Инструкция по защите информации от нсд

Данный архив содержит шаблоны документов по защите информации в целом и по защите персональных данных в частности.

1. Раздел «Общее» — документы, утверждение которых, как правило необходимо для любой системы, независимо от ее классификации:

• Приказ о назначении ответственного за организацию обработки персональных данных и администратора безопасности информации
• Инструкция администратора безопасности
• Инструкция ответственного за организацию обработки персональных данных
• Приказ о назначении группы реагирования на инциденты информационной безопасности и о правилах регистрации инцидентов информационной безопасности и реагирования на них
• Инструкция по реагированию на инциденты информационной безопасности
• Инструкция пользователя государственной информационной системы
• Приказ об утверждении внутренних нормативных актов по защите информации
• Политика информационной безопасности в составе:
• — Общие положения
• — Технологические процессы обработки защищаемой информации в информационных системах
• — Правила и процедуры идентификации и аутентификации пользователей, политика разграничения доступа к ресурсам информационной системы
• — Правила и процедуры управления установкой (инсталляцией) компонентов программного обеспечения
• — Правила и процедуры обеспечения доверенной загрузки средств вычислительной техники
• — Правила и процедуры выявления, анализа и устранения уязвимостей
• — Правила и процедуры контроля состава технических средств, программного обеспечения и средств защиты информации
• — Правила и процедуры резервирования технических средств, программного обеспечения, баз данных, средств защиты информации и их восстановления при возникновении нештатных ситуаций
• — Форма заявки на внесение изменений в списки пользователей и наделение пользователей полномочиями доступа к ресурсам информационной системы
• — Форма задания на внесение изменений в списки пользователей информационной системы
• — Форма положения о разграничении прав доступа (ролевая система допуска к ресурсам)
• — Форма перечня лиц, должностей, служб и процессов, допущенных к работе с ресурсами информационной системы
• — Форма перечня помещений, в которых разрешена работа с ресурсами информационной системы, в которых размещены технические средства, а также перечень лиц, допущенных в эти помещения
• — Форма списка разрешающих правил взаимодействия с внешними телекоммуникационными сетями
• — Форма списка разрешенного программного обеспечения в информационной системе
• — Форма списка прикладного программного обеспечения информационной системы, доступного внешним пользователям
• — Форма списка пользователей, которым в соответствии с должностными обязанностями предоставлен удаленный доступ к информационной системе
• — Порядок резервирования информационных ресурсов
• — План обеспечения непрерывности функционирования информационной системы
• Приказ об организации контролируемой зоны
• Положение о контролируемой зоне
• План мероприятий по обеспечению безопасности защищаемой информации, выполнению требований законодательства по защите информации, а также по контролю уровня защищенности и выполнения мер по защите информации в информационной системе
• Форма журнала учета машинных носителей информации, стационарно устанавливаемых в корпус средств вычислительной техники
• Форма журнала учета портативных вычислительных устройств, имеющих встроенные носители информации
• Форма журнала учета приема/выдачи съемных машинных носителей информации
• Форма журнала учета средств защиты информации
• Форма журнала учета периодического тестирования средств защиты информации
• Форма журнала проведения инструктажей по информационной безопасности
• Форма журнала учета мероприятий по контролю обеспечения защиты информации

2. Раздел «Только ГИС» — небольшая подборка документов, которые необходимы для государственных или муниципальных информационных систем:

• Приказ о необходимости защиты информации, содержащейся в государственной информационной системе
• Приказ о необходимости защиты информации, содержащейся в муниципальной информационной системе
• Приказ о классификации государственной информационной системы
• Форма акта классификации государственной информационной системы
• Приказ о вводе в эксплуатация государственной информационной системы

3. Раздел «ПДн» — документы по защите персональных данных, регламентированные 152-ФЗ и подзаконными актами:

• Положение о защите и обработке персональных данных в составе:
• — Общие положения
• — Основные понятия и состав персональных данных
• — Общие принципы обработки персональных данных
• — Порядок сбора и хранения персональных данных
• — Процедура получения персональных данных
• — Передача персональных данных третьим лицам
• — Трансграничная передача персональных данных
• — Порядок уничтожения и блокирования персональных данных
• — Защита персональных данных
• — Согласие на обработку персональных данных
• — Организация доступа работников к персональным данным субъектов
• — Организация доступа субъекту персональных данных к его персональным данным
• — Права и обязанности оператора персональных данных
• — Права и обязанности работников, допущенных к обработке персональных данных
• — Права субъекта персональных данных
• — Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных
• Правила рассмотрения запросов субъектов персональных данных или их представителей
• Приказ об утверждении перечня лиц, допущенных к обработке персональных данных
• Форма перечня лиц, допущенных к обработке персональных данных
• Политика в отношении обработки персональных данных
• Приказ об определении уровня защищенности персональных данных
• Форма акта определения уровня защищенности персональных данных
• Правила обработки персональных данных без использования средств автоматизации
• Приказ о назначении комиссии по уничтожению документов, содержащих персональные данные
• Форма акта уничтожения персональных данных
• Приказ об утверждении мест хранения персональных данных и лицах, ответственных за соблюдение конфиденциальности персональных данных при их хранении
• Форма согласия субъекта на обработку его персональных данных
• Положение о системе видеонаблюдения
• Форма соглашения о неразглашении персональных данных
• Форма журнала учета обращений граждан-субъектов персональных данных о выполнении их законных прав

4. Раздел «СКЗИ» — документы, необходимые при использовании в системе защиты информации криптографических средств

• Приказ о порядке хранения и эксплуатации средств криптографической защиты информации
• Форма перечень сотрудников, допущенных к работе с СКЗИ
• Инструкция по обеспечению безопасности эксплуатации СКЗИ
• Форма акта об уничтожении криптографических ключей и ключевых документов
• Схема организации криптографической защиты информации

5. Модель угроз безопасности информации

Современные компании располагают значительными объемами информации. В сегодняшних реалиях она является основным ресурсом. Базы данных нуждаются в надежной охране от преступного использования, которое представляет собой серьезную угрозу для деятельности и существования компании. Поэтому так важно обеспечить защиту данных от несанкционированного доступа. Это комплекс мероприятий, направленных на контроль полномочий пользователей. В компании вводится ограничение использования сведений, которые не нужны сотрудникам для выполнения прямых обязанностей. Контролировать необходимо действия как с бумажными документами, так и со сведениями на электронных носителях информации. 

Для того чтобы создать надежную систему защиты информации нужно определить возможные способы получения данных.

Способы доступа посторонних к сведениям 

Несанкционированный доступ к информации (НСД) может быть получен разными способами. Прямое хищение документов или взлом операционных систем компьютеров составляют лишь малую часть возможных вариантов. Наиболее уязвимыми считаются электронные средства хранения информации, так как для них могут быть использованы удаленные методы управления и контроля. 

Возможные варианты получения незаконного доступа:

• подключение к системам связи (телефонные линии, интеркомы, проводные переговорные устройства);
• хищение документации, в том числе ее копирование (тиражирование) с враждебными целями;
• непосредственное использование компьютеров, внешних накопителей или иных устройств, содержащих информацию;
• внедрение в операционную систему через Интернет, в том числе с использованием шпионских программ, вирусов и прочего вредоносного программного обеспечения;
• использование сотрудников компании (инсайдеров) в качестве источников сведений.

---

По данным Gartner, 60% людей готовы пойти на преступление под гнетом обстоятельств. Узнайте, на что способны ваши сотрудники с помощью «СёрчИнформ ProfileCenter».  

---

Подключение к действующему каналу связи позволяет получать сведения косвенным способом, без непосредственного доступа к базам данных. Наиболее защищенными от вторжения извне считаются оптоволоконные линии, но и к ним можно присоединиться после некоторых подготовительных операций. Целью злоумышленников в этом случае становятся рабочие переговоры сотрудников – например, при проведении следственных мероприятий или при совершении финансовых операций.  

Часто для получения нужных сведений злоумышленники используют сотрудников компаний. В ход идут разные способы убеждения и мотивации – от подкупа до более жестких методов (запугивание, шантаж). В группу риска входят сотрудники, у которых возник конфликт с коллегами или с администрацией компании. Эти работники могут иметь авторизованный доступ к информации, позволяющий им получать определенные сведения без ограничений. Аутентификация пользователей в данном случае не является эффективной мерой защиты, поскольку она способна отсечь только посторонних. 

