ГОСТ 33435-2023. Межгосударственный стандарт. Устройства управления, контроля и безопасности железнодорожного подвижного состава. Требования безопасности и методы контроля

5.3 Методы контроля соответствия требованиям к программному обеспечению

 

5.3.1 На этапах предварительных и приемочных испытаний опытных образцов изделия, на этапе постановки изделия на производство выполняют испытания программного обеспечения изделия требованиям, предъявляемым к нему в соответствии с А.4 (приложение А) в зависимости от вида изделия и состава выполняемых им функций.

При этом применяют:

- методы при проведении испытаний программного обеспечения средств защиты информации на соответствие предъявляемых к нему требований защиты от компьютерных вирусов и несанкционированного доступа к национальным стандартам и нормативным документам, действующим на территории государства, принявшего стандарт <4>;

--------------------------------

<4> В Российской Федерации действуют:

ГОСТ Р 51188-98 "Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство";

ГОСТ Р 52980-2008 "Системы промышленной автоматизации и их интеграция. Системы программируемые электронные железнодорожного применения. Требования к программному обеспечению";

Руководящий документ "Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей";

Типовая методика испытаний объектов информатики по требованиям безопасности информации - приложение к руководящему документу "Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации";

Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий.

 

- методы при проведении испытаний программного обеспечения изделия с функциями безопасности, а также программного обеспечения средств измерений и изделий с измерительными функциями устанавливают в соответствии с национальными стандартами и нормативными документами, действующими на территории государства, принявшего стандарт <1>;

- методы при проведении испытаний на соответствие требованиям к качеству программного обеспечения изделий устанавливают в соответствии с национальными стандартами и нормативными документами, действующими на территории государства, принявшего стандарт <2>;

- метод контрольных сумм или иной метод контроля правильности записи программного обеспечения на носитель записи устанавливают в соответствии с национальными стандартами и нормативными документами, действующими на территории государства, принявшего стандарт <3>.

--------------------------------

<1> В Российской Федерации действует ГОСТ Р 52980-2008 "Системы промышленной автоматизации и их интеграция. Системы программируемые электронные железнодорожного применения. Требования к программному обеспечению".

<2> В Российской Федерации действует ГОСТ Р ИСО/МЭК 25010-2015 "Информационные технологии. Системная и программная инженерия. Требования и оценка качества систем и программного обеспечения (SQuaRE). Модели качества систем и программных продуктов".

<3> В Российской Федерации действует методический документ "Меры защиты информации в государственных информационных системах".

 

Испытания выполняет аккредитованный испытательный центр, назначенный заказчиком, после завершения этапов предварительных испытаний, а также после завершения квалификационных испытаний.

Результаты испытания считаются положительными, если установлено, что:

- в программном обеспечении средств защиты информации и программном обеспечении изделий с функциями безопасности обеспечены защита от компьютерных вирусов и несанкционированного доступа, от последствий ошибок при хранении, вводе, выводе, возникновении сбоев при обработке информации и от возможности случайных изменений, а также обеспечена целостность программного обеспечения при его собственных сбоях и сохранение его работоспособности после перезагрузок, вызванных отказами аппаратных средств;

- программное обеспечение средств защиты информации и программное обеспечение изделий с функциями безопасности на носителе записи не имеет свойств и характеристик, не описанных в его программной документации (недекларированных возможностей);

- программное обеспечение на носителе записи для вычислительных машин (кроме бумажных лент) соответствует документации.

5.3.2 На этапе установившегося производства изготовитель изделия выполняет контроль соответствия его программного обеспечения, которое не подвергалось изменениям, требованиям правильности его записи на носитель записи для вычислительных машин (кроме бумажных лент) с применением метода контрольных сумм или иного метода контроля, установленного в национальных стандартах и нормативных документах, действующих на территории государства, принявшего стандарт.

Если программное обеспечение подвергалось изменениям, изготовитель изделия обязан организовать выполнение испытаний программного обеспечения (или его части по согласованию с разработчиком), указанных в 5.3.1.

5.3.3 В ходе оценок соответствия изделия предъявляемым к нему требованиям безопасности контроль соответствия требованиям к программному обеспечению выполняют экспертно-расчетными методами, указанными в 5.2.