Энциклопедия информационной безопасности. По всем вопросам обращайтесь по адресу admin@wikisec.ru

Требования к 3 уровню контроля отсутствия НДВ

Материал из wikisec
Перейти к навигации Перейти к поиску

(3.3.1.) Контроль состава и содержания документации

В состав документации, представляемой, заявителем должны входить:

  • Спецификация (ГОСТ 19 . 202-78), содержащая сведения о составе ПО и документации на него;
  • Описание программы (ГОСТ 19.402-78) содержащее основные сведения о составе (с указанием контрольных сумм файлов, входящих в состав ПО), логической структуре и среде функционирования ПО, а также описание методов, приемов и правил эксплуатации средств технологического оснащения при создании ПО;
  • Пояснительная записка (ГОСТ 19.404-79), содержащая основные сведения о назначении компонентов, входящих в состав ПО, параметрах обрабатываемых наборов данных (подсхемах баз данных), формируемых кодах возврата, описание используемых переменных, алгоритмов функционирования и т.п.;
  • Описание применения (ГОСТ 19.502-78) содержащее сведения о назначении ПО, области применения, применяемых методах, классе решаемых задач, ограничениях при применении, минимальной конфигурации технически средств, среде функционирования и порядке работы.
  • Исходные тексты программ (ГОСТ 19.401-78), входящих в состав ПО.

Для ПО импортного производства состав документации может отличаться от требуемого, однако, содержание должно соответствовать требованиям указанных ГОСТ.

(3.3.2.) Контроль исходного состояния ПО

Контроль заключается в фиксации исходного состояния ПО и сравнении полученных результатов с приведенными в документации. Результатами контроля исходного состояния ПО должны быть рассчитанные уникальные значения контрольных сумм загрузочных модулей и исходных текстов программ, входящих в состав ПО. Контрольные суммы должны рассчитываться для каждого файла, входящего в состав ПО.

(3.3.3.) Статический анализ исходных текстов программ

Статический анализ исходных текстов программ должен включать следующие технологические операции:

  • контроль полноты и отсутствия избыточности исходных текстов ПО на уровне файлов;
  • контроль полноты и отсутствия избыточности исходных текстов ПО на уровне функциональных объектов (процедур);
  • контроль связей функциональных объектов (модулей, процедур, функции) по управлению;
  • контроль связей функциональных объектов (модулей, процедур, функций) по информации;
  • контроль информационных объектов различных типов (например, локальных переменных, глобальных переменных, внешних переменных и т.п.);
  • формирование перечня маршрутов выполнения функциональных объектов (процедур, функций);
  • контроль соответствия исходных текстов ПО его объектному (загрузочному) коду.

(3.3.4.) Динамический анализ исходных текстов программ

Динамический анализ исходных текстов программ должен включать следующие технологические операции:

  • контроль выполнения функциональных объектов (процедур, функций);
  • сопоставление фактических маршрутов выполнения функциональных объектов (процедур, функций) и маршрутов, построенных в процессе проведения статического анализа.

(3.3.5.) Отчетность

По окончании испытаний оформляется отчет (протокол), содержащий результаты:

  • контроля исходного состояния ПО;
  • контроля полноты и отсутствия избыточности исходных текстов контролируемого ПО на уровне файлов;
  • контроля полноты и отсутствия избыточности исходных текстов контролируемого ПО на уровне функциональных объектов (процедур);
  • контроля связей функциональных объектов (модулей, процедур, функций) по управлению;
  • контроля связей функциональных объектов (модулей, процедур, функций) по информации;
  • контроля информационных объектов различных типов (например, локальных переменных, глобальных переменных, внешних переменных и т.п.);
  • формирования перечня маршрутов выполнения функциональных объектов (процедур, функций);
  • контроля выполнения функциональных объектов (процедур, функции);
  • сопоставления фактических маршрутов выполнения функциональных объектов (процедур, функций) и маршрутов, построенных в процессе проведения статического анализа;
  • контроля соответствия исходных текстов ПО его объектному (загрузочному) коду.

Ссылки