Еще одна внутренняя угроза – кража носителей с ценными сведениями, например, программным кодом, который является разработкой компании. На это способны только доверенные лица, имеющие доступ к конфиденциальным данным в физическом или электронном виде. 

Параллельно с развитием средств защиты информации ведутся разработки новых методов НСД. Необходимо понимать, что изученные методы незаконного получения данных не считаются перспективными. Наибольшую опасность представляют новые и малоизученные способы доступа к ресурсам компании, против которых пока нет эффективных методик борьбы. Поэтому считать средства защиты от несанкционированного доступа излишней мерой не следует. Это не попытка перестраховаться, а следствие правильного понимания размеров угрозы.  

Для чего предпринимаются попытки доступа к чужой информации

Основная цель несанкционированного доступа к информации – получение дохода от использования чужих данных. 

Возможные способы использования полученных сведений:

• перепродажа третьим лицам;
• подделка или уничтожение (например, при получении доступа к базам должников, подследственных, разыскиваемых лиц и т. п.);
• использование чужих технологий (промышленный шпионаж);
• получение банковских реквизитов, финансовой документации для незаконных операций (например, обналичивания денег через чужой счет);
• изменение данных с целью навредить имиджу компании (незаконная конкуренция).

Конфиденциальная информация представляет собой эквивалент денежных средств. При этом для самого владельца сведения могут ничего не значить. Однако ситуация постоянно меняется, и данные могут внезапно приобрести большое значение, и этот факт потребует их надежной защиты.

---

Вы знаете, сколько конфиденциальных документов хранится в файловой системе вашей компании? Проведите быстрый и точный аудит с помощью «СёрчИнформ FileAuditor». 

---

Методы защиты от несанкционированного доступа

Методы защиты компьютеров от несанкционированного доступа делятся на программно-аппаратные и технические. Первые отсекают неавторизованных пользователей, вторые предназначены для исключения физического проникновения посторонних людей в помещения компании.

Создавая систему защиты информации (СЗИ) в организации, следует учитывать, насколько велика ценность внутренних данных в глазах злоумышленников. 

Для грамотной защиты от несанкционированного доступа важно сделать следующее:

• отсортировать и разбить информацию на классы, определить уровни допуска к данным для пользователей;
• оценить возможности передачи информации между пользователями (установить связь сотрудников друг с другом).

В результате этих мероприятий появляется определенная иерархия информации в компании. Это дает возможность разграничения доступа к сведениям для сотрудников в зависимости от рода их деятельности.

Аудит доступа к данным должен входить в функционал средств информационной безопасности. Помимо этого, программы, которые компания решила использовать, должны включать следующие опции:

• аутентификация и идентификация при входе в систему;
• контроль допуска к информации для пользователей разных уровней;
• обнаружение и регистрация попыток НСД;
• контроль работоспособности используемых систем защиты информации;
• обеспечение безопасности во время профилактических или ремонтных работ.

Идентификация и аутентификация пользователей

Для выполнения этих процедур необходимы технические средства, с помощью которых производится двухступенчатое определение личности и подлинности полномочий пользователя. Необходимо учитывать, что в ходе идентификации необязательно устанавливается личность. Возможно принятие любого другого идентификатора, установленного службой безопасности. 

После этого следует аутентификация – пользователь вводит пароль или подтверждает доступ к системе с помощью биометрических показателей (сетчатка глаза, отпечаток пальца, форма кисти и т. п.). Кроме этого, используют аутентификацию с помощью USB-токенов или смарт-карт. Этот вариант слабее, так как нет полной гарантии сохранности или подлинности таких элементов.

Протоколы секретности для бумажной документации

Несмотря на повсеместную цифровизацию, традиционные бумажные документы по-прежнему используются в организациях. Они содержат массу информации – бухгалтерские сведения, маркетинговую информацию, финансовые показатели и прочие критические данные. Заполучив эти документы, злоумышленник может проанализировать масштабы деятельности организации, узнать о направлениях финансовых потоков. 

Для защиты документации, содержащей сведения критической важности, используются специальные протоколы секретности. Хранение, перемещение и копирование таких файлов производится по специальным правилам, исключающим возможность контакта с посторонними лицами.

Защита данных на ПК

Для защиты информации, хранящейся на жестких дисках компьютеров, используются многоступенчатые средства шифрования и авторизации. При загрузке операционной системы используется сложный пароль, который невозможно подобрать обычными методами. Возможность входа в систему пользователя со стороны исключается путем шифрования данных в BIOS и использования паролей для входа в разделы диска. 

Для особо важных устройств следует использовать модуль доверенной загрузки. Это аппаратный контроллер, который устанавливается на материнскую плату компьютера. Он работает только с доверенными пользователями и блокирует устройство при попытках включения в отсутствие владельца. 

Также применяются криптографические методы шифрования данных, превращающие текст «вне системы» в ничего не значащий набор символов. 

Эти мероприятия обеспечивают защиту сведений и позволяют сохранить их в неприкосновенности.

Определение уровней защиты

С методической точки зрения процесс защиты информации можно разделить на четыре этапа:

• предотвращение – профилактические меры, ограничение доступа посторонних лиц;
• обнаружение – комплекс действий, предпринимаемых для выявления злоупотреблений;
• ограничение – механизм снижения потерь, если предыдущие меры злоумышленникам удалось обойти;
• восстановление – реконструкция информационных массивов, которая производится по одобренной и проверенной методике.

Каждый этап требует использования собственных средств защиты информации, проведения специальных мероприятий. Необходимо учитывать, что приведенное разделение условно. Одни и те же действия могут быть отнесены к разным уровням.

---

Не хватает ресурсов, чтобы заняться информационной безопаностью всерьез? Пригласите специалиста по ИБ-аутсорсингу! Узнать, как это работает. 

---

Предотвращение сетевых атак

Компьютеры, подключенные к Интернету, постоянно подвергаются риску заражения вредоносным программным обеспечением. Существует масса ПО, предназначенного для отслеживания паролей, номеров банковских карт и прочих данных. Нередко вирусы содержатся в рассылках электронной почты, попадают в систему через сомнительные сетевые ресурсы или скачанные программы. 

Для защиты системы от вредоносных программ, необходимо использовать антивирусные приложения, ограничить доступ в Сеть на определенные сайты. Если в организации параллельно используются локальные сети, следует устанавливать файрволы (межсетевые экраны).

Большинство пользователей хранит информацию в отдельных папках, которые названы «Пароли», «Мои карты» и т. п. Для злоумышленника такие названия являются подсказками. В названиях таких файлов необходимо использовать комбинации букв и цифр, ничего не говорящие посторонним людям. Также рекомендуется шифровать ценные данные в компьютерах и периодически производить их резервное копирование.

Какие результаты должны быть достигнуты

Грамотное использование систем защиты информации позволяет добиться благоприятных результатов:

• уменьшить риски утраты репутации и потери денежных средств;
• исключить потери научных разработок, интеллектуальной собственности, личных данных;
• снизить затраты на мероприятия по защите информации, исключению постороннего доступа к ценным сведениям.

Также служба ИБ должна настроить политики безопасности для всех подразделений и сотрудников, работающих с конфиденциальной информацией разного типа:

• финансовая документация;
• клиентские базы данных;
• научные и технологические разработки, другая интеллектуальная собственность;
• сведения, составляющие банковскую тайну;
• персональная информация сотрудников или иных лиц.

Каждый сотрудник должен иметь возможность работать только с информацией, необходимой ему для выполнения трудовых обязанностей. Это исключает недобросовестное использование сведений, утечку или копирование данных с враждебными целями.

Несанкционированный доступ к информации возможен в любой системе – от небольших организаций до крупных государственных структур. Внимательное отношение к защите сведений, создание подразделений информационной безопасности позволяют минимизировать потери и предотвратить попытки хищения или копирования данных. Отдельное внимание следует уделять работе с авторизованными сотрудниками, имеющими доступ к критической информации. Меры защиты должны быть приняты заблаговременно, поскольку уступить инициативу – значит допустить потерю данных. 

