Подтверждение соответствия надежности и безопасности программного обеспечения

Основные понятия в области подтверждения соответствия

Понятие «подтверждение соответствия». Информационная система должна соответствовать техническим требованиям заказчика, если разработка производилась на договорных условиях. Заказчиком может быть любая организационная структура, способная обеспечить финансовые условия разработки и, при необходимости, сбыта продукции.

Возможна также инициативная разработка системы, при этом финансовые условия обеспечивает сам разработчик. В этом случае он сам формулирует технические требования к системе, основываясь на потребностях рынка продукции. Разработчик заинтересован создать такую информационную систему, характеристики которой по соотношению «цена — качество» пользуются наибольшим спросом как на рынке продукции, так и на рынке услуг.

В любом случае созданная информационная система должна удовлетворять предъявленным к ней техническим требованиям (это относится и к модифицированной системе). Естественно задаться вопросом: кто определяет соответствие системы предъявленным требованиям? Разработчик полагает, что он создал именно ту систему, которую хотел получить заказчик. Однако у заказчика нет уверенности, что предъявляемая ему система отвечает его требованиям. Нужна доказательственная база того, что данная система именно та, которую хотел получить заказчик. Аналогичная ситуация имеет место и тогда, когда система создана без участия заказчика. Теперь на рыночных условиях образуется пара «продавец (разработчик) — покупатель (эксплуатирующая организация)». Покупатель должен быть уверен в том, что он не приобретает кота в мешке, т.е. он должен быть уверен в том, что технические характеристики приобретаемой информационной системы соответствуют тем, которые декларирует продавец (разработчик, изготовитель). Решение указанной проблемы состоит в реализации процедур подтверждения соответствия.

Подтверждение соответствия — документальное удостоверение соответствия продукции (информационных систем) или оказания с их помощью услуг требованиям технических регламентов, положений стандартов, сводов правил или условий договоров на всех этапах жизненного цикла продукции.

Процедуры подтверждения соответствия. Подтверждение соответствия состоит из следующих процедур:

  • 1) выбор и обоснование схемы подтверждения;
  • 2) разработка и согласование перечня показателей информационной системы, по которым будет производиться подтверждение соответствия;
  • 3) отбор и идентификация образца продукции (здесь под идентификацией образца продукции понимается установление тождественности характеристик информационной системы ее существенным признакам);
  • 4) разработка и согласование программы и методики испытаний;
  • 5) проведение тестирования и испытаний образца продукции;
  • 6) аттестация производства;
  • 7) обработка результатов;
  • 8) формирование доказательственной базы заявителем с учетом результатов тестирования и испытаний, моделирования, экспертных оценок, конструкторских испытаний и других доказательственных материалов.

Заявитель — физическое или юридическое лицо, которое для подтверждения соответствия принимает декларацию о соответствии или обращается за получением сертификата соответствия, получает сертификат соответствия.

Подтверждение соответствия может носить добровольный или обязательный характер.

Добровольное подтверждение соответствия осуществляется в форме добровольной сертификации, т.е. по инициативе заявителя, для установления соответствия национальным стандартам, предварительным национальным стандартам, стандартам организаций, сводам правил, системам добровольной сертификации, условиям договоров. Объектами добровольного подтверждения соответствия являются информационные системы и их компоненты, программные средства, в отношении которых стандартами, системами добровольной сертификации и договорами устанавливаются требования.

Орган по сертификации:

  • • осуществляет подтверждение соответствия объектов добровольного подтверждения соответствия;
  • • выдает сертификаты соответствия на объекты, прошедшие добровольную сертификацию;
  • • предоставляет заявителям право на применение знака соответствия (здесь знак соответствия — обозначение, служащее для информирования приобретателей, в том числе потребителей, о соответствии объекта сертификации требованиям системы добровольной сертификации или национальному стандарту), если применение такового предусмотрено соответствующей системой добровольной сертификации;
  • • приостанавливает или прекращает действие выданных им сертификатов соответствия.

Обязательное подтверждение соответствия осуществляется в двух формах — это:

  • • обязательная сертификация;
  • • принятие декларации о соответствии (декларирование соответствия) .

Обязательная сертификация проводится только в случаях, установленных соответствующим техническим регламентом, и исключительно на соответствие требованиям технического регламента. Обязательное подтверждение соответствия обычно распространяется на информационные системы, их программное обеспечение и другие компоненты, если эти системы участвуют в управлении ответственными или критически важными объектами. Объектом обязательного подтверждения соответствия может быть только продукция, выпускаемая в обращение на территории Российской Федерации. Применительно к информационным технологиям применяется обязательное подтверждение соответствия в форме декларирования соответствия.

Декларация о соответствии и сертификат соответствия имеют равную юридическую силу и действуют на всей территории Российской Федерации в отношении каждой единицы продукции, выпускаемой в обращение на территории Российской Федерации во время действия декларации о соответствии или сертификата соответствия, в течение срока годности или срока службы продукции, установленных в соответствии с законодательством Российской Федерации.

Декларирование соответствия осуществляется по одной из следующих схем:

  • • принятие декларации о соответствии на основании собственных доказательств;
  • • принятие декларации о соответствии на основании собственных доказательств, доказательств, полученных с участием органа по сертификации и/или аккредитованной испытательной лаборатории (центра) (далее — третья сторона).

