Приложение В (информативное). Оценка уязвимостей (AVA). Национальный стандарт РФ ГОСТ Р ИСО/МЭК 18045-2013 "Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий" (утв. приказом Федерального агентства по техническому регулированию и метрологии от 28.08.2013 N 624-ст)

Приложение В
(информативное)

Оценка уязвимостей (AVA)

В данном приложении приводится объяснение критериев AVA_VAN, а также рассматриваются примеры их использования. В данном приложении не определяются собственно критерии AVA; это определение представлено в разделе ИСО/МЭК 15408-3 класс "AVA: Оценка уязвимостей".

Данное приложение состоит из двух основных частей:

a) Руководство по завершению независимого анализа уязвимостей. Краткое описание приводится в подразделе В.1, а более подробное - в подразделе В.2. Эти подразделы описывают, каким образом оценщик должен подходить к проведению независимого анализа уязвимости.

b) Руководство по тому, каким образом характеризовать и использовать предполагаемый потенциал нападения нарушителя. Описание этого вопроса приводится в подразделах В.3 - В.5. В этих подразделах приводится пример описания того, каким образом можно охарактеризовать потенциал нападения и как его можно использовать, а также приводятся примеры использования.

B.1 Что представляет собой анализ уязвимостей

Цель деятельности по оценке уязвимостей состоит в том, чтобы сделать заключение о наличии недостатков и уязвимостей ОО в среде его функционирования, а также о возможности использования этих уязвимостей. Вынесение данного заключение основывается на результатах анализа, выполненного оценщиком, и поддерживается тестированием, проведенным оценщиком.

На самых низких уровнях доверия семейства "Анализа уязвимостей" (AVA_VAN) оценщик просто изучает общедоступную информацию в целях идентификации любых известных недостатков и слабостей ОО, в то время как на более высоких уровнях доверия оценщик выполняет структурированный анализ свидетельств оценки ОО.

При выполнении анализа уязвимостей имеют значение три основных фактора, а именно:

a) идентификация потенциальных уязвимостей;

b) оценка в целях вынесения заключения о том, могут ли идентифицированные потенциальные уязвимости позволить нарушителю с соответствующим потенциалом нападения привести к нарушению ФТБ;

c) тестирование проникновения в целях вынесения заключения о том, могут ли идентифицированные уязвимости данного ОО в его среде функционирования быть использованы нарушителем.

Может быть проведена дальнейшая декомпозиция идентификации уязвимостей до конкретных свидетельств, которые нужно отыскать (и до определения того, насколько тщательно должен проводиться подобный поиск) в целях идентификации потенциальных уязвимостей. Подобным образом и тестирование проникновения может быть разложено на составные компоненты - анализ потенциальных уязвимостей в целях определения методов атаки и демонстрацию методов и способов атакующего воздействия.

Эти основные факторы деятельности по природе своей являются итерационными, то есть тестирование проникновения для потенциальных уязвимостей может привести к идентификации других потенциальных уязвимостей. По этой причине они выполняются как единый вид деятельности по анализу.

B.2 Структура анализа уязвимости, проводимого оценщиком

Анализ уязвимости проводится оценщиком в целях вынесения заключения о том, является ли ОО способным противостоять атакам проникновения, выполняемым нарушителем с базовым (для AVA_VAN.1 и AVA_VAN.2), усиленным базовым (для AVA_VAN.3), умеренным (для AVA_VAN.4) или высоким (для AVA_VAN.5) потенциалом нападения. Оценщик сначала оценивает степень возможности использования всех выявленных потенциальных уязвимостей. Это достигается путем проведения тестирования проникновения. Оценщик должен при попытке осуществить проникновение к ОО принимать на себя роль нарушителя с соответственно базовым (для AVA_VAN.1 и AVA_VAN.2), усиленным базовым (для AVA_VAN.3), умеренным (для AVA_VAN.4) или высоким (для AVA_VAN.5) потенциалом нападения.

Оценщик рассматривает все потенциальные уязвимости, которые обнаруживает оценщик во время поведения других действий оценивания. Тестирование проникновения, проводимое оценщиком в целях вынесения заключения о способности ОО противостоять атакам, направленным на эти потенциальные уязвимости, должно выполняться с применением на себя ролей нарушителя с базовым (для AVA_VAN.1 и AVA_VAN.2), усиленным базовым (для AVA_VAN.3), умеренным (для AVA_VAN.4) или высоким (для AVA_VAN.5) потенциалом нападения.

Однако анализ уязвимостей не следует проводить как отдельное действие. Он тесно связан с ADV и AGD. Оценщик выполняет эти другие действия по оцениванию, уделяя особое внимание вопросам идентификации потенциальных уязвимостей или "проблемных областей". Поэтому требуется знакомство оценщика с общим руководством по уязвимостям (приведенном в пункте В.2.1).

В.2.1 Общее руководство по уязвимостям

В приведенных ниже пяти категориях приводится обсуждение общих уязвимостей.

В.2.1.1 Обход мер безопасности

Обход включает любой способ, посредством которого нарушитель мог бы избежать осуществления мер безопасности путем:

a) использования возможностей интерфейсов ОО или утилит, которые могут взаимодействовать с ОО;

b) наследования привилегий или других возможностей, которые следовало бы наоборот запретить;

c) (когда важна конфиденциальность) чтения чувствительных данных, сохраненных или скопированных в недостаточно защищенные области.

В ходе независимого анализа уязвимостей, выполняемого оценщиком, следует рассмотреть (когда это уместно) каждый из следующих аспектов:

a) Нападения, основанные на использовании возможностей интерфейсов или утилит, обычно используют в своих целях отсутствие требуемых мер безопасности для этих интерфейсов. Например, получение доступа к функциональным возможностям, которые реализованы на более низком уровне, чем тот, на котором осуществляется управление доступом. Возможные варианты включают:

1) изменение предопределенной последовательности вызова функций;

2) выполнение дополнительной функции;

3) использование некоторого компонента в непредусмотренном контексте или с непредусмотренной целью;

4) использование подробностей реализации, представленных в менее абстрактных представлениях;

5) использование задержки между временем проверки доступа и временем использования.

b) Изменение предопределенной последовательности вызова компонентов следует рассматривать, когда имеется предусмотренный порядок вызова интерфейсов ОО (например команд пользователя) для выполнения некоторой функции безопасности (например открытия файла для доступа и затем чтения данных из него). Если функция безопасности вызывается на одном из интерфейсов ОО (например проверка управления доступом), то оценщику следует рассмотреть, возможен ли обход функции безопасности путем выполнения соответствующего вызова в более поздней точке последовательности или пропуска ее целиком.

c) Выполнение дополнительного компонента (в предопределенной последовательности) является формой нападения, похожей на только что описанную, но включает вызов некоторого другого интерфейса ОО в некоторой точке последовательности. Оно может также включать нападения, основанные на перехвате передаваемых по сети чувствительных данных путем использования анализаторов сетевого трафика (дополнительным компонентом здесь является анализатор сетевого трафика).

d) Использование некоторого компонента в непредусмотренном контексте или с непредусмотренной целью включает использование для обхода функции безопасности не относящегося к делу интерфейса ОО, используя его для достижения цели, которая для него не планировалась или не предполагалась. Скрытые каналы являются примером этого типа нападения. Использование недокументированных интерфейсов (которые могут быть небезопасными) также попадает в эту категорию (включая недокументированные возможности по поддержке и помощи).

e) Использование подробностей реализации, приведенных в менее абстрактных представлениях, опять включает использование скрытых каналов, через которые нарушитель использует в своих целях дополнительные функциональные возможности, ресурсы или атрибуты, представленные в ОО как последствия процесса усовершенствования (например использование переменной, обеспечивающей блокировку, в качестве скрытого канала). Дополнительные функциональные возможности также могут обеспечиваться тестовыми фрагментами кода, содержащимися в программных модулях ОО.

d) Использование задержки между временем проверки доступа и временем использования включает сценарии, в которых выполняется проверка управления доступом и предоставляется доступ, а нарушитель впоследствии способен создать условия, при которых во время выполнения проверки доступа мог бы произойти сбой проверки доступа. Примером является пользователь, порождающий фоновый процесс для чтения и отправки высокочувствительных данных на терминал пользователя и затем осуществляющий выход из системы и повторный вход в систему на более низком уровне чувствительности. Если фоновый процесс не завершается при выходе пользователя из системы, то проверки в соответствии с мандатным управлением доступом могут быть фактически обойдены.

g) Нападения, основанные на наследовании привилегий, в основном базируются на незаконном приобретении привилегий или возможностей некоторого привилегированного компонента обычно путем выхода из него неконтролируемым или непредусмотренным способом. Возможные варианты включают:

1) выполнение данных, не предназначенных для выполнения или преобразование их в возможные для выполнения;

2) генерацию непредусмотренных исходных данных для некоторого компонента;

3) нарушение предположений и свойств, на которые полагаются компоненты более низкого уровня.

h) Выполнение данных, не предназначенных для выполнения или преобразование их в возможные для выполнения, включает нападения с использованием вирусов (например помещение в некоторый файл выполняемого кода или команд, которые автоматизировано выполняются при редактировании данного файла или получении доступа к нему, наследуя, таким образом, привилегии, которые имеет владелец файла).

i) Генерация непредусмотренных исходных данных для некоторого компонента может приводить к непредусмотренным результатам, которыми может воспользоваться нарушитель. Например, если ОО является приложением, реализующим функции безопасности, которые можно обойти при получении пользователем доступа к базовой операционной системе, то может оказаться возможным получить такой доступ сразу после выполнения входной последовательности, исследуя, пока пароль аутентифицируется, результаты ввода различных управляющих или escape-последовательностей.

j) Нарушение предположений и свойств, на которые полагаются компоненты более низкого уровня, включает нападения, основанные на выходе из-под действия ограничений приложения для получения доступа к базовой операционной системе, чтобы обойти функции безопасности, реализуемые приложением. В этом случае предположение, которое нарушается, состоит в том, что для пользователя приложения невозможно получить такой доступ. Подобное нападение можно предвидеть, если функции безопасности реализуются приложением, работающим под управлением системы управления базами данных: опять же есть возможность обхода функций безопасности, если нарушитель сможет выйти из-под действия ограничений приложения.

k) Нападения, основанные на чтении чувствительных данных, сохраненных в недостаточно защищенных областях (применимо, когда важна конфиденциальность), включают следующие вопросы, которые следует рассматривать как возможные способы получения доступа к чувствительным данным:

1) сбор "мусора" на диске;

2) доступ к незащищенной памяти;

3) использование доступа к совместно используемым по записи файлам или другим совместно используемым ресурсам (например к файлам подкачки);

4) Активация восстановления после ошибок, чтобы определить, какой доступ могут получить пользователи. Например, после отказа автоматическая система восстановления файлов для файлов без заголовков может использовать каталог для потерянных и найденных файлов, которые присутствуют на диске без меток. Если ОО реализует мандатное управление доступом, то важно исследовать, какой уровень безопасности поддерживается для этого каталога (например наивысший для системы) и кто имеет доступ к этому каталогу.

Существует множество различных методов, использование которых позволяет оценщику идентифицировать программу скрытого удаленного администрирования (так называемый "бэкдор", backdoor), среди них выделяют два основных. Во-первых, оценщик может случайно выявить во время тестирования интерфейс, для которого есть возможность неправильного использования. Во-вторых, можно провести тестирование каждого из внешних интерфейсов ФБО в режиме отладки кода, чтобы идентифицировать любые модули, которые не являются вызванными как часть тестирования документированных интерфейсов, а затем провести анализ этого невызываемого участка программного кода в целях вынесения заключения о том, является ли он внедренной программой удаленного администрирования ("бэкдором").

В случае, когда объектом оценки является программное обеспечение, где "Подвид деятельности по оценке" ADV_IMP.2 и "Подвид деятельности по оценке" ALC_TAT.2 или компоненты более высокого уровня включаются в пакет доверия, оценщик может во время проведения анализа инструментов разработки рассмотреть программные библиотеки и пакеты, которые связаны между собой программой-компилятором на стадии компиляции, чтобы сделать заключение о том, что на данной стадии не были выявлены "бэкдоры".

В.2.1.2 Вмешательство

Вмешательство включает любое нападение, основанное на попытке нарушителя повлиять на режим выполнения функции безопасности или механизма (т.е. исказить или блокировать выполнение), например путем:

a) доступа к данным, на конфиденциальность или целостность которых полагается функция или механизм безопасности;

b) вынуждения ОО функционировать в необычных или непредусмотренных условиях;

c) отключения или задержки обеспечения безопасности

d) физического изменения ОО.

В ходе независимого анализа уязвимостей оценщику следует рассмотреть (когда это уместно) каждый из следующих аспектов:

a) Нападения, основанные на доступе к данным, на конфиденциальность или целостность которых полагается функция или механизм безопасности, включают:

1) чтение, запись или модификацию внутренних данных прямо или косвенно;

2) использование некоторого компонента в непредусмотренном контексте или с непредусмотренной целью;

3) использование взаимного влияния компонентов, которые невидимы на более высоком уровне абстракции.

b) Чтение, запись или модификация внутренних данных прямо или косвенно охватывают следующие типы нападений, которые следует рассмотреть:

1) чтение "секретов", хранимых внутри ОО, таких как пароли пользователей;

2) подмена внутренних данных, на которые полагаются механизмы, обеспечивающие безопасность;

3) изменение переменных среды (например логических имен) или данных в файлах конфигурации или временных файлах.

c) Может оказаться возможным обмануть доверенный процесс для модификации защищенного файла, к которому этот процесс штатно не должен обращаться.

d) Оценщику следует также рассмотреть следующие "опасные характеристики":

1) исходный код вместе с компилятором, постоянно имеющиеся в наличии в ОО (например может оказаться возможным изменение исходного кода, связанного с входом в систему);

2) интерактивный отладчик и средства внесения изменений (например может оказаться возможным изменение исполняемого образа);

3) возможность внесения изменений на уровне контроллеров устройств, на котором файловой защиты не существует;

4) диагностический код, который присутствует в исходном коде и может быть опционально включен;

5) инструментальные средства разработчика, оставленные в ОО.

e) Использование некоторого компонента в непредусмотренном контексте или с непредусмотренной целью включает, например случай, когда ОО является приложением, полагающимся на операционную систему, а пользователи используют знания пакета текстового процессора или другого редактора, чтобы изменить свой собственный командный файл (например чтобы приобрести большие привилегии).

f) Использование взаимного влияния компонентов, которое невидимо на более высоком уровне абстракции, включает нападения, использующие совместный доступ к ресурсам, когда модификация ресурса одним компонентом может влиять на режим выполнения другого (доверенного) компонента, например на уровне исходного кода, через использование глобальных данных или косвенных механизмов, таких как совместно используемая память или семафоры.

g) Следует всегда учитывать нападения, основанные на принуждении ОО функционировать в необычных или непредусмотренных обстоятельствах. Возможные варианты включают:

1) генерацию непредусмотренных исходных данных для некоторого компонента;

2) нарушение предположений и свойств, на которые полагаются компоненты более низкого уровня.

h) Генерация непредусмотренных исходных данных для компонента включает исследование режима функционирования ОО, когда имеет место:

1) переполнение буферов ввода команд (возможно "разрушение стека" или перезапись другой области хранения, которыми нарушитель может быть способен воспользоваться в своих интересах, или принудительная выдача аварийного дампа, который может содержать чувствительную информацию, такую как открытый текст паролей);

2) ввод неправильных команд или параметров (включая установку параметра в состояние "только для чтения" для интерфейса, который предполагает выдачу данных через этот параметр);

3) вставка маркера конца файла (например CTRL/Z или CTRL/D) или нулевого символа в журнал аудита.

i) Нарушение предположений и свойств, на которые полагаются компоненты более низкого уровня, включает нападения, использующие ошибки в исходном коде, где предполагается (явно или неявно), что относящиеся к безопасности данные находятся в конкретном формате или имеют конкретный диапазон значений. В таких случаях оценщику следует формируя данные в другом формате или присваивая им другие значения, сделать заключение, могут ли нападения привести к нарушению таких предположений и, если это так, может ли это предоставить преимущества нарушителю.

j) Корректный режим выполнения функций безопасности может зависеть от предположений, которые нарушаются в критических обстоятельствах, когда исчерпываются лимиты ресурсов или параметры достигают своего максимального значения. Оценщику следует рассмотреть (если это целесообразно) режим функционирования ОО, когда эти пределы достигаются, например:

1) изменение дат (например исследования, как ведет себя ОО при переходе датой критического порога);

2) переполнение дисков;

3) превышение максимального числа пользователей;

4) заполнение журнала аудита;

5) переполнение очередей сигналов безопасности, выдаваемых на консоль;

6) перегрузка различных частей многопользовательского ОО, который сильно зависит от компонентов связи;

7) забивание сети или отдельных хостов трафиком;

8) заполнение буферов или полей.

k) Нападения, основанные на отключении или задержке обеспечения безопасности, включают следующие аспекты:

1) использование прерываний или функций составления расписаний, чтобы нарушить последовательное выполнение операций;

2) нарушения при параллельном выполнении;

3) использование взаимного влияния между компонентами, которое невидимо на более высоком уровне абстракции.

I) Использование прерываний или функций составления расписаний, чтобы нарушить последовательность выполнения операций, включает исследование режима функционирования ОО при:

1) прерывании команды (по CTRL/C, CTRL/Y и т.п.);

2) порождении второго прерывания до того, как будет распознано первое.

m) Необходимо исследовать результаты завершения процессов, критических для безопасности (например выполнения в фоновом режиме программы аудита). Аналогично может оказаться возможной такая задержка регистрации записей аудита или выдачи/получения предупреждающих сигналов, что они становятся бесполезными для администратора (так как нападение может уже достичь цели).

n) Нарушения при параллельном выполнении включают исследование режима функционирования ОО, когда два или более субъектов предпринимают попытку одновременного доступа. Возможно, ОО и сможет справиться с блокировкой, необходимой, когда два субъекта предпринимают попытку одновременного доступа, но при этом его поведение станет не полностью определенным при наличии дополнительных субъектов. Например, критичный по безопасности процесс может быть переведен в состояние ожидания получения ресурса, если два других процесса осуществляют доступ к ресурсу, который ему требуется.

о) Использование взаимного влияния компонентов, которое невидимо на более высоком уровне абстракции, может обеспечить способ задержки критического по времени доверенного процесса.

р) Среди физических нападений могут быть выделены следующие категории: физическое зондирование (сканирование), физическая манипуляция, физическая модификация и подмена.

1) Физическое сканирование заключается в проникновении и получении доступа к внутренним целевым качествам ОО, например в считывании внешних интерфейсов, данных шин или областей памяти.

2) Физическая манипуляция может быть осуществлена над внутренними частями ОО и нацелена на внутренние искажения ОО (например путем использования в качестве процесса взаимодействия оптического индуцирования сбоев), на внешние интерфейсы компонентов ОО (например путем организации сбоев энергоснабжения или настроек времени), на среду функционирования ОО (например путем изменения температуры).

3) Физическая модификация - изменение осуществляющих безопасность атрибутов внутренних качеств ОО в целях предоставления им привилегий или других характеристик, которые не допускаются в обычном режиме функционирования. Такие изменения могут быть вызваны, например оптическим индуцированием сбоев. Нападения, основанные на физической модификации, могут также привести к изменениям в самих ФБО, вызывая ошибки передачи данных внутренних программ перед их выполнением. Следует отметить, что такой вид обхода, при котором вносятся изменения в сами ФБО, подвергает опасности все ФБО в целом, особенно в случае отсутствия иных мер и средств (например защиты среды), которые препятствуют получению нарушителем физического доступа к ОО.

4) Физическая подмена, когда ОО заменяется другой сущностью ИТ, осуществляется во время поставки или работы с ОО. Возможность подмены во время передачи ОО из среды проектирования пользователю должна быть предотвращена путем применения безопасных процедур поставки (таких, как рассмотренные в семействе ALC_DVS "Безопасность разработки"). Подмену ОО во время его работы можно предотвратить комбинацией мер - соблюдением требований руководства пользователя по эксплуатации и внедрением мер и средств защиты среды функционирования таким образом, чтобы пользователь был уверен в том, что взаимодействует именно с данным ОО.

B.2.1.3 Прямые нападения

Прямое нападение включает идентификацию любых тестов проникновения, необходимых для подтверждения или опровержения стойкости перестановочных, вероятностных и других механизмов функций безопасности в случае прямого нападения.

Например, может быть неверным предположение, что конкретная реализация генератора псевдослучайных чисел будет обладать требуемой энтропией, необходимой для задания начального числа при генерации псевдослучайных чисел механизма безопасности.

В тех случаях, когда вероятностный или перестановочный механизм полагается на выбор значения атрибута безопасности (например выбор длины пароля) или ввод данных человеком-пользователем (например выбор пароля), в сделанных предположениях должны быть отражены худшие случаи из возможных.

Вероятностные или перестановочные механизмы должны быть идентифицированы во время исследования свидетельств оценки, требуемых в качестве исходных данных к определенному подвиду деятельности (ЗБ, функциональная спецификация, подмножество проекта ОО и представления реализации), кроме того, любая другая документация по ОО (например руководство) может содержать идентификацию дополнительных вероятностных или перестановочных механизмов.

В тех случаях, когда проектные свидетельства или представленные в руководствах включают утверждения или предположения (например о том, сколько попыток аутентификации возможно произвести за минуту), оценщик должен путем независимого тестирования или анализа подтвердить, что эти предположения являются правильными.

Прямые нападения, направленные на уязвимости алгоритма шифрования, нельзя рассматривать в рамках семейства "Анализ уязвимостей" (AVA_VAN), поскольку это выходит за рамки ИСО/МЭК 15408. Правильность реализации алгоритма шифрования рассматривают во время действий по оценке ADV и ATE.

B.2.1.4 Мониторинг

Информация - абстрактное представление отношений между свойствами сущностей, то есть сигнал содержит информацию для системы, если ОО в состоянии реагировать на данный сигнал. Ресурсы ОО обрабатывают и хранят информацию, представленную пользовательскими данными. Таким образом:

- информация с пользовательскими данными может циркулировать между субъектами по внутренним каналам ОО или экспортироваться из ОО;

- информация может быть сгенерирована и передана к другим пользовательским данным;

- информация может быть получена посредством мониторинга операций над данными, представляющими информацию.

Информация, представленная пользовательскими данными для осуществления контроля действий над данными, может быть охарактеризована таким атрибутом безопасности, как например "степень секретности", который может принимать значения: несекретная информация, конфиденциальная информация, секретная, совершенно секретная. Эта информация и, соответственно, этот признак безопасности могут быть изменены в результате проведения некоторых операций, например в FDP_ACC.2 может быть описано уменьшение уровня требований к сокрытию информации или усиление уровня путем комбинирования данных. Это один из аспектов анализа информационных потоков, который направлен на анализ контролируемых операций контролируемых субъектов над контролируемыми объектами.

Другой аспект - анализ несанкционированных потоков информации. Этот аспект является более общим, чем прямой доступ к объектам, содержащим пользовательские данные, к которым обращается семейство FDP_ACC. Ненавязанные каналы связи, по которым информация передается под контролем политики контроля информационных потоков, могут быть вызваны мониторингом обработки информации на объекте, содержащем информацию, или так или иначе связанном с этой информацией (например атака по сторонним каналам). Навязанные каналы связи можно идентифицировать с точки зрения ресурсов, оказывающих целенаправленное влияние на субъекты, а также по тому фактору, что субъект или пользователь может наблюдать такое влияние. Классически, скрытые каналы идентифицируют либо как каналы памяти, либо как каналы времени, в зависимости от того, подвергался ли ресурс модификации или модуляции. Что касается других атак, связанных с мониторингом, использование ОО должно осуществляться в соответствии с ФТБ.

Скрытые каналы обычно применимы в том случае, когда у ОО есть требования политики скрытности и многоуровневого разделения. Скрытые каналы обычно определяются во время действий по анализу уязвимостей и самого проекта и поэтому должны быть протестированы. Однако обычно такие атаки мониторинга выявляются специальными аналитическими методами, так называемыми методами "анализа скрытых каналов". Эти методы были предметом серьезных исследований, по данному вопросу опубликовано множество работ. Руководство по проведению анализа скрытых каналов должно быть получено от органа оценки.

Атаки мониторинга ненавязанных информационных потоков включают в себя методы пассивного анализа, направленные на раскрытие чувствительных внутренних данных ОО путем такого управления ОО, которое не противоречит положениям руководств.

Анализ сторонних каналов включает методы криптоанализа, основанные на утечке информации от ОО по физическому каналу. Такая утечка по физическому каналу может произойти в результате сбора информации, касающейся времени задержки сигнала, уровня потребления энергии или её излучения во время обработки вычислений ФБО. Информация по поводу времени задержки сигнала может быть получена нарушителем удалённо (при условии, что у него есть сетевой доступ к ОО); каналы утечки, связанные с энергетическими каналами и подключением к сети электропитания, требуют для реализации, чтобы нарушитель находился в непосредственной близости от места расположения ОО.

Методы подслушивания включают в себя и перехват любых форм энергии, например электромагнитного или оптического излучения дисплеев компьютеров. При этом не обязательно, чтобы нарушитель находился в непосредственной близости от места расположения ОО.

К мониторингу же относится и использование недостатков протоколов, например атака на реализацию протокола SSL.

В.2.1.5 Неправильное применение

Неправильное применение может явиться результатом:

a) неполноты руководств;

b) необоснованности положений руководств;

c) непреднамеренной неверной настройки ОО;

d) вынужденного нестандартного режима функционирования ОО.

