Заявка на сертификацию ПО

Непростой путь получения сертификата на программное обеспечение начинается с подачи заявки на сертификацию продукции. Что должен сделать заявитель, какие шаги ему нужно пройти и какие документы собрать, как выбрать схему сертификации, о чем нужно договариваться с лабораторией и правообладателем, с какими трудностями можно столкнуться — всё это рассмотрим в нашей статье.

Заявку на сертификацию средства защиты информации подает заявитель. Он фактически отвечает за то, что сертифицируемое средство отвечает требованиям по информационной безопасности. В роли заявителя может быть либо изготовитель, либо орган государственной власти, либо организация-пользователь продукта. В любом случае заявитель должен договориться с правообладателем и найти изготовителя (если он сам не хочет или не может выпускать сертифицированное ПО). Именно правообладатель (чаще всего это разработчик) предоставляет доступ заявителю к исходному коду продукта: он может потребоваться при сертификационных испытаниях. С разрешения правообладателя заявителю обеспечивается техническая поддержка сертифицированной версии, которая невозможна без процесса поддержки самого базового продукта.

Функция заявителя — выбрать подлежащее сертификации ПО, объект оценки, сформулировать задание по безопасности. Задача изготовителя — произвести комплекты сертифицированного продукта и передать их конечному пользователю (напрямую либо через поставщика-реселлера).

Заявитель составляет заявку на сертификацию и отправляет ее во ФСТЭК, а на выходе получает сертификат. На деле всё, конечно, сложнее: заявителю приходится взаимодействовать со всеми участниками процесса. Ведь именно заявитель должен сделать (самостоятельно или через разработчика) так, чтобы средства защиты соответствовали требованиям по безопасности информации (причем как в момент подачи заявки, так и после получения сертификата), а участники процесса лишь подтверждают это соответствие.

Прежде чем отправить заявку, заявитель должен выбрать схему сертификации, определить вид средства защиты, выявить точный набор требований по безопасности, подготовить комплект конструкторских, программных и эксплуатационных документов, выбрать лабораторию для проведения испытаний и получить ее предварительное согласие, а также заручиться согласием правообладателя (как правило, разработчика) на сертификацию и договориться с ним о технической поддержке сертифицированного продукта. Если последние пункты — это по существу коммерческие вопросы, то первые уже требуют определенных знаний и опыта. Например, разработать технические условия либо техническое задание, включающее требования по безопасности, сможет не каждый.

Сертифицировать можно единичные экземпляры, партии либо серии защитных средств. Схемы сертификации средств защиты информации различаются алгоритмом прохождения испытаний. Если это единичный образец, то он предъявляется на испытания, и он же испытывается. Если это партия, то предъявляется она вся, но испытываются отобранные образцы. Наконец, если это серийное производство, предъявляется партия, из нее отбираются и испытываются образцы, а сертифицированными будут считаться все экземпляры серии, включая произведенные после прохождения испытаний и выдачи сертификата (разумеется, при условии соблюдения всех требований по безопасности из документов, на основе которых сформирован сертификат, при неизменности характеристик). Сертифицировать серийное производство могут только изготовители. Если программный продукт уже сертифицирован серийно, то сертифицировать отдельный образец либо партию уже не получится.

ФСТЭК анализирует заявку (на это по регламенту отводится 1 месяц) и принимает решение о проведении сертификации. Здесь возможен и отказ, причем не только по формальным вещам типа отсутствия лицензии изготовителя, но и из-за незакрытой уязвимости в продукте, о которой ФСТЭК знает через свою базу данных уязвимостей. Понятно, что обнаружение уязвимостей и включение ее в базу могут случиться в любой момент, и получается, что от отказа по этой причине не застрахован никто.

Если получено одобрение (сразу или после доработки), то ФСТЭК выпускает решение по заявке на проведение сертификации, фиксируя в нем основные данные по продукту (название, тип и прочее) и аккредитованный орган, назначенный для сертификации. Если эти данные по какой-то причине нужно поменять, то весь процесс фактически перезапускается.

Кроме того, если сертификация предполагается по требованиям заявителя, которые указаны в технических условиях, техническом задании либо задании по безопасности, то ФСТЭК после рассмотрения или утверждает, или возвращает их на доработку, если они не отвечают требованиям по безопасности. Если при сертификации в эти документы вносятся какие-либо изменения, то ФСТЭК согласовывает их, не перезапуская весь процесс.

После этого по схеме проведения сертификации заявитель должен заключить договоры и с назначенным органом, и с выбранной испытательной лабораторией, причем на это отводится всего 3 дня! Понятно, что заявителю, который не раз работал с органом и лабораторией и у которого уже были договоры с ними, сделать это проще.