Напишите нам
Мы уточним наличие интересующего вас продукта у этого вендора
Напишите нам
Мы уточним срок действия сертификата интересующего вас продукта
Click to order
Корзина
Total:
Контактные данные
Поддержка
Если у вас возникли вопросы при пользовании сертифицированными продуктами напишите нам
Напишите нам
Хотите задать вопрос?
Мы Вам рады!
Мы Вам рады!
Сертифицировать ПО
Мы свяжемся с вами, чтобы обсудить процесс сертификации
Консультация
Опишите ваш вопрос, мы перезвоним и ответим на него.
Вы также можете задать вопрос по телефону
+7 (495) 229-56-07
Вы также можете задать вопрос по телефону
+7 (495) 229-56-07
Стать партнером
Мы свяжемся с вами, чтобы уточнить детали совместной работы
Для улучшения работы сайта мы собираем данные cookie. Продолжая пользоваться сайтом, вы даете согласие на обработку данных в соответствии с договором.
Согласен.
Сертификационные испытания ПО
Время на чтение: ~5 минут
После выдачи решения и заключения договоров с испытательной лабораторией и назначенным органом начинаются сертификационные испытания. Что это такое? Действительно ли испытывают продукт? В чем заключаются испытания? Можно ли провалить их? Ниже — обзор процесса.
Подготовка к испытаниям
Само понятие сертификационных испытаний идет из закона о техническом регулировании. Главный исполнитель этого этапа сертификации — испытательная лаборатория. Как уже упоминали, лабораторию нужно выбрать и получить ее предварительное согласие еще до того, как заявка будет отправлена во ФСТЭК. Зачем это нужно? Лаборатория может быть перегружена работами, у нее может не быть нужного оборудования или персонала с нужной квалификацией, наконец, о стоимости и сроках работ лучше договориться заранее. После подписания договора, не раньше, стартуют сертификационные испытания: ФСТЭК прямо запрещает оформлять заявку задним числом, после начала испытаний.
После этого документация и образец самого средства передаются в испытательную лабораторию и аккредитованный орган. Те предварительно рассматривают то, что им передали, и если находят недостатки, то предлагают заявителю устранить их. Если быстро (в срок действия договора) этого сделать нельзя, то во ФСТЭК направляется предложение об отказе в выдаче сертификата.
Когда замечания будут устранены, на основании того, что передал заявитель, а также методических документов, полученных напрямую от ФСТЭК, испытательная лаборатория готовит программу и методику сертификационных испытаний. Напоминаем, что срок проведения сертификационных испытаний фиксируется еще раньше, при заключении договоров с органом и лабораторией.
После этого документация и образец самого средства передаются в испытательную лабораторию и аккредитованный орган. Те предварительно рассматривают то, что им передали, и если находят недостатки, то предлагают заявителю устранить их. Если быстро (в срок действия договора) этого сделать нельзя, то во ФСТЭК направляется предложение об отказе в выдаче сертификата.
Когда замечания будут устранены, на основании того, что передал заявитель, а также методических документов, полученных напрямую от ФСТЭК, испытательная лаборатория готовит программу и методику сертификационных испытаний. Напоминаем, что срок проведения сертификационных испытаний фиксируется еще раньше, при заключении договоров с органом и лабораторией.
Общие требования для сертификационных испытаний предусматривают отбор образцов. Но для программного обеспечения ситуация особая. Во-первых, программные средства всё чаще распространяются через Интернет, без физических носителей. Во-вторых, понятно, что программные средства идентичны, если их код должен совпадать до бита.
Сами испытания
Это главный шаг этапа сертификационных испытаний. На этом шаге эксперты лаборатории по утвержденным программе и методике занимаются проведением сертификационных испытаний, проверяют средство защиты, причем по нескольким направлениям.
Во-первых, проверяются параметры и характеристики, то есть сами функции, механизмы защиты, то, как они работают, и соответствуют ли они требованиям по безопасности информации. Для этого прежде всего сравнивают все требования по безопасности, которые относятся к средству, с возможностями/операциями, описанными в его эксплуатационной документации, а их, в свою очередь – с тем, как реально работает испытываемый образец. Это то, что лежит на поверхности.
Во-вторых, программное средство проверяется по требованиям доверия, то есть оценивается надежность работы этих функций безопасности. Об этом мы напишем отдельно.
В-третьих, проверяется то, как организована техническая поддержка, которую должен оказывать заявитель.
В-четвертых, если сертификат выдается на серию, то проверяется производство, в частности, как обеспечивается неизменность, идентичность экземпляра, представленного на испытания, и серийных образцов. В том числе проверяются процедуры безопасной разработки, внедренные у разработчика.
Во-первых, проверяются параметры и характеристики, то есть сами функции, механизмы защиты, то, как они работают, и соответствуют ли они требованиям по безопасности информации. Для этого прежде всего сравнивают все требования по безопасности, которые относятся к средству, с возможностями/операциями, описанными в его эксплуатационной документации, а их, в свою очередь – с тем, как реально работает испытываемый образец. Это то, что лежит на поверхности.
Во-вторых, программное средство проверяется по требованиям доверия, то есть оценивается надежность работы этих функций безопасности. Об этом мы напишем отдельно.
В-третьих, проверяется то, как организована техническая поддержка, которую должен оказывать заявитель.
В-четвертых, если сертификат выдается на серию, то проверяется производство, в частности, как обеспечивается неизменность, идентичность экземпляра, представленного на испытания, и серийных образцов. В том числе проверяются процедуры безопасной разработки, внедренные у разработчика.
Хотя о нарушении процедур безопасной разработки у сертифицированных средств защиты никакой публичной информации не было, широко известен пример взлома нескольких зарубежных организаций через средства защиты, изготовленные с нарушениями принципов безопасной разработки. А ведь это только вершина айсберга! Наверняка были и другие взломы, о которым мы просто не знаем, и уж совершенно точно есть подобные уязвимости, которые просто пока не найдены или не использованы. Так что это требование совсем не лишнее, и роль сертификационных испытаний важна!
Протоколы испытаний
Наконец, составляются и подписываются протоколы сертифицированных испытаний и проверок. Они сравниваются с требованиями по безопасности, и на основании этого сравнения выдается техническое заключение о соответствии или несоответствии средства защиты заявленным требованиям. Если выявлено несоответствие, то заключение отправляется заявителю, чтобы тот устранил их, а лаборатория могла повторно провести испытания и проверки. Причем проводятся только те из них, которые нужны для проверки выявленных несоответствий. Сроки повторных испытаний должны соответствовать договору.
Выводы
1
Сначала проводится предварительное рассмотрение: обнаруживаются явные недостатки, которые заявитель должен быстро устранить, иначе будет отказ.
2
Программа сертификационных испытаний и их методика разрабатываются испытательной лабораторией.
3
При сертификационных испытаниях проверяется как сам продукт, так и его техническая поддержка, а также производство (для серийных сертификатов).
4
Повторные испытания должны укладываться в первоначальные сроки договора.