Напишите нам
Мы уточним наличие интересующего вас продукта у этого вендора
Нажимая на кнопку отправить, вы соглашаетесь на обработку персональных данных в соответствии с договором.
Напишите нам
Мы уточним срок действия сертификата интересующего вас продукта
Нажимая на кнопку отправить, вы соглашаетесь на обработку персональных данных в соответствии с договором.
Click to order
Корзина
Total: 
Контактные данные
Нажимая на кнопку заказать, вы соглашаетесь на обработку персональных данных в соответствии с договором.
Поддержка
Если у вас возникли вопросы при пользовании сертифицированными продуктами напишите нам
Нажимая на кнопку отправить, вы соглашаетесь на обработку персональных данных в соответствии с договором.
Напишите нам
Хотите задать вопрос?
Мы Вам рады!
Нажимая на кнопку отправить, вы соглашаетесь на обработку персональных данных в соответствии с договором.
Сертифицировать ПО
Мы свяжемся с вами, чтобы обсудить процесс сертификации
Нажимая на кнопку отправить, вы соглашаетесь на обработку персональных данных в соответствии с договором.
Консультация
Опишите ваш вопрос, мы перезвоним и ответим на него.
Вы также можете задать вопрос по телефону
+7 (495) 229-56-07
Нажимая на кнопку отправить, вы соглашаетесь на обработку персональных данных в соответствии с договором.
Стать партнером
Мы свяжемся с вами, чтобы уточнить детали совместной работы
Нажимая на кнопку отправить, вы соглашаетесь на обработку персональных данных в соответствии с договором.
Для улучшения работы сайта мы собираем данные cookie. Продолжая пользоваться сайтом, вы даете согласие на обработку данных в соответствии с договором.
Согласен.
Close

Заявка на сертификацию ПО

Время на чтение: ~5 минут
Непростой путь получения сертификата на программное обеспечение начинается с подачи заявки на сертификацию продукции. Что должен сделать заявитель, какие шаги ему нужно пройти и какие документы собрать, как выбрать схему сертификации, о чем нужно договариваться с лабораторией и правообладателем, с какими трудностями можно столкнуться — всё это рассмотрим в нашей статье.


Что делает заявитель

Заявку на сертификацию средства защиты информации подает заявитель. Он фактически отвечает за то, что сертифицируемое средство отвечает требованиям по информационной безопасности. В роли заявителя может быть либо изготовитель, либо орган государственной власти, либо организация-пользователь продукта. В любом случае заявитель должен договориться с правообладателем и найти изготовителя (если он сам не хочет или не может выпускать сертифицированное ПО). Именно правообладатель (чаще всего это разработчик) предоставляет доступ заявителю к исходному коду продукта: он может потребоваться при сертификационных испытаниях. С разрешения правообладателя заявителю обеспечивается техническая поддержка сертифицированной версии, которая невозможна без процесса поддержки самого базового продукта.

Функция заявителя — выбрать подлежащее сертификации ПО, объект оценки, сформулировать задание по безопасности. Задача изготовителя — произвести комплекты сертифицированного продукта и передать их конечному пользователю (напрямую либо через поставщика-реселлера).
А возможна ли подача заявки на сертификацию разработанного программного обеспечения, если его разработала компания, зарегистрированная за рубежом)? Нет: заявителем может быть только изготовитель, а ему нужна лицензия ФСТЭК, получить которую могут только организации, зарегистрированные в России. Поэтому зарубежные разработчики или регистрируют у нас своих «дочек», передавая им права на свои продукты и получая лицензии ФСТЭК, или же обращаются к специализированным изготовителям, которые и выступают заявителями на сертификацию.

Подготовка заявки

Заявитель составляет заявку на сертификацию и отправляет ее во ФСТЭК, а на выходе получает сертификат. На деле всё, конечно, сложнее: заявителю приходится взаимодействовать со всеми участниками процесса. Ведь именно заявитель должен сделать (самостоятельно или через разработчика) так, чтобы средства защиты соответствовали требованиям по безопасности информации (причем как в момент подачи заявки, так и после получения сертификата), а участники процесса лишь подтверждают это соответствие.

Прежде чем отправить заявку, заявитель должен выбрать схему сертификации, определить вид средства защиты, выявить точный набор требований по безопасности, подготовить комплект конструкторских, программных и эксплуатационных документов, выбрать лабораторию для проведения испытаний и получить ее предварительное согласие, а также заручиться согласием правообладателя (как правило, разработчика) на сертификацию и договориться с ним о технической поддержке сертифицированного продукта. Если последние пункты — это по существу коммерческие вопросы, то первые уже требуют определенных знаний и опыта. Например, разработать технические условия либо техническое задание, включающее требования по безопасности, сможет не каждый.

Схемы сертификации продукции

Сертифицировать можно единичные экземпляры, партии либо серии защитных средств. Схемы сертификации средств защиты информации различаются алгоритмом прохождения испытаний. Если это единичный образец, то он предъявляется на испытания, и он же испытывается. Если это партия, то предъявляется она вся, но испытываются отобранные образцы. Наконец, если это серийное производство, предъявляется партия, из нее отбираются и испытываются образцы, а сертифицированными будут считаться все экземпляры серии, включая произведенные после прохождения испытаний и выдачи сертификата (разумеется, при условии соблюдения всех требований по безопасности из документов, на основе которых сформирован сертификат, при неизменности характеристик). Сертифицировать серийное производство могут только изготовители. Если программный продукт уже сертифицирован серийно, то сертифицировать отдельный образец либо партию уже не получится.

Как принимается решение

ФСТЭК анализирует заявку (на это по регламенту отводится 1 месяц) и принимает решение о проведении сертификации. Здесь возможен и отказ, причем не только по формальным вещам типа отсутствия лицензии изготовителя, но и из-за незакрытой уязвимости в продукте, о которой ФСТЭК знает через свою базу данных уязвимостей. Понятно, что обнаружение уязвимостей и включение ее в базу могут случиться в любой момент, и получается, что от отказа по этой причине не застрахован никто.

Если получено одобрение (сразу или после доработки), то ФСТЭК выпускает решение по заявке на проведение сертификации, фиксируя в нем основные данные по продукту (название, тип и прочее) и аккредитованный орган, назначенный для сертификации. Если эти данные по какой-то причине нужно поменять, то весь процесс фактически перезапускается.

Кроме того, если сертификация предполагается по требованиям заявителя, которые указаны в технических условиях, техническом задании либо задании по безопасности, то ФСТЭК после рассмотрения или утверждает, или возвращает их на доработку, если они не отвечают требованиям по безопасности. Если при сертификации в эти документы вносятся какие-либо изменения, то ФСТЭК согласовывает их, не перезапуская весь процесс.

После этого по схеме проведения сертификации заявитель должен заключить договоры и с назначенным органом, и с выбранной испытательной лабораторией, причем на это отводится всего 3 дня! Понятно, что заявителю, который не раз работал с органом и лабораторией и у которого уже были договоры с ними, сделать это проще.

Выводы

1
Заявка на сертификацию продукции подается заявителем.
2
Задача заявителя — составить заявку, подготовить комплект документации и договориться с испытательной лабораторией и правообладателем.
3
Сертифицировать программное средство можно как единичный образец, партию либо серию.
4
Принимая на рассмотрение заявку на сертификацию, ФСТЭК проверяет также требования заявителя – соответствуют ли они общим принципам сертификации.