Сертификация ФСТЭК, испытания на НДВ, приказ № 239
Требования по безопасности информации ПО систем ЖТ содержатся в нормативных правовых документах федерального регулятора в области информационной безопасности – ФСТЭК России (приказы №№ 31, 76, 239). Оценка соответствия ПО требованиям по безопасности информации входит в состав комплекса организационно-технических мер по обеспечению безопасности критической информационной инфраструктуры (ФЗ-187 и подзаконные акты). Требования по безопасности информации ПО систем ЖТ содержатся в действующем СТО РЖД 02.049-2014.
Оценка соответствия ПО систем ЖТ требованиям по безопасности информации должна проводиться в соответствии с нормативными документами ФСТЭК России в форме испытаний (по требованию заказчика или инициативе заявителя - в форме сертификации) один раз и её результатами закрываются требования и приказа ФСТЭК N239, и ФЗ-187, и СТО РЖД 02.049-2014.
Оценку информационной безопасности ПО АСУ ЖТ проводят:
- в форме сертификации в системе сертификации ФСТЭК России;
- в форме испытаний, которые проводятся компетентными испытательными лабораториями с получением экспертного заключения органа по сертификации средств защиты информации на железнодорожном транспорте (ОС СЗИ), и регистрацией подтверждения о соответствии ПО АСУ ЖТ требованиям по информационной безопасности в ведущемся ОС СЗИ Реестре программного обеспечения железнодорожного транспорта, прошедшего оценку соответствия требованиям по информационной безопасности (Реестр).
Испытательная лаборатория ООО «ИБТранс» более десяти лет проводит испытания программного обеспечения в системе сертификации средств защиты информации по требованиям защиты информации. Испытания проводятся на соответствие требованиям документов ФСТЭК России и включает в себя проверки продукции и документации на нее.
Правила сертификации продукции в системе сертификации ФСТЭК определены в Положении о системе сертификации средств защиты информации, утвержденной приказом ФСТЭК России №55 от 3 апреля 2018 года. Примерная процедура проведения испытаний представлена на схеме ниже.
Готовность Заявителя
Готовность программной документации по требованиям ФСТЭК России и ГОСТ ЕСПД
Доступность исходных кодов ПО
Наличие функционально завершенного ПО (стабильная версия ПО)
*Заявитель – организация-разработчик ПО, пользователь ПО, официальный представитель зарубежной компании-разработчика в РФ, подающие заявку на сертификацию программного обеспечения
Доступность исходных кодов ПО
Наличие функционально завершенного ПО (стабильная версия ПО)
*Заявитель – организация-разработчик ПО, пользователь ПО, официальный представитель зарубежной компании-разработчика в РФ, подающие заявку на сертификацию программного обеспечения
Сбор информации
Определение наименования и обозначения программного изделия
Определение объема исходного кода, подлежащего анализу
Адреса проведения испытаний ПО
Технические и программные средства разработки ПО
Определение объема исходного кода, подлежащего анализу
Адреса проведения испытаний ПО
Технические и программные средства разработки ПО
Передача информации
Заявитель обращается в испытательную лабораторию с собранной информацией. Испытательная лаборатория на основании полученных данных оценивает возможность проведения работ, сроки и стоимость.
*Испытательная лаборатория – организация, аккредитованная ФСТЭК России на проведение сертификационных испытаний средств защиты информации.
*Испытательная лаборатория – организация, аккредитованная ФСТЭК России на проведение сертификационных испытаний средств защиты информации.
Коммерческое предложение
Испытательная лаборатория формирует коммерческое предложение с указанием последовательности проведения работ, порядка расчетов, стоимости и сроков испытаний, обоснованных руководящими документами и практикой проведения работ.
Подготовка Заявки
Заявитель (с информационной поддержкой Испытательной лаборатории) на фирменном бланке со штампом организации оформляет «Заявку на проведение сертификации программного обеспечения на отсутствие недекларированных возможностей» и направляет ее в ФСТЭК России.
Информация, содержащаяся в заявке: адрес; наименование и банковские реквизиты Заявителя; наименование продукции, подлежащей сертификации; схема сертификации; требования, на соответствия которым проводится сертификация; адрес предпочитаемой Испытательной лаборатории.
К заявке прикладываются необходимые документы, оформленные Заявителем (Паспорт/Формуляр, ТУ).
