Что такое сертификация программных средств

By admin Новости

Что такое сертификация программных средств

Постановление Правительства от 1 декабря 2009 года N 982 содержит исчерпывающий перечень позиций, которые подлежат обязательной сертификации. Но информационные системы в этом списке не упоминаются. Это означает, что на них не распространяется правило об обязательной оценке соответствия, то есть сертификация в области информационной безопасности в Российской Федерации не требуется. В соответствии с положениями федерального закона от 6 октября 1999 г. N 184-ФЗ оценка соответствия таких объектов проводится в добровольном порядке по инициативе заявителя.

Исключение из этого правила зафиксировано в статье 19 федерального закона от 20 февраля 1995 года № 24-ФЗ, посвященного вопросам защиты данных и информатизации. Этот раздел данного нормативного документа устанавливает, что для информационных комплексов федеральных и региональных органов власти, и программ, содержащих данные, находящиеся в ограниченном доступе, сертификация в информационной сфере осуществляется в обязательном порядке.

Вместе с тем, для некоторых видов деятельности в нашей стране государственный контроль осуществляется в форме лицензирования. Список направлений, для которых применяется это требование, приведен в статье 12 федерального закона от 4 мая 2011 года № 99-ФЗ. Он включает следующие позиции:

  • создание, изготовление и распространение телекоммуникационных продуктов, выполненных с использованием шифровальных (криптографических) методов или средств;
  • техническое обслуживание таких продуктов;
  • создание и изготовление специальных средств, используемых для защиты конфиденциальной информации;
  • деятельность по защите конфиденциальной информации при помощи технических средств.

Компании, которые занимаются одним или несколькими видами деятельности из приведенного списка, обязаны получать лицензию.

Сертификация — единственный инструмент независимой оценки эффективности реализации поставленных задач.

Необходимость в добровольной сертификации (подтверждении соответствия, аттестации, оценке соответствия и т. п.) программного обеспечения (ПО) и аппаратно-программных комплексов (АПК) может возникнуть в целом ряде случаев.

Наличие сертификата может служить конкурентным преимуществом при продвижении продукта. При прочих сходных характеристиках конкурирующих продуктов потребители будут склонны предпочесть продукт, имеющий сертификат, подтверждающий соответствие ПО или АПК предъявляемым к ним требованиям.

Некоторые внутриведомственные нормативные документы требуют подтверждение соответствия ПО и АПК, предлагаемых к использованию в сфере регулирования данных ведомств.

Документальное подтверждение заявленных характеристик ПО и АПК может являться необходимым условием для участия в тендере.

Иногда возникает необходимость оценить риски использования ПО или АПК, обусловленные как свойствами самих ПО и АПК, так и возможностью внешнего воздействия на них.

При получении свидетельства об утверждении типа средств измерений возникает необходимость оценки влияния ПО на метрологические характеристики средств измерений и защиты обрабатываемой информации. Это прямое требование Федерального закона «Об обеспечении единства измерений».

Наличие сертификата повышает доверие к продукту со стороны потенциальных приобретателей.

При разработке сложного программного продукта может возникнуть сомнение в качестве продукта со стороны разработчиков, которым может потребоваться независимая оценка разрабатываемого продукта.

Необходимость в тестировании ПО настоятельно подчеркивается в таких нормативных документах, как WELMEC 7.2 и ГОСТ Р 8.596.

Также с выходом новой версии ГОСТ Р 8.568-2017 «ГСИ. Аттестация испытательного оборудования. Основные положения» становится актуальной аттестация программного обеспечения испытательного оборудования (ПО ИО), которую можно провести в рамках системы добровольной сертификации с выдачей свидетельства об аттестации ПО.

Для реализации как сформулированных выше, так и многих других задач Автономной некоммерческой организацией «Межрегиональный испытательный центр» (АНО «МИЦ») была создана Система добровольной сертификации программного обеспечения и аппаратно-программных комплексов (СДС ПО и АПК). Данная система зарегистрирована в Росстандарте и включена в единый реестр зарегистрированных систем добровольной сертификации.

На сегодняшний день СДС ПО и АПК — это более полутора тысяч сертификатов соответствия, выданных на ПО и АПК в самых различных сферах деятельности, таких как метрология, информационная безопасность, безопасность дорожного движения, учет и транспортировка энергоносителей, управление объектами и системами, спутниковый мониторинг, автоматизированные системы контроля и управления, испытания качества сырья, инженерные и научные расчеты, игровое оборудование и программы и многое другое.

Обращаясь в АНО «МИЦ», вы получаете высококлассных и опытных экспертов, способных решить любую поставленную задачу.

Какие этапы включает в себя процедура сертификации программ?

