Услуги

Сертификация ФСТЭК

Испытательная лаборатория ИБТранс осуществляет проведение сертификационных испытаний программного обеспечения по требованиям защиты информации

Сертификация ФСТЭК

Сертификация в федеральной службе по техническому и экспортному контролю (ФСТЭК) проводится, когда необходимо подтвердить соответствие разрабатываемой продукции требованиям защиты информации.

Испытательная лаборатория ЗАО «ИБТранс» более десяти лет проводит испытания программного обеспечения в системе сертификации средств защиты информации по требованиям защиты информации. Испытания проводятся на соответствие требованиям руководящих документов Гостехкомиссии России и включает в себя проверки продукции и документации на нее.

На железнодорожном транспорте, как правило, проводятся проверки программного обеспечения по требованиям руководящего документа «Защита от несанкционированного доступа к информации Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей».

Готовность Заявителя
Готовность программной документации по ГОСТ ЕСПД (ЕСКД)
Доступность исходных кодов ПО
Наличие функционально завершенного ПО (стабильная версия ПО)
*Заявитель – организация-разработчик ПО, пользователь ПО, официальный представитель зарубежной компании-разработчика в РФ, подающие заявку на сертификацию программного обеспечения
Сбор информации
Определение наименования и обозначения программного изделия
Определение объема исходного кода, подлежащего анализу на отсутствие НДВ
Адреса проведения испытаний ПО
Технические и программные средства разработки ПО
*НДВ – недекларированная возможность
Передача информации
Заявитель обращается в испытательную лабораторию с собранной информацией. Испытательная лаборатория на основании полученных данных оценивает возможность проведения работ, сроки и стоимость.
*Испытательная лаборатория – организация, аккредитованная ФСТЭК России на проведение сертификационных испытаний средств защиты информации.
Коммерческое предложение
Испытательная лаборатория формирует коммерческое предложение с указанием последовательности проведения работ, порядка расчетов, стоимости и сроков испытаний, обоснованных руководящими документами и практикой проведения работ.
Подготовка Заявки
Заявитель (с информационной поддержкой Испытательной лаборатории) на фирменном бланке со штампом организации оформляет «Заявку на проведение сертификации программного обеспечения на отсутствие недекларированных возможностей» и направляет ее во ФСТЭК России.
Информация, содержащаяся в заявке: адрес; наименование и банковские реквизиты Заявителя; наименование продукции, подлежащей сертификации; схема сертификации; требования, на соответствия которым проводится сертификация; адрес предпочитаемой Испытательной лаборатории.
Скачать бланк заявки на проведение сертификации можно ЗДЕСЬ.
*ФСТЭК России – Федеральный орган по сертификации продукции по требованиям безопасности информации
Получение Решения
Федеральный орган по сертификации (ФСТЭК России) в месячный срок рассматривает заявку на сертификацию, определяет схему проведения сертификации средств защиты информации, испытательную лабораторию с учетом предложений заявителя и назначает орган по сертификации.
По результатам рассмотрения Заявки ФСТЭК России направляет заявителю, в назначенные для проведения сертификации Орган по сертификации и Испытательную лабораторию Решения по заявке на проведение сертификации. В Решении по сертификации указывается наименование продукции, схема проведения сертификации, Испытательная лаборатория, проводящая испытания продукции и Орган по сертификации, контролирующий процесс сертификации.
*Орган по сертификации – уполномоченная организация (лицо), осуществляющая контроль за ходом испытаний и проводящая экспертизу материалов сертификационных испытаний
Заключение договора
Согласование всех условий проведения работ между Заявителем и Испытательной лабораторией. На основании консультаций между сторонами формируется календарный план работ. Подписание договора определяет начало сертификационных испытаний.
Помимо этого, заключается договор с Органом по сертификации для проведения экспертизы материалов испытаний. Договор с Органом по сертификации может заключать как Испытательная лаборатория, так и Заявитель. Рекомендуемым вариантом является заключение договора между Испытательной Лабораторией и Органом по сертификации.
Анализ документации
Передача Заявителем программной документации на изделие, подлежащее сертификационным испытанием, Испытательной Лаборатории.
Программная документация включает в себя следующий перечень документов, разработанный с учетом требований стандартов ЕСПД (ЕСКД):
• Формуляр (ГОСТ 19.501-78)
• Спецификация (ГОСТ 19.202-78)
• Описание программы (ГОСТ 19.402-78)
• Описание применения (ГОСТ 19.502-78)
• Текст программы (ГОСТ 19.401-78)
Разработка программы испытаний
По результатам анализа документации специалисты Испытательной лаборатории разрабатывают «Программу и методику проведения сертификационных испытаний» изделия.
Программа и методика испытаний определяет последовательность проверок, осуществляемых специалистами лаборатории для оценки соответствия программного изделия требованиям соответствующих нормативных документов ФСТЭК России.
Программа и методика испытаний согласуется с Заявителем и утверждается Органом по сертификации.
В случае, если сертифицируемое изделие разработано с участием иностранной организации, Программа и методика испытаний дополнительно согласуется с Федеральным Органом по сертификации.
Проведение испытаний
После согласования Программы и Методики испытаний специалисты лаборатории приступают к испытаниям программного изделия. Испытания включают в себя следующие основные шаги:
• анализ программной документации,
• фиксация исходного состояния ПО,
• испытания программного продукта (статические испытания исходного кода, динамический анализ)
Осуществляются выезды специалистов Испытательной Лаборатории на место проведения испытаний (в организации-разработчики программного изделия)
Результаты испытаний
Испытательная лаборатория по результатам всех проверок сертифицируемой продукции формирует пакет документов, включающий:
• протоколы испытаний продукции,
• техническое заключение,
• акты отбора образца, сборки ПО и другие документы.
Весь пакет документов, включающий программную документацию Заявителя, передается в Орган по сертификации для проведения экспертизы. Техническое заключение Испытательной лаборатории отправляется Заявителю.
Экспертиза результатов
Орган по сертификации в месячный срок рассматривает материалы испытаний, полученные от испытательной лаборатории и формирует Экспертное заключение, по результатам которого Федеральный орган по сертификации принимает решение о выдаче/отказе в выдаче сертификата соответствия.
Передача документов во ФСТЭК
Орган по Сертификации формирует необходимый комплект документов, включающий заключение эксперта органа по сертификации.
Пакет документов направляется в Федеральный орган по сертификации для вынесения решения о выдаче/отказе в выдаче сертификата.
Рассмотрение документов
Федеральный орган по сертификации в месячный срок рассматривает пакет документов, включающий Техническое заключение Испытательной лаборатории, Экспертное заключение Органа по сертификации и выносит решение о выдаче сертификата соответствия либо мотивированный отказ в выдаче.
Мы советуем Заявителям обратиться во ФСТЭК в течение 3-4 недель после передачи комплекта документов с вопросом о готовности сертификата.
Получение сертификата
В случае вынесения положительного решения о выдаче сертификата, после его формирования Заявителю необходимо записаться на выдачу сертификата во ФСТЭК. Телефон отдела сертификации ФСТЭК: 8 (495)693-6872.
Выдача сертификатов производится по четвергам. Срок действия сертификатов соответствия – 3 года с момента выдачи его Федеральным органом.
Вместе с сертификатом Заявитель получает знаки соответствия для маркировки своей продукции и Формуляр на продукцию, согласованный с представителем Федерального Органа по сертификации.