Как обеспечить защиту полей справочных данных в форме от непреднамеренных изменений

Обновлено: 04.07.2024

ГОСТ Р 50922-2006

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

ОСНОВНЫЕ ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ

Protection of information. Basic terms and definitions

Цели и принципы стандартизации в Российской Федерации установлены Федеральным законом от 27 декабря 2002 г. N 184-ФЗ "О техническом регулировании", а правила применения национальных стандартов Российской Федерации - ГОСТ Р 1.0-2004 "Стандартизация в Российской Федерации. Основные положения"

Сведения о стандарте

1 РАЗРАБОТАН Федеральным государственным учреждением "Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю" (ФГУ "ГНИИИ ПТЗИ ФСТЭК России")

2 ВНЕСЕН Управлением технического регулирования и стандартизации Федерального агентства по техническому регулированию и метрологии

Информация об изменениях к настоящему стандарту публикуется в ежегодно издаваемом информационном указателе "Национальные стандарты", а текст изменений и поправок - в ежемесячно издаваемых информационных указателях "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ежемесячно издаваемом информационном указателе "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет

Введение

Установленные настоящим стандартом термины расположены в систематизированном порядке, отражающем систему понятий в данной области знания.

Для каждого понятия установлен один стандартизованный термин.

Наличие квадратных скобок в терминологической статье означает, что в нее входят два термина, имеющих общие терминоэлементы. В алфавитном указателе данные термины приведены отдельно. Цифра, заключенная в квадратные скобки, означает ссылку на документ, приведенный в структурном элементе "Библиография".

Заключенная в круглые скобки часть термина может быть опущена при использовании термина в документах по стандартизации, при этом не входящая в круглые скобки часть термина образует его краткую форму. За стандартизованными терминами приведены отделенные точкой с запятой их краткие формы, представленные аббревиатурой.

Приведенные определения можно при необходимости изменять, вводя в них производные признаки, раскрывая значения используемых в них терминов, указывая объекты, входящие в объем определяемого понятия.

Изменения не должны нарушать объем и содержание понятий, определенных в настоящем стандарте.

Стандартизованные термины набраны полужирным шрифтом, их краткие формы, представленные аббревиатурой, - светлым, а синонимы - курсивом.

Термины и определения общетехнических понятий, которые необходимы для понимания текста основной части настоящего стандарта, приведены в приложении А.

1 Область применения

Настоящий стандарт устанавливает основные термины с соответствующими определениями, применяемые при проведении работ по стандартизации в области защиты информации.

Термины, установленные настоящим стандартом, рекомендуется использовать в правовой, нормативной, технической и организационно-распорядительной документации, научной, учебной и справочной литературе.

2 Термины и определения

2.1 Общие понятия

2.1.1 защита информации; ЗИ: Деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.

2.2 Термины, относящиеся к видам защиты информации

2.2.1 правовая защита информации: Защита информации правовыми методами, включающая в себя разработку законодательных и нормативных правовых документов (актов), регулирующих отношения субъектов по защите информации, применение этих документов (актов), а также надзор и контроль за их исполнением.

2.2.2 техническая защита информации; ТЗИ: Защита информации, заключающаяся в обеспечении некриптографическими методами безопасности информации (данных), подлежащей (подлежащих) защите в соответствии с действующим законодательством, с применением технических, программных и программно-технических средств.

2.2.3 криптографическая защита информации: Защита информации с помощью ее криптографического преобразования.

2.2.4 физическая защита информации: Защита информации путем применения организационных мероприятий и совокупности средств, создающих препятствия для проникновения или доступа неуполномоченных физических лиц к объекту защиты.

1 Организационные мероприятия по обеспечению физической защиты информации предусматривают установление режимных, временных, территориальных, пространственных ограничений на условия использования и распорядок работы объекта защиты.

2 К объектам защиты информации могут быть отнесены: охраняемая территория, здание (сооружение), выделенное помещение, информация и (или) информационные ресурсы объекта информатизации.

2.3 Термины, относящиеся к способам защиты информации

2.3.1 способ защиты информации: Порядок и правила применения определенных принципов и средств защиты информации.

2.3.2 защита информации от утечки: Защита информации, направленная на предотвращение неконтролируемого распространения защищаемой информации в результате ее разглашения и несанкционированного доступа к ней, а также на исключение (затруднение) получения защищаемой информации [иностранными] разведками и другими заинтересованными субъектами.

Примечание - Заинтересованными субъектами могут быть: государство, юридическое лицо, группа физических лиц, отдельное физическое лицо.

2.3.3 защита информации от несанкционированного воздействия; ЗИ от НСВ: Защита информации, направленная на предотвращение несанкционированного доступа и воздействия на защищаемую информацию с нарушением установленных прав и (или) правил на изменение информации, приводящих к разрушению, уничтожению, искажению, сбою в работе, незаконному перехвату и копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.

2.3.4 защита информации от непреднамеренного воздействия: Защита информации, направленная на предотвращение воздействия на защищаемую информацию ошибок ее пользователя, сбоя технических и программных средств информационных систем, природных явлений или иных нецеленаправленных на изменение информации событий, приводящих к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.

2.3.5 защита информации от разглашения: Защита информации, направленная на предотвращение несанкционированного доведения защищаемой информации до заинтересованных субъектов (потребителей), не имеющих права доступа к этой информации.

2.3.6 защита информации от несанкционированного доступа; ЗИ от НСД: Защита информации, направленная на предотвращение получения защищаемой информации заинтересованными субъектами с нарушением установленных нормативными и правовыми документами (актами) или обладателями информации прав или правил разграничения доступа к защищаемой информации.

Примечание - Заинтересованными субъектами, осуществляющими несанкционированный доступ к защищаемой информации, могут быть: государство, юридическое лицо, группа физических лиц, в том числе общественная организация, отдельное физическое лицо.

2.3.7 защита информации от преднамеренного воздействия; ЗИ от ПДВ: Защита информации, направленная на предотвращение преднамеренного воздействия, в том числе электромагнитного и (или) воздействия другой физической природы, осуществляемого в террористических или криминальных целях.

2.3.8 защита информации от [иностранной] разведки: Защита информации, направленная на предотвращение получения защищаемой информации [иностранной] разведкой.

2.4 Термины, относящиеся к замыслу защиты информации

2.4.1 замысел защиты информации: Основная идея, раскрывающая состав, содержание, взаимосвязь и последовательность осуществления технических и организационных мероприятий, необходимых для достижения цели защиты информации.

2.4.2 цель защиты информации: Заранее намеченный результат защиты информации.

Примечание - Результатом защиты информации может быть предотвращение ущерба обладателю информации из-за возможной утечки информации и (или) несанкционированного и непреднамеренного воздействия на информацию.

2.4.3 система защиты информации: Совокупность органов и (или) исполнителей, используемой ими техники защиты информации, а также объектов защиты информации, организованная и функционирующая по правилам и нормам, установленным соответствующими документами в области защиты информации.

2.4.4 политика безопасности (информации в организации): Совокупность документированных правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности.

2.4.5 безопасность информации [данных]: Состояние защищенности информации [данных], при котором обеспечены ее [их] конфиденциальность, доступность и целостность.

2.5 Термины, относящиеся к объекту защиты информации

2.5.1 объект защиты информации: Информация или носитель информации, или информационный процесс, которые необходимо защищать в соответствии с целью защиты информации.

2.5.2 защищаемая информация: Информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.

Примечание - Собственниками информации могут быть: государство, юридическое лицо, группа физических лиц, отдельное физическое лицо.

2.5.3 носитель защищаемой информации: Физическое лицо или материальный объект, в том числе физическое поле, в котором информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.

2.5.4 защищаемый объект информатизации: Объект информатизации, предназначенный для обработки защищаемой информации с требуемым уровнем ее защищенности.

2.5.5 защищаемая информационная система: Информационная система, предназначенная для обработки защищаемой информации с требуемым уровнем ее защищенности.

2.6 Термины, относящиеся к угрозам безопасности информации

2.6.1 угроза (безопасности информации): Совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации.

2.6.2 фактор, воздействующий на защищаемую информацию: Явление, действие или процесс, результатом которого могут быть утечка, искажение, уничтожение защищаемой информации, блокирование доступа к ней.

2.6.3 источник угрозы безопасности информации: Субъект (физическое лицо, материальный объект или физическое явление), являющийся непосредственной причиной возникновения угрозы безопасности информации.

2.6.4 уязвимость (информационной системы); брешь: Свойство информационной системы, обусловливающее возможность реализации угроз безопасности обрабатываемой в ней информации.

1 Условием реализации угрозы безопасности обрабатываемой в системе информации может быть недостаток или слабое место в информационной системе.

2 Если уязвимость соответствует угрозе, то существует риск.

2.6.5 вредоносная программа: Программа, предназначенная для осуществления несанкционированного доступа к информации и (или) воздействия на информацию или ресурсы информационной системы.

2.6.6 несанкционированное воздействие на информацию: Воздействие на защищаемую информацию с нарушением установленных прав и (или) правил доступа, приводящее к утечке, искажению, подделке, уничтожению, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.

2.6.7 преднамеренное силовое электромагнитное воздействие на информацию: Несанкционированное воздействие на информацию, осуществляемое путем применения источника электромагнитного поля для наведения (генерирования) в автоматизированных информационных системах электромагнитной энергии с уровнем, вызывающим нарушение нормального функционирования (сбой в работе) технических и программных средств этих систем.

2.6.8 модель угроз (безопасности информации): Физическое, математическое, описательное представление свойств или характеристик угроз безопасности информации.

Примечание - Видом описательного представления свойств или характеристик угроз безопасности информации может быть специальный нормативный документ.

2.7 Термины, относящиеся к технике защиты информации

2.7.1 техника защиты информации: Средства защиты информации, в том числе средства физической защиты информации, криптографические средства защиты информации, средства контроля эффективности защиты информации, средства и системы управления, предназначенные для обеспечения защиты информации.

2.7.2 средство защиты информации: Техническое, программное, программно-техническое средство, вещество и (или) материал, предназначенные или используемые для защиты информации.

2.7.3 средство контроля эффективности защиты информации: Средство защиты информации, предназначенное или используемое для контроля эффективности защиты информации.

2.7.4 средство физической защиты информации: Средство защиты информации, предназначенное или используемое для обеспечения физической защиты объекта защиты информации.

С охранность базы данных, включающей конфиденциальные сведения, должна быть в приоритете у службы безопасности предприятия. Способов много, универсального решения нет. Выбирая, необходимо ориентироваться на конечные цели организации и нужную степень защиты.

Шифрование

Основные способы шифрования:

• симметричное и ассиметричное;
• хеширование данных;
• шифрование на уровне хранилища;
• на уровне БД;
• на уровне приложений.

Шифрование используется для защиты от несанкционированных пользователей не только информации, но и алгоритмов, функций программ. Однако использование шифрования и дешифровки усложняет работу системы управления базами данных (СУБД), так как дает дополнительную нагрузку на сервер.

Использование пароля к БД

Этот способ защиты информации предусматривает авторизацию пользователей для получения доступа к базе данных. Наличие пароля позволяет избежать несанкционированного доступа.

Защита с помощью пароля может использоваться в комплексе с разграничением доступа к БД. В этом случае сначала защищают информацию на уровне пользователя (когда с одной БД работают несколько человек с разными правами), а затем настраивают парольный доступ к ней.

Парольная защита – надежный метод охраны данных. Чем сложнее комбинация символов, тем тяжелее взломать базу данных. Пароли хранятся в базе, прямого доступа к ним нет.

Требования к надежному паролю:

• комбинирование разных знаков – заглавные и строчные буквы, цифры, специальные символы;
• количество знаков – не меньше 6;
• периодическое обновление;
• хранение в секрете от пользователей без доступа.

Во многих организациях практикуют периодическую смену паролей (каждый день, неделю, месяц). Чем чаще они будут меняться, тем ниже вероятность получения злоумышленниками доступа к секретной информации.

Установлением и изменением паролей к базам данных обычно занимается администратор, в некоторых организациях эта обязанность возлагается на конечного пользователя.

Разграничение прав доступа

Этот способ сохранения конфиденциальных данных применяется, когда с одной БД работают несколько пользователей (или групп) с разным уровнем доступа к информации. Установление прав доступа к использованию данных возможно при работе на одном компьютере или по локальной сети. Каждый будет заходить под своим логином и паролем и использовать БД в зависимости от прав. Например, администратор может изменить данные БД, дополнить их, удалить. А менеджер только прочитать или изменить часть сведений (например, выбранный столбец таблицы или строку).

• содержание в одной базе различных сведений;
• расширение круга пользователей БД;
• организация защиты от непреднамеренного или целенаправленного изменения данных или элементов программного обеспечения;
• защита секретной информации.

