Замечания по применению

В общем случае, оценка уязвимостей охватывает разнообразные уязвимости при разработке и эксплуатации ОО. Уязвимости при разработке способствуют проявлению некоторых качеств ОО, вносимых в процессе разработки, например, нарушение само защиты ФБО путем вмешательства, прямой атаки или мониторинга ФБО, нарушение разделения доменов ФБО, путем мониторинга или прямой атаки на ФБО или нарушение невозможности обхода с помощью обмана (обхода) ФБО. Уязвимости при эксплуатации способствуют проявлению недостатков при не техническом противодействии нарушению ФТБ ОО, например, неправильное использование конфигурации или неправильная ее установка. При проверке неправильного использования конфигурации исследуется, может ли ОО быть сконфигурирован или использован в небезопасном режиме, при том, что администратор или пользователь ОО будут полагать обратное.

Оценку уязвимостей при разработке охватывает семейство доверия AVA_VAN. В основном, все уязвимости при разработке могут быть рассмотрены в контексте семейства AVA_VAN, исходя из того, что это семейство применяет широкий спектр методологий оценки, неспецифичных для типичных сценариев атак. Эти неспецифичные методологии оценки содержат, кроме прочего, также и конкретные методологии для тех ФБО, где необходимо рассматривать скрытые каналы (оценка пропускной способности канала может проводиться с использованием неформальных технических измерений, а также фактических тестовых измерений) или для ФБО, которые можно преодолеть с использованием достаточных ресурсов в виде прямой атаки (основная техническая концепция таких ФБО основывается на вероятностных или перестановочных механизмах; определение их режима безопасности и усилий, требуемых для их обхода, могут быть получены с использованием количественного или статистического анализа).

Если в ЗБ определены цели безопасности, либо предотвращающие наблюдение одним пользователем ОО действий другого, или обеспечивающие то, что потоки информации не могут использоваться для вызова принудительно запрещенных информационных сигналов, то следует предусматривать анализ скрытых каналов в процессе анализа уязвимостей. Зачастую это отражено включением в ЗБ требований семейств из второй части ОК-2 " Скрытность" (FPR_UNO), политики управления многоуровневым доступом, определенной в семействе ОК-2 "Политика управления доступом" (FDP_ACC), и/или "Политика управления потоками информации " (FDP_IFC.