«МЕТОДОЛОГИЯ ОРГАНИЗАЦИИ СИСТЕМ ДОБРОВОЛЬНОЙ СЕРТИФИКАЦИИ ИНФОРМАЦИОННЫХ СИСТЕМ И ПРОГРАММНЫХ ПРОДУКТОВ Москва, 2012 ISBN 978-5-905206-29-0 УДК 658.562:006.83.063 ББК 30.607ц К56 Научно-методическое пособие Под общей ...»

НАУЧНО- Российская академия народного хозяйства

МЕТОДИЧЕСКОЕ и государственной службы при Президенте

ПОСОБИЕ Российской Федерации

МЕТОДОЛОГИЯ

ОРГАНИЗАЦИИ СИСТЕМ

ДОБРОВОЛЬНОЙ СЕРТИФИКАЦИИ

ИНФОРМАЦИОННЫХ СИСТЕМ

И ПРОГРАММНЫХ ПРОДУКТОВ

Москва, 2012 ISBN 978-5-905206-29-0 УДК 658.562:006.83.063 ББК 30.607ц К56 Научно-методическое пособие Под общей редакцией заслуженного экономиста России, кандидата технических наук Ковалева Сергея Петровича

МЕТОДОЛОГИЯ

ОРГАНИЗАЦИИ СИСТЕМ

ДОБРОВОЛЬНОЙ СЕРТИФИКАЦИИ

ИНФОРМАЦИОННЫХ СИСТЕМ

И ПРОГРАММНЫХ ПРОДУКТОВ

Коллектив авторов:

Ковалев Сергей Петрович, к.т.н.

Генералов Андрей Вячеславович, к.э.н.

Леонидов Константин Владимирович Рецензенты:

Руднев Александр Васильевич, доктор экономических наук, профессор ФГБОУ ВПО «Государственный университет управления»

Сороколетов Павел Валерьевич, доктор технических наук, заместитель генерального директора АНО «Институт проблем естественных монополий»

Аронов Иосиф Зиновьевич, доктор технических наук, заведующий отделом научно-методических основ оценки соответствия ОАО «Всероссийский научно-исследовательский институт сертификации»

Методология организации систем добровольной сертификации информационных систем К и программных продуктов. – М.: Альянс Медиа Стратегия, 2012 г. – 172 с.

ISBN 978-5-905206-29- Научно-методическое пособие подготовлено в соответствии с требованиями к программам дополнительного профессионального образования по направлению «Стандартизация и сертификация информационных систем и программных продуктов».

В пособии рассмотрены правовые, организационные, информационные, научно-методические вопросы стандартизации и подтверждения соответствия информационных систем и программных продуктов, приведены примеры основных документов, применяемых при создании систем добровольной сертификации, а также по организации органов такой сертификации.

Научно-методическое пособие «Методология организации систем добровольной сертификации информационных систем и программных продуктов» предназначено для специалистов по сертификации всех уровней, а также для руководителей, реализующих проекты по информатизации, в части подготовки конкурсной документации и последующей оценки соответствия разработанного программного обеспечения.

СОДЕРЖАНИЕ

ВВЕДЕНИЕ

ИСТОРИЧЕСКИЙ ОБЗОР: СЕРТИФИКАЦИЯ ОТ ДРЕВНОСТИ ДО СОВРЕМЕННОСТИ.

ФОРМЫ ПОДТВЕРЖДЕНИЯ СООТВЕТСТВИЯ

ГЛАВА 1. МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ ПО ФОРМИРОВАНИЮ ПРАВИЛ ДОБРОВОЛЬНОЙ СЕРТИФИКАЦИИ

ИНФОРМАЦИОННЫХ СИСТЕМ И ПРОГРАММНЫХ ПРОДУКТОВ

1.1.Общие положения 1.2. Цели сертификации информационных систем и программных продуктов 1.3. Область распространения системы сертификации информационных систем и программных продуктов 1.4. Структура системы сертификации и функции ее участников 1.5. Порядок проведения сертификации информационных систем 1.6. Порядок проведения сертификации программных продуктов 1.7. Организация инспекционного контроля за сертифицированными объектами 1.8. Оплата работ по сертификации 1.9. Организация конфиденциальности в системе сертификации 1.10. Примерная форма заявки на сертификацию 1.11. Примерная форма сертификата соответствия 1.12. Пример правил заполнения бланка сертификата соответствия 1.13. Порядок применения Знака соответствия системы сертификации.

Область применения и общие положения 1.14. Порядок применения Знака соответствия системы сертификации 1.15. Требования к изображению Знака соответствия 1.16. Примерная форма разрешения на применения Знака соответствия 1.17. Примерный перечень документов для прохождения добровольной сертификации информационных систем и программных продуктов 1.18. Пример инструкции по сертификации

ГЛАВА 2. МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ ПО ОРГАНИЗАЦИИ РАБОТЫ ОРГАНА ПО СЕРТИФИКАЦИИ

ИНФОРМАЦИОННЫХ СИСТЕМ И ПРОГРАММНЫХ ПРОДУКТОВ

2.1. Примерные правила допуска испытательных лабораторий и органов по сертификации в систему добровольной сертификации информационных систем и программных продуктов 2.3. Примерное положение о комиссии по апелляциям системы добровольной сертификации 2.5. Форма акта внутренней проверки деятельности органа по сертификации 2.6. Примерная форма реестра экспертного состава органа по сертификации 2.8. Примерная форма договора допуска органа по сертификации в Систему добровольной сертификации 2.9. Примерная форма договора органа по сертификации с испытательной лабораторией 2.10. Примерная форма договора на услуги по сертификации информационных систем

ГЛАВА 3. СБОРНИК ОСНОВНЫХ РУКОВОДЯЩИХ ДОКУМЕНТОВ, ИСПОЛЬЗУЕМЫХ В СИСТЕМЕ ДОБРОВОЛЬНОЙ

СЕРТИФИКАЦИИ ИНФОРМАЦИОННЫХ СИСТЕМ И ПРОГРАММНЫХ ПРОДУКТОВ

3.1. Перечень основных стандартов и нормативных документов, используемых при разработке 3.1.1. Разработка информационных систем. Единая система программной документации 3.2. Содержание основных стандартов, используемых при разработке информационных систем 3.2.1. Методические указания. Информационная технология. Комплекс стандартов и руководящих документов на автоматизированные системы. Автоматизированные системы требования к содержанию документов 3.2.2. ГОСТ 19.201-78 Единая система программной продукции. Техническое задание.

3.2.3. ГОСТ 19.202-78 Единая система программной документации. Спецификация.

3.2.4. ГОСТ 19.402-78 Единая система программной документации. Описание программы 3.2.5. ГОСТ 19.502-78 Единая система программной документации. Описание применения.

3.2.6. ГОСТ 19.301-79 Единая система программной документации. Программа и методика испытаний.

3.2.7. ГОСТ 19.401-78 Единая система программной документации. Текст программы.

3.2.9. ГОСТ Р ИСО/МЭК 9126-93 Информационная технология. Оценка программной продукции.

3.2.10. ГОСТ Р ИСО/МЭК 9294-93 Информационная технология.

3.3. Некоторые стандарты, используемые при организации работы органа по сертификации 3.3.1. ГОСТ Р ИСО/МЭК 17025-2006 Общие требования к компетентности испытательных и калибровочных 3.3.2. Правила аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по подтверждению соответствия, аттестации экспертов по аккредитации, а также привлечению и отбору экспертов по аккредитации и технических экспертов для выполнения работ в области аккредитации, утверждённые постановлением Правительства Российской Федерации 3.3.3. ГОСТ Р ИСО/МЭК 65-2000 Общие требования к органам по сертификации продукции

ВВЕДЕНИЕ

Развитие информационных технологий осуществляется все более революционными темпами. В сфере управления фокус такого экспоненциального роста сегодня сосредоточен в корпоративных информационных системах управления, системах поддержки принятия решений, экспертных системах, ERP-системах индустриальных отраслей. Такие ITсистемы доказали свою эффективность, открыв новые возможности повