17. В отношении средства должны быть проведены испытания, предусматривающие:
1) тестирование средства;
2) испытания по выявлению уязвимостей и недекларированных возможностей средства;
3) проведение анализа скрытых каналов в средстве.
Тестирование и анализ скрытых каналов проводятся только для средств защиты информации.
Тестирование, испытания по выявлению уязвимостей и недекларированных возможностей, а также анализ скрытых каналов проводятся изготовителем в ходе приемочных испытаний средства и испытательной лабораторией в ходе сертификационных испытаний средства.
18. К тестированию средства предъявляются следующие требования:
18.1. Тестовая документация на средство, соответствующее 6 уровню доверия, должна включать:
план тестирования, содержащий тесты, которые необходимо выполнить, описание сценариев проведения каждого теста, учитывающее зависимости последовательности выполнения тестов от результатов других тестов, описание ресурсов, необходимых для проведения тестирования;
описание сопоставления тестов с интерфейсами функций безопасности средства, описанными в функциональной спецификации, демонстрирующее их полное покрытие тестами;
описание ожидаемых результатов тестирования, свидетельствующих об успешности выполнения тестов;
описание фактических результатов тестирования, их сопоставление с ожидаемыми результатами тестирования и на его основе - выводы об успешности тестов.
18.2. Тестовая документация на средство, соответствующее 5 уровню доверия, наряду с требованиями, установленными пунктом 18.1 настоящих Требований, должна включать описание сопоставления тестов с подсистемами средства, описанными в эскизном проекте, демонстрирующее их полное покрытие тестами.
При проведении тестирования средства проводится оценка влияния на подсистемы средства, реализующие функции безопасности, иных подсистем средства.
18.3. Тестовая документация на средство, соответствующее 4 уровню доверия, наряду с требованиями, установленными пунктами 18.1 и 18.2 настоящих Требований, должна включать описание сопоставления тестов с модулями средства, реализующими функции безопасности и описанными в техническом проекте, демонстрирующее полное покрытие тестами функций безопасности.
При проведении тестирования средства проводится оценка влияния на модули средства, реализующие функции безопасности, иных модулей средства.
19. К испытаниям по выявлению уязвимостей и недекларированных возможностей средства предъявляются следующие требования:
19.1. Испытания программного обеспечения средства, соответствующего 6 уровню доверия, должны быть проведены по 6 уровню контроля.
Для аппаратной платформы программно-технического средства должна быть выполнена проверка перечня аппаратных устройств (микросхем), которые влияют на выполнение функций безопасности и (или) могут быть использованы для реализации угроз безопасности информации.
19.2. Испытания программного обеспечения средства, соответствующего 5 уровню доверия, должны быть проведены по 5 уровню контроля.
Для аппаратной платформы программно-технического средства наряду с требованиями, установленными пунктом 19.1 настоящих Требований, должна быть выполнена проверка соответствия аппаратной платформы её структурной и функциональной схемам, а также сведениям, приведенным в формуляре средства.
19.3. Испытания программного обеспечения средства, соответствующего 4 уровню доверия, должны быть проведены по 4 уровню контроля.
Для аппаратной платформы программно-технического средства наряду с требованиями, установленными пунктами 19.1 и 19.2 настоящих Требований, должна быть выполнена проверка:
соответствия элементов (компонентов) аппаратной платформы структурной и функциональной схеме элементов (компонентов) аппаратной платформы средства;
потенциально опасных элементов (компонентов), входящих в состав аппаратной платформы, которые влияют на выполнение функций безопасности и (или) могут быть использованы для реализации угроз безопасности информации.
20. К проведению анализа скрытых каналов в средстве предъявляются следующие требования:
20.1. Требования к проведению анализа скрытых каналов в средстве, соответствующем 6 и 5 уровню доверия, не предъявляются.
20.2. В средстве, соответствующем 4 уровню доверия, должны быть проведены идентификация и анализ скрытых каналов по памяти, основанных на использовании ресурсов памяти, в которые записывается защищаемая информация (сокрытие информации в структурированных и неструктурированных данных) и которые не учитываются разработчиками системы защиты информации информационной (автоматизированной) системы и не выявляются применяемыми средствами защиты информации.