Кроме того, должна быть представлена «Пояснительная записка» (ГОСТ 19.404-79), содержащая основные сведения о назначении компонентов, входящих в состав ПО, параметрах обрабатываемых наборов данных (подсхемах баз данных), формируемых кодах возврата, описание используемых переменных, алгоритмов функционирования и т. п.

3.3.2. Контроль исходного состояния ПО. Требования полностью включают в себя аналогичные требования к четвертому уровню контроля.

3.3.3. Статический анализ исходных текстов программ. Кроме аналогичных требований, предъявляемых к четвертому уровню контроля, дополнительно предъявляются следующие требования:

>• контроль полноты и отсутствия избыточности исходных текстов ПО на уровне функциональных объектов (процедур);

>• контроль связей функциональных объектов (модулей, процедур, функций) по управлению;

>• контроль связей функциональных объектов (модулей, процедур, функций) по информации;

>• контроль информационных объектов различных типов (например, локальных переменных, глобальных переменных, внешних переменных и т.п.);

>• формирование перечня маршрутов выполнения функциональных объектов (процедур, функций).

3.3.4. Динамический анализ исходных текстов программ. Динамический анализ исходных текстов программ должен включать следующие технологические операции:

>• контроль выполнения функциональных объектов (процедур, функций);

>• сопоставление фактических маршрутов выполнения функциональных объектов (процедур, функций) и маршрутов, построенных в процессе проведения статического анализа.

3.3.5. Отчетность.

Кроме аналогичных требований, предъявляемых к четвертому уровню контроля, дополнительно отчет (протокол) должен содержать результаты:

>• контроля полноты и отсутствия избыточности исходных текстов контролируемого ПО на уровне функциональных объектов (процедур);

>• контроля связей функциональных объектов (модулей, процедур, функций) по управлению;

>• контроля связей функциональных объектов (модулей, процедур, функций) по информации;

>• контроля информационных объектов различных типов (например, локальных переменных, глобальных переменных, внешних переменных и т.п.);

>• формирования перечня маршрутов выполнения функциональных объектов (процедур, функций);

>• контроля выполнения функциональных объектов (процедур, функций);

>• сопоставления фактических маршрутов выполнения функциональных объектов (процедур, функций) и маршрутов, построенных в процессе проведения статического анализа.

3.4. Требования ко второму уровню контроля.

3.4.1. Контроль состава и содержания документации. Требования полностью включают в себя аналогичные требования к третьему уровню контроля.

3.4.2. Контроль исходного состояния ПО. Требования полностью включают в себя аналогичные требования к третьему уровню контроля.

3.4.3. Статический анализ исходных текстов программ. Кроме аналогичных требований, предъявляемых к третьему уровню контроля, дополнительно предъявляются следующие требования:

>• контроль полноты и отсутствия избыточности исходных текстов контролируемого программного обеспечения на уровне функциональных объектов (функций);

>• синтаксический контроль наличия заданных конструкций в исходных текстах ПО из списка (базы) потенциально опасных программных конструкций;

>• формирование перечня маршрутов выполнения функциональных объектов (ветвей);

>• анализ критических маршрутов выполнения функциональных объектов (процедур, функций) для заданных экспертом списков информационных объектов;

>• построение по исходным текстам контролируемого ПО блок-схем, диаграмм и т. п. и последующий сравнительный анализ алгоритма работы функциональных объектов (процедур, функций) и алгоритма работы, приведенного в «Пояснительной записке».

3.4.4. Динамический анализ исходных текстов программ.

Кроме аналогичных требований, предъявляемых к третьему уровню контроля, дополнительно предъявляются следующие требования:

>• контроль выполнения функциональных объектов (ветвей);

>• сопоставление фактических маршрутов выполнения функциональных объектов (ветвей) и маршрутов, построенных в процессе проведения статического анализа.

3.4.5 Отчетность.