23.09.2019

Введен в действие
Приказом Председателя
Гостехкомиссии России
от 4 июня 1999 г. N 114

РУКОВОДЯЩИЙ ДОКУМЕНТ. ЗАЩИТА ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА К ИНФОРМАЦИИ

ЧАСТЬ 1. ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ. КЛАССИФИКАЦИЯ ПО УРОВНЮ КОНТРОЛЯ ОТСУТСТВИЯ НЕДЕКЛАРИРОВАННЫХ ВОЗМОЖНОСТЕЙ

Настоящий Руководящий документ (РД) устанавливает классификацию программного обеспечения (ПО) (как отечественного, так и импортного производства) средств защиты информации (СЗИ), в том числе и встроенных в общесистемное и прикладное ПО, по уровню контроля отсутствия в нем недекларированных возможностей.

Действие документа не распространяется на программное обеспечение средств криптографической защиты информации.

Уровень контроля определяется выполнением заданного настоящим РД набора требований, предъявляемого:

— к составу и содержанию документации, представляемой заявителем для проведения испытаний ПО СЗИ;

— к содержанию испытаний.

Руководящий документ разработан в дополнение РД «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации», М., Военное издательство, 1992 г., РД «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации», М., Военное издательство, 1992 г. и РД «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации», М., 1997 г.

Документ предназначен для специалистов испытательных лабораторий, заказчиков, разработчиков ПО СЗИ при его контроле в части отсутствия недекларированных возможностей.

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Классификация распространяется на ПО, предназначенное для защиты информации ограниченного доступа.

1.2. Устанавливается четыре уровня контроля отсутствия недекларированных возможностей. Каждый уровень характеризуется определенной минимальной совокупностью требований.

1.3. Для ПО, используемого при защите информации, отнесенной к государственной тайне, должен быть обеспечен уровень контроля не ниже третьего.

1.4. Самый высокий уровень контроля — первый, достаточен для ПО, используемого при защите информации с грифом «ОВ».

— Второй уровень контроля достаточен для ПО, используемого при защите информации с грифом «СС».

— Третий уровень контроля достаточен для ПО, используемого при защите информации с грифом «С».

1.5. Самый низкий уровень контроля — четвертый, достаточен для ПО, используемого при защите конфиденциальной информации.

2. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ

2.1. Недекларированные возможности — функциональные возможности ПО, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации.

Реализацией недекларированных возможностей, в частности, являются программные закладки.

2.2. Программные закладки — преднамеренно внесенные В ПО функциональные объекты, которые при определенных условиях (входных данных) инициируют выполнение не описанных в документации функций ПО, приводящих к нарушению конфиденциальности, доступности или целостности обрабатываемой информации.

2.3. Функциональный объект — элемент программы, осуществляющий выполнение действий по реализации законченного фрагмента алгоритма программы.

В качестве функциональных объектов могут выступать процедуры, функции, ветви, операторы и т.п.

2.4. Информационный объект — элемент программы, содержащий фрагмент информации, циркулирующей в программе. В зависимости от языка программирования в качестве информационных объектов могут выступать переменные, массивы, записи, таблицы, файлы, фрагменты оперативной памяти и т.п.

2.5. Маршрут выполнения функциональных объектов — определенная алгоритмом последовательность выполняемых функциональных объектов.

2.6. Фактический маршрут выполнения функциональных объектов — последовательность фактически выполняемых функциональных объектов при определенных условиях (входных данных).

2.7. Критический маршрут выполнения функциональных объектов — такой маршрут, при выполнении которого существует возможность неконтролируемого нарушения установленных правил обработки информационных объектов.

2.8. Статистический анализ исходных текстов программ — совокупность методов контроля (не)соответствия реализованных и декларированных в документации функциональных возможностей ПО, основанных на структурном анализе и декомпозиции исходных текстов программ.

2.9. Динамический анализ исходных текстов программ — совокупность методов контроля (не)соответствия реализованных и декларированных в документации функциональных возможностей ПО, основанных на идентификации фактических маршрутов выполнения функциональных объектов с последующим сопоставлением маршрутам, построенным в процессе проведения статистического анализа.

