Порядок проведения сертификации в системе сертификации ФСТЭК России

До сертификации

Подготовьте программное обеспечение и документацию

Убедитесь, что Ваш продукт соответствует предъявляемым требованиям, имеет исчерпывающую документацию, а в организации установлены процессы по разработке безопасного ПО

Выберите испытательную лабораторию и заключите договор на сертификацию

Вы вправе выбрать любую испытательную лабораторию из реестра аккредитованных ФСТЭК России органов по сертификации и испытательных лабораторий

Но если Вы хотите получить лучший сервис - выбирайте нас!

Сформируйте заявку на сертификацию

Или выберите нас и мы сделаем это за Вас

Отправьте заявочный комплект во ФСТЭК России

В заявочный комплект входят:

  • заявка на сертификацию;

  • формуляр (паспорт) на ПО;

  • документ, в котором сформулированы требования к ПО (ТУ, ТЗ или ЗБ);

  • если заявитель и разработчик отличаются - договор с лицом, обладающим исключительными правами на ПО, о предоставлении заявителю права на сертификацию, эксплуатацию или производство СЗИ, а также на техподдержку

Дождитесь решения ФСТЭК России

Обычно ФСТЭК России рассматривает заявку в течение 30 дней

В решении ФСТЭК России указывает орган по сертификации. Вы должны заключить с ним договор на проведение экспертизы материалов испытаний

Предварительный этап

Предварительное рассмотрение

Предоставьте возможность органу по сертификации и испытательной лаборатории осуществить предварительное рассмотрение ПО и документации

По результатам предварительного рассмотрения орган по сертификации и испытательная лаборатория могут выдать замечания - Вам следует их исправить для перехода к следующему этапу

Разработка программы и методики сертификационных испытаний

В сроки, указанные в договоре на сертификацию, испытательная лаборатория разрабатывает программу и методику сертификационных испытаний

Согласование и утверждение программы и методики испытаний

После разработки программы и методики испытательная лаборатория направляет ее заявителю на согласование

После согласования заявителем, испытательная лаборатория направляет программу и методику сертификационных испытаний на рассмотрение и утверждение в орган по сертификации

Отбор образца

После утверждения программы и методики сертификационных испытаний испытательная лаборатория в присутствии представителя заявителя осуществляет отбор образца ПО

На отбор образца необходимо предоставить ПО и документацию в комплектности, определенной в формуляре

Сертификационные испытания

Проверка документации

Испытательная лаборатория проверяет соответствие документации предъявляемым требованиям (в соответствии с уровнем доверия)

Функциональное тестирование

Испытательная лаборатория проверяет соответствие ПО предъявляемым к нему функциональным требованиям

Выявление уязвимостей и недекларированных возможностей

Испытательная лаборатория проводит испытания по выявлению уязвимостей и недекларированных возможностей в ПО в соответствии с уровнем контроля (уровнем доверия)

Это включает в себя:

  • анализ архитектуры ПО;

  • анализ ПО по открытым источникам;

  • статический анализ (с 5 уровня доверия);

  • регрессионное, модульное и системное тестирование ПО (с 4 уровня доверия);

  • фаззинг-тестирование;

  • ручной анализ (при необходимости)

Проверка производства

Испытательная лаборатория проверяет производство ПО

В программу проверки производства обычно включаются:

  • проверка внедрения процедур безопасной разработки;

  • проверка возможности осуществления технической поддержки;

  • проверка внедрения системы менеджмента информационной безопасности;

  • проверка внедрения системы менеджмента качества

Оформление технического заключения

По результатам всех испытаний испытательная лаборатория оформляет техническое заключение, в котором отражаются выводы экспертов о соответствии или несоответствии ПО, документации и процессов заявителя предъявляемым требованиям

Техническое заключение вместе со всеми материалами направляется испытательной лабораторией на экспертизу в орган по сертификации

После испытаний

Оценка материалов сертификационных испытаний

В срок не более 45 календарных дней орган по сертификации рассматривает материалы сертификационных испытаний

По результатам рассмотрения орган по сертификации оформляет экспертное заключение о возможности или невозможности выдачи сертификата соответствия и, в случае, если выдача возможна, подготавливает проект сертификата соответствия

Рассмотрение материалов федеральным органом по сертификации

В срок не более 45 календарных дней ФСТЭК России рассматривает материалы испытаний, техническое и экспертное заключение

Выдача сертификата

Выдача сертификата ФСТЭК России

Если по результатам рассмотрения материалов недостатков не выявлено, то ФСТЭК России подписывает сертификат, вносит сведения о сертификации в реестр и в течение 10 дней выдает сертификат и знаки соответствия заявителю

В ином случае ФСТЭК России направляет материалы в орган по сертификации на доработку