2. Требования к программному обеспечению средства ЭЦП

70. Программное обеспечение средства ЭЦП не должно содержать средств, позволяющих модифицировать или искажать алгоритмы работы программного обеспечения.

71. Программное обеспечение средства ЭЦП должно использовать только документированные функции операционной системы.

72. Системное программное обеспечение, используемое средством ЭЦП, не должно содержать известных уязвимостей.

73. Исходные тексты программного обеспечения средства ЭЦП должны соответствовать уровню контроля отсутствия недекларированных возможностей, устанавливаемому Комиссией.

74. В состав программного обеспечения средства ЭЦП должен входить механизм, обеспечивающий очистку оперативной и внешней памяти, используемой для хранения защищаемой информации, при освобождении (перераспределении) памяти путем записи маскирующей информации (случайной или псевдослучайной последовательности символов) в память.

75. В состав программного обеспечения средства ЭЦП должны входить компоненты, обеспечивающие экстренное стирание защищаемой информации, перечень и требования к реализации и надежности стирания которой задаются в техническом задании на создание (модернизацию) средства ЭЦП.

76. Исходные тексты программного обеспечения средства ЭЦП должны пройти проверку реализации в них методов и способов защиты информации, противостоящих атакам, осуществляемым нарушителем из сетей общего пользования, являющимся квалифицированным групповым нарушителем, использующим возможности научных центров, анализирующих системное программное обеспечение с целью поиска уязвимостей.

77. Инженерно-криптографическая защита средства ЭЦП должна исключать события, приводящие к возможности проведения успешных атак в условиях возможных неисправностей или сбоев аппаратных средств средства ЭЦП или аппаратного компонента средства вычислительной техники, на котором реализовано средство ЭЦП.