Цели и принципы стандартизации в Российской Федерации установлены Федеральным законом от 27 декабря 2002 г. N 184-ФЗ "О техническом регулировании", а правила применения национальных стандартов Российской Федерации - ГОСТ Р 1.0-2004 "Стандартизация в Российской Федерации. Основные положения".

1. Разработаны Федеральным государственным унитарным предприятием "Всероссийский научно-исследовательский институт метрологической службы" (ФГУП "ВНИИМС").

2. Внесены Управлением метрологии Федерального агентства по техническому регулированию и метрологии.

3. Утверждены и введены в действие Приказом Федерального агентства по техническому регулированию и метрологии от 3 мая 2011 г. N 62-ст.

4. Введены впервые.

Информация об изменениях к настоящим рекомендациям публикуется в ежегодно издаваемом указателе "Руководящие документы, рекомендации и правила", а текст изменений и поправок - в ежемесячно издаваемых информационных указателях "Национальные стандарты". В случае пересмотра (замены) или отмены настоящих рекомендаций соответствующее уведомление будет опубликовано в ежемесячно издаваемом информационном указателе "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет.

Настоящие рекомендации разработаны в соответствии со статьей 9 Федерального закона Российской Федерации от 26 июня 2008 г. N 102-ФЗ "Об обеспечении единства измерений" с целью обеспечить защиту программного обеспечения средств измерений от несанкционированных настройки и вмешательства, которые могут привести к искажениям результатов измерений.

Настоящие рекомендации детализируют процедуры, установленные в Порядке проведения испытаний стандартных образцов или средств измерений в целях утверждения типа и Порядке выдачи свидетельств об утверждении типа стандартных образцов или типа средств измерений, установления и изменения срока действия указанных свидетельств и интервала между поверками средств измерений, утвержденных Приказом Минпромторга России от 30 ноября 2009 г. N 1081, и определяют последовательность действий при проведении испытаний средств измерений в целях утверждения типа в части проверки обеспечения защиты программного обеспечения средств измерений от несанкционированных настройки и вмешательства.

Настоящие рекомендации определяют последовательность действий при проведении испытаний средств измерений (далее - СИ) в целях утверждения типа в части проверки обеспечения защиты программного обеспечения средств измерений (далее - ПО СИ) от несанкционированных настройки и вмешательства.

Настоящие рекомендации детализируют процедуры, установленные в порядках [1] и [2].

В настоящих рекомендациях использованы нормативные ссылки на следующий стандарт:

ГОСТ Р 8.654-2009 Государственная система обеспечения единства измерений. Требования к программному обеспечению средств измерений. Основные положения

Примечание - При пользовании настоящими рекомендациями целесообразно проверить действие ссылочного стандарта в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодно издаваемому информационному указателю "Национальные стандарты", который опубликован по состоянию на 1 января текущего года, и по соответствующим ежемесячно издаваемым информационным указателям, опубликованным в текущем году. Если ссылочный стандарт заменен (изменен), то при пользовании настоящими рекомендациями следует руководствоваться заменяющим (измененным) стандартом. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, применяется в части, не затрагивающей эту ссылку.

В настоящих рекомендациях применены термины по ГОСТ Р 8.654, а также следующий термин с соответствующим определением:

проверка программного обеспечения: исследование программного обеспечения в целях подтверждения идентификационных данных (признаков) и оценки его защищенности в соответствии с требованиями законодательства в области обеспечения единства измерений.

4.1. В процессе проведения испытаний СИ в целях утверждения типа осуществляют проверку обеспечения защиты ПО СИ и оценку уровня защиты измерительной информации от непреднамеренных и преднамеренных изменений, проверку идентификационных данных ПО СИ, а также, при необходимости, оценку влияния ПО на метрологические характеристики СИ.

4.2. Результатом проверки обеспечения защиты ПО каждого экземпляра СИ является подтверждение подлинности и целостности ПО, установленного в СИ, и обеспеченности защиты ПО от несанкционированного доступа (подтверждение соответствия ПО СИ).

