2. Требования к программному обеспечению средств доверенной третьей стороны

11. Программное обеспечение средств доверенной третьей стороны не должно содержать средств, позволяющих модифицировать или искажать алгоритмы работы этого программного обеспечения.

12. Программное обеспечение должно использовать только документированные функции операционной системы.

13. Системное программное обеспечение, используемое средствами доверенной третьей стороны, не должно содержать известных уязвимостей.

14. Программное обеспечение должно обеспечивать разграничение доступа системного администратора, оператора и пользователей к информации, обрабатываемой средствами доверенной третьей стороны, на основании правил разграничения доступа, заданных системным администратором.

15. Исходные тексты системного и прикладного программного обеспечения криптографического модуля (доверенного вычислительного устройства), используемого для создания, хранения, применения и уничтожения ключей ЭЦП доверенной третьей стороны Комиссии и создаваемого в соответствии с Решением Коллегии Евразийской экономической комиссии от 2 июня 2016 г. N 49 (ДСП) совместно с анализом программного кода BIOS, должны пройти формальную верификацию в части отсутствия в них недекларированных возможностей, а также формальную верификацию реализации в них методов и способов защиты информации в порядке, установленном в государстве пребывания Комиссии.

16. Программное обеспечение должно содержать в своем составе механизм, обеспечивающий очистку оперативной и внешней памяти, используемой для хранения защищаемой информации, перечень которой устанавливается техническим заданием на создание (модернизацию) средств доверенной третьей стороны, при освобождении (перераспределении) памяти путем записи маскирующей информации (случайной или псевдослучайной последовательности символов) в память.

17. Программное обеспечение должно содержать в своем составе компоненты, обеспечивающие экстренное стирание информации ограниченного доступа, в соответствии с перечнем информации ограниченного доступа и требованиями к реализации и надежности стирания, устанавливаемыми техническим заданием на создание (модернизацию) средств доверенной третьей стороны.

18. Программное обеспечение должно содержать в своем составе механизм, обеспечивающий устойчивость к компьютерным атакам из внешних сетей.

19. Исходные тексты системного и прикладного программного обеспечения должны пройти проверку в части реализации в них методов и способов защиты информации, противостоящих атакам, осуществляемым нарушителем из сетей общего пользования, являющимся квалифицированным групповым нарушителем, использующим возможности научных центров, анализирующих системное программное обеспечение с целью поиска уязвимостей.

20. Инженерно-криптографическая защита средств доверенной третьей стороны должна исключить события, приводящие к возможности проведения успешных атак в условиях возможных неисправностей или сбоев аппаратных средств доверенной третьей стороны либо аппаратного компонента средства вычислительной техники, на котором реализованы средства доверенной третьей стороны.