До сертификации
~30 днейПодготовьте программное обеспечение и документацию
Убедитесь, что Ваша организация имеет лицензию на разработку средств защиты информации, Ваш продукт соответствует предъявляемым требованиям и имеет исчерпывающую документацию, а персонал следует установленным процессам по разработке безопасного ПО и контролю качества
Выберите испытательную лабораторию и заключите договор на сертификацию
Вы вправе выбрать любую испытательную лабораторию из реестра аккредитованных ФСТЭК России органов по сертификации и испытательных лабораторий
Сформируйте заявку на сертификацию
Или выберите нас и мы сделаем это за Вас
Отправьте заявочный комплект во ФСТЭК России
В заявочный комплект входит:
заявка на сертификацию;
формуляр (паспорт) на ПО;
документ, в котором сформулированы требования к ПО (ТУ, ТЗ или ЗБ);
если заявитель и разработчик отличаются - договор с лицом, обладающим исключительными правами на ПО, о предоставлении заявителю права на сертификацию, эксплуатацию или производство СЗИ, а также на техподдержку
Дождитесь решения ФСТЭК России
Обычно ФСТЭК России рассматривает заявку в течение 30 дней
В решении на сертификацию ФСТЭК России указывает орган по сертификации. Вы должны заключить с ним договор на проведение экспертизы материалов испытаний
Предварительный этап
45-90 днейПредварительное рассмотрение
Предоставьте возможность органу по сертификации и испытательной лаборатории осуществить предварительное рассмотрение ПО и документации
По результатам предварительного рассмотрения орган по сертификации и испытательная лаборатория могут выдать замечания - Вам следует их исправить для перехода к следующему этапу
Разработка программы и методики сертификационных испытаний
В сроки, указанные в договоре на сертификацию, испытательная лаборатория разрабатывает программу и методику сертификационных испытаний
Согласование и утверждение программы и методики сертификационных испытаний
После разработки программы и методики испытательная лаборатория направляет ее заявителю на согласование
После согласования заявителем, испытательная лаборатория направляет программу и методику сертификационных испытаний на рассмотрение и утверждение в орган по сертификации
Отбор образца
После утверждения программы и методики сертификационных испытаний испытательная лаборатория в присутствии представителя заявителя осуществляет отбор образца ПО
На отбор образца необходимо предоставить ПО и документацию в комплектности, определенной в формуляре
Испытания
30-75 днейПроверка документации
Эксперты испытательной лаборатории проверяют соответствие документации предъявляемым к ней требованиям, а также соответствие между документацией и программным обеспечением
Функциональное тестирование
Эксперты испытательной лаборатории проверяют соответствие ПО предъявляемым к нему функциональным требованиям безопасности
Выявление уязвимостей и недекларированных возможностей
Эксперты испытательной лаборатории проводят испытания по выявлению уязвимостей и недекларированных возможностей в соответствии с применимым уровнем контроля (уровнем доверия)
В первую очередь эксперты проверяют то, как организация самостоятельно реализует меры по выявлению уязвимостей и недекларированных возможностей. Если меры реализованы в соответствии с Методикой ФСТЭК России, то испытательная лаборатория может засчитать отчеты и результаты, полученные организацией, за сертификационные испытания. Это позволяет значительно ускорить процесс сертификации
Если отчеты и результаты не удовлетворили экспертов, то испытания проводятся в полном объеме. Обычно они включают в себя:
анализ документации и иных исходных данных;
определение поверхности атаки ПО;
подготовка исследовательского стенда;
анализ архитектуры ПО;
анализ ПО по открытым источникам;
фаззинг-тестирование;
статический анализ (с 5 уровня доверия);
регрессионное и модульное тестирование ПО (с 4 уровня доверия);
системное тестирование (с 3 уровня доверия);
ручной анализ (при необходимости).
Сложности с поиском инструментов для анализа ПО?😢
Мы знаем, чем Вам помочь! В нашей базе знаний сотня различных инструментов, подходящих под требования регулятора😲
Проверка производства
Эксперты испытательной лаборатории проверяют производство ПО.
Обычно проверка производства представляет собой внешний аудит на территории заявителя, в которой задействовано 2 или 3 эксперта со стороны испытательной лаборатории.
Со стороны организации требуется участие персонала, задействованного в:
реализации процедур по разработке безопасного ПО;
осуществлении технической поддержки пользователей ПО;
реализации системы менеджмента информационной безопасности;
реализации системы менеджмента качества организации
Оформление технического заключения
По результатам всех работ эксперты испытательной лаборатории оформляют техническое заключение, в котором отражают свои выводы о соответствии или несоответствии ПО, документации и процессов предъявляемым требованиям.
Техническое заключение вместе со всеми материалами испытаний и документацией заявителя направляется на экспертизу в орган по сертификации
🤯🤯🤯🤯🤯🤯
Болит голова от обилия непонятных терминов?
Свяжитесь с нами! Эксперты испытательной лаборатории проложат Вам путь сквозь извилистую нормативку
После испытаний
45-90 днейОценка материалов сертификационных испытаний
В срок не более 45 календарных дней орган по сертификации рассматривает материалы испытаний
По результатам рассмотрения орган по сертификации может вернуть материалы или документацию на доработку
Если материалы и документация в порядке, то орган по сертификации оформляет экспертное заключение о возможности выдачи сертификата соответствия, подготавливает проект сертификата соответствия и направляет материалы в федеральный орган по сертификации (ФСТЭК России)
Рассмотрение материалов федеральным органом по сертификации
В срок не более 45 календарных дней ФСТЭК России рассматривает материалы испытаний, техническое и экспертное заключение
Выдача сертификата
10 днейВыдача сертификата соответствия ФСТЭК России
Если по результатам рассмотрения материалов недостатков не выявлено, то ФСТЭК России подписывает сертификат, вносит сведения о сертификации в реестр и в течение 10 дней выдает сертификат и знаки соответствия заявителю
В ином случае ФСТЭК России направляет материалы в орган по сертификации на доработку
UPDATEФСТЭК России прекращает выдачу знаков соответствия, а также принимает новый порядок маркирования.
...Специальные защитные знаки для маркирования сертифицированных средств защиты информации выдаваться не будут...
Следует обратить внимание на данный факт и отразить изменения в формуляре на ПО