Рекомендации по метрологии Р 50.2.077-2014 "Государственная система обеспечения единства измерений. Испытания средств измерений в целях утверждения типа. Проверка защиты программного обеспечения" (утв. приказом Федерального агентства по техническому регулированию и метрологии от 04.03.2014 N 69-ст)

State system for ensuring the uniformity of measurements. Pattern evaluations of a measuring instrument for pattern approval. Software validation for protection assurance

Дата введения - 1 октября 2014 г.
Взамен Р 50.2.077-2011

Введение

Настоящие рекомендации разработаны в соответствии со статьей 9 Федерального закона Российской Федерации от 26 июня 2008 г. N 102-ФЗ "Об обеспечении единства измерений" в целях предотвращения несанкционированных настройки и вмешательства в программное обеспечение средств измерений, которые могут привести к искажениям результатов измерений.

В рекомендациях детализируются положения Порядка проведения испытаний стандартных образцов или средств измерений в целях утверждения типа и Порядка выдачи свидетельств об утверждении типа стандартных образцов или типа средств измерений, установления и изменения срока действия указанных свидетельств и интервала между поверками средств измерений, утвержденных приказом Минпромторга России от 30 ноября 2009 г. N 1081, и рекомендуется последовательность действий при проведении испытаний средств измерений в целях утверждения типа в части проверки защиты программного обеспечения средств измерений от несанкционированных настройки и вмешательства.

Рекомендации предназначены для использования разработчиками, изготовителями и заявителями испытаний средств измерений в целях утверждения типа, организациями, проводящими испытания в целях утверждения типа средств измерений в соответствии с действующим законодательством Российской Федерации, а также федеральными органами исполнительной власти и подведомственными им организациями, функции которых распространяются на утверждение типа средств измерений и аккредитацию центров испытаний средств измерений.

1 Область применения

Настоящие рекомендации устанавливают последовательность действий при проведении испытаний средств измерений (далее - СИ) в целях утверждения типа в части проверки защиты программного обеспечения (далее - ПО) СИ от несанкционированных настройки и вмешательства и детализируют с учетом международных требований OIML D 31 [1] и руководства WELMEC 7.2 [2] процедуры, установленные в порядках [3] и [4], утвержденных приказом Министерства промышленности и торговли Российской Федерации от 30 ноября 2009 г. N 1081, в части, касающейся защиты ПО СИ.

Рекомендации также могут быть использованы для проверки уровня защиты ПО СИ, не входящих в сферу государственного регулирования в области обеспечения единства измерений.

2 Нормативные ссылки

В настоящих рекомендациях использована нормативная ссылка на следующий стандарт:

ГОСТ Р 8.654-2009 Государственная система обеспечения единства измерений. Требования к программному обеспечению средств измерений. Основные положения

Примечание - При пользовании настоящими рекомендациями целесообразно проверить действие ссылочного стандарта в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодно издаваемому информационному указателю "Национальные стандарты", который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячно издаваемого информационного указателя "Национальные стандарты" за текущий год. Если заменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия). Если после утверждения настоящих рекомендаций в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку.

3 Термины и определения

В настоящих рекомендациях применены следующие термины с соответствующими определениями:

3.1 проверка защиты программного обеспечения: Исследование программного обеспечения с целью подтверждения идентификационных данных (признаков) и оценки его защиты в соответствии с требованиями законодательства в области обеспечения единства измерений.

3.2 непреднамеренные изменения программного обеспечения: Неумышленные, случайные воздействия на программное обеспечение и измерительную информацию, вызванные ошибками в проектировании средств измерений, в программировании, а также действиями персонала и воздействиями случайных физических факторов.

3.3 преднамеренные изменения программного обеспечения: Сознательные воздействия на программное обеспечение и измерительную информацию с целью искажения измерительной информации.

3.4 метрологически значимая часть программного обеспечения: Программы и программные модули, выполняющие обработку измерительной информации и реализующие функции по идентификации и защите программного обеспечения средств измерений.

4 Общие положения

4.1 Проверку защиты ПО СИ осуществляют организации, проводящие испытания в целях утверждения типа средств измерений в соответствии с действующим законодательством Российской Федерации (далее - организации, проводящие испытания СИ) и имеющие в своем штате специалистов в области программного обеспечения средств измерений.

Специалисты обязаны проходить процедуру повышения квалификации по указанной специализации не реже одного раза в 5 лет.

4.2 В процессе проведения испытаний СИ в целях утверждения типа осуществляется проверка защиты ПО СИ от непреднамеренных и преднамеренных изменений и оценка ее уровня, декларированного разработчиком СИ (см. 4.4, 4.5 и 5.1.2), а также проверка идентификационных данных ПО СИ.

4.3 Для СИ, конструкция и/или особенности эксплуатации которых обеспечивают полное ограничение доступа к метрологически значимой части ПО и измерительной информации (наличие механической защиты и отсутствие программно-аппаратных интерфейсов связи), проверку защиты ПО СИ и оценку ее уровня допускается не проводить. В таких случаях в описание типа СИ следует вносить запись: "Конструкция СИ исключает возможность несанкционированного влияния на ПО СИ и измерительную информацию".

4.4 Уровень защиты ПО СИ (низкий, средний, высокий) декларируется (назначается) разработчиком (изготовителем) СИ или заявителем испытаний при представлении СИ на испытания в целях утверждения типа (см. 4.5, 5.3.1). За основу такого декларирования (назначения) могут быть взяты положения руководства [2].

4.5 Пунктом 11 руководства [2] предусмотрены следующие уровни защиты ПО и измерительной информации:

- низкий: не используются никакие специальные средства защиты от преднамеренных изменений;

- средний: программное обеспечение защищено от преднамеренных изменений с помощью простых программных средств (например, с помощью текстового редактора). Примерами защиты могут служить: пароли, авторизация пользователя и т.п.;

- высокий: программное обеспечение защищено от преднамеренных изменений с помощью специальных программных средств (программы-отладчики и редакторы жесткого диска, средства программной разработки). Примерами защиты могут служить: криптографические методы защиты, электронное и механическое опечатывание и т.д.

Программное обеспечение, для которого в соответствии с 4.3 проверку его защиты и оценку ее уровня допускается не проводить, относится к программному обеспечению с высоким уровнем защиты.

4.6 Объем проверок защиты ПО СИ определяется разработчиком или заявителем испытаний СИ и согласуется с организацией, проводящей испытания СИ, при представлении его на испытания в целях утверждения типа в зависимости от назначения и области применения СИ.

4.7 Перечень документов, представляемых для проверки защиты ПО, объем и методы проверки документации и функциональных проверок определяются на этапе разработки "Программы испытаний СИ в целях утверждения типа" по согласованию между заявителем испытаний и организацией, проводящей испытания СИ.

4.8 Результатом проверки защиты ПО в процессе проведения испытаний СИ в целях утверждения типа является подтверждение подлинности и целостности ПО, установленного в СИ, и уровня его защиты, декларированного разработчиком или заявителем испытаний СИ.

4.9 При проведении проверки защиты ПО СИ могут быть использованы результаты тестирования в соответствии с требованиями международного документа [1] и руководства [2], нормативными документами и рекомендациями Государственной системы обеспечения единства измерений, правилами функционирования систем добровольной сертификации ПО СИ, отраслевыми документами и документами предприятий-изготовителей и разработчиков СИ.

5 Проверка идентификации и защиты программного обеспечения средств измерений

Проверка идентификации и защиты ПО СИ проводится по согласованной с заявителем (разработчиком, изготовителем) программе испытаний, которая включает в себя:

- проверку технической документации в части, относящейся к ПО СИ;

- проверку идентификации ПО;

- проверку защиты ПО от непреднамеренных и преднамеренных изменений.

По результатам проверки идентификации и защиты ПО СИ устанавливается соответствие уровня защиты ПО уровню, декларированному разработчиком или заявителем испытаний СИ. Уровень защиты, подтвержденный в результате его проверки, документируется в описании типа СИ.

Организация, проводящая испытания СИ, оформляет протокол испытаний СИ в части проверки защиты ПО СИ, рекомендуемая форма которого приведена в приложении А.

5.1 Проверка документации

5.1.1 Целью проверки документации является оценка полноты описания ПО, существенного для утверждения типа СИ, и подтверждения (установления) уровня защиты ПО.

5.1.2 В документации на ПО СИ должны быть указаны программные функции, структура данных и описаны интерфейсы, связанные с метрологически значимой частью ПО. Скрытые недокументированные функции ПО должны отсутствовать.

Заявитель испытаний должен подтвердить полноту документирования команд (пункт 6.1 международного документа [1]) и отсутствие скрытых недокументированных функций.

Данная информация может быть указана и оформлена в виде декларации, форма которой приведена в приложении Б.

5.1.3 В документации на ПО СИ следует представить информацию, которая должна содержать сведения из приведенного ниже перечня в той части, которая применима к данному СИ:

- обозначение ПО, включающее в себя его наименование, обозначение его версии и/или версий его модулей;

- описание назначения ПО, его структуры и выполняемых функций;

- описание метрологически значимой части ПО;

- описание методов генерации идентификации ПО;

- описание способов визуализации идентификации ПО и инструкция о представлении идентификации (если это предусмотрено документацией);

- список (перечень) защищаемых параметров и описание средств их защиты и несанкционированного доступа к ним (если это предусмотрено документацией);

- описание интерфейсов пользователя, меню и диалогов;

- описание интерфейсов связи ПО для передачи, обработки и хранения данных (в т.ч. посредством открытых или закрытых сетей связи);

- описание реализованных методов защиты ПО и результатов измерений;

- описание способов хранения результатов измерений на встроенном, удаленном или съемном носителях;

- описание требуемых для работы СИ системных и аппаратных средств.

Кроме того, в документации на ПО СИ следует декларировать уровень защиты ПО в соответствии с 4.5.

5.1.4 Указанная в 5.1.3 информация может быть представлена в виде программных документов (например, описания программы, пояснительной записки, описания применения, руководства системного программиста, руководства оператора и т.д.) или иной программной документации, имеющейся у заявителя, при этом при ее составлении можно руководствоваться рекомендациями единой системы программной документации (ЕСПД) и т.п.

5.1.5 Графическая и текстовая информация в технической документации должна быть представлена таким образом, чтобы она была пригодна для полного и однозначного понимания.

5.1.6 В случаях, когда в процессе испытаний возникает в этом необходимость, разработчиком или заявителем испытаний СИ в технической документации или отдельно могут быть дополнительно представлены исходные тексты программ или их фрагменты. При этом может быть заключен договор о соблюдении конфиденциальности.

5.2 Проверка идентификации ПО

Идентификационные данные ПО, присвоенные разработчиком (изготовителем) СИ, проверяются организацией, проводящей испытания СИ, путем анализа документации и функциональными (экспериментальными) проверками на образцах СИ, представленных для тестирования.

5.2.1 Анализ документации

5.2.1.1 К идентификационным данным (признакам) ПО, которые могут быть представлены в документации и зафиксированы в описании типа СИ, относятся следующие данные (их содержание и вид записи может зависеть от типа СИ):

- идентификационное наименование программного обеспечения;

- номер версии (идентификационный номер) программного обеспечения;

- цифровой идентификатор программного обеспечения (контрольные суммы исполняемого кода метрологически значимых частей ПО, рассчитанные по алгоритмам CRC32, md5, SHA1 и т.п. или специально разработанным алгоритмам с указанием способа их вычисления).

В особых случаях к идентификационным данным (признакам) ПО можно отнести также наименования ПО, имя разработчика, серийный номер СИ, номер свидетельства или сертификата соответствия и т.д., если эти данные непосредственно связаны с ПО (например, для СИ, как указано в 4.3).

Идентификационные данные (признаки) должны иметь структуру, однозначно связанную с метрологически значимой частью программного обеспечения.

Допускается представление номера версии ПО в форме записи "номер версии не ниже ..." или замены некоторых элементов в его обозначении, отвечающих за метрологически незначимую часть, специальными символами (например, "X" или "-").

