4.2.3 Работы по подготовке и проведению оценки влияния ПМ на выполнение требований, предъявленных к СКЗИ

Необходимость проведения оценки влияния ПМ на СКЗИ определяется в документе [9] и эксплуатационной документации СКЗИ.

В разделе приведена информация о типовом подходе при проведении оценки влияния ПМ на выполнение требований, предъявленных к СКЗИ.

В эксплуатационной документации на ПМ по результатам оценки влияния среды функционирования на выполнение требований, предъявленных к СКЗИ, должен быть отражен факт использования данной спецификации, если ПМ разработан в соответствии с ней.

Оценка влияния может быть выполнена в один или два этапа. При выполнении оценки влияния в один этап исследование проводится после встраивания ПМ в МП. Оценка в два этапа проводится после встраивания СКЗИ в ПМ и после встраивания ПМ в МП.

Исследования по оценке влияния проводятся в соответствии с документом "Техническое задание на проведение исследований по оценке влияния специального программного обеспечения Программного модуля" (далее - ТЗ).

Разработку ТЗ и проведение исследований ПМ должна выполнять организация, имеющая действующий аттестат аккредитации испытательной лаборатории ФСБ России или допущенная ФСБ России на проведение таких работ (далее - Лаборатория).

Исследования рекомендуется проводить на основании договора между Лабораторией и Разработчиком ПМ.

Для проведения исследований Разработчик ПМ предоставляет материалы в соответствии с требованиями ТЗ. Список материалов для обеспечения исследований может включать:

- исходные тексты исследуемого ПМ, МП (передаются при встраивании ПМ в МП);

- документы разработчика ПМ (МП), описывающие архитектуру ПМ (МП), модульный состав и назначение модулей, среду исполнения;

- описания и комментированные листинги исходных текстов доступа ПМ к функциям встраиваемого СКЗИ. В случае, если ПМ является СКЗИ, передаются исходные тексты доступа МП к функциям СКЗИ;

- спецификации вызовов ПМ (описание аргументов и форматов вызовов);

- описание процедуры компиляции исходного кода ПМ;

- описание внешних вызовов (вызовы операционной среды, аппаратных средств, других программ и т.д.);

- эксплуатационную документацию;

- дистрибутивы ПМ, МП (передаются при встраивании ПМ в МП).

Приведенный список не является исчерпывающим. Лаборатория, проводящая исследования, может запросить дополнительные материалы в соответствии с ТЗ.

Разработчик ПМ должен описать трассы вызовов ПМ - СКЗИ в соответствии с документом [34] для использования данной информации при проведении оценки корректности встраивания СКЗИ в ПМ, а также ПМ в МП.

Для проведения исследований Разработчик предоставляет Лаборатории экземпляры МП со встроенным ПМ. МП предоставляются для каждой ОС, в которой функционирует ПМ.

Для ПМ, функционирующего в ОС iOS, МП предоставляется через магазин приложений App Store.

Для ПМ, функционирующих в ОС Android, ОС HarmonyOS и ОС Аврора, МП предоставляются через магазины приложений Google Play, RuStore, NashStore, AppGallery или в виде rpm-файлов для ОС Аврора или apk-файлов для ОС Android и HarmonyOS с инструкцией по скачиванию и установке на устройство.

По результатам исследований в документацию к ПМ могут быть включены требования по защите с использованием организационных мер.

Экспертиза результатов исследований ПМ осуществляется ФСБ России.