Документы жизненного цикла ПО могут быть отнесены к одной из двух категорий: категории контроля 1 (КК1) и категории контроля 2 (КК2). Эти категории касаются функций управления конфигурацией в части документов. Таблица 1 определяет перечень целей процесса управления конфигурацией, связанных с каждой категорией контроля. В таблице 1 указано, какие функции управления конфигурацией должны быть выполнены для документов жизненного цикла ПО, относящихся к данной категории. Таблицы приложения А определяют категорию контроля каждого документа жизненного цикла ПО для уровней ПО. Для категорий контроля документов требуется:
— целевые функции процесса управления конфигурацией для документов жизненного цикла ПО, отнесенных к категории КК1, применять согласно таблице 1;
— целевые функции процесса управления конфигурацией для документов жизненного цикла ПО, отнесенных к категории КК2, применять согласно таблице 1, как минимум.
Таблица 1 — Целевые функции процесса управления конфигурацией, связанные с документами категорий КК1 и КК2
| Цель процесса управления конфигурацией | Ссылка | КК1 | КК2 |
|---|---|---|---|
| Идентификация конфигурации | 9.2.1 | * | * |
| Базовая линия | 9.2.3 а), б), в), г), д) | * | |
| Трассируемость | 9.2.3 е), ж) | * | * |
| Отчетность о дефектах | 9.2.4 | * | |
| Контроль изменений — целостность и идентификация | 9.2.5 а), б) | * | * |
| Контроль изменений — трассируемость | 9.2.5 в), г), д) | * | |
| Просмотр изменений | 9.2.6 | * | |
| Отчетность о состоянии конфигурации | 9.2.7 | * | |
| Получение документа из архива | 9.2.8 а) | * | * |
| Зашита от несанкционированных изменений | 9.2.8 б 1) | * | * |
| Выбор носителей, обновление, копирование | 9.2.8 б 2), б 3), б 4), в) | * | |
| Выпуск версии | 9.2.8 г) | * | |
| Хранение данных | 9.2.8 д) | * | * |
Обозначения:
* — цель должна быть удовлетворена для документов данной категории;
пробел — удовлетворение цели на усмотрение разработчика.
9.4 Аудит конфигурации
Разработчик должен поддерживать проводимый заказчиком аудит конфигурации, как определено в контракте.
9.5 Компоновка и поставка ПО
Разработчик должен устанавливать и выполнять процедуры по компоновке, хранению, обработке и поставке программного средства. Разработчик должен сохранять оригинал поставляемого программного средства в течение срока действия контракта.
10 Процесс обеспечения качества ПО
Процесс обеспечения качества ПО должен быть выполнен в соответствии с процессом планирования ПО (раздел 6) и документом «План обеспечения качества ПО» (12.6). Выходные результаты процесса обеспечения качества представлены в Протоколах обеспечения качества ПО (12.30) или в других документах жизненного цикла ПО. Процесс обеспечения качества оценивает процессы жизненного цикла ПО, их выходные результаты и гарантирует, что цели этих процессов
удовлетворены, отклонения от установленных требований обнаружены, оценены, прослежены, разрешены и что программные средства и документы жизненного цикла ПО соответствуют сертификационным требованиям. Работы процесса обеспечения качества должны быть выполнены разработчиком.
Если систему или ЭКПО разрабатывают для нескольких различных построений, работы и программные средства для каждого построения следует оценивать для целей данного конкретного построения. Работы или программное средство, соответствующее этим целям, можно считать удовлетворительным даже в случае отсутствия информации для разработки в более поздних построениях. Планирование обеспечения качества ПО в данном случае должно быть включено в планирование разработки ПО (6.6).
10.1 Цели процесса обеспечения качества ПО
Цель процесса обеспечения качества — обеспечить уверенность в том, что:
а) процессы разработки ПО и интегральные процессы выполняют по утвержденным планам ПО и стандартам;
б) критерии перехода для процессов жизненного цикла ПО удовлетворены;
в) просмотр соответствия программного средства выполнен для каждого программного средства, разрабатываемого в соответствии с требованиями настоящего стандарта и условиями контракта.
Применимость целей обеспечения качества для конкретного уровня ПО определена в таблице А.9.
10.2 Состав работ, выполняемых в процессе обеспечения качества ПО
Для того чтобы цели процесса обеспечения качества были выполнены:
а) процесс обеспечения качества должен играть активную роль в работах процессов жизненного цикла ПО на всех этапах жизненного цикла, обладая при этом необходимыми полномочиями, ответственностью и независимостью, чтобы гарантировать удовлетворение целям процесса обеспечения качества;
б) процесс обеспечения качества должен гарантировать, что планы ПО и стандарты разработаны и проверены на непротиворечивость;
в) процесс обеспечения качества должен гарантировать, что процессы жизненного цикла ПО выполнены в соответствии с утвержденными планами ПО и стандартами;
г) процесс обеспечения качества должен включать в себя аудиты процессов разработки ПО и интегральных процессов в течение жизненного цикла ПО, позволяющие гарантировать, что:
1) разработаны планы ПО, определенные в 6.2;
2) обнаружены, зарегистрированы, прослежены и утверждены заказчиком отклонения в выполнении требований планов ПО и стандартов;
3) зарегистрированы принятые отклонения;
4) обеспечена среда разработки ПО в соответствии с определением в планах ПО;
5) отчетность о дефектах, трассируемость и корректирующие действия соответствуют Плану управления конфигурацией ПО;
6) ввод данных, требуемых для процессов жизненного цикла ПО, находится под контролем постоянно выполняемого процесса оценки безопасности системы;
д) процесс обеспечения качества должен гарантировать, что критерии переходов для процессов жизненного цикла ПО были удовлетворены в соответствии с утвержденными планами ПО;
е) процесс обеспечения качества должен гарантировать, что для документов жизненного цикла ПО осуществлен контроль в соответствии с категориями контроля, определенными в 9.3 и таблицах приложения А;
ж) должен быть проведен просмотр согласованности ПО до поставки программных средств, представленных для сертификации;
з) должны быть выполнены работы, связанные с отчетностью по работам процесса обеспечения качества (12.30), включающие в себя результаты аудита и доказательство завершения просмотра согласованности ПО для каждого программного средства, представленного для сертификации.
10.3 Просмотр согласованности ПО
Цель просмотра согласованности ПО — гарантировать, что полностью подготовлены процессы и документы жизненного цикла ПО для сертифицируемого программного средства, а исполняемый объектный код находится под контролем конфигурации и может быть повторно генерирован. Этот просмотр должен определить, что:
— завершены запланированные работы процессов жизненного цикла ПО для получения сертификационного доверия, включая генерацию документов жизненного цикла ПО, и отчеты об их завершении сохранены;
— документы жизненного цикла ПО, которые разработаны в соответствии со специфицированными системными требованиями и с требованиями, определяемыми безопасностью, или требованиями к ПО, удовлетворяют этим требованиям;
— документы жизненного цикла ПО сформированы в соответствии с планами ПО и стандартами разработки (12.9 — 12.11) и проконтролированы в соответствии с Планом управления конфигурацией ПО;
— сообщения о дефектах подготовлены в соответствии с Планом управления конфигурацией ПО, их статус был оценен и зарегистрирован;
— отклонения реализации от требований к ПО зарегистрированы и утверждены;
— исполняемый объектный код может быть восстановлен из исходного текста, зарегистрированного в архиве;
— утвержденный код ПО может быть успешно загружен;
— сообщения о дефектах, оставшиеся от предыдущего просмотра согласованности ПО, заново переоцениваются, чтобы определить их состояние;
— если сертификационное доверие распространяется на использование ранее разработанного ПО, то текущая базовая линия программного средства должна быть трассируемой к предыдущей базовой линии и изменения в базовой линии должны быть утверждены.
10.4 Документирование обеспечения качества ПО
Разработчик должен регистрировать отчеты о каждой выполненной работе по обеспечению качества ПО. Эти отчеты следует сохранять в течение срока действия контракта. Проблемы, обнаруженные в программных средствах, при управлении конфигурацией должны быть обработаны, как описано в 9.2.4.
10.5 Независимость в обеспечении качества ПО
Лица, ответственные за обеспечение качества ПО, не должны участвовать в разработке программного средства или быть ответственными за программное средство или работы по его созданию. Однако это не запрещает таким лицам принимать участие в оценках программных средств или выполненных работ. Лица, ответственные за обеспечение качества ПО в соответствии с контрактом, должны иметь возможности, обязательства, полномочия и организационную независимость для объективной оценки качества ПО, а также для инициирования и верификации действий, связанных с коррекцией.
11 Процесс сертификационного сопровождения
Цель процесса сертификационного сопровождения — установить взаимодействие и взаимопонимание между соискателем и сертифицирующей организацией для поддержки процесса сертификации. Процесс сертификационного сопровождения выполняют так, как определено процессом планирования ПО (раздел 6) и Планом сертификации в части ПО (12.1). Таблица АЛО содержит резюме целей и результатов данного процесса.