Комплекс «Project Viewer»

Идея разработки комплекса «Project Viewer» родилась в нашей компании в 2002 году в связи с аккредитацией испытательной лаборатории средств защиты информации. Решили не "подсаживаться" на чужой продукт, а использовать собственную разработку, которая существенно удобнее в адаптации под очередной объект исследований и сопровождении. Опыт показал, что разработчиками используется все многообразие существующих средств разработки, унификация средств разработки отсутствует, и это обстоятельство требует адаптации «Project Viewer» под каждый очередной объект исследований.

Именно необходимость адаптации не позволила нам сделать конечный коробочный продукт широкого применения. В связи с чем «Project Viewer» для целей сертификации продается только в формуле «продукт и поддержка». Смысл поддержки заключается в том, что нам передается пример кода, подлежащего исследованию, мы тестируем на нем качество работы комплекса «Project Viewer», и, принеобходимости, проводим его адаптацию.

Адаптация комплекса «Project Viewer» заключается в дополнении используемой грамматики новыми конструкциями и, как правило, требуется только в том случае, если разработчиком код написан на новой для «Project Viewer» версии компилятора. Грамматика по отношению к «Project Viewer» рассматривается как набор исходных данных. Расширение грамматики не требует проведения инспекционного контроля «Project Viewer». Грамматика «Project Viewer» написана нашей компанией.

За время применения комплекса «Project Viewer» четырежды менялась его архитектура и модель функционирования. Надеюсь, что на сегодня мы нашли оптимальные архитектуру и модель функционирования, позволяющие нам исследовать 1Гб "препроцессированного" кода по 2-му уровню контроля за 3 часа при условии выполнении требований к аппаратному обеспечению. Проводимые органами по сертификации на контрольных примерах исследования и сравнения функциональных возможностей показали, что «Project Viewer» достойно справляется с поставленными перед ним задачами и обеспечивает качество проводимых исследований.

Сегодня мы развиваем комплекс «Project Viewer» в следующих областях:

1. Прикладное применение: конверторы данных, структурирование данных
2. Поиск уязвимостей кода
3. Контроль качества кода
4. Сертификация
5. Подтверждение корректности работы ПО на платформе выбранной операционной системы
6. Подтверждение безопасности кода

Назначение

Инструментальное средство автоматизации контроля недекларированных возможностей программного обеспечения «Комплекс «Project Viewer» АМСТ.78001-05 предназначено для использования экспертами испытательной лаборатории при проведении статического и динамического анализа в процессе сертификации изделий по требованиям безопасности информации. Комплекс «Project Viewer» может также использоваться разработчиками программного обеспечения для выявления избыточности, потенциально опасных конструкций и ошибок программирования.

Комплекс «Project Viewer» позволяет автоматизировать следующие этапы исследований, установленные руководящим документом «Защита от НСД к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (Гостехкомиссия России, 1999г., далее по тексту РД НДВ) для 2 уровня контроля:

• Анализ состава и содержания документации (в части создания отчетной документации) на контролируемое программное обеспечение;
• Статический анализ контролируемого программного обеспечения;
• Динамический анализ контролируемого программного обеспечения;
• Формирование отчетной документации (протокола испытаний и соответствующих приложений с результатами выполнения установленных РД НДВ этапов контроля).

Комплекс «Project Viewer» представляет собой набор исполняемых и вспомогательных файлов, записанных на машинном носителе информации (МН), функционирующий на персональных электронно-вычислительных машинах (ПЭВМ) с системой команд Intel 80486/Pentium.

Комплекс «Project Viewer» предназначен для контроля программного обеспечения, написанного на языках программирования C, C++, Delphi, Java, Ассемблер.

Сертификат соответствия

Комплекс «Project Viewer» АМСТ.78001-05 имеет сертификат соответствия системы сертификации СЗИ Министерства обороны РФ № 1348 от 28 сентября 2010 г. (срок действия до 11 декабря 2020 г.), подтверждающий его соответствие требованиям:

• по 2 уровню контроля отсутствия недекларированных возможностей согласно руководящего документа «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (Гостехкомиссия России, Москва, 1999 г.);
• по соответствию реальных и декларируемых в документации функциональных возможностей.

Указанный Сертификат также подтверждает, что Комплекс «Project Viewer» позволяет выполнять проверки, предусмотренные руководящим документом «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (Гостехкомиссия России, Москва, 1999 г.) и может использоваться для контроля отсутствия недекларированных возможностей в программном обеспечении, предназначенном для обработки информации, составляющей государственную тайну, и имеющей степень секретности не выше «совершенно секретно».