32008R0482

Language
- My EUR-Lex
- Sign in
- Register
- My recent searches (0)

This document is an excerpt from the EUR-Lex website

Search tips

Need more search options? Use the Advanced search

EUROPA
EUR-Lex home
Määrus - 482/2008 - EN - EUR-Lex

Document 32008R0482

Help

Komisjoni määrus (EÜ) nr 482/2008, 30. mai 2008 , millega luuakse aeronavigatsiooniteenuste osutajate rakendatav tarkvara turvalisuse tagamise süsteem ja muudetakse määruse (EÜ) nr 2096/2005 II lisa EMPs kohaldatav tekst

OJ L 141, 31.5.2008, p. 5–10 (BG, ES, CS, DA, DE, ET, EL, EN, FR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
Special edition in Croatian: Chapter 07 Volume 016 P. 88 - 93

Legal status of the document No longer in force, Date of end of validity: 01/01/2020; kehtetuks tunnistatud 32017R0373

ELI: http://data.europa.eu/eli/reg/2008/482/oj

HTML

PDF

Official Journal

31.5.2008

Euroopa Liidu Teataja

L 141/5

KOMISJONI MÄÄRUS (EÜ) nr 482/2008,

30. mai 2008,

millega luuakse aeronavigatsiooniteenuste osutajate rakendatav tarkvara turvalisuse tagamise süsteem ja muudetakse määruse (EÜ) nr 2096/2005 II lisa

(EMPs kohaldatav tekst)

EUROOPA ÜHENDUSTE KOMISJON,

võttes arvesse Euroopa Ühenduse asutamislepingut,

võttes arvesse Euroopa Parlamendi ja nõukogu 10. märtsi 2004. aasta määrust (EÜ) nr 550/2004 aeronavigatsiooniteenuste osutamise kohta ühtses Euroopa taevas (teenuse osutamise määrus), (1) eriti selle artiklit 4,

ning arvestades järgmist:

(1)

Määruse (EÜ) nr 550/2004 kohaselt peab komisjon kindlaks määrama ja vastu võtma Euroopa Lennuliikluse Ohutuse Organisatsiooni (Eurocontrol) ohutusnõuete (edaspidi „ESARR”) asjakohased sätted, võttes arvesse olemasolevaid ühenduse õigusakte. ESARR 6ga (sätted tarkvara kohta lennuliikluse korraldamise süsteemides) on ette nähtud ohutusnõuded tarkvara turvalisuse tagamise süsteemi rakendamiseks.

(2)

Komisjoni 20. detsembri 2005. aasta määruse (EÜ) nr 2096/2005 (milles sätestatakse aeronavigatsiooniteenuste osutamise ühised nõuded) (2) 12. põhjenduse viimases lauses on sedastatud, et „asjakohased ESARR 1 sätted ohutusjärelevalve kohta lennuliikluse korraldamisel ja ESARR 6 sätted tarkvara kohta lennuliikluse korraldamise süsteemides tuleks kindlaks määrata ja vastu võtta eraldi ühenduse õigusaktidena.”

(3)

Määruse (EÜ) nr 2096/2005 II lisas kohustatakse aeronavigatsiooniteenuste osutajaid rakendama ohutusjuhtimissüsteeme ning hindama ja vähendama muudatustega seotud riske. Oma ohutusjuhtimissüsteemi raames ning osana muudatustega seotud riskide hindamise ja vähendamise tegevustest peavad aeronavigatsiooniteenuste pakkujad määratlema ja rakendama tarkvara turvalisuse tagamise süsteemi, et käsitleda konkreetselt tarkvaraga seotud aspekte.

(4)	Tarkvara sisaldavate funktsionaalsete süsteemide puhul on tarkvara turvalisuse peamine eesmärk tagada, et Euroopa lennuliikluse juhtimisvõrgu süsteemide tarkvara (edaspidi „EATMNi tarkvara”) kasutamisega seotud riskid on vähendatud vastuvõetavale tasemele.

(5)	Käesolev määrus ei hõlma sõjalisi operatsioone ega õppusi, nagu on osutatud Euroopa Parlamendi ja nõukogu 10. märtsi 2004. aasta määruse (EÜ) nr 549/2004 (millega sätestatakse raamistik ühtse Euroopa taeva loomiseks (raammäärus) (3) artikli 1 lõikes 2.

(6)	Määruse (EÜ) nr 2096/2005 II lisa tuleks vastavalt muuta.

(7)	Käesoleva määrusega ette nähtud meetmed on kooskõlas ühtse taeva komitee arvamusega,

ON VASTU VÕTNUD KÄESOLEVA MÄÄRUSE:

Artikkel 1

Sisu ja reguleerimisala

1. Käesolevas määruses sätestatakse nõuded tarkvara turvalisuse tagamise süsteemi määratlemiseks ja rakendamiseks lennuliiklusteenuste osutajatele, side-, navigeerimis- ja seireteenuse osutajatele ning lennuliiklusvoo juhtimise ja üldise lennuliikluse jaoks õhuruumi korraldamisega tegelevatele üksustele.

Sellega määratletakse ja võetakse vastu Euroopa Lennuliikluse Ohutuse Organisatsiooni ohutusnõuete kohustuslikud sätted tarkvara kohta lennuliikluse korraldamise süsteemides (ESARR 6), mis anti välja 6. novembril 2003.

2. Käesolevat määrust kohaldatakse lennuliiklusteenuste, õhuruumi korraldamise ja lennuliiklusvoo juhtimise süsteemides ning side-, navigeerimis- ja seiresüsteemides kasutatava uue tarkvara või tarkvara mis tahes muudatuste suhtes.

Käesolevat määrust ei kohaldata õhusõiduki pardal asuvate koostisosade ega kosmoses toimivate seadmete tarkvara suhtes.

Artikkel 2

Mõisted

Käesolevas määruses kasutatakse määruse (EÜ) nr 549/2004 artikliga 2 kehtestatud mõisteid.

Lisaks sellele kasutatakse ka järgmisi mõisteid:

1)	„tarkvara” – arvutiprogrammid ja seotud seadistusandmed, sealhulgas valmistarkvara, kuid mitte sellised elektroonikakomponendid nagu rakendusspetsiifilised integraalskeemid, programmeeritavad ventiilmaatriksid või pooljuht-loogikakontrollerid;

2)	„seadistusandmed” – andmed, mis seadistavad üldise tarkvarasüsteemi teatavasse kasutuskorda;

3)	„valmistarkvara” – tarkvara, mis ei ole välja töötatud käsitletava lepingu jaoks;

4)	„turvalisuse tagamine” – kõik kavandatud ja süstemaatilised meetmed, mida on vaja toote, teenuse, organisatsiooni või funktsionaalse süsteemi rahuldava või vastuvõetava turvataseme tagamiseks;

5)	„organisatsioon” – lennuliiklusteenuste või side-, navigeerimis- ja seireteenuste osutaja või lennuliiklusvoo juhtimise või õhuruumi korraldamisega tegelev üksus;

6)	„funktsionaalne süsteem” – süsteemide, menetluste ja inimressursside kombinatsioon, mida on vaja lennuliikluse korraldamisega seotud ülesannete täitmiseks;

7)	„risk” – ohutegurite põhjustatud kahjuliku mõju üldise tõenäosuse või esinemissageduse ja selle mõju tõsiduse kombinatsioon;

8)	„ohutegur” – mis tahes olukord, juhtum või asjaolu, mis võib põhjustada õnnetusjuhtumi;

9)	„uus tarkvara” – tarkvara, mis on tellitud või mille saamiseks on pärast käesoleva määruse jõustumist sõlmitud siduv leping;

10)	„ohutuseesmärk” – kvalitatiivne või kvantitatiivne avaldus, milles määratletakse ohutegurite ilmnemise maksimaalne eeldatav sagedus või tõenäosus;

11)	„ohutusnõuded” – riski vähendamise meetmed, mis tulenevad teatava ohutuseesmärgi saavutamiseks ette nähtud riskide vähendamise strateegiast ning milleks võivad olla korraldus-, tegevus-, menetlus-, funktsiooni-, toimivus- ja koostalitlusvõimega seotud nõuded või keskkonnatingimused;

12)	„katkestuseta ümberlülitus või käigultvahetus” – Euroopa lennuliikluse juhtimisvõrgu (EATMN) süsteemi osade või tarkvara vahetamine süsteemi töötamise ajal ilma töö katkestamiseta;

13)	„tarkvara turvalisuse nõue” – ülevaade sellest, mida tarkvara peab sisendeid ja piiranguid arvesse võttes tootma; selle täitmisega tagatakse EATMNi tarkvara turvaline ning kasutusvajadustele vastav toimimine;

14)	„EATMNi tarkvara” – artiklis 1 osutatud EATMNi süsteemides kasutatav tarkvara;

15)	„nõuete kehtivus” – konkreetseks kasutuseks ette nähtud nõuete otstarbekohasuse kinnitamine kontrollide ja objektiivsete tõendite abil;

16)	„sõltumatult saavutatav” – tarkvara vastavustõendamise teeb muu isik kui kontrollitava toote väljatöötaja;

17)	„tarkvararike” – programmi võimetus täita nõutavat funktsiooni nõuetekohaselt;

18)	„tarkvaratõrge” – programmi võimetus nõutavat funktsiooni täita;

19)	„COTS” – turul olevad rakendused, mida tarnija müüb avalike kataloogide kaudu ja mis ei ole ette nähtud kohandamiseks ega täiustamiseks;

20)	„tarkvarakomponendid” – moodulid, mida on võimalik kohandatud tarkvararakenduse loomiseks sobitada või ühendada teiste taaskasutatavate tarkvaramoodulitega;

21)	„sõltumatud tarkvarakomponendid” – sellised tarkvarakomponendid, mida ei muuda kasutuskõlbmatuks ohuolukorda põhjustav tõrkeseisund;

22)	„tarkvara ajaline jõudlus” – aeg, mille jooksul tarkvara peab antud sisendile või perioodilistele sündmustele vastama, ja/või tarkvara jõudlus, võttes arvesse ajaühikus sooritatavaid tehinguid või töödeldavaid teateid;

23)	„tarkvara võimekus” – tarkvara võime tulla toime etteantud andmevoo mahuga;

24)	„täpsus” – arvutatud tulemuste nõutav täpsus;

25)	„tarkvara ressursikasutus” – arvutisüsteemi ressursside hulk, mida rakendustarkvara võib kasutada;

26)	„tarkvara mittekapriissus” – tarkvara käitumine ootamatute sisendite, riistvara rikete ja energiakatkestuste korral kas arvutisüsteemis endas või sellega ühendatud seadmetes;

27)	„ülekoormuse taluvus” – süsteemi käitumine ja eelkõige selle taluvus sisendite korral, mille sagedus on suurem kui süsteemi tavalise toimimise korral;

28)

„EATMNi tarkvara nõuetekohane ja täielik vastavustõendamine” – olukord, kus kõigi tarkvara turvalisuse nõuetega määratletakse täpselt, mida riski hindamise ja vähendamisega tarkvarakomponendilt nõutakse, ning nende nõuete rakendamine on näidatud tasemeni, mida nõuab tarkvara turvalisuse tagatuse tase;

29)

„tarkvara elutsükli andmed” – tarkvara elutsükli jooksul toimingute kavandamiseks, suunamiseks, selgitamiseks, määratlemiseks, registreerimiseks või nendest toimingutest tõendite jätmiseks loodud andmed. Kõnealused andmed võimaldavad tarkvara elutsükli protsesside sidumist, süsteemi või seadmete heakskiitmist ning sellejärgset tarkvaratoote modifitseerimist;

30)

„tarkvara elutsükkel”:

a)	tellitud protsesside kogum, mille organisatsioon on tunnistanud tarkvaratoote loomise jaoks piisavaks ja rahuldavaks;

b)	ajavahemik alates tarkvaratoote loomise või modifitseerimise otsusest kuni toote kasutuselt kõrvaldamiseni;

31)	„süsteemi turvalisuse nõue” – funktsionaalse süsteemi jaoks loodud turvalisuse nõue.

Artikkel 3

Üldised ohutusnõuded

1. Kui organisatsioon peab kohaldatava ühenduse või siseriikliku õiguse kohaselt hindama ja vähendama riski, tuleb tal selleks, et tegeleda EATMNi tarkvaraga seotud spetsiifiliste aspektidega, sealhulgas kõigi tarkvara tööd käsitlevate süsteemis tehtavate muudatustega, nagu katkestuseta ümberlülitus või käigultvahetus, määratleda tarkvara turvalisuse tagamise süsteem ja seda rakendada.

2. Organisatsioon peab vähemalt tagama, et tema tarkvara turvalisuse tagamise süsteem pakub tõendeid ja põhjendusi, mis näitavad järgmist:

a)	tarkvara turvalisuse nõuded määratlevad täpselt, mida on vaja tarkvara ohutuseesmärgi ja -nõuete täitmiseks, nagu on määratletud riski hindamise ja vähendamise protsessis;

b)	jälgitavust käsitletakse seoses kõigi tarkvara turvalisuse nõuetega;

c)	tarkvara rakendamine ei sisalda funktsioone, mis avaldavad negatiivset mõju turvalisusele;

d)	EATMNi tarkvara vastab nõuetele usaldusväärsuse tasemega, mis on kooskõlas tarkvara kriitilisusega;

punktides a kuni d kehtestatud üldiste ohutusnõuete järgimist kindlustavad tagatised; nõutavatest tagatistest tunnistust andvad põhjendused tulenevad alati

i)	tarkvara teadaolevast täitmisversioonist;

ii)	seadistusandmete teadaolevast ulatusest;

iii)	teadaolevatest tarkvaratoodetest ja kirjeldustest, sealhulgas kõnealuse versiooni tootmiseks kasutatud spetsifikatsioonidest.

3. Organisatsioon teavitab riiklikke järelevalveorganeid nõutavatest tagatistest, millega näidatakse lõikes 2 nimetatud nõuete täitmist.

Artikkel 4

Tarkvara turvalisuse tagamise süsteemi suhtes kohaldatavad nõuded

Organisatsioon tagab vähemalt, et tarkvara turvalisuse tagamise süsteem

1)	on dokumenteeritud ning moodustab osa riskide hindamise ja vähendamise üldisest dokumentatsioonist;

2)	määrab kogu kasutatavale EATMNi tarkvarale turvalisuse tagatuse taseme vastavalt I lisas sätestatud nõuetele;

kindlustab

a)	tarkvara turvalisuse nõuete kehtivuse vastavalt II lisa A osas sätestatud nõuetele;

b)	tarkvara vastavustõendamise vastavalt II lisa B osas sätestatud nõuetele;

c)	tarkvara seadistamise haldamise vastavalt II lisa C osas sätestatud nõuetele;

d)	tarkvara turvalisuse nõuete jälgitavuse vastavalt II lisa D osas sätestatud nõuetele;

määrab kindlaks, kui ranged peavad olema tagatised. Rangus tuleb määratleda tarkvara turvalisuse tagatuse kõikide tasemete jaoks ning peab tarkvara kriitilisuse suurenedes samuti suurenema; selleks peavad

erinevused tagatiste ranguses tarkvara turvalisuse tagatuse taseme kohta sisaldama järgmisi kriteeriume:

i)	peavad olema sõltumatult saavutatavad;

ii)	peavad olema saavutatavad;

iii)	ei pea olema saavutatavad;

b)	tarkvara turvalisuse tagatuse igale tasemele vastavad tagatised piisava usaldusväärsusega tõendama, et EATMNi tarkvara on võimalik käitada vastuvõetava turvalisusega;

kasutab EATMNi tarkvara käitamise kogemustest saadavat tagasisidet eesmärgiga saada kinnitus selle kohta, et tarkvara turvalisuse tagamise süsteem ja turvalisuse tagatuse tasemete määramine vastavad nõuetele. Selleks võrreldakse turvalisusega seotud vahejuhtumitest teatamist ja nende hindamist käsitlevate asjakohaste nõuete kohaselt esitatud tarkvararikete ja -tõrgete tagajärgi asjaomase süsteemi jaoks määratletud tagajärgedega vastavalt määruse (EÜ) nr 2096/2005 II lisa punktis 3.2.4 kehtestatud tõsidusastmeid käsitlevale kavale.

Artikkel 5

Tarkvarasse tehtavate muudatuste ja eriotstarbelise tarkvara suhtes kohaldatavad nõuded

1. Igasuguste tarkvarasse tehtavate muudatuste või eriotstarbelise tarkvara, näiteks COTS või valmistarkvara, või varem kasutatud tarkvara puhul, mille suhtes ei saa kohaldada mõnda artikli 3 lõike 2 punktide d või e ja artikli 4 lõigete 2, 3, 4 või 5 nõuet, peab organisatsioon tagama, et tarkvara turvalisuse tagamise süsteem pakub muude valitud ning riikliku järelevalveasutusega kooskõlastatud vahendite kaudu samasugust usaldusväärsuse taset nagu asjaomane tarkvara turvalisuse tagatuse tase, kui see on määratletud.

Kõnealused vahendid peavad piisava usaldusväärsusega tõendama, et tarkvara vastab ohutuseesmärkidele ja -nõuetele, nagu on määratletud ohutusriskide hindamise ja vähendamise protsessis.

2. Lõikes 1 nimetatud vahendite hindamisel võib riiklik järelevalveasutus kasutada tunnustatud organisatsiooni või teavitatud asutuse abi.

Artikkel 6

Määruse (EÜ) nr 2096/2005 muutmine

Määruse (EÜ) nr 2096/2005 II lisasse lisatakse järgmine jagu:

„3.2.5. 5. jagu

Tarkvara turvalisuse tagamise süsteem

Lennuliiklusteenuste osutaja peab ohutusjuhtimissüsteemi raames rakendama tarkvara turvalisuse tagamise süsteemi vastavalt komisjoni 30. mai 2008. aasta määrusele (EÜ) nr 482/2007, millega luuakse aeronavigatsiooniteenuste osutajate rakendatav tarkvara turvalisuse tagamise süsteem ja muudetakse määruse (EÜ) nr 2096/2005 II lisa. (4)

Artikkel 7

Jõustumine

Käesolev määrus jõustub kahekümnendal päeval pärast selle avaldamist Euroopa Liidu Teatajas.

Seda kohaldatakse alates 1. jaanuarist 2009 artikli 1 lõikes 2 osutatud EATMNi süsteemide uue tarkvara suhtes.

Seda kohaldatakse alates 1. juulist 2010 artikli 1 lõikes 2 osutatud ja kõnealusel kuupäeval töös olevate EATMNi süsteemide tarkvarasse tehtud mis tahes muudatuste suhtes.

Käesolev määrus on tervikuna siduv ja vahetult kohaldatav kõikides liikmesriikides.

Brüssel, 30. mai 2008

Komisjoni nimel

komisjoni liige

Antonio TAJANI

(1) ELT L 96, 31.3.2004, lk 10.

(2) ELT L 335, 21.12.2005, lk 13. Määrust on viimati muudetud määrusega (EÜ) nr 1315/2007 (ELT L 291, 9.11.2007, lk 16).

(3) ELT L 96, 31.3.2004, lk 1.

(4) ELT L 141, 31.5.2008, lk 5.”.

