СТ РК 3515-2019
Информационные технологии
Защита от несанкционированного доступа к информации
Программное обеспечение средств защиты информации
Классификация по уровню контроля отсутствия недекларированных возможностей
5. Требования к уровню контроля
Настоящий стандарт распространяется на программное обеспечение (ПО) средств защиты информации (СЗИ) и устанавливает классификацию ПО СЗИ по уровню контроля отсутствия недекларированных возможностей.
Настоящий стандарт не распространяется на программное обеспечение средств криптографической защиты информации.
Стандарт предназначен для специалистов испытательных лабораторий, заказчиков, разработчиков ПО СЗИ при его контроле в части отсутствия недекларированных возможностей.
Для применения настоящего стандарта необходимы следующие документы по стандартизации:
ГОСТ 19.202-78 Единая система программной документации. Спецификация. Требования к содержанию и оформлению;
ГОСТ 19.401-78 Единая система программной документации (ЕСПД). Текст программы. Требования к содержанию и оформлению (с изменением № 1);
ГОСТ 19.402-78 Единая система программной документации (ЕСПД). Описание программы (с изменением № 1);
ГОСТ 19.404-79 Единая система программной документации (ЕСПД). Пояснительная записка. Требования к содержанию и оформлению;
ГОСТ 19.502-78 Единая система программной документации (ЕСПД). Описание применения. Требования к содержанию и оформлению (с изменением № 1).
В настоящем стандарте применяются следующие термины с соответствующими определениями:
3.1 Недекларированные возможности: функциональные возможности ПО, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации.
Реализацией недекларированных возможностей, в частности, являются программные закладки.
3.2 Программные закладки: преднамеренно внесенные в ПО функциональные объекты, которые при определенных условиях (входных данных) инициируют выполнение не описанных в документации функций ПО, приводящих к нарушению конфиденциальности, доступности или целостности обрабатываемой информации.
3.3 Функциональный объект: элемент программы, осуществляющий выполнение действий по реализации законченного фрагмента алгоритма программы.
В качестве функциональных объектов могут выступать процедуры, функции, ветви, операторы и т.п.
3.4 Информационный объект: элемент программы, содержащий фрагменты информации, циркулирующей в программе. В зависимости от языка программирования в качестве информационных объектов могут выступать переменные, массивы, записи, таблицы, файлы, фрагменты оперативной памяти и т.п.
3.5 Маршрут выполнения функциональных объектов: определенная алгоритмом последовательность выполняемых функциональных объектов.