Кроме аналогичных требований, предъявляемых к третьему уровню контроля, дополнительно отчет (протокол) должен содержать результаты:

>• контроля полноты и отсутствия избыточности исходных текстов контролируемого программного обеспечения на уровне функциональных объектов (функций);

>• синтаксического контроля наличия заданных конструкций в исходных текстах ПО из списка (базы) потенциально опасных конструкций;

>• формирования перечня маршрутов выполнения функциональных объектов (ветвей);

>• анализа критических маршрутов выполнения функциональных объектов (процедур, функций) для заданных экспертом списков информационных объектов;

>• построения по исходным текстам контролируемого ПО блок-схем, диаграмм и т. п., и последующего сравнительного анализа алгоритма работы функциональных объектов (процедур, функций) и алгоритма работы, приведенного в «Пояснительной записке»;

>• контроля выполнения функциональных объектов (ветвей);

>• сопоставления фактических маршрутов выполнения функциональных объектов (ветвей) и маршрутов, построенных в процессе проведения статического анализа.

3.5. Требования к первому уровню контроля.

3.5.1. Контроль состава и содержания документации. Требования полностью включают в себя аналогичные требования ко второму уровню контроля.

3.5.2. Контроль исходного состояния ПО. Требования полностью включают в себя аналогичные требования ко второму уровню контроля.

3.5.3. Статический анализ исходных текстов программ. Кроме аналогичных требований, предъявляемых ко второму уровню контроля, дополнительно предъявляются следующие требования:

>• контроль соответствия исходных текстов ПО его объектному (загрузочному) коду с использованием сертифицированных компиляторов;

>• семантический контроль наличия заданных конструкций в исходных - текстах ПО из списка (базы) потенциально опасных конструкций.

3.5.4. Динамический анализ исходных текстов программ. Требования полностью включают в себя аналогичные требования ко второму уровню контроля.

3.5.5. Отчетность.

Кроме аналогичных требований, предъявляемых ко второму уровню контроля, дополнительно отчет (протокол) должен содержать результаты:

>• контроля соответствия исходных текстов ПО его объектному (загрузочному) коду с использованием сертифицированных компиляторов;

>• семантического контроля наличия заданных конструкций в исходных текстах ПО из списка (базы) потенциально опасных конструкций.

«ЗАЩИТА ИНФОРМАЦИИ. СПЕЦИАЛЬНЫЕ ЗАЩИТНЫЕ ЗНАКИ. КЛАССИФИКАЦИЯ И ОБЩИЕ ТРЕБОВАНИЯ»

Руководящий документ Гостехкомиссии РФ

1. Общие положения

1.1. Настоящий руководящий документ устанавливает классификацию по классам защиты специальных защитных знаков, предназначенных для контроля доступа к объектам защиты, а также для защиты документов от подделки.

1.2. Основными объектами защиты, для которых могут применяться специальные защитные знаки, являются:

>• документированная информация на материальном носителе;

>• специальные почтовые отправления;

>• специальные изделия, технические средства и приборы (в том числе регулируемые и критичные к установке), товары народного потребления, подлежащие опечатыванию и контролю;

>• продукция специального назначения, контейнеры, вагоны, емкости при их перевозке и хранении;

>• помещения, сейфы, запасные выходы, аварийные устройства.

1.3. Документами, защищаемыми с помощью специальных защитных знаков, являются документы, удостоверяющие личность, пропуска сотрудников организаций и учреждений, лицензии, патенты, кредитные карточки, ценные бумаги и т. п.

1.4. Специальные защитные знаки реализуются в виде рисунка, метки, материала, вещества, обложки, ламината, самоклеящейся ленты, отдельных наклеек, самоклеющихся пломб или другого продукта, созданного на основе физико-химических технологий для контроля доступа к объектам защиты, а также для защиты документов от подделки.

1.5. Настоящий документ определяет требования к специальным защитным знакам при их сертификации в Системе сертификации средств защиты информации по требованиям безопасности информации (РООС RU 0001.01БИОО).

1.6. Настоящий документ является руководящим документом для заказчиков специальных защитных знаков и испытательных лабораторий, проводящих сертификационные испытания в Системе сертификации средств защиты информации по требованиям безопасности информации.

2. Термины и определения

Специальный защитный знак (СЗЗ) — сертифицированное и зарегистрированное в установленном порядке изделие, предназначенное для контроля несанкционированного доступа к объектам защиты путем определения подлинности и целостности СЗЗ, путем сравнения самого знака или композиции «СЗЗ — подложка» по критериям соответствия характерным признакам визуальными, инструментальными и