Как правило, оценка качества состоит из следующих стадий:

  • Обращение предпринимателя в центр «СПБ ЦСМ»;
  • Получение заявителем бесплатной консультации;
  • Подача пакета документов, если необходимо, то также разработка и регистрация документационного пакета;
  • Проведение экспертизы в соответствии с требованиями выбранного стандарта (по какому стандарту будет проведена проверка, может выбрать сам заказчик);
  • Если экспертиза завершилась положительно, то выдаётся сертификат на программы.

Что касается получение нотификации ФСБ, то данный документ составляется от имени заявителя и регистрируется в ФСБ. Для подачи в Федеральную службу также подготавливаются документы о программном обеспечении и устройствах, на которых оно хранится. Полный пакет документов для получения необходимого разрешения – будь то лицензия ФСТЭК или нотификация – помогут собрать наши сотрудники.

Как правило, в пакет документов включают наименование и описание продукта, присвоенный ему код, имеющиеся сертификаты (в том числе, от производителя), контракт на приобретения, а также сведения об импортёре.

Провести сертификацию программ и получить бесплатную консультацию можно в центре «СПБ ЦСМ».

ФБУ «Томский ЦСМ» на основании аттестата предоставления полномочий испытательной лаборатории на проведение работ в системе добровольной сертификации программного обеспечения средств измерений (СДС ПО СИ) № 0003 проводит испытания программного обеспечения и аппаратно-программных комплексов с целью добровольной сертификации.

Федеральным законом от 26.06.2008 № 102-ФЗ «Об обеспечении единства измерений» предусмотрено предъявление к программному обеспечению средств измерений определенных требований и необходимость обеспечения его защиты от искажения измерительной информации (пункты 1,2 статьи 9). В рамках проведения испытаний средств измерений в целях утверждения типа предусматривается идентификация программного обеспечения, проверка уровня защиты и оценка влияния на метрологические характеристики. В остальных случаях подтверждение соответствия программного обеспечения выполняется в форме добровольной сертификации на основании Федерального закона от 27.12.2002 № 184-ФЗ «О техническом регулировании».

Сертификация программного обеспечения (ПО) – это проведение независимой, в том числе метрологической, экспертизы используемого программного обеспечения на предмет установления его соответствия требованиям соответствующей нормативной документации.

Какие программные продукты могут быть сертифицированы

  • средств измерений: автономное – функционирующее на базе универсального компьютера и встроенное – предназначенное для решения
  • частных измерительных задач;
  • измерительных и информационно-измерительных систем;
  • контроллеров и вычислительных блоков, не входящих в состав информационно-измерительных систем;
  • системных программных средств, в т.ч. систем коммерческого учета энергетических и природных ресурсов (электроэнергии, количества теплоты, газа, нефти и нефтепродуктов, воды);
  • систем технической, информационной, противопожарной, радиационной и экологической безопасности.
  • научных исследований, в том числе программы моделирования объектов и процессов, являющихся предметом исследований;
  • идентификации объектов и процессов с использованием компьютерных баз данных;
  • управления системами, техническими устройствами и технологическими процессами, использующими средства измерений и устройства с измерительными функциями;
  • учебного назначения в области метрологии и метрологического обеспечения.

Что необходимо для сертификации ПО

На испытания должно быть предоставлено ПО на отдельном электронном носителе (возможен выезд исполнителя на место инсталляции ПО) и документация.

Документация может быть представлена в виде программных документов (например, описания программы, пояснительной записки, описания применения, руководства системного программиста, руководства оператора и т.д.) или иной программной документации, имеющейся у заявителя.

1. Назначение и цели сертификации ПО. Правовое обеспечение сертификации.

В соответствии со стандартами, обеспечение качества − это «совокупность планируемых и систематически проводимых мероприятий, необходимых для уверенности в том, что продукция или процессы удовлетворяют определенным требованиям потребителей к качеству». Для реализации этого положения предназначены технологические системы обеспечения качества, каждая из которых включает: «совокупность организационной структуры, процедур, процессов и ресурсов, обеспечивающую ответственность руководства за качество процессов производства и/или продукции».

Сертификация – процедура подтверждения соответствия требованиям, посредством которой независимое от изготовителя и потребителя предприятие юридически удостоверяет в письменной форме, что состояние продукции и/или производства и системы менеджмента качества способно обеспечить стабильность характеристик изготовляемой продукции и соответствует установленным заказчиком требованиям и стандартам. Качество при проектировании и производстве программных продуктов можно обеспечивать двумя методами

• посредством применения регламентированных технологий и систем обеспечения качества процессов проектирования и производства, предотвращающих дефекты и гарантирующих высокое качество продуктов в процессе их создания;

• путем использования заключительного контроля и испытаний готовых продуктов и исключения из поставки или направлением на доработку изделий, не соответствующих требуемым показателям качества.

В ISO/IEC 00002 – Общие термины и определения в области стандартизации и смежных видов деятельности – сертификация соответствия определена как действие третьей стороны, доказывающее, что обеспечивается необходимая уверенность в том, что должным образом идентифицированная продукция, процесс или услуга соответствует конкретному стандарту или другому нормативному документу.

Основной целью сертификации технологий проектирования и производства систем и программных средств является защита интересов пользователей, государственных и ведомственных интересов на основе контроля качества продукции, обеспечения их высоких потребительских свойств, повышения эффективности затрат в сфере их производства, эксплуатации и сопровождения, повышения объективности оценок характеристик и обеспечения конкурентоспособности конечного продукта. Проведение сертификации систем качества предприятия обычно планируется для достижения одной или нескольких целей:

• определения соответствия или несоответствия элементов системы качества установленным требованиям производства;

• определения эффективности внедренной системы качества предприятия с точки зрения соответствия поставленным целям для обеспечения качества продукции;

• обеспечения возможности предприятию улучшить свою систему качества;

• определения соответствия системы качества производства регламентирующим требованиям.

Обязательная сертификация необходима для программных продуктов и их производства, выполняющих особо ответственные функции, в которых недостаточное качество, ошибки или отказы мо- гут нанести большой ущерб или опасны для жизни и здоровья людей.

Сертификация в России организуется и проводится в соответствии с федеральными законами: «О защите прав потребителей», «О сертификации продукции и услуг», «О стандартизации», «Об обеспечении единства измерений», а также рядом законов, относящихся к определенным отраслям

Кроме законодательных актов деятельность по сертификации регулируется указами Президента и актами Правительства РФ (около 50 актов), а также подзаконными актами, направленными на решение отдельных социально-экономических задач (более 30 актов).

Массив нормативно-методических документов, на соответствие требованиям которых проводится сертификация и устанавливаются методы проверки соблюдения этих требований, включает примерно 12 тысяч наименований. Кроме того, действует целый комплекс организационно-методических документов, определяющих правила и порядок проведения работ по сертификации.

Основополагающим документом в РФ в области сертификации являются Закон «О сертификации продукции и услуг» № 5151-1 от 10 июня 1993 г. В дополнение к данному Закону принят Закон № 154-ФЗ «О внесении изменений и дополнений в Закон Российской Федерации «О сертификации продукции и услуг», принятый Государственной Думой 2 июля 1998 года и подписанный Президентом 31 июля 1998 года.

2. Назначение и цели сертификации ПО. Содержательные процедуры сертификации.

Основные цели сертификации ПО + см пред вопрос.

Процесс сертификации программного обеспечения включает в себя следующие этапы:

. подача заказчиком заявки на сертификацию;

. принятие решения по заявке на сертификацию, в том числе назначение экспертов на проведение основных работ по сертификации из числа экспертов органа по сертификации;

. оформление договора на проведение работ по сертификации;

. разработка методики проведения сертификационных испытаний ПС и согласование этой методики с заказчиком;

. проведение сертификационных испытаний ПС;

. принятие решения о выдаче Сертификата соответствия либо об отказе в выдаче Сертификата соответствия;

. оформление Сертификата соответствия.

Сертификационные испытания ПС осуществляется в два этапа:

. Технологические испытания. Проводятся с использованием современных методов и средств по формализованным правилам, удостоверяющим соответствие реальных количественных и качественных показателей тем, которые зафиксированы в НТД или программной документации;

. Оценка, проводимая экспертами.

В ходе испытаний выполняется:

. Идентификация объекта испытаний путем проверки характеристик идентификации программного средства (полное название ПС, версия и дата выпуска ПС, сведения о разработчике ПС, сведения о входящих в состав компонентах, основные выполняемые функции, состав программной документации);

. Инсталляция путем установки программного продукта на компьютеры, на которые до этого данный программный продукт не был установлен;

. Экспертиза программной документации на соответствие требованиям Государственных стандартов ГОСТ Р ИСО/МЭК 12119-2000 (п. 3.2), ГОСТ Р ИСО 9127-94 (п.п. 5, 6.1, 6.3-6.5);

4. Проверка и оценка качества сертифицируемого программного продукта в соответствии с требованиями нормативных документов (список документов определяется в процессе разработки методики), проверка программного продукта на соответствие выполняемых функций по руководству пользователя и требованиям технического задания.

Добровольная сертификация программной продукции проводится по инициативе ее изготовителя с целью рекламы, повышения конкурентоспособности, обеспечения продвижения ее на отечественный рынок.

Другие статьи:

Похожие статьи:

Популярное на сайте:

Leave a Reply