Обеспечение информационной безопасности при эксплуатации АСУ ТПAlexey Komarov
Журнал Защита информации. INSIDE №2’2016.
В статье рассматривается важность роли системы анализа и мониторинга состояния информационной безопасности (САМСИБ) в качестве ключевого элемента комплексной системы обеспечения информационной безопасности (СОИБ) автоматизированной системы управления технологическим процессом (АСУ ТП) на этапе эксплуатации, а также состав и функции такой системы.
Positive Hack Days. Маньков.Технология контроля правильности функционирования...Positive Hack Days
Защищенность систем АСУ ТП и SCADA после массового распространения червя Stuxnet стали любимой страшилкой журналистов и страшным сном для всех, кто связан с промышленностью и национальной безопасностью. Насколько защищены системы АСУ ТП в России и в мире? Защита АСУ ТП - дань моде или насущная необходимость? Насколько тяжело найти уязвимость в SCADA? Какие векторы атак для этих систем наиболее опасны? Регулирование в области безопасности АСУ ТП - миф или реальность?
Обеспечение информационной безопасности при эксплуатации АСУ ТПAlexey Komarov
Журнал Защита информации. INSIDE №2’2016.
В статье рассматривается важность роли системы анализа и мониторинга состояния информационной безопасности (САМСИБ) в качестве ключевого элемента комплексной системы обеспечения информационной безопасности (СОИБ) автоматизированной системы управления технологическим процессом (АСУ ТП) на этапе эксплуатации, а также состав и функции такой системы.
Positive Hack Days. Маньков.Технология контроля правильности функционирования...Positive Hack Days
Защищенность систем АСУ ТП и SCADA после массового распространения червя Stuxnet стали любимой страшилкой журналистов и страшным сном для всех, кто связан с промышленностью и национальной безопасностью. Насколько защищены системы АСУ ТП в России и в мире? Защита АСУ ТП - дань моде или насущная необходимость? Насколько тяжело найти уязвимость в SCADA? Какие векторы атак для этих систем наиболее опасны? Регулирование в области безопасности АСУ ТП - миф или реальность?
[статья] Особенности применения SOC для мониторинга промышленных сетей АСУ ТП...Alexey Komarov
Как грамотно организовать мониторинг промышленных объектов (АСУ ТП) и оценить уровень их информационной безопасности?
Как поможет и какую роль сыграет центр мониторинга и оперативного реагирования на инциденты в информационной безопасности (SOC — Security Operations Center)?
Информационные технологии в сфере метрологииUNITESS
Система менеджмента и автоматизации в лаборатории UNITESS — простой и понятный инструмент для метрологов, позволяющий самостоятельно разрабатывать\дорабатывать автоматизированные рабочие места для в поверочных и испытательных лабораториях.
Контакты:
РОССИЯ +7 (495) 975-72-83
БЕЛАРУСЬ +375 (17) 365-35-28
VIBER | WHATSAPP | TELEGRAM | WECHAT +375 (44) 715-34-69
sales@unitess.ru
www.unitess.ru
Специализированные межсетевые экраны для АСУ ТП: нюансы примененияAlexey Komarov
Интерес к теме обеспечения информационной безопасности промышленных объектов в целом и автоматизированных систем управления технологическими процессами (АСУ ТП) в частности не угасает уже несколько лет, скорее, даже нарастая со временем. В России актуальность темы признается на высоком государственном уровне, доказательством чему могут служить принимаемые нормативные документы и ведущиеся общественные дискуссии.
Построение комплексной системы безопасности объектов ТЭКАндрей Кучеров
Современные требования к обеспечению безопасности подразумевают наличие обязательного контроля на всех этапах реагирования на угрозы – от их обнаружения, до их ликвидации с последующим анализом предпринятых мер. Для предприятий критически важных отраслей – данные требования закреплены на законодательном уровне.
Система Electrionika Security Manager полностью соответствует требованиям российского законодательства в сфере обеспечения безопасности предприятий Топливно-Энергетического Комплекса (Федеральный закон РФ от 21 июля 2011 г. № 256-ФЗ «О безопасности объектов топливно-энергетического комплекса», Постановление Правительства РФ от 5 мая 2012 г. № 458 «Об утверждении правил по обеспечению безопасности и антитеррористической защищенности объектов топливно-энергетического комплекса», Постановление Правительства РФ от 5 мая 2012 г. № 459 "Об утверждении Положения об исходных данных для проведения категорирования объекта топливно-энергетического комплекса, порядке его проведения и критериях категорирования", Постановление Правительства РФ от 5 мая 2012 г. № 460 "Об утверждении Правил актуализации паспорта безопасности объекта топливно-энергетического комплекса" и других законов и подзаконных нормативных актов).
Developed a wetland inventory and assessment for St. Lucie
County, Florida that involved the delineation, classification, and functional
assessment of over 30,000 acres of wetlands.
Wetland Delineation and Functional Assessment (2009). Confidential Client,
Alaska. Delineated over 100,000 acres of wetlands in interior Alaska and
assessed wetland functions using the hydrogeomorphic approach.
Wetland Delineation and Mitigation Design (2005). Port of Seattle, Seattle,
Washington. Delineated wetlands and designed mitigation for wetland
impacts associated with the expansion of the Seattle-Tacoma
International Airport.
Wetland Delineation
[статья] Особенности применения SOC для мониторинга промышленных сетей АСУ ТП...Alexey Komarov
Как грамотно организовать мониторинг промышленных объектов (АСУ ТП) и оценить уровень их информационной безопасности?
Как поможет и какую роль сыграет центр мониторинга и оперативного реагирования на инциденты в информационной безопасности (SOC — Security Operations Center)?
Информационные технологии в сфере метрологииUNITESS
Система менеджмента и автоматизации в лаборатории UNITESS — простой и понятный инструмент для метрологов, позволяющий самостоятельно разрабатывать\дорабатывать автоматизированные рабочие места для в поверочных и испытательных лабораториях.
Контакты:
РОССИЯ +7 (495) 975-72-83
БЕЛАРУСЬ +375 (17) 365-35-28
VIBER | WHATSAPP | TELEGRAM | WECHAT +375 (44) 715-34-69
sales@unitess.ru
www.unitess.ru
Специализированные межсетевые экраны для АСУ ТП: нюансы примененияAlexey Komarov
Интерес к теме обеспечения информационной безопасности промышленных объектов в целом и автоматизированных систем управления технологическими процессами (АСУ ТП) в частности не угасает уже несколько лет, скорее, даже нарастая со временем. В России актуальность темы признается на высоком государственном уровне, доказательством чему могут служить принимаемые нормативные документы и ведущиеся общественные дискуссии.
Построение комплексной системы безопасности объектов ТЭКАндрей Кучеров
Современные требования к обеспечению безопасности подразумевают наличие обязательного контроля на всех этапах реагирования на угрозы – от их обнаружения, до их ликвидации с последующим анализом предпринятых мер. Для предприятий критически важных отраслей – данные требования закреплены на законодательном уровне.
Система Electrionika Security Manager полностью соответствует требованиям российского законодательства в сфере обеспечения безопасности предприятий Топливно-Энергетического Комплекса (Федеральный закон РФ от 21 июля 2011 г. № 256-ФЗ «О безопасности объектов топливно-энергетического комплекса», Постановление Правительства РФ от 5 мая 2012 г. № 458 «Об утверждении правил по обеспечению безопасности и антитеррористической защищенности объектов топливно-энергетического комплекса», Постановление Правительства РФ от 5 мая 2012 г. № 459 "Об утверждении Положения об исходных данных для проведения категорирования объекта топливно-энергетического комплекса, порядке его проведения и критериях категорирования", Постановление Правительства РФ от 5 мая 2012 г. № 460 "Об утверждении Правил актуализации паспорта безопасности объекта топливно-энергетического комплекса" и других законов и подзаконных нормативных актов).
Developed a wetland inventory and assessment for St. Lucie
County, Florida that involved the delineation, classification, and functional
assessment of over 30,000 acres of wetlands.
Wetland Delineation and Functional Assessment (2009). Confidential Client,
Alaska. Delineated over 100,000 acres of wetlands in interior Alaska and
assessed wetland functions using the hydrogeomorphic approach.
Wetland Delineation and Mitigation Design (2005). Port of Seattle, Seattle,
Washington. Delineated wetlands and designed mitigation for wetland
impacts associated with the expansion of the Seattle-Tacoma
International Airport.
Wetland Delineation
This document is a design portfolio belonging to Rachael Sinivuori, a graphic designer from Brisbane, Australia. The portfolio includes sections on her resume, website design work, logo and brand identity projects, and print design work. It provides details on her education and skills in graphic and web design. Examples are given of websites created for various clients using content management systems like Joomla and Wordpress. Logos and branding projects are displayed for businesses like The Grogfather liquor delivery and Zephyr Hair salon. Print designs shown include posters for Lee Jeans, Fiction Bar, and Nourishment for Life supplement brand. Contact information is provided at the end.
Katie Hatter has over 15 years of experience in strategic marketing and media management, focusing on industries including home services, healthcare, non-profits, and financial services. She has held roles such as Media Marketing Strategist, Senior Media Planner/Buyer, and Media Planner/Buyer at various companies, where she developed marketing strategies, created media plans, negotiated placements, and analyzed results. Her experience includes developing national campaigns, managing multi-million dollar budgets, and optimizing marketing approaches.
This document provides an overview of Robert M. Lee and summarizes his article "OMG Cyber: Thirteen Reasons Why Hype Makes for Bad Policy". It introduces Lee as an Air Force cyber warfare officer who also works as an academic. The article argues that cybersecurity hype creates problems like confusion, erodes talent, and undermines trust. It examines case studies involving militaries, intelligence agencies, Sony Pictures, and oil pipelines to show how hype has impacted policy and security practices. The document concludes by suggesting a need for more focus on practical security work and less self-promotion among government, vendors, media, and academia regarding cyber issues.
BSides Huntsville Keynote - Active Cyber Defense CycleRobert M. Lee
The Active Cyber Defense Cycle is a strategy for cyber defense that consists of five processes:
1) Threat intelligence consumption to understand the threat landscape and adversary's capabilities.
2) Asset identification and network security monitoring to identify the organization's systems and detect abnormalities.
3) Incident response to determine the scope of threats, collect evidence, and focus on keeping operations running.
4) Threat and environment manipulation to interact with threats in a controlled environment to learn tactics and feed back into threat intelligence.
5) These processes work together in a cycle to better understand adversaries and defend the organization's systems and missions over time.
СОВМЕСТНОЕ ПРИМЕНЕНИЕ КОНТРАКТОВ И ВЕРИФИКАЦИИ ДЛЯ ПОВЫШЕНИЯ КАЧЕСТВА АВТОМАТ...ITMO University
При создании систем со сложным поведением важную роль играет контроль качества разрабатываемых программ. Цена ошибки в таких системах может быть слишком велика, поэтому важно не просто проверить соответствие создаваемой программы всем предъявленным к ней требованиям, но и сделать этот процесс эффективным, максимально автоматизировав его. На практике этого можно добиться, формализовав все требования к программе и храня полученную исполнимую спецификацию непосредственно вместе с кодом программы. Рассмотрены существующие методы контроля качества современных программных систем и автоматных программ, а также описан процесс создания среды, позволяющей поддержать сразу три подхода к проверке качества программ с явным выделением состояний: проверку на модели, модульное тестирование и контракты. Предложенный подход позволяет сохранить корректность записи сформулированных требований при изменении самой программы, а также интерактивно контролировать ее качество.
Предложение на проведение аудита ИБ АСУ ТПКомпания УЦСБ
Технико-коммерческое предложение на проведение работ по аудиту информационной безопасности автоматизированных систем управления технологическими процессами (АСУ ТП).
О сертификации ПО по требованиям безопасности информации в системе сертификац...Олег Габов
О сертификации ПО по требованиям безопасности информации в системе сертификации ФСТЭК России
Оглавление
1. Термины и определения 2
2. Нормативная база системы сертификации Федеральной службы по техническому и экспортному контролю России 3
3. Назначение программного обеспечения 4
3.1. Требования безопасности информации для ПО, которое является средством защиты информации 6
3.2. Требования безопасности информации для ПО со встроенными средствами (механизмами) защиты информации 6
3.3. Требования сертификации ПО по уровню контроля отсутствия недекларированных возможностей 7
4. Применение программного обеспечения в составе информационной/автоматизированной системы 7
5. Основные нормативные правовые акты, в которых указано о необходимости проведения сертификации по требованиям безопасности информации 10
Таблица 1 – Перечень основных нормативных правовых актов с указанием о необходимости проведения сертификации СрЗИ для Систем, в которых обрабатывается информация, содержащая сведения, составляющие государственную тайну 10
Таблица 2 – Перечень основных нормативных правовых актов с указанием о необходимости проведения сертификации СрЗИ для Систем, в которых обрабатывается информация конфиденциального характера 13
Таблица 3 – Перечень основных нормативных правовых актов с указанием о необходимости проведения сертификации СрЗИ для Систем, в которых обрабатываются персональные данные 16
Поиск ловушек в Си/Си++ коде при переносе приложений под 64-битную версию Win...Tatyanazaxarova
В результате появления на рынке персональных компьютеров 64-битных процессоров перед разработчиками программ возникает задача переноса старых 32-битных приложений на новую платформу. После переноса кода приложения высока вероятность его некорректной работы. В статье рассмотрены вопросы, связанные с верификацией и тестированием программного обеспечения. Обозначены сложности, с которыми может столкнуться разработчик 64-битных Windows приложений и пути их преодоления.
Профстандарт "Специалист по информационной безопасности ИКТ систем"Денис Ефремов
Защита инфокоммуникационной системы организации и оконечных устройств сотрудников.
Основная цель вида профессиональной деятельности:
Противодействие вредоносному влиянию программно-технического воздействия на подсистемы, устройства, элементы и каналы инфокоммуникационных систем.
Профстандарт "Специалист по информационной безопасности ИКТ систем"
1
1.
2. Введение
Подавляющее большинство современных средств измерений
и измерительных систем невозможно представить
без автоматизированной обработки измерительной информации
и соответствующего программного обеспечения (ПО).
При этом под ПО понимаются: алгоритмы обработки данных
и программы, реализующие эти алгоритмы на одном из языков
программирования, а также программы отображения данных
и другие управляющие и вспомогательные программы.
ПО предоставляет большие возможности и преимущества по сравнению с
традиционными методами обработки измерительной информации, но при
этом использование ПО может привести к появлению дополнительных
погрешностей, связанных, например,
с неадекватностью используемых алгоритмов измерительной задаче, с
нестабильностью алгоритмов, положенных в основу ПО,
с неправильной их реализацией и т.п.
Поэтому ПО должно соответствовать определенным требованиям,
о которых дальше пойдет речь.
3. Аттестация средств
измерения
Все средства измерений с целью обеспечения единства
измерений в стране проходят аттестацию на соответствие
определенным требованиям в виде:
1. испытаний для утверждения их типа и поверки,
если они используются в сфере действия государственного
метрологического контроля и надзора
2. калибровки, если они в этой сфере не используются.
ПО, входящее в их состав, не аттестуется отдельно,
а проходит аттестацию в составе средства измерений,
т.е. в процессе аттестации не учитывается погрешность
реализации и выбор алгоритма программным средством, а
также другие важные характеристики ПО.
Делаем вывод о том, что ПО должно быть в том или ином
виде аттестовано. При этом речь должна идти не только об
оценивании значения погрешности, вносимой алгоритмами
программы, но и об их защите, документировании,
спецификации, а также о других задачах аттестации, общих
для всех видов ПО.
4. Аттестация ПО
Первыми шагами в разработке системы аттестации
ПО средств измерений стоят задачи:
1. классификации ПО;
2. разработки требований к каждой группе
классифицированных программных средств
5. Аттестация ПО Зарубежный опыт
В последнее время, вопросам аттестации ПО
заграницей уделяется большое внимание.
Так требованиям к ПО средств измерений посвящен
ряд международных стандартов и рекомендаций.
Однако некоторые нормативные разработки
имеются и в России.
В качестве примеров можно привести программу
SSFM 1 и 2 (Software Support For Metrology)
(Великобритания). Определенные наработки
по этому вопросу имеются и у Национального
института по стандартизации и технологиям
(NIST, США).
6. Классификация ПО
Процесс аттестации ПО должен начинаться с его
классификации. Все ПО можно
классифицировать по 3 видам:
1. Готовое ПО (коммерческое ПО);
2. Модифицированное коммерческое ПО;
3. Пользовательское (заказное) ПО.
7. Готовое ПО (коммерческое ПО)
Это ПО, которое приобретено(куплено)
и используется без возможности его модификации.
К такому ПО относятся, например: Microsoft Excel,
MathCad, MatLab, Mathematica и другие.
К этой же группе относится и так называемое
встроенное ПО.
8. Аттестация встроенного ПО
Порядок аттестации ПО, входящего в состав промышленного
оборудования (встроенного ПО), определяется требованиями,
содержащимися в п.п. 3.3.3 и 5.6 ГОСТ Р 8.596-2002,
и сводящимися к тому:
1. аттестация не является необходимой, если метрологические
характеристики (МХ) средства измерений (измерительного
комплекса) нормированы с учетом программы, реализуемой его
вычислительным компонентом;
2. если же этого не сделано, то метрологическая аттестация такого
ПО необходима.
Можно пользоваться:
1. рекомендацией, в отсутствие соответствующих нормативных
документов;
2. разработанной собственной программой метрологической
аттестации ПО, которая должна быть согласована
с контролирующими(надзирающими) органами.
9. Модифицированное коммерческое ПО
Это ПО, чей код модифицирован или изменен
для специальных приложений.
Примером такого ПО являются программы,
разработанные в Lab Windows, LabView и др., которые
представляют собой, в частности, интегрированную
среду программирования измерительных систем.
По сути это ПО виртуальных приборов,
представляющих собой:
1. компьютер;
2. плату ввода/вывода сигналов;
3. программная среда, разработанная, например,
в LabView. Такие виртуальные приборы используются
для измерения и управления посредством
электрических сигналов таких физических величин
как, например, напряжение, ток, мощность,
температура, давление, скорость, вибрация и т.п.
10. Пользовательское (заказное) ПО
Это ПО, разработанное самим пользователем или
субподрядчиком, программа которого написана,
например, на таких языках программирования как
C++, Visual Basic, Database Design, Delphi и др.
Такое ПО обеспечение требует самой полной
проверки.
11. Уровни аттестации ПО,
используемого в проверяемом
средстве измерения
степень защиты ПО от изменений;
жесткость испытаний ПО при утверждении
типа средств измерений;
степень соответствия ПО,
используемого в поверяемом приборе.
12. Степени защиты ПО:
1. Низкая (требуется специальной защиты ПО
от намеренных искажений).
2. Средняя (предполагает защиту законодательно
контролируемого ПО от намеренных изменений
с помощью наиболее распространенных
программных средств, например, с помощью
текстовых редакторов).
3. Высокая(характеризуется использованием
специальных программных средств (отладчиков
и редакторов жестких дисков, ПО для разработки
программ и т.п.), т.е. уровень защиты в этом случае
соответствует последним достижениям в области
защиты данных (как, например, в области банковских
технологий)).
13. Виды жесткости испытаний
1. Низкая (функции ПО проверяются в ходе
обычных испытаний средств измерений).
2. Средняя (испытания в дополнение
к обычным испытаниям по утверждению типа
проводятся испытания ПО на основании
описания программных функций,
представленных изготовителем средства
измерений. При этом проверяется целостность
и однозначность заявленных
и документированных функций).
3. Высокая (законодательно контролируемое ПО
проверяется по его исходному коду).
14. Степени соответствие ПО
Сложнее обстоят дела с установлением степени соответствия
ПО. Сложнее не по существу,
а по объему описания.
Существуют три уровня соответствия:
1. Низкий.
2. Средний.
3. Высокий.
Эти уровни отличаются друг от друга главным образом тем,
какие изменения могут быть внесены в ПО отдельных
приборов по сравнению
с идентифицированным при утверждении типа
и как в подобных случаях должен поступать орган,
проводящий испытания.
15. Требования к программному обеспечению на основе Директивы по
измерительным приборам. WELMEC (European cooperation in legal
metrology) 7.1, октябрь, 1999
16. Руководство разработано на основе Директивы
по измерительным приборам Measuring Instruments Directive (MID/3),
Brussels 15.09.2000, COM(2000) 566 final, European Commission – III.D.2
Приложение 1, №13: «Программное обеспечение, которое является
критическим (т.е. полностью или частично ответственным за
метрологические характеристики прибора) для метрологических
характеристик, должно быть идентифицировано соответствующим образом и
защищено.
Его идентификация должна быть легко доступна. Факт
несанкционированного вмешательства должен быть очевиден в течение
разумного периода времени».
Приложение 1. №14: «Данные измерений и метрологически важные
параметры, сохраненные или переданные, должны быть соответственно
защищены от случайного или намеренного искажения».
Приложение 1, №7: «Измерительный прибор не должен иметь какой-либо
технической особенности, которая с некоторой вероятностью, могла бы
способствовать его мошенническому использованию, принимая во внимание,
что возможность неумышленного неправильного использования
минимальна».
Приложение 1, №11: «Метрологические характеристики измерительного
прибора не должны бесконтрольно изменяться при подключении к нему
другого устройства либо непосредственно подключаемого к прибору,
либо дистанционно управляемого».
Приложение 1, №27: «Измерительный прибор должен быть разработан
таким образом, чтобы можно было легко провести оценку его
соответствия требованиям данной директивы».
17. ИСО/МЭК 17025-2000.Общие требования
к компетентности испытательных
и калибровочных лабораторий
“5.4.7.2 Если используются компьютеры или автоматизированное оборудование
для сбора, обработки, регистрации, отчетности, хранения или поиска данных испытаний и
калибровок, лаборатория должна удостовериться, что:
а) разработанное пользователем компьютерное программное обеспечение достаточно подробно
задокументировано и должным образом оценено как пригодное для применения;
b) разработаны и внедрены процедуры защиты данных; эти процедуры должны включать, но не
ограничиваться этим, целостность и конфиденциальность ввода или сбора данных, хранения
данных, передачи данных и обработки данных;
с) для обеспечения должного функционирования обеспечивается технический уход
за компьютером и автоматизированным оборудованием, и для них были созданы условия
окружающей среды и работы, необходимые для поддержания точности данных испытаний и
калибровок .
5.5.2 Оборудование и его программное обеспечение, используемые для проведения испытаний,
калибровки и отбора образцов, должны обеспечивать требуемую точность и соответствовать
техническим требованиям, предъявляемым к испытаниям и/или калибровочным работам.
5.5.4 Каждая единица оборудования и ее программное обеспечение, используемые при
проведении испытаний и/или калибровок и оказывающие влияние на результат, должны, если
это практически осуществимо, быть однозначно идентифицированы.
5.5.12 Регулировка испытательного и калибровочного оборудования, включая аппаратные средства
и программное обеспечение, которые могут сделать недействительными результаты
испытаний и/или калибровок, должна быть исключена.”
18. ТРЕБОВАНИЯ К ПРОГРАММНОМУ ОБЕСПЕЧЕНИЮ
СРЕДСТВ ИЗМЕРЕНИЙ ГОСТ Р 8.654-2009
Область применения:
Настоящий стандарт устанавливает требования к программному обеспечению
(далее – ПО) средств измерений (далее – СИ), обусловленные необходимостью
оценки влияния ПО
на метрологические характеристики СИ и защиты обрабатываемой, в том числе
измерительной,
информации от непреднамеренных и преднамеренных изменений.
Стандарт распространяется на:
1. - ПО СИ, в том числе измерительных и информационно-измерительных систем;
2. - ПО автоматизированных систем, функционирующих
с использованием СИ или компонентов измерительных систем;
3. - ПО контроллеров, вычислительных блоков, не входящих
в состав измерительных систем, а также технических систем
и устройств с измерительными
4. функциями, осуществляющих обработку и представление измерительной
информации.
19. ТРЕБОВАНИЯ К ПРОГРАММНОМУ ОБЕСПЕЧЕНИЮ
СРЕДСТВ ИЗМЕРЕНИЙ ГОСТ Р 8.654-2009
Общие положения
4.1.1 ПО СИ, в том числе измерительных и информационно-
измерительных систем, а также технических систем
и устройств с измерительными функциями должно
соответствовать наборам общих и специальных требований.
4.1.2 Общие требования к ПО СИ включают в себя требования
1. - к документации;
2. - к структуре ПО;
3. - к влиянию ПО на метрологические характеристики СИ;
4. - к защите ПО и данных.
