АГК 5 Опубликовано 9 Июня 2011 Жалоба Поделиться Опубликовано 9 Июня 2011 Коллеги, кто может дать понятное разъяснение по классификации уровней защиты ПО по МИ 3286. От ВНИИМС, разработчика МИ, ответа, по непонятным причинам, пока не получить. Суть вопроса: - МИ 3286 табл. 2, приведены 3 уровня защиты ПО : А, В. и С - WELMEC 7.2, приведны 3 уровня защиты ПО: низкий, средний и высокий. Если низкий уровень по 7.2 однозначно понимается как отсутствие защиты, то уровень А по МИ "не требуется специальных мер..." не ясен. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Специалисты Маслов В.А. 100 Опубликовано 9 Июня 2011 Специалисты Жалоба Поделиться Опубликовано 9 Июня 2011 Коллеги, кто может дать понятное разъяснение по классификации уровней защиты ПО по МИ 3286. От ВНИИМС, разработчика МИ, ответа, по непонятным причинам, пока не получить. Суть вопроса: - МИ 3286 табл. 2, приведены 3 уровня защиты ПО : А, В. и С - WELMEC 7.2, приведны 3 уровня защиты ПО: низкий, средний и высокий. Если низкий уровень по 7.2 однозначно понимается как отсутствие защиты, то уровень А по МИ "не требуется специальных мер..." не ясен. Во-первых эти два документа отличаются подходами к определению уровней защиты ПО. WELMEC 7.2 исходит из необходимости в каждом конкретном случае сначала определиться с жесткостью испытаний в зависимости от критичности соответствующего ПО и только потом определять необходимый уровень защиты. МИ 3286 не разграничивает жесткости испытаний в зависимости от критичности ПО (для любого ПО одинаково жесткие испытания) и затем исходя из результатов испытаний определяется уровень защиты. Во-вторых об уровнях защиты. С моей точки зрения уровни "низкий" и "А" - эквивалентны, т.е. не требуется применение специальных средств защиты ПО. Как пример, можно рассмотреть встроенное ПО СИ, записанное в однократно программируемое ПЗУ микроконтроллера. Это ПО невозможно изменить без физической замены микроконтроллера, для чего требуется вскрытие корпуса СИ. Уровни "средний" и "В" не совсем эквивалентны. Уровень "средний" означает защиту от простейших средств изменений ПО типа редакторов. Уровень "В" означает недостаточность примененных средств защиты от преднамеренных изменений ПО без указания на тип средств изменений ПО. Вообще непонятно зачем он приведен, т.к .он не может быть использован в СИ согласно МИ 3286 п. 2.3.6. Уровни "высокий" и "С" практически эквивалентны. Уровень "высокий" означает защиту от специализированных средств изменений ПО типа отладчиков, ПО разработки программ. Уровень "С" означает достаточность примененных средств защиты от преднамеренного изменения ПО. С моей точки зрения деление на уровни защиты "В" и "С" субъективно, т. к. отсутствуют критерии оценки достаточности защиты. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
АГК 5 Опубликовано 10 Июня 2011 Автор Жалоба Поделиться Опубликовано 10 Июня 2011 В.А.Маслов писал: С моей точки зрения уровни "низкий" и "А" - эквивалентны, т.е. не требуется применение специальных средств защиты ПО. Как пример, можно рассмотреть встроенное ПО СИ, записанное в однократно программируемое ПЗУ микроконтроллера. Это ПО невозможно изменить без физической замены микроконтроллера, для чего требуется вскрытие корпуса СИ. ПЗУ можно заменить вскрыв корпус, а значит корпус должен имееть средства защиты, т.е пломбироваться. Рекомендация COOMET:2004:Общепринятый метод защиты с помощью клейм и пломбировки, обеспечивающий очевидность преднамеренного вмешательства, эквивалентен программным средствам защиты для среднего и высокого уровней защиты для обособленных средств измерений целевого назначения. Т.е. клеймение и пломбировка рассматриваются как эквивалент уровню "С" по МИ. Получается, что пломбировка корпуса - специальное средство защиты ПО! А уровень "А" по МИ, в приведенном примере, ознасает, что корпус не пломбируется? Или я не прав в том, что пытаюсь найти соответствие уровней защиты по W7.2 и МИ? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Специалисты Маслов В.А. 100 Опубликовано 10 Июня 2011 Специалисты Жалоба Поделиться Опубликовано 10 Июня 2011 В.А.Маслов писал: С моей точки зрения уровни "низкий" и "А" - эквивалентны, т.