ГОСТ Р 53195.4-2010 Безопасность функциональная связанных с безопасностью зданий и сооружений систем. Часть 4. Требования к программному обеспечению

     5.4 Общие требования к СБЗС ПО

5.4.1 Основные цели и требования для полного жизненного цикла СБЗС ПО установлены в ГОСТ Р 53195.2. Дополнительно к ним к СБЗС ПО предъявляются следующие требования.

5.4.2 Жизненный цикл систем безопасности при разработке ПО должен быть выбран и специфицирован при планировании безопасности в соответствии с ГОСТ Р 53195.2-2008 (раздел 6). На стадии планирования функциональной безопасности СБЗС ПО (см. блок 1.2 на рисунке 3) должны быть определены стратегия поставки, разработки, интеграции, верификации, приемки и модификации ПО в той мере, в какой этого требует уровень полноты безопасности Е/Е/РЕ СБЗС-системы.

5.4.3 При совместном использовании компонентов Е/Е/РЕ СБЗС-систем, имеющих разные уровни полноты безопасности, следует учитывать требования, установленные в 5.6.4.9.

5.4.4 Система управления конфигурацией СБЗС ПО должна:

- использовать административные и технические средства контроля на протяжении всего жизненного цикла ПО для управления изменениями в программах и гарантирования выполнения указанных в спецификациях требований к безопасности СБЗС ПО;

- гарантировать выполнение всех операций, необходимых для достижения заданной полноты безопасности СБЗС ПО;

- обеспечивать точную поддержку Е/Е/РЕ СБЗС-систем с использованием уникальной идентификации всех элементов конфигурации, необходимых для обеспечения полноты безопасности. Элементы конфигурации должны включать в себя, как минимум, следующее:

- анализ безопасности и требования к безопасности;

- спецификацию ПО и проектные документы;

- исходный текст программ;

- план и результаты тестирования;

- ранее разработанные программные компоненты и пакеты, которые должны быть включены в Е/Е/РЕ СБЗС-систему;

- все инструментальные средства и системы разработки, используемые при создании, тестировании или выполнении иных действий с СБЗС ПО;

- использовать процедуры контроля над внесением изменений для предотвращения несанкционированных модификаций.

Примечание - Для осуществления руководства и применения административных и технических средств контроля необходимо принятие управленческих решений и наличие полномочий;

- обеспечивать документирование запросов на выполнение модификаций;

- обеспечивать анализ влияния предлагаемых модификаций и предусматривать утверждение либо отклонение модификации;

- обеспечивать подробное документирование модификации и выдачу полномочий на выполнение всех утвержденных модификаций;

- обеспечивать установление основных параметров конфигурации системы для стадий разработки СБЗС ПО и документирование результатов тестирования интеграции системы, которое подтверждает достижение целей стадии (см. 5.8);

- гарантировать объединение и встраивание всех подсистем ПО (включая переработку более ранних версий);

- предусматривать документирование перечисленной выше информации для обеспечения возможности последующего аудита: состояние конфигурации, текущее состояние системы, обоснование и утверждение всех модификаций, подробное описание всех модификаций;

- обеспечивать строгое документирование каждой версии СБЗС ПО, хранение всех версий ПО и всей относящейся к ним документации для обеспечения возможности сопровождения и выполнения модификаций на протяжении всего периода использования разработанного программного продукта.