Сертификация программного обеспечения ФСТЭК: что это такое
Сертификация программного обеспечения ФСТЭК — это оценка соответствия ПО требованиям безопасности информации. Т.е. речь не о проверке основного «функционала» ПО, а о проверке именно функций безопасности, так как система сертификации ФСТЭК — это система сертификации средств защиты информации.
Как было сказано выше, сертификация ПО с функциями защиты проводится в системе сертификации ФСТЭК России РОСС.RU.0001.01БИ00
Вы спросите: а можно ли провести сертификация ПО без функций защиты информации?
Ответ такой: в редких случаях, при наличии обоснования (ТЗ от головного заказчика, указания какого-то ведомства и тд.) ФСТЭК России может в индивидуальном порядке рассмотреть сертификацию ПО без функций безопасности. В таком случае ПО будет проверяться только на недекларированные возможности (проверка исходного кода ПО).
Для чего нужна сертификация программного обеспечения ФСТЭК
Сертификация программного обеспечения во ФСТЭК — необходима, в первую очередь, для подготовки продукта к выводу на широкий рынок, т.е. для продажи большинству потребителей:
- коммерческий сектор (банки, медицинские организации, промышленность и др.)
- государственный сектор (федеральные органы исполнительной власти)
- полугосударственные организации и автономные некоммерческие организации
- и др.
Зачем же нужна сертификация программного обеспечения именно во ФСТЭК?
Дело в том, что согласно нормативной документации ФСТЭК, которую должны соблюдать все организации России — для обработки и защиты конфиденциальной информации необходимо использовать ПО, прошедшее оценку соответствия по требованиям безопасности информации.
Данное требование указано в ряде Федеральных законов и постановлений Правительства, а также в приказах ФСБ и ФСТЭК.
В частности это прямо указано в:
- подпункт г) пункта 13 постановления Правительства № 1119
- подпункт 3) части 2 статьи 19 Федерального закона № 152 «О персональных данных»
- пункт 12 приказ ФСТЭК № 21
Именно поэтому зрелые заказчики закупают ПО только сертифицированное во ФСТЭК.
Применяя такое ПО — они соблюдают требования законодательства и смогут пройти проверку регуляторов (ФСБ, ФСТЭК, Роскомнадзор).
Программное обеспечение аттестуется или сертифицируется ФСТЭК?
Термин «Аттестация» по-правильному, относится только к оценке соответствия компьютерной системы целиком, где проверяется софт, железо, персонал и наличие сертификатов на компоненты (ПО, средства защиты и тд.).
Эта процедура регламентирована 77 приказом ФСТЭК.
А вот термин «Сертификация» относится как раз таки к оценке соответствия компонентов компьютерной системы, т.е. как раз подходит к оценке программного обеспечения во ФСТЭК.
Эта процедура регламентирована 55 приказом ФСТЭК.
Поэтому давайте больше не будем путаться и применять правильную терминологию в разговорах по теме!
Порядок сертификации программного обеспечения ФСТЭК
Порядок сертификации программного обеспечения ФСТЭК — установлен самим 55 приказом ФСТЭК.
Давайте обозначим ключевые этапы:
- Подготовка продукта к сертификации (определение границ продукта к сертификации, анализ и устранение уязвимостей, разработка документации).
- Подача заявки во ФСТЭК, с приложением пакета документации на продукт.
- Получение решения на руки и заключение договоров на сертификационные испытания и экспертизу.
- Сертификационные испытания (тестирование продукта и оформление материалов испытаний).
- Экспертиза результатов испытаний (проверка всей разработанной документации на предыдущих этапах и утверждение экспертного заключения).
- Экспертиза всех результатов во ФСТЭК и выпуск сертификата.
Как вы видите, сертификация программного обеспечения во ФСТЭК — это многоэтапный процесс, требующий большой подготовки и ресурсов (выделение кадров со стороны заказчика, заказ помощи, а также оплата услуг испытательной лаборатории и экспертного центра).
Внимание: подавать заявку во ФСТЭК можно только после первого этапа, т.е. после его подготовки!
