ГОСТ Р 52980—2008
П р и м е ч а н и е — В зависимости от архитектуры программного обеспечения, ответственность за проведе
ние верификации может быть возпожена на организации, участвующие в разработке и модификации ПО.
10.2Верификация ПО должна планироваться одновременно с разработкой каждого цикла обес
печения безопасности ПО, и эта информациядолжна быть задокументирована.
План верификации ПО должен содержать описание процедур верификации. Данные процедуры
могут варьироваться в зависимости от уровня безопасности ПО. План верификации ПО должен вклю
чатьв себя, как минимум, следующие разделы:
а) «Распределение организационной ответственности при проведении верификации ПОи интер
фейсы сдругими процессами жизненного цикла ПО»;
б) «Описание методовдля обеспечения независимости верификации» (если это требуется);
в) «Описание методов верификации», т.е. методов, которые будутиспользованы накаждом этапе
процесса верификации ПО. в том числе описание методов:
- просмотра программныхдокументов, включающего в себя просмотр контрольных листов идру
гиесредства поддержки,
- анализа, включающего всебя методы анализа трассируемости иоценки полноты покрытия:
- тестирования, включающего в себя рекомендациидля выбора тестовых вариантов, используе
мых тестовых процедур, генерации тестовыхданных.
г) «Описание среды: оборудованиядлятестирования, инструментальныхсредствтестированияи
анализа, а также руководств по применению этих средств иаппаратного тестового оборудования»;
д) «Критерии перехода к процессу верификации ПО» (определяемому в этом плане);
е) «Описание метода верификации целостности», если используют разбиение на части;
ж) «Описание соглашений относительно корректности применения компилятора, редактора свя
зей или загрузчика»;
и) «Описание методов идентификации модифицируемых областей ПО и измененных частей
исполняемогообъектного кода» (повторная верификацияПО должна гарантировать, что ранее зарегис
трированные ошибки или классы ошибокбыли устранены).
Еслидля ранее разработанного ПО требованияк процессуверификациинесогласуетсястребова
ниями настоящего стандарта, приводятописание методов верификации, соответствующихэтим требо
ваниям.
11 Правила аттестации программного обеспечения
11.1 Аттестация ПО представляет собойпроверку ианализ интегрированной программной систе
мы для обеспечения согласованности с требованиями безопасности, функционирования производи
тельности и взаимодействия ПЭ систем, связанных с безопасностью.
Должно быть проведено планирование процесса аттестации для определения шагов (как проце
дурных, так итехнических), которыедолжны бытьсделаныдля подтверждения того, что ПОсоответству
ет требованиям безопасности.
11.1.1 План аттестации программного обеспечениядолжен содержать:
а) подробные указания о сроках проведения аттестации:
б) подробные указания о том, кто должен проводить аттестацию;
в) определение ответственных режимов эксплуатации техническихсредств, включая:
- подготовку к использованию, в том числе наладку и регулировку ПЭС.
- запуск, обучение, эксплуатацию ПЭС.
- переналадку, выключение, обслуживание ПЭС.
- предсказуемые нештатные ситуации;
г) определение относящегося к обеспечению безопасности ПО. безопасность которого необходи
мо подтверждать на каждом этапе эксплуатации технических средств перед запуском в эксплуатацию:
д) техническую стратегию аттестации(например, аналитическиеметоды, статистические испыта
ния ит. п.);
е) меры (методы) ипроцедуры, которыедолжны использоватьсядля подтверждениятого, чтокаж
дая функция безопасности соответствует заданным требованиям к функциям безопасности програм
много обеспечения и заданным требованиям полноты безопасности программногообеспечения;
ж) требованияк условиям окружающей среды, в которой должна проводиться аттестация;
и) критерии прохождения / непрохождения аттестации;
к) политику и процедуры оценки результатов аттестации.
П р и м е ч а н и е — Данные требования основаны на общих требованиях (2J. подраздел 7.8.
12