Например, версия программного обеспечения "Система фотограмметрическая однокамерная СФО" v.3.5.7.2 может быть представлена в виде v.3.5.x.x, при этом только часть версии ПО "v.3.5" отвечает за метрологически значимую часть, а запись "версия ПО не ниже v.3.5.7.2" может означать, что допускаются версии v.3.5.7.2, v.3.5.7.3, v.3.5.8.1 и т.д.

5.2.1.2 Изменения в ПО СИ требуют информирования изготовителем (разработчиком или заявителем) об этом организации, проводящей испытания СИ, которая должна принять решение о новой идентификации ПО с соответствующим внесением изменений в описание типа СИ, или о новых испытаниях данного СИ с обновленным ПО в случаях, когда обновленное ПО может влиять на метрологические характеристики СИ, а также на установленные при утверждении типа операции поверки СИ.

Информирование осуществляется письмом в организацию, проводящую испытания СИ, в котором описывается характер изменения метрологически значимой части ПО и содержится просьба, если это необходимо, о внесении изменений в описание типа, в соответствии с пунктом 5.1 приказа [5].

5.2.2 Функциональные проверки

5.2.2.1 Идентификация ПО СИ, проводимая пользователем (испытателем), может быть либо осуществлена по его команде, либо выполнена в процессе штатного функционирования СИ.

Если у СИ отсутствуют средства индикации, идентификационные данные могут направляться через интерфейс связи и отображаться (печататься) на другом электронном устройстве.

Для СИ, устройство которых обеспечивает полное ограничение доступа к программному обеспечению (см. 4.3), данная проверка не проводится.

5.2.2.2 При проведении функциональных проверок осуществляется:

- проверка способов идентификации, заявленных в технической документации на ПО;

- проверка реализованных способов идентификации ПО;

- проверка независимости идентификационных данных (признаков) от способов идентификации.

Примечание - Если в документации на ПО изложены два альтернативных способа получения одного и того же цифрового идентификатора ПО, то цифровые идентификаторы, полученные такими способами, должны быть идентичны;

- проверка достаточности идентификационных данных (признаков).

Убеждаются, что среди заявленных идентификационных данных (признаков) ПО имеются такие, которые однозначно идентифицируют ПО, т.е. меняют свое значение при модификации метрологической части ПО.

Например, ПО хроматографа имеет следующие идентификационные признаки: идентификационное наименование ПО: "testlab", номер версии ПО: 1.2.4 и цифровой идентификатор ПО: 29657126aeb388d757e501b19ebe58e5. Путем внесения изменений в метрологически значимую часть ПО убеждаются, что они никак не повлияли на наименование и номер версии ПО, но при этом цифровой идентификатор ПО изменил свое значение. Таким образом, для однозначной идентификации ПО достаточно только цифрового идентификатора, а остальные идентификационные признаки можно считать избыточными.

5.2.2.3 В результате функциональной проверки идентификации ПО должны быть установлены:

- правильность идентификации ПО, описанной в документации;

- соответствие методов идентификации методам, заявленным в документации.

5.3 Проверка защиты ПО от непреднамеренных и преднамеренных изменений

Проверка уровня защиты выполняется организацией, проводящей испытания СИ, путем анализа документации и функциональных (экспериментальных) проверок на образцах СИ, представленных для тестирования.

5.3.1 Анализ документации

5.3.1.1 Уровень защиты ПО декларируется заявителем/изготовителем и указывается в декларации, форма которой приведена в приложении Б.

5.3.1.2 При декларировании уровня защиты (низкий, средний, высокий) Заявитель самостоятельно формирует доказательные материалы, подтверждающие декларируемый уровень. В качестве доказательных материалов могут использоваться техническая документация, результаты испытаний ПО и/или другие документы, необходимые для обоснования выбранного уровня защиты.

5.3.2 Функциональные проверки

5.3.2.1 Путем проверки интерфейсов пользователя следует убедиться в правильности вводимых команд, и отображения соответствующих режимов и установок СИ, связанных с отображением результатов измерений или воспроизведением метрологических характеристик СИ.

5.3.2.2 Следует убедиться в том, что интерфейс связи пропускает только те команды и/или данные, которые отражены в документации на ПО.

5.3.2.3 При проведении функциональных проверок защиты ПО и измерительной информации от случайных или непреднамеренных изменений необходимо проверить:

- наличие средств защиты ПО и измерительной информации от изменения или удаления в случае возникновения случайных воздействий (например, отключение питания и скачки напряжения);

- наличие средств, информирующих об изменении или удалении метрологически значимых файлов ПО и измерительной информации;

- наличие и правильность функционирования журналов регистрации ошибок (если это предусмотрено документацией на СИ);

- наличие мер от несанкционированного входа в калибровочный режим, позволяющих изменять значения калибровочных констант в памяти СИ.

5.3.2.4 При проведении функциональных проверок защиты ПО и измерительной информации от преднамеренных изменений необходимо проверить:

- наличие средств защиты, исключающих возможность несанкционированных модификации, загрузки, считывания из памяти, удаления или иных преднамеренных изменений метрологически значимой части ПО и измерительной информации;

- наличие и реализацию мер по обеспечению целостности ПО, распространяющихся на метрологически значимую часть ПО и измеренные данные.

В соответствии с документацией на ПО проверяют наличие и правильность функционирования заявленных мер по обеспечению целостности ПО путем внесения изменений в метрологически значимую часть ПО, его структуру и измерительную информацию;

- наличие процедуры проверки (например, автоматического тестирования при включении/запуске СИ) целостности ПО и отсутствия ошибок;

- соответствие алгоритма, используемого для расчета контрольных сумм, и количества разрядов контрольных сумм описанию в документации в случаях, если предусмотрен расчет контрольных сумм ПО;

- правильность функционирования средств обнаружения и фиксации событий;

- соответствие полномочий (способов доступа) пользователей, имеющих различные права доступа к ПО и измеренным данным, заявленным в технической документации на ПО СИ;

- корректность и правильность реализации управления доступом пользователя к функциям ПО и измеренным данным.

6 Подтверждение соответствия программного обеспечения средств измерений при поверке

6.1 Идентификация ПО каждого экземпляра СИ, используемого в сфере государственного регулирования в области обеспечения единства измерений, должна соответствовать той, что указана в описании типа СИ. При положительных результатах идентификационные признаки ПО СИ вносят в свидетельство о поверке.

6.2 Подтверждение идентификации ПО утвержденному типу СИ проводят по методике, которая должна входить отдельным пунктом в раздел "Опробование" методики поверки СИ, апробированной в процессе испытаний СИ в целях утверждения типа. Методика проверки идентификации ПО должна соответствовать процедуре, описанной в технической документации на СИ, и подтвержденной в процессе испытаний СИ в целях утверждения типа СИ.

Библиография

[1]	OIML D 31:2008 (Е)	General requirements for software controlled measuring instruments (Общие требования к программно контролируемым средствам измерений)
[2]	WELMEC 7.2, Issue 5	Software Guide (Measuring Instruments Directive 2004/22/EC), March 2012 (Руководство пo программному обеспечению (Директива по измерительным приборам 2004/22/ЕС), март 2012)
[3]	Порядок проведения испытаний стандартных образцов или средств измерений в целях утверждения типа (утвержден приказом Министерства промышленности и торговли Российской Федерации от 30 ноября 2009 г. N 1081)
[4]	Порядок выдачи свидетельств об утверждении типа стандартных образцов или типа средств измерений, установления и изменения срока действия указанных свидетельств и интервала между поверками средств измерений (утвержден приказом Министерства промышленности и торговли Российской Федерации от 30 ноября 2009 г. N 1081)
[5]	Приказ Министерства промышленности и торговли Российской Федерации (Минпромторг России) от 30 сентября 2011 г. N 1326 "О внесении изменений в Порядок утверждения типа стандартных образцов или типа средств измерений, Порядок выдачи свидетельств об утверждении типа стандартных образцов или типа средств измерений, установления и изменения срока действия указанных свидетельств и интервала между поверками средств измерений, утвержденные приказом Минпромторга России от 30 ноября 2009 г. N 1081"