7.2.6. Оценка уязвимостей (AVA)

Весь документ

7.2.6. Оценка уязвимостей (AVA)

AVA_VAN.5
Усиленный методический анализ
Зависимости:
ADV_ARC.1 Описание архитектуры безопасности;
ADV_FSP.2 Детализация вопросов безопасности в функциональной спецификации;
ADV_TDS.3 Базовый модульный проект;
ADV_IMP.1 Представление реализации ФБО;
AGD_OPE.1 Руководство пользователя по эксплуатации;
AGD_PRE.1 Подготовительные процедуры.
Элементы действий заявителя (разработчика, производителя)
AVA_VAN.5.1D
Заявитель (разработчик, производитель) должен выполнить анализ уязвимостей.
Элементы содержания и представления документированных материалов
AVA_VAN.5.1C
Документация анализа уязвимостей должна:
содержать результаты анализа, выполненного для поиска способов, которыми потенциально может быть нарушена реализация ФТБ;
идентифицировать проанализированные предполагаемые уязвимости;
демонстрировать для всех идентифицированных уязвимостей, что ни одна из них не может быть использована в предполагаемой среде функционирования ОО.
Элементы действий испытательной лаборатории
AVA_VAN.5.1E
Испытательная лаборатория должна подтвердить, что информация, представленная заявителем в документированных материалах, удовлетворяет всем требованиям к содержанию и представлению документированной информации, изложенным в AVA_VAN.5.1C.
AVA_VAN.5.2E
Испытательная лаборатория должна выполнить поиск информации в общедоступных источниках в целях идентификации потенциальных уязвимостей в ОО.
AVA_VAN.5.3E
Испытательная лаборатория должна провести независимый методический анализ уязвимостей ОО.
AVA_VAN.5.4E
Испытательная лаборатория должна провести тестирование проникновения, основанное на идентифицированных уязвимостях в целях оформления заключения о стойкости ОО к нападениям, выполняемым нарушителем, обладающим высоким потенциалом нападения.
Замечания по применению:
1. В качестве общедоступных источников в первую очередь должна использоваться база данных уязвимостей в составе банка данных угроз безопасности информации ФСТЭК России.
2. Тесты проникновения должны быть направлены на тестирование уязвимостей, которые потенциально могут быть использованы нарушителем для обхода, отключения или преодоления функций безопасности ОО.

<<< 7.2.5. Тестирование (ATE)7.2.5. Тестирование (ATE) ["ИТ.ОС.В4.ПЗ. Методический документ. Профиль защиты операционных систем типа "В" четвертого класса защиты" (утв. ФСТЭК России 11.05.2017)]
7.2.7. Требования к объекту оценки, сформулированные в явном виде7.2.7. Требования к объекту оценки, сформулированные в явном виде ["ИТ.ОС.В4.ПЗ. Методический документ. Профиль защиты операционных систем типа "В" четвертого класса защиты" (утв. ФСТЭК России 11.05.2017)] >>>