Что это такое
Итак, посмотрим, что на этот счет написано в
положении о сертификации. Как и принято в техническом регулировании, полную ответственность за поддержание статуса соответствия после выдачи сертификата несут
заявители. Они должны устранять все недостатки, как функциональные, так и связанные с безопасностью (уязвимости и недекларированные возможности), информировать пользователей о необходимости обновить установленное у них сертифицированное программное обеспечение или документацию к нему, а также доставить к ним эти обновления. Все это и названо в положении технической поддержкой средств защиты информации.
Если разработчик, заявитель и изготовитель — это одно и то же лицо, то тут всё понятно. Он и так отвечает за качество продукции перед своими пользователями, а если он поставляет сертифицированную версию, то просто берет на себя дополнительные обязательства перед регулирующим органом, а суть действий будет той же самой – по собственной инициативе или по запросу пользователя устранять те же самые недостатки в продукте. Вряд ли возникнет такая ситуация, при которой разработчик будет устранять недостатки только из-за того, что продукт был сертифицирован.
Но если заявитель не является разработчиком, то тут могут быть проблемы. Заявитель будет не в состоянии внести необходимые изменения в продукт, потому что у него не будет ни доступа к коду и документации, ни прав на эти действия. Но это не снимает с такого заявителя обязанности оказывать техническую поддержку программного обеспечения. Поэтому в этом случае ФСТЭК требует представить договор заявителя с правообладателем, в котором заявителю будет предоставлено среди прочего и право на оказание технической поддержки.
Техническая поддержка продукта является условием как выдачи сертификата, так и поддержания его действующего статуса. Если прекращается техническая поддержка, то действие сертификата может быть приостановлено или вовсе прекращено, даже если его срок еще не вышел.