Установить ограничения можно не только по доступу к определенным видам информации, но и по принципу работы с ней. Например, можно установить определенные рамки работы с таблицами для выбранной группы пользователей (разрешение или запрет действий):

• запрет доступа;
• режим чтения;
• разрешение на редактирование, удаление данных;
• право на добавление информации и изменение структуры исходных сведений;
• установление защиты поля или строки;
• скрытие объектов БД.

С БД могут возникать проблемы не только в плане защиты их от несанкционированного доступа. СУБД исключает ввод недостоверной информации – в процессе создания таблиц вводятся ограничения на ввод некорректных сведений (если в месяце 30 дней, 31 число поставить нельзя). А также периодически создает резервные копии БД с сохранением на съемные носители или в удаленные хранилища, откуда сведения можно будет восстановить в актуальном состоянии в случае необходимости.

Избирательное и обязательное управление доступом

Система управления БД позволяет разграничить права доступа пользователей или, наоборот, объединить их в группы по признаку разрешенных однотипных действий.

Избирательное управление доступом включает:

1. Распределение доступа к данным – с БД можно работать группой или дать разрешение определенным сотрудникам на использование конкретных сведений.

2. Дополнительный учет данных при входе в систему (информация о том? кто, под какой учеткой, в какое время обращался к базе данных), аудите и изоляции отдельных сведений.

Разграничения доступа на примерах Access и MySQL

Защита базы данных на уровне пользователя аналогична способам разграничения прав пользователей локальных сетей. В Access создают несколько рабочих групп, разделенных по интересам. Работа доступна одновременно с одной из баз данных. Можно параллельно работать в разных системах Access, если открыть их в отдельных окнах.

Файл рабочей группы создается автоматически. Он содержит информацию об учетной записи каждой группы или отдельного пользователя. Сохранение данных о правах доступа ведется по каждой учетке отдельно.

Рабочая группа состоит из двух групп:

В случае необходимости возможно создание более двух групп пользователей данных. Один и тот же человек может состоять одновременно в разных группах. Каждому из сотрудников можно присвоить разные пароли.

Администратор получает максимальное число привилегий, группа пользователей работает в соответствии с их уровнем доступа.

Формы и отчеты Access можно защитить двумя способами:

1. Чтобы исключить случайное повреждение пользователем приложения, исключается использование режима Конструктора.

2. Скрытие некоторых полей таблицы от пользователей.

Таким образом появляется возможность контролировать использование секретных данных сотрудниками и ограничить доступ к ним посторонних. Расширить права пользователя или группы могут лишь админ и владелец информации (создатель). Имеется возможность передачи базы данных и прав на нее другому владельцу.

Одним из вариантов внедрения безопасной системы авторизации и регистрации является MySQL. Управление сервером происходит через Интернет с помощью РhpMyAdmin. Первый уровень защиты – это вход в БД через логин и пароль. Далее СУБД MySQL разграничивает права доступа. Доступ ограничивается как к системе управления, так и к каждому компоненту БД (таблица, строка, запись и т.п.). Владельцы БД имеют возможность шифровать информацию.

Оригинальные способы сохранности БД

Существует несколько нестандартных способов сохранности ценных сведений:

• создание пароля с использованием непечатных символов (например, пробел);
• модификация файла – манипулирование с заголовками;
• изменение версии БД – проводим аналогию с модификацией файлов;
• использование электронных ключей для доступа к сведениям;
• автоматизированные системы – DAM и DBF.

При работе с DAM-системами перенастраивать СУБД не нужно. Они работают с копией трафика и не затрагивают бизнес-процессы.

Для отслеживания пользовательских операций в БД на профессиональном уровне рекомендуем использовать Database Monitor. Узнать больше.

В случае с DBF-системой охрана данных происходит путем блокировки сторонних запросов. Работать с копией трафика данная программа не будет. Необходима полная установка компонентов. При неправильной настройке ответственность за ложные блокировки ляжет на службу информационной безопасности.

Любой способ обеспечения безопасности конфиденциальной информации не дает стопроцентной гарантии ее защиты. Специалист сможет взломать практически любую СУБД, но его работу необходимо усложнить. Отслеживание новинок в сфере сохранности секретных данных и их применение повысит уровень безопасности информации.

7.5.3 Управление документированной информацией

7.5.3.1 Смысл настоящего пункта заключается в обеспечении доступности документированной информации на соответствующем носителе при необходимости и ее адекватной защиты.

Организация должна продумать уровень, необходимый для управления документированной информацией соответствующим образом, учитывая также носитель, на котором она содержится. Управление включает доступность, распределение и защиту, например, от потери, неправильного использования и непреднамеренных изменений.

Определившись с тем, какая документированная информация необходима для системы менеджмента качества, организация должна обеспечить ее доступность для всех соответствующих областей, подразделений, владельцев процессов и т.д. Также следует рассмотреть предоставление соответствующей документированной информации соответствующим внешним заинтересованным сторонам, когда продукция и услуги поставляются извне. Документированная информация должна быть представлена в форме, подходящей для предполагаемого использования, например письменное соглашение об уровне обслуживания для внешнего поставщика услуг или информация о параметрах процесса в электронном виде, которая может быть загружена в интерфейс процесса.

Управление также рассматривает необходимость в защите документированной информации, учитывая, например, конфиденциальность, потерю данных, неправильное использование и непреднамеренные изменения. Организация должна обеспечить наличие необходимых средств управления как части системы документированной информации, чтобы гарантировать ее защиту от потери, неправильного использования или непреднамеренного изменения. Это можно сделать многими способами, включая электронные системы с правом только на чтение и особые разрешения для доступа к разным уровням, защиту паролем или идентифицированным входом. Уровень управления может отличаться в зависимости от того, где документированная информация должна быть доступной (например, увеличение ограничений доступа для внешних сторон). Вопросы информационной безопасности и резервного копирования данных должны быть также приняты во внимание.

7.5.3.2 Управление документированной информацией также рассматривает распределение, доступ, поиск и использование, хранение и защиту, управление изменениями, соблюдение сроков хранения и порядка уничтожения. Это также может применяться к документам внешнего происхождения, если они определены организацией как необходимые для планирования и функционирования системы менеджмента качества.

Установив систему для управления распределением и доступом к документированной информации, организация затем должна продумать, как хранить, поддерживать и уничтожать информацию по мере необходимости с течением времени.

Документированная информация может меняться и развиваться с развитием системы менеджмента качества организации (см. 6.3 и раздел 10).

Необходимо также продумать, как исторически документированная информация поддерживается, хранится и извлекается при необходимости для последующего использования. Должен быть рассмотрен вопрос управления версиями, когда организация определяет средства распознавания текущей документированной информации и устаревшей и обеспечивает средства управления для способствования тому, чтобы использовалась только текущая документированная информация (например, статус пересмотра или статус "Архив").

Хранение устаревшей документированной информации может быть критичным и должно поддерживаться с помощью соответствующих средств для обеспечения защиты и сохранения разборчивости; например, расследование претензий спустя годы после производства может потребовать исторических данных о производстве. Сроки хранения для документированной информации могут быть правовым требованием, контрактным требованием или могут быть определены организацией (в зависимости от срока службы ее продукции или услуги).

Если документированная информация внешнего происхождения определена организацией как необходимая для планирования и функционирования системы менеджмента качества, то она должна быть идентифицирована соответствующим образом и управляться так же, как и другая документированная информация. Сюда может относиться документированная информация от потребителей, такая как чертежи, заданные методы испытаний, планы выборки, стандарты или калибровка. Особое внимание должно быть уделено управлению конфиденциальными данными (например, персональная и финансовая информация).

Если документированная информация сохраняется как свидетельство соответствия, то она должна быть защищена от непреднамеренных изменений. Организация должна разрешать только управляемый доступ к такой информации, то есть авторизованный доступ для соответствующих лиц, работающих от имени организации, или ограниченный электронный доступ, такой как "только для чтения", при необходимости.

Меры по предотвращению непреднамеренных регулировок оборудования

Помощь при разработке системы менеджмента качества, документированных процедур. Руководящие документы, требования

Всем добрый день!
Подскажите как понимаете раздел ГОСТ 17025 п.6.4.12 Лаборатория должна принимать практические меры по предотвращению непреднамеренных регулировок оборудования, которые могут привести к признанию результатов недействительными.

Скорее всего надо посмотреть предупреждающие:
1. Допуск посторонних
2. Допуск персонала для работы на оборудовании
3. Обучение работ на оборудовании
4. Знание РЭ и инструкций
5. Внутренние аудиты
А в свете нового 1702-2019 теперь еще и риски.
У кого еще какие варианты?

Я что то более технический подошёл, нежели организационно. ВЛК наверное камень всех преткновений.
Стоит с начало определить где эти регулировки нужно предотвращать.
4.12 Непреднамеренное синонимы: случайное, не являющиеся результатом умысла.
Программа минимум: На всех СИ завод изготовитель устанавливает пломбы, количество и расположение пломб определяются при утверждении типа СИ. Особого требования к пломбам не находил. Если пломбы не предусмотрены лучше поставить две чтобы при повреждении одной не проводить дополнительных действий. На большие электрощиты можно повесить замок и пломбу.
Любое ПО имеет определённый уровень защиты. Для приборов это как правило защита от непреднамеренного вмешательства, что вполне достаточно для соблюдения данного требования. Так же в РЭ встречал контрольные суммы. Стоит заранее посмотреть есть ли возможность их проверить. Ненужные регулировочные элементы также необходимо защитить.
Программа максимум: Продаются самоклеющиеся и одноразовые номерные пломбы, что повышает уровень защиты (пломбы необходимо учитывать). Компьютеры с ПО необходимо отключить от сети интернет, опломбировать корпус, отключить, или запломбировать ненужные интерфейсы для подключения дополнительных устройств. Определённые файлы можно проверять с помощью контрольных сумм.

Вообще в голове куча вариантов

Так как это требование ГОСТ 17025-2019, и подход был организационный, вернее, чтобы было документарное подтверждение. Ведь требуют, чтобы все было описано. А тех. сторона вопроса - тоже факт. мера (пломбы и др. уровни защиты), это для оборудования, где есть ПО. Даже очень действенный и практический: не нарушена защита - нет нарушений.
Но если вчитаться до словно - "непреднамеренных" - т.е. злого умысла на вредительство не было, был человеческий фактор или что-то еще, думаю, упор и делается на предупреждающие. В любом случае описать и тех. и организационную сторону все таки придется.

cordek писал(а): ↑ 14 сен 2019 21:18 Допускать к оборудованию только обученных сотрудников и давать им обязательно копии инструкций.
[/quote
не разу не видел человека, которые могут отрегулировать СИ, которые не разбираются в СИ

Метролог писал(а): ↑ 15 сен 2019 00:52 не разу не видел человека, которые могут отрегулировать СИ, которые не разбираются в СИ

СиМКа писал(а): ↑ 16 сен 2019 06:13 Отрегулировать не смогут, а накрутить или натыкать куда попало - пожалуйста.

Прибор пломбируется для того, чтобы быть уверенным в том, что никто не проводил дополнительную регулировку. Сама пломба не может остановить любителя порегулировать, вне зависимости от своей компетентности

Первоочередное - отсутствие свободного доступа к самому СИ. Потом отсутствие свободного доступа к ПО СИ. А потом, при возможности, фиксация ручек, регуляторов, кнопок и т.д. универсальной защитой - скотчем (яркой изолентой).

Olga_Nesterova писал(а): ↑ 18 сен 2019 11:24 Первоочередное - отсутствие свободного доступа к самому СИ

Требуются практические меры, т.е. пломбы или устройства индикации вмешательства! Со средствами измерений мне все понятно, а вот как контролировать целостность ПО? Сверять контрольные суммы? На специализированное ПО допустим, что можно попробовать, а вот на стандартное, например MS Word?

Лаборатория должна принимать практические меры по предотвращению непреднамеренных регулировок оборудования , которые могут привести к признанию результатов недействительными. MS Word здесь причём?
Часть оборудования можно отнести достаточно защищённому (неподготовленный персонал не сможет случайно отрегулировать), Остальное надо смотреть по ситуации. Выше же писали меры, если не лень и сможете организовать более продвинутые, никто не запретит.

Не любое, а то которое необходимо для результата. Если у Вас специальная таблица Excel с помощью которой вы ежедневно проводите расчёт с заранее введёнными формулами, это одно (для НЕПРЕДНАМЕРЕННОГО, заблокируйте формулы от изменения, введите контроль), а если WORLD для оформления протоколов, или калькулятор это другое.

Совершенно верно. Но. Давайте порассуждаем?
1) World. ? Вы используете его для оформления протоколов, а это результат лабораторной деятельности? Конечно!
Вот, например, из области реальной фантастики. Я Ваш заказчик. Мое требование чтобы протокол был оформлен определенным шрифтом, который я предоставлю(объясняя это требованиями моего иностранного клиента). Этот шрифт отсутствует в стандартной библиотеке MS World, а присутствует в расширенной библиотеке, который я Вам предоставлю и подтверждающие документы от MS. За договор предложу хорошую сумму. ИЛ согласиться? Наверное да. Ну подумашь, капризы заказчика оформить протокол другим шрифтом. ГОСТ же это не запрещает? Вы принимаете от меня файл шрифта (конечно проверив все документы на подлинность от МS, но не проверив его на правильность - требования п. 7.11, так как Вы в этом не спецы), добавляете его в свой Word, и тщательно проверяя, Вы выдаете мне протокол. По Вашему мнению достоверный. А через некоторое время я подаю на Вас в суд о признании результатов недействительными, так как код символа 0 (ноль) заменен на код буквы О (это в данном шрифте заметно разницу, а в том, который я предоставлю, "на глаз" не отличить). Тех экспертиза подтверждает это. Результаты достоверны? Нет, конечно! ИЛ попала? Ну конечно! Но вопрос не в этом. Почему Ваша ИЛ допустила (Вы не хотели и не желали этого) непреднамеренную настройку ПО, которое Вы сейчас считаете не причем? И самый главный вопрос! А как же этого не допустить? Ну это из области реальной фантастики (хотя мы так в институте так друг над другом подшучивали))).
2) А вот случай из моей реальной практики:
Получили мы однажды новые дозиметры-радиометры МКС АТ-1117М. Я лично их проверил (сходимость, точность, прецизионность), без замечаний. Я выдал их для изучения работникам. Через какое-то время мне докладывают, что один из приборов врёт. Я глазам своим не поверил, когда проверил - действительно врёт! Начал спрашивать: "Ничего не делали такого. Просто изучали..Вы же сами нам сказали. ". Отправили по гарантии на завод. Вердикт - изменение заводских коэффициентов, посредством входа в специальный сервисный режим при помощи мастер-кода (определенное сочетание нажатий клавиш). Вот как? Как может русский человек методом "научного тыка" не преднамеренно (я бы сказал не сознательно) это сделать. И КАК от таких случаев защищаться?

Павел_С писал(а): ↑ 14 май 2020 18:52 Мое требование чтобы протокол был оформлен определенным шрифтом

Договор то не в одностороннем порядке составляется, вы сначала должны оценить заказчика, возможность выполнения заказа, всю переписку сохранять, с рабочими записями, и.т.д я думаю они за клевету Вам заплатят, я вам более могу фантастические варианты накидать. А так то результат это правильно записанная циферка (под правильно я подразумеваю, возможность правильно без двусмыслия и додумок интерпретировать: номер протолокла, заказчик и.т.д).
Я Вам уже писал Вас не заставляют исключать всё на сто процентов. Прибор проверили хорошо. Выдали проинструктировали, проверили знания хорошо, пошли измерять, через пару периодов ВЛК, не прошло, отзываете протоколы до предыдущего ВЛК.
Можно в рабочем журнале строчку сделать проверка фоновой скорости счёта 0,1-0,2 удв. как часть ВЛК будет.
По шрифтам не буду опытом делится, а по Вашему случаю расскажу как избежать этого риска, на все такие мутные заказы (не только лабораторией занимаюсь) цена умножается на 3, одна часть идёт в накопления, в случае неудачи, потери компенсируются из этой подушки.

О том, о чем Вы говорите, это в основном организационные меры, а вот как предпринять ПРАКТИЧЕСКИЕ меры? Как этого требует ГОСТ, вот в этом и был мой вопрос, так как "соломку подстелить" на все случаи жизни не возможно. И многие эксперты на ПК начинают - "а вот что если. ".

Например.
Не стоит искать магической кнопки которая всё сделает, её нет. ВЛК, ну можете внедрить контроль достоверности результатов.

Читайте также:

  
• С какого момента начинается уголовное судопроизводство
  
• Сколько основных задач надо решать для обеспечения заданного уровня безопасности
  
• Какое обстоятельство не относилось к смягчающим вину по петровскому уголовному законодательству
  
• Можно ли быть мужу и жене свидетелями на свадьбе
  
• Нужна ли отметка в паспорте о загранпаспорте