3.1. Программное обеспечение (далее - ПО) средств ДТС не должно содержать средств, позволяющих модифицировать или искажать алгоритмы работы ПО средств ДТС.
3.2. ПО средств ДТС должно использовать только документированные функции используемой операционной системы.
3.3. Системное ПО средств ДТС не должно содержать известных уязвимостей.
3.4. ПО средств ДТС должно обеспечивать разграничение доступа системного администратора, администратора аудита, администратора безопасности, администратора средств криптографической защиты информации (далее - СКЗИ), оператора и пользователей к информации, обрабатываемой в средствах ДТС, на основании правил разграничения доступа, заданных системным администратором.
3.5. Исходные тексты ПО средств ДТС должны пройти проверку на отсутствие недекларированных возможностей по требованиям, устанавливаемым в техническом задании на разработку (модернизацию) средств ДТС.
3.6. Системное ПО и исходные тексты прикладного ПО средств ДТС должны пройти проверку реализации в них методов и способов защиты информации, которые противостоят атакам, осуществляемым нарушителем из сетей общего пользования, являющимся квалифицированным групповым нарушителем, использующим возможности научных центров, анализирующих ПО с целью поиска уязвимостей.
3.7. В состав ПО средств ДТС должен входить механизм, обеспечивающий очистку оперативной и внешней памяти, используемой для хранения информации ограниченного доступа.
3.8. В ходе проведения тематических исследований должны быть проведены исследования, обосновывающие отсутствие в ПО программных механизмов (в том числе недекларированных возможностей и дефектов), способных привести к реализации угроз информационной безопасности.