Большая энциклопедия промышленного шпионажа - Юрий Федорович Каторин
Шрифт:
Интервал:
Закладка:
Кроме того, должна быть представлена «Пояснительная записка» (ГОСТ 19.404-79), содержащая основные сведения о назначении компонентов, входящих в состав ПО, параметрах обрабатываемых наборов данных (подсхемах баз данных), формируемых кодах возврата, описание используемых переменных, алгоритмов функционирования и т. п.
3.3.2. Контроль исходного состояния ПО. Требования полностью включают в себя аналогичные требования к четвертому уровню контроля.
3.3.3. Статический анализ исходных текстов программ. Кроме аналогичных требований, предъявляемых к четвертому уровню контроля, дополнительно предъявляются следующие требования:
>• контроль полноты и отсутствия избыточности исходных текстов ПО на уровне функциональных объектов (процедур);
>• контроль связей функциональных объектов (модулей, процедур, функций) по управлению;
>• контроль связей функциональных объектов (модулей, процедур, функций) по информации;
>• контроль информационных объектов различных типов (например, локальных переменных, глобальных переменных, внешних переменных и т.п.);
>• формирование перечня маршрутов выполнения функциональных объектов (процедур, функций).
3.3.4. Динамический анализ исходных текстов программ. Динамический анализ исходных текстов программ должен включать следующие технологические операции:
>• контроль выполнения функциональных объектов (процедур, функций);
>• сопоставление фактических маршрутов выполнения функциональных объектов (процедур, функций) и маршрутов, построенных в процессе проведения статического анализа.
3.3.5. Отчетность.
Кроме аналогичных требований, предъявляемых к четвертому уровню контроля, дополнительно отчет (протокол) должен содержать результаты:
>• контроля полноты и отсутствия избыточности исходных текстов контролируемого ПО на уровне функциональных объектов (процедур);
>• контроля связей функциональных объектов (модулей, процедур, функций) по управлению;
>• контроля связей функциональных объектов (модулей, процедур, функций) по информации;
>• контроля информационных объектов различных типов (например, локальных переменных, глобальных переменных, внешних переменных и т.п.);
>• формирования перечня маршрутов выполнения функциональных объектов (процедур, функций);
>• контроля выполнения функциональных объектов (процедур, функций);
>• сопоставления фактических маршрутов выполнения функциональных объектов (процедур, функций) и маршрутов, построенных в процессе проведения статического анализа.
3.4. Требования ко второму уровню контроля.
3.4.1. Контроль состава и содержания документации. Требования полностью включают в себя аналогичные требования к третьему уровню контроля.
3.4.2. Контроль исходного состояния ПО. Требования полностью включают в себя аналогичные требования к третьему уровню контроля.
3.4.3. Статический анализ исходных текстов программ. Кроме аналогичных требований, предъявляемых к третьему уровню контроля, дополнительно предъявляются следующие требования:
>• контроль полноты и отсутствия избыточности исходных текстов контролируемого программного обеспечения на уровне функциональных объектов (функций);
>• синтаксический контроль наличия заданных конструкций в исходных текстах ПО из списка (базы) потенциально опасных программных конструкций;
>• формирование перечня маршрутов выполнения функциональных объектов (ветвей);
>• анализ критических маршрутов выполнения функциональных объектов (процедур, функций) для заданных экспертом списков информационных объектов;
>• построение по исходным текстам контролируемого ПО блок-схем, диаграмм и т. п. и последующий сравнительный анализ алгоритма работы функциональных объектов (процедур, функций) и алгоритма работы, приведенного в «Пояснительной записке».
3.4.4. Динамический анализ исходных текстов программ.
Кроме аналогичных требований, предъявляемых к третьему уровню контроля, дополнительно предъявляются следующие требования:
>• контроль выполнения функциональных объектов (ветвей);
>• сопоставление фактических маршрутов выполнения функциональных объектов (ветвей) и маршрутов, построенных в процессе проведения статического анализа.
3.4.5 Отчетность.