4.1.3 Специальные требования к ПО СИ включают в себя
1. - требования к разделению ПО и его идентификации;
2. - специальные требования к ПО;
20. ПРИМЕР ТРЕБОВАНИЙ К ПРОГРАММНОМУ ОБЕСПЕЧЕНИЮ
СРЕДСТВ ИЗМЕРЕНИЙ ГОСТ Р 8.654-2009
4.2.4 Графическая и текстовая информация в технической
документации должна быть представлена таким образом, чтобы
она была пригодна для полного и однозначного понимания.
4.4 Требования к структуре программного обеспечения
Метрологически значимое ПО СИ должно быть разработано таким
образом, чтобы его невозможно было подвергнуть искажающему
воздействию через интерфейсы пользователя
и другие интерфейсы.
Степень влияния ПО на метрологические характеристики СИ
оценивают при его аттестации. При этом должна быть
предусмотрена возможность такой оценки с помощью
программных и метрологических тестов
4.6 Требования к защите программного обеспечения и данных
ПО СИ должно содержать средства обнаружения, отображения
и/или устранения сбоев (функциональных дефектов) и
искажений, которые нарушают целостность ПО и данных.
21. Рекомендация КООМЕТ. Программное обеспечение средств измерений.
Общие технические требования (Утверждена на 14 заседании Комитета
КООМЕТ (Албена, Болгария, 27–28 мая 2004 г.))
Настоящая рекомендация устанавливает минимально необходимые требования к
программному обеспечению с измерительными функциями, используемому в области
законодательной метрологии, а также критерии, определяющие объем испытаний
программного обеспечения в целях его утверждения. Минимально необходимые
требования не ограничивают разработчика программного обеспечения в применении
новых технических решений и совершенствовании уже имеющихся разработок.
3.1 Проект и структура программного обеспечения
3.1.1 Программное обеспечение средства измерений должно быть разработано так, чтобы
можно было провести оценку соответствия его законодательно контролируемых функций
требованиям настоящей рекомендации.
3.1.2 Законодательно контролируемое программное обеспечение должно быть разработано
таким образом, чтобы, чтобы его законодательно контролируемые функции не были
подвержены влиянию другого программного обеспечения, параллельно работающего
или обеспечивающего его функционирование.
3.1.3 Законодательно контролируемое программное обеспечение должно иметь функции
защиты от несанкционированного воздействия на это программное обеспечение
через его интерфейсы или интерфейсы средства измерений.
3.2 Защита программного обеспечения
3.2.1 Законодательно контролируемые программы и данные должны быть защищены
от искажений и неумышленных изменений.
3.2.2 Законодательно контролируемые программы и данные должны быть защищены
от намеренных изменений.
3.2.3 Только аутентифицированное программное обеспечение можно использовать для
законодательно контролируемых целей. Факт использования результатов, полученных
с использованием законодательно контролируемой программы, должен быть очевиден
и однозначен.
22. ТИПОВАЯ МЕТОДИКА АТТЕСТАЦИИ ПРОГРАММНОГО
ОБЕСПЕЧЕНИЯ СРЕДСТВ ИЗМЕРЕНИЙ МИ 2955 – 2010
6.5. ОЦЕНКА ВЛИЯНИЯ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ НА
МЕТРОЛОГИЧЕСКИЕ ХАРАКТЕРИСТИКИ СРЕДСТВ ИЗМЕРЕНИЙ
6.5.1. Оценка влияния ПО на МХ СИ определяется методикой аттестации и может
включать в себя:
анализ ПО и его алгоритмов (например, адекватность измерительной задаче,
их сложность и возможность использования при разработке опорного
(«эталонного») ПО и т.д.);
определение критерия оценки влияния ПО на метрологические характеристики
СИ (например, значение вклада ПО в суммарную погрешность
(неопределенность) СИ);
выбор (или разработка) опорного («эталонного») ПО;
выбор (определение) исходных данных и/или их получение методом генерации
или какими-либо другими методами;
получение результатов обработки исходных данных в тестируемом ПО
(получение тестовых результатов);
получение опорных («эталонных») результатов;
получение оценки влияния ПО на метрологические характеристики СИ
посредством обработки результатов тестирования (сравнения тестовых
результатов с опорными («эталонными»);
дополнительные исследования свойств, параметров и характеристик
используемых алгоритмов (область устойчивости, время, затрачиваемое
на обработку результатов измерений и т.п.).