ISSN 0236-3933. Вестник МГТУ им. Н.Э. Баумана. Сер. “Приборостроение”. 2012 277
Руководство администратора — описание функций администри-
рования и интерфейсов, доступных администратору САВЗ.
Руководство пользователя — описание функций и интерфейсов,
которые доступны пользователям САВЗ, не связанным с админи-
стрированием.
Документация по обновлению базы данных признаков вредоносных
компьютерных программ (вирусов) — описания процедур фиксации
момента появления нового типа компьютерного вируса, выпуска обнов-
ления базы данных признаков компьютерных вирусов за заданное вре-
мя, уведомления об обновлении базы признаков, поставки обновления
базы признаков, контроля целостности обновлений базы признаков,
представления обновлений для проведения внешнего контроля; методи-
ка анализа влияния обновлений на безопасность САВЗ.
Важный момент — уточнение стандартных требований доверия
для обеспечения преемственности требований к контролю отсутствия
недекларированных возможностей, изложенных в руководящем до-
кументе ФСТЭК России. Например, при проведении сертификации
САВЗ 4 класса защиты разработчик должен предоставить в испыта-
тельную лабораторию представление реализации функций безопас-
ности САВЗ — исходные тексты программного обеспечения. В ходе
испытаний лаборатория должна подтвердить, что исходные тексты
являются необходимыми и достаточными для компиляции исполняе-
мых файлов САВЗ (это заключение делается на основе результатов
контроля полноты и отсутствия избыточности исходных текстов про-
граммного обеспечения САВЗ на уровне файлов).
Следует отметить, что в документе впервые в отечественной
практике в явном виде допускается обновление базы данных призна-
ков компьютерных вирусов (положение представлено в виде требо-
ваний доверия, сформулированных в явном виде). При этом разра-
ботчик ежегодно предоставляет в испытательную лабораторию, про-
водившую испытания САВЗ, подробный отчет обо всех внесенных
изменениях и об их возможном влиянии на безопасность системы.
Такой подход позволяет значительно ускорить процедуру обновле-
ния по сравнению с традиционным подходом, требовавшим в неко-
торых случаях проведения инспекционного контроля после внесения
каждого изменения в изделие.
Отдельного рассмотрения заслуживает вопрос трудоемкости не-
зависимого тестирования при сертификационных испытаниях по но-
вым требованиям. Анализ, проведенный экспертами, позволяет сде-
лать вывод о том, что плановая трудоемкость самих проводимых те-
стов принципиально не изменится по сравнению с традиционным
подходом.
Заключение.
Можно ожидать, что переход на сертификационные
испытания в соответствии с изложенными в статье требованиями бу-
дет способствовать созданию рынка консалтинговых услуг в части
подготовки изделий к проведению проверок [5].