Кроме аналогичных требований, предъявляемых к третьему уровню контроля, дополнительно отчет (протокол) должен содержать результаты:
>• контроля полноты и отсутствия избыточности исходных текстов контролируемого программного обеспечения на уровне функциональных объектов (функций);
>• синтаксического контроля наличия заданных конструкций в исходных текстах ПО из списка (базы) потенциально опасных конструкций;
>• формирования перечня маршрутов выполнения функциональных объектов (ветвей);
>• анализа критических маршрутов выполнения функциональных объектов (процедур, функций) для заданных экспертом списков информационных объектов;
>• построения по исходным текстам контролируемого ПО блок-схем, диаграмм и т. п., и последующего сравнительного анализа алгоритма работы функциональных объектов (процедур, функций) и алгоритма работы, приведенного в «Пояснительной записке»;
>• контроля выполнения функциональных объектов (ветвей);
>• сопоставления фактических маршрутов выполнения функциональных объектов (ветвей) и маршрутов, построенных в процессе проведения статического анализа.
3.5. Требования к первому уровню контроля.
3.5.1. Контроль состава и содержания документации. Требования полностью включают в себя аналогичные требования ко второму уровню контроля.
3.5.2. Контроль исходного состояния ПО. Требования полностью включают в себя аналогичные требования ко второму уровню контроля.
3.5.3. Статический анализ исходных текстов программ. Кроме аналогичных требований, предъявляемых ко второму уровню контроля, дополнительно предъявляются следующие требования:
>• контроль соответствия исходных текстов ПО его объектному (загрузочному) коду с использованием сертифицированных компиляторов;
>• семантический контроль наличия заданных конструкций в исходных - текстах ПО из списка (базы) потенциально опасных конструкций.
3.5.4. Динамический анализ исходных текстов программ. Требования полностью включают в себя аналогичные требования ко второму уровню контроля.
3.5.5. Отчетность.
Кроме аналогичных требований, предъявляемых ко второму уровню контроля, дополнительно отчет (протокол) должен содержать результаты:
>• контроля соответствия исходных текстов ПО его объектному (загрузочному) коду с использованием сертифицированных компиляторов;
>• семантического контроля наличия заданных конструкций в исходных текстах ПО из списка (базы) потенциально опасных конструкций.
«ЗАЩИТА ИНФОРМАЦИИ. СПЕЦИАЛЬНЫЕ ЗАЩИТНЫЕ ЗНАКИ. КЛАССИФИКАЦИЯ И ОБЩИЕ ТРЕБОВАНИЯ»
Руководящий документ Гостехкомиссии РФ
1. Общие положения
1.1. Настоящий руководящий документ устанавливает классификацию по классам защиты специальных защитных знаков, предназначенных для контроля доступа к объектам защиты, а также для защиты документов от подделки.
1.2. Основными объектами защиты, для которых могут применяться специальные защитные знаки, являются:
>• документированная информация на материальном носителе;
>• специальные почтовые отправления;
>• специальные изделия, технические средства и приборы (в том числе регулируемые и критичные к установке), товары народного потребления, подлежащие опечатыванию и контролю;
>• продукция специального назначения, контейнеры, вагоны, емкости при их перевозке и хранении;
>• помещения, сейфы, запасные выходы, аварийные устройства.
1.3. Документами, защищаемыми с помощью специальных защитных знаков, являются документы, удостоверяющие личность, пропуска сотрудников организаций и учреждений, лицензии, патенты, кредитные карточки, ценные бумаги и т. п.
1.4. Специальные защитные знаки реализуются в виде рисунка, метки, материала, вещества, обложки, ламината, самоклеящейся ленты, отдельных наклеек, самоклеющихся пломб или другого продукта, созданного на основе физико-химических технологий для контроля доступа к объектам защиты, а также для защиты документов от подделки.
1.5. Настоящий документ определяет требования к специальным защитным знакам при их сертификации в Системе сертификации средств защиты информации по требованиям безопасности информации (РООС RU 0001.01БИОО).
1.6. Настоящий документ является руководящим документом для заказчиков специальных защитных знаков и испытательных лабораторий, проводящих сертификационные испытания в Системе сертификации средств защиты информации по требованиям безопасности информации.
2. Термины и определения
Специальный защитный знак (СЗЗ) — сертифицированное и зарегистрированное в установленном порядке изделие, предназначенное для контроля несанкционированного доступа к объектам защиты путем определения подлинности и целостности СЗЗ, путем сравнения самого знака или композиции «СЗЗ — подложка» по критериям соответствия характерным признакам визуальными, инструментальными и