Если документация руководств является неполной, пользователь может не знать, каким образом работать с ОО в соответствии с ФТБ. Оценщик должен использовать своё хорошее знание ОО, полученное в ходе выполнения других действий оценки, чтобы вынести заключение о том, что руководство является полным. В частности, оценщик должен рассмотреть функциональную спецификацию. ФБО, описанные в этом документе, должны быть описаны в руководстве согласно требованиям, для разрешения безопасного администрирования и использования через доступные пользователям ИФБО. Кроме того, следует рассмотреть различные режимы работы, чтобы удостовериться, что руководство охватывает все режимы функционирования.

Оценщик может, в рамках оказания содействия, подготовить неформальное отображение соответствия между руководством и этими документами. Любые пропуски в данном отображении соответствия могут указать на неполноту.

Руководство, как полагают, является необоснованным, если в нём выдвинуты требования по использованию ОО или среды его функционирования, которые не согласуются с ЗБ или излишне обременительны для поддержания безопасности.

В ОО может быть множество способов, которые помогают пользователю эффективно использовать данный ОО в соответствии с ФТБ и предотвратить непреднамеренную неверную настройку ОО. В ОО могут быть использованы функции (свойства) уведомления пользователя о том, что ОО находится в состоянии, несоответствующем ФТБ. ОО могут быть поставлены вместе с дополнительным руководством, содержащим предложения, подсказки, процедуры и т.д., по максимально эффективному использованию существующих механизмов безопасности; например руководство по использованию функции аудита для помощи в обнаружении угрозы невыполнения ФТБ; а именно для выявления незащищенного состояния.

Оценщик рассматривает функциональные возможности ОО, его назначение и ЗБ среды функционирования для того, чтобы прийти к выводу, возможно ли обоснованное ожидание того, что при выполнении положений руководства переход в потенциально опасное состояние ОО будет своевременно обнаружен.

Потенциальную возможность перехода ОО в незащищенное состояние можно определить при помощи полученной для оценки документации, такой как ЗБ, функциональная спецификация и любые другие проектные представления, предоставленные в качестве свидетельств компонентов, включенных в пакет доверия для ОО (например спецификация проекта ОО/ФБО, если при этом в пакет включен компонент семейства ADV_TDS "Проект ОО").

Случаи вынужденного нестандартного режима функционирования ФБО могут включать в себя следующее (и не только):

a) режим функционирования ОО при активизации процедур запуска, завершения работы или восстановления после ошибки;

b) режим функционирования ОО в экстремальных условиях (иногда называемый режимом перегрузки или асимптотическим режимом функционирования), особенно в случаях, когда это может привести к деактивации или выведению из строя частей ФБО;

с) любая возможность непреднамеренной неверной настройки или использования незащищенным образом, являющаяся результатом нападений, отмеченных в пункте "Вмешательство", приведенном выше.

В.2.2 Идентификация потенциальных уязвимостей

Потенциальные уязвимости могут быть идентифицированы оценщиком во время различных действий. Они могут быть выявлены во время деятельности по оценке или в результате анализа свидетельств, проводимого в целях поиска уязвимостей.

B.2.2.1 Выявленные уязвимости

Идентификация уязвимостей, которые обнаружил оценщик при проведении оценивания, - это тот случай, когда потенциальные уязвимости идентифицированы оценщиком непосредственно во время проведения действий оценки, то есть не производится анализ свидетельств с конкретной целью идентификации потенциальных уязвимостей.

Такой метод непосредственного выявления сильно зависит от опыта и знаний оценщика; эти вопросы контролирует орган оценки. В методике это не воспроизводимо, но документируется в целях обеспечения воспроизводимости заключений и выводов относительно потенциальных уязвимостей, которые приводит в отчете оценщик.

Не существует формальных аналитических критериев, требуемых для данного метода. Потенциальные уязвимости идентифицируются по свидетельствам, полученным на основании знаний и опыта оценщика. Однако данный метод идентификации не ограничивается каким-либо подмножеством свидетельств.

Предполагается, что оценщик обладает знанием о типе технологии, использованной в ОО, и известных уязвимостей, находящихся в открытом доступе. Предполагаемый уровень знаний - знания, получаемые из почтовой рассылки по вопросам безопасности данного типа ОО, бюллетеней (по ошибкам, уязвимостям и спискам недостатков безопасности), регулярно издаваемых организациями, исследующими вопросы безопасности продуктов и технологий, находящихся в широком использовании. Вовсе не обязательно, что оценщик по AVA_VAN.1 или AVA_VAN.2 знает также и результаты слушаний конференций или детализированные тезисы, произведенные университетскими исследованиями. Однако, для того, чтобы удостовериться, что применяемые при оценке знания не устарели, оценщику может потребоваться провести поиск материалов, находящихся в открытом доступе, в целях определения актуальности имеющихся знаний.

Для компонентов от AVA_VAN.3 до AVA.VAN.5 поиск оценщиком информации, находящейся в открытом доступе, как ожидается, будет включать в себя и результаты слушаний конференций и детализированные тезисы университетских исследований, а также исследований, проведенных другими соответствующими организациями.

Примеры того, каким образом могут быть выявлены уязвимости (каким образом оценщик может их обнаружить):

a) в ходе исследования оценщиком некоторых свидетельств он вспоминает о потенциальной уязвимости, которая была когда-то идентифицирована для продукта подобного типа, и предполагает, что и в оцениваемом ОО данная уязвимость также имеет место;

b) исследуя некоторые свидетельства, оценщик определяет недостаток спецификации интерфейса, который отражает потенциальную уязвимость.

О потенциальной уязвимости ОО оценщик может узнать, прочитав о типовых уязвимостях данного конкретного типа продукции ИТ в публикациях по безопасности или в рассылке электронных писем по безопасности, на которую подписан оценщик.

Методы нападения могут быть напрямую развиты на основе потенциальных уязвимостей. Поэтому потенциальные уязвимости, которые обнаруживает Оценщик, подробно рассматриваются во время осуществления тестов проникновения, основывающихся на результатах анализа уязвимостей, проведенного оценщиком. Не представляется возможным установить явно некое действие, которое однозначно позволит оценщику выявить потенциальную уязвимость. Поэтому оценщик руководствуется подразумеваемыми действиями, которые описаны в AVA_VAN.1.2E и AVA_VAN.2.4E.

Текущая информация относительно типовых уязвимостей и атак, информация о которых имеется в открытом доступе, может быть предоставлена оценщику, например органом оценки. Эта информация должна быть принята во внимание оценщиком при сопоставлении выявленных уязвимостей и методов нападения, выполняемом при подготовке к тестированию проникновения.

B.2.2.2 Виды анализа

Следующие типы анализа представлены в рамках действий оценщика.

B.2.2.2.1 Неструктурированный анализ

Данный тип действий по анализу, осуществляемых оценщиком (для Подвида деятельности по оценке AVA_VAN.2) позволяет оценщику рассмотреть типовые уязвимости (как рассматривалось в В.2.1). Оценщик также применяет свой опыт и знания уязвимостей схожих технологических продуктов.

B.2.2.2.2 Фокусированный анализ

Во время проведения действий оценивания оценщик может также идентифицировать проблемные области. К ним относятся определенные части свидетельств ОО, которые хотя формально и соответствуют требованиям деятельности, с которой связано данное свидетельство, но у оценщика есть к ним некоторые замечания. Например, конкретная спецификация интерфейса представляется особенно сложной, и поэтому может вызвать ошибку или при разработке ОО, или при функционировании ОО. На данном этапе нет явной потенциальной уязвимости, поэтому требуется дальнейшее исследование, что означает, что такой анализ находится вне области выявленных уязвимостей, т.е. таких, которые обнаруживает оценщик при проведении действий по оценке.

Разница между потенциальной уязвимостью и проблемной областью заключается в следующем:

a) Потенциальная уязвимость - оценщику известен метод нападения, который может использовать недостаток или слабость защиты ОО, или оценщику известна информация об уязвимости, которая имеет отношение к данному ОО.

b) Проблемная область - оценщик может не рассматривать проблемную область как потенциальную уязвимость, основываясь на информации, полученной из других источников. При чтении спецификации интерфейса оценщик идентифицирует, что из-за чрезвычайной (нецелесообразной) сложности интерфейса в этой области может быть потенциальная уязвимость, хотя это и не было явно выявлено на этапе начального исследования.

Фокусированный подход к идентификации уязвимостей - анализ свидетельств в целях идентификации любых потенциальных уязвимостей, которые становятся очевидны при изучении содержащейся в свидетельствах информации. Такой анализ является неструктурированным, поскольку методика проведения не предопределена. Этот подход к идентификации потенциальных уязвимостей может использоваться во время независимого анализа уязвимостей, требуемого "Подвидом деятельности по оценке" (AVA_VAN.3).