4.3. Подтверждение соответствия ПО СИ проводят при поверке СИ.

4.4. Проверку обеспечения защиты ПО СИ проводят юридические лица, аккредитованные на проведение испытаний СИ в целях утверждения типа (далее - аккредитованные организации) и имеющие в своем штате специалистов (экспертов), прошедших обучение по методам проверки обеспечения защиты ПО СИ, организованное федеральным органом исполнительной власти, осуществляющим функции по оказанию государственных услуг в области обеспечения единства измерений и принимающим решение об утверждении типа СИ.

4.5. При проведении проверки обеспечения защиты ПО СИ могут быть использованы результаты аттестации ПО СИ в соответствии с ГОСТ Р 8.654 и рекомендациями [3].

5.1. Проверка обеспечения защиты ПО СИ включает в себя следующие действия:

- проверку технической документации на СИ в части ПО СИ;

- проверку идентификационных данных ПО;

- оценку уровня защиты ПО и результатов измерений от непреднамеренных и преднамеренных изменений;

- проведение экспериментальных исследований влияния ПО на метрологические характеристики СИ (при необходимости).

5.2. Для проверки обеспечения защиты ПО СИ заявитель вместе с заявкой на проведение испытаний СИ в целях утверждения типа представляет в аккредитованную организацию образцы ПО, установленные на СИ, подлежащие проверке, и техническую документацию на СИ в части ПО СИ. В технической документации на СИ в части ПО СИ должна быть отражена следующая информация:

- обозначение ПО, включающее в себя его наименование, обозначение его версии и/или версий его модулей;

- описание назначения ПО, его структуры и выполняемых функций;

- описание методов и способов идентификации ПО, а также его метрологически значимых частей;

- описание реализованных в ПО расчетных алгоритмов;

- описание интерфейсов пользователя, всех меню и диалогов;

- описание интерфейсов связи ПО для передачи, обработки и хранения данных (в том числе посредством открытых или закрытых сетей связи);

- описание реализованных методов защиты ПО и результатов измерений;

- описание способов хранения результатов измерений на встроенном, удаленном или съемном носителе;

- описание требуемых системных и аппаратных средств.

В отдельных случаях, при необходимости, при проведении проверки обеспечения защиты ПО СИ техническую документацию рекомендуется дополнять текстами программ или их фрагментами. При этом может быть заключен договор о соблюдении конфиденциальности.

5.3. Проверку идентификационных данных, оценку уровня защиты ПО СИ, а также экспериментальные исследования влияния ПО на метрологические характеристики СИ проводят по методике испытаний, согласованной с заявителем, в соответствии с требованиями ГОСТ Р 8.654 и рекомендаций [4], включенной отдельным разделом в программу испытаний средств измерений в целях утверждения типа.

5.4. По результатам проверки обеспечения защиты ПО СИ аккредитованная организация оформляет протокол испытаний СИ в части обеспечения защиты ПО СИ. Форма протокола испытаний приведена в Приложении А.

Протокол испытаний оформляют на бланке организации, проводящей испытания. На каждой странице указывают ее номер и число страниц в протоколе. Каждую страницу протокола подписывает специалист (эксперт), прошедший обучение по методам проверки обеспечения защиты ПО СИ.

6.1. Подтверждение соответствия ПО СИ проводят по методике, входящей отдельным разделом в методику поверки СИ и апробированной в процессе испытаний в целях утверждения типа СИ.

6.2. Методика подтверждения соответствия ПО СИ содержит методы проверки соответствия ПО СИ тому ПО СИ, которое было зафиксировано (внесено в банк данных) при испытаниях в целях утверждения типа СИ, и обеспечения защиты ПО от несанкционированного доступа во избежание искажений результатов измерений.

6.3. Процедуре подтверждения соответствия ПО СИ подвергают каждый экземпляр СИ с ПО, подлежащий поверке.

6.4. При положительных результатах подтверждения соответствия ПО СИ на СИ устанавливают, при необходимости, пломбы, обеспечивающие исключение несанкционированного доступа к ПО.

Примечание - Метод испытаний должен соответствовать рекомендациям [4].

5. Результаты испытаний

5.1. Цель испытаний

Определение идентификационных данных программного обеспечения (далее - ПО), уровня защиты ПО от непреднамеренных и преднамеренных изменений, оценка влияния ПО на метрологические характеристики СИ (при необходимости), апробирование методики подтверждения соответствия ПО СИ при поверке.

5.2. Проверка документации на СИ в части ПО

Указывают результаты проверки: достаточности и полноты технической документации на СИ в части ПО для определения идентификационных данных ПО, структуры ПО, выделения метрологически значимой части ПО и уровня защиты ПО от непреднамеренных и преднамеренных изменений.

5.3. Проверка структуры ПО

Приводят данные: проверки отсутствия недопустимого влияния на метрологически значимую часть ПО и результаты измерений, сказываемого через интерфейс пользователя, интерфейсы связи, проверки правильности взаимодействия между метрологически значимой и незначимой частями ПО.

5.4. Проверка идентификационных данных ПО СИ

Приводят данные: проверки реализованных способов идентификации ПО, проверки способов идентификации, заявленных в технической документации на ПО, проверки независимости идентификационных признаков от способов идентификации, проверки наличия и достаточности идентификационных данных.

По результатам проверок идентификационные данные указывают в виде следующей таблицы:

5.5. Проверка уровня защиты ПО от непреднамеренных и преднамеренных изменений

5.5.1. Проверка обеспечения защиты метрологически значимой части ПО и результатов измерений от непреднамеренных изменений ПО.

Приводят результаты проверки: наличия и правильности функционирования средств защиты метрологически значимой части ПО и результатов измерений от изменения или удаления указанной части ПО в случае возникновения непреднамеренных физических воздействий, наличия средств, информирующих пользователя ПО об изменении или удалении метрологически значимой части ПО и результатов измерений, наличия и правильности функционирования журналов фиксации ошибок и изменений ошибок случайного или непреднамеренного характера.

5.5.2. Проверка обеспечения защиты значимой части ПО и результатов измерений от преднамеренных изменений ПО

Приводят результаты проверки: наличия специальных средств защиты, исключающих возможность несанкционированной модификации, загрузки, считывания из памяти СИ, удаления или иных преднамеренных изменений метрологически значимой части ПО и результатов измерений, проверки сферы распространения действия средств проверки целостности ПО на метрологически значимую часть ПО и результаты измерений, проверки соответствия алгоритма проверки целостности ПО достаточному уровню защиты от преднамеренных изменений, проверки набора событий, подлежащих обнаружению и фиксации в журнале событий, проверки правильности функционирования средств обнаружения и фиксации событий и их соответствия достаточному уровню защиты метрологически значимой части ПО и результатов измерений.

5.6. Оценка влияния ПО на метрологические характеристики СИ (при необходимости)

Проводят в соответствии с рекомендациями [4].

5.7. Апробирование методики подтверждения соответствия ПО СИ при поверке

Приводят результаты проверки: наличия отдельного раздела в методике поверки СИ, определения достаточности идентификационных данных при апробировании методики подтверждения соответствия ПО СИ при поверке.

[1] Порядок проведения испытаний стандартных образцов или средств измерений в целях утверждения типа (утвержден Приказом Министерства промышленности и торговли РФ от 30 ноября 2009 г. N 1081)

[2] Порядок выдачи свидетельств об утверждении типа стандартных образцов или типа средств измерений, установления и изменения срока действия указанных свидетельств и интервала между поверками средств измерений (утвержден Приказом Министерства промышленности и торговли РФ от 30 ноября 2009 г. N 1081)

[3] Рекомендации по метрологии МИ 2955-2010. Государственная система обеспечения единства измерений. Типовая методика аттестации программного обеспечения средств измерений

[4] Рекомендации по метрологии МИ 3286-2010. Государственная система обеспечения единства измерений. Проверка защиты программного обеспечения и определение ее уровня при испытаниях средств измерений в целях утверждения типа