ГОСТ Р 53195.4—2010
- обеспечивать точную поддержку Е/ЕУРЕ СБЗС-систем с использованием уникальной идентифи
кации всех элементов конфигурации, необходимых для обеспечения полноты безопасности. Элемен ты
конфигурации должны включать в себя, как минимум, следующее:
- анализ безопасности и требования к безопасности:
- спецификацию ПО и проектные документы;
- исходный текст программ;
- план и результаты тестирования:
- ранее разработанные программные компоненты и пакеты, которые должны быть включены в
Е/ЕУРЕ СБЗС-систему;
- все инструментальные средства и системы разработки, используемые при создании, тестирова
нии или выполнении иных действий с СБЗС ПО;
- использовать процедуры контроля над внесением изменений для предотвращения несанкцио
нированных модификаций.
П р и м е ч а н и е — Для осуществления руководства и применения административных и технических
средств контроля необходимо принятие управленческих решений и наличие полномочий:
- обеспечивать документирование запросов на выполнение модификаций;
- обеспечивать анализ влияния предлагаемых модификаций и предусматривать утверждение
либо отклонение модификации;
- обеспечивать подробноедокументирование модификации и выдачу полномочий на выполнение
всех утвержденных модификаций:
- обеспечивать установление основных параметров конфигурации системы для стадий разработ
ки СБЗС ПО идокументирование результатов тестирования интеграции системы, которое подтвержда
ет достижение целей стадии (см. 5.8);
- гарантировать объединение и встраивание всех подсистем ПО (включая переработку более
ранних версий);
- предусматривать документирование перечисленной выше информации для обеспечения воз
можности последующего аудита: состояние конфигурации, текущее состояние системы, обоснование и
утверждение всех модификаций, подробное описание всех модификаций;
- обеспечивать строгое документирование каждой версии СБЗС ПО. хранение всех версий ПО и
всей относящейся к ним документации для обеспечения возможности сопровождения и выполнения
модификаций на протяжении всего периода использования разработанного программного продукта.
5.5Требования к жизненному циклу СБЗС ПО
5.5.1 Процесс разработки СБЗС ПО должен быть разделен на отдельные стадии, этапы и под
процессы (см. рисунки 2—5).
5.5.2 При разработке СБЗС ПО жизненный цикл должен быть выбран и специфицирован при пла
нировании безопасности СБЗС-систем в соответствии с требованиями ГОСТ Р 53195.2 (раздел 6).
П р и м е ч а н и е — Модель жизненного цикла Е/Е/РЕ СБЗС-систем. удовлетворяющая требованиям
ГОСТ Р 53195.2 (раздел 7), может быть переработана в соответствии с конкретными потребностями проекта или
организации.
5.5.3 Процедуры оценки качества и безопасности СБЗС ПО должны быть интегрированы в про
цессы жизненного цикла Е/Е/РЕ СБЗС-систем.
5.5.4 Каждая стадия жизненного цикла СБЗС ПОдолжна быть разделена на элементарные про
цессы. Для каждой стадии должны быть определены область применения, входные данные и выход
ные данные.
П р и м е ч а н и е — При совместном использовании компонентов Е/Е/РЕ СБЗС-систем, имеющих разные
уровни полноты безопасности, следует учитывать требования 5.6.4.9.
5.5.5 Выходные данные стадии жизненного цикла СБЗС-системы, включая СБЗС ПО. должны
соответствовать назначению системы и ПО.
П р и м е ч а н и е — в случае относительно простых систем допускается объединение некоторых стадий
жизненного цикла.
5.5.6 Если жизненный цикл СБЗС ПО удовлетворяет требованиям, приведенным на рисунке4 и в
таблице А.1 приложения А. допускается изменять глубину, число и размер этапов и процессов в зави
симости от сложности проекта и требуемой полноты безопасности.
5