Процесс сертификации программного обеспечения ФСТЭК
Более подробно каждый этап сертификации ПО разберем ниже.
Но перед этим, давайте обозначим ключевые «звенья» системы сертификации, чтобы было понятно, кто за что отвечает:
Федеральный орган — это само ФСТЭК России, оно отвечает за регламентацию и координацию системы сертификации, рассмотрение заявок и выпуск сертификатов.
Орган по сертификации — это коммерческие организации, проводящие экспертизу результатов сертификационных испытаний во ФСТЭК, по результатам работы испытательной лаборатории. Назначает орган для проведения экспертизы — только сам ФСТЭК России.
Испытательная лаборатория — это коммерческие организации, осуществляющие испытания программного обеспечения во ФСТЭК. На выходе материалы сертификационных испытаний (программа и методики, протоколы испытаний, заключение, акт отбора образцов), которые представляются на экспертизу в назначенный Орган по сертификации.
Изготовители продукции — это сами разработчики и производители программного обеспечения, которые должны иметь лицензию ФСТЭК на разработку и производство средств защиты конфиденциальной информации.
Заявителем на сертификацию ПО может быть как сам изготовитель продукции, так и «эксплуатант» ПО на объекте (владелец компьютерной системы), само собой по договоренности с изготовителем ПО, так как потребуется предоставлять на испытания релиз ПО, включая исходные коды на него.
Внимание: каждый из этапов сертификации — это сложнейший процесс, требующий экспертных знаний и без «проводника», который бы «за ручку» провел через все этапы сертификации — крайне сложно.
Поэтому каждый изготовитель ПО вправе обратиться в профильную организацию, которая поможет со всеми этапами сертификации и в итоге поможет получить сертификат «на руки» не через 3 года, а уже через год.
Для индивидуального расчета стоимости и сроков сертификации — оставьте заявку или позвоните:
8(800)600-60-41 или 8(800)550-44-71
Требования сертификации программного обеспечения ФСТЭК
В части программного обеспечения у ФСТЭК имеется следующий набор нормативных документов, описывающих требования к функциям безопасности:
- Требования к операционным системам (ОС)
- Требования к средствам контейнеризации (СК)
- Требования к средствам виртуализации (СВ)
- Требования к системам управления базами данных (СУБД)
- Требования к средствам обеспечения безопасной удаленной работы (СОБДР)
Для информации, помимо этого, у ФСТЭК имеются специальные требования к средствам защиты информации:
- Требования к средствам антивирусной защиты (АВЗ)
- Требования к межсетевым экранам (МЭ)
- Требования к системам обнаружения вторжений (СОВ)
- Требования к средствам доверенной загрузки (СДЗ)
- Требования к средствам контроля съемных носителей информации (СКН)
- Требования к средствам защиты от DDOS атак (DDOS)
- Требования к многофункциональным межсетевым экранам (ММЭ)
- РД СВТ (требования к средствам защиты информации от несанкционированного доступа)
И если в том или ином ПО указанные функции защиты реализованы (планируется реализовать), то необходимо руководствоваться соответствующим документом.
Вы спросите, а что делать, если ПО не соответствует никаким из указанных выше требований?
На этот случай применяется связка: «Технические условия» + «Требования доверия»
Это означает, что ПО сертифицируется на соответствие требованиям Технических условий (в части функций защиты информации) и по Требованиям доверия.
В Технических условиях формулируются требования по безопасности, которым ПО может соответствовать, т.е. эти требования менее жесткие, чем указанные нормативные документы ФСТЭК.
Также, для повышения конкурентности, бывает специально применяют хитрость, по сертификации ПО не только на специальные требования, но и на соответствие требованиям Технических условий, добавляя туда дополнительный функционал, неописанный в нормативной документации ФСТЭК.
Затем такие специальные требования идут в ТЗ на закупку, как особые требования, фильтрующие конкурентов.
Классы сертификации программного обеспечения ФСТЭК
Классы сертификации программного обеспечения ФСТЭК устанавливаются специальными нормативными документами ФСТЭК, к тому или иному типу ПО.
Перечень таких имеющихся у ФСТЭК нормативных документов приведен выше.
А сопоставление классов программного обеспечения с классами информационных систем (ИС) приведем ниже:
В ИС 1 класса — должны применяться средства 4 класса
В ИС 2 класса — должны применяться средства 5 класса
В ИС 3 класса — должны применяться средства 6 класса
Вы спросите откуда это идет?
Это установлено следующими конкретными требованиями к информационным системам:
- ИСПДн: пункт 12 приказа ФСТЭК № 21
- ГИС: пункт 26 приказа ФСТЭК № 17
- АСУ ТП: пункт 24 приказа ФСТЭК № 31
- ИСОП: пункт 17.2 приказа ФСТЭК № 489
- ЗОКИИ: пункт 29 приказа ФСТЭК № 239
Вы скажете: «так в указанных документах нет того, что данные требования относятся именно к ПО»! Но дело в том, что если в вашем ПО есть функции безопасности, то оно также является средством защиты и класс защиты ПО нужно смотреть по классу средства защиты.
Уровни доверия сертификации программного обеспечения ФСТЭК
Уровни доверия устанавливаются для всех типов программного обеспечения.
Это означает, что чтобы сертифицировать ПО во ФСТЭК — оно обязательно должно пройти контроль соответствия уровню доверия.
Всего уровней доверия шесть и они установлены приказом ФСТЭК № 76.
Указанный приказ также сопоставляет уровни доверия с классами средств защиты и классами информационных систем:
Сопоставление классов средств защиты с уровнями доверия:
Средства защиты 4 класса должны иметь не ниже 4 уровня доверия
Средства защиты 5 класса должны иметь не ниже 5 уровня доверия
Средства защиты 6 класса должны иметь не ниже 6 уровня доверия
Сопоставление классов ИС с уровнями доверия:
В ИС 1 класса — должны применяться средства 4 уровня доверия
В ИС 2 класса — должны применяться средства 4 уровня доверия
В ИС 3 класса — должны применяться средства 4 уровня доверия
Виды сертификации программного обеспечения ФСТЭК
Помимо вышеуказанных специальных требований (нормативной документации ФСТЭК) стоит сказать, что при сертификации во ФСТЭК каждое программное обеспечение с функциями защиты информации проходит следующие виды испытаний:
- Функциональное тестирование (функций безопасности)
- Фаззинг
- Статический анализ исходного кода
- Динамический анализ исходного кода
- Экспертный анализ
- Пентест
- Анализ уязвимостей
Т.е. для сертификации ПО во ФСТЭК потребуется предоставить не только дистрибутив ПО, но и исходные коды того релиза, что представляется на сертификацию.
Внимание: ввиду того, что процедура сертификации строго регламентирована по срокам, включая договорные обязательства сторон между заявителем и испытательной лабораторией и заявителем и органом по сертификации, то всю подготовку по анализу исходного кода и устранению уязвимостей необходимо проводить до подачи заявки во ФСТЭК, а не после нее!
Для индивидуального расчета стоимости и сроков сертификации — оставьте заявку или позвоните:
8(800)600-60-41 или 8(800)550-44-71
Какое программное обеспечение можно сертифицировать во ФСТЭК
В общем случае во ФСТЭК можно сертифицировать любое программное обеспечение с функциями защиты информации:
- Микропрограммное обеспечение (ПО контроллеров с управляющим ПО).
- Системное программное обеспечение (Операционные системы).
- Общесистемное программное обеспечение (СУБД, Веб-сервер и др., разработанное для различных целей и типов заказчиков).
- Специальное программное обеспечение (ПО, разработанное специально для конкретного заказчика и его целей).
Вы спросите, а по каким требованиям их можно сертифицировать?
Логика всегда одна:
- Смотрим перечень нормативной документации ФСТЭК и если находим специальные требования среди них — то по ним.
- Если спец требований нет, то формулируем свои требования по безопасности в документе Технические условия.
