17. В отношении средства должны быть проведены испытания, предусматривающие:
2) испытания по выявлению уязвимостей и недекларированных возможностей средства;
3) проведение анализа скрытых каналов в средстве.
Тестирование и анализ скрытых каналов проводятся только для средств защиты информации.
Тестирование, испытания по выявлению уязвимостей и недекларированных возможностей, а также анализ скрытых каналов проводятся изготовителем в ходе приемочных испытаний средства и испытательной лабораторией в ходе сертификационных испытаний средства.
18. К тестированию средства предъявляются следующие требования:
18.1. Тестовая документация на средство, соответствующее 6 уровню доверия, должна включать:
план тестирования, содержащий тесты, которые необходимо выполнить, описание сценариев проведения каждого теста, учитывающее зависимости последовательности выполнения тестов от результатов других тестов, описание ресурсов, необходимых для проведения тестирования;
описание сопоставления тестов с интерфейсами функций безопасности средства, описанными в функциональной спецификации, демонстрирующее их полное покрытие тестами;
описание ожидаемых результатов тестирования, свидетельствующих об успешности выполнения тестов;
описание фактических результатов тестирования, их сопоставление с ожидаемыми результатами тестирования и на его основе - выводы об успешности тестов.
18.2. Тестовая документация на средство, соответствующее 5 уровню доверия, наряду с требованиями, установленными пунктом 18.1 настоящих Требований, должна включать описание сопоставления тестов с подсистемами средства, описанными в эскизном проекте, демонстрирующее их полное покрытие тестами.
При проведении тестирования средства проводится оценка влияния на подсистемы средства, реализующие функции безопасности, иных подсистем средства.
18.3. Тестовая документация на средство, соответствующее 4 уровню доверия, наряду с требованиями, установленными пунктами 18.1 и 18.2 настоящих Требований, должна включать описание сопоставления тестов с модулями средства, реализующими функции безопасности и описанными в техническом проекте, демонстрирующее полное покрытие тестами функций безопасности.
При проведении тестирования средства проводится оценка влияния на модули средства, реализующие функции безопасности, иных модулей средства.
19. К испытаниям по выявлению уязвимостей и недекларированных возможностей средства предъявляются следующие требования:
19.1. Испытания программного обеспечения средства, соответствующего 6 уровню доверия, должны быть проведены по 6 уровню контроля.
Для аппаратной платформы программно-технического средства должна быть выполнена проверка перечня аппаратных устройств (микросхем), которые влияют на выполнение функций безопасности и (или) могут быть использованы для реализации угроз безопасности информации.
19.2. Испытания программного обеспечения средства, соответствующего 5 уровню доверия, должны быть проведены по 5 уровню контроля.
Для аппаратной платформы программно-технического средства наряду с требованиями, установленными пунктом 19.1 настоящих Требований, должна быть выполнена проверка соответствия аппаратной платформы ее структурной и функциональной схемам, а также сведениям, приведенным в формуляре средства.
19.3. Испытания программного обеспечения средства, соответствующего 4 уровню доверия, должны быть проведены по 4 уровню контроля.
Для аппаратной платформы программно-технического средства наряду с требованиями, установленными пунктами 19.1 и 19.2 настоящих Требований, должна быть выполнена проверка:
соответствия элементов (компонентов) аппаратной платформы структурной и функциональной схеме элементов (компонентов) аппаратной платформы средства;
потенциально опасных элементов (компонентов), входящих в состав аппаратной платформы, которые влияют на выполнение функций безопасности и (или) могут быть использованы для реализации угроз безопасности информации.
20. К проведению анализа скрытых каналов в средстве предъявляются следующие требования:
20.1. Требования к проведению анализа скрытых каналов в средстве, соответствующем 6 и 5 уровню доверия, не предъявляются.
20.2. В средстве, соответствующем 4 уровню доверия, должны быть проведены идентификация и анализ скрытых каналов по памяти, основанных на использовании ресурсов памяти, в которые записывается защищаемая информация (сокрытие информации в структурированных и неструктурированных данных) и которые не учитываются разработчиками системы защиты информации информационной (автоматизированной) системы и не выявляются применяемыми средствами защиты информации.
Анализ идентифицированных типов скрытых каналов должен включать:
оценку потенциальной пропускной способности идентифицированных скрытых каналов с использованием формальных (математических), технических методов и (или) методов моделирования;
разработку требований для среды функционирования средства с целью ограничения, мониторинга, полного или частичного устранения идентифицированных скрытых каналов, которые могут возникнуть в информационных (автоматизированных) системах вследствие использования в них средства.
Документация анализа скрытых каналов должна включать:
идентификацию скрытых каналов (если скрытые каналы выявлены);
оценку пропускной способности идентифицированных скрытых каналов (если скрытые каналы выявлены);
описание процедур, использованных для вынесения заключения о существовании и (или) отсутствии скрытых каналов, и информацию, использованную при анализе скрытых каналов;
описание предположений (быстродействие процессора, системная конфигурация, объем памяти и (или) иных), сделанных при анализе скрытых каналов;
описание способа, использованного для оценки пропускной способности канала для наиболее опасного сценария (если скрытые каналы выявлены);
описание наиболее опасного сценария использования каждого идентифицированного скрытого канала (если скрытые каналы выявлены);
сведения о включении в функциональную спецификацию и эскизный проект описания механизмов средства, направленных на ограничение, мониторинг, полное или частичное устранение идентифицированных скрытых каналов, которые могут возникнуть в информационных (автоматизированных) системах вследствие использования в них средства (если скрытые каналы выявлены и требуются соответствующие механизмы средства);
сведения о включении в руководство администратора и (или) руководство пользователя требований для среды функционирования средства с целью ограничения, мониторинга, полного или частичного устранения идентифицированных скрытых каналов, которые могут возникнуть в информационных (автоматизированных) системах вследствие использования в них средства (если скрытые каналы выявлены).
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2025 год
- МРОТ 2024
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2024 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2024 год
- Частичная мобилизация: обзор новостей