Из Руководящий документ «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей»

Руководящий документ «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей». Редакция от 04.04.2022.

3.2.1 Контроль состава и содержания документации РД ГТК Защита от НСД. ПО СЗИ. Классификация по уровню контроля отсутствия недекларированных возможностей

В состав документации, представляемой заявителем, должны входить:

  • Спецификация (ГОСТ 19.202-78), содержащая сведения о составе ПО и документации на него;
  • Описание программы (ГОСТ 19.402-78), содержащее основные сведения о составе (с указанием контрольных сумм файлов, входящих в состав ПО), логической структуре и среде функционирования ПО, а также описание методов, приемов и правил эксплуатации средств технологического оснащения при создании ПО;
  • Описание применения (ГОСТ 19.502-78), содержащее сведения о назначении ПО, области применения, применяемых методах, классе решаемых задач, ограничениях при применении, минимальной конфигурации технических средств, среде функционирования и порядке работы;
  • Исходные тексты программ (ГОСТ 19.401-78), входящих в состав ПО.

Для ПО импортного производства состав документации может отличаться от требуемого, однако содержание должно соответствовать требованиям указанных ГОСТ [из 3.2.1 Контроль состава и содержания документации РД ГТК Защита от НСД. ПО СЗИ. Классификация по уровню контроля отсутствия недекларированных возможностей]

    3.2.2 Контроль исходного состояния ПО РД ГТК Защита от НСД. ПО СЗИ. Классификация по уровню контроля отсутствия недекларированных возможностей

    Контроль заключается в фиксации исходного состояния ПО и сравнении полученных результатов с приведенными в документации.

    Результатами контроля исходного состояния ПО должны быть рассчитанные уникальные значения контрольных сумм загрузочных модулей и исходных текстов программ, входящих в состав ПО.

    Контрольные суммы должны рассчитываться для каждого файла, входящего в состав ПО [из 3.2.2 Контроль исходного состояния ПО РД ГТК Защита от НСД. ПО СЗИ. Классификация по уровню контроля отсутствия недекларированных возможностей]

      3.2.3 Статический анализ исходных текстов программ РД ГТК Защита от НСД. ПО СЗИ. Классификация по уровню контроля отсутствия недекларированных возможностей

      Статический анализ исходных текстов программ должен включать следующие технологические операции:

      • контроль полноты и отсутствия избыточности исходных текстов ПО на уровне файлов;
      • контроль соответствия исходных текстов ПО его объектному (загрузочному) коду.

      [из 3.2.3 Статический анализ исходных текстов программ РД ГТК Защита от НСД. ПО СЗИ. Классификация по уровню контроля отсутствия недекларированных возможностей]

        3.2.4 Отчетность РД ГТК Защита от НСД. ПО СЗИ. Классификация по уровню контроля отсутствия недекларированных возможностей

        По окончании испытаний оформляется отчет (протокол), содержащий результаты:

        • контроля исходного состояния ПО;
        • контроля полноты и отсутствия избыточности исходных текстов контролируемого ПО на уровне файлов;
        • контроля соответствия исходных текстов ПО его объектному (загрузочному) коду.

        [из 3.2.4 Отчетность РД ГТК Защита от НСД. ПО СЗИ. Классификация по уровню контроля отсутствия недекларированных возможностей]

          3.3 Требования к третьему уровню контроля РД ГТК Защита от НСД. ПО СЗИ. Классификация по уровню контроля отсутствия недекларированных возможностей

            3.3.1 Контроль состава и содержания документации РД ГТК Защита от НСД. ПО СЗИ. Классификация по уровню контроля отсутствия недекларированных возможностей

            Требования полностью включают в себя аналогичные требования к четвертому уровню контроля.

            Кроме того, должна быть представлена «Пояснительная записка» (ГОСТ 19.404-79), содержащая основные сведения о назначении компонентов, входящих в состав ПО, параметрах обрабатываемых наборов данных (подсхемах баз данных), формируемых кодах возврата, описание используемых переменных, алгоритмов функционирования и т.п. [из 3.3.1 Контроль состава и содержания документации РД ГТК Защита от НСД. ПО СЗИ. Классификация по уровню контроля отсутствия недекларированных возможностей]

              3.3.2 Контроль исходного состояния ПО РД ГТК Защита от НСД. ПО СЗИ. Классификация по уровню контроля отсутствия недекларированных возможностей

              Требования полностью включают в себя аналогичные требования к четвертому уровню контроля [из 3.3.2 Контроль исходного состояния ПО РД ГТК Защита от НСД. ПО СЗИ. Классификация по уровню контроля отсутствия недекларированных возможностей]

                3.3.3 Статический анализ исходных текстов программ РД ГТК Защита от НСД. ПО СЗИ. Классификация по уровню контроля отсутствия недекларированных возможностей

                Кроме аналогичных требований, предъявляемых к четвертому уровню контроля, дополнительно предъявляются следующие требования:

                • контроль полноты и отсутствия избыточности исходных текстов ПО на уровне функциональных объектов (процедур);
                • контроль связей функциональных объектов (модулей, процедур, функций) по управлению;
                • контроль связей функциональных объектов (модулей, процедур, функций) по информации;
                • контроль информационных объектов различных типов (например, локальных переменных, глобальных переменных, внешних переменных и т.п.);
                • формирование перечня маршрутов выполнения функциональных объектов (процедур, функций).

                [из 3.3.3 Статический анализ исходных текстов программ РД ГТК Защита от НСД. ПО СЗИ. Классификация по уровню контроля отсутствия недекларированных возможностей]

                  3.3.4 Динамический анализ исходных текстов программ РД ГТК Защита от НСД. ПО СЗИ. Классификация по уровню контроля отсутствия недекларированных возможностей

                  Динамический анализ исходных текстов программ должен включать следующие технологические операции:

                  • контроль выполнения функциональных объектов (процедур, функций);
                  • сопоставление фактических маршрутов выполнения функциональных объектов (процедур, функций) и маршрутов, построенных в процессе проведения статического анализа.

                  [из 3.3.4 Динамический анализ исходных текстов программ РД ГТК Защита от НСД. ПО СЗИ. Классификация по уровню контроля отсутствия недекларированных возможностей]

                    3.3.5 Отчетность РД ГТК Защита от НСД. ПО СЗИ. Классификация по уровню контроля отсутствия недекларированных возможностей

                    Кроме аналогичных требований, предъявляемых к четвертому уровню контроля, дополнительно отчет (протокол) должен содержать результаты:

                    • контроля полноты и отсутствия избыточности исходных текстов контролируемого ПО на уровне функциональных объектов (процедур);
                    • контроля связей функциональных объектов (модулей, процедур, функций) по управлению;
                    • контроля связей функциональных объектов (модулей, процедур, функций) по информации;
                    • контроля информационных объектов различных типов (например, локальных переменных, глобальных переменных, внешних переменных и т.п.);
                    • формирования перечня маршрутов выполнения функциональных объектов (процедур, функций)
                    • контроля выполнения функциональных объектов (процедур, функций);
                    • сопоставления фактических маршрутов выполнения функциональных объектов (процедур, функций) и маршрутов, построенных в процессе проведения статического анализа.

                    [из 3.3.5 Отчетность РД ГТК Защита от НСД. ПО СЗИ. Классификация по уровню контроля отсутствия недекларированных возможностей]

                      Страницы

                      Подписка на Из Руководящий документ «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей»