Сертификация программного обеспечения

     ГОСТ  Р ИСО/МЭК 12207-99 Информационная технология. Процессы жизненного цикла программных средств 
        ГОСТ Р ИСО/МЭК ТО 16326-2002 Программная инженерия. Руководство по применению ГОСТ Р ИСО/МЭК 12207 при управлении проектом 
        ГОСТ Р ИСО/МЭК 12119-2000 Информационная технология. Пакеты программ. Требования к качеству и тестирование 
        ГОСТ Р ИСО/МЭК 15408-2-2002 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности

     ГОСТ  Р ИСО/МЭК 15408-1-2002 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель

     ГОСТ  Р ИСО/МЭК 15408-3-2002 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности

     ГОСТ 28195-89 Оценка качества программных средств. Общие положения 
        ГОСТ 19.005-85 Единая система программной документации. Р-схемы алгоритмов и программ. Обозначения условные графические и правила выполнения 
        ГОСТ 19.201-78 Единая система программной документации. Техническое задание. Требования к содержанию и оформлению 
        ГОСТ 19.202-78 Единая система программной документации. Спецификация. Требования к содержанию и оформлению 
        ГОСТ 19.301-79  Единая система программной документации. Программа и методика испытаний. Требования к содержанию и оформлению 
        ГОСТ 7.70-96 Система стандартов по информации, библиотечному и издательскому делу. Описание баз данных и машиночитаемых информационных массивов. Состав и обозначение характеристик

     ГОСТ 7.70-2003 Система стандартов по информации, библиотечному и издательскому делу. Описание баз данных и машиночитаемых информационных массивов. Состав и обозначение характеристик 

       6. Стандарты и нормативные документы, регламентирующие защищенность программного обеспечения

      К основным стандартам и нормативным  техническим документам по безопасности информации, в первую очередь, относятся:

• в области защиты информации от несанкционированного доступа комплект руководящих документов Гостехкомиссии России (1998 г), которые в соответствии с Законом "О стандартизации" можно отнести к отраслевым стандартам, в том числе "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности средств вычислительной техники"", "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации", "Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники", "Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от НСД к информации", ГОСТ Р 50739-95 "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования";
• в области защиты информации от утечки за счет побочных электромагнитных излучений и наводок (ПЭМИН) "Специальные требования и рекомендации по защите информации, составляющей государственную тайну, от утечки за счет ПЭМИН" (СТР), ГОСТ 29339-92 "Информационная технология. Защита информации от утечки за счет ПЭМИН при ее обработке средствами вычислительной техники. Общие технические требования", ГОСТ Р 50752-95 "Информационная технология. Защита информации от утечки за счет побочных электромагнитных излучений при ее обработке средствами вычислительной техники. Методы испытаний", методики контроля защищенности объектов ЭВТ и другие.

      Особенности защиты программ нашли свое отражение  в следующих документах Гостехкомиссии России: "Программное обеспечение  автоматизированных систем и средств  вычислительной техники. Классификация по уровню гарантированности отсутствия недекларированных возможностей" и "Антивирусные средства. Показатели защищенности и требования по защите от вирусов".

      В первом документе устанавливается  классификация программного обеспечения автоматизированных систем и средств вычислительной техники по уровню гарантированности отсутствия в нем недекларированных возможностей, где уровень гарантированности определяется набором требований, предъявляемых к составу, объему и содержанию документации представляемой заявителем для проведения испытаний программ и к содержанию испытаний.

      Во  втором документе устанавливается  классификация средств антивирусной защиты по уровню обеспечения защиты от воздействия программ-вирусов  на базе перечня показателей защищенности и совокупности описывающих их требований. Кроме того, следующие нормативные документы так или иначе косвенно регламентируют отдельные вопросы обеспечения безопасности ПО:

• ГОСТ 28195-89. Оценка качества программных средств. Общие положения;
• ГОСТ 21552-84. Средства вычислительной техники. ОТТ, приемка методы испытаний, маркировка, упаковка, транспортировка и хранение;
• ГОСТ ВД 21552-84. Средства вычислительной техники. ОТТ, приемка методы испытаний, маркировка, упаковка, транспортировка и хранение;
• ТУ на конкретный вид продукции (ПО).

 

       7. Порядок проведения сертификации программного обеспечения  

      Процедуры и вся технология проведения работ  по сертификации определяются схемой сертификации, которая устанавливает  четкую совокупность действий, по результатам которых принимается решение о соответствии или несоответствии продукции заданным требованиям. Согласно идеологии Международной организации по стандартизации (ИСО) общепризнанными являются восемь основных схем сертификации. Они используются и в комплекте основополагающих документов системы сертификации ГОСТ Р. При этом число схем сертификации, принятых Госстандартом России, в два раза больше, чем принято в зарубежной и международной практике. Схемы сертификации, принятые в системе сертификации ГОСТ Р, приведены в приложении 1.

      Для каждой схемы сертификации продукции  приводятся условия ее применения с  учетом степени опасности продукции. При проведении сертификации программного обеспечения наиболее удобно применение схемы 10а. Госстандартом России предусматривается ее использование в качестве доказательства соответствия (несоответствия) продукции (программного обеспечения) установленным требованиям декларации, о соответствии прилагаемым к ней документам, подтверждающим соответствие продукции установленным требованиям.

