3.3 Требования к третьему уровню контроля РД ГТК Защита от НСД. ПО СЗИ. Классификация по уровню контроля отсутствия недекларированных возможностей

3.3.1 Контроль состава и содержания документации РД ГТК Защита от НСД. ПО СЗИ. Классификация по уровню контроля отсутствия недекларированных возможностей

Требования полностью включают в себя аналогичные требования к четвертому уровню контроля.

Кроме того, должна быть представлена «Пояснительная записка» (ГОСТ 19.404-79), содержащая основные сведения о назначении компонентов, входящих в состав ПО, параметрах обрабатываемых наборов данных (подсхемах баз данных), формируемых кодах возврата, описание используемых переменных, алгоритмов функционирования и т.п. [из 3.3.1 Контроль состава и содержания документации РД ГТК Защита от НСД. ПО СЗИ. Классификация по уровню контроля отсутствия недекларированных возможностей]

3.3.2 Контроль исходного состояния ПО РД ГТК Защита от НСД. ПО СЗИ. Классификация по уровню контроля отсутствия недекларированных возможностей

Требования полностью включают в себя аналогичные требования к четвертому уровню контроля [из 3.3.2 Контроль исходного состояния ПО РД ГТК Защита от НСД. ПО СЗИ. Классификация по уровню контроля отсутствия недекларированных возможностей]

3.3.3 Статический анализ исходных текстов программ РД ГТК Защита от НСД. ПО СЗИ. Классификация по уровню контроля отсутствия недекларированных возможностей

Кроме аналогичных требований, предъявляемых к четвертому уровню контроля, дополнительно предъявляются следующие требования:

  • контроль полноты и отсутствия избыточности исходных текстов ПО на уровне функциональных объектов (процедур);
  • контроль связей функциональных объектов (модулей, процедур, функций) по управлению;
  • контроль связей функциональных объектов (модулей, процедур, функций) по информации;
  • контроль информационных объектов различных типов (например, локальных переменных, глобальных переменных, внешних переменных и т.п.);
  • формирование перечня маршрутов выполнения функциональных объектов (процедур, функций).

[из 3.3.3 Статический анализ исходных текстов программ РД ГТК Защита от НСД. ПО СЗИ. Классификация по уровню контроля отсутствия недекларированных возможностей]

3.3.4 Динамический анализ исходных текстов программ РД ГТК Защита от НСД. ПО СЗИ. Классификация по уровню контроля отсутствия недекларированных возможностей

Динамический анализ исходных текстов программ должен включать следующие технологические операции:

  • контроль выполнения функциональных объектов (процедур, функций);
  • сопоставление фактических маршрутов выполнения функциональных объектов (процедур, функций) и маршрутов, построенных в процессе проведения статического анализа.

[из 3.3.4 Динамический анализ исходных текстов программ РД ГТК Защита от НСД. ПО СЗИ. Классификация по уровню контроля отсутствия недекларированных возможностей]

3.3.5 Отчетность РД ГТК Защита от НСД. ПО СЗИ. Классификация по уровню контроля отсутствия недекларированных возможностей

Кроме аналогичных требований, предъявляемых к четвертому уровню контроля, дополнительно отчет (протокол) должен содержать результаты:

  • контроля полноты и отсутствия избыточности исходных текстов контролируемого ПО на уровне функциональных объектов (процедур);
  • контроля связей функциональных объектов (модулей, процедур, функций) по управлению;
  • контроля связей функциональных объектов (модулей, процедур, функций) по информации;
  • контроля информационных объектов различных типов (например, локальных переменных, глобальных переменных, внешних переменных и т.п.);
  • формирования перечня маршрутов выполнения функциональных объектов (процедур, функций)
  • контроля выполнения функциональных объектов (процедур, функций);
  • сопоставления фактических маршрутов выполнения функциональных объектов (процедур, функций) и маршрутов, построенных в процессе проведения статического анализа.

[из 3.3.5 Отчетность РД ГТК Защита от НСД. ПО СЗИ. Классификация по уровню контроля отсутствия недекларированных возможностей]