5.3.1 Требования к гарантиям определяют следующие показатели защищенности, которые должны поддерживаться СВТ:
- гарантии проектирования;
- надежное восстановление;
- целостность КСЗ;
- контроль модификации;
- контроль дистрибуции;
- гарантии архитектуры;
- взаимодействие пользователя с КСЗ;
- тестирование.
[из 5.3.1 ГОСТ Р 50739-95]
5.3.2 На начальном этапе проектирования КСЗ должна быть построена модель защиты, задающая принцип разграничения доступа и механизм управления доступом. Эта модель должна содержать:
- непротиворечивые ПРД;
- непротиворечивые правила изменения ПРД;
- правила работы с устройствами ввода и вывода;
- формальную модель механизма управления доступом.
Спецификация части КСЗ, реализующего механизм управления доступом и его интерфейсов, должна быть высокоуровневой. Эта спецификация должна быть верифицирована на соответствие заданным принципам разграничения доступа.
Для высоких классов защищенности СВТ должно быть предусмотрено, чтобы высокоуровневые спецификации КСЗ были отображены последовательно в спецификации одного или нескольких нижних уровней вплоть до реализации высокоуровневой спецификации КСЗ на языке программирования высокого уровня. При этом методами верификации должно быть доказано соответствие каждого такого отображения спецификациям высокого (верхнего для данного отображения) уровня, а также соответствие объектного кода тексту КСЗ на языке высокого уровня. Этот процесс может включать в себя как одно отображение (высокоуровневая спецификация - язык программирования), так и последовательность отображений в промежуточные спецификации с понижением уровня вплоть до языка программирования. В результате верификации соответствия каждого уровня предыдущему должно достигаться соответствие реализации высокоуровневой спецификации КСЗ модели защиты [из 5.3.2 ГОСТ Р 50739-95]
5.3.4 В СВТ должны быть предусмотрены средства периодического контроля за целостностью программной и информационной части КСЗ.
Программы КСЗ должны выполняться в отдельной части оперативной памяти. Это требование должно быть подвергнуто верификации [из 5.3.4 ГОСТ Р 50739-95]
5.3.5 При проектировании, построении и сопровождении СВТ должно быть предусмотрено управление конфигурацией СВТ, т.е. управление изменениями в формальной модели, спецификациях (разных уровней), документации, исходном тексте, версии в объектном коде. Между документацией и текстами программ должно быть соответствие. Генерируемые версии должны быть сравнимыми. Оригиналы программ должны быть защищены [из 5.3.5 ГОСТ Р 50739-95]
5.3.7 КСЗ должен обладать механизмом, гарантирующим перехват диспетчером доступа всех обращений субъектов к объектам [из 5.3.7 ГОСТ Р 50739-95]
5.3.8 КСЗ должен иметь модульную и четко определенную структуру, что сделает возможными его изучение, анализ, верификацию и модификацию. Должен быть обеспечен надежный интерфейс пользователя и КСЗ (например, вход в систему, запросы пользователей и КСЗ). Каждый интерфейс пользователя и КСЗ должен быть логически изолирован от других таких же интерфейсов [из 5.3.8 ГОСТ Р 50739-95]
5.3.9 В СВТ должны тестироваться:
- реализация ПРД (перехват явных и скрытых запросов на доступ, правильное распознавание санкционированных и несанкционированных запросов на доступ, фунционирование средств защиты механизма разграничения доступа, санкционированные изменения ПРД и др.);
- очистка оперативной и внешней памяти;
- работа механизма изоляции процессов в оперативной памяти;
- маркировка документов;
- защита ввода и вывода информации на отчуждаемый физический носитель и сопоставление пользователя с устройством;
- идентификация и аутентификация, а также средства их защиты;
- регистрация событий, средства защиты регистрационной информации и возможность санкционированного ознакомления с ней;
- работа механизма надежного восстановления;
- работа механизма, осуществляющего контроль за целостностью КСЗ;
- работа механизма, осуществляющего контроль дистрибуции.
[из 5.3.9 ГОСТ Р 50739-95]