Challenges in Blockchain-IoT Integration

6.4.1.1 Evaluar que los procesos del ciclo de vida y sus salidas son tales que el software se encuentra entre los niveles definidos de integridad de seguridad para el software 1 a 4 y que es válido para su aplicación prevista.

6.4.1.2 Los requisitos de esta norma deben cumplirse para software con SIL 0, pero si se dispone de un certificado que declare la conformidad del software con la Norma EN ISO 9001, no será necesario realizar ninguna evaluación.

6.4.2 Documentos de entrada

1) Especificación de Requisitos de Seguridad del Sistema. 2) Especificación de Requisitos del Software.

3) Resto de documentos necesarios para realizar el proceso de evaluación. 6.4.3 Documentos de salida

1) Plan de Evaluación del Software. 2) Informe de Evaluación del Software.

3) Informe de Verificación de Evaluación del Software. 6.4.4 Requisitos

6.4.4.1 Un Evaluador independiente, como se describe en los apartados 5.1.2.6 y 5.1.2.7, debe encargarse de realizar la evaluación del software.

6.4.4.2 No es necesario realizar una nueva evaluación de aquel software que cuente con un Informe de Evaluación de Software realizado por otro Evaluador. El evaluador debe comprobar que el software es válido para su uso previsto dentro de su entorno previsto, y debe comprobar también que en la evaluación anterior el software ha alcanzado un nivel de integridad de seguridad al menos igual al nivel requerido.

6.4.4.3 El Evaluador debe tener acceso a toda la documentación relativa al proyecto durante el proceso de desarrollo. 6.4.4.4 Se debe redactar un Plan de Evaluación del Software, bajo la responsabilidad del Evaluador, tomando los documentos de entrada del apartado 6.4.2 como base. Cuando proceda, se puede usar un procedimiento o Plan de Evaluación del Software genérico documentado existente. El requisito del apartado 6.4.4.5 hace referencia al Plan de Evaluación del Software.

6.4.4.5 El Plan de Evaluación del Software debe incluir el siguiente campo de aplicación: a) aspectos de los que trate la evaluación;

b) actividades durante el proceso de evaluación y su enlace secuencial con las actividades de ingeniería; c) documentos a tener en cuenta;

d) declaraciones de los criterios de aceptación/rechazo y forma de tratar los casos de no conformidad; e) requisitos relativos al contenido y forma del Informe de Evaluación del Software.

6.4.4.6 Se debe redactar un Informe de Verificación de la Evaluación del Software, bajo la responsabilidad del Verificador, tomando los documentos de entrada del apartado 6.4.2 como base.

El requisito del apartado 6.4.4.7 hace referencia al Informe de Verificación de la Evaluación del Software. 6.4.4.7 Una vez que se haya establecido el Plan de Evaluación del Software, la verificación debe recoger:

a) que el Plan de Evaluación del Software cumple con los requisitos generales de legibilidad y trazabilidad que se describen desde el apartado 5.3.2.7 hasta el apartado 5.3.2.10 y desde el apartado 6.5.4.14 hasta el apartado 6.5.4.17, así como los requisitos específicos descritos en el apartado 6.4.4.5;

b) la coherencia interna del Plan de Evaluación del Software.

Los resultados deben quedar registrados en un Informe de Verificación de la Evaluación del Software.

6.4.4.8 El Evaluador debe evaluar si el software del sistema es válido para su propósito previsto y responde de forma correcta a los temas relativos a la seguridad derivados de la Especificación de Requisitos de Seguridad del Sistema. 6.4.4.9 El Evaluador debe evaluar si se han seleccionado y aplicado una serie de técnicas del anexo A, adecuadas para el desarrollo previsto, en función del nivel de integridad de seguridad requerido.

Además, el evaluador debe tener en cuenta hasta qué punto se aplica cada técnica del anexo A, es decir, si se aplica a todo el software o solo a parte de éste, y debe además encontrar pruebas que demuestren que se aplica de forma correcta.

6.4.4.10 El Evaluador debe evaluar la configuración y el sistema de gestión de las modificaciones así como las pruebas sobre su uso y aplicación.

6.4.4.11 El Evaluador debe revisar las pruebas relativas a la competencia del personal del equipo de proyecto de acuerdo con el anexo B y debe evaluar la organización para el desarrollo del software de acuerdo con el apartado 5.1. 6.4.4.12 El Evaluador debe comprobar en cualquier software que contenga condiciones de aplicación relacionadas con la seguridad que no existen desviaciones conocidas, casos de no conformidad con los requisitos ni casos de no conformidad registrados, que puedan tener impacto en la seguridad, y debe juzgar si la justificación proporcionada por el proyecto es aceptable. El resultado debe recogerse en el informe de evaluación.

6.4.4.13 El Evaluador debe evaluar las actividades de verificación y validación y las pruebas justificativas.

6.4.4.14 El Evaluador debe dar su aprobación sobre el campo de aplicación y los contenidos del Plan de Validación del Software. Dicha aprobación debe contar también con una declaración relativa a la presencia del Evaluador durante los ensayos.

6.4.4.15 El Evaluador puede realizar auditorías e inspecciones (por ejemplo, presenciando los ensayos) en cualquier momento del proceso de desarrollo. El Evaluador puede solicitar un trabajo adicional de verificación y validación. NOTA Se considera una ventaja que el Evaluador se implique desde las etapas iniciales del proyecto.

6.4.4.16 Debe redactarse un Informe de Evaluación del Software bajo la responsabilidad del Evaluador. Los requisitos que se describen desde el apartado 6.4.4.17 al 6.4.4.19 hacen referencia al Informe de Evaluación del Software.

6.4.4.17 El Informe de Evaluación del Software debe cumplir los requisitos del Plan de Evaluación del Software, y proporcionar una conclusión y recomendaciones.

6.4.4.18 El Evaluador debe registrar sus actividades como base coherente para el Informe de Evaluación del Software. Éstas deben aparecer resumidas en el Informe de Evaluación del Software.

6.4.4.19 El Evaluador debe identificar y evaluar cualquier caso de no conformidad con los requisitos de esta norma europea y juzgar el impacto sobre el resultado final. El Informe de Evaluación del Software debe recoger dichos casos de no conformidad y los juicios que se emitan sobre ellos.

6.5 Garantía de calidad del software