I LISA

Artikli 4 lõikes 2 osutatud tarkvara turvalisuse tagatuse taseme suhtes kohaldatavad nõuded

Tarkvara turvalisuse tagatuse tase peab looma seose tarkvara turvalisuse tagatiste ranguse ja EATMNi tarkvara kriitilisuse vahel, kasutades määruse (EÜ) nr 2096/2005 II lisa punkti 3.2.4 4. jaoga ette nähtud tõsidusastmete klassifitseerimise kava ja teatavate kahjulike tagajärgede ilmnemise tõenäosust. Määratleda tuleb vähemalt neli tarkvara turvalisuse tagatuse taset, kusjuures tarkvara turvalisuse tagatuse 1. tase viitab kõige kriitilisemale tasemele.

Tarkvara turvalisuse tagatuse määratud tase peab vastama kõige kahjulikumatele tagajärgedele, mida tarkvararikked ja -tõrked võivad vastavalt määruse (EÜ) nr 2096/2005 II lisa punkti 3.2.4 4. jaole põhjustada. Selle puhul tuleb eeskätt arvesse võtta tarkvararikete või -tõrgetega seotud riske ning tarkvara arhitektuurist ja/või toimimisest tulenevat tuvastatud kaitset.

3.	EATMNi tarkvarakomponentidele, mida ei saa näidata üksteisest sõltumatutena, tuleb määrata sõltuvate komponentide seast kõige kriitilisema komponendi turvalisuse tagatuse tase.

II LISA

A osa. Artikli 4 lõike 3 punktis a osutatud tarkvara turvalisuse nõuete kehtivuse tagamise suhtes kohaldatavad nõuded

Tarkvara turvalisuse nõuetes tuleb määratleda EATMNi tarkvara funktsionaalne toimimine nominaalrežiimil ja madaldatud režiimidel, ajaline jõudlus, võimekus, täpsus, tarkvara ressursikasutus sihtriistvaral, mittekapriissus ebatavaliste käitamistingimuste korral ning vajaduse korral ülekoormuse taluvus.

2.	Tarkvara turvalisuse nõuded peavad olema täielikud ja nõuetekohased ning vastama ka süsteemi turvalisuse nõuetele.

B osa. Artikli 4 lõike 3 punktis b osutatud tarkvara vastavustõendamise tagamise suhtes kohaldatavad nõuded

1.	EATMNi tarkvara funktsionaalne toimimine, ajaline jõudlus, võimekus, täpsus, tarkvara ressursikasutus sihtriistvaral, mittekapriissus ebatavaliste käitamistingimuste korral ning ülekoormuse taluvus peavad vastama tarkvara nõuetele.

2.	EATMNi tarkvara tuleb nõuetekohaselt tõendada analüüsi teel ja/või katsete ja/või samaväärsete vahendite abil, nagu on kooskõlastatud siseriikliku järelevalveasutusega.

3.	EATMNi tarkvara vastavustõendamine peab olema nõuetekohane ja täielik.

C osa. Artikli 4 lõike 3 punktis c osutatud tarkvara seadistamise haldamise tagamise suhtes kohaldatavad nõuded

1.	Seadistusandmed, jälgitavus ja olekuregister peavad olema sellised, et tarkvara elutsükli andmed oleks seadistuskontrolli all näha kogu EATMNi tarkvara elutsükli jooksul.

2.	Probleemist teavitamine, selle tuvastamine ja parandusmeetmed peavad olema sellised, et need võimaldaksid näidata, et tarkvaraga seotud turvalisusprobleemid on lahendatud.

3.	Otsingu- ja avalikustamisprotseduurid peavad olema sellised, et need võimaldaksid regenereerida ja saada tarkvara elutsükli andmeid kogu EATMNi tarkvara elutsükli jooksul.

D osa. Artikli 4 lõike 3 punktis d osutatud tarkvara turvalisuse nõuete jälgitavuse tagamise suhtes kohaldatavad nõuded

1.	Iga tarkvara turvalisuse nõue peab olema jälgitav kavandamise selle tasemeni, mis näitab asjaomase nõude täitmist.

2.	Iga tarkvara turvalisuse nõue peab olema kavandamise kõikidel tasemetel, mis näitavad nõude täitmist, jälgitav kuni süsteemi turvalisuse nõudeni.

Top