- И само собой добавляем Требования доверия, так как любое ПО должно быть по ним сертифицировано.
Итого, во ФСТЭК подается заявка с указанием следующих требований:
- Технические условия (в части функций безопасности).
- Требования доверия (относительно класса ИС в которой оно будет применяться).
Для индивидуального расчета стоимости и сроков сертификации — оставьте заявку или позвоните:
8(800)600-60-41 или 8(800)550-44-71
Порядок сертификации программного обеспечения ФСТЭК
Итак, ранее мы привели ключевые этапы сертификации:
- Подготовка
- Подача заявки и получение решения на сертификацию
- Сертификационные испытания
- Экспертиза результатов в органе по сертификации
- Экспертиза во ФСТЭК и выпуск сертификата
А теперь давайте разберем каждый из этапов сертификации:
Подготовка программного обеспечения к сертификации ФСТЭК
Начать подготовку стоит с определения требований по безопасности, которым продукт должен соответствовать.
Для этого смотрим перечень уже имеющихся документов ФСТЭК к заданным средствам защиты и ПО, и, если не находим среди них подходящего, то формулируем требования по безопасности самостоятельно и отражаем их в Технических условиях.
А как же их сформулировать?
Требования по безопасности формулируются опираясь на требования ФСТЭК к информационным системам, в которых они будут применяться:
- ИСПДн: приказ ФСТЭК № 21
- ГИС: приказ ФСТЭК № 17
- АСУ ТП: приказ ФСТЭК № 31
- ИСОП: приказ ФСТЭК № 489
- ЗОКИИ: приказ ФСТЭК № 239
Т.е. выбираем из указанных документов те функции безопасности, которые в ПО уже реализованы и далее это будет проверено при сертификации.
Вторая часть подготовки ПО к сертификации — это определение границ изделия, подлежащих сертификации.
Дело в том, что по факту во ФСТЭК выдается сертификат на тот исходный код, который именно сам разработчик и разработал. Т.е. все вспомогательное ПО, такое как: СУБД, Веб-сервер и так далее — выносятся за границы изделия в так называемую среду функционирования, которая четко прописывается в Формуляре на ПО (паспорт на ПО).
Часто бывает, когда разработчик сам собирает и использует в своем продукте массу заимствованных компонент — в этом то и состоит задача, чтобы описать структуру продукта (что из чего состоит), затем о том, кто разработчик того или иного компонента и в итоге определить границы продукта к сертификации (в виде таблицы).
Зачастую приходится прибегать к «реинженирингу» продукта, чтобы выкинуть некоторые заимствованные компоненты, без исходного кода и/или компоненты, которые через ФСТЭК не пройдут.
Третья часть подготовки ПО к сертификации — это анализ уязвимостей ПО и среды функционирования.
Дело в том, что при сертификационных испытаниях испытательная лаборатория будет сканировать исходный код и среду функционирования специальными сканерами для выявления небезопасных конструкций в исходном коде и уязвимостей в среде функционирования.
И, так как процедура сертификации по сроку строго регламентирована — то выявлением уязвимостей и их устранением нужно заняться до начала сертификационных испытания.
Анализ уязвимостей рекомендуется проводить специализированными сертифицированными во ФСТЭК сканерами уязвимостей исходного кода:
А анализ уязвимостей среды функционирования сканерами уязвимостей среды функционирования (пентеста):
Внимание: для покупки указанных средств вы можете обратиться в наш коммерческий отдел, оставив заявку в форме или позвонив по телефону 8(800)600-60-41 или 8(800)550-44-71
Четвертая часть подготовки ПО к сертификации — это разработка пакета программной документации.
Что это такое?
Это целый набор документации на продукт, согласно требованиям ФСТЭК.
