Основные положения Методики испытаний качества и функциональной безопасности программного обеспечения

Направления подтверждения соответствия программных средств. Программные средства олицетворяют «мозг» информационной системы. От их качества, безопасности, информационной защищенности, соответствия заданным требованиям зависят функциональная надежность и безопасность всей информационной системы. Отсюда следует необходимость во всесторонних экспертизах и испытаниях программных средств. В настоящее время сформировалась практика подтверждения соответствия программных средств по следующим направлениям:

  • контрольные испытания качества и функциональной безопасности в целях представления доказательственных материалов для декларирования соответствия программных средств. Требования обязательной сертификации путем декларирования соответствия обычно содержатся в технических регламентах соответствующей отрасли промышленности или сельского хозяйства. В этих регламентах подчеркнуто, что доказательственная база формируется заявителем с привлечением третьей аккредитованной независимой стороны;
  • контрольные испытания по требованиям безопасности информации на отсутствие в программных средствах недекларированных возможностей (НДВ). Эти испытаний проводятся на основе руководящего документа ФСТЭК России и основываются на анализе исходных текстов программ;
  • аудит защиты от несанкционированного доступа (НСД) и экспертиза киберзащищенности программного обеспечения

Методика испытаний качества и функциональной безопасности ПО разрабатывается Испытательным центром (лабораторией) и согласовывается с Заявителем ПО на декларирование его соответствия требованиям соответствующего Технического регламента. Методика устанавливает типовую номенклатуру показателей качества и функциональной безопасности ПО, метрики показателей качества и модели оценивания ПО, методы тестирования и экспертизы модификаций ПО.

Цель испытаний состоит в оценке соответствия ПО требованиям качества и функциональной безопасности согласно установленному для данного объекта испытаний уровню полноты безопасности.

Наряду со стандартными разделами (область применения, цель испытаний, нормативные документы, термины и определения, объект испытаний) в Методике детализируются следующие специфические для каждого объекта испытаний разделы:

  • • «Виды и последовательность проведения испытаний, определяемые характеристики качества, надежности и функциональной безопасности»;
  • • «Условия проведения испытаний функциональных возможностей ПО»;
  • • «Обработка результатов испытаний».

Перед проведением испытаний заявитель (разработчик, продавец продукции) должен сформировать перечень декларируемых показателей ПО в соответствии с требованиями Технических регламентов на данную продукцию и согласует их с заказчиком (покупателем продукции или эксплуатирующей организацией). В случае добровольной сертификации заявитель формирует перечень сертификационных показателей и также согласует их с заказчиком продукции.

После всех необходимых согласований независимая аккредитованная испытательная лаборатория проводит идентификацию испытуемого программного обеспечения. Результаты идентификации оформляются документом «Акт идентификации образца», в котором указываются:

  • • заявитель (наименование организации, юридический адрес);
  • • основание для испытательных работ;
  • • наименование программного продукта (включая вид носителя, номер и дату записи);
  • • цель идентификации;
  • • место идентификации;
  • • средства идентификации (например, «Фиксация и контроль исходного состояния программного комплекса (ФИКС)», сертификат);
  • • результат идентификации в виде таблицы из двух разделов: наименование и номер носителя и контрольные суммы.

Акт идентификации подписывается экспертом и утверждается руководителем испытательной лаборатории.

Принятие решения о качестве ПО производится на основе результатов оценки соответствия оценки показателей качества заданным требованиям. Контрольные вопросы для испытаний и последующей оценки качества ПО могут быть сформированы путем анализа характера ошибок ПО, представленных в документе «Регистрация данных о качестве. Каталог дефектов продуктов программного обеспечения».

Контрольные вопросы изменяются в зависимости от представленного ПО. В качестве исходных данных для определения соответствия качества ПО заданным требованиям используются тексты программ, документация, результаты испытаний функциональных возможностей на стендах и/или на действующих объектах, а также результаты тестовых прогонов ПО и математического моделирования.

В табл. 8.4 приведен фрагмент требований к характеристикам качества ПО, который содержит требования стандартов к свойствам характеристики качества «Функциональные возможности программного обеспечения».

Таблица 8.4

Фрагмент требований к характеристикам качества ПО

п/п

Требования к свойствам характеристики качества «Функциональные возможности ПО»

Ссылки

на нормативнотехническую документацию

1. Пригодность

1.1

Соответствие функций требованиям

[13], [10]

2. Правильность

2.1

Соответствие программной документации согласно спецификации

[13]

п/п

Требования к свойствам характеристики качества «Функциональные возможности ПО»

Ссылки

на нормативнотехническую документацию

2.2

Наличие всех файлов ПО

[3]

2.3

Наличие всех функций ПО

[13]

2.4

Наличие средств диагностики всех некорректных ситуаций

2.5

Наличие всех элементов интерфейса с пользователем

[5]

2.6

Отсутствие противоречий в выполнении функции (по сравнению со спецификациями требований или документацией)

[13], [10]

2.7

Отсутствие противоречий в выполнении алгоритмов

3. Способность к взаимодействию

3.1

Обеспечение информационного взаимодействия отдельных частей системы

[13], [10]

3.2

Обеспечение взаимодействия с другими смежными системами и системами верхнего уровня

[13], [10]

4. Согласованность

4.1

Соответствие комплектности, содержания и оформления документации требованиям стандартов

[2-5]

4.2

Соответствие интерфейса ПО требованиям безопасности

[13], [10]

4.3

Лицензионная чистота заимствованного ПО

5. Защищенность

5.1

Ведение списка учетных записей пользователей, допущенных к работе с ограничением их прав

[13], [10]

Испытания функциональных возможностей программного обеспечения проводятся с использованием аттестованных должным образом стендов испытательной лаборатории или стендов разработчика. В последнем случае должна быть оформлена аренда на эти стенды. Испытания проводятся с помощью сценариев реализации предусмотренных функций ПО. Рабочие протоколы испытаний функциональных возможностей должны содержать подробное описание результатов проведенных испытаний, включая графики, рисунки и выводы о надлежащем выполнении испытываемых функций. Если это представляется возможным, то испытания проводятся непосредственно на объекте.

Завершающим этапом испытаний качества ПО является этап интеграционных испытаний на работающем объекте. Для этого программное обеспечение загружается с идентифицированного носителя информации и проводятся испытания на взаимодействие всего комплекса программных модулей.

Испытания программного обеспечения по требованиям стандартов по функциональной безопасности осуществляются на основе предварительной оценки риска, и на этой основе определяется уровень полноты безопасности функций, выполняемых программным обеспечением.

Уровень полноты безопасности устанавливается по результатам оценки частоты (или вероятности) возникновения опасного события при реализации каждой конкретной функции. Вследствие того что эти события реально возникают очень редко, для определения их частоты (вероятности) проводятся ускоренные натурные испытания по описанному выше методу ускоренных натурных испытаний.

Если проведение ускоренных натурных испытаний по каким-либо причинам не представляется возможным, то для решения этой задачи можно ограничиться математическим моделированием вероятности возникновения опасного события для ПО в целом.

Испытания соответствия функциональной безопасности ПО требованиям соответствующих Технических регламентов проводятся для целей декларирования соответствия. До начала испытаний заявитель должен представить перечень декларируемых показателей ПО. Эти показатели должны содержать требования Технического регламента, под действие которого попадает представленная на испытания информационная система с данным ПО. Декларируемые показатели должны содержать предварительно установленный уровень полноты безопасности, а также показатели качества по ГОСТ Р ИСО/МЭК 9126—93 и ГОСТ Р ИСО/МЭК 25010—2015.

Разработчик должен представить обоснованные сведения с необходимыми пояснениями о соответствии производства испытуемого ПО утвержденным для него требованиям установленного уровня полноты безопасности.

 
Посмотреть оригинал
< Пред   СОДЕРЖАНИЕ   ОРИГИНАЛ     След >