Скачать бланк заявки на проведение сертификации можно на сайте ФСТЭК России (Положение о сертификации СЗИ)
*ФСТЭК России – Федеральный орган по сертификации продукции по требованиям безопасности информации
Информация, содержащаяся в заявке: адрес; наименование и банковские реквизиты Заявителя; наименование продукции, подлежащей сертификации; схема сертификации; требования, на соответствия которым проводится сертификация; адрес предпочитаемой Испытательной лаборатории.
К заявке прикладываются необходимые документы, оформленные Заявителем (Паспорт/Формуляр, ТУ).
Скачать бланк заявки на проведение сертификации можно на сайте ФСТЭК России (Положение о сертификации СЗИ)
*ФСТЭК России – Федеральный орган по сертификации продукции по требованиям безопасности информации
Получение Решения
Федеральный орган по сертификации (ФСТЭК России) в месячный срок рассматривает заявку на сертификацию, определяет схему проведения сертификации средств защиты информации, испытательную лабораторию с учетом предложений заявителя и назначает орган по сертификации.
По результатам рассмотрения Заявки ФСТЭК России направляет заявителю, в назначенные для проведения сертификации Орган по сертификации и Испытательную лабораторию Решения по заявке на проведение сертификации. В Решении по сертификации указывается наименование продукции, схема проведения сертификации, Испытательная лаборатория, проводящая испытания продукции и Орган по сертификации, контролирующий процесс сертификации.
*Орган по сертификации – уполномоченная организация (лицо), осуществляющая контроль за ходом испытаний и проводящая экспертизу материалов сертификационных испытаний
По результатам рассмотрения Заявки ФСТЭК России направляет заявителю, в назначенные для проведения сертификации Орган по сертификации и Испытательную лабораторию Решения по заявке на проведение сертификации. В Решении по сертификации указывается наименование продукции, схема проведения сертификации, Испытательная лаборатория, проводящая испытания продукции и Орган по сертификации, контролирующий процесс сертификации.
*Орган по сертификации – уполномоченная организация (лицо), осуществляющая контроль за ходом испытаний и проводящая экспертизу материалов сертификационных испытаний
Заключение договора
Согласование всех условий проведения работ между Заявителем и Испытательной лабораторией. На основании консультаций между сторонами формируется календарный план работ. Подписание договора определяет начало сертификационных испытаний.
Помимо этого, заключается договор с Органом по сертификации для проведения экспертизы материалов испытаний. Договор с Органом по сертификации может заключать как Испытательная лаборатория, так и Заявитель. Рекомендуемым вариантом является заключение договора между Испытательной Лабораторией и Органом по сертификации.
Помимо этого, заключается договор с Органом по сертификации для проведения экспертизы материалов испытаний. Договор с Органом по сертификации может заключать как Испытательная лаборатория, так и Заявитель. Рекомендуемым вариантом является заключение договора между Испытательной Лабораторией и Органом по сертификации.
Анализ документации
Передача Заявителем программной документации на изделие, подлежащее сертификационным испытанием, Испытательной Лаборатории.
Программная документация включает в себя следующий перечень документов, разработанный с учетом требований стандартов ЕСПД (ЕСКД):
• Формуляр (ГОСТ 19.501-78)
• Спецификация (ГОСТ 19.202-78)
• Описание программы (ГОСТ 19.402-78)
• Описание применения (ГОСТ 19.502-78)
• Текст программы (ГОСТ 19.401-78)
• другие документы в соответствии с требованиями нормативных документов ФСТЭК России
Программная документация включает в себя следующий перечень документов, разработанный с учетом требований стандартов ЕСПД (ЕСКД):
• Формуляр (ГОСТ 19.501-78)
• Спецификация (ГОСТ 19.202-78)
• Описание программы (ГОСТ 19.402-78)
• Описание применения (ГОСТ 19.502-78)
• Текст программы (ГОСТ 19.401-78)
• другие документы в соответствии с требованиями нормативных документов ФСТЭК России
Разработка программы испытаний
По результатам анализа документации специалисты Испытательной лаборатории разрабатывают «Программу и методику проведения сертификационных испытаний» изделия.
Программа и методика испытаний определяет последовательность проверок, осуществляемых специалистами лаборатории для оценки соответствия программного изделия требованиям соответствующих нормативных документов ФСТЭК России.
Программа и методика испытаний согласуется с Заявителем и утверждается Органом по сертификации.
В случае, если сертифицируемое изделие разработано с участием иностранной организации, Программа и методика испытаний дополнительно согласуется с Федеральным Органом по сертификации.
Программа и методика испытаний определяет последовательность проверок, осуществляемых специалистами лаборатории для оценки соответствия программного изделия требованиям соответствующих нормативных документов ФСТЭК России.
Программа и методика испытаний согласуется с Заявителем и утверждается Органом по сертификации.
В случае, если сертифицируемое изделие разработано с участием иностранной организации, Программа и методика испытаний дополнительно согласуется с Федеральным Органом по сертификации.
Проведение испытаний
После согласования Программы и Методики испытаний специалисты лаборатории приступают к испытаниям программного изделия. Испытания включают в себя следующие основные шаги:
• анализ программной документации,
• фиксация исходного состояния ПО,
• испытания программного продукта (статические испытания исходного кода, динамический анализ и т.д.)
При необходимости проведения испытаний на технической базе Заявителя, осуществляются выезды специалистов Испытательной Лаборатории на место проведения испытаний (в организации-разработчики программного изделия)
• анализ программной документации,
• фиксация исходного состояния ПО,
• испытания программного продукта (статические испытания исходного кода, динамический анализ и т.д.)
При необходимости проведения испытаний на технической базе Заявителя, осуществляются выезды специалистов Испытательной Лаборатории на место проведения испытаний (в организации-разработчики программного изделия)
Результаты испытаний
Испытательная лаборатория по результатам всех проверок сертифицируемой продукции формирует пакет документов, включающий:
• протоколы испытаний продукции,
• техническое заключение,
• акты отбора образца, сборки ПО и другие документы.
Весь пакет документов, включающий программную документацию Заявителя, передается в Орган по сертификации для проведения экспертизы. Техническое заключение Испытательной лаборатории отправляется Заявителю.
• протоколы испытаний продукции,
• техническое заключение,
• акты отбора образца, сборки ПО и другие документы.
Весь пакет документов, включающий программную документацию Заявителя, передается в Орган по сертификации для проведения экспертизы. Техническое заключение Испытательной лаборатории отправляется Заявителю.
Экспертиза результатов
Орган по сертификации в месячный срок рассматривает материалы испытаний, полученные от испытательной лаборатории и формирует Экспертное заключение, по результатам которого Федеральный орган по сертификации принимает решение о выдаче/отказе в выдаче сертификата соответствия.
Передача документов во ФСТЭК
Орган по Сертификации формирует необходимый комплект документов, включающий заключение эксперта органа по сертификации.
Пакет документов направляется в Федеральный орган по сертификации для вынесения решения о выдаче/отказе в выдаче сертификата.
Пакет документов направляется в Федеральный орган по сертификации для вынесения решения о выдаче/отказе в выдаче сертификата.
Рассмотрение документов
Федеральный орган по сертификации в месячный срок рассматривает пакет документов, включающий Техническое заключение Испытательной лаборатории, Экспертное заключение Органа по сертификации и выносит решение о выдаче сертификата соответствия либо мотивированный отказ в выдаче.
Мы советуем Заявителям обратиться во ФСТЭК в течение 3-4 недель после передачи комплекта документов с вопросом о готовности сертификата.
Мы советуем Заявителям обратиться во ФСТЭК в течение 3-4 недель после передачи комплекта документов с вопросом о готовности сертификата.
Получение сертификата
В случае вынесения положительного решения о выдаче сертификата, после его формирования Заявителю необходимо записаться на выдачу сертификата во ФСТЭК. Телефон отдела сертификации ФСТЭК: 8 (495)693-6872.
Выдача сертификатов производится по четвергам. Срок действия сертификатов соответствия – 5 лет с момента выдачи его Федеральным органом.
Вместе с сертификатом Заявитель получает знаки соответствия для маркировки своей продукции и Формуляр на продукцию, согласованный с представителем Федерального Органа по сертификации.
Выдача сертификатов производится по четвергам. Срок действия сертификатов соответствия – 5 лет с момента выдачи его Федеральным органом.
Вместе с сертификатом Заявитель получает знаки соответствия для маркировки своей продукции и Формуляр на продукцию, согласованный с представителем Федерального Органа по сертификации.