Trick verreckt: Sicherheitsklassifikation von Software als Klasse A
Sonntag, 17. Januar 2010Die Idee, die mein Beratungskunde hat, ist eigentlich nicht schlecht: Man klassifiziert die Software nach Sicherheitsklasse A und schon muss man die Software-Entwicklung kaum noch dokumentieren.
In der Tat, der Dokumentationsumfang kann stark an die Sicherheitsklasse angepasst werden. Die IEC 62304, die Norm zum Lebenszyklus medizinischer Software, kennt drei Klassen:
- Klasse A: Keine Verletzung oder Schädigung der Gesundheit ist möglich.
- Klasse B: Keine schwere Verletzung ist möglich.
- Klasse C: Tod oder schwere Verletzung ist möglich.
Abhängig von der Gefährdungsklasse müssen bestimmte Aktivitäten nicht dokumentiert werden:
| Aktivtät | Klasse A | Klasse B | Klasse C |
|---|---|---|---|
| Software-Entwicklungsplan | X | X | X |
| Software-Anforderungen | X | X | X |
| Software-Architektur | X | X | |
| Software-Design | X | ||
| Implementierung und Verifizierung der Softwareeinheiten | (X) | X | |
| Softwareintegration(-sprüfung) | X | X | |
| Softwaresystemprüfung | X | X | |
| Freigabe | X | X | X |
Die Versuchung, die Software als Klasse A zu definieren, ist also sehr hoch. Doch ist das erlaubt? (weiterlesen…)
