Соответствие требованиям

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

Приказ ФСТЭК России № 76 от 02.06.2020

Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий (выписка)

п.3.12

Для проведения оценки соответствия по документу войдите в систему.

Список требований

3. Требования к разработке и производству средства
12. К разработке проектной (программной) документации средства предъявляются следующие требования:
12.1. Проектная (программная) документация средства, соответствующего 6 уровню доверия, должна включать:
проект на уровне подсистем средства (эскизный проект);
проект на уровне модулей средства (технический проект).
Эскизный проект должен включать:
описание структуры средства на уровне подсистем средства;
описание всех подсистем средства;
сопоставление функций средства и интерфейсов, описанных в функциональной спецификации, с подсистемами средства;
описание взаимодействия подсистем средства между собой.
Технический проект должен включать:
описание структуры средства на уровне модулей;
описание всех модулей средства (для модулей средства, реализующих функции безопасности, – описание интерфейсов, возвращаемых ими в ответ на запросы значений, взаимодействий с другими модулями и вызываемыми интерфейсами этих модулей; для модулей средства, не влияющих на
выполнение функций безопасности, – описание назначения и взаимодействия с другими модулями);
сопоставление подсистем средства, описанных в эскизном проекте, с модулями.
Положения эскизного и технического проектов могут быть объединены в одном документе.
Для аппаратной платформы средства должен быть разработан (представлен) перечень аппаратных устройств (микросхем), которые влияют на выполнение функций безопасности и (или) могут быть использованы для реализации угроз безопасности информации.
12.2. Проектная (программная) документация средства, соответствующего 5 уровню доверия, наряду с требованиями, установленными пунктом 12.1 настоящих Требований, должна включать:
- для аппаратной платформы средства – структурную и функциональную схемы аппаратной платформы средства;
- для программного обеспечения – исходные тексты программного обеспечения, входящего в состав средства, с указанием значений контрольных сумм файлов с исходными текстами программного обеспечения, за исключением программного обеспечения, заимствованного у сторонних изготовителей, не реализующего функции безопасности и не влияющего на реализацию функций безопасности.
Документация на средство должна содержать информацию о соответствии указанных сведений модулям, описанным в проектной документации.
В случае отсутствия сведений о заимствованных компонентах средства должны быть спроектированы, реализованы и описаны в документации на средство меры защиты информации, направленные на блокирование эксплуатации возможных уязвимостей и реализуемых заимствованными элементами (компонентами) потенциально опасных возможностей.
Отсутствующие сведения о заимствованных компонентах средства могут быть получены путем использования методов обратной разработки (реверс-инжиниринга). Способы и методы получения отсутствующих сведений о заимствованных элементах должны быть описаны в документации на средство, представляемой на испытания, и могут быть использованы при проведении испытаний.
Сведения об аппаратной платформе средства должны быть включены в единый реестр российской радиоэлектронной продукции*.
12.3. Проектная (программная) документация средства, соответствующего 4 уровню доверия, наряду с требованиями, установленными пунктами 12.1 и 12.2 настоящих Требований, для аппаратной платформы средства должна включать:
- структурные и функциональные схемы, техническую документацию аппаратных средств, входящих в аппаратную платформу;
- представление (код) на языке описания аппаратных средств;
- описание потенциально опасных элементов (компонентов), входящих в состав аппаратной платформы средства, которые влияют на выполнение функций безопасности и (или) могут быть использованы для реализации угроз безопасности информации.
Сведения о процессорах или микросхемах, выполняющих функции процессоров (микроконтроллеры), элементах памяти, сетевых картах, графических адаптерах аппаратной платформы средства должны быть включены в единый реестр российской радиоэлектронной продукции.

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.