ГОСТ 34009—2016
Электронные носители информации с ПО ТПС должны храниться в подразделениях заказчика,
эксплуатирующих соответствующие программно-аппаратные комплексы, в условиях, исключающих
несанкционированный доступ к ним. Если для доступа к программам имеются пароли, то они должны
быть предоставлены заказчику.
Допускается хранение эталонных носителей информации, содержащих исходные тексты ПО ТПС.
в арендованных банковских ячейках при условии, что к ним возможен только совместный доступ пред
ставителей эксплуатирующей организации и разработчика.
8.5После поставки не допускается одностороннее изменение разработчиком защитных паролей,
ограничения доступа, функций ПО ТПС. влияющее на работоспособность, диагностирование и экс
плуатацию ТПС. Внесение изменений в ПО ТПС осуществляют согласно процедуре сопровождения и
модификации, приведенной в разделе 9.
9 Требования к процедуре сопровождения и модификации программного
обеспечения
9.1 Целью сопровождения и модификации является выявление и устранение обнаруженных де
фектов и ошибок в программах иданных, введение новых функций и компонентов в ПОТПС, анализ со
стояния и корректировка документации, тиражирование и контроль распространения версий ПО ТПС.
актуализация и обеспечение сохранности документации и физических носителей.
Общий порядок проведения экспертизы модификации ПО ТПС определен в [1].
9.2 Все вносимые изменения в ПО ТПС могут быть приняты, только после оценки ПО ТПС и выда
чи экспертного заключения испытательной лаборатории (центра), аккредитованной(ого) в установлен
ном порядке на право проведения работ по испытаниям ПО ТПС.
9.3 Заявка на изменение декларированного ПО ТПС может быть подана разработчиком, изготови
телем или заказчиком при наличии следующих причин:
- безопасность в процессе эксплуатации, по мнению заявителя, ниже необходимой или заданной:
- выявления скрытых ошибок ПО ТПС:
- ошибки в требованиях к функциональным характеристикам ПО ТПС. выявленные в процессе
эксплуатации:
- модификация комплекса технических средств, замена элементной базы или модификация ис
пользования комплекса технических средств;
- изменение требований безопасности.
9.4 Подробности модификации и причин, повлекших внесение изменений, должны быть изложены
в документации, в которой должны быть ссылки на:
- заявку на изменение:
- результаты экспертизы влияния предложенной модификации ПО ТПС на безопасность и приня
тые решения;
- отклонения от нормальной эксплуатации и нормальных условий;
- всю содержащуюся в документации информацию, на которую повлияла модификация.
9.5 Независимый эксперт, проводящий оценивание влияния предложенных изменений, должен
идентифицировать:
- элементы конфигурации ПО ТПС и соответствующее базовое состояние, на которые влияет
предложенное изменение;
- любые утвержденные модификации, влияющие на идентифицированные элементы конфигура
ции ПО ТПС.
Эксперт, проводящий оценивание влияния предложенных изменений, должен оценить, насколько
предложенное изменение является критичным, как оно влияет на безопасность.
Эксперт должен выявить, обосновать и записать значимость влияния предложенных изменений и
предложений по усовершенствованию на продолжительность испытаний модифицированного ПО ТПС.
9.6 Повторные испытания в целях оценки соответствия проводят в том случае, если вносимые
изменения повлияли на структуру ПО ТПС и могут быть критичными для безопасности и иметь техни
ческие риски.
9.7 Разработчик ПО ТПС должен записать последовательность работ и задач для реализации
каждой утвержденной модификации и обеспечить, чтобы в базовые состояния включались только
утвержденные изменения.
9.8 Целесообразно, чтобы изменения в документации к ПО ТПС анализировали эксперты испы
тательной лаборатории (центра), в котором ранее проводили испытания и экспертиза документации
8