Такой анализ может быть проведен с использованием различных подходов, которые приведут к соразмерным уровням уверенности. При этом ни один из подходов строго не определяет формат проведения исследования свидетельств.

Выбранный подход руководствуется результатами оценки свидетельств, проведенной оценщиком в целях вынесения заключения о том, что данные свидетельства удовлетворяют требованиям подвидов деятельности AVA/AGD. Поэтому исследование свидетельств наличия потенциальных уязвимостей может руководствоваться следующими факторами:

a) проблемные области идентифицированы во время исследования свидетельств при проведении действий по оценке;

b) уверенность в некой функции, обеспечивающей разделение, идентифицированное во время анализа проекта архитектуры (в "Оценке подвида деятельности" (ADV_ARC.1)) и требующее, чтобы в ходе дальнейшего анализа была определена невозможность обхода данной функции;

c) исследование представления свидетельств, чтобы выдвинуть гипотезу о потенциальных уязвимостях ОО.

Оценщик приводит в отчете информацию о том, какие меры были приняты для идентификации потенциальных уязвимостей в свидетельствах. Однако оценщик может быть не в состоянии описать последовательные шаги идентификации потенциальных уязвимостей перед началом исследования. Подход будет развит на основании результатов действий по оценке.

Проблемные области могут быть выявлены в результате исследования любого свидетельства, представленного для удовлетворения ТДБ, определенных для оценки ОО. Также рассматривается и информация, находящаяся в открытом доступе.

Действия, выполняемые оценщиком, могут быть повторены, и с точки зрения уровня доверия ОО при этом могут быть сделаны такие же выводы, хотя шаги оценивания для достижения этих выводов могут меняться. Так как оценщик документирует форму проведённого анализа, то фактические шаги оценивания, предпринятые для достижения этих выводов, также легко воспроизводимы.

В.2.2.2.3 Методический анализ

Методический подход к анализу принимает форму структурированного исследования свидетельств. Для данного метода требуется, чтобы оценщик определил структуру и форму анализа до его начала (то есть манера, в которой будет проведён анализ, предопределена, в отличие от направленного метода идентификации уязвимостей). Метод определяется в терминах того, какая информация будет подвергнута рассмотрению, каким образом и с какой целью. Такой подход к идентификации потенциальных уязвимостей может использоваться во время независимого анализа уязвимостей, требуемого "Подвидом деятельности по оценке" (AVA_VAN.4) и "Подвидом деятельности по оценке" (AVA_VAN.5).

Такой анализ свидетельств является преднамеренным и предварительно планируется; все идентифицированные свидетельства при этом идентифицируются в качестве исходных данных для анализа.

Все свидетельства, предоставленные для удовлетворения требований доверия (ADV), определенных в пакете доверия, используются в качестве исходных данных для деятельности по идентификации потенциальных уязвимостей.

"Методическое" описание для этого анализа используется в попытке характеризовать, что эта идентификация потенциальных уязвимостей основывается на структурированном и запланированном подходе. При проведении исследования должны быть использованы "метод" или "система". Оценщику следует описать метод, который будет им использоваться, в терминах того, какие именно свидетельства будут рассмотрены, какая именно информация данных свидетельств должна быть исследована и какие гипотезы должны выводиться на основании данных исследований.

Ниже представлены некоторые примеры гипотез:

a) рассмотрение плохо сформированных исходных данных интерфейсов, доступных нарушителям на уровне внешних интерфейсов;

b) исследование механизма безопасности, такого как разделение доменов, при котором выдвигается гипотеза возможности переполнения внутреннего буфера, приводящее к снижению эффективности разделения;

c) анализ, проводимый для идентификации любых объектов, созданных в представлении реализации ОО, которые не находятся полностью под управлением ФБО и могут быть использованы нарушителем для компрометации выполнения ФТБ.

Например, оценщик может идентифицировать, что интерфейсы - это потенциальная проблемная область ОО и специфицировать подход к анализу, заключающийся в том, что "все спецификации интерфейсов, предоставленные в функциональной спецификации и проекте ОО, будут проанализированы в целях выдвижения гипотезы о потенциальных опасных областях", а затем объяснить методы, используемые при выдвижении гипотезы.

Такой метод идентификации обеспечивает составление плана нападений на ОО, которые будут выполнены оценщиком в рамках проведения тестирования проникновения с использованием потенциальных уязвимостей ОО. Обоснование метода идентификации предоставляет свидетельства покрытия и определение глубины возможного использования уязвимостей, выполнимой для ОО.

В.3 Случаи применения потенциала нападения

B.3.1 Разработчиком

Потенциал нападения применяется автором ПЗ/ЗБ во время разработки ПЗ/ЗБ с учетом угроз среды и выбора компонентов доверия. Это может быть как просто определением, что потенциал нападения предполагаемых нарушителей в общем характеризуется как базовый, усиленный базовый, умеренный или высокий, так и спецификацией в ПЗ/ЗБ отдельных уровней конкретных факторов, которые могут быть присущи нарушителям (например может предполагаться, что нарушители - эксперты по данному технологическому типу ОО, имеющие доступ к специализированному оборудованию).

Автор ПЗ/ЗБ рассматривает профиль угрозы, разработанный во время оценки уровня риска (данный вопрос находится вне области ИСО/МЭК 15408, но используется в качестве исходных данных для разработки ПЗ/ЗБ с точки зрения определения проблемы безопасности или, в случае низкого уровня доверия ЗБ, изложения требований). Рассмотрение такого профиля угрозы с точки зрения одного из подходов, рассматриваемых в следующих подразделах, позволит составить спецификацию потенциала нападения, которому должен противостоять ОО.

B.3.2 Оценщиком

Потенциал нападения рассматривается оценщиком отдельно двумя различными способами во время оценки ЗБ и во время действий по оценке уязвимостей.

Потенциал нападения используется оценщиком во время проведения подвида деятельности по анализу уязвимостей, чтобы определить, является ли ОО стойким по отношению к нападениям нарушителей с определенным потенциалом нападения. Если оценщик вынес заключение о том, что возможно использование потенциальной уязвимости в ОО, он должен подтвердить, что использование возможно и с учетом всех аспектов среды предполагаемого функционирования ОО, включая предполагаемый потенциал нападения нарушителя.

Поэтому, используя информацию, предоставленную в изложении угроз ЗБ, оценщик определяет минимальный потенциал нападения, требуемый нарушителем для осуществления нападения, и приходит к некоторому выводу о способности ОО противостоять нападениям. В таблице В.1 отображены отношения между этим анализом и потенциалом нападения.

Таблица В.1 Анализ уязвимостей и потенциал нападения

Компонент анализа уязвимостей	ОО противостоит нарушителю с потенциалом нападения:	Остаточные уязвимости способен использовать только нарушитель с потенциалом нападения:
VAN.5	высокий	Не применимо - успешное нападение за пределами практически возможного
VAN.4	умеренный	высокий
VAN.3	усиленный базовый	умеренный
VAN.2	базовый	усиленный базовый
VAN.1	базовый	усиленный базовый

Запись "успешное нападение за пределами практически возможного" в столбце остаточных уязвимостей вышеприведенной таблицы означает такие потенциальные уязвимости, для использования которых необходимо, чтобы нарушитель обладал более высоким потенциалом нападения, нежели "высокий". Уязвимость, классифицированная как остаточная в этом случае, отражает тот факт, что известная уязвимость имеет место в данном ОО, но в текущей среде функционирования не может быть использована нарушителями с предполагаемым потенциалом нападения.

Для любого уровня потенциала нападения потенциальную уязвимость можно считать "неосуществимой" в случае применения мер противодействия, которые не позволяют допустить использования нарушителем данной уязвимости.

Анализ уязвимости относится ко всем ИФБО, включая те, которые предоставляют доступ к вероятностным или перестановочным механизмам. При этом не делается никаких предположений относительно правильности разработки проекта и реализации ИФБО; также при этом не накладывается ограничений на методы нападения или взаимодействия нарушителя с ОО - если нападение возможно, то его нужно рассмотреть во время анализа уязвимости. Как показано в Таблице В.1, успешно проведенная оценка компонента оценки уязвимостей отражает, что ФБО разработаны и реализованы таким образом, чтобы обеспечить требуемую защиту от конкретного уровня угрозы.

Оценщику необязательно вычислять потенциал нападения для каждой потенциальной уязвимости. В некоторых случаях уже при разработке возможных методов нападения становится очевидно, соразмерен ли потенциал нападения, необходимый для применения некоторого метода нападения и для управления им, с предполагаемым для среды функционирования потенциалом нападения нарушителя. Для любых уязвимостей, для которых определена возможность использования, оценщик вычисляет потенциал нападения в целях вынесения заключения о том, что возможность использования соответствует уровню потенциала нападения предполагаемого нарушителя.

