E'lon qilinmagan imkoniyatlarni nazorat qilish

Maksim Repin
“BEGA” konserni” OAJ mutaxassisi

Anastasiya Sakulina
“BEGA” konserni” OAJ mutaxassisi

Hozirgi vaqtda oqish holatlari ko'payganligi sababli maxfiy ma'lumotlar(CI) asosiy savol uning ishonchli himoyasi haqida bo'ladi.

Davlat sirlari va shaxsiy ma'lumotlardan farqli o'laroq, CI himoyasi sohasidagi me'yoriy hujjatlar tabiatan maslahat xarakteriga ega, shuning uchun tabiiy savol tug'iladi: ularga rioya qilish kerakmi yoki yo'qmi?

E'lon qilinmagan imkoniyatlarning (NDC) yo'qligi ustidan nazorat darajalari bo'yicha CI himoya uskunalarini sertifikatlash zarurati va maqsadga muvofiqligini ko'rib chiqaylik.

Muvofiq bo'lmagan materiallarning yo'qligi ustidan nazorat darajalari

To'rtta nazorat darajasi mavjud NDV yo'qligi. CIni himoya qilish uchun odatda 4-daraja qo'llaniladi, ammo 3-darajadan ham foydalanish mumkin, bu NDV yo'qligini yanada chuqurroq tahlil qilishni o'z ichiga oladi.

Ko'rsatilgan nazorat darajalari o'rtasidagi asosiy farq shundaki, 4-daraja faqat statik dasturiy ta'minotni tahlil qilish uchun faoliyatni o'z ichiga oladi va 3-darajada dinamik tahlil uchun ham nazorat faoliyati amalga oshiriladi. Ushbu darajalarda statik tahlil jarayoni tartibga solinadigan texnologik operatsiyalar hajmida farqlanadi. Shunga ko'ra, o'z mahsulotini 3-darajada sertifikatlash orqali ishlab chiqaruvchi davlat sirlarini himoya qilish vositalari bozoriga ham kirish huquqiga ega bo'ladi.

Biz ko'pincha sertifikatlash foydasiga quyidagi dalillarni eshitamiz:

• sertifikatlangan dasturiy ta'minot o'zining axborot xavfsizligi funktsiyalarini to'g'ri bajarishi;
• Sertifikatlangan dasturiy ta'minot mijozlar ma'lumotlariga zarar etkazishi mumkin bo'lgan o'rnatilgan mexanizmlarning yo'qligini kafolatlaydi.

Amalda, dasturiy ta'minot sertifikatiga ega bo'lish har doim ham ushbu bayonotlarga muvofiqligini ta'minlay olmaydi.

Agar biz ichki bozorda taqdim etilayotgan sertifikatga ega bo'lgan mahsulotlarni oladigan bo'lsak, ular ko'pincha juda achinarli ko'rinishga ega bo'ladilar, chunki ular odatda dasturiy ta'minotdagi xatolarning to'liq spektriga ega va ulardan foydalanish qulayligi yoki sozlamalarning moslashuvchanligini ta'minlamaydi.

IN yirik kompaniyalar dasturlardagi xatolarni topish va ularni sinab ko'rish alohida bosqich, qat'iy belgilangan usullarga muvofiq qurilgan va amalga oshirilgan katta miqdor xodimlar. qo'shimcha tekshirish sertifikatlash paytida, uzoq vaqt va muhim vaqtni talab qiladi moliyaviy xarajatlar, faqat raqobatchilarga boshlanish imkonini beradi, kompaniya foydasini kamaytiradi va sertifikatlash xarajatlari tufayli yakuniy mahsulot narxini sezilarli darajada oshiradi.

Erkin dasturiy ta'minot bozorida bu funktsiyalar ishqibozlar tomonidan amalga oshiriladi. Ular ko'pincha bu sohada juda chuqur bilimga ega va ularning soni har qanday laboratoriya xodimlaridan ancha ko'p. Bu sizga butun kodni sinchiklab o'tish va barcha zaif tomonlarni tuzatish imkonini beradi.

IN bu daqiqa NDV yo'qligi uchun sertifikatlashni amalga oshiradigan sinov laboratoriyalarida na inson, na texnik resurslar, tegishli darajada va ichida ruxsat berish iloji boricha tez murakkab dasturiy ta'minotni tekshirish protseduralarini amalga oshirish.

Yana bir muammo shundaki, dasturiy ta'minotni yangilash va yamoqlar berilgan sertifikat shartlarini buzadi va talab qiladi protsedurani takrorlash tekshiruvlar. Sertifikat muddati tugagan bo'lsa, xuddi shunday holat yuzaga keladi. Agar NDV yo'qligini nazorat qilish bo'yicha yangi yo'riqnoma hujjati mavjud bo'lsa belgilangan tartib yangi taqdim etilgan mahsulotning sertifikatlangan xususiyatlarining eski sertifikatlangan versiyaning xususiyatlariga muvofiqligini tahlil qilishga asoslangan sertifikatni tasdiqlash va yangilash endi ishlamaydi.

Mahsulotda dasturiy xatcho'plarga (SW) ega bo'lish muammosining paradoksi

Ushbu paradoks shundan iboratki, PP sertifikatlashdan oldin dasturiy ta'minotda yo'q bo'lishi mumkin, ammo undan keyin paydo bo'ladi. Sertifikat olish illyuziyasi ishlab chiquvchilarning hushyorligini sezilarli darajada kamaytirishi va mijoz uchun oldindan aytib bo'lmaydigan oqibatlarga olib kelishi mumkin. Individual tashkilotlar Ushbu xatcho'plardan foydalanib, ular yashirin monitoringni amalga oshirishi va kompaniyaning har qanday ma'lumotlarini qo'lga kiritishi va undan o'z xohishiga ko'ra foydalanishi mumkin. Agar bu xatcho'plar aniqlansa, nafaqat oxirgi foydalanuvchi, balki uning imidjiga, obro'siga sezilarli zarba beradigan va bozordagi o'rnini zaiflashtiradigan rivojlanish kompaniyasi. Xaridor butun himoya tizimini qayta tiklashga majbur bo'ladi va bu yangi xarajatlarga olib keladi.

Axborot xavfsizligini tartibga solish tizimi juda yaxshi ma'noda mahsulot sifatining ma'lum darajasini belgilash uchun, lekin bu raqobatga xalaqit bermasligi va bozorni tartibga solish vositasi bo'lishi kerak.

Mavjud vaziyatni tahlil qilish shuni ko'rsatadiki, maxfiy ma'lumotlarni himoya qilish uchun mahsulotlarni sertifikatlash etarli darajada dolzarb emas, chunki u xavfsizlikning keraksiz illyuziyalarini yaratadi. Tanlashda dasturiy ta'minot O'zingizni himoya qilish uchun, birinchi navbatda, mutaxassislarning sharhlari va ishlab chiquvchilarning obro'siga asoslanishingiz kerak.

Hozirgi vaqtda chinakam ishonchli himoya tizimini yaratish uchun pulni malakali va tasdiqlanganlarga investitsiya qilish yaxshiroqdir. tizim ma'murlari va maslahatchilar. Ularning bilim va tajribasi ma'lum bir kompaniya uchun eng ishonchli va mos echimlarni tanlashga yordam beradi.

Mavzu bo'yicha maqolalar

Loyihalash jarayonida axborot xavfsizligi talablarida axborot tizimlari foydalaniladigan axborot xavfsizligi vositalarini tavsiflovchi xususiyatlar ko'rsatilgan. Ular xavfsizlik sohasidagi regulyatorlarning turli aktlari bilan belgilanadi axborot xavfsizligi, xususan - FSTEC va Rossiya FSB. Qanday xavfsizlik sinflari, himoya vositalarining turlari va turlari, shuningdek, bu haqda qaerdan ko'proq ma'lumot olish mumkinligi maqolada aks ettirilgan.

Kirish

Bugungi kunda axborot xavfsizligini ta'minlash masalalariga alohida e'tibor qaratilmoqda, chunki axborot xavfsizligini ta'minlamasdan hamma joyda joriy etilayotgan texnologiyalar yangi jiddiy muammolar manbaiga aylanmoqda.

Rossiya FSB vaziyatning jiddiyligi haqida xabar beradi: hujumchilar tomonidan bir necha yil davomida dunyo bo'ylab etkazilgan zarar miqdori 300 milliard dollardan 1 trillion dollargacha bo'lgan. Taqdim etilgan ma'lumotlarga ko'ra Bosh prokuror Rossiya Federatsiyasi, faqat 2017 yilning birinchi yarmida Rossiyada sohadagi jinoyatlar soni yuqori texnologiya olti barobar oshdi umumiy qiymat zarar 18 million dollardan oshdi, 2017 yilda butun dunyo bo'ylab sanoat sektoridagi maqsadli hujumlarning o'sishi qayd etildi. Xususan, Rossiyada 2016 yilga nisbatan hujumlar soni 22 foizga oshgan.

Axborot texnologiyalari qurol sifatida harbiy-siyosiy, terroristik maqsadlarda, ichki ishlarga aralashishda foydalanila boshlandi. suveren davlatlar, shuningdek, boshqa jinoyatlarni sodir etganlik uchun. Rossiya Federatsiyasi xalqaro axborot xavfsizligi tizimini yaratish tarafdori.

Hududda Rossiya Federatsiyasi axborot egalari va axborot tizimlari operatorlari axborotga ruxsatsiz kirishga urinishlarni bloklashlari, shuningdek, AT infratuzilmasi xavfsizligi holatini monitoring qilishlari shart. doimiy asos. Shu bilan birga, axborotni himoya qilish turli xil, shu jumladan texnik choralarni ko'rish orqali ta'minlanadi.

Axborot xavfsizligi vositalari yoki axborotni himoya qilish tizimlari asosan ma'lumotlar bazalarida saqlanadigan ma'lumotlar to'plami bo'lgan axborot tizimlaridagi ma'lumotlarning himoyasini ta'minlaydi; axborot texnologiyalari, uni qayta ishlashni ta'minlash va texnik vositalar.

Zamonaviy axborot tizimlari turli xil apparat va dasturiy platformalardan foydalanish, komponentlarning hududiy taqsimlanishi, shuningdek, ochiq ma'lumotlar tarmoqlari bilan o'zaro ta'sir qilish bilan tavsiflanadi.

Bunday sharoitda axborotni qanday himoya qilish kerak? Tegishli talablar qo'yiladi vakolatli organlar, xususan, FSTEC va Rossiya FSB. Maqola doirasida biz ushbu regulyatorlarning talablarini inobatga olgan holda axborot xavfsizligi tizimlarini tasniflashning asosiy yondashuvlarini aks ettirishga harakat qilamiz. Normativ hujjatlarda aks ettirilgan axborotni himoya qilish vositalarining tasnifini tavsiflashning boshqa usullari rus bo'limlari, shuningdek xorijiy tashkilotlar va agentliklar tashqariga chiqadi ushbu maqoladan va bundan keyin hisobga olinmaydi.

Maqola axborot xavfsizligi sohasidagi yangi boshlanuvchilar uchun Rossiya FSTEC (ko'proq darajada) va qisqacha, Rossiya FSB talablari asosida axborot xavfsizligini tasniflash usullari to'g'risida tuzilgan ma'lumotlar manbai sifatida foydali bo'lishi mumkin.

Kriptografik bo'lmagan usullardan foydalangan holda axborot xavfsizligini ta'minlash tartibini belgilovchi va muvofiqlashtiruvchi tuzilma Rossiya FSTEC (ilgari Rossiya Federatsiyasi Prezidenti huzuridagi Davlat Texnik Komissiyasi, Davlat Texnik Komissiyasi) hisoblanadi.

Agar o'quvchi Rossiya FSTEC tomonidan tuzilgan Axborot xavfsizligini ta'minlashning sertifikatlangan vositalarining davlat reestrini ko'rgan bo'lsa, u, albatta, axborotni himoya qilish tizimining maqsadining tavsif qismida "RD SVT" kabi iboralar mavjudligiga e'tibor qaratgan. sinf", "mos kelmaslik ma'lumotlariga rioya qilmaslik darajasi" va boshqalar (1-rasm) .

Shakl 1. Sertifikatlangan axborotni himoya qilish qurilmalari reestrining fragmenti

Kriptografik axborot xavfsizligi vositalarining tasnifi

Rossiya FSB kriptografik axborotni himoya qilish tizimlarining sinflarini aniqladi: KS1, KS2, KS3, KV va KA.

KS1 toifali axborot xavfsizligi uskunalarining asosiy xususiyatlari ularning tashqaridan amalga oshirilgan hujumlarga qarshi turish qobiliyatini o'z ichiga oladi nazorat qilinadigan hudud. Bu shuni anglatadiki, hujum usullarini yaratish, ularni tayyorlash va amalga oshirish kriptografik axborot xavfsizligini ishlab chiqish va tahlil qilish sohasidagi mutaxassislar ishtirokisiz amalga oshiriladi. Ko'rsatilgan axborot xavfsizligi tizimlari qo'llaniladigan tizim haqida ma'lumotni ochiq manbalardan olish mumkin deb taxmin qilinadi.

Agar kriptografik axborot xavfsizligi tizimi KS1 klassi yordamida bloklangan, shuningdek, nazorat qilinadigan hudud doirasida amalga oshirilgan hujumlarga bardosh bera olsa, bunday axborot xavfsizligi KS2 sinfiga mos keladi. Bu, masalan, hujum haqida ma'lumot tayyorlash paytida mumkin jismoniy choralar axborot tizimlarini himoya qilish, nazorat qilinadigan hududni ta'minlash va boshqalar.

Agar mablag'larga jismoniy kirish imkoningiz bo'lsa, hujumlarga qarshi turish mumkin bo'lsa kompyuter texnologiyasi o'rnatilgan kriptografik axborot xavfsizligi tizimlari bilan ular bunday vositalarning KS3 sinfiga muvofiqligi haqida gapiradilar.

Agar kriptografik axborot xavfsizligi ishlab chiqish va tahlil qilish sohasidagi mutaxassislar ishtirokida yaratilgan hujumlarga qarshi tursa belgilangan mablag'lar, shu jumladan tadqiqot markazlari, himoya vositalarini laboratoriya tadqiqotlarini o'tkazish mumkin edi, keyin haqida gapiramiz HF sinfiga muvofiqligi bo'yicha.

Agar hujum usullarini ishlab chiqishda NDV tizim dasturiy ta'minotidan foydalanish sohasidagi mutaxassislar jalb qilingan bo'lsa, tegishli dizayn hujjatlari va kriptografik axborot xavfsizligining har qanday apparat komponentlariga kirish imkoniyati mavjud bo'lsa, bunday hujumlardan himoya KA klassi yordamida ta'minlanishi mumkin.

Elektron imzoni himoya qilish vositalarining tasnifi

Imkoniyatlar elektron imzo hujumlarga qarshi turish qobiliyatiga qarab, ularni quyidagi sinflar bilan solishtirish odatiy holdir: KS1, KS2, KS3, KV1, KV2 va KA1. Ushbu tasnif kriptografik axborot xavfsizligiga nisbatan yuqorida muhokama qilinganga o'xshaydi.

xulosalar

Maqolada Rossiyada axborot xavfsizligi tizimlarini tasniflashning ba'zi usullari ko'rib chiqildi, ularning asosi normativ baza axborot xavfsizligi sohasidagi regulyatorlar. Ko'rib chiqilgan tasniflash variantlari to'liq emas. Shunga qaramay, taqdim etilgan qisqacha ma'lumotlar axborot xavfsizligi sohasidagi tajribasiz mutaxassisga tezda harakat qilish imkonini beradi deb umid qilamiz.

Aytgancha, "NDV uchun litsenziya" yo'q.

Men buni chuqurlashtirmayapman, shunchaki tushunmoqchiman.

Agar ishlanma birgalikda bo'lsa, ariza beruvchi ishlab chiquvchilardan biri bo'lishi mumkin.

Ariza beruvchi oddiygina - unda nega bunday qilish kerak?

Agar keyingi ishlab chiqarish uchun litsenziya kerak bo'ladi.

Agar yo'q bo'lsa, unda sizga sertifikatlash uchun hujjatlar to'plami, ishlab chiquvchi bilan ishlanmadan foydalanish bo'yicha shartnoma yoki boshqa asoslar kerak bo'ladi. IN Ushbu holatda Nega unga sertifikat kerak, agar keyinchalik sotish bilan ishlab chiqarish mumkin bo'lmasa.

> ishlab chiquvchi tomonidan ishlab chiqish yoki boshqa asosdan foydalanish haqida. Ushbu holatda

> agar keyinchalik sotish bilan ishlab chiqarish imkonsiz bo'lsa, nima uchun unga sertifikat kerak.

FSTEC sertifikatini qanday olish mumkin

Istalgan sertifikatni olish

FSB talablariga muvofiq kriptografik bo'lmagan axborot va telekommunikatsiya tizimlarini sertifikatlash to'g'risida

I.G. Shaposhnikov,“Sertifikatlashtirish tadqiqotlari markazi” MChJ direktori, t.f.n.

V.A. Myltsev,“Sertifikatlashtirish tadqiqotlari markazi” MChJning litsenziyalash va sertifikatlashtirish bo‘yicha direktor o‘rinbosari

FSB (sobiq FAPSI) faoliyatining yo'nalishlaridan biri bu kriptografik ma'lumotlarni himoya qilish vositalarini sertifikatlashdir. Sertifikatlashtirish bo'yicha tadqiqotlar akkreditatsiyalangan laboratoriya va markazlarda amalga oshiriladi. Shu bilan birga, mahsulotning axborot xavfsizligi talablariga muvofiqligi tasdiqlanadi. "Sertifikatlashtirish tadqiqotlari markazi" MChJ (CSR) kriptografik uskunalarni sertifikatlash bilan shug'ullanadigan tashkilot sifatida yaratilgan. Shu sababli, olingan birinchi litsenziyalar bilan markaz FAPSI tomonidan o'rnatilgan aloqa xavfsizligi talablariga muvofiq shifrlash texnologiyasini sertifikatlash bo'yicha sinov laboratoriyasi maqomini oldi. Shifrlash texnologiyasini sertifikatlash - bu sertifikatlash mijozi uni amalga oshirish tartibini aniq tushunishi kerak bo'lgan faoliyat sohasidir. Ikkinchisi, qoida tariqasida, sertifikatlashtirish jarayonini muvaffaqiyatli yakunlash uchun qanday harakatlar qilish kerakligini va qanday materiallarni taqdim etishi kerakligini biladi. Belgilangan buyurtma bir qator qonun hujjatlarida belgilangan normativ hujjatlar(masalan, PKZ-2005).

Yangi talablarga muvofiq

IN Yaqinda FSB axborot xavfsizligi talablariga muvofiq sertifikatlangan mahsulotlar ko'lami sezilarli darajada kengaydi. Hozirgi kunda nafaqat telekommunikatsiya uskunalari, shu jumladan sertifikatlangan kriptografik vositalar himoya, lekin hech qanday holda.

Hozirgi vaqtda FSB shifrlash texnologiyasiga qo'shimcha ravishda quyidagilarni tasdiqlaydi:

• raqamli ATS;
• xavfsizlik devorlari;
• plesioxron raqamli ierarxiya uskunalari;
• ishlatiladigan dasturiy ta'minot avtomatlashtirilgan tizimlar ah maxsus maqsadlar uchun ITCS;
• antiviral vositalar.

Sertifikatlashtirish bo'yicha tadqiqotlarni o'tkazishda FSBning me'yoriy hujjatlari (talablari, usullari) qo'llaniladi. Hozirgi vaqtda bunday hujjatlar kriptografik axborotni himoya qilish vositalarini o'z ichiga olmaydigan yuqoridagi telekommunikatsiya uskunalarining barcha turlari uchun mavjud. CRC ushbu yangi talablarga muvofiq sertifikatlashtirish tadqiqotlarini o'tkazishda kashshof bo'ldi, normativ hujjatlarni yaratishda ishtirok etdi. uslubiy hujjatlar va ularga qat'iy rioya qilgan holda ishlaydi.

Ushbu maqolaning maqsadi shifrlash texnologiyasini o'z ichiga olmaydigan uskunalarni sertifikatlashda mavjud qiyinchiliklar haqida bir oz tasavvur berishdir. Shuningdek, ushbu texnologiyani yaratuvchilarga qo'yiladigan talablarga to'xtalib o'tish kerak.

IN o'tgan yillar Ko'pgina yangi nodavlat rivojlanish kompaniyalari paydo bo'ldi, odatda bu tartib bilan tanish emas. Keng tarqalgan dori vositalarining etishmasligi salbiy rol o'ynaydi (masalan, PKZ-99 va PKZ-2005) davlat hujjatlari xavfsizlik talablarini ishlab chiqish va sertifikatlashni tartibga solish. Ular yo'q bo'lganda, xatti-harakatlar tartibi belgilanadi mavjud amaliyot. Quyida biz CRC tajribasiga asoslanib, protseduraning eng muhim nuqtalarini aks ettirishga harakat qilamiz.

Arizadan sertifikatgacha

Shunday qilib, sertifikatlash quyidagi zarur bosqichlarni o'z ichiga oladi:

• sertifikatlashtirish uchun talabnomani FSBga topshirish - sertifikatlashtirish sxemasi va sertifikatlash o'tkazilishi kerak bo'lgan talablarga muvofiqligi uchun standartlar va boshqa me'yoriy hujjatlar nomlarini ko'rsatgan holda;
• sertifikatlashtirish talablari darajasini muvofiqlashtirish;
• texnik shartlarni ishlab chiqish va sinov laboratoriyasi bilan shartnoma tuzish;
• sertifikatlangan mahsulotlarning namunalarini taqdim etish va barchasi zarur hujjatlar sinov uchun;
• sertifikatlashtirish sinovlarini o'tkazish;
• mahsulotlarni keyinchalik tekshirish bilan xavfsizlik talablariga muvofiq o'zgartirish (agar kerak bo'lsa);
• hisobot tayyorlash va uni FSBga yuborish; » FSBga hisobot tayyorlash va sertifikat berish.

Sertifikatlangan mahsulotlarga qo'yiladigan talablar darajasi, qoida tariqasida, sertifikatlash mijozi tomonidan FSB va sertifikatlangan uskunalar joylashgan tizimning mijozi bilan birgalikda belgilanadi. Shu bilan birga, cheklov ham mavjud funksionallik apparat - faqat ishlatiladigan funktsiyalar ushbu ilova, boshqalar dasturiy ta'minot yoki apparat darajasida o'chiriladi yoki bloklanadi. Ko'pchilik yuqori daraja axborotni muhofaza qilish talablari davlat sirini tashkil etuvchi ma'lumotlarni o'z ichiga olgan ma'lumotlarni qayta ishlash bilan bog'liq. Shunga ko'ra, ularni qayta ishlash uchun mo'ljallangan texnik vositalarni sertifikatlashda, maksimal miqdor test turlari va har biri eng qat'iy standartlarga muvofiq o'tkaziladi. Bu, tabiiyki, uzoqroq va ko'proq mehnat talab qiladigan tadqiqotlarni talab qiladi. Va uskunani ishlab chiquvchi (arizachi) eng batafsil va ta'minlash uchun talab qilinadi to'liq materiallar sertifikatlangan uskunalar bo'yicha (hujjatlar).

Sertifikatlangan uskunalar uchun taqdim etilgan hujjatlar ro'yxati

1. Sertifikatlangan ob'ekt arxitekturasining batafsil diagrammasi, unda hamma funktsiya bloklari va ular orasidagi aloqalar.

2. Butun mahsulotning ishlashi tavsifi.

3. Har bir kengash (kichik birlik) uchun quyidagilar taqdim etilishi kerak:

• texnik tavsif;
• sozlash bo'yicha ko'rsatmalar;
• foydalanuvchi uchun qo'llanma;
• elektr sxemasi;
• elementlar ro'yxati;
• funktsional diagramma.

4. Batafsil tavsif O'z ichiga olishi kerak bo'lgan dasturiy ta'minot:

• dasturiy ta'minot arxitekturasi;
• funktsional diagramma;
• algoritmlar eng ko'p muhim protseduralar va funktsiyalari;
• barcha modullarning ro'yxati va ularning ma'nosi;
• barcha protseduralar, funktsiyalar, konstantalar va o'zgaruvchilar ro'yxati va ularning maqsadi;
• sharhlar bilan barcha manba matnlar;
• dasturiy ta'minot manba kodlari bilan ishlash uchun ishlab chiqish vositalari;
• ishlab chiqish vositalari uchun konfiguratsiya fayllari;
• kompilyatsiya vositalari, yakuniy dasturiy ta'minot loyihasini yig'ish usullari va tartibi;
• sertifikatlangan asbob-uskunalarni sinovdan o'tkazish sxemalari va sertifikatlangan uskunada e'lon qilingan barcha funksionallik.

Standartlar o'zgarmaydi

Shuni alohida ta'kidlash kerakki, sertifikatlashtirish maxsus telekommunikatsiya tizimi mijozining ehtiyojlariga mos keladigan ma'lum bir bosqichda uskunani ishlab chiqish jarayonini "muzlatish" ni o'z ichiga oladi. Shuning uchun, yuqoridagi barcha hujjatlar ushbu "muzlatilgan" modifikatsiyaga murojaat qilishi kerak. Ikkinchisi to'liq sinovdan o'tadi, sertifikat oladi va model bo'ladi. U "sertifikatlangan" tushunchasi qamrab oladigan uskunalar ishlab chiqarish uchun ishlatiladi.

Telekommunikatsiya uskunalarini ishlab chiquvchilar xatolarni tuzatish, bajarilgan funktsiyalarni kengaytirish yoki o'zgartiruvchi apparatni (masalan, element bazasi) kuzatish uchun uskunaning dasturiy ta'minotini muntazam ravishda o'zgartiradilar, ya'ni uskunani doimiy modernizatsiya qilish amalga oshiriladi. Biroq, sertifikatni har qanday o'zgarishlarga ega uskunaga kengaytirish qo'shimcha tadqiqotlarni talab qiladi. Bu erda, qoida tariqasida, ishlab chiquvchi va sertifikatlovchi tashkilot o'rtasida tushunmovchilik paydo bo'ladi. Birinchidan, birinchisi hujjatlarni taqdim etadi, ularning turli qismlari tegishli turli bosqichlar uskunani "ishlab chiqish" va sertifikatlashdan so'ng, uning nuqtai nazari bo'yicha, mos kelmaydigan kichik o'zgarishlarni amalga oshirish mumkin deb hisoblaydi. yuqori talablar sertifikatlangan uskunalarga qo'yiladigan talablar.

Bunday qat'iy xavfsizlik mezonlari axborot xavfsizligi FSB talablariga muvofiq telekommunikatsiya uskunalarida foydalanish sohasi bilan belgilanadi. FSB sertifikati uskunani ishlatish imkoniyatini beradi yuqori organlar hokimiyat organlari. Shuning uchun, apparat ishlab chiqaruvchisi sertifikatlashdan oldin sertifikatlash zarurligini ko'rib chiqishi kerak. Bu olish uchun etarli bo'lishi mumkin FSTEC sertifikati, bu uskunadan foydalanishga imkon beradi davlat organlari. Agar FSB talablariga muvofiq sertifikatlashtirish to'g'risida qaror qabul qilingan bo'lsa, u holda siz sertifikatlash laboratoriyasi mutaxassislari bilan texnik shartlarni tuzish, himoya darajasini aniqlash va sertifikatlash uchun hujjatlar va uskunalar ro'yxatini tuzish uchun ishlashni boshlashingiz kerak. Masalan, Zamonaviy san'at markazida bunday tayyorgarlik tashkilotlar bilan shartnoma tuzishdan oldin ham amalga oshiriladi.