При декларировании соответствия заявитель на основании собственных доказательств самостоятельно формирует доказательственные материалы в целях подтверждения соответствия продукции требованиям технического регламента. В качестве доказательственных материалов используются техническая документация, результаты собственных исследований (испытаний) и измерений и/или другие документы, послужившие основанием для подтверждения соответствия продукции требованиям технического регламента.

Техническая документация должна содержать:

  • • основные параметры и характеристики продукции, а также ее описание в целях оценки соответствия продукции требованиям технического регламента;
  • • описание мер по обеспечению безопасности продукции на одной или нескольких стадиях проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации и утилизации;
  • • список документов в области стандартизации, применяемых полностью или частично и включенных в перечень документов в области стандартизации, в результате применения которых на добровольной основе обеспечивается соблюдение требований технического регламента, и, если не применялись указанные документы в области стандартизации, описание решений, выбранных для реализации требований технического регламента. В случае если документы в области стандартизации, включенные в перечень документов в области стандартизации, в результате применения которых на добровольной основе обеспечивается соблюдение требований технического регламента, применялись частично, в технической документации указываются применяемые разделы указанных документов.

Техническая документация также может содержать общее описание продукции, конструкторскую и технологическую документацию на продукцию, схемы компонентов, узлов, цепей, описания и пояснения, необходимые для понимания указанных схем, а также результаты выполненных проектных расчетов, проведенного контроля, иные документы, послужившие мотивированным основанием для подтверждения соответствия продукции требованиям технического регламента.

Техническая документация, используемая в качестве доказательственного материала, также может содержать анализ риска применения (использования) продукции. Состав доказательственных материалов определяется соответствующим техническим регламентом, состав указанной технической документации может уточняться соответствующим техническим регламентом, если отсутствие третьей стороны не приводит к достижению целей подтверждения соответствия.

Декларация о соответствии оформляется на русском языке и должна содержать:

  • • наименование и местонахождение заявителя;
  • • наименование и местонахождение изготовителя;
  • • информацию об объекте подтверждения соответствия, позволяющую идентифицировать этот объект;
  • • наименование технического регламента, на соответствие требованиям которого подтверждается продукция;
  • • указание на схему декларирования соответствия;
  • • заявление заявителя о безопасности продукции при ее использовании в соответствии с целевым назначением и принятии заявителем мер по обеспечению соответствия продукции требованиям технических регламентов;
  • • сведения о проведенных исследованиях (испытаниях) и измерениях, сертификате системы менеджмента качества, а также документах, послуживших основанием для подтверждения соответствия продукции требованиям технических регламентов;
  • • срок действия декларации о соответствии;
  • • иные предусмотренные соответствующими техническими регламентами сведения.

Срок действия декларации о соответствии определяется техническим регламентом.

Подтверждение соответствия надежности и безопасности ПО ИС

является обязательным и осуществляется путем декларирования соответствия. Так, например, на железнодорожном транспорте подтверждение соответствия надежности и безопасности ПО ИС юридически закреплено техническими регламентами Таможенного союза.

Виды испытаний. Для проверки соответствия требованиям надежности и функциональной безопасности систему предварительно подвергают испытаниям в условиях предприятия-изготовителя. Различают следующие виды испытаний:

  • • приемо-сдаточные (ПСИ);
  • • периодические (ПИ);
  • • типовые (Т).

Приемо-сдаточные испытания предполагают проверку системы при сдаче в опытную эксплуатацию.

Периодические испытания проводят:

  • • при запуске системы в производство;
  • • при возобновлении изготовления компонент системы после перерыва более одного года.

Типовые испытания проводят:

  • • при внесении изменений в схемы, конструкции, технологии изготовления компонентов, при замене примененных и покупных изделий;
  • • при изменении условий и режимов применения, замененных материалов и изделий, на которые повлияли проведенные изменения или по которым выявлено наличие неисправности по рекламации.

Внесение изменений в конструкторскую, программную и технологическую документацию системы производят после получения положительных результатов типовых испытаний.

При положительных результатах типовых испытаний система, изготовленная по измененной документации, предъявляется на испытания в целях подтверждения соответствия. При отрицательных результатах типовых испытаний предлагаемые изменения не вносят.

Испытания на наличие или отсутствие в ПО ИС недекларированных возможностей (НДВ) имеют свою специфику. Эти испытания базируются на анализе исходных текстов программ и нередко затрагивают коммерческие интересы разработчика. Однако ввиду большой ответственности, которую возлагает заказчик на эти испытания, обычно между интересами разработчика и испытательной лаборатории (третьей независимой аккредитованной стороны) находится компромиссное решение, направленное на обеспечение конфиденциальности испытаний исходных текстов программ.

Результаты декларирования соответствия совместно с испытаниями на НДВ и аттестацией системы по требованиям государственных органов в части информационной безопасности позволяют оценить состояние киберзащищенности информационной системы.

 
Посмотреть оригинал
< Пред   СОДЕРЖАНИЕ   ОРИГИНАЛ     След >