Порядок сертификации в системе сертификации ФСТЭК России

До сертификации

~30 дней

Подготовьте программное обеспечение и документацию

Убедитесь, что Ваша организация имеет лицензию на разработку средств защиты информации, Ваш продукт соответствует предъявляемым требованиям и имеет исчерпывающую документацию, а персонал следует установленным процессам по разработке безопасного ПО и контролю качества

Выберите испытательную лабораторию и заключите договор на сертификацию

Вы вправе выбрать любую испытательную лабораторию из реестра аккредитованных ФСТЭК России органов по сертификации и испытательных лабораторий

Выбирайте нас🕵🏻‍♀️

Если хотите получить лучший 💪🏻 сервис!

КонтактыАнкета

Сформируйте заявку на сертификацию

Или выберите нас и мы сделаем это за Вас

Отправьте заявочный комплект во ФСТЭК России

В заявочный комплект входит:

  • заявка на сертификацию;

  • формуляр (паспорт) на ПО;

  • документ, в котором сформулированы требования к ПО (ТУ, ТЗ или ЗБ);

  • если заявитель и разработчик отличаются - договор с лицом, обладающим исключительными правами на ПО, о предоставлении заявителю права на сертификацию, эксплуатацию или производство СЗИ, а также на техподдержку

Дождитесь решения ФСТЭК России

Обычно ФСТЭК России рассматривает заявку в течение 30 дней

В решении на сертификацию ФСТЭК России указывает орган по сертификации. Вы должны заключить с ним договор на проведение экспертизы материалов испытаний

Предварительный этап

45-90 дней

Предварительное рассмотрение

Предоставьте возможность органу по сертификации и испытательной лаборатории осуществить предварительное рассмотрение ПО и документации

По результатам предварительного рассмотрения орган по сертификации и испытательная лаборатория могут выдать замечания - Вам следует их исправить для перехода к следующему этапу

Разработка программы и методики сертификационных испытаний

В сроки, указанные в договоре на сертификацию, испытательная лаборатория разрабатывает программу и методику сертификационных испытаний

Согласование и утверждение программы и методики сертификационных испытаний

После разработки программы и методики испытательная лаборатория направляет ее заявителю на согласование

После согласования заявителем, испытательная лаборатория направляет программу и методику сертификационных испытаний на рассмотрение и утверждение в орган по сертификации

Отбор образца

После утверждения программы и методики сертификационных испытаний испытательная лаборатория в присутствии представителя заявителя осуществляет отбор образца ПО

На отбор образца необходимо предоставить ПО и документацию в комплектности, определенной в формуляре

Испытания

30-75 дней

Проверка документации

Эксперты испытательной лаборатории проверяют соответствие документации предъявляемым к ней требованиям, а также соответствие между документацией и программным обеспечением

Функциональное тестирование

Эксперты испытательной лаборатории проверяют соответствие ПО предъявляемым к нему функциональным требованиям безопасности

Выявление уязвимостей и недекларированных возможностей

Эксперты испытательной лаборатории проводят испытания по выявлению уязвимостей и недекларированных возможностей в соответствии с применимым уровнем контроля (уровнем доверия)

В первую очередь эксперты проверяют то, как организация самостоятельно реализует меры по выявлению уязвимостей и недекларированных возможностей. Если меры реализованы в соответствии с Методикой ФСТЭК России, то испытательная лаборатория может засчитать отчеты и результаты, полученные организацией, за сертификационные испытания. Это позволяет значительно ускорить процесс сертификации

Если отчеты и результаты не удовлетворили экспертов, то испытания проводятся в полном объеме. Обычно они включают в себя:

  • анализ документации и иных исходных данных;

  • определение поверхности атаки ПО;

  • подготовка исследовательского стенда;

  • анализ архитектуры ПО;

  • анализ ПО по открытым источникам;

  • фаззинг-тестирование;

  • статический анализ (с 5 уровня доверия);

  • регрессионное и модульное тестирование ПО (с 4 уровня доверия);

  • системное тестирование (с 3 уровня доверия);

  • ручной анализ (при необходимости).

Сложности с поиском инструментов для анализа ПО?😢

Мы знаем, чем Вам помочь! В нашей базе знаний сотня различных инструментов, подходящих под требования регулятора😲

Хочу фаззер!

Проверка производства

Эксперты испытательной лаборатории проверяют производство ПО.

Обычно проверка производства представляет собой внешний аудит на территории заявителя, в которой задействовано 2 или 3 эксперта со стороны испытательной лаборатории.

Со стороны организации требуется участие персонала, задействованного в:

  • реализации процедур по разработке безопасного ПО;

  • осуществлении технической поддержки пользователей ПО;

  • реализации системы менеджмента информационной безопасности;

  • реализации системы менеджмента качества организации

Оформление технического заключения

По результатам всех работ эксперты испытательной лаборатории оформляют техническое заключение, в котором отражают свои выводы о соответствии или несоответствии ПО, документации и процессов предъявляемым требованиям.

Техническое заключение вместе со всеми материалами испытаний и документацией заявителя направляется на экспертизу в орган по сертификации

🤯🤯🤯🤯🤯🤯

Болит голова от обилия непонятных терминов?

Свяжитесь с нами! Эксперты испытательной лаборатории проложат Вам путь сквозь извилистую нормативку

Вперед, к свету!

После испытаний

45-90 дней

Оценка материалов сертификационных испытаний

В срок не более 45 календарных дней орган по сертификации рассматривает материалы испытаний

По результатам рассмотрения орган по сертификации может вернуть материалы или документацию на доработку

Если материалы и документация в порядке, то орган по сертификации оформляет экспертное заключение о возможности выдачи сертификата соответствия, подготавливает проект сертификата соответствия и направляет материалы в федеральный орган по сертификации (ФСТЭК России)

Рассмотрение материалов федеральным органом по сертификации

В срок не более 45 календарных дней ФСТЭК России рассматривает материалы испытаний, техническое и экспертное заключение

Выдача сертификата

10 дней

Выдача сертификата соответствия ФСТЭК России

Если по результатам рассмотрения материалов недостатков не выявлено, то ФСТЭК России подписывает сертификат, вносит сведения о сертификации в реестр и в течение 10 дней выдает сертификат и знаки соответствия заявителю

В ином случае ФСТЭК России направляет материалы в орган по сертификации на доработку


UPDATEФСТЭК России прекращает выдачу знаков соответствия, а также принимает новый порядок маркирования.

...Специальные защитные знаки для маркирования сертифицированных средств защиты информации выдаваться не будут...

Следует обратить внимание на данный факт и отразить изменения в формуляре на ПО

Порядок сертификации в системе сертификации ФСТЭК России
Никита Маркевич 3 августа, 2021
Сертификация ПО ePlat4m