Справочные материалы

Таблица сравнения классов защищенности по уровню контроля недекларированных возможностей (НДВ)

Данная таблица представляет собой компактное представление всех требований руководящего документа ФСТЭК «Защита от НСД к информации. Часть 1. Программное обеспечение СЗИ. Классификация по уровню контроля отсутствия НДВ» для 2-х востребованных при проведении сертификационных испытаний классов защищенности по уровню контроля НДВ.

Наименование требования КЛАССЫ
3  2  
Требования к документации
1. Контроль состава и содержания документации
1.1 Спецификация (ГОСТ 19.202-78), содержащая сведения о составе ПО и до-кументации на него; + +
1.2 Описание программы (ГОСТ 19.402-78), содержащее основные сведения о составе (с указанием контрольных сумм файлов, входящих в состав ПО), ло-гической структуре и среде функционирования ПО, а также описание мето-дов, приемов и правил эксплуатации средств технологического оснащения при создании ПО; + +
1.3 Описание применения (ГОСТ 19.502-78), содержащее сведения о назначе-нии ПО, области применения, применяемых методах, классе решаемых за-дач, ограничениях при применении, минимальной конфигурации технических средств, среде функционирования и порядке работы. + +
1.4 Исходные тексты программ (ГОСТ 19.401-78), входящих в состав ПО. + +
1.5 Кроме того, должна быть представлена «Пояснительная записка» (ГОСТ 19.404-79), содержащая основные сведения о назначении компонентов, вхо-дящих в состав ПО, параметрах обрабатываемых наборов данных (подсхемах баз данных), формируемых кодах возврата, описание используемых пере-менных, алгоритмов функционирования и т.п. + +
Требования к содержанию испытаний
2. Контроль исходного состояния ПО
2.1. Контроль заключается в фиксации исходного состояния ПО и сравнении по-лученных результатов с приведенными в документации. + +
2.2. Результатами контроля исходного состояния ПО должны быть рассчитанные уникальные значения контрольных сумм загрузочных модулей и исходных текстов программ, входящих в состав ПО. + +
2.3. Контрольные суммы должны рассчитываться для каждого файла, входящего в состав ПО. + +
Статический анализ исходных текстов программ
Статический анализ исходных текстов программ должен включать следующие технологические операции:
3. Очистка памяти
3.1. Контроль полноты и отсутствия избыточности исходных текстов ПО на уровне файлов; + +
3.2. Контроль соответствия исходных текстов ПО его объектному (загрузочному) коду. + +
3.3. Контроль полноты и отсутствия избыточности исходных текстов ПО на уровне функциональных объектов (процедур); + +
3.4. Контроль связей функциональных объектов (модулей, процедур, функций) по управлению; + +
3.5. Контроль связей функциональных объектов (модулей, процедур, функций) по информации; + +
3.6. Контроль информационных объектов различных типов (например, локальных переменных, глобальных переменных, внешних переменных и т.п.); + +
3.7. Формирование перечня маршрутов выполнения функциональных объектов (процедур, функций). + +
3.8. Контроль полноты и отсутствия избыточности исходных текстов контролируе-мого программного обеспечения на уровне функциональных объектов (функций); - +
3.9. Синтаксический контроль наличия заданных конструкций в исходных текстах ПО из списка (базы) потенциально опасных программных конструкций; - +
3.10. Формирование перечня маршрутов выполнения функциональных объектов (ветвей); - +
3.11. Анализ критических маршрутов выполнения функциональных объектов (про-цедур, функций) для заданных экспертом списков информационных объек-тов; - +
3.12. Построение по исходным текстам контролируемого ПО блок-схем, диаграмм и т.п., и последующий сравнительный анализ алгоритма работы функциональных объектов (процедур, функций) и алгоритма работы, приведенного в “Пояснительной записке”. - +
4. Динамический анализ исходных текстов программ
Динамический анализ исходных текстов программ должен включать следующие технологические операции:
4.1. Контроль выполнения функциональных объектов (процедур, функций); + +
4.2. Сопоставление фактических маршрутов выполнения функциональных объек-тов (процедур, функций) и маршрутов, построенных в процессе проведения статического анализа; + +
4.3. Контроль выполнения функциональных объектов (ветвей); - +
4.4. Сопоставление фактических маршрутов выполнения функциональных объек-тов (ветвей) и маршрутов, построенных в процессе проведения статического анализа. - +
5. Отчетность
По окончании испытаний оформляется отчет (протокол), содержащий результаты:
5.1. Контроля исходного состояния ПО; + +
5.2. Контроля полноты и отсутствия избыточности исходных текстов контролиру-емого ПО на уровне файлов; + +
5.3. Контроля соответствия исходных текстов ПО его объектному (загрузочному) коду. + +
5.4. Контроля полноты и отсутствия избыточности исходных текстов контролиру-емого ПО на уровне функциональных объектов (процедур); + +
5.5. Контроля связей функциональных объектов (модулей, процедур, функций) по управлению; + +
5.6. Контроля связей функциональных объектов (модулей, процедур, функций) по информации; + +
5.7. Контроля информационных объектов различных типов (например, локальных переменных, глобальных переменных, внешних переменных и т.п.); + +
5.8. Формирования перечня маршрутов выполнения функциональных объектов (процедур, функций); + +
5.9. Контроля выполнения функциональных объектов (процедур, функций); + +
5.10. Сопоставления фактических маршрутов выполнения функциональных объек-тов (процедур, функций) и маршрутов, построенных в процессе проведения статического анализа. + +
5.11. Контроля полноты и отсутствия избыточности исходных текстов контролиру-емого программного обеспечения на уровне функциональных объектов (функций); - +
5.12. Синтаксического контроля наличия заданных конструкций в исходных текстах ПО из списка (базы) потенциально опасных конструкций; - +
5.13. Формирования перечня маршрутов выполнения функциональных объектов (ветвей); - +
5.14. Анализа критических маршрутов выполнения функциональных объектов (процедур, функций) для заданных экспертом списков информационных объ-ектов; - +
5.15. Построения по исходным текстам контролируемого ПО блок-схем, диаграмм и т.п., и последующего сравнительного анализа алгоритма работы функцио-нальных объектов (процедур, функций) и алгоритма работы, приведённого в “Пояснительной записке”; - +
5.16. Контроля выполнения функциональных объектов (ветвей); - +
5.17. Сопоставления фактических маршрутов выполнения функциональных объек-тов (ветвей) и маршрутов, построенных в процессе проведения статического анализа. - +