Описанный ниже подход должен применяться всякий раз, когда необходимо вычислить потенциал нападения, если органом оценки не предусмотрено использование в обязательном порядке некого альтернативного подхода. Значения, приведенные в Таблицах В.2 и В.3, математически не доказаны. Поэтому значения, приводимые в таблицах в качестве примера, возможно, следует приспособить к технологическому типу ОО и определенной среды функционирования. Оценщику следует получить руководство по данному вопросу от органа оценки.

В.4 Вычисление потенциала нападения

B.4.1 Применение потенциала нападения

Потенциал нападения зависит от компетентности, ресурсов и мотивации нарушителя. Существуют различные методы представления и вычисления этих факторов. Кроме того, следует учесть, что для конкретных типов ОО может возникнуть необходимость рассмотреть другие применимые факторы.

В.4.1.1 Трактовка мотивации

Мотивация является фактором потенциала нападения, который может использоваться для описания различных аспектов, относящихся к нарушителю и активам, которые интересуют нарушителя. Во-первых, мотивация может подразумевать определенную вероятность нападения - из угрозы, описанной как высокомотивированная, можно предположить, что нападение неизбежно, а из описания угрозы как немотивированной - что нападения не ожидается. Однако за исключением этих двух крайних уровней мотивации, затруднительно установить вероятность осуществления нападения, исходя только из мотивации.

Во-вторых, мотивация может подразумевать определенную ценность актива в денежном или ином выражении для нарушителя или владельца актива. Более ценный актив обусловит, вероятно, более высокую мотивацию по сравнению с менее ценным активом. Однако, кроме общих рассуждений, трудно связать ценность актива с мотивацией, потому что ценность актива субъективна - она в значительной степени зависит от того, что вкладывает в понятие "ценность" владелец актива.

В-третьих, мотивация может подразумевать определенную компетентность и ресурсы, с помощью которых нарушитель намеревается произвести нападение. Можно предположить, что нарушитель с высокой мотивацией, вероятно, приобретет достаточную компетентность и ресурсы, чтобы преодолеть меры защиты актива. И, наоборот, можно предположить, что нарушитель с высокой компетентностью и значительными ресурсами не захочет, используя их, произвести нападение, если имеет низкую мотивацию.

В ходе подготовки и проведения оценки, так или иначе, рассматриваются все три аспекта мотивации. Первый аспект - вероятность нападения - это то, что может побудить разработчика добиваться оценки. Если разработчик полагает, что у нарушителей имеется достаточная мотивация, чтобы организовать нападение, то оценка может обеспечить доверие к способности ОО помешать усилиям нарушителя. Когда предполагаемая среда полностью определена, например при оценке системы, уровень мотивации нападения может быть известен и повлияет на выбор контрмер.

Рассматривая второй аспект, владелец актива может полагать, что ценность активов (как-либо измеренная) достаточна, чтобы мотивировать нападение на них. Как только оценку посчитают необходимой, рассматривается мотивация нарушителя для определения методов нападения, которое может быть предпринято, а также компетентность и ресурсы, которые могут использоваться при этих нападениях. После проведения исследований разработчик способен выбрать соответствующий уровень доверия, в частности, компоненты требований из класса AVA, соразмерные с потенциалом нападения для данных угроз. В ходе оценки и, в частности, по результатам завершения вида деятельности по оценке уязвимостей оценщик делает заключение, достаточен ли ОО, функционирующий в среде функционирования, чтобы помешать нарушителям с идентифицированной компетентностью и ресурсами.

Для автора ПЗ может иметься возможность вычислить мотивацию нарушителя, поскольку автор ПЗ обладает большим объемом знаний о среде функционирования, в которую должен быть помещен ОО (в соответствии с требованиями ПЗ). Поэтому мотивация может являться явной частью отражения потенциала нападения в ПЗ, наряду с необходимыми методами и мерами определения уровня мотивации.

B.4.2 Характеризация потенциала нападения

В этом подразделе исследуются факторы, которые определяют потенциал нападения, и предоставляется руководство, способствующее устранению некоторой субъективности этого аспекта процесса оценивания.

В.4.2.1 Определение потенциала нападения

Определение потенциала нападения соответствует идентификации усилия, требуемого для подготовки нападения и демонстрации того факта, что это нападение может быть путём использования уязвимости успешно применено к данному ОО (к данным усилиям относят и подготовку или производство любого необходимого испытательного оборудования). Для демонстрации того, что нападение может быть успешно применено, требуется рассмотреть все трудности по получению остальных показанных в лаборатории результатов в целях моделирования успешной атаки. Например, если при проведении эксперимента был получен доступ к некоторым битам или байтам элемента конфиденциальных данных (например к криптографическому ключу), то необходимо рассмотреть, как можно получить остальные данные (для рассматриваемого примера некоторые биты информации могут быть получены непосредственно в ходе дальнейших экспериментов, а некоторые могут быть открыты путем применения различных специальных методов, например поиска методом полного перебора). Не всегда обязательно проводить все эксперименты, чтобы идентифицировать полностью проведенное нападение, если очевидно, что нападение фактически доказывает, что был получен доступ к активам ОО и что полное нападение может быть осуществлено в реальных условиях при использовании уязвимости, согласно целевому компоненту семейства AVA_VAN. В некоторых случаях единственный способ доказать, что нападение может быть осуществлено в реальных условиях при использовании уязвимости согласно целевому компоненту семейства AVA_VAN состоит в том, чтобы полностью провести нападение, и затем присвоить данному нападению некий рейтинг в зависимости от того, какие ресурсы потребовались для его реализации. Предполагается, что выходными данными идентификации потенциальной уязвимости является сценарий нападения, который дает пошаговое описание того, каким образом имеющуюся уязвимость данного ОО можно использовать для проведения нападения.

Во многих случаях оценщики проводят оценку параметров, необходимых для того, чтобы нарушитель воспользовался уязвимостью, а не осуществляют полное моделирование такого использования данной уязвимости. Такая оценка и её обоснование будут приведены в ТОО.

В.4.2.2 Учитываемые факторы

В ходе анализа потенциала нападения, требуемого для использования уязвимости, необходимо учитывать следующие факторы:

a) время, затрачиваемое на идентификацию уязвимости и её использование (общее затрачиваемое время);

b) требующаяся техническая компетентность специалиста (компетентность специалиста);

c) знание проекта ОО и его функционирования (знание ОО);

d) возможность доступа к ОО;

e) аппаратные средства/программное обеспечение ИТ или другое оборудование, требуемое для использования уязвимости.

Во многих случаях эти факторы не являются независимыми и могут в различной степени заменять друг друга. Например, компетентность или аппаратные средства/программное обеспечение могут быть заменой времени. Эти факторы обсуждаются далее (уровни каждого фактора рассматриваются в порядке увеличения). В таком случае в фазе использования уязвимости рассматривается наименее "затратная" комбинация факторов.

Общее затрачиваемое время - это время, которое необходимо нарушителю для идентификации потенциальной уязвимости, которая может существовать в ОО, разработки метода нападения и поддержания усилий по осуществлению нападения на ОО. При рассмотрении данного фактора для определения требуемого нарушителю количества времени используется пессимистичный, наиболее неблагоприятный сценарий. Идентифицированными уровнями отрезков времени являются следующие:

a) менее одного дня;

b) от одного дня до недели:

c) от одной до двух недель;

d) от двух недель до месяца;

e) месяц, два месяца, три - каждый дополнительный месяц до шести означает увеличение значения;

f) более шести месяцев.

Компетентность специалиста относится к уровню общих знаний основополагающих принципов, типа продукта или методов нападения (например знаний об операционной системе Unix, протоколах Интернета, переполнении буфера). Идентифицированными уровнями являются следующие:

a) непрофессионалы слабо осведомлены по сравнению с экспертами или профессионалами, и не обладают специфической компетентностью;

b) профессионалы хорошо осведомлены в том, что касается режима безопасности продукта или системы данного типа;

c) эксперты хорошо знакомы с основными алгоритмами, протоколами, аппаратными средствами, структурами, режимом безопасности, с применяемыми принципами и концепциями безопасности, а также с методами и средствами определения новых атак, криптографическими средствами и методами, классическими атаками на данный тип продукта ИТ, методами нападения и т.п., реализуемыми для данного типа продукта или системы;

d) уровень "Эксперт в нескольких областях знаний или группа экспертов" применяется в случае, когда для осуществления отдельных этапов нападения необходимы знания на уровне Эксперт в различных областях.

Бывают ситуации, когда требуется применить в описании несколько различных типов компетентности. По умолчанию выбирается самый высокий уровень факторов компетентности. В некоторых особых случаях применимо значение уровня "Эксперт в нескольких областях знаний или группа экспертов", но в этом случае необходимо отметить, что области знаний, в которых предполагаемые нарушители являются экспертами, должны быть принципиально разными, например управление аппаратными средствами и криптография.

Знание ОО указывает на определенный уровень знаний об ОО. Оно отличается от общей компетентности, хотя и связано с ней. Идентифицированными уровнями являются следующие:

a) общедоступная информация об ОО (например полученная из сети Интернет);

b) информация ограниченного доступа об ОО (например сведения, которыми управляет организация-разработчик и предоставляет их другим организациям на условиях соглашения о неразглашении информации);

c) чувствительная информация об ОО (например сведения, которыми обладают закрытые рабочие группы организации-разработчика, и доступ к которым имеют только члены данных групп);

d) критически важная информация об ОО (например сведения, которые известны только нескольким лицам, и доступ к которым строго контролируется на основе личной ответственности и необходимости доступа для выполнения рабочих обязанностей).

Уровень знания об ОО может различаться еще и в зависимости от детализации проекта ОО, хотя это осуществимо только на уровне описания основ ОО. Некоторые проекты ОО могут представлять собой общедоступную информацию (или сильно зависящую от общедоступной) и поэтому даже представление проекта будет классифицироваться как общедоступная информация или, в крайнем случае, как информация ограниченного доступа, тогда как доступ к представлению реализации других ОО будет строго контролироваться, т.к. нарушитель может получить из него сведения, которые могут помочь ему в осуществлении нападения, и поэтому такие представления реализации будут считаться чувствительной или даже критически важной информацией.

Бывают ситуации, когда требуется применить в описании несколько различных типов знания. По умолчанию выбирается самый высокий уровень факторов знания об ОО.

Возможность доступа к ОО (Возможность) также является важным обстоятельством и имеет отношение к фактору "общее затрачиваемое время". Идентификация или использование уязвимости могут требовать продолжительного доступа к ОО, что может увеличить вероятность обнаружения. Некоторые методы нападения могут требовать значительных автономных усилий без подключения к ОО и лишь краткого времени доступа к ОО для использования уязвимости. Может также потребоваться непрерывный доступ или доступ в виде нескольких сеансов.

Для некоторых ОО возможность доступа к ОО может равняться числу образцов ОО, которые может получить нарушитель. Это особенно справедливо для тех случаев, когда попытки проникновения к ОО и компрометации ФТБ могут привести к разрушению ОО или превентивному использованию обработки ОО для дальнейшего тестирования, например аппаратных средств. Часто в этих случаях распределение ОО контролируется таким образом, что нарушитель должен потратить дополнительные усилия для получения доступа к остальным образцам ОО.

В целях данного обсуждения:

a) "отсутствие необходимости в доступе/неограниченный доступ" означает, что для нападения не важна возможность доступа к ОО, т. к. нет опасности обнаружения при осуществлении доступа к ОО и нет препятствий для доступа к образцам ОО для нападения;

b) "простой доступ" означает, что доступ требуется менее чем на день, а количество образцов ОО, к которым требуется доступ для осуществления нападения, меньше десяти;

c) "умеренная возможность доступа" означает, что доступ требуется менее чем на месяц, а количество образцов ОО, к которым требуется доступ для осуществления нападения, меньше сотни;

d) "затруднительный доступ" означает, что доступ требуется хотя бы на месяц, а количество образцов ОО, к которым требуется доступ для осуществления нападения, больше или равно ста;

e) "невозможность доступа" означает, что времени возможности доступа недостаточно для осуществления нападения (промежуток времени, во время которого актив, на который направлено нападение, доступен или уязвим, меньше, чем промежуток времени, требуемый для осуществления нападения). Например, криптографический ключ некоторого актива меняется раз в неделю, а для его успешного подбора требуются две недели. Другой подобный случай - когда достаточное для осуществления нападения количество образцов ОО недоступно нарушителю - например если ОО является аппаратным средством, и вероятность его разрушения в процессе нападения больше, чем вероятность успешного завершения нападения, а у нарушителя есть всего один образец ОО.

Рассмотрение данного фактора может привести к вынесению заключения о том, что невозможно реализовать использование уязвимости вследствие того, что требуемый нарушителю промежуток времени доступа больше, чем промежуток времени реальной возможности осуществления доступа.

Аппаратные средства/программное обеспечение ИТ или другое оборудование указывает на оборудование, которое требуется для идентификации или использования уязвимости.

a) Стандартное оборудование - это оборудование либо для идентификации уязвимости, либо для нападения, которое легко доступно нарушителю. Это оборудование может быть частью самого ОО (например отладчик в операционной системе) или может быть легко получено (например программное обеспечение, загружаемое из Интернета, анализаторы протоколов или простые сценарии нападения).

b) Специализированное оборудование, которое не слишком легко доступно для нарушителя, но может быть приобретено без значительных усилий. Это может включать или покупку небольшого количества оборудования (например средств атаки по энергопотреблению, использование сотни ПК, объединенных через сеть Интернет, подойдет к этой категории) или разработку более сложных сценариев и программ нападения. Если для проведения различных этапов нападения требуются различные испытательные стенды со специальным оборудованием, это расценивается как заказное оборудование.

c) Заказное оборудование, недоступное широкому кругу пользователей, поскольку для него либо может потребоваться специальная разработка (например очень сложного программного обеспечения), либо оборудование настолько специализировано, что его распространение контролируется и, возможно, это оборудование является оборудованием ограниченного распространения. Или же данное оборудование очень дорогостоящее.

d) Уровень "Несколько видов заказного оборудования" применяется в том случае, когда для осуществления отдельных этапов нападения необходимо различное, сделанное на заказ оборудование.

Компетентность специалиста и знание ОО связаны с информацией, необходимой нарушителям для того, чтобы быть способными к нападению на ОО. Существует неявная зависимость между компетентностью нарушителя (где под нарушителем может пониматься и группа лиц, дополняющих знания друг друга в различных областях) и его способностью эффективно использовать оборудование при нападении. Чем ниже компетентность нарушителя, тем ниже потенциал использования оборудования (аппаратных средств/программного обеспечения ИТ или другого оборудования). Аналогично, чем выше компетентность, тем выше потенциал оборудования, используемого при нападении. Будучи неявной, зависимость между компетентностью и использованием оборудования проявляется не всегда: например если меры безопасности среды предотвращают использование оборудования опытным нарушителем или если кем-то другим созданы и свободно распространяются (например через Интернет) инструментальные средства нападения, требующие невысокой квалификации для эффективного использования.

В.4.2.3 Вычисление потенциала нападения

В таблице В.2 идентифицируются факторы, обсуждавшиеся в предыдущем подразделе, и приводятся числовые значения, а также общее значение для каждого фактора.

Когда значение фактора оказывается близким к границе диапазона, оценщику следует подумать об использовании значения, усредняющего табличные. Например, если для осуществления нападения требуется доступ к двадцати образцам ОО, то для этого фактора может быть выбрано значение между 0 и 4. Или, если проект основан на общедоступном проекте, но разработчик внёс в проект изменения, то для этого фактора может быть выбрано значение между 0 и 3, в соответствии с представлением оценщика о том, насколько данные изменения влияют на проект. Таблица В.2 предназначена для руководства.

К спецификации, отмеченной в таблице "**" при рассмотрении Возможности доступа, не следует относиться как к естественному развитию шкалы времени, определенной в предыдущих диапазонах, связанных с этим фактором. Эта спецификация идентифицирует, что по некоторой особой причине потенциальная уязвимость ОО в предполагаемой среде функционирования не может быть использована нарушителем. Например, несанкционированный доступ к ОО в известной среде функционирования (то есть в случае ОО как системы) может быть обнаружен спустя определенное количество времени при проведении регулярной проверки, и нарушитель не может получить доступ к ОО на необходимые ему две недели, не будучи обнаружен. Однако это не применимо для ОО, подключенного к сети, где есть возможность удаленного доступа к ОО, или в случае, когда физическая среда ОО неизвестна.

Таблица В.2. Вычисление потенциала нападения

Фактор		Значение
Общее затрачиваемое время	1 день	0
	1 неделя	1
	2 недели	2
	1 месяц	4
	2 месяца	7
	3 месяца	10
	4 месяца	13
	5 месяца	15
	6 месяца	17
	> 6 месяцев	19
Компетентность	Непрофессионал	0
	Профессионал	3*
	Эксперт	6
	Группа экспертов	8
Знание ОО	Общедоступная информация	0
	Информация ограниченного доступа	3
	Чувствительная информация	7
	Критически важная информация	11
Возможность доступа к ОО	Отсутствие необходимости в доступе/неограниченный доступ	0
	Простой доступ	1
	Умеренная возможность доступа	4
	Затруднительный доступ	10
	Невозможность доступа	**
Оборудование	Стандартное	0
	Специализированное	4***
	Сделанное на заказ	7
	Несколько видов сделанного на заказ оборудования	9
* Если требуется несколько поочередно работающих профессионалов для завершения нападения, результирующий уровень компетентности все равно будет "Профессионал" (что соответствует значению 3). ** Указывает, что канал атаки невозможно осуществить из-за предпринятых других мер в предполагаемой среде функционирования ОО. *** Если для проведения различных этапов нападения требуются различные испытательные стенды со специальным оборудованием, это расценивается как заказное оборудование.

Чтобы определить стойкость ОО по отношению к атакам, использующим идентифицированные потенциальные уязвимости, следует применить следующее:

a) определить возможные сценарии нападения {AS1, AS2..., ASn} на ОО в среде функционирования;

b) для каждого сценария нападения выполнить теоретический анализ и вычислить соответствующий потенциал нападения, используя таблицу В.2;

c) при необходимости для каждого сценария нападения выполнить тесты проникновения, чтобы подтвердить или опровергнуть результаты теоретического анализа;

d) распределить все сценарии нападения {AS1, AS2..., ASn} на две группы:

1) сценарии нападения, которые были успешно реализованы (то есть те, которые использовались для успешной компрометации ФТБ), и

2) сценарии нападения, для которых есть демонстрация того, что они нереализуемы.

e) для каждого успешно реализованного сценария нападения применить таблицу В.3 и сделать заключение о том, нет ли противоречия между стойкостью ОО и выбранным компонентом доверия семейства AVA_VAN (см. последнюю колонку таблицы В.3).

f) в случае обнаружения подобного противоречия, по оценке уязвимостей выносится отрицательный вердикт. Например, если автор ЗБ выбрал компонент AVA_VAN.5, а сценарий нападения с потенциалом нападения 21 ("Высокий") нарушил безопасность ОО. В этом случае ОО стойкий только к атакам нарушителя с "Умеренным" потенциалом нападения, что противоречит требованиям AVA_VAN.5. Следовательно, при оценке уязвимостей выносится отрицательный вердикт.

Колонка "Диапазон значений" таблицы В.3 указывает на диапазон значений потенциала нападения (вычисленных с использованием таблицы В.2) тех сценариев нападения, которые не приводят к нарушению выполнения ФТБ.

Подобный подход не позволяет учесть все обстоятельства и факторы, но должен более точно указывать на уровень противодействия нападениям, требуемый для достижения стандартных рейтингов. Другие факторы, такие как расчет на малую вероятность случайных воздействий, не включены в данную базовую модель, но могут использоваться оценщиком как логическое обоснование для рейтинга иного, чем тот, который представлен в базовой модели.

Следует отметить, что в то время как ряд уязвимостей, оцениваемых по отдельности, может указывать на высокий уровень противодействия нападениям, комбинация уязвимостей будет свидетельствовать о применимости более низкого общего рейтинга. Другими словами, наличие одной уязвимости может упростить использование другой.

В случае, если автор ПЗ/ЗБ хочет использовать таблицу потенциала нападения для определения уровня нападения, которому может противостоять ОО (выборка компонентов семейства "Анализ уязвимостей" AVA_VAN), он должен сделать следующее: для всех различных сценариев нападения (то есть для всех различных типов нарушителя и/или различных методов нападения, которые предполагаются автором), которые не должны нарушить выполнение ФТБ, следует использовать таблицу несколько раз в целях определения различных значений предполагаемого потенциала нападения для каждого такого нереализуемого сценария. Затем автор ПЗ/ЗБ выбирает самое большое значение в целях определения уровня стойкости ОО, которое определяется по Таблице В.3: стойкость ОО должна быть, по крайней мере, равной этому наибольшему значению. Например, наибольшее значение потенциалов нападения всех сценариев нападения, которые не должны подрывать выполнение политики безопасности ОО, определенное таким способом, будет "Умеренный"; следовательно, уровень стойкости ОО должен быть, по крайней мере, "Умеренным" (то есть либо "Умеренным", либо "Высоким"), поэтому автор ПЗ/ЗБ может выбрать в качестве соответствующего компонента доверия или AVA_VAN.4 (для "Умеренного") или AVA_VAN.5 (для "Высокого").

Таблица В.3. Рейтинг уязвимостей и уровень стойкости ОО

Диапазон значений	Потенциал нападения, требуемый для использования сценария:	ОО противостоит нарушителю с потенциалом нападения:	Удовлетворяет требованиям компонентов доверия:	He удовлетворяет требованиям компонентов:
0-9	Базовый	Не противостоит	-	AVA_VAN.1, AVA_VAN.2, AVA_VAN.3, AVA_VAN.4, AVA_VAN.5
10-13	Усиленный базовый	Базовый	AVA_VAN.1, AVA_VAN.2	AVA_VAN.3, AVA_VAN.4, AVA_VAN.5
14-19	Умеренный	Усиленный базовый	AVA_VAN.1, AVA_VAN.2, AVA_VAN.3	AVA_VAN.4, AVA_VAN.5
20-24	Высокий	Умеренный	AVA_VAN.1, AVA_VAN.2, AVA_VAN.3, AVA_VAN.4	AVA_VAN.5
=>25	За пределами высокого	Высокий	AVA_VAN.1, AVA_VAN.2, AVA_VAN.3, AVA_VAN.4, AVA_VAN.5	-

B.5 Пример расчета для случая прямого нападения

Механизмы, подвергающиеся прямому нападению, часто жизненно необходимы для обеспечения безопасности системы, и разработчики часто усиливают эти механизмы. Например, в ОО может быть использован простой механизм аутентификации по цифровому паролю, который может быть преодолен нарушителем, если у того имеется возможность неоднократно повторять попытки угадывания значения пароля другого пользователя. Система может усилить этот механизм, установив тем или иным образом ограничения на значения пароля и на его использование. В процессе оценки анализ этого прямого нападения может проводиться следующим образом.

Информация, полученная из ЗБ и свидетельств проекта, показывает, что идентификация и аутентификация предоставляют основу для управления доступом к сетевым ресурсам с терминалов, расположенных далеко друг от друга. Управление физическим доступом к терминалам каким-либо эффективным способом не осуществляется. Управление продолжительностью доступа к терминалу каким-либо эффективным способом не осуществляется. Уполномоченные пользователи системы подбирают себе свои собственные цифровые пароли для входа в систему во время начальной авторизации использования системы и в дальнейшем - по запросу пользователя. Система содержит следующие ограничения на цифровые пароли, выбираемые пользователем:

a) цифровой пароль должен быть не менее четырех и не более шести цифр длиной;

b) последовательные числовые ряды (типа 7, 6, 5, 4, 3) не допускаются;

c) повторение цифр не допускается (каждая цифра должна быть уникальной).

Руководство, предоставляемое пользователям на момент выбора цифрового пароля, является таковым, чтобы цифровые пароли были случайны, насколько это возможно, и не связаны каким-либо способом с конкретным пользователем, например с датой рождения.

Число возможных значений цифровых паролей рассчитывается следующим образом:

а) Шаблоны, используемые людьми, являются важным обстоятельством, которое может влиять на подход к поиску возможных значений цифровых паролей. Допуская самый плохой вариант сценария, когда пользователь выбирает число, состоящее только из четырех цифр, число перестановок цифрового пароля, если предположить, что каждая цифра уникальна, равно:

7(8)(9)(10) = 5040

b) Число возможных последовательных числовых рядов по возрастанию - семь, как и число таких рядов по убыванию. После отбрасывания этих рядов число возможных значений цифровых паролей равно:

5040 - 14 = 5026

Основываясь на дополнительной информации, полученной из свидетельств проекта, в механизме цифрового пароля спроектирована характеристика блокировки терминала. После шестой подряд неудачной попытки аутентификации терминал блокируется на один час. Счетчик неудачной аутентификации сбрасывается через пять минут; таким образом, нарушитель в лучшем случае может осуществить пять попыток ввода цифрового пароля каждые пять минут или 60 вводов цифрового пароля в час.

В среднем нарушитель должен был бы ввести 2513 цифровых паролей более чем за 2513 минуты до ввода правильного цифрового пароля. Как результат, в среднем успешное нападение произошло бы чуть меньше, чем за:

Используя подход к вычислению потенциала нападения, описанный в предыдущем подразделе, можно идентифицировать, что непрофессионал может преодолеть данный механизм аутентификации в течение нескольких дней (при условии незатрудненного доступа к ОО) без использования какого-либо специального оборудования и без знания ОО, что дает значение 1. Получаем результирующую сумму 1, что означает, что потенциал нападения, требуемый для осуществления успешной атаки, не подпадает ни под одну категорию, так как является даже меньшим, чем "Базовый".