3. ТРЕБОВАНИЯ К УРОВНЮ КОНТРОЛЯ

3.1. Перечень требований

Таблица 1

Обозначения:

«-» — нет требований к данному уровню;

«+» — новые или дополнительные требования;

«=» — требования совпадают с требованиями предыдущего уровня.

3.2. Требования к четвертому уровню контроля

3.2.1. Контроль состава и содержания документации

В состав документации, представляемой заявителем, должны входить:

Спецификация (ГОСТ 19.202-78), содержащая сведения о составе ПО и документации на него;

Описание программы (ГОСТ 19.402-78), содержащее основные сведения о составе (с указанием контрольных сумм файлов, входящих в состав ПО), логической структуре и среде функционирования ПО, а также описание методов, приемов и правил эксплуатации средств технологического оснащения при создании ПО;

Описание применения (ГОСТ 19.502-78), содержащее сведения о назначении ПО, области применения, применяемых методах, классе решаемых задач, ограничениях при применении, минимальной конфигурации технических средств, среде функционирования и порядке работы.

Исходные тексты программ (ГОСТ 19.401-78), входящих в состав ПО.

Для ПО импортного производства состав документации может отличаться от требуемого, однако содержание должно соответствовать требованиям указанных ГОСТ.

3.2.2. Контроль исходного состояния ПО

Контроль заключается в фиксации исходного состояния ПО и сравнении полученных результатов с приведенными в документации.

Результатами контроля исходного состояния ПО должны быть рассчитанные уникальные значения контрольных сумм загрузочных модулей и исходных текстов программ, входящих в состав ПО.

Контрольные суммы должны рассчитываться для каждого файла, входящего в состав ПО.

3.2.3. Статический анализ исходных текстов программ

Статический анализ исходных текстов программ должен включать следующие технологические операции:

контроль полноты и отсутствия избыточности исходных текстов ПО на уровне файлов;

контроль соответствия исходных текстов ПО его объектному (загрузочному) коду.

3.2.4. Отчетность

По окончании испытаний оформляется отчет (протокол), содержащий результаты:

контроля исходного состояния ПО;

контроля полноты и отсутствия избыточности исходных текстов контролируемого ПО на уровне файлов;

контроля соответствия исходных текстов ПО его объектному (загрузочному) коду.

3.3. Требования к третьему уровню контроля

3.3.1. Контроль состава и содержания документации

Требования полностью включают в себя аналогичные требования к четвертому уровню контроля.

Кроме того, должна быть представлена «Пояснительная записка» (ГОСТ 19.404-79), содержащая основные сведения о назначении компонентов, входящих в состав ПО, параметрах обрабатываемых наборов данных (подсхемах баз данных), формируемых кодах возврата, описание используемых переменных, алгоритмов функционирования и т.п.

3.3.2. Контроль исходного состояния ПО

Требования полностью включают в себя аналогичные требования к четвертому уровню контроля.

3.3.3. Статический анализ исходных текстов программ

Кроме аналогичных требований, предъявляемых к четвертому уровню контроля, дополнительно предъявляются следующие требования:

контроль полноты и отсутствия избыточности исходных текстов ПО на уровне функциональных объектов (процедур);

контроль связей функциональных объектов (модулей, процедур, функций) по управлению;

контроль связей функциональных объектов (модулей, процедур, функций) по информации;

контроль информационных объектов различных типов (например, локальных переменных, глобальных переменных, внешних переменных и т.п.);

формирование перечня маршрутов выполнения функциональных объектов (процедур, функций).

3.3.4. Динамический анализ исходных текстов программ

Динамический анализ исходных текстов программ должен включать следующие технологические операции:

контроль выполнения функциональных объектов (процедур, функций);

сопоставление фактических маршрутов выполнения функциональных объектов (процедур, функций) и маршрутов, построенных в процессе проведения статического анализа.

3.3.5. Отчетность

Кроме аналогичных требований, предъявляемых к четвертому уровню контроля, дополнительно отчет (протокол) должен содержать результаты:

контроля полноты и отсутствия избыточности исходных текстов контролируемого ПО на уровне функциональных объектов (процедур);

контроля связей функциональных объектов (модулей, процедур, функций) по управлению;

контроля связей функциональных объектов (модулей, процедур, функций) по информации;

контроля информационных объектов различных типов (например, локальных переменных, глобальных переменных, внешних переменных и т.п.);

формирования перечня маршрутов выполнения функциональных объектов (процедур, функций);

контроля выполнения функциональных объектов (процедур, функций);

сопоставления фактических маршрутов выполнения функциональных объектов (процедур, функций) и маршрутов, построенных в процессе проведения статического анализа.

3.4. Требования ко второму уровню контроля

3.4.1. Контроль состава и содержания документации

Требования полностью включают в себя аналогичные требования к третьему уровню контроля.

3.4.2. Контроль исходного состояния ПО

Требования полностью включают в себя аналогичные требования к третьему уровню контроля.

3.4.3. Статический анализ исходных текстов программ

Кроме аналогичных требований, предъявляемых к третьему уровню контроля, дополнительно предъявляются следующие требования:

контроль полноты и отсутствия избыточности исходных текстов контролируемого программного обеспечения на уровне функциональных объектов (функций);

синтаксический контроль наличия заданных конструкций в исходных текстах ПО из списка (базы) потенциально опасных программных конструкций;

формирование перечня маршрутов выполнения функциональных объектов (ветвей);

анализ критических маршрутов выполнения функциональных объектов (процедур, функций) для заданных экспертом списков информационных объектов;

построение по исходным текстам контролируемого ПО блок-схем, диаграмм и т.п. и последующий сравнительный анализ алгоритма работы функциональных объектов (процедур, функций) и алгоритма работы, приведенного в «Пояснительной записке».

3.4.4. Динамический анализ исходных текстов программ

Кроме аналогичных требований, предъявляемых к третьему уровню контроля, дополнительно предъявляются следующие требования:

контроль выполнения функциональных объектов (ветвей);

сопоставление фактических маршрутов выполнения функциональных объектов (ветвей) и маршрутов, построенных в процессе проведения статического анализа.

3.4.5. Отчетность

Кроме аналогичных требований, предъявляемых к третьему уровню контроля, дополнительно отчет (протокол) должен содержать результаты:

контроля полноты и отсутствия избыточности исходных текстов контролируемого программного обеспечения на уровне функциональных объектов (функций);

синтаксического контроля наличия заданных конструкций в исходных текстах ПО из списка (базы) потенциально опасных конструкций;

формирования перечня маршрутов выполнения функциональных объектов (ветвей);

анализа критических маршрутов выполнения функциональных объектов (процедур, функций) для заданных экспертом списков информационных объектов;

построения по исходным текстам контролируемого ПО блок-схем, диаграмм и т.п. и последующего сравнительного анализа алгоритма работы функциональных объектов (процедур, функций) и алгоритма работы, приведенного в «Пояснительной записке»;

контроля выполнения функциональных объектов (ветвей);

сопоставления фактических маршрутов выполнения функциональных объектов (ветвей) и маршрутов, построенных в процессе проведения статического анализа.

3.5. Требования к первому уровню контроля

3.5.1. Контроль состава и содержания документации

Требования полностью включают в себя аналогичные требования ко второму уровню контроля.

3.5.2. Контроль исходного состояния ПО

Требования полностью включают в себя аналогичные требования ко второму уровню контроля.

3.5.3. Статический анализ исходных текстов программ

Кроме аналогичных требований, предъявляемых ко второму уровню контроля, дополнительно предъявляются следующие требования:

контроль соответствия исходных текстов ПО его объектному (загрузочному) коду с использованием сертифицированных компиляторов;

семантический контроль наличия заданных конструкций в исходных текстах ПО из списка (базы) потенциально опасных конструкций.

3.5.4. Динамический анализ исходных текстов программ

Требования полностью включают в себя аналогичные требования ко второму уровню контроля.

3.5.5. Отчетность

Кроме аналогичных требований, предъявляемых ко второму уровню контроля, дополнительно отчет (протокол) должен содержать результаты:

контроля соответствия исходных текстов ПО его объектному (загрузочному) коду с использованием сертифицированных компиляторов;

семантического контроля наличия заданных конструкций в исходных текстах ПО из списка (базы) потенциально опасных конструкций.