ОБЕСПЕЧЕНИЕ ЖИЗНЕННОГО ЦИКЛА

Выписка из стандарта предприятия
Выписка из стандарта предприятия. Обеспечение жизненного цикла программных изделий
в ходе разработки и эксплуатации
. Общие положения. СТО ФЛИР.3.04—2018


4.2 Выпуск планового обновления

Плановый выпуск обновления (внесения изменений в комплект РКД) ПИ осуществляется один раз в год. При этом решаются следующие задачи:

- обеспечение поддержки современного оборудования;
- реализация новых функциональных возможностей программного обеспечения, входящего в состав изделия;
- устранение ошибок и повышение уровня защищенности изделия;
- повышение удобства использования и управления компонентами изделия.

При этом внесение изменений в РКД ПИ осуществляется в соответствии с требованиями ГОСТ 2.503, ГОСТ 2.902, ГОСТ 15.307 и сопровождается выпуском предварительного извещения, изготовлением образцов ПИ с внесенными предлагаемыми изменениями, проведением типовых испытаний в соответствии с техническими условиями и, в случае успешного проведения типовых испытаний, внесением предварительных изменений в РКД. Окончательно изменения в комплект РКД вносятся по результатам инспекционного контроля, проводимого испытательной лабораторией в соответствии с действующим регламентом Федерального органа по сертификации средств защиты информации. По результатам внесения изменений все лицензиаты (потребители) оповещаются о возможности получения и использования доработанного (обновленного) ПИ на условиях заключенного лицензионного договора (дополнения к лицензионному договору).

Порядок информирования потребителей о выпуске и порядок получения ими планового обновления изложен в п. 6 настоящей инструкции.

Верификация потребителями планового обновления ПИ (входной контроль) осуществляется посредством подсчета контрольных сумм CD/DVD-дисков. Значения контрольных сумм и порядок их вычисления определены в формуляре на ПИ.

Дополнительная верификация файлов, входящих в состав планового обновления ПИ, осуществляется в соответствии с документацией на ПИ.

4.3 Выпуск обновлений безопасности

При подготовке обновлений безопасности ПИ решается задача устранения ошибки в программном обеспечении, которая может быть использована для нарушения установленных правил разграничения доступа к обрабатываемой, хранимой и передаваемой информации в автоматизированной системе и не может быть устранена путем организационно-технических мероприятий на объекте эксплуатации. При этом подготовка обновления безопасности ПИ предусматривает следующие работы:

1) При получении уведомления о наличии уязвимости изделия разработчиком описывается порядок проверки наличия уязвимости в ПИ в условиях наличия установленных правил разграничения доступа к условной тестовой информации. Факт наличия уязвимости в изделии подтверждается при наступлении любого из перечисленных событий:

- получение доступа к тестовой информации в нарушение установленных правил разграничения доступа;
- нарушение целостности тестовой информации или компонентов изделия в нарушение установленных правил разграничения доступа;
- получение пользователем полномочий администратора в изделии в нарушение установленных правил предоставления прав доступа и выполнение произвольных действий в отношении тестовой информации и ПИ.

2) Разработчик формулирует предложения по проведению организационно- технических мероприятий, устраняющих выявленную уязвимость изделия на объектах эксплуатации или исключающих риск ее использования при проведении компьютерных атак. Такие изменения являются обновлениями безопасности, в РКД не вносятся, а доводятся до потребителя в виде инструкций, содержащих сведения об обязательных к проведению при эксплуатации ПИ организационно-технических мероприятиях.

3) В случае невозможности сформулировать предложения по проведению организационно-технических мероприятий, устраняющие выявленную уязвимость изделия на объектах эксплуатации или исключающие риск ее использования при проведении компьютерных атак, либо в случае неэффективности таких предложений, разработчик подготавливает изменения в РКД ПИ. Такие изменения являются обновлениями безопасности, в РКД не вносятся, а в виде отдельных файлов, отдельных пакетов программ или совокупности (комплекта) пакетов программ доводятся до потребителя. Внесение в РКД таких изменений, аккумулированных в течение периода между выпуском плановых обновлений (новых версий), осуществляется разработчиком один раз в год в порядке, предусмотренном п. 4.2 настоящей инструкции.

4) После подготовки обновлений безопасности проводится его тестирование в соответствии с документацией на ПИ в условиях наличия установленных правил разграничения доступа к условной тестовой информации с целью контроля обеспечения выполнения всех предусмотренных конструкторской и эксплуатационной документацией ПИ функций, а также с целью подтверждения невозможности использования выявленной уязвимости при проведении компьютерных атак.

5) Дальнейший порядок информирования потребителей о выпуске и порядок получения ими обновления безопасности изложен в п. 6 настоящей инструкции.

6) Верификация потребителями файлов обновлений безопасности ПИ осуществляется с помощью подсчета контрольных сумм. Алгоритм подсчета контрольных сумм указан в Формуляре на ПИ.