Уровень защиты ПО

АГК · 9 Июня 2011

Коллеги, кто может дать понятное разъяснение по классификации уровней защиты ПО по МИ 3286.

От ВНИИМС, разработчика МИ, ответа, по непонятным причинам, пока не получить.

Суть вопроса:

- МИ 3286 табл. 2, приведены 3 уровня защиты ПО : А, В. и С

- WELMEC 7.2, приведны 3 уровня защиты ПО: низкий, средний и высокий.

Если низкий уровень по 7.2 однозначно понимается как отсутствие защиты, то уровень А по МИ "не требуется специальных мер..." не ясен.

Маслов В.А. · 9 Июня 2011

Коллеги, кто может дать понятное разъяснение по классификации уровней защиты ПО по МИ 3286.

От ВНИИМС, разработчика МИ, ответа, по непонятным причинам, пока не получить.

Суть вопроса:

- МИ 3286 табл. 2, приведены 3 уровня защиты ПО : А, В. и С

- WELMEC 7.2, приведны 3 уровня защиты ПО: низкий, средний и высокий.

Если низкий уровень по 7.2 однозначно понимается как отсутствие защиты, то уровень А по МИ "не требуется специальных мер..." не ясен.

Во-первых эти два документа отличаются подходами к определению уровней защиты ПО.

WELMEC 7.2 исходит из необходимости в каждом конкретном случае сначала определиться с жесткостью испытаний в зависимости от критичности соответствующего ПО и только потом определять необходимый уровень защиты.

МИ 3286 не разграничивает жесткости испытаний в зависимости от критичности ПО (для любого ПО одинаково жесткие испытания) и затем исходя из результатов испытаний определяется уровень защиты.

Во-вторых об уровнях защиты.

С моей точки зрения уровни "низкий" и "А" - эквивалентны, т.е. не требуется применение специальных средств защиты ПО. Как пример, можно рассмотреть встроенное ПО СИ, записанное в однократно программируемое ПЗУ микроконтроллера. Это ПО невозможно изменить без физической замены микроконтроллера, для чего требуется вскрытие корпуса СИ.

Уровни "средний" и "В" не совсем эквивалентны. Уровень "средний" означает защиту от простейших средств изменений ПО типа редакторов. Уровень "В" означает недостаточность примененных средств защиты от преднамеренных изменений ПО без указания на тип средств изменений ПО. Вообще непонятно зачем он приведен, т.к .он не может быть использован в СИ согласно МИ 3286 п. 2.3.6.

Уровни "высокий" и "С" практически эквивалентны. Уровень "высокий" означает защиту от специализированных средств изменений ПО типа отладчиков, ПО разработки программ. Уровень "С" означает достаточность примененных средств защиты от преднамеренного изменения ПО.

С моей точки зрения деление на уровни защиты "В" и "С" субъективно, т. к. отсутствуют критерии оценки достаточности защиты.

АГК · 10 Июня 2011

В.А.Маслов писал:

С моей точки зрения уровни "низкий" и "А" - эквивалентны, т.е. не требуется применение специальных средств защиты ПО. Как пример, можно рассмотреть встроенное ПО СИ, записанное в однократно программируемое ПЗУ микроконтроллера. Это ПО невозможно изменить без физической замены микроконтроллера, для чего требуется вскрытие корпуса СИ.

ПЗУ можно заменить вскрыв корпус, а значит корпус должен имееть средства защиты, т.е пломбироваться.

Рекомендация COOMET:2004:Общепринятый метод защиты с помощью клейм и пломбировки, обеспечивающий очевидность преднамеренного вмешательства, эквивалентен программным средствам защиты для среднего и высокого уровней защиты для обособленных средств измерений целевого назначения.

Т.е. клеймение и пломбировка рассматриваются как эквивалент уровню "С" по МИ. Получается, что пломбировка корпуса - специальное средство защиты ПО! А уровень "А" по МИ, в приведенном примере, ознасает, что корпус не пломбируется?

Или я не прав в том, что пытаюсь найти соответствие уровней защиты по W7.2 и МИ?

Маслов В.А. · 10 Июня 2011

В.А.Маслов писал:

С моей точки зрения уровни "низкий" и "А" - эквивалентны, т.е. не требуется применение специальных средств защиты ПО. Как пример, можно рассмотреть встроенное ПО СИ, записанное в однократно программируемое ПЗУ микроконтроллера. Это ПО невозможно изменить без физической замены микроконтроллера, для чего требуется вскрытие корпуса СИ.

ПЗУ можно заменить вскрыв корпус, а значит корпус должен имееть средства защиты, т.е пломбироваться.

Рекомендация COOMET:2004:Общепринятый метод защиты с помощью клейм и пломбировки, обеспечивающий очевидность преднамеренного вмешательства, эквивалентен программным средствам защиты для среднего и высокого уровней защиты для обособленных средств измерений целевого назначения.

Т.е. клеймение и пломбировка рассматриваются как эквивалент уровню "С" по МИ. Получается, что пломбировка корпуса - специальное средство защиты ПО! А уровень "А" по МИ, в приведенном примере, ознасает, что корпус не пломбируется?

Или я не прав в том, что пытаюсь найти соответствие уровней защиты по W7.2 и МИ?

Пломбировка корпуса - это не специальное средство защиты ПО. Это выполнение другого требования МИ 3290 п. 4.2.8 "Анализ конструкции средства измерений".

К специальным средствам защиты ПО относятся, например, средства проверки целостности ПО, средства управления доступом (программные - пароли, аппаратные - электронные ключи с различными функциями), журнал фиксирующий изменение ПО.

efim · 27 Июня 2011

Приказ Росстандарта № 2938 от 17.06.2011 по вопросу проверки обеспечения защиты ПО СИ здесь

Изменено 27 Июня 2011 пользователем efim

Фёдоров_Ф · 27 Июня 2011

Приказ Росстандарта № 2938 от 17.06.2011 по вопросу проверки обеспечения защиты ПО СИ здесь

А каков стиль!

- провести обучение с целью повышения квалификации специалистов юридических лиц, аккредитованных на поверку средств измерений, для обеспечения защиты программного обеспечения при поверке средств измерений.

Раньше поверители сплошь и рядом не думали о том, чтобы обеспечить защиту ПО средств измерений при поверке. Потому, что это первейшая задача производителя СИ.

А теперь поверители стройными рядами выступят на защиту ПО СИ при поверке. No pasaran! Спам и вирусы не пройдут :rolleyes:

Дедюхин А.А. · 27 Июня 2011

Раньше поверители сплошь и рядом не думали о том, чтобы обеспечить защиту ПО средств измерений при поверке. Потому, что это первейшая задача производителя СИ.

А теперь поверители стройными рядами выступят на защиту ПО СИ при поверке. No pasaran! Спам и вирусы не пройдут

вполне хороший прказ

следующим шагом будет приказ по проведению повышения квалификации по защите аппаратной части СИ от несканкционированной настройки и вмешательства, которые могут привести к искажению результатов измерений

АГК · 29 Июня 2011

Присутствовал на одном семинаре по МИ 3290, месяца 3 назад. Выступал товарищ и озвучил требования к поверителям (испытателям), которые будут проводить работу по проверке ПО. ... no comments!

tanic · 30 Июня 2011

Приказ Росстандарта № 2938 от 17.06.2011 по вопросу проверки обеспечения защиты ПО СИ здесь

Уважаемые господа, а с самими рекомендациями Р 50.2.077-2011 где можно ознакомиться?

SteinLP · 30 Июня 2011

Приказ Росстандарта № 2938 от 17.06.2011 по вопросу проверки обеспечения защиты ПО СИ здесь

Уважаемые господа, а с самими рекомендациями Р 50.2.077-2011 где можно ознакомиться?

Рекомендация Р_50_2_077_2011.doc

Войти

Уровень защиты ПО

10 сообщений в этой теме

Рекомендуемые сообщения

АГК 5

Ссылка на комментарий

Поделиться на других сайтах

Маслов В.А. 100

Ссылка на комментарий

Поделиться на других сайтах

АГК 5

Ссылка на комментарий

Поделиться на других сайтах

Маслов В.А. 100

Ссылка на комментарий

Поделиться на других сайтах

efim 1 745

Ссылка на комментарий

Поделиться на других сайтах

Фёдоров_Ф 299

Ссылка на комментарий

Поделиться на других сайтах

Дедюхин А.А. 314

Ссылка на комментарий

Поделиться на других сайтах

АГК 5

Ссылка на комментарий

Поделиться на других сайтах

tanic 0

Ссылка на комментарий

Поделиться на других сайтах

SteinLP 43

Ссылка на комментарий

Поделиться на других сайтах

Присоединиться к обсуждению

Недавно просматривали 0 пользователей

Популярные темы