[Samsonov]

Ну с какой стати надо закрывать глаза на часть форумлировки после слова «в документации»? Написано же русским языком: если нарушается конфиденциальность, доступность или целостность обрабатываемой информации. А иначе можно каждый баг, багофичу или уязвимость считать недекларированной возможностью.

[Greyman]

Цитата Coutty:

Так вот, являются ли пасхальные яйца недекларированными возможностями, если при этом не возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации?

Если действительно возможности нарушения ИБ они не дают - то не являются... Только вот такую оценку должен давать не автор, а сертифицирующая лаборатория, т. к. возможно просто автор может быть не в курсе, как эти закладки могут использоваться для нарушения ИБ. Т. ч. все зависит от конкретной реализации "закладки". Обычно лаборатории проще обнаружив закладку отнести ее сразу к НДВ, чтобы не париться, но по настоянию автора или подавшего на сертификацию может быть проведен детальный анализ закладки на ее возможности по нарушению ИБ, тогда при успешном его прохождении соответствующий сертификат будет получен...

[Coutty]

Такое ПО, получается, может пройти сертификацию на 4 уровень контроля (конечно, если выполняются остальные условия):

Цитата РД:

- контроль полноты и отсутствия избыточности исходных текстов ПО на уровне файлов; - контроль соответствия исходных текстов ПО его объектному коду.

П.1, как я понимаю, означает, что не должно быть лишних файлов-исходников, из которых можно создать доп. модуль.
На третий уровень контроля уже идёт проверка на полноту и отсутсвие избыточности исходных текстов ПО на уровне функциональных объектов (процедур) - т.е. тут уже "фичи" не пройдут (?).

Значит, для гос.тайны такие приколы уже не годятся. Да, наверное, программисты, разрабатывающие такое ПО и не будут делать скрытые экраны с картинками "просто так" - ведь за сертификацию надо платить кругленькую сумму...

[VladimirB]

Coutty
за такие приколы в ПО для обработки гостайны можно хорошенько отгрести. И отнюдь не денег. Не знаю как ваши товарищи которые проверяют ПО, а я жутко не люблю подобных шутников!

[Greyman]

Цитата Coutty:

П.1, как я понимаю, означает, что не должно быть лишних файлов-исходников, из которых можно создать доп. модуль.

Нет, это означает, что при компеляции исходников образуется дистрибутив ПО в заявленной комплектации файлов - как без недостающих файлов (иначе будет избыточность в дистрибутиве), так и без лишних (иначе заявленный дистрибутив не полон).

Цитата Coutty:

На третий уровень контроля уже идёт проверка на полноту и отсутсвие избыточности исходных текстов ПО на уровне функциональных объектов (процедур) - т.е. тут уже "фичи" не пройдут (?). Значит, для гос.тайны такие приколы уже не годятся.

Нет, здесь проверяется, что исходные коды создают только нужный набор функциональных объектов. Сами объекты на наличие в них закладок не проверяются. Т. е. если "закладка" выполнена в виде отдельного функционального объекта, то она будет обнаружена по выполнении других пунктов:

Цитата:

- контроль связей функциональных объектов (модулей, процедур, функций) по управлению; - контhоль связей функциональных объектов (модулей, процедур, функций) по информации; - формирование перечня маршрутов выполнения функциональных объектов (процедур, функций).

Если закладка внедрена в каком-либо функциональном объекте, то она будет обнаружена уже только при сертификации на 2-ой уровень, при выполнении его дополнительных пунктов:

Цитата:

- анализ критических маршрутов выполнения функциональных объектов (процедур, функций) для заданных экспертом списков информацонных объектов; - построение по исходным текстам контролируемого ПО блок-схем, диаграмм и т.п., и последующий сравнительный анализ алгоритма работы функциональных объектов (процедур, функций) и алгоритма работы, приведенного в "Пояснительной записке".

