Действующий

Об утверждении Требований к средствам доверенной третьей стороны, включая требования к используемым доверенной третьей стороной средствам электронной подписи (с изменениями на 13 апреля 2021 года)

2. Требования к программному обеспечению средства электронной подписи

2.1. ПО средства электронной подписи не должно содержать средств, позволяющих модифицировать или искажать алгоритмы работы ПО.

2.2. ПО средства электронной подписи должно использовать только документированные функции операционной системы.

2.3. Системное ПО, используемое средством электронной подписи, не должно содержать известных уязвимостей.

2.4. Исходные тексты ПО средства электронной подписи должны пройти проверку на отсутствие недекларированных возможностей. ПО средства электронной подписи должно соответствовать уровню контроля отсутствия недекларированных возможностей, установленному в техническом задании на разработку (модернизацию) средства электронной подписи.

2.5. В состав ПО средства электронной подписи должен входить механизм, обеспечивающий очистку оперативной и внешней памяти, используемой для хранения информации ограниченного доступа, при освобождении (перераспределении) памяти путем записи маскирующей информации (случайной или псевдослучайной последовательности символов) в память.

2.6. В состав ПО средства электронной подписи должны входить компоненты, обеспечивающие экстренное стирание информации ограниченного доступа. Перечень такой информации и требования к реализации и надежности стирания задаются в техническом задании на разработку (модернизацию) средства электронной подписи.

2.7. Исходные тексты ПО средства электронной подписи должны пройти проверку реализации в них методов и способов защиты информации, которые противостоят атакам, осуществляемым нарушителем из сетей общего пользования, являющимся квалифицированным групповым нарушителем, использующим возможности научных центров, анализирующих системное программное обеспечение с целью поиска уязвимостей.

2.8. Инженерно-криптографическая защита средства электронной подписи должна исключить события, приводящие к возможности проведения успешных атак в условиях возможных неисправностей или сбоев аппаратных средств средства электронной подписи или аппаратного компонента средства вычислительной техники, на котором реализовано средство электронной подписи.