е. не требуется применение специальных средств защиты ПО. Как пример, можно рассмотреть встроенное ПО СИ, записанное в однократно программируемое ПЗУ микроконтроллера. Это ПО невозможно изменить без физической замены микроконтроллера, для чего требуется вскрытие корпуса СИ. ПЗУ можно заменить вскрыв корпус, а значит корпус должен имееть средства защиты, т.е пломбироваться. Рекомендация COOMET:2004:Общепринятый метод защиты с помощью клейм и пломбировки, обеспечивающий очевидность преднамеренного вмешательства, эквивалентен программным средствам защиты для среднего и высокого уровней защиты для обособленных средств измерений целевого назначения. Т.е. клеймение и пломбировка рассматриваются как эквивалент уровню "С" по МИ. Получается, что пломбировка корпуса - специальное средство защиты ПО! А уровень "А" по МИ, в приведенном примере, ознасает, что корпус не пломбируется? Или я не прав в том, что пытаюсь найти соответствие уровней защиты по W7.2 и МИ? Пломбировка корпуса - это не специальное средство защиты ПО. Это выполнение другого требования МИ 3290 п. 4.2.8 "Анализ конструкции средства измерений". К специальным средствам защиты ПО относятся, например, средства проверки целостности ПО, средства управления доступом (программные - пароли, аппаратные - электронные ключи с различными функциями), журнал фиксирующий изменение ПО. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
efim 1 745 Опубликовано 27 Июня 2011 Жалоба Поделиться Опубликовано 27 Июня 2011 (изменено) Приказ Росстандарта № 2938 от 17.06.2011 по вопросу проверки обеспечения защиты ПО СИ здесь Изменено 27 Июня 2011 пользователем efim Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Специалисты Фёдоров_Ф 299 Опубликовано 27 Июня 2011 Специалисты Жалоба Поделиться Опубликовано 27 Июня 2011 Приказ Росстандарта № 2938 от 17.06.2011 по вопросу проверки обеспечения защиты ПО СИ здесь А каков стиль! - провести обучение с целью повышения квалификации специалистов юридических лиц, аккредитованных на поверку средств измерений, для обеспечения защиты программного обеспечения при поверке средств измерений. Раньше поверители сплошь и рядом не думали о том, чтобы обеспечить защиту ПО средств измерений при поверке. Потому, что это первейшая задача производителя СИ. А теперь поверители стройными рядами выступят на защиту ПО СИ при поверке. No pasaran! Спам и вирусы не пройдут Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Специалисты Дедюхин А.А. 314 Опубликовано 27 Июня 2011 Специалисты Жалоба Поделиться Опубликовано 27 Июня 2011 Раньше поверители сплошь и рядом не думали о том, чтобы обеспечить защиту ПО средств измерений при поверке. Потому, что это первейшая задача производителя СИ. А теперь поверители стройными рядами выступят на защиту ПО СИ при поверке. No pasaran! Спам и вирусы не пройдут вполне хороший прказ следующим шагом будет приказ по проведению повышения квалификации по защите аппаратной части СИ от несканкционированной настройки и вмешательства, которые могут привести к искажению результатов измерений Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
АГК 5 Опубликовано 29 Июня 2011 Автор Жалоба Поделиться Опубликовано 29 Июня 2011 Присутствовал на одном семинаре по МИ 3290, месяца 3 назад. Выступал товарищ и озвучил требования к поверителям (испытателям), которые будут проводить работу по проверке ПО. ... no comments! Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
tanic 0 Опубликовано 30 Июня 2011 Жалоба Поделиться Опубликовано 30 Июня 2011 Приказ Росстандарта № 2938 от 17.06.2011 по вопросу проверки обеспечения защиты ПО СИ здесь Уважаемые господа, а с самими рекомендациями Р 50.2.077-2011 где можно ознакомиться? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
SteinLP 43 Опубликовано 30 Июня 2011 Жалоба Поделиться Опубликовано 30 Июня 2011 Приказ Росстандарта № 2938 от 17.06.2011 по вопросу проверки обеспечения защиты ПО СИ здесь Уважаемые господа, а с самими рекомендациями Р 50.2.077-2011 где можно ознакомиться? Рекомендация Р_50_2_077_2011.doc Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
10 сообщений в этой теме
Рекомендуемые сообщения
Присоединиться к обсуждению
Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.