Например, для сертификации ПО на соответствие требованиям Технических условий и Требований доверия 4 уровня — это:
- Формуляр
- Технические условия
- Описание модели безопасности средства
- Описание архитектуры безопасности средства
- Функциональная спецификация средства
- Проект на уровне подсистем средства (эскизный проект)
- Проект на уровне модулей средства (технический проект)
- Представления реализации средства
- Документация на средства, применяемые для разработки средства
- Документация по управлению конфигурацией средства (Формуляр)
- Документация по безопасности разработки средства
- Руководство пользователя средства
- Руководство администратора
- Тестовая документация
- Описание процедур устранения недостатков и обновления средства
- Описание анализа скрытых каналов
Для индивидуального расчета стоимости и сроков сертификации — оставьте заявку или позвоните:
8(800)600-60-41 или 8(800)550-44-71
Заявка на сертификацию программного обеспечения ФСТЭК
Итак, осуществив всю указанную выше подготовку — теперь можно подавать заявку во ФСТЭК.
Она оформляется строго по форме 55 приказа ФСТЭК, в которой, например, указывается:
- Назначение средства
- Заявитель
- Лицензии ФСТЭК России, имеющиеся у заявителя
- Разработчик (разработчики) средства
- Лицензии ФСТЭК России, имеющиеся у разработчика
- Правообладатель (правообладатели) средства
- Испытательная лаборатория
- Тип средства
- Требования по безопасности информации
- Схема сертификации
К заявке, как минимум, должны быть приложены:
- Формуляр
- Технические условия
- Договор с правообладателем исходных кодов, если подает заявку не изготовитель/разработчик
- Основная эксплуатационная документация (если не будет приложена — ФСТЭК вправе ее запросить после подачи заявки)
В итоге, через месяц рассмотрения заявки — ФСТЭК либо выпустит решение на сертификацию, либо нет. Все зависит от качества подготовки к сертификации.
Сертификационные испытания ФСТЭК
Ну вот, получив решение ФСТЭК «на руки» можно заключать договор с испытательной лабораторией, указанной в заявке, а также с назначенным ФСТЭК органом по сертификации, указанным в решении на сертификацию.
Сами сертификационные испытания представляют собой следующий процесс:
- Отбор образца — изготовитель продукции формирует релиз (дистрибутив) ПО и передает его в испытательную лабораторию для испытаний, а также исходный код на него. На выходе акт отбора образцов.
- Разработка и согласование с органом по сертификации программы и методик сертификационных испытаний.
- Разворачивание испытательного стенда и тестирование функций безопасности (стенд подготавливается согласно тестовой документации на продукт).
- Оформление результатов сертификационных испытаний и их экспертиза в органе по сертификации (протоколы испытаний, заключение).
Экспертиза результатов сертификационных испытаний ФСТЭК
Да, абсолютно всю разработанную на этапе подготовке и сертификационных испытаний документацию — необходимо согласовать с назначенным ФСТЭК Органом по сертификации.
Начиная с программной документации на ПО и заканчивая всеми указанными выше материалами сертификационных испытаний:
- Акт отбора образцов
- Программа и методики сертификационных испытаний
- Протоколы сертификационных испытаний
- Заключение по результатам сертификационных испытаний
На выходе этапа экспертизы — заключение органа по сертификации о возможности выдать сертификат на заявленное программное обеспечение. Оно может быть как положительное, так и отрицательное — все зависит от качества подготовки программного обеспечения на первом этапе!
Экспертиза во ФСТЭК и выпуск сертификата
После проведения экспертизы в Органе по сертификации, все разработанные ранее материалы с экспертным заключением уходят во ФСТЭК, где еще раз все перепроверяется и только при отсутствии ошибок — выдается сертификат.
В случае все же наличия каких-либо ошибок — ФСТЭК возвращает материалы в Орган по сертификации для их устранения по цепочке вниз. По устранению ФСТЭК все перепроверяет и если все хорошо — выдает сертификат.
Схемы сертификации ФСТЭК
Вообще существует три схемы сертификации:
- Единичный экземпляр
- Партия
- Серийное производство
Это установлено самим 55 приказом ФСТЭК.
Единичный экземпляр и партия — применяются для владельцев информационных систем, которые эксплуатируют ПО, но не являются его разработчиком.
В 55 приказе указано так:
«Сертификация единичного образца или партии средства защиты информации организуется заявителем, планирующим применять средство защиты информации, в случае, если отсутствуют идентичные серийно производимые сертифицированные средства защиты информации».
Серийное производство — применяется строго для разработчиков и изготовителей ПО.
Внимание: схема сертификации указывается в заявке на сертификацию и является важным элементом процесса сертификации, так как, например для схемы серийное производство — дополнительно проводятся испытания (проверка) производства и организация технической поддержки.
Требования к заявителю на сертификацию программного обеспечения ФСТЭК
Все просто, у заявителя на сертификацию должна быть лицензии ФСТЭК на разработку и производство средств защиты конфиденциальной информации.
Без этой лицензии ФСТЭК не выдаст положительное решение на сертификацию.
Дело в том, что разработка ПО с функциями защиты информации — является по закону РФ лицензируемым видом деятельности. А также, чтобы подготовиться к сертификации, у заявителя должны быть на то компетенции и понимание, что нужно сделать, чтобы подготовиться к сертификации.
Именно поэтому без указанной лицензии «не прожить»!
Из плюсов можем отметить, что указанную лицензию можно получить заказав подготовку у профильной организации как наша. Смотрите раздел Лицензия ФСТЭК разработка средств защиты на нашем сайте и вам все станет ясно.
Для индивидуального расчета стоимости и сроков сертификации — оставьте заявку или позвоните:
8(800)600-60-41 или 8(800)550-44-71
Срок действия сертификата программного обеспечения ФСТЭК
По общему правилу, установленного 55 приказом ФСТЭК — срок действия сертификата не должен превышать 5 лет.
Однако, по желанию заявителя, срок может быть меньше — это указывается в заявке на сертификацию, например, такое может быть если срок эксплуатации информационной системы, где планируется эксплуатировать ПО меньше чем 5 лет.
По окончанию срока действия сертификата — заявитель вправе подать заявку на продление сертификата.
Из нюансов можем отметить следующее:
- Серийно производимое средство можно продавать в период срока действия сертификата и/или в период обеспечения его технической поддержки.
- Для единичного образца или партии срок действия сертификата соответствия не устанавливается.
- При продлении срока действия сертификата сертификационные испытания проводятся по сокращенной программе.
- Сертификат выдается на весь срок, указанный в заявке на сертификацию.
Сертификация процессов безопасной разработки программного обеспечения
В системе сертификации ФСТЭК существует две категории сертификации:
- Сертификация процессов безопасной разработки программного обеспечения (БРПО)
- Сертификация изделия (единичный экземпляр, партия, серийное производство)
Вторая категория подробно описана выше, а теперь давайте разберем, что же представляет собой сертификация БРПО.
Согласно информационному сообщению ФСТЭК от 26 апреля 2024 г. № 240/24/1958:
Сертификация БРПО: позволит изготовителям сертифицированных средств самостоятельно проводить испытания в случае:
- Внесения в сертифицированное средство изменений в части функций защиты информации
- Обновление версий программного обеспечения
- Добавление новых функций безопасности
- Добавление новых или изменение существующих аппаратных платформ
Разработан отдельный порядок, который устанавливает весь процесс сертификации БРПО, в том числе форму заявки на сертификацию.
Указанный порядок регламентирует процесс сертификации БРПО на требования ГОСТ Р 56939-2016 «Защита информации. Разработка безопасного программного обеспечения. Общие требования».
Лайфхаки сертификации программного обеспечения ФСТЭК
Самый главный лайфхак — это возможность заказать услугу помощи подготовки ПО к сертификации, а также сопровождения всего процесса сертификации. Например, у нас, так как мы более 15 лет занимаемся сертификацией во ФСТЭК и сотрудничаем с рядом испытательных лабораторий.
Лучше чтобы вас провели «за ручку» через весь процесс, чем самим разбираться «от и до» во всем процессе сертификации и тратить на это годы своей жизни.
Из некоторых лайфхаков можно отметить:
- Подаем заявку только когда продукт уже подготовлен (см. выше, что это значит)
- Можно выделить модуль безопасности продукта и сертифицировать только его
- Лучше сразу строить ПО на базе доверенных, уже сертифицированных компонент, таких как, например: Java Axiom JDK Certified (сертификат ФСТЭК № 4531)
- В ПО можно применять только сертифицированную криптографию (сертификат ФСБ)
- Можно подать заявку на сертификацию мажорной версии, а не конкретного релиза с минором
Стоимость сертификации программного обеспечения ФСТЭК
Давайте сразу, без прелюдий, распишем стоимость сертификации, например, некого типового Веб-приложения:
- Помощь в подготовке продукта к сертификации (консалт по определению границ продукта, анализ кода и среды, разработка документации) — около 5 млн.
- Сертификационные испытания в лаборатории — около 4,5 млн.
- Экспертиза результатов испытаний — около 0,5 млн.
Итого ориентировочный ценник на сертификацию типовой продукции — около 10 млн.
Если что-то у Заявителя уже имеется, то конечно будет дешевле.
Сроки сертификации программного обеспечения ФСТЭК
Также без прелюдий по срокам:
1. Подготовка к сертификации — от 3 до 6 мес.
2. Получение решения на сертификацию — около 1 мес.
3. Сертификационные испытания — от 4 до 6 мес.
4. Экспертиза в органе по сертификации — от 2 до 4 мес.
5. Получение сертификата «на руки» — около 1 мес.
Итого: от 11 до 18 мес.
Для индивидуального расчета стоимости и сроков сертификации — оставьте заявку или позвоните:
8(800)600-60-41 или 8(800)550-44-71
Переоформление сертификата программного обеспечения ФСТЭК
Возможно три варианта развития событий (изменений, влекущих переоформление сертификата):
- Изменения влекущие дополнение или корректировку функций безопасности
- Изменения в общем функционале ПО, не влекущие изменения в функциях безопасности
- Изменения в связи с устранением в изделии уязвимостей (недекларированных возможностей)
В первом случае: требуется привлекать испытательную лабораторию для проведения дополнительных работ.
Во втором случае: Заявитель вправе провести испытания самостоятельно.
В третьем случае: Заявитель доводит до потребителей обновления до проведения дополнительных испытаний. Испытания проводятся в зависимости от характера изменений (первый или второй случай).
Итого: на основании полученных материалов, ФСТЭК в 20 дневный срок их рассматривает и если все хорошо — переоформляет сертификат.
Сертификат программного обеспечения ФСТЭК
Вы спросите: так как же выглядит сертификат на программное обеспечение ФСТЭК?
Вот так:
Сертификат программное обеспечение ФСТЭК — подтверждает, что программное обеспечение соответствует заданным требованиям безопасности, при условии выполнения ограничений по эксплуатации, указанных в Формуляре.
Чтобы получить сертификат без проблем — рекомендуем обратиться к профильной организации с большим опытом работы, например к нам!
У нас работают выходцы из испытательной лаборатории ФСТЭК России с опытом работы более 15 лет!
Наши клиенты остаются довольны и рекомендуют нас, что подтверждают бесчисленные благодарственные отзывы.
Реестр программного обеспечения ФСТЭК
Он располагается по адресу: https://reestr.fstec.ru/reg3
Данный реестр содержит:
- Номер сертификата
- Дата выдачи
- Срок окончания
- Наименование продукции
- Требования по которым продукция сертифицирована
- Схема сертификации
- Испытательная лаборатория
- Орган по сертификации
- Срок технической поддержки
Внимание: чтобы выбрать подходящее программное обеспечение — важно смотреть на схему сертификации. Продукция, сертифицированная по схеме «единичный экземпляр» или «партия» — это по сути сертификация для целей одного заказчика, т.е. никому другому это ПО не продадут.
Лайфхак: если срок действия сертификата ФСТЭК закончился, но еще действует срок технической поддержки, указанный в последнем столбце реестра, то данное средство еще можно эксплуатировать на объекте.
Для индивидуального расчета стоимости и сроков сертификации — оставьте заявку или позвоните:
8(800)600-60-41 или 8(800)550-44-71