Yana bir muhim nuqta hamkorlik Sertifikatlovchi tashkilot va buyurtmachi tadqiqot hajmini va shunga mos ravishda ishning narxini belgilaydi. Tekshirilayotgan asbob-uskunalarning murakkabligi sababli, ba'zida bu hajmni o'tkazmasdan o'rnatish qiyin dastlabki tadqiqotlar. Keyin, dastlab, shartnoma faqat ishning birinchi bosqichi uchun tuziladi, qachon dastlabki tahlil FSBning tegishli bo'limiga mos keladigan hujjatlar, dastur va sinov usullari ishlab chiqilmoqda. Kelishilgan tadqiqot dasturi ob'ektiv hujjat bo'lib, uning asosida kelajakdagi tadqiqotlar hajmi, uni amalga oshirish muddatlari va ishlarning narxi aniqlanadi.

Yana bir narsani e'tiborga olish kerak muhim nuqta sertifikatlashtirish bo'yicha tadqiqotlarni amalga oshirish - taqdim etilgan hisobotlarni tekshirish ekspert tashkiloti(8-FSB markazining birligi). Ushbu bosqich sertifikatlashtirish shartnomasiga kiritilmagan (chunki FSB shartnomada ishtirok eta olmaydi), lekin uni amalga oshirish odatda ikki oygacha davom etadi. Ekspertiza natijasi - 8-FSB markazining xavfsizlik talablariga muvofiqligi to'g'risidagi xulosasi. Albatta, sertifikatlashtirish laboratoriyasi hisobotlarining ijobiy xulosalari xulosaning bir xil ijobiy baholanishini kafolatlamaydi. Biroq, bizning sinov laboratoriyamiz amaliyoti shuni ko'rsatadiki, xulosalarning mos kelishi deyarli yuz foizni tashkil qiladi. A ijobiy xulosa sertifikat olish huquqini beradi.

Munozara

Ular sertifikatlashni talab qiladimi? Agar kerak bo'lsa, qanday hujjatlar asosida?

Men shifrlash texnologiyasi uchun professional atama ichidagi "O9" harfi bilan boshlanganini tushunmayapman.

Ilgari faqat "LOBERS" shunday yozgan.

Narxlar yo'q, aniq talablar yo'q.

Sertifikatlovchilar qayerda edingiz?

Iltimos, sertifikatga e'tibor bering dedi texnologiya zarur deb tan olingan, chunki bu axborot va telekommunikatsiya tizimlarining kompyuter hujumlariga, ruxsatsiz kirishga qarshi ishlashida ma'lum darajadagi barqarorlikni kafolatlaydi. axborot resurslari, noqonuniy yoki noto'g'ri harakatlar xizmat ko'rsatuvchi xodimlar. Shuning uchun sertifikatlangan uskunalar, qoida tariqasida, davlat mijozlari tomonidan talab qilinadi, bu esa uni ishlab chiquvchilar uchun muhimdir.

Bu nima haqida?

Bu yo‘nalishda qanday ishlar amalga oshirildi?

Siz shunchaki pufakchalarni pufladingizmi?

Stajyor yozgan (birinchi pastki fotosurat) - va ikkala tsenzura (yuqori fotosuratlar) ham uxlab qolganga o'xshaydi.

"FSB (sobiq FAPSI) faoliyat yo'nalishlaridan biri"

go'yo FSB ilgari FAPSI deb atalgan :)

KGB 8-bosh boshqarmasi xodimlari KGB va SVR o'rtasida bo'lingan

keyin KGBdan ular FSK deb atalgan va u erda bir joyda FAPSI xuddi shulardan tuzilgan.

Va Putin FAPSIni FSO, FSB va SVR o'rtasida taqsimlaganida, u allaqachon hammani aralashtirib yubordi.

Shunday qilib, ular bo'lim (bo'lim) boshlig'ining ismi tashabbuskorlarga nimadir deydi, deb o'ylab, o'zlarini xohlagancha chaqirishadi.

Bir so'z bilan aytganda, yuklamang - bularning barchasi bitta tartibsizlik.

Shunchaki, ilgari bu hudud FAPSI yurisdiktsiyasi ostida edi. FAPSI bo'linganida, u FSBga o'tdi

Mavzuni ensiklopediyadan o'rgandingizmi?

Yoki bu xatoni u yerda (entsiklopediyada) ataylab kiritdingizmi?

Men professional (Havaskor EMAS) muhitda ayta olaman, atama

"o9TEHNIKA" shifrlash qadim zamonlardan beri "O9" bog'lovchisisiz yozilgan.

O - bu Shchechelev darajasidagi bosuvchilar va boshqa "JURNALISTLAR9-" mutaxassislari9 uchun.

Haqiqiy Yo'l-yo'riq hujjati(RD) dasturiy ta'minotning (mahalliy va import qilinadigan) axborot xavfsizligi vositalarining (AT), shu jumladan umumiy tizim va amaliy dasturiy ta'minotga o'rnatilgan, unda e'lon qilinmagan imkoniyatlarning yo'qligi ustidan nazorat qilish darajasi bo'yicha tasnifini o'rnatadi.

Hujjat kriptografik axborotni himoya qilish vositalari uchun dasturiy ta'minotga taalluqli emas.

Nazorat darajasi ushbu RD tomonidan belgilangan talablar to'plamining bajarilishi bilan belgilanadi :

tarkibiga va hujjatlarning mazmuni, talabnoma beruvchi tomonidan axborotni himoya qilish dasturini sinovdan o'tkazish uchun taqdim etilgan

Yo'l-yo'riqli hujjat RD "Kompyuter uskunalari" ga qo'shimcha ravishda ishlab chiqilgan. Axborotga ruxsatsiz kirishdan himoya qilish. Axborotga ruxsatsiz kirishdan himoyalanish ko'rsatkichlari", M., Harbiy nashriyot, 1992 yil,

RD “Avtomatlashtirilgan tizimlar. Axborotga ruxsatsiz kirishdan himoya qilish. Avtomatlashtirilgan tizimlarning tasnifi va axborotni muhofaza qilish talablari", M., Harbiy nashriyot,

1992 va RD “Kompyuter qurilmalari. Faervollar. Axborotga ruxsatsiz kirishdan himoya qilish. Axborotga ruxsatsiz kirishdan himoyalanish ko'rsatkichlari», M., 1997 y.

Hujjat mutaxassislar uchun mo'ljallangan sinov laboratoriyalari, mijozlar, axborot xavfsizligi dasturiy ta'minot ishlab chiquvchilari e'lon qilinmagan imkoniyatlarning yo'qligi nuqtai nazaridan monitoring qilishda.

1. Umumiy qoidalar

1.1. Tasniflash cheklangan ma'lumotlarni himoya qilish uchun mo'ljallangan dasturiy ta'minot uchun amal qiladi.

1.2. Oʻrnatilgan to'rtta nazorat darajasi e'lon qilinmagan qobiliyatlarning yo'qligi. Har bir daraja ma'lum bir minimal talablar to'plami bilan tavsiflanadi.

1.3. Ma'lumotni himoya qilish uchun foydalaniladigan dasturiy ta'minot uchun, ga tegishli davlat siri, dan past bo'lmagan nazorat darajasini ta'minlash kerak uchinchi.

1.4 . Nazoratning eng yuqori darajasi - birinchi , "OV" deb tasniflangan ma'lumotlarni himoya qilish uchun foydalaniladigan dasturiy ta'minot uchun etarli.

Ikkinchi nazorat darajasi "CC" bilan belgilangan ma'lumotlarni himoya qilish uchun foydalaniladigan dasturiy ta'minot uchun etarli.

Uchinchi nazorat darajasi yetarli "C" bilan belgilangan ma'lumotlarni himoya qilish uchun foydalaniladigan dasturiy ta'minot uchun.

1.5 Ko'pchilik past daraja boshqaruv - to'rtinchi , himoya qilish uchun ishlatiladigan dasturiy ta'minot uchun etarli maxfiy ma `lumot.

2. Atamalar va ta’riflar

2.1. E'lon qilinmagan qobiliyatlar - dasturiy ta'minotning tavsiflanmagan yoki hujjatlarda tavsiflanganlarga mos kelmaydigan funksionalligi, ulardan foydalanish qayta ishlangan ma'lumotlarning maxfiyligini, mavjudligini yoki yaxlitligini buzishi mumkin. E'lon qilinmagan imkoniyatlarni amalga oshirish, xususan, dasturiy ta'minot xatcho'plari.

2.6.Funktsional ob'ektlarning amaldagi bajarilish marshruti - bu amalda bajariladigan funksional ob'ektlar ketma-ketligi muayyan shartlar(kirish ma'lumotlari).

Axborotga ruxsatsiz kirishdan himoya qilish 1-qism. Axborot xavfsizligini ta'minlash dasturi

E'lon qilinmagan imkoniyatlarning yo'qligi ustidan nazorat qilish darajasiga ko'ra tasniflash

Davlat Raisining qarori bilan tasdiqlangan texnik komissiya Rossiya Federatsiyasi Prezidenti huzuridagi 1999 yil 4 iyundagi 114-son

Ushbu Yo'riqnoma (RD) dasturiy ta'minotning (mahalliy va import qilingan) axborot xavfsizligi vositalarining (AT), shu jumladan umumiy tizim va amaliy dasturiy ta'minotga o'rnatilgan, unda e'lon qilinmagan imkoniyatlarning yo'qligi ustidan nazorat qilish darajasiga ko'ra tasnifini belgilaydi.

Hujjat kriptografik axborotni himoya qilish vositalari uchun dasturiy ta'minotga taalluqli emas.

Nazorat darajasi ushbu RD tomonidan belgilangan talablar to'plamining bajarilishi bilan belgilanadi:
- talabnoma beruvchi tomonidan axborotni himoya qilish dasturiy ta'minotini sinovdan o'tkazish uchun taqdim etilgan hujjatlarning tarkibi va mazmuniga;
- testlar mazmuniga.

Yo'l-yo'riq hujjati quyidagilarni to'ldirish uchun ishlab chiqilgan:
- RD “Kompyuter vositalari. Axborotga ruxsatsiz kirishdan himoya qilish. Axborotga ruxsatsiz kirishdan xavfsizlik ko'rsatkichlari”, M., Harbiy nashriyot, 1992;
- RD “Avtomatlashtirilgan tizimlar. Axborotga ruxsatsiz kirishdan himoya qilish. Avtomatlashtirilgan tizimlarning tasnifi va axborotni muhofaza qilish talablari”, M., Harbiy nashriyot, 1992;
- RD “Kompyuter vositalari. Faervollar. Axborotga ruxsatsiz kirishdan himoya qilish. Axborotga ruxsatsiz kirishdan himoyalanish ko’rsatkichlari”, M., 1997 y.

Hujjat sinov laboratoriyalari mutaxassislari, mijozlar va axborot xavfsizligi bo'yicha dasturiy ta'minotni ishlab chiquvchilar uchun uni e'lon qilinmagan imkoniyatlarning yo'qligi nuqtai nazaridan monitoring qilishda mo'ljallangan.

1. UMUMIY QOIDALAR

1.1. Tasniflash cheklangan ma'lumotlarni himoya qilish uchun mo'ljallangan dasturiy ta'minotga tegishli.

1.2. E'lon qilinmagan imkoniyatlarning yo'qligi ustidan nazoratning to'rtta darajasi o'rnatiladi. Har bir daraja ma'lum bir minimal talablar to'plami bilan tavsiflanadi.

1.3. Davlat sirlari sifatida tasniflangan ma'lumotlarni himoya qilish uchun foydalaniladigan dasturiy ta'minot uchun kamida uchdan bir nazorat darajasi ta'minlanishi kerak.

1.4. Boshqarishning eng yuqori darajasi birinchi bo'lib, "OV" deb tasniflangan ma'lumotlarni himoya qilish uchun ishlatiladigan dasturiy ta'minot uchun etarli.

Boshqarishning ikkinchi darajasi "CC" bilan belgilangan ma'lumotlarni himoya qilish uchun ishlatiladigan dasturiy ta'minot uchun etarli.

Nazoratning uchinchi darajasi "C" deb tasniflangan ma'lumotlarni himoya qilish uchun foydalaniladigan dasturiy ta'minot uchun etarli.

1.5 Boshqarishning eng past darajasi to'rtinchi bo'lib, maxfiy ma'lumotlarni himoya qilish uchun foydalaniladigan dasturiy ta'minot uchun etarli.

2. ATAMALAR VA TA’rifLAR

2.1. E'lon qilinmagan imkoniyatlar - bu hujjatda tavsiflanmagan yoki ularga mos kelmaydigan dasturiy ta'minotning funksionalligi, ulardan foydalanish qayta ishlangan ma'lumotlarning maxfiyligi, mavjudligi yoki yaxlitligini buzishi mumkin.

E'lon qilinmagan imkoniyatlarni amalga oshirish, xususan, dasturiy ta'minot xatcho'plari.

2.2. Dasturiy ta'minot xatcho'plari - bu dasturiy ta'minotga ataylab qo'shilgan funktsional ob'ektlar bo'lib, ular ma'lum sharoitlarda (kirish ma'lumotlari) hujjatlarda tavsiflanmagan dasturiy ta'minot funktsiyalarini bajarishni boshlaydi va qayta ishlangan ma'lumotlarning maxfiyligi, mavjudligi yoki yaxlitligi buzilishiga olib keladi.

2.3. Funktsional ob'ekt - bu dastur algoritmining tugallangan qismini amalga oshirish bo'yicha harakatlarni amalga oshiradigan dastur elementi.

Funktsional ob'ektlar protseduralar, funktsiyalar, filiallar, operatorlar va boshqalar bo'lishi mumkin.

2.4. Axborot obyekti- dasturda aylanib yuruvchi ma'lumotlarning parchalarini o'z ichiga olgan dastur elementi. Sifatida dasturlash tiliga qarab axborot ob'ektlari o'zgaruvchilar, massivlar, yozuvlar, jadvallar, fayllar, fragmentlar bo'lishi mumkin tasodifiy kirish xotirasi va h.k.

2.5. Funktsional ob'ektlarning bajarilish marshruti algoritm bo'yicha aniqlangan bajariladigan funktsional ob'ektlar ketma-ketligidir.

2.6. Funktsional ob'ektlarning haqiqiy bajarilish marshruti ma'lum sharoitlarda (kiritish ma'lumotlari) amalda bajariladigan funktsional ob'ektlarning ketma-ketligidir.

2.7. Funktsional ob'ektlarni bajarish uchun muhim marshrut - bu nazoratsiz buzilish ehtimoli mavjud bo'lgan marshrut. belgilangan qoidalar axborot ob'ektlarini qayta ishlash.

2.8. Dasturning dastlabki kodlarini statik tahlil qilish - bu hujjatlarga asoslangan holda amalga oshirilgan va e'lon qilingan dasturiy ta'minot funktsiyalarining muvofiqligini nazorat qilish usullari to'plami. strukturaviy tahlil va dastur manba kodlarining parchalanishi.

2.9. Dasturning manba kodlarini dinamik tahlil qilish - bu funktsional ob'ektlarning haqiqiy ishlash yo'nalishlarini aniqlash va keyinchalik statik tahlil jarayonida qurilgan marshrutlarni taqqoslashga asoslangan hujjatlarda amalga oshirilgan va e'lon qilingan dasturiy ta'minot funktsiyalarining muvofiqligini monitoring qilish usullari to'plami. .

3. NAZORAT DARAJASIGA TALABLAR
3.1. TALABLAR RO'YXATI

1-jadval

Belgilar
"-" - uchun talablar yo'q bu daraja;
"+" - yangi yoki Qo'shimcha talablar;
"=" - talablar oldingi darajadagi talablar bilan bir xil.

3.2. NAZORATNING TO'RTINCHI DARAJASIGA TALABLAR

3.2.1 Hujjatlarning tarkibi va mazmunini nazorat qilish

Ariza beruvchi tomonidan taqdim etilgan hujjatlar quyidagilarni o'z ichiga olishi kerak:

Dasturiy ta'minotning tarkibi va uning hujjatlari to'g'risidagi ma'lumotlarni o'z ichiga olgan spetsifikatsiya (GOST 19.202-78);

Tarkibi haqida asosiy ma'lumotlarni o'z ichiga olgan dastur tavsifi (GOST 19.402-78) (dasturga kiritilgan fayllarning nazorat summalarini ko'rsatgan holda), mantiqiy tuzilish va dasturiy ta'minotning ishlash muhiti, shuningdek, dasturiy ta'minotni yaratishda texnologik uskunalarni ishlatish usullari, usullari va qoidalari tavsifi;

Dastur tavsifi (GOST 19.502-78), dasturiy ta'minotning maqsadi, qo'llanilish doirasi, qo'llaniladigan usullar, echilishi kerak bo'lgan vazifalar sinfi, dastur cheklovlari, apparatning minimal konfiguratsiyasi, ish muhiti va ishlash tartibi to'g'risidagi ma'lumotlarni o'z ichiga oladi.

Dasturiy ta'minotga kiritilgan dasturlarning manba matnlari (GOST 19.401-78).

Import qilingan dasturiy ta'minot uchun hujjatlarning tarkibi talab qilinganidan farq qilishi mumkin, ammo mazmuni ko'rsatilgan GOST talablariga javob berishi kerak.

3.2.2. Dasturiy ta'minotning dastlabki holatini kuzatish

Nazorat dasturiy ta'minotning dastlabki holatini qayd etish va olingan natijalarni hujjatlarda keltirilgan natijalar bilan taqqoslashdan iborat.

Dasturiy ta'minotning dastlabki holatini monitoring qilish natijalari dasturiy ta'minotga kiritilgan dasturlarning yuk modullari va manba kodlarining nazorat yig'indilarining noyob qiymatlarini hisoblashi kerak.

Dasturga kiritilgan har bir fayl uchun nazorat summalari hisoblanishi kerak.

3.2.3. Dasturning manba kodlarini statik tahlil qilish

Dasturning manba kodlarini statik tahlil qilish quyidagi texnologik operatsiyalarni o'z ichiga olishi kerak:
- fayl darajasida dasturiy ta'minot manba matnlarining to'liqligi va ortiqcha bo'lmasligini nazorat qilish;
- dasturiy ta'minot manba matnlarining uning ob'ekt (yuklash) kodiga muvofiqligini nazorat qilish.

3.2.4. Hisobot

Sinovlar tugagandan so'ng, natijalarni o'z ichiga olgan bayonnoma (bayonnoma) tuziladi:
- dasturiy ta'minotning dastlabki holatini kuzatish;
- fayl darajasida boshqariladigan dasturiy ta'minotning manba matnlarining to'liqligi va ortiqchaligi yo'qligini nazorat qilish;
- dastlabki matnlarning uning ob'ekt (yuklash) kodi bilan muvofiqligini nazorat qilish.

3.3 NAZORATNING UCHINCHI DARAJASIGA TALABLAR

3.3.1 Hujjatlarning tarkibi va mazmunini nazorat qilish

Talablar nazoratning to'rtinchi darajasiga o'xshash talablarni to'liq o'z ichiga oladi.

Bundan tashqari, dasturiy ta'minotga kiritilgan komponentlarning maqsadi, qayta ishlangan ma'lumotlar to'plamining parametrlari (ma'lumotlar bazasi quyi sxemalari), yaratilgan qaytarish kodlari, tavsif to'g'risidagi asosiy ma'lumotlarni o'z ichiga olgan "Tushuntirish eslatmasi" (GOST 19.404-79) taqdim etilishi kerak. ishlatiladigan o'zgaruvchilar, operatsion algoritmlar va boshqalar.

3.3.2 Dasturiy ta'minotning dastlabki holatini kuzatish

Talablar nazoratning to'rtinchi darajasiga o'xshash talablarni to'liq o'z ichiga oladi.

3.3.3.Dastur manba kodlarini statik tahlil qilish

To'rtinchi darajadagi nazorat uchun shunga o'xshash talablarga qo'shimcha ravishda, qo'shimcha quyidagi talablar:
- funktsional ob'ektlar (protseduralar) darajasida dasturiy ta'minot manba matnlarining to'liqligi va ortiqcha bo'lmasligini nazorat qilish;
- boshqaruv uchun funktsional ob'ektlar (modullar, protseduralar, funktsiyalar) ulanishlarini nazorat qilish;
- funktsional ob'ektlarning (modullar, protseduralar, funktsiyalar) ulanishlarini axborotga muvofiq boshqarish;
- axborot ob'ektlarini boshqarish har xil turlari(masalan, mahalliy o'zgaruvchilar, global o'zgaruvchilar, tashqi o'zgaruvchilar va boshqalar);
- funktsional ob'ektlarni (protseduralar, funktsiyalarni) bajarish marshrutlari ro'yxatini shakllantirish.

3.3.4. Dastur manba kodlarining dinamik tahlili

Dasturning manba kodlarini dinamik tahlil qilish quyidagi texnologik operatsiyalarni o'z ichiga olishi kerak:
- funktsional ob'ektlar (protseduralar, funktsiyalar) bajarilishini nazorat qilish;
- statik tahlil jarayonida tuzilgan funksional ob'ektlar (protseduralar, funksiyalar) va marshrutlarning haqiqiy bajarilishi yo'nalishlarini taqqoslash.

3.3.5. Hisobot

Nazoratning to'rtinchi darajasiga qo'yiladigan shunga o'xshash talablarga qo'shimcha ravishda hisobot (bayonnoma) qo'shimcha ravishda quyidagi natijalarni o'z ichiga olishi kerak:
- funktsional ob'ektlar (protseduralar) darajasida boshqariladigan dasturiy ta'minotning dastlabki matnlarining to'liqligi va ortiqcha bo'lmasligini nazorat qilish;
- boshqaruv uchun funktsional ob'ektlar (modullar, protseduralar, funktsiyalar) ulanishlarini nazorat qilish;
- funktsional ob'ektlarning (modullar, protseduralar, funktsiyalar) ulanishlarini axborotga muvofiq boshqarish;
- har xil turdagi axborot ob'ektlarini boshqarish (masalan, mahalliy o'zgaruvchilar, global o'zgaruvchilar, tashqi o'zgaruvchilar va boshqalar);
- funktsional ob'ektlarni (protseduralar, funktsiyalarni) bajarish marshrutlari ro'yxatini shakllantirish;
- funktsional ob'ektlar (protseduralar, funktsiyalar) bajarilishini nazorat qilish;
- statik tahlil jarayonida tuzilgan funksional ob'ektlar (protseduralar, funksiyalar) va marshrutlarning haqiqiy bajarilishi yo'nalishlarini taqqoslash.

3.4. NAZORATNING IKKINCHI DARAJASI UCHUN TALABLAR

3.4.1 Hujjatlarning tarkibi va mazmunini nazorat qilish

3.4.2 Dasturiy ta'minotning dastlabki holatini kuzatish

Talablar nazoratning uchinchi darajasiga o'xshash talablarni to'liq o'z ichiga oladi.

3.4.3. Dasturning manba kodlarini statik tahlil qilish

- funktsional ob'ektlar (funksiyalar) darajasida boshqariladigan dasturiy ta'minotning dastlabki matnlarining to'liqligi va ortiqcha bo'lmasligini nazorat qilish;
- potentsial xavfli bo'lganlar ro'yxatidan (bazasidan) dasturiy ta'minotning dastlabki matnlarida ko'rsatilgan tuzilmalar mavjudligini sintaktik nazorat qilish. dastur tuzilmalari;
- funktsional ob'ektlarni (filiallarni) bajarish marshrutlari ro'yxatini shakllantirish;
- ekspert tomonidan ko'rsatilgan axborot ob'ektlari ro'yxatlari uchun funktsional ob'ektlarni (protseduralar, funktsiyalarni) bajarishning muhim yo'nalishlarini tahlil qilish;
- boshqariladigan dasturiy ta'minotning dastlabki matnlaridan blok-sxemalar, diagrammalar va boshqalarni qurish va keyinchalik funktsional ob'ektlarning (protseduralar, funktsiyalar) ishlash algoritmini va "" bo'limida berilgan operatsiya algoritmini qiyosiy tahlil qilish. Tushuntirish eslatmasi”.

3.4.4. Dastur manba kodlarining dinamik tahlili

Nazoratning uchinchi darajasiga o'xshash talablarga qo'shimcha ravishda quyidagi talablar qo'yiladi:
- funktsional ob'ektlar (filiallar) bajarilishini nazorat qilish;
- statik tahlil jarayonida qurilgan funktsional ob'ektlar (tarmoqlar) va marshrutlarni haqiqiy bajarish yo'nalishlarini taqqoslash;

3.4.5 Hisobot berish

Nazoratning uchinchi darajasiga qo'yiladigan shunga o'xshash talablarga qo'shimcha ravishda hisobotda (bayonnomada) qo'shimcha ravishda quyidagilar bo'lishi kerak:
- funktsional ob'ektlar (funksiyalar) darajasida boshqariladigan dasturiy ta'minotning dastlabki matnlarining to'liqligi va ortiqcha bo'lmasligini nazorat qilish;
- potentsial xavfli konstruktsiyalar ro'yxatidan (bazasidan) dasturiy ta'minotning dastlabki matnlarida ko'rsatilgan konstruktsiyalar mavjudligini sintaktik nazorat qilish;
- funktsional ob'ektlarni (filiallarni) bajarish marshrutlari ro'yxatini yaratish;
- mutaxassis tomonidan ko'rsatilgan axborot ob'ektlari ro'yxatlari uchun funktsional ob'ektlarni (protseduralarni, funktsiyalarni) bajarishning muhim yo'nalishlarini tahlil qilish;
- nazorat qilinadigan dasturiy ta'minotning dastlabki matnlaridan blok-sxema, diagramma va boshqalarni qurish va undan keyingi. qiyosiy tahlil funktsional ob'ektlarning (protseduralar, funktsiyalar) ishlash algoritmi va "Tushuntirish eslatmasi" da keltirilgan ishlash algoritmi;
- funktsional ob'ektlar (filiallar) bajarilishini nazorat qilish;
- statik tahlil jarayonida tuzilgan funktsional ob'ektlar (tarmoqlar) va marshrutlarning haqiqiy bajarilishi yo'nalishlarini taqqoslash.

3.5. NAZORATNING BIRINCHI DARAJASI UCHUN TALABLAR

3.5.1. Hujjatlarning tarkibi va mazmunini nazorat qilish

3.5.2. Dasturiy ta'minotning dastlabki holatini kuzatish

Talablar nazoratning ikkinchi darajasiga o'xshash talablarni to'liq o'z ichiga oladi.

3.5.3. Dasturning manba kodlarini statik tahlil qilish

Nazoratning ikkinchi darajasiga o'xshash talablarga qo'shimcha ravishda quyidagi talablar qo'yiladi:
- sertifikatlangan kompilyatorlar yordamida dasturiy ta'minot manba matnlarining uning ob'ekt (yuklash) kodiga muvofiqligini nazorat qilish;
- potentsial xavfli tuzilmalar ro'yxatidan (bazasidan) dasturiy ta'minotning dastlabki matnlarida ko'rsatilgan tuzilmalar mavjudligini semantik nazorat qilish.

3.5.4. Dastur manba kodlarining dinamik tahlili

Talablar nazoratning ikkinchi darajasiga o'xshash talablarni to'liq o'z ichiga oladi.

3.5.5. Hisobot

Nazoratning ikkinchi darajasiga qo'yiladigan o'xshash talablarga qo'shimcha ravishda hisobot (bayonnoma) qo'shimcha ravishda quyidagi natijalarni o'z ichiga olishi kerak:
- sertifikatlangan kompilyatorlardan foydalangan holda dasturiy ta'minot manba matnlarining uning ob'ekt (yuklash) kodiga muvofiqligini nazorat qilish;
- potentsial xavfli tuzilmalar ro'yxatidan (bazasidan) dasturiy ta'minotning dastlabki matnlarida ko'rsatilgan tuzilmalar mavjudligini semantik nazorat qilish.