Как сертифицировать компьютерную программу
Обновлено: 08.07.2024
Все персональные компьютеры, ноутбуки, телефоны, планшеты и другие устройства работают благодаря программному обеспечению.
Специалисты выделяют 3 вида ПО:
аудио- и видеопрограммы.
новые разработанные программы.
Несмотря на свою важную роль в жизни населения, бизнеса и государственных служб, на территории РФ не предусмотрена обязательная сертификация программного обеспечения. Однако разработчик может на добровольной основе оформить сертификационную документацию.
Законодательное регулирование
Сертификация проходит на основании разных национальных стандартов, в числе которых ГОСТ Р ИСО/МЭК 27001-2006 (системы менеджмента информационной безопасности), ГОСТ Р 8.654-2015 “ГСИ. Требования к ПО СИ. Основные положения» и многие другие.
Так, например, под действие стандарта ГОСТ Р 8.654-2015 попадают:
- автоматизированные системы измерений;
- информационно-измерительные приборы;
- устройства, обрабатывающие измерительную информацию.
На примере ГОСТ Р 8.654-2015 разберем основные группы требований к ПО:
к документации (ТУ, спецификации, руководство пользователя)
наименование ПО, его модификация;
детальная информация об интерфейсе и назначении продукта;
варианты защиты от взлома данных;
описание требований к устройствам, на которые устанавливаются.
введенные данные не должны влиять на метрологические значения и функции.
влияние ПО на метрологические показатели
проводится в порядке аттестации;
оценка на основании результатов метрологических и программных испытаний.
защита ПО и информации
наличие устройств поиска и устранения дефектов для предотвращения нарушения целостности системы.
Идентификация и разделение
выделение значимой части, подлежащей анализу;
предоставление доступа к важным фрагментам через распространенный интерфейс.
Специальные требования к ПО
применяются при встроенной загрузке, сохранении данных и их передаче.
Основные нюансы проверок
В зависимости от своих функций продукт может представлять как отдельную программу, так и целый комплекс ПО. Это влияет на выбор схемы сертификации и срок выдачи разрешительного документа. Свидетельство действует до 3 лет.
Некоторые схемы сертификации предусматривают:
- контроль производственных процессов;
- подтверждение наличие СМК;
- инспекционный контроль.
Этапы сертификации ПО
Процедура проходит по определенному алгоритму:
- обращение в центр “Ростест Ростов», обсуждение всех нюансов;
- выбор схемы работы;
- подписание договора;
- исследование образца продукта в лаборатории;
- регистрация и выдача сертификата.
Перечень документов
При обращении в центр “Ростест Ростов” вам потребуется подготовить стандартный пакет документов:
Содержание сертификата на программное обеспечение
В полученном документе будут указаны следующие данные:
- коды ТН ВЭД;
- информация об органе, ответственном за выдачу документа;
- данные о заявителе и разработчике;
- детальное описание продукции;
- номер регистрации;
- дата окончания действия.
Преимущества оформления
Центр “Ростест Ростов” настоятельно рекомендует своим клиентам пройти добровольное подтверждение качества выпускаемого программного обеспечения. Это даст заметные преимущества на рынке:
- повышение деловой репутации;
- построение бизнеса на основе международных стандартов, которые приведут к выходу на новые рынки;
- интерес со стороны инвесторов.
Нотификация ФСБ
Услуги нашего центра
Опытные специалисты “Ростест Ростов» постоянно отслеживают изменения в законодательстве. Поэтому вы можете быть уверены в актуальности и надежности полученных у нас документов.
Мы выдаем документацию вовремя и по минимальной цене. Оставьте заявку на нашем официальном сайте или свяжитесь с нами по телефону.
Как известно — использование сертифицированных версий программного обеспечения прописано в самых разных документах регуляторов. И (к сожалению) эта данность, с которой всем жить. В данной статье не будет перечисления положений документов, согласно которым необходимо использовать сертифицированные (или иначе «прошедшие процедуру проверки соответствия») продукты или размеров штрафов за неиспользование. Вместо этого будут рассмотрены типичные проблемы, с которыми клиенты, вынужденные использовать сертифицированное ПО, обращаются в техническую поддержку.
Если кто-то недавно был вынужден перейти на сертифицированные версии и еще не прошел по всем граблям — просим под кат.
В качестве вступления. Подборка типичных проблем была сформирована в ходе подготовки к одной из конференций на основе обращений в нашу техподдержку. Поэтому сразу предупреждаю, что хотя процедура сертификации одинакова для всех участников рынка, в примерах будет указано, для какой компании они действуют. А нюансы имеют место быть. Скажем у Доктор Веб дистрибутивы для сертифицированных по требованиям ФСТЭК/ФСБ продуктов разные (так как по тем же требованиям должны различаться зоны обновлений), а у Лаборатории Касперского — единый дистрибутив, видимо зоны обновлений разделяются иными способами.
Вступление закончено, перейдем к проблемам.
Проблема №1. А вы работаете на… (название конкретной ОС или продукта)
Тут сразу несколько проблем. Разберем на примерах.
Поддержка операционных систем, соответствующих описанным требованиям, по мере их выхода включается в список поддерживаемых в формуляре, но просто так сделать это производитель не может. Нужно пройти процедуру инспекционного контроля. А она не быстрая — ну никак не менее четырех месяцев.
Нам задают вопрос — а нельзя заранее синхронизировать выпуск новых ОС и прохождение ИК? Увы, но не получится. Так как кроме упомянутой Astra Linux от нас требуется поддержка AltLinux, Windows и так далее. А их даты релиза, увы, приходятся на разное время.
Соответственно рекомендация — заранее проверьте, что выбранную вами ОС поддерживают все необходимые вам сертифицированные продукты.
Все это неудобно и пользователям и производителям (поддержки -то требуют пользователи от них), но, увы, такова действующая процедура.
А иногда бывает так, что на вопрос пользователя мы отвечаем, что сертифицированная версия такую-то ОС или продукт не поддерживает. И тут зачастую тоже проблема в действующей процедуре. Так всем известно, что количество дистрибутивов того же Linux — громадно, при этом использование сертифицированного дистрибутива Linux не всегда обязательно. И пользователь может легко прийти с запросом на поддержку с редким дистрибутивом. А с производителя за включение каждой версии ОС или продукта требуют деньги. И немалые. В сумме сравнимые с доходом от продаж сертифицированных версий. Поэтому при подготовке к сертификации в список поддерживаемых включаются только очень востребованные ОС. Хотя работать будет сертифицированная версия на гораздо большем числе продуктов.
Немного отличается ситуация с сертификацией под требования Министерства Обороны. Здесь список ОС и продуктов, которые нужно поддержать, спускается из МО. Поэтому в ответ на просьбу пользователя о поддержке некой ОС — ему вполне могут ответить, что данная ОС не включена в список требуемых МО.
А совершенно обратная ситуация с тем же Windows 10. Билды этой ОС по факту — совершенно разные ОС. И хотя формально в формуляре стоит Windows 10 — поддержка нового билда будет только после очередного ИК. Да, минимум через месяца четыре, а то и позже.
Многие уверены, что сертифицированные версии выгодны производителям. Может кому и выгодны, но на уровне защитного ПО это редкостный геморрой и для производителя и для пользователей. Причем геморрой очень и очень дорогой.
Проблема №2. «Я обновился!»
Как известно, согласно текущей процедуре производитель должен в случае обнаружения уязвимостей обновлять свое ПО. Засада есть и тут. Обновление возможно только через процедуру ИК. Ага. Месяца четыре и платите деньги. А если не выпустите сертифицированное обновление — ваш продукт нельзя использовать.
Ну ладно, то плач Ярославны от вендора. Выпустили мы обновление, пользователь должен его поставить. Думаете все просто?
Свободно для скачивания сертифицированные дистрибутивы размещать нельзя. Нужно или купить медиа-пакет или обратиться в техническую поддержку — а потом все равно купить медиапакет. Разберемся, почему так.
Как уже было сказано, если сертифицированный дистрибутив нужен срочно и ждать поставки медиапакета невозможно, то клиент может обратиться в службу поддержки и запросить ссылки для скачивания сертифицированных версий и формуляра. Которые ему и будут предоставлены. К запросу надо приложить документы об оплате ранее купленного сертифицированного медиа-пакета. Зачем документы? Чтобы вендор убедился, что ссылки запрашивает именно клиент, а не абы кто.
Кроме ссылок на дистрибутивы техническая поддержка пришлет ссылки на формуляр и рекомендацию примерно следующего типа.
Формуляр следует распечатать, в разделе «Особые отметки» следует сделать пометки о замене формуляра RU.72110450.00300-10 30 02 с голографической наклейкой (знаком соответствия системы сертификации) на обновленный формуляр RU.72110450.00300-10 30 02 изм.4.
На замененном формуляре RU.72110450.00300-10 30 02 можно добавить — «Формуляр аннулирован. Знак соответствия системы сертификации (голографическая наклейка) действителен. Замененный формуляр следует хранить вместе с обновленным для сохранения знака соответствия системы сертификации.
Сделать это надо обязательно!
После этого нужно купить упомянутый медиа-пакет, так как сертифицированное ПО это не просто полученный вами дистрибутив. Сертифицированным считается ПО:
- прошедшее проверку соответствия в Системе сертификации средств защиты информации в соответствии с требованиями государственных стандартов и нормативных документов по защите информации;
- сертифицируемое на соответствие требованиям с параметрами, указанными в этих требованиях. Наиболее известными, но не единственными, сертификатами являются сертификаты ФСТЭК России и ФСБ России;
- дистрибутив которого соответствует эталонному экземпляру, подвергавшемуся сертификационным испытаниям, что подтверждается соответствующими записями в сопроводительной документации на сертифицированное ПО (формуляре), и специальным голографическим знаком соответствия с уникальным номером, который идентифицирует данный экземпляр в системе государственного учета сертифицированных продуктов;
- установленное и настроенное в соответствие с сертифицированными параметрами;
- контролируемое в процессе эксплуатации;
- каждый сертифицированный экземпляр, которого учтен в реестре сертифицированных продуктов. Производитель обязан маркировать средства защиты и обеспечивать беспрепятственный доступ должностных лиц органов, осуществляющих контроль за сертифицированными средствами защиты к учетной информации.
- Фирменная коробка (как средство распространения);
- Лицензионный сертификат;
- 3 DVD-диска в фирменных конвертах с сертифицироваными дистрибутивами Dr.Web и документацией;
- Формуляр с голографической наклейкой, в котором содержатся;
- эталонные значения контрольных сумм сертифицированных продуктов.
А вот ключ/серийный номер при обновлении покупать не нужно. Ключ (за всех вендоров не скажу, а у Доктор Веб так) одинаков и для сертифицированных и для несертифицированных версий. Таким образом, если вы переходите с обычных версий на сертифицированные — ключ менять не нужно.
Сколько нужно медиапакетов?
- 1 юридическое лицо = 1 медиакомплект;
- Если у клиента несколько удаленных филиалов, нужно столько медиакомплектов, сколько филиалов. При проверке со стороны регулятора удобнее иметь сертифицированный медиапакет на месте.
Проблема № 3. Хочу потестировать!
Как было сказано выше — в свободном доступе дистрибутивов сертифицированных версий быть не может. Ключ может (как было сказано выше) использоваться от несертифицированной версии, а вот сами дистрибутивы нужно запросить. Опять за всех не скажу, но у Доктор Веб указать, что требуется именно сертифицированная версия можно при заказе демо-ключа. Если есть ключ, то дистрибутивы можно запросить или у компании, через которую вы осуществляете закупки или через техподдержку вендора.
При заказе нужно указать тип сертификации. Наиболее распространены МО, ФСТЭК, ФСБ.
Проблема № 4. Как получить обновления для замкнутой сети?
Не нужно использовать дополнительный сервер, ставить его снаружи сети и переносить обновления внутрь! Распространенная кстати ошибка. Как правило у вендоров есть возможность скачать обновления с помощью специальной утилиты. Опять же у Доктор Веб таковая есть и в составе ES и можно отдельно запросить эту утилиту (drwreploader) у техподдержки.
Зачем нужна утилита? При копировании вручную могут накопиться лишние файлы, которые надо удалять.
Проблема № 5. О подписи.
Это специфичная проблема AstraLinux. Дело в том, что в определенных режимах ее работы проверяется наличие у пакетов цифровой подписи «НПО РусБИТех».
Не нужно подписывать сертифицированные пакеты еще раз! Они уже подписаны, если в формуляре указана поддержка AstraLinux. После подписи контрольные суммы изменяются и уже не будут соответствовать указанным в формуляре.
Сертификация классических приложений Win32 является устаревшей. Вместо этого отправьте сюда файлы.
Выполните следующие действия, чтобы получить сертификат для настольного приложения для Windows 7, Windows 8, Windows 8.1 и Windows 10.
Если вы хотите преобразовать приложение для настольного компьютера, чтобы оно было совместимо с универсальная платформа Windows и магазином Windows, вы будете использовать классическое мост Windows. в этом случае необходимо следовать указаниям по настройке моста для настольных систем .
Если вы разрабатываете и сертифицироватье приложение UWP с самого начала, см. статью рекомендации по сертификации приложений Windows в UWP для получения сведений о сертификации.
Шаг 1. Подготовка к сертификации
| Раздел | Описание |
|---|---|
| Каковы преимущества? | Сертификация классического приложения предоставляет несколько преимуществ для вас и ваших клиентов. |
| Чтение требований | Ознакомьтесь с техническими требованиями и квалификацией соответствия требованиям, которые должны соответствовать классу Desktop. |
Шаг 2. Тестирование приложения с помощью набора сертификации приложений для Windows
| Раздел | Описание |
|---|---|
| Получение комплекта | Чтобы сертифицировать приложение, необходимо установить и запустить комплект сертификации приложений для Windows (входит в состав Windows SDK). |
| Использование набора | Перед отправкой приложения необходимо проверить его на готовность. Вы также можете скачать копию технического документа о сертификации приложений. |
| Проверка сведений о тесте | Получите список тестов, которые необходимо передать приложению для обеспечения совместимости с последней версией операционной системы Windows. |
Шаг 3. Использование панели мониторинга сертификации Windows
Шаг 4. продвижение классического приложения
| Раздел | Описание |
|---|---|
| Проверка совместимости приложений | Если вы создаете приложение для Windows 8.1, изучите вопросы совместимости. |
| Использование логотипа с приложением | Отображение логотипа на упаковке и в рекламных материалах, а также других рекламных материалов в соответствии с рекомендациями. Только для Windows 7. |
См. также:
Форум по совместимости приложений. Получите поддержку от сообщества о совместимости и сертификации логотипов.
Совместимость Cookbook: получение сведений о новых возможностях и изменениях в последней версии Windows.
В Российской Федерации действует несколько ГОСТ и ГОСТ Р, согласно которым ПО проверяется по следующим параметрам:
- надежность – насколько ПО защищено от сбоев и насколько способно поддерживать работоспособность после сбоев и ошибок;
- защита информации;
- эффективность – соотношение функциональности и затрачиваемых ресурсов вычислительной техники;
- функциональные возможности – соответствует ли программный продукт потребностям;
- практичность – насколько удобно использовать ПО;
- мобильность – насколько ПО может быть интегрировано в различные операционные системы.
Добровольный сертификат на ПО позволяет вам занять более выгодные позиции на рынке, а вашим потребителям показывает, что продукции можно доверять. Таким образом, косвенно его оформление повышает продажи и укрепляет ваши позиции в конкурентной среде, увеличивает доверие со стороны партнеров и инвесторов.
Виды программ
Все программное обеспечение (soft) можно разделить на несколько разновидностей с точки зрения цели разработки и решаемых ими задач. Добровольный сертификат можно оформить на ПО любого вида:
- системное ПО – входит в состав операционных систем как неотъемлемая часть, управляет аппаратным обеспечением. Например, драйвер – служебная программа, которая обеспечивает доступ ОС к устройствам;
- обслуживающее ПО – они выполняют вспомогательные функции, классический пример – это антивирусы и архиваторы;
- прикладное ПО – используются для обработки информации, это широкий спектр программ для работы с текстом, таблицами, мультимедиа, аудиофайлами, для моделирования, расчетов и другое
Нормативная база
Сертификация осуществляется в соответствии с техническими условиями изготовителя или ГОСТ. В частности, в сфере разработки ПО действуют:
Всего в данной сфере насчитывается несколько десятков стандартов, охватывающих весь цикл производства ПО.
Ответственность
В данном случае ответственность за отсутствие документа не наступает благодаря добровольному характеру процедуры, хотя само наличие такого документа станет значительным конкурентным преимуществом.
Однако, существуют санкции, которые наступают за подделку документов. Обычно они лежат в сфере административной ответственности. В частности, согласно ст. 14 КоАП, предусмотрены крупные штрафы.
В отдельных случаях предусмотрена уголовная ответственность.
Содержание добровольного сертификата на программное обеспечение
Даннаый разрешительный документ составляется на номерном бланке, который заверяется печатью органа и подписью его руководителя. Документ обязательно содержит информацию об этом органе, сведения о заявленном ПО, основания для выдачи (реквизиты протоколов и актов), а также номера ГОСТов или ТУ, соответствие которым подтверждено.
Срок действия сертификата составляет не более 3х лет.
Что нужно предоставить для оформления сертификата?
Для прохождения сертификационных проверок заявитель предоставляет в центр:
- сведения о своей компании и о разработчике (заявитель и разработчик – не всегда одна и та же компания);
- информацию о продукте, который проходит сертификацию.
Этапы проведения проверок ПО
В нашей стране оценка качества любой продукции осуществляется строго по утвержденным правилам. Алгоритм действий следующий:
- заявитель обращается в официальный центр;
- Осуществляется сбор всех необходимых сведений;
- проводится исследование и анализ работы продукта;
- если все в порядке, орган выдает добровольный сертификат и регистрирует его в едином реестре.
На нашем информационном портале «ПроГОСТ» вы можете получить консультацию по всем вопросам. Мы предлагаем всестороннюю помощь по прохождению процедуры оценки качества любой продукции.
Оставьте заявку на нашем сайте. Консультации бесплатны!
Проводится оценка соответствия программ и в системе ГОСТ Р, на основании которой выдается добровольный сертификат соответствия. Помимо системы ГОСТов, разработчики или владельцы программного обеспечения сертифицируют данную продукцию и в других системах со своими специальными стандартами.
Читайте также: