1 РАЗРАБОТАН Федеральным государственным бюджетным учреждением "Российский институт стандартизации" (ФГБУ "Институт стандартизации"), Акционерным обществом "Научно-производственное объединение "Критические информационные системы" (АО "НПО "КИС") и рабочей группой "Программное обеспечение для доверенных программно-аппаратных комплексов" ТК 167 "Программно-аппаратные комплексы для критической информационной инфраструктуры и программное обеспечение для них"

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 167 "Программно-аппаратные комплексы для критической информационной инфраструктуры и программное обеспечение для них"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 24 июня 2025 г. N 20-пнст

Настоящий стандарт устанавливает общие положения в области программного обеспечения (ПО), предназначенного для применения в доверенных программно-аппаратных комплексах (ДПАК) и обеспечивающего соответствие ДПАК требованиям технологической независимости критической информационной инфраструктуры (КИИ), функциональности, надежности и защищенности.

В настоящем стандарте использованы нормативные ссылки на следующие стандарты:

ГОСТ 19.101 Единая система программной документации. Виды программ и программных документов

ГОСТ IEC 61508-3 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 3. Требования к программному обеспечению

ГОСТ Р 51904 Программное обеспечение встроенных систем. Общие требования к разработке и документированию

ГОСТ Р 54145 Менеджмент рисков. Руководство по применению организационных мер безопасности и оценки рисков. Общая методология

ГОСТ Р 56939 Защита информации. Разработка безопасного программного обеспечения. Общие требования

ГОСТ Р 58412 Защита информации. Разработка безопасного программного обеспечения. Угрозы безопасности информации при разработке программного обеспечения

ГОСТ Р 58771 Менеджмент риска. Технологии оценки риска

ГОСТ Р 59193 Управление конфигурацией. Основные положения

ГОСТ Р 59194 Управление требованиями. Основные положения

ГОСТ Р ИСО 31000 Менеджмент риска. Принципы и руководство

ГОСТ Р ИСО/МЭК 12207 Информационная технология. Системная и программная инженерия. Процессы жизненного цикла программных средств

ГОСТ Р ИСО/МЭК 15026 Информационная технология. Уровни целостности систем и программных средств

ГОСТ Р ИСО/МЭК 15026-4 Системная и программная инженерия. Гарантирование систем и программного обеспечения. Часть 4. Гарантии жизненного цикла

ГОСТ Р ИСО/МЭК 16085 Менеджмент риска. Применение в процессах жизненного цикла систем и программного обеспечения

ГОСТ Р ИСО/МЭК 25010 Информационные технологии. Системная и программная инженерия. Требования и оценка качества систем и программного обеспечения (SQuaRE). Модели качества систем и программных продуктов

ГОСТ Р ИСО/МЭК 27001 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования

ГОСТ Р ИСО/МЭК 27002 Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности

ГОСТ Р ИСО/МЭК 27005 Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности

ГОСТ Р ИСО/МЭК ТО 12182 Информационная технология. Классификация программных средств

ГОСТ Р МЭК 62628 Надежность в технике. Руководство по обеспечению надежности программного обеспечения

Примечание - При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю "Национальные стандарты", который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя "Национальные стандарты" за текущий год. Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого стандарта с учетом всех внесенных в данную версию изменений. Если заменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия). Если после утверждения настоящего стандарта в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку.

В настоящем стандарте применены следующие термины с соответствующими определениями:

3.1 программное обеспечение доверенного программно-аппаратного комплекса; ПО ДПАК: Совокупность программ и документации, необходимых для эксплуатации и обеспечивающих функционирование доверенного программно-аппаратного комплекса.

Примечание - ПО ДПАК подразделяют на встроенное, системное, прикладное, специальное.

3.2 встроенное программное обеспечение для доверенного программно-аппаратного комплекса; встроенное ПО ДПАК: Программное обеспечение, входящее в состав доверенного программно-аппаратного комплекса, обеспечивающее функционирование его элементов электронной компонентной базы и не являющееся средой исполнения других типов программного обеспечения.

3.3 системное программное обеспечение для доверенного программно-аппаратного комплекса; системное ПО ДПАК: Программное обеспечение, реализующее функции управления доверенным программно-аппаратным комплексом в целом и его отдельными элементами, а также обеспечивающее функционирование прикладного и (или) специального программного обеспечения.

3.4 прикладное программное обеспечение для доверенного программно-аппаратного комплекса; прикладное ПО ДПАК: Программное обеспечение, с помощью которого в доверенном программно-аппаратном комплексе выполняются прикладные задачи.

3.5 специальное программное обеспечение для доверенного программно-аппаратного комплекса; специальное ПО ДПАК: Программное обеспечение, разработанное для применения в конкретном доверенном программно-аппаратном комплексе или в системах на их основе для выполнения заданных функций, в том числе без применения системного программного обеспечения.

Примечание - Примером специального программного обеспечения является программное обеспечение для конкретных отраслей промышленности.

3.6 репозиторий программного обеспечения для доверенного программно-аппаратного комплекса; репозиторий ПО ДПАК: Инфраструктура разработки программного обеспечения для доверенного программно-аппаратного комплекса с возможностью сборки, поддержки, хранения и верификации исходного кода, программных пакетов и библиотек, находящаяся на территории Российской Федерации, технологически не зависящая от зарубежных пакетных репозиториев и созданных на их основе дистрибутивов.

3.7

3.8

3.9

3.10

3.11

4.1 ПО ДПАК должны соответствовать требованиям настоящего стандарта, [1], стандартов и/или технических условий (ТУ) на ПО ДПАК конкретного типа.

4.2 Классификация ПО ДПАК - по ГОСТ Р ИСО/МЭК ТО 12182. Пример классификации приведен в [2].

4.3 Общие требования к ПО ДПАК:

- прикладное ПО ДПАК, функционирующее под управлением операционной системы, должно быть совместимым с одной операционной системой и/или более, сведения о которой(ых) включены в Единый реестр российских программ для электронных вычислительных машин и баз данных и/или Единый реестр программ для электронных вычислительных машин и баз данных из государств - членов Евразийского экономического союза (см. [3]);

- ПО ДПАК должно быть совместимым с радиоэлектронной продукцией (в том числе телекоммуникационным оборудованием и техническими средствами), соответствующей требованиям [4];

- ПО ДПАК, используемого в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений, должно соответствовать требованиям защиты информации, установленным в [5];

- ПО ДПАК должно быть совместимым с одним российским процессором/контроллером или более, ЖЦ которого(ых) обеспечивают организации, находящиеся в юрисдикции и на территории Российской Федерации и не находящиеся под контролем иностранного государства и/или международной организации;

- программные и технические средства хранения исходного текста и объектного кода ПО ДПАК должны находиться на территории и в юрисдикции Российской Федерации, соответствовать требованиям настоящего стандарта, стандартов и/или ТУ на ДПАК конкретного типа;

- сборочная среда ПО ДПАК, включая программные и технические средства компиляции и сборки, должна быть размещена на территории и в юрисдикции Российской Федерации и соответствовать требованиям ГОСТ Р 56939, настоящего стандарта, стандартов и/или ТУ на ДПАК конкретного типа;

- программные средства обеспечения хранения исходного кода должны быть включены в Единый реестр программ для электронных вычислительных машин и баз данных из государств - членов Евразийского экономического союза (см. [3]);

- должен быть обеспечен технический контроль целостности и доступности технических средств хранения исходных текстов и объектного кода ПО, а также целостности и доступности сборочной среды ПО ДПАК;

- функционирование технических средств, обеспечивающих автоматизированный способ активации, выпуска, распространения, управления лицензионными ключами ПО ДПАК не должно зависеть от ПО, находящегося вне территории и в юрисдикции Российской Федерации, не должно контролироваться зарубежными организациями или не гражданами Российской Федерации, или гражданами Российской Федерации, аффилированными с зарубежными организациями;

- в ПО ДПАК должна отсутствовать техническая возможность несанкционированного управления, обновления, мониторинга средствами, расположенными за пределами территории и в юрисдикции Российской Федерации; иностранными физическими и юридическими лицами или при реализации в ПО ДПАК функционала принудительного обновления/управления/мониторинга должна обеспечиваться возможность идентификации/авторизации и отключения пользователем ДПАК источника удаленного принудительного обновления, управления и мониторинга;

- ПО ДПАК должно быть разработано на принципах технологического лидерства и в соответствии с требованиями к содержанию и порядку выполнения работ, связанных с созданием безопасного (защищенного) ПО, по ГОСТ Р 56939 и в зависимости от назначения ДПАК с учетом требований [6] - [10];

- интерфейсы управления ПО ДПАК (при наличии) должны обеспечивать механизмы, ограничивающие возможность осуществления как преднамеренных, так и непреднамеренных попыток нанесения ущерба, нарушения функционирования ПО ДПАК и аппаратного обеспечения;

- при наличии программных механизмов контроля и разграничения доступа к управлению компонентами ДПАК их следует рассматривать как функции защиты информации;

- должна осуществляться регистрация событий, действий и операций по управлению и настройке оборудования, изменению параметров его работы, параметров и настроек ПО ДПАК (при наличии); регистрация событий должна осуществляться с возможностью сохранения на внешних носителях или передачи на централизованные сборщики регистрируемых событий;

- должны быть предусмотрены механизмы обновления ПО в составе ДПАК, обеспечивающие его резервирование и/или возможность восстановления из аварийной/резервной копии;

- интерфейсы взаимодействия с ПО в составе ДПАК должны предусматривать возможность чтения, изменения, сброса и восстановления настроек ПО (при наличии).

4.4 Соответствие ПО ДПАК требованиям настоящего стандарта должно быть подтверждено наличием у разработчика:

- среды разработки ПО ДПАК, находящейся на территории и в юрисдикции Российской Федерации и соответствующей требованиям ГОСТ Р 56939;

- собственного или арендованного репозитория исходного кода, программных пакетов и библиотек, разработанного в соответствии с [11] и находящегося на территории и в юрисдикции Российской Федерации, контролируемого российскими организациями или гражданами Российской Федерации, не аффилированными с зарубежными организациями, а также инструментальных средств обеспечения целостности этого репозитория;

- необходимой программной, эксплуатационной и конструкторской документации на ПО ДПАК, в объеме, достаточном для его эксплуатации и сопровождения;

- инструментальных средств для подготовки и последующего проведения испытаний ПО ДПАК;

- прав на использование или возможности публичного использования исходного кода ПО ДПАК, дающего право на модификацию и распространение ПО ДПАК в составе ДПАК, в том числе в исполняемом виде;

- возможности обеспечения соответствия процессов разработки ПО ДПАК требованиями ГОСТ Р 56939, ГОСТ Р 58412 и ГОСТ Р ИСО/МЭК 12207.

4.5 Соответствие ПО ДПАК требованиям настоящего стандарта обеспечивают участники процессов ЖЦ по ГОСТ Р ИСО/МЭК 12207, осуществляемых на территории и в юрисдикции Российской Федерации на основе рационального (необходимого и достаточного) сочетания:

- анализа достоверной и полной информации о процессах ЖЦ (контролем ЖЦ);

- результатов проведенных испытаний, проверок, тестирования (при недостатке достоверной информации о процессах ЖЦ).

Управление требованиями и их контроль на стадиях ЖЦ ПО ДПАК - по ГОСТ Р 59194. Управление конфигурацией и ее контроль на стадиях ЖЦ ПО ДПАК - по ГОСТ Р 59193.

При этом контроль на стадиях ЖЦ ПО ДПАК осуществляют организации, находящиеся на территории и в юрисдикции Российской Федерации, в том числе осуществляя проверку независимости ПО ДПАК от зарубежных репозиториев и дистрибутивов.

При проведении оценок качества ПО ДПАК на стадиях ЖЦ рекомендуется применять риск-ориентированный подход и руководствоваться требованиями ГОСТ IEC 61508-3, ГОСТ Р ИСО/МЭК 15026, ГОСТ Р ИСО/МЭК 15026-4, ГОСТ Р ИСО/МЭК 16085, ГОСТ Р ИСО/МЭК 27001, ГОСТ Р ИСО/МЭК 27002, ГОСТ Р ИСО/МЭК 27005, ГОСТ Р ИСО 31000, ГОСТ Р 51904, ГОСТ Р 54145, ГОСТ Р 58771.

Виды документов на ПО ДПАК на стадиях ЖЦ - по ГОСТ 19.101.

На стадиях ЖЦ ПО ДПАК следует применять актуальные методы, обеспечивающие реализацию технических требований, качество, удобство, применимость к использованию существующих программных и технических средств.

4.6 ПО ДПАК должно соответствовать требованиям, предъявляемым к его качеству, по ГОСТ Р ИСО/МЭК 25010, на основе которого реализуется уверенность потребителя (заказчика) в возможности использования ДПАК на объектах КИИ в соответствии с его предназначением на всех этапах ЖЦ и в заданных условиях.

4.7 Для ПО ДПАК, реализующего функцию защиты информации, должны выполняться требования нормативных правовых актов и национальных стандартов в области защиты информации.

4.8 Общие требования к надежности и процессам обеспечения надежности ПО ДПАК соответствующего назначения - по ГОСТ Р МЭК 62628.