Т. к. абсолютно полная проверка требует огромных затрат, а критичность маршрута и проверяемые объекты определяется конкретным экспертом, отвечающим за сертификацию, то закладка может быть пропущена и на этом уровне контроля. Если закладка несет угрозу ИБ, то она обнаруживается при синтаксическом (2 уровень) или симантическом (1-ый уровень) анализе текстов. Если закладка не несет вредоносных функций, то в принципе она может остаться незамеченной и при сертификации на 1-ый уровень... Только при условии, что проверка текстов идет в автоматическом или полуавтоматическом режиме, а не внимательной прочиткой экспертом, да и для автоматизированного режима программа должна быть построена очень специальным образом, чтобы закладка не выявлялась на контроле связей и определении маршрутов выполнения...

Ну а на счет НДВ... Хотя в определении и говорится про "возможно нарушение конфиденциальности", но вот в требованиях к уровню контроля (из которых ты и я цитаты брали) этого не указано, поэтому при сертификации на 2-ой уровень независимо от ее вредности она не пройдет по пункту "построение по исходным текстам контролируемого ПО блок-схем, диаграмм и т.п., и последующий сравнительный анализ алгоритма работы функциональных объектов (процедур, функций) и алгоритма работы, приведенного в "Пояснительной записке", как раз из-за своего определения "закладки" (иначе она была бы указана в записке и таковою не являлась бы). "Безопасные" закладки не противоречат формальным требованиям на сертификацию вплодь до 3-го уровня, поэтому отказ в сертификации по 4 и 3 уровням из-за их наличия будет незаконным... С формальной точки зрения...

Вот еще статейка есть по этой теме, может пригодится:
http://www.osp.ru/os/2005/12/380655/

[Coutty]

VladimirB, не подумайте чего, я просто студент))
Мне просто интересны детали сертификации (то, что во время лекций было не интересно спрашивать).

Greyman, спасибо за подробности!

Но ведь это весьма непросто - вот так вот провести сертификацию (если смотреть со стороны экспертов). Скажем, даже 100 продуктов в год - это по три дня на продукт для одного эксперта или по месяцу, если экспертов десяток (а ведь больше сотни требуется сертифицировать...). Разве можно за такое время проанализировать код вручную? Тот же "АИСТ", похоже, не справляется.
Ладно, если один и тот же продукт многократно надо проверять, а если разные?
Есть ли тогда вообще смысл проверок? Это же больше формальность получается, за которую надо отдать много денег и времени =(

[Greyman]

Цитата Coutty:

Есть ли тогда вообще смысл проверок? Это же больше формальность получается, за которую надо отдать много денег и времени =(

Совершенно верно. Самое интересное, что сертификации подвергается конкретная версия продукта, т. к. на ее этапе проводиться "Контроль исходного состояния ПО", включающий подсчет контрольных сумм и сравнение с указанными в документации на ПО. Таким образом результаты испытаний действительны только для конкретной версии/билда... Однако с т. з. норм действительность сертификата для аттестующих/проверяющих определяется наличием голографической наклейки на дистрибутиве ПО, соответствия серийного номера (если в сертификате они указываются) ну и совпадения установленной версии с указанной в сертификате (если таковая указывается, что не всегда бывает). Т. ч., например, после обновления МЭ сертификат продолжает дейстовать..., однако результаты проведенных испытаний для установленого ПО уже по сути не действительны... Чаще это маркетинговая политика производителя конкретного СЗИ, а так же желание подзаработать соответствующих испытательных лабораторий... Конечно аттестация лабораторий, а так же контроль как за их деятельностью, так и за соответствием защитных знаков предусматривается... Но ИМХО только на бумаге либо в случае дележки "жирного куска", когда кто-то не достаточено поделился... Чего стоит, например, тока сертифицированнsq XP, когда тот же дистрибутив, но снабженный действующим сертификатом стоит на 30-40$ больше... Нужна хорошая система - покупай у MS, хочешь пустить пыль в глаза соответствующим органам - изволь еще раскошелиться... А ведь сертифицирован то 1 и тот же продукт...