Энциклопедия информационной безопасности. По всем вопросам обращайтесь по адресу admin@wikisec.ru

Требования к 2 уровню контроля отсутствия НДВ

Материал из wikisec
Перейти к навигации Перейти к поиску

(3.4.1.) Контроль состава и содержания документации

В состав документации, представляемой, заявителем должны входить:

  • Спецификация (ГОСТ 19.202-78), содержащая сведения о составе ПО и документации на него;
  • Описание программы (ГОСТ 19.402-78) содержащее основные сведения о составе (с указанием контрольных сумм файлов, входящих в состав ПО), логической структуре и среде функционирования ПО, а также описание методов, приемов и правил эксплуатации средств технологического оснащения при создании ПО;
  • Пояснительная записка (ГОСТ 19.404-79), содержащая основные сведения о назначении компонентов, входящих в состав ПО, параметрах обрабатываемых наборов данных (подсхемах баз данных), формируемых кодах возврата, описание используемых переменных, алгоритмов функционирования и т.п.;
  • Описание применения (ГОСТ 19.502-78) содержащее сведения о назначении ПО, области применения, применяемых методах, классе решаемых задач, ограничениях при применении, минимальной конфигурации технически средств, среде функционирования и порядке работы.
  • Исходные тексты программ (ГОСТ 19.401-78), входящих в состав ПО.

Для ПО импортного производства состав документации может отличаться от требуемого, однако, содержание должно соответствовать требованиям указанных ГОСТ.

(3.4.2.) Контроль исходного состояния ПО

Контроль заключается в фиксации исходного состояния ПО и сравнении полученных результатов с приведенными в документации. Результатами контроля исходного состояния ПО должны быть рассчитанные уникальные значения контрольных сумм загрузочных модулей и исходных текстов программ, входящих в состав ПО. Контрольные суммы должны рассчитываться для каждого файла, входящего в состав ПО.

(3.4.3.) Статический анализ исходных текстов программ

Статический анализ исходных текстов программ должен включать следующие технологические операции:

  • контроль полноты и отсутствия избыточности исходных текстов ПО на уровне файлов;
  • контроль полноты и отсутствия избыточности исходных текстов ПО на уровне функциональных объектов (процедур, функций);
  • контроль соответствия исходных текстов ПО его объектному (загрузочному) коду;
  • контроль связей функциональных объектов (модулей, процедур, функции) по управлению;
  • контроль связей функциональных объектов (модулей, процедур, функций) по информации;
  • контроль информационных объектов различных типов (например, локальных переменных, глобальных переменных, внешних переменных и т.п.);
  • формирование перечня маршрутов выполнения функциональных объектов (процедур, функций, ветвей);
  • синтаксический контроль наличия заданных конструкций в исходных текстах ПО из списка (базы) потенциально опасных программных конструкций;
  • анализ критических маршрутов функциональных объектов (процедур, функций) для заданных экспертом списков информационных объектов;
  • построение по исходным текстам контролируемого ПО блок-схем, диаграмм и т.п., и последующий сравнительный анализ алгоритма работы функциональных объектов (процедур, функций) и алгоритма работы, приведенного в "Пояснительной записке".

(3.4.4.) Динамический анализ исходных текстов программ

Динамический анализ исходных текстов программ должен включать следующие технологические операции:

  • контроль выполнения функциональных объектов (процедур, функций, ветвей);
  • сопоставление фактических маршрутов выполнения функциональных объектов (процедур, функций, ветвей) и маршрутов, построенных в процессе проведения статического анализа.

(3.4.5) Отчетность

По окончании испытаний оформляется отчет (протокол), содержащий результаты:

  • контроля исходного состояния ПО;
  • контроля полноты и отсутствия избыточности исходных текстов контролируемого ПО на уровне файлов;
  • контроля полноты и отсутствия избыточности исходных текстов контролируемого ПО на уровне функциональных объектов (процедур, функций);
  • контроля соответствия исходных текстов ПО его объектному (загрузочному) коду;
  • контроля связей функциональных объектов (модулей, процедур, функций) по управлению;
  • контроля связей функциональных объектов (модулей, процедур, функций) по информации;
  • контроля информационных объектов различных типов (например, локальных переменных, глобальных переменных, внешних переменных и т.п.);
  • формирования перечня маршрутов выполнения функциональных объектов (процедур, функций, ветвей);
  • контроля выполнения функциональных объектов (процедур, функции, ветвей);
  • сопоставления фактических маршрутов выполнения функциональных объектов (процедур, функций, ветвей) и маршрутов, построенных в процессе проведения статического анализа;
  • синтаксического контроля наличия заданных конструкций в исходных текстах ПО из списка (базы) потенциально опасных конструкций;
  • анализа критических маршрутов выполнения функциональных объектов (процедур, функций) для заданных экспертом списков информационных объектов;
  • построения по исходным текстам контролируемого ПО блок-схем, диаграмм и т.п., и последующего сравнительного анализа алгоритма работы функциональных объектов (процедур, функций) и алгоритма работы, приведённого в "Пояснительной записке".

Ссылки