Об угрозах НДВ - 2

Аватар пользователя e.v.rodygin
Автор: Родыгин Евгений, Группа "Кронштадт"
(0)
()
Тема кажется переваренной, мечи сложены, шлемы повешены на гвозди. Но не все так просто ;)
Вспомним определение:
Недекларированные возможности - функциональные возможности ПО, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации.
Попробуем решить вопрос влоб - проведением сертификации на отсутствие НДВ скажем по 3 уровню контроля.
Поехали:
1 Контроль состава и содержания документации
1.1. Спецификация (ГОСТ 19.202-78) - [ДОК ПЛОХОЙ]
1.2. Описание программы (ГОСТ 19.402-78) - [ДОК ПЛОХОЙ]
1.3. Описание применения (ГОСТ 19.502-78) - [ДОК ПЛОХОЙ]
1.4. Пояснительная записка (ГОСТ 19.404-79) - [ДОК ПЛОХОЙ]
1.5. Тексты программ, входящих в состав ПО (ГОСТ 19.401-78) - [ДОК ПЛОХОЙ]
2. Контроль исходного состояния ПО - [Контрольные суммы не соответствуют документации]
3. Статический анализ исходных текстов программ
3.1. Контроль полноты и отсутствия избыточности исходных текстов - [ИЗБЫТОЧНЫЕ]
3.2. Контроль соответствия исходных текстов ПО его объектному (загрузочному) коду - [НЕ СООТВЕТСТВУЮТ]
3.3. Контроль связей функциональных объектов по управлению - [Связи дохлые]
3.4. Контроль связей функциональных объектов по информации - [Связи дохлые]
3.5. Контроль информационных объектов - [Избыточны, не правильно используются]
3.7. Формирование перечня маршрутов выполнения функциональных объектов
4. Динамический анализ исходных текстов программ
4.1. Контроль выполнения функциональных объектов - [Не соответствует алгоритму, не все выполняются]
4.2. Сопоставление фактических маршрутов выполнения функциональных объектов и маршрутов, построенных в процессе проведения статического анализа - [Маршруты не соответствует алгоритму]

Короче все плохо. Но возьмем например Избыточность на уровне файлов. Может показаться, что перечень выявленных избыточных файлов нужно послать Разработчику и заставить его убрать избыточность. Логично? Но тут Разработчик требует Обосновать или Доказать то, что эта избыточность "Приводит к нарушению конфиденциальности, доступности или целостности обрабатываемой информации". И это должно быть не просто мнение а Обоснование!

Примеры ?


Оцените материал:
Total votes: 30
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.