72. При проведении тестирования средства наряду с требованиями, установленными пунктом 69 настоящих Требований, тестовая документация должна включать описание сопоставления тестов с подсистемами средства, описанными в эскизном проекте, демонстрирующее их полное покрытие тестами.
При проведении тестирования средства проводится оценка влияния (невлияния) на подсистемы средства, реализующие функции безопасности, иных подсистем средства.
73. Испытания по выявлению уязвимостей и недекларированных возможностей программного обеспечения средства должны быть проведены по 5 уровню контроля.
Для аппаратной платформы программно-технического средства наряду с требованиями, установленными пунктом 70 настоящих Требований, должна быть выполнена проверка соответствия аппаратной платформы его структурной схеме.
74. В средстве должны быть проведены идентификация и анализ скрытых каналов по памяти, основанных на использовании ресурсов памяти, в которые записывается защищаемая информация (сокрытие информации в структурированных и неструктурированных данных) и которые не учитываются разработчиками системы защиты информации информационной (автоматизированной) системы и не выявляются применяемыми средствами защиты информации.
Анализ идентифицированных типов скрытых каналов должен включать:
оценку потенциальной пропускной способности идентифицированных скрытых каналов с использованием формальных (математических), технических методов и (или) методов моделирования;
разработку требований для среды функционирования средства с целью ограничения, мониторинга, полного или частичного устранения идентифицированных скрытых каналов, которые могут возникнуть в информационных (автоматизированных) системах вследствие использования в них средства.
Документация анализа скрытых каналов должна включать:
идентификацию скрытых каналов (если скрытые каналы выявлены);
оценку пропускной способности идентифицированных скрытых каналов (если скрытые каналы выявлены);
описание процедур, использованных для вынесения заключения о существовании и (или) отсутствии скрытых каналов, и информацию, использованную при анализе скрытых каналов;
описание предположений (быстродействие процессора, системная конфигурация, объем памяти и (или) иных), сделанных при анализе скрытых каналов;
описание способа, использованного для оценки пропускной способности канала для наиболее опасного сценария (если скрытые каналы выявлены);
описание наиболее опасного сценария использования каждого идентифицированного скрытого канала (если скрытые каналы выявлены);
сведения о включении в функциональную спецификацию и эскизный проект описание механизмов средства, направленных на ограничение, мониторинг, полное или частичное устранение идентифицированных скрытых каналов, которые могут возникнуть в информационных (автоматизированных) системах вследствие использования в них средства (если скрытые каналы выявлены и требуются соответствующие механизмы средства);
сведения о включении в руководство администратора и (или) руководство пользователя требований для среды функционирования средства с целью ограничения, мониторинга, полного или частичного устранения идентифицированных скрытых каналов, которые могут возникнуть в информационных (автоматизированных) системах вследствие использования в них средства (если скрытые каналы выявлены).