ГОСТ 34332.4-2021 Безопасность функциональная систем, связанных с безопасностью зданий и сооружений. Часть 4. Требования к программному обеспечению (с Поправкой)

Приложение Г
(обязательное)

Руководство по безопасности для применяемых изделий. Дополнительные требования к элементам программного обеспечения

Г.1 Цель руководства по безопасности

Г.1.1 Когда элемент системы (изделие) используют повторно или предполагается, что он будет снова использован в одной или нескольких других разрабатываемых системах, необходимо гарантировать, что этот элемент сопровождался достаточно точным и полным описанием (функций, ограничений и доказательств) для обеспечения возможности оценки полноты безопасности, заданной функции безопасности, которая полностью или частично реализуется этим элементом. Такие действия следует выполнять только с использованием руководства по безопасности.

Г.1.2 Руководство по безопасности может состоять из документации поставщика элемента, если она соответствует требованиям ГОСТ 34332.3-2021 (приложение Г) и настоящего приложения. В противном случае такая документация должна быть создана как часть проекта СБ системы.

Г.1.3 В руководстве по безопасности должны быть определены атрибуты элемента, которые могут включать в себя аппаратные и/или программные ограничения, которые интегратор должен знать и учитывать в процессе реализации применения. Руководство по безопасности служит источником информации для интегратора о свойствах элемента, а также для чего элемент был разработан, о его поведении и характеристиках.

Примечания

1 Область применения и время поставки руководства по безопасности зависят от того, кто его применяет, от типа интегратора, цели элемента и от того, кто его поставляет и поддерживает.

2 Физическое лицо, подразделение или организацию, которые интегрируют ПО, называют "интегратор".

Г.2 Содержание руководства по безопасности для элемента программного обеспечения

Г.2.1 В руководство по безопасности включают всю информацию, требуемую по ГОСТ 34332.3-2021 (приложение Г), которая относится к элементу системы. Например, пункты приложения Г ГОСТ 34332.3-2021, связанные с АС, не относятся непосредственно к элементу ПО.

Г.2.2 Элемент ПО должен быть идентифицирован, и все необходимые указания по его использованию должны быть доступны интегратору.

Примечание - Для ПО это может быть продемонстрировано с помощью четкого определения элемента и с указанием того, что содержание информации об элементе остается неизменным.

Г.2.3 Конфигурация элемента

Конфигурация элемента ПО, среды выполнения ПО и АС и, в случае необходимости, конфигурация системы компиляции/связей должны быть документально оформлены в руководстве по безопасности.

Рекомендуемая конфигурация элемента ПО должна быть документально оформлена в руководстве по безопасности, и эту конфигурацию следует использовать в применении, связанном с безопасностью.

Руководство по безопасности должно включать в себя все выдвинутые предположения, от которых зависит обоснование использования элемента.

Г.2.4 В руководство по безопасности должны быть включены следующие положения:

- компетентность. Должен быть определен минимальный уровень знаний, предполагаемый для интегратора элемента, т.е. знание конкретных инструментальных средств применения;

- степень доверия, отнесенная к элементу. Информация о любой сертификации элемента, прошедшего независимую оценку, значении полноты, которую интегратор может приписать уже существующему элементу. В эту информацию следует включать данные о полноте безопасности, для которой элемент разработан, о стандартах, использованных в процессе проектирования, и о любых ограничениях, которые интегратор должен реализовать для обеспечения требуемой стойкости к систематическим отказам. (В зависимости от функциональности элемента возможно, что некоторые требования могут быть удовлетворены только на стадии интеграции системы. В таких случаях эти требования должны быть идентифицированы для дальнейшего использования интегратором, например быстродействие и время отклика.)

Примечание - В отличие от ГОСТ 34332.3 в настоящем стандарте не требуется, чтобы в руководстве по безопасности для применяемых изделий были указаны режимы отказов ПО или значения интенсивностей отказов, так как причины отказов ПО существенно отличаются от причин случайных отказов АС (изделий) [см. ГОСТ 34332.3-2021 (приложение Г)];

- инструкции по установке. Подробное описание или ссылка на него относительно установки уже существующего элемента в интегрированную систему;

- причина выпуска новой версии элемента. Подробное описание того, что функционирующий элемент стал предметом выпуска очередной новой версии для устранения значительных отклонений или включения дополнительного функционала;

- существенные отклонения. Должно быть приведено подробное описание всех существенных отклонений с объяснением того, как происходит каждое отклонение, а также тех механизмов, которые должен использовать интегратор для ослабления отклонения, влияющего на конкретные функции;

- совместимость с предыдущими выпусками новых версий. Подробное описание наличия совместимости элемента с предыдущими версиями подсистемы, при отсутствии совместимости - подробное описание процедуры его обновления, которую необходимо выполнить;

- совместимость с другими системами. Функционирующий элемент может зависеть от специально разработанной операционной системы. В таких случаях должны быть подробно описаны детали версии специально разработанной операционной системы. Должен также быть определен стандарт на создание элемента, включающий в себя идентификацию и версию компилятора, инструменты, используемые для создания функционирующего элемента (идентификацию и версию), и применяемый тест для уже действующего элемента (идентификацию и версию);

- конфигурация элемента. Для функционирующего элемента должны быть даны имя (имена) и описание(я), включая версию элемента/номер элемента/состояние модификации элемента;

- управление изменениями. Механизм, с помощью которого интегратор может инициировать запрос на изменение разработчику ПО;