Энциклопедия информационной безопасности. По всем вопросам обращайтесь по адресу swan@wikisec.ru
Требования к 2 уровню контроля отсутствия НДВ: различия между версиями
Перейти к навигации
Перейти к поиску
Wikiadmin (обсуждение | вклад) (Новая страница: « == (3.4.1.) Контроль состава и содержания документации == В состав документации, представляе...») |
Wikiadmin (обсуждение | вклад) |
||
| Строка 2: | Строка 2: | ||
== (3.4.1.) Контроль состава и содержания документации == | == (3.4.1.) Контроль состава и содержания документации == | ||
В состав документации, представляемой, заявителем должны входить: | В состав документации, представляемой, заявителем должны входить: | ||
| − | * Спецификация (ГОСТ 19 . 202-78), содержащая сведения о составе ПО и документации на него; | + | * Спецификация ([[ГОСТ 19.202-78]]), содержащая сведения о составе ПО и документации на него; |
* Описание программы (ГОСТ 19.402-78) содержащее основные сведения о составе (с указанием контрольных сумм файлов, входящих в состав ПО), логической структуре и среде функционирования ПО, а также описание методов, приемов и правил эксплуатации средств технологического оснащения при создании ПО; | * Описание программы (ГОСТ 19.402-78) содержащее основные сведения о составе (с указанием контрольных сумм файлов, входящих в состав ПО), логической структуре и среде функционирования ПО, а также описание методов, приемов и правил эксплуатации средств технологического оснащения при создании ПО; | ||
* Пояснительная записка (ГОСТ 19.404-79), содержащая основные сведения о назначении компонентов, входящих в состав ПО, параметрах обрабатываемых наборов данных (подсхемах баз данных), формируемых кодах возврата, описание используемых переменных, алгоритмов функционирования и т.п.; | * Пояснительная записка (ГОСТ 19.404-79), содержащая основные сведения о назначении компонентов, входящих в состав ПО, параметрах обрабатываемых наборов данных (подсхемах баз данных), формируемых кодах возврата, описание используемых переменных, алгоритмов функционирования и т.п.; | ||
Версия 13:30, 18 ноября 2019
Содержание
(3.4.1.) Контроль состава и содержания документации
В состав документации, представляемой, заявителем должны входить:
- Спецификация (ГОСТ 19.202-78), содержащая сведения о составе ПО и документации на него;
- Описание программы (ГОСТ 19.402-78) содержащее основные сведения о составе (с указанием контрольных сумм файлов, входящих в состав ПО), логической структуре и среде функционирования ПО, а также описание методов, приемов и правил эксплуатации средств технологического оснащения при создании ПО;
- Пояснительная записка (ГОСТ 19.404-79), содержащая основные сведения о назначении компонентов, входящих в состав ПО, параметрах обрабатываемых наборов данных (подсхемах баз данных), формируемых кодах возврата, описание используемых переменных, алгоритмов функционирования и т.п.;
- Описание применения (ГОСТ 19.502-78) содержащее сведения о назначении ПО, области применения, применяемых методах, классе решаемых задач, ограничениях при применении, минимальной конфигурации технически средств, среде функционирования и порядке работы.
- Исходные тексты программ (ГОСТ 19.401-78), входящих в состав ПО.
Для ПО импортного производства состав документации может отличаться от требуемого, однако, содержание должно соответствовать требованиям указанных ГОСТ.
(3.4.2.) Контроль исходного состояния ПО
Контроль заключается в фиксации исходного состояния ПО и сравнении полученных результатов с приведенными в документации. Результатами контроля исходного состояния ПО должны быть рассчитанные уникальные значения контрольных сумм загрузочных модулей и исходных текстов программ, входящих в состав ПО. Контрольные суммы должны рассчитываться для каждого файла, входящего в состав ПО.
(3.4.3.) Статический анализ исходных текстов программ
Статический анализ исходных текстов программ должен включать следующие технологические операции:
- контроль полноты и отсутствия избыточности исходных текстов ПО на уровне файлов;
- контроль полноты и отсутствия избыточности исходных текстов ПО на уровне функциональных объектов (процедур, функций);
- контроль соответствия исходных текстов ПО его объектному (загрузочному) коду;
- контроль связей функциональных объектов (модулей, процедур, функции) по управлению;
- контроль связей функциональных объектов (модулей, процедур, функций) по информации;
- контроль информационных объектов различных типов (например, локальных переменных, глобальных переменных, внешних переменных и т.п.);
- формирование перечня маршрутов выполнения функциональных объектов (процедур, функций, ветвей);
- синтаксический контроль наличия заданных конструкций в исходных текстах ПО из списка (базы) потенциально опасных программных конструкций;
- анализ критических маршрутов функциональных объектов (процедур, функций) для заданных экспертом списков информационных объектов;
- построение по исходным текстам контролируемого ПО блок-схем, диаграмм и т.п., и последующий сравнительный анализ алгоритма работы функциональных объектов (процедур, функций) и алгоритма работы, приведенного в "Пояснительной записке".
(3.4.4.) Динамический анализ исходных текстов программ
Динамический анализ исходных текстов программ должен включать следующие технологические операции:
- контроль выполнения функциональных объектов (процедур, функций, ветвей);
- сопоставление фактических маршрутов выполнения функциональных объектов (процедур, функций, ветвей) и маршрутов, построенных в процессе проведения статического анализа.
(3.4.5) Отчетность
По окончании испытаний оформляется отчет (протокол), содержащий результаты:
- контроля исходного состояния ПО;
- контроля полноты и отсутствия избыточности исходных текстов контролируемого ПО на уровне файлов;
- контроля полноты и отсутствия избыточности исходных текстов контролируемого ПО на уровне функциональных объектов (процедур, функций);
- контроля соответствия исходных текстов ПО его объектному (загрузочному) коду;
- контроля связей функциональных объектов (модулей, процедур, функций) по управлению;
- контроля связей функциональных объектов (модулей, процедур, функций) по информации;
- контроля информационных объектов различных типов (например, локальных переменных, глобальных переменных, внешних переменных и т.п.);
- формирования перечня маршрутов выполнения функциональных объектов (процедур, функций, ветвей);
- контроля выполнения функциональных объектов (процедур, функции, ветвей);
- сопоставления фактических маршрутов выполнения функциональных объектов (процедур, функций, ветвей) и маршрутов, построенных в процессе проведения статического анализа;
- синтаксического контроля наличия заданных конструкций в исходных текстах ПО из списка (базы) потенциально опасных конструкций;
- анализа критических маршрутов выполнения функциональных объектов (процедур, функций) для заданных экспертом списков информационных объектов;
- построения по исходным текстам контролируемого ПО блок-схем, диаграмм и т.п., и последующего сравнительного анализа алгоритма работы функциональных объектов (процедур, функций) и алгоритма работы, приведённого в "Пояснительной записке".
