Напишите нам
Мы уточним наличие интересующего вас продукта у этого вендора
Напишите нам
Мы уточним срок действия сертификата интересующего вас продукта
Click to order
Корзина
Total:
Контактные данные
Поддержка
Если у вас возникли вопросы при пользовании сертифицированными продуктами напишите нам
Напишите нам
Хотите задать вопрос?
Мы Вам рады!
Мы Вам рады!
Сертифицировать ПО
Мы свяжемся с вами, чтобы обсудить процесс сертификации
Консультация
Опишите ваш вопрос, мы перезвоним и ответим на него.
Вы также можете задать вопрос по телефону
+7 (495) 229-56-07
Вы также можете задать вопрос по телефону
+7 (495) 229-56-07
Стать партнером
Мы свяжемся с вами, чтобы уточнить детали совместной работы
Для улучшения работы сайта мы собираем данные cookie. Продолжая пользоваться сайтом, вы даете согласие на обработку данных в соответствии с договором.
Согласен.
Выдача сертификата
Время на чтение: ~4 минуты
Нас иногда просят «прислать сертификат». Давайте разберемся, почему это невозможно. Выясним, кто принимает решение о выдаче сертификата соответствия, у кого хранится его оригинал, где и как можно получить его копию.
Экспертное заключение аккредитованного органа
Если сертификационные испытания завершились успешно, то результаты испытаний передаются аккредитованному органу испытательной лабораторией. В пакет документов входят протокол, техническое заключение, программа и методика испытаний, формуляр, акт отбора образцов, а также актуальные версии документов заявителя (это технические условия, или техническое задание, задание по безопасности).
Аккредитованный орган проверяет, соответствуют ли материалы, которые пришли от лаборатории, положению о сертификации. Срок этой проверки тоже регламентирован: он прописывается в договоре, который составляют заявитель и орган, но при этом максимальный период — 45 дней. После проверки орган готовит экспертное заключение о том, допускается ли выдача сертификата соответствия.
Тут возможны два исхода. Если получение сертификата принципиально невозможно, то орган отправляет уведомление во ФСТЭК, который извещает заявителя. Например, продукт не прошел проверку на соответствие требованиям по безопасности, либо найдены уязвимости, либо в базе данных угроз есть запись об этом продукте. На этом процесс сертификации завершается — увы, без сертификата.
Аккредитованный орган проверяет, соответствуют ли материалы, которые пришли от лаборатории, положению о сертификации. Срок этой проверки тоже регламентирован: он прописывается в договоре, который составляют заявитель и орган, но при этом максимальный период — 45 дней. После проверки орган готовит экспертное заключение о том, допускается ли выдача сертификата соответствия.
Тут возможны два исхода. Если получение сертификата принципиально невозможно, то орган отправляет уведомление во ФСТЭК, который извещает заявителя. Например, продукт не прошел проверку на соответствие требованиям по безопасности, либо найдены уязвимости, либо в базе данных угроз есть запись об этом продукте. На этом процесс сертификации завершается — увы, без сертификата.
Как уже упоминалось, целью процесса сертификации не является поиск всех уязвимостей продукта: это в принципе невозможно, и все это понимают. И если после выдачи сертификата будут найдены уязвимости, то мир не рухнет. Эти уязвимости, даже критические, будут устраняться заявителем (с помощью разработчика, разумеется) в рабочем порядке. С другой стороны, если в процессе сертификационных испытаний будут найдены уязвимости, или если связанная с продуктом уязвимость попадет в базу данных угроз ФСТЭК, то эти уязвимости нужно будет устранить немедленно, иначе продукт просто не пройдет сертификацию. Несправедливо? Да, пожалуй, но, с другой стороны, подтверждение соответствия требованиям по безопасности для продукта, у которого есть заведомые уязвимости, противоречило бы здравому смыслу.
Подготовка сертификата
Если сертификат выдать можно, тот же орган готовит проект сертификата (фактически готовый к подписи документ), ФСТЭК рассматривает документы и решает, есть ли недостатки в том, как оформлены документы (не в самом продукте).
Проблемы могут быть как по формальным признакам (не хватает какого-то документа, не указаны какие-то данные), так и по существенным, которые потребуют вернуться на этап сертификационных испытаний. Например, найдены ошибки в программе или методике испытаний, или лаборатория провела испытания с нарушением своей же программы, например, пропущено какое-либо испытание, или неверно интерпретированы результаты какого-либо испытания. Тогда ФСТЭК возвращает документы для доработки, и в течение 90 дней недостатки должны быть устранены. В процессе участвуют заявитель, испытательная лаборатория, аккредитованный орган. Превышение этого срока влечет отказ в выдаче сертификата соответствия.
При отсутствии замечаний со стороны ФСТЭК подписанный сертификат высылается заявителю. Всё, с этого момента заявитель становится «держателем» сертификата, а программный продукт включается в реестр сертификатов ФСТЭК. Сам документ нигде не публикуется, а его копии передаются заказчикам в составе комплекта сертифицированного программного обеспечения.
Проблемы могут быть как по формальным признакам (не хватает какого-то документа, не указаны какие-то данные), так и по существенным, которые потребуют вернуться на этап сертификационных испытаний. Например, найдены ошибки в программе или методике испытаний, или лаборатория провела испытания с нарушением своей же программы, например, пропущено какое-либо испытание, или неверно интерпретированы результаты какого-либо испытания. Тогда ФСТЭК возвращает документы для доработки, и в течение 90 дней недостатки должны быть устранены. В процессе участвуют заявитель, испытательная лаборатория, аккредитованный орган. Превышение этого срока влечет отказ в выдаче сертификата соответствия.
При отсутствии замечаний со стороны ФСТЭК подписанный сертификат высылается заявителю. Всё, с этого момента заявитель становится «держателем» сертификата, а программный продукт включается в реестр сертификатов ФСТЭК. Сам документ нигде не публикуется, а его копии передаются заказчикам в составе комплекта сертифицированного программного обеспечения.
Выводы
1
Аккредитованный орган проверяет результаты сертификационных испытаний и то, как они оформлены, – это основания для выдачи сертификата соответствия.
2
ФСТЭК выдает сертификат, подписывая подготовленный аккредитованным органом проект документа, и вносит запись в реестр сертифицированных средств защиты информации.
3
Хранит сертификат заявитель, и при необходимости делает копии с них, заверяя своими подписью и печатью.