Из Руководящий документ «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей»

3.2.1 Контроль состава и содержания документации РД ГТК Защита от НСД. ПО СЗИ. Классификация по уровню контроля отсутствия недекларированных возможностей

В состав документации, представляемой заявителем, должны входить:

  • Спецификация (ГОСТ 19.202-78), содержащая сведения о составе ПО и документации на него;
  • Описание программы (ГОСТ 19.402-78), содержащее основные сведения о составе (с указанием контрольных сумм файлов, входящих в состав ПО), логической структуре и среде функционирования ПО, а также описание методов, приемов и правил эксплуатации средств технологического оснащения при создании ПО;
  • Описание применения (ГОСТ 19.502-78), содержащее сведения о назначении ПО, области применения, применяемых методах, классе решаемых задач, ограничениях при применении, минимальной конфигурации технических средств, среде функционирования и порядке работы;
  • Исходные тексты программ (ГОСТ 19.401-78), входящих в состав ПО.

Для ПО импортного производства состав документации может отличаться от требуемого, однако содержание должно соответствовать требованиям указанных ГОСТ [из 3.2.1 Контроль состава и содержания документации РД ГТК Защита от НСД. ПО СЗИ. Классификация по уровню контроля отсутствия недекларированных возможностей]

    3.2.2 Контроль исходного состояния ПО РД ГТК Защита от НСД. ПО СЗИ. Классификация по уровню контроля отсутствия недекларированных возможностей

    Контроль заключается в фиксации исходного состояния ПО и сравнении полученных результатов с приведенными в документации.

    Результатами контроля исходного состояния ПО должны быть рассчитанные уникальные значения контрольных сумм загрузочных модулей и исходных текстов программ, входящих в состав ПО.

    Контрольные суммы должны рассчитываться для каждого файла, входящего в состав ПО [из 3.2.2 Контроль исходного состояния ПО РД ГТК Защита от НСД. ПО СЗИ. Классификация по уровню контроля отсутствия недекларированных возможностей]

      3.2.3 Статический анализ исходных текстов программ РД ГТК Защита от НСД. ПО СЗИ. Классификация по уровню контроля отсутствия недекларированных возможностей

      Статический анализ исходных текстов программ должен включать следующие технологические операции:

      • контроль полноты и отсутствия избыточности исходных текстов ПО на уровне файлов;
      • контроль соответствия исходных текстов ПО его объектному (загрузочному) коду.

      [из 3.2.3 Статический анализ исходных текстов программ РД ГТК Защита от НСД. ПО СЗИ. Классификация по уровню контроля отсутствия недекларированных возможностей]

        3.2.4 Отчетность РД ГТК Защита от НСД. ПО СЗИ. Классификация по уровню контроля отсутствия недекларированных возможностей

        По окончании испытаний оформляется отчет (протокол), содержащий результаты:

        • контроля исходного состояния ПО;
        • контроля полноты и отсутствия избыточности исходных текстов контролируемого ПО на уровне файлов;
        • контроля соответствия исходных текстов ПО его объектному (загрузочному) коду.

        [из 3.2.4 Отчетность РД ГТК Защита от НСД. ПО СЗИ. Классификация по уровню контроля отсутствия недекларированных возможностей]

          3.3.1 Контроль состава и содержания документации РД ГТК Защита от НСД. ПО СЗИ. Классификация по уровню контроля отсутствия недекларированных возможностей

          Требования полностью включают в себя аналогичные требования к четвертому уровню контроля.

          Кроме того, должна быть представлена «Пояснительная записка» (ГОСТ 19.404-79), содержащая основные сведения о назначении компонентов, входящих в состав ПО, параметрах обрабатываемых наборов данных (подсхемах баз данных), формируемых кодах возврата, описание используемых переменных, алгоритмов функционирования и т.п. [из 3.3.1 Контроль состава и содержания документации РД ГТК Защита от НСД. ПО СЗИ. Классификация по уровню контроля отсутствия недекларированных возможностей]

            3.3.3 Статический анализ исходных текстов программ РД ГТК Защита от НСД. ПО СЗИ. Классификация по уровню контроля отсутствия недекларированных возможностей

            Кроме аналогичных требований, предъявляемых к четвертому уровню контроля, дополнительно предъявляются следующие требования:

            • контроль полноты и отсутствия избыточности исходных текстов ПО на уровне функциональных объектов (процедур);
            • контроль связей функциональных объектов (модулей, процедур, функций) по управлению;
            • контроль связей функциональных объектов (модулей, процедур, функций) по информации;
            • контроль информационных объектов различных типов (например, локальных переменных, глобальных переменных, внешних переменных и т.п.);
            • формирование перечня маршрутов выполнения функциональных объектов (процедур, функций).

            [из 3.3.3 Статический анализ исходных текстов программ РД ГТК Защита от НСД. ПО СЗИ. Классификация по уровню контроля отсутствия недекларированных возможностей]

              3.3.4 Динамический анализ исходных текстов программ РД ГТК Защита от НСД. ПО СЗИ. Классификация по уровню контроля отсутствия недекларированных возможностей

              Динамический анализ исходных текстов программ должен включать следующие технологические операции:

              • контроль выполнения функциональных объектов (процедур, функций);
              • сопоставление фактических маршрутов выполнения функциональных объектов (процедур, функций) и маршрутов, построенных в процессе проведения статического анализа.

              [из 3.3.4 Динамический анализ исходных текстов программ РД ГТК Защита от НСД. ПО СЗИ. Классификация по уровню контроля отсутствия недекларированных возможностей]

                3.3.5 Отчетность РД ГТК Защита от НСД. ПО СЗИ. Классификация по уровню контроля отсутствия недекларированных возможностей

                Кроме аналогичных требований, предъявляемых к четвертому уровню контроля, дополнительно отчет (протокол) должен содержать результаты:

                • контроля полноты и отсутствия избыточности исходных текстов контролируемого ПО на уровне функциональных объектов (процедур);
                • контроля связей функциональных объектов (модулей, процедур, функций) по управлению;
                • контроля связей функциональных объектов (модулей, процедур, функций) по информации;
                • контроля информационных объектов различных типов (например, локальных переменных, глобальных переменных, внешних переменных и т.п.);
                • формирования перечня маршрутов выполнения функциональных объектов (процедур, функций)
                • контроля выполнения функциональных объектов (процедур, функций);
                • сопоставления фактических маршрутов выполнения функциональных объектов (процедур, функций) и маршрутов, построенных в процессе проведения статического анализа.

                [из 3.3.5 Отчетность РД ГТК Защита от НСД. ПО СЗИ. Классификация по уровню контроля отсутствия недекларированных возможностей]

                  Страницы

                  Подписка на Из Руководящий документ «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей»