5.2. Базовые положения для программного обеспечения СКЗИ

Для проведения тематических исследований ПО СКЗИ для всех классов должно быть представлено в виде исходных текстов, исполняемого кода и документации.

Исходные тексты ПО СКЗИ должны удовлетворять следующим условиям:

а) исходные тексты ПО СКЗИ должны быть оформлены в соответствии с ГОСТ 19.401. При этом специализированная организация, проводящая тематические исследования, может устанавливать собственные требования к содержанию и оформлению текстов ПО СКЗИ;

б) исходные тексты ПО СКЗИ должны содержать комментарии, достаточные для понимания алгоритма функционирования ПО СКЗИ;

в) исходные тексты ПО СКЗИ должны содержать полный набор файлов, необходимый для воспроизведения из них исполняемого кода, идентичного представленному для проведения тематических исследований;

г) бинарные и ассемблерные вставки, вставки информационных массивов и входящие в состав исходных текстов фрагменты, не имеющие прямого отношения к реализации криптографических функций СКЗИ, должны быть документированы и обоснованы.

Документация на ПО СКЗИ должна включать в себя:

а) спецификацию ПО СКЗИ;

б) описание ПО СКЗИ;

в) описание применения ПО СКЗИ;

г) пояснительную записку.

Подача на вход любых значений параметров экспортируемых функций ПО СКЗИ не должна приводить к появлению уязвимостей, позволяющих реализовывать успешные атаки на СКЗИ.

В случае выявления при проведении тематических исследований значений параметров экспортируемых функций ПО СКЗИ, приводящих к появлению уязвимостей, позволяющих реализовывать успешные атаки на СКЗИ, составляется список таких функций и значений параметров. Этот список исключается из документации на СКЗИ, представляемой разработчикам, осуществляющим встраивание СКЗИ в ИС. Действие заключения о соответствии СКЗИ требованиям по информационной безопасности ФСБ России на функции из указанного списка не распространяется.