Руководящий документ «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей». Редакция от 04.04.2022.
1.1 РД ГТК Защита от НСД. ПО СЗИ. Классификация по уровню контроля отсутствия недекларированных возможностей
1.1 Классификация распространяется на ПО, предназначенное для защиты информации ограниченного доступа [из 1.1 РД ГТК Защита от НСД. ПО СЗИ. Классификация по уровню контроля отсутствия недекларированных возможностей]
1.2 РД ГТК Защита от НСД. ПО СЗИ. Классификация по уровню контроля отсутствия недекларированных возможностей
1.2 Устанавливается четыре уровня контроля отсутствия недекларированных возможностей. Каждый уровень характеризуется определенной минимальной совокупностью требований [из 1.2 РД ГТК Защита от НСД. ПО СЗИ. Классификация по уровню контроля отсутствия недекларированных возможностей]
1.3 РД ГТК Защита от НСД. ПО СЗИ. Классификация по уровню контроля отсутствия недекларированных возможностей
1.3 Для ПО, используемого при защите информации, отнесенной к государственной тайне, должен быть обеспечен уровень контроля не ниже третьего [из 1.3 РД ГТК Защита от НСД. ПО СЗИ. Классификация по уровню контроля отсутствия недекларированных возможностей]
1.4 РД ГТК Защита от НСД. ПО СЗИ. Классификация по уровню контроля отсутствия недекларированных возможностей
1.4 Самый высокий уровень контроля - первый, достаточен для ПО, используемого при защите информации с грифом «ОВ». Второй уровень контроля достаточен для ПО, используемого при защите информации с грифом «CC». Третий уровень контроля достаточен для ПО, используемого при защите информации с грифом «C» [из 1.4 РД ГТК Защита от НСД. ПО СЗИ. Классификация по уровню контроля отсутствия недекларированных возможностей]
1.5 РД ГТК Защита от НСД. ПО СЗИ. Классификация по уровню контроля отсутствия недекларированных возможностей
1.5 Самый низкий уровень контроля - четвертый, достаточен для ПО, используемого при защите конфиденциальной информации [из 1.5 РД ГТК Защита от НСД. ПО СЗИ. Классификация по уровню контроля отсутствия недекларированных возможностей]
3.1 Перечень требований РД ГТК Защита от НСД. ПО СЗИ. Классификация по уровню контроля отсутствия недекларированных возможностей
Наименование требования | Уровень контроля | |||
---|---|---|---|---|
4 | 3 | 2 | 1 | |
Требования к документации | ||||
1. Контроль состава и содержания документации | ||||
1.1. Спецификация (ГОСТ 19.202-78) | + | = | = | = |
1.2. Описание программы (ГОСТ 19.402-78) | + | = | = | = |
1.3. Описание применения (ГОСТ 19.502-78) | + | = | = | = |
1.4. Пояснительная записка (ГОСТ 19.404-79) | - | + | = | = |
1.5. Тексты программ, входящих в состав ПО (ГОСТ 19.401-78) | + | = | = | = |
Требования к содержанию испытаний | ||||
2. Контроль исходного состояния ПО | + | = | = | = |
3. Статический анализ исходных текстов программ | ||||
3.1. Контроль полноты и отсутствия избыточности исходных текстов | + | + | + | = |
3.2. Контроль соответствия исходных текстов ПО его объектному (загрузочному) коду | + | = | = | + |
3.3. Контроль связей функциональных объектов по управлению | - | + | = | = |
3.4. Контроль связей функциональных объектов по информации | - | + | = | = |
3.5. Контроль информационных объектов | - | + | = | = |
3.6. Контроль наличия заданных конструкций в исходных текстах | - | - | + | + |
3.7. Формирование перечня маршрутов выполнения функциональных объектов | - | + | + | = |
3.8. Анализ критических маршрутов выполнения функциональных объектов | - | - | + | = |
3.9. Анализ алгоритма работы функциональных объектов на основе блок-схем, диаграмм и т.п., построенных по исходным текстам контролируемого ПО | - | - | + | = |
4. Динамический анализ исходных текстов программ | ||||
4.1. Контроль выполнения функциональных объектов | - | + | + | = |
4.2. Сопоставление фактических маршрутов выполнения функциональных объектов и маршрутов, построенных в процессе проведения статического анализа | - | + | + | = |
5. Отчетность | + | + | + | + |
Обозначения:
- «-» - нет требований к данному уровню;
- «+» - новые или дополнительные требования;
«=» - требования совпадают с требованиями предыдущего уровня.
[из 3.1 Перечень требований РД ГТК Защита от НСД. ПО СЗИ. Классификация по уровню контроля отсутствия недекларированных возможностей]