический доступ к ОО
только уполномоченными пользователями, можно фактически сделать уязвимость ОО к
вмешательству непригодной для использования;
б) уязвимость является пригодной для использования, но только нарушителями,
обладающими умеренным или высоким потенциалом нападения. Например, уязвимость
распределенного ОО к нападениям, связанным с перехватом сеанса, требует потенциала
нападения выше, чем низкий. Однако такие уязвимости приводятся в ТОО в качестве
остаточных уязвимостей;


162
в) в ЗБ либо не утверждается о противостоянии соответствующей угрозе, либо не
утверждается о следовании политике безопасности организации, которая может быть
нарушена. Например, для межсетевого экрана, в ЗБ которого не заявлена политика
доступности и который уязвим к TCP SYN-атакам (нападение на общепринятый протокол
Интернета, которое лишает хосты способности к обслуживанию запросов на соединение),
не следует делать отрицательного заключения по данному действию оценщика только на
основе одной этой уязвимости.
Руководство по определению потенциала нападения, необходимого для использования
944

уязвимости, см. в п. 9.3.2.
AVA_VLA.2-3 Оценщик должен исследовать материалы анализа уязвимостей, выполненного
разработчиком, чтобы сделать заключение, согласуются ли они с ЗБ и
руководствами.
Анализ уязвимостей разработчиком может быть направлен на некоторую уязвимость с
945

предложением конкретных конфигураций или настроек функций ОО. Если такие
ограничения применения считаются действенными и согласованными с ЗБ, то
предполагается, что все такие конфигурации/настройки адекватно описаны в руководствах,
чтобы их мог применить потребитель.
9.6.3.3.2 Действие AVA_VLA.2.2E
AVA_VLA.2-4 Оценщик должен придумать тесты проникновения, основываясь на материалах
анализа уязвимостей, выполненного разработчиком.
Оценщик готовит к тестированию проникновения:
946

а) то, что необходимо, чтобы попытаться опровергнуть анализ разработчика в случаях,
когда обоснование разработчиком непригодности уязвимости для использования является,
по мнению оценщика, сомнительным;
б) то, что необходимо, чтобы сделать заключение о восприимчивости ОО, находящегося в
своей предопределенной среде, к уязвимости, не рассмотренной разработчиком. Оценщику
необходимо иметь доступ к текущей информации (например, от органа по сертификации) о
явных уязвимостях из общедоступных источников касаемо явных уязвимостей, которые
могли быть не рассмотрены разработчиком; оценщик также мог идентифицировать
потенциальные уязвимости в результате выполнения других действий по оценке.
Не предполагается тестирования оценщиком на предмет наличия уязвимостей (в том числе
947

известных из общедоступных источников), помимо тех, для которых требуется низкий
потенциал, чтобы осуществить нападение. Однако в некоторых случаях необходимо будет
выполнить тест прежде, чем требуемый потенциал нападения может быть определен. Когда
в результате исследований в ходе оценки оценщик обнаруживает уязвимость, которая
является пригодной для использования только нарушителем с большим, чем низкий,
потенциалом нападения, она приводится в ТОО как остаточная уязвимость.
Поняв предполагаемую уязвимость, оценщик определяет наиболее подходящий способ
948

протестировать восприимчивость ОО. В частности оценщик рассматривает:
а) интерфейсы функций безопасности, которые будут использоваться для инициирования
выполнения ФБО и наблюдения их реакции;
б) начальные условия, которые будут необходимы для выполнения теста (т.е., какие-либо
конкретные объекты или субъекты, которые будут необходимы, и атрибуты безопасности,
которые им необходимо будет иметь);
163
в) специальное оборудование для тестирования, которое потребуется либо для
инициирования функции безопасности, либо для наблюдения за функцией безопасности.
Оценщик, вероятно, посчитает целесообразным выполнить тестирование проникновения,
949

используя ряд наборов тестов, где каждый набор тестов будет использоваться для
тестирования конкретной уязвимости.
AVA_VLA.2-5 Оценщик должен разработать тестовую документацию для тестов
проникновения, основанных на материалах анализа уязвимостей, выполненного
разработчиком, детализация которой достаточна, чтобы обеспечить
воспроизводимость тестов. Тестовая документация должна включать:
а) идентификацию тестируемой уязвимости ОО;
б) инструкции по подключению и установке всего требуемого тестового оборудования, как
требуется для проведения конкретного теста проникновения;
в) инструкции по установке всех предварительных начальных условий выполнения теста
проникновения;
г) инструкции по инициированию ФБО;
д) инструкции по наблюдению режима выполнения ФБО;
е) описание всех ожидаемых результатов и необходимого анализа, который выполняется по
отношению к наблюдаемому режиму выполнения ФБО для сравнения с ожидаемыми
результатами;
ж) инструкции по завершению тестирования и установке необходимого пост-тестового
состояния ОО.
Цель установления данного уровня детализации в тестовой документации – дать
950

возможность другому оценщику повторить тесты и получить эквивалентный результат.
AVA_VLA.2-6 Оценщик должен провести тестирование проникновения, основываясь на
материалах анализа уязвимостей, выполненного разработчиком.
Оценщик использует документацию для тестов проникновения, разработанную на шаге
951

оценивания AVA_VLA.2-4, как основу для выполнения тестов проникновения по
отношению к ОО, но это не препятствует оценщику выполнить дополнительные
специальные тесты проникновения. Если потребуется, оценщик может придумать
специальные тесты в результате изучения информации в процессе тестирования
проникновения, которые, если выполнялись оценщиком, заносятся в документацию для
тестов проникновения. Такие тесты могут потребоваться, чтобы разобраться с
непредвиденными результатами или наблюдениями или исследовать потенциальные
уязвимости, существование которых предположил оценщик во время предварительно
запланированного тестирования.
AVA_VLA.2-7 Оценщик должен зафиксировать фактические результаты тестов проникновения.
Хотя некоторые специфические детали фактических результатов выполнения тестов могут
952

отличаться от ожидаемых (например, поля времени и даты в записи аудита), общий
результат должен быть идентичным. Любые различия следует строго обосновать.
AVA_VLA.2-8 Оценщик должен привести в ТОО информацию об усилиях оценщика по
тестированию проникновения, вкратце изложив подход к тестированию,

<< Пред. стр.

страница 23
(всего 26)

ОГЛАВЛЕНИЕ

След. стр. >>

Copyright © Design by: Sunlight webdesign