Кто проводит сертификацию программ

Кем осуществляется сертификация ПО в Российской Федерации?

В нашей стране существуют несколько различных систем сертификации, ориентированные на различные типы программного обеспечения (ФСТЭК, ФСБ, Минобороны и др.).

Основными системами сертификации для большей части ПО являются системы сертификации ФСБ и ФСТЭК.

• Сертификация ФСБ предназначена для проверки подсистем ПО, использующих криптографическую защиту (в нашей стране допускаются только российские криптоалгоритмы). Требования систем сертификации ФСБ не являются публичными, ознакомление с ними предполагает наличие специальных допусков.
• Сертификация ФСТЭК предназначена проверки обеспечения технической защиты информации некриптографическими методами. Требования системы сертификации ФСТЭК являются открытыми и опубликованы на официальном сайте.

Текущие программные продукты «1С-Битрикс» не содержат встроенных инструментов криптографической защиты, поэтому сертификация ФСБ для них не требуется. Далее по тексту речь идет только о сертификации ФСТЭК.

Чем отличаются схемы сертификации 3с и 4с

Что такое сертифицированный продукт в РФ?

Российская система сертификации коренным образом отличается от систем, принятых в других странах, причем в лучшую сторону [3]. Каждая претендующая на сертификат копия ПО проверяется на соответствие той, которая непосредственно подвергалась испытаниям при сертификации, т. е. на бинарном уровне все сертифицированные копии полностью идентичны. Службы, отвечающие за целостность этих продуктов, могут в любое время проконтролировать у пользователя наличие всех необходимых сертифицированных патчей и обновлений, а также проверить продукты на отсутствие несертифицированных изменений.

А вот по условиям международной системы сертификации Common Сriteria сертифицированным считается любой лицензионный экземпляр ПО, прошедшего сертификацию, — идентичность каждого продаваемого экземпляра тому, который непосредственно проходил сертификацию, не проверяется. Но ведь регулярно выпускаются патчи и новые версии программ, и варианты ПО, поставляемого на рынок сегодня, просто могут отличаться от протестированного в свое время экземпляра, поданного для получения сертификата [3].

Каждый экземпляр сертифицированнго продукта «1С-Битрикс» имеет пакет документов государственного образца, подтверждающих то, что данный продукт является сертифицированным. Кроме того, имеется голографический знак соответствия ФСТЭК с уникальным номером, который идентифицирует данный экземпляр в системе государственного учета сертифицированных продуктов.

Каждая организация, которая приобрела сертифицированные продукты, имеет защищенный доступ к персональной для этой организации странице на специализированном сайте, откуда данная организация будет получать сертифицированные обновления и другую информацию.

Что такое ФСТЭК России и каковы его функции?

ФСТЭК России (до 2004 года – Гостехкомиссия России) — это федеральный орган исполнительной власти, обладающий следующими полномочиями [1]:

Что такое сертификация? | СЕРКОНС

• обеспечение безопасности информации в ключевых системах информационной и телекоммуникационной инфраструктуры;
• противодействие иностранным техническим разведкам;
• обеспечение технической защиты информации некриптографическими методами;
• осуществление экспортного контроля.

В соответствии с положением о ФСТЭК России одной из ее основных задач является организация деятельности государственной системы противодействия техническим разведкам и технической защиты информации на федеральном, межрегиональном, региональном, отраслевом и объектовом уровнях, а также руководство указанной государственной системой.

Все нормативные правовые акты и методические документы, изданные по вопросам деятельности ФСТЭК России, обязательны для исполнения аппаратами федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации, федеральными органами исполнительной власти, органами исполнительной власти субъектов Российской Федерации, органами местного самоуправления и организациями.

Каким образом осуществляется сертификация ФСТЭК?

ФСТЭК является только организатором сертификации и службой контроля верхнего уровня. Непосредственные действия выполняют лицензиары ФСТЭК – испытательные лаборатории и экспертные организации. Первые непосредственно проводят исследование ПО, а вторые занимаются проверкой качества этих испытаний.

Заказчик имеет право выбирать испытательную лабораторию (при согласии ФСТЭК), но ФСТЭК самостоятельно назначает экспертную организацию на проверку результатов. [3]

Таким образом, с одной стороны есть конкурентная среда, когда испытательные лаборатории борются за клиента (стоимостью проверок, сроками и т.п.), с другой – качество испытаний четко проверяется независимыми экспертами.

По аналогии работает и система сертификации ФСБ.

Кроме того, в системе сертификации ФСТЭК существует еще институт заявителей . Эти компании непосредственно работают с испытательными лабораториями и экспертными организациями, именно они проводят сравнение продаваемых копий продуктов на соответствие их образцу, прошедшему сертификацию. Они же издают документы установленного образца для каждой копии прошедших такое сравнение продуктов, ведут учет таких продуктов.

Заявители несут затраты на проверку продукта, на выписку соответствующих документов, на постоянный учет сертифицированных продуктов (где и в каком состоянии эти продукты находятся), в ряде случаев, по договоренности с владельцами продукта, они также за свой счет проводят сертификацию всех патчей. [2]

Источник: www.1c-bitrix.ru

5.3. Органы сертификации программного обеспечения в Российской Федерации

Для успешного вхождения в мировое информационное сообщество необходимо иметь не только соответствующие органы, но и организовать их работу по принятым международным стандартам. Госстандарт Российской Федерации занимается охраной прав потребителей на качественные информационные продукты, осуществляя сертификацию продукции (анализ, тестирование и общую оценку соответствия ее качества ГОСТ). Эту деятельность он проводит через сеть испытательных лабораторий и органов по сертификации.

Орган по сертификации (ОС) «ВНИИКИ-СЕРТИФИКАТ» при ВНИИКИ Госстандарта России осуществляет сертификацию программных средств и информационных продуктов вычислительной техники на соответствие государственным и международным стандартам: базы данных, системные и сетевые ПС, системы программирования и обслуживающих программ, ПС автоматизации программирования, СУБД, ПС редакционного и издательского назначения, деловой и презентационной графики, ПС научных исследований, «электронных сделок», мультимедиа, обработки документов и любые другие, в том числе прикладные ПС для управления техническими средствами и технологическими процессами [16].

Сертификация осуществляется на основе испытаний, проводимых в аккредитованных испытательных лабораториях (ИЛ).

Система сертификации средств и систем в сфере информатизации “РОСИНФОСЕРТ” действует с 1997 года на базе Московского специализированного центра новых информационных технологий (СЦ НИТ) МГТУ «Станкин» в целях обеспечения эффективности и повышения качества процесса обучения, а также развития работ в области сертификации информационно-программных средств учебного назначения для общего и профессионального образования [18].

Основными этапами сертификации в системе “РОСИНФОСЕРТ” являются:

• подача заявки на проведение сертификации;
• анализ нормативного обеспечения;
• разработка технических условий на сертифицируемое программное обеспечение;
• принятие Органом сертификации решения по заявке;
• испытание программного обеспечения в Испытательных лабораториях;
• экспертиза протоколов Органом сертификации;
• выдача сертификата соответствия.

В течение срока действия сертификата Орган по сертификации должен проводить инспекционный контроль качества сертифицированного программного обеспечения (согласно рекомендациям ISO 9000 не реже двух раз в год).

Испытания предметной части проводится путем формирования экспертных оценок и соответствующей их обработкой с помощью различных методик. В настоящее время достигнута высокая степень исключения факторов субъективности отдельных экспертов, что позволяет добиться достоверности испытаний программного обеспечения экспертным путем.

Испытания программной части могут включать специфические тесты, например, при программировании в среде Windows это тесты на неосвобожденные после работы программы ресурсы и т.д. В каждом конкретном случае набор тестируемых характеристик может варьироваться, однако, всегда существует минимальная программа испытаний, реализуемая, как правило, системами автоматизированного тестирования.

В общем виде система автоматизированного тестирования представляет собой универсальный пакет, выполняющий тестирования графического интерфейса, системное тестирование, тестирование при максимальной нагрузке и др. Средства автоматизированного тестирования приложений клиент/сервер, как наиболее популярных программных средств, позволяют испытательным лабораториям многократно использовать сценарии тестирования и тестовые данные, вести мониторинг ошибок, эмулировать требуемое число пользователей на рабочих станциях.

Госстандарт Российской Федерации аккредитовал Центр по сертификации программных средств и баз данных «ПРОГРАМСЕРТИНГ» Томского фонда «ПРОГРЕСС» в системе сертификации ГОСТ Р. Центр ПРОГРАМСЕРТИНГ включает в себя:

• Орган по сертификации программных средств и баз данных;
• Независимую испытательную лабораторию программных средств и баз данных;
• Межрегиональный специализированный центр правовой охраны программ для ЭВМ, баз данных и топологий интегральных микросхем.

Центр сертификации ПРОГРАМСЕРТИНГ проводит сертификационные испытания программных средств и баз данных на соответствие Российским и международным стандартам и заявленным свойствам, выдает сертификат соответствия системы сертификации ГОСТ Р, оказывает помощь в оформлении заявки в РОСПАТЕНТ на официальную регистрацию программ для ЭВМ, баз данных и топологий интегральных микросхем [17].

В Центре сертификации «Програмсертинг» разработаны различные методики и программно-инструментальные средств оценки качества объектов информационных технологий и экспертной оценки качества программной документации, что позволяет реально оценивать качество информационных продуктов и в случае соответствия их ГОСТ и заявленным свойствам (ТУ), выдавать сертификат соответствия. Оценка продуктов информационных технологий осуществляется по действующим ГОСТ. Главные из них:

• ГОСТ Р ИСО/МЭК 9126-93.Информационная технология. Оценка программной продукции;
• ГОСТ 28195-89.Оценка качества программных средств.

Так же проводятся испытания программных средств на их соответствие с заявленным свойством, отраженные в технических условиях (ГОСТ 2.114_ТУ) и программной документации.

Кроме того, производится оценка качества программной документации и соответствие ее ЕСПД.

Тверской орган по сертификации программных средств АНО ЦИС ПС ВТ так же аккредитован Госстандартом Российской Федерации. Начиная с января 2002 года, осуществляет аккредитацию и лицензирование операционных систем и средств их расширения, систем программирования, программных средства, системные программы, системы управления, электронные таблицы, прикладные программы, базы данных и информационно-справочные системы, электронные архивы и издания, мультимедиа-приложения.

Источник: studfile.net

Сертификация программного обеспечения

Сертификация программного обеспечения – это процесс, который связан с проведением оценки качества программных объектов. Он нацелен на выявление соответствия программных продуктов нормам качества, определённым показателям, которые прописаны в том или ином нормативном документе.

На территории России обязательная сертификация программного обеспечения не предусмотрена – провести её можно лишь в добровольном порядке. Однако для многих предпринимателей эта процедура нужна для нормального функционирования предприятия – уже давно прошли времена, когда потребитель, партнёры по бизнесу, инвесторы ориентировались на цену продукта, на его дизайн, но не заботились о реальном качестве – сегодня невозможно развивать свой бизнес активно и качественно, пожалуй, без двух вещей – грамотного продвижения на рынке и наличия сертификатов, разрешительных документов, фактических подтверждений того, что продукт соответствует нормам и не даст сбоев в ходе его использования.

На международном уровне сертификацию программного обеспечения настоятельно рекомендуют проводить – так, это подчёркивается в WELMEC 7.2 «Руководство по программному обеспечению». В России также рекомендовано проводить процесс добровольной оценки качества – это прописано как в ГОСТ Р 8.596-2002 и ряде других нормативных документов. Важно, что при этом сертификация приносит компании различные преимущества, которые помогают в развитии бизнеса. Кроме того, что добровольная система сертификации программного обеспечения позволяет удостоверить конкретные показатели качества данной продукции (при её проведении предприниматель имеет право самостоятельно выбрать, в соответствии с каким стандартом будет проведена оценка соответствия), она также даёт:

• возможность развиваться на рынке более активно благодаря использованию знаков соответствия – их можно указывать в документах, в рекламных кампаниях;
• повышение шансов на приём государственного заказа;
• более высокую эффективность от участия в выставках;
• повышение вероятности выигрыша в крупном конкурсе, получения тендера;
• прохождение надзорных проверок в более простой форме;
• повышение доверия потребителя;
• привлечение средств в развитие бизнеса, более высокую заинтересованность инвесторов;
• укрепление имиджа компании на рынке и ряд других преимуществ.

Центр сертификации программного обеспечения в Москве

Стандартизация и сертификация программного обеспечения, его аттестация могут потребоваться разработчикам ПО, компаниям, которые занимаются внедрением программного обеспечения. Наиболее эффективно оформлять сертификаты на программное обеспечение для:

• автономных средств измерений;
• информационных систем;
• систем, осуществляющих управление;
• средств, обладающих измерительными и вычислительными функциями;
• средств, которые позволяют моделировать процессы;
• систем имитации;
• блоков вычислительной техники и многих других.

Сертификация программного обеспечения в России является процессом, который строго контролируется государственными органами. Проводить данную процедуру необходимо исключительно в аккредитованных органах и центрах по сертификации, обладающих соответствующими полномочиями. Сегодня, когда так часты случаи недобросовестного оформления сертификатов, необходимо особое внимание уделять организациям, в которые вы обращаетесь – так, лишь аккредитованные органы имеют право оформлять сертификаты. Если у органа нет лицензии, выданный ей сертификат недействителен, и компанию, его использующую, ждут наказания в соответствии с АК РФ.

Требования к сертификации программного обеспечения

Сертификация ПО в центре «МОС РСТ» проводится в следующем порядке:

• вы обращаетесь в центр «МОС РСТ»;
• мы проводим для вас бесплатную консультацию;
• далее проводится сбор и подготовка пакета документов (при необходимости мы поможем вам разработать недостающие технические документы);
• после этого ПО проходит практическую проверку – для этого его образцы мы направляет в аттестованную лабораторию;
• итог – оформление сертификата.

В пакет документов необходимо включить:

• структура АПК/ПО, их алгоритмы работы, методы функционирования;
• блок-схемы АПК/ПО;
• список интерфейсов, описание всех используемых команд;
• сведения о хранимых наборах данных;
• описание методов защиты;
• ИНН и ОГРН заявителя;
• реквизиты предпринимателя и ряд других документов.

Для получения сертификата на ПО обращайтесь в центр «МОС РСТ». Мы поможем провести вам сертификацию и бесплатно проконсультируем.

Источник: mosrst.ru