      Порядок проведения сертификации программного обеспечения средств измерений, информационно-измерительных систем и аппаратно-программных комплексов определен такими методиками как МИ 2891-2004 "ГСИ. Общие требования к программному обеспечению средств измерений" и МИ 2955-2005 "Типовая методика аттестации программного обеспечения средств измерений и порядок ее проведения".

      Кроме того, в настоящее время в связи  с принятием 11 июня 2008 г. новой редакции Закона РФ "Об обеспечении единства измерений", где в статье 9, п. 1 говорится о том, что "в состав обязательных требований к средствам  измерений …в необходимых случаях  включаются также требования к … программному обеспечению", ФГУП ВНИИМС приступил к разработке национального стандарта ГОСТ Р "ГСИ. Требования к программному обеспечению средств измерений и информационно - измерительных систем".

      Порядок проведения сертификации программного обеспечения включает:

• подачу заявки на сертификацию;
• принятие решения по заявке на сертификацию, в том числе назначение экспертов на проведение основных работ по сертификации из числа экспертов органа по сертификации;
• оформление договора на проведение работ по сертификации;
• проведение сертификационной проверки ПО, в том числе при необходимости проведение испытаний/контроля ПО по согласованным с заказчиком методикам;
• принятие решения о выдаче Сертификата соответствия и разрешения использования знака соответствия либо об отказе в выдаче Сертификата соответствия;
• выдача Сертификата соответствия и разрешения использования знака соответствия;
• занесение заявителя/изготовителя ПО и перечня сертифицированных ПО в Реестр СДС ПО;
• проведение инспекционного контроля сертифицированных ПО.

       Результатом сертификации является возможность  приобрести программный продукт  в Российской Федерации с соответствующей  поддержкой от производителя или его официального представителя.

       В результате проведенной сертификации производитель ПО получает:

• Экспертное заключение;
• Свидетельство о сертификации;
• Право использовать логотип «Проверено IT Expert».  

       Сертификация  выгодна и для покупателей  соответствующего программного обеспечения. Покупатель получит:

• Предметную оценку функционала программного обеспечения;
• Возможность сравнения продуктов между собой;
• Возможность самостоятельной оценки продуктов по своим критериям.

 
 

       8. Перечень информации предоставляемой заявителем для прохождения процедуры сертификации   

        - описание структуры сертифицируемого программного обеспечения, выполняемых функций, в том числе последовательность обработки данных;

      - описание функций сертифицируемого ПО и параметров программного обеспечения, существенных для их работы;

      - описание реализованных в сертифицируемом программном обеспечении алгоритмов функционирования, в том числе вычислительных алгоритмов, а также их блок-схемы;

      - описание модулей программного обеспечения;

      - перечень интерфейсов и перечень команд для каждого интерфейса, включая заявление об их полноте;

      - список, значение и действие всех команд, получаемых от устройств ввода (клавиатуры, мыши, сенсорных устройств и т.п.);

      - описание реализованных методов идентификации сертифицируемого программного обеспечения;

      - описание реализованных методов защиты сертифицируемого программного обеспечения и данных от влияющих факторов;

      - описание интерфейсов пользователя, всех меню и диалогов;

      - описание хранимых или передаваемых наборов данных;

      - руководство пользователя на сертифицируемое программное обеспечение;

      - характеристики необходимых системных и аппаратных средств, если эта информация не приведена в руководстве пользователя.

      Перечень  документов, сопровождающих программное обеспечение, может корректироваться соглашением между исполнителем и заказчиком сертификации ПО.

       9. Требования к программному обеспечению  

      Анализ  требований к программному обеспечению  предполагает определение следующих  характеристик для каждого компонента ПО:

      · функциональных возможностей, включая  характеристики производительности и  среды функционирования компонента;

      · внешних интерфейсов;

      · спецификаций надежности и безопасности;

      · эргономических требований;

      · требований к используемым данным;

      · требований к установке и приемке;

      · требований к пользовательской документации;

      · требований к эксплуатации и сопровождению.

      Требования  к ПО оцениваются исходя из критериев  соответствия требованиям к системе, реализуемости и возможности  проверки при тестировании.

      Проектирование  архитектуры ПО включает задачи (для  каждого компонента ПО):

      · трансформацию требований к ПО в  архитектуру, определяющую на высоком  уровне структуру ПО и состав ее компонентов;

      · разработку и документирование программных интерфейсов ПО и баз данных;

      · разработку предварительной версии пользовательской документации;

      · разработку и документирование предварительных  требований к тестам и планам интеграции ПО.

      Архитектура компонентов ПО должна соответствовать  требованиям, предъявляемым к ним, а также принятым проектным стандартам и методам.

      Детальное проектирование ПО включает следующие  задачи:

      · описание компонентов и интерфейсов  между ними на более низком уровне, достаточном для их последующего самостоятельного тестирования;

      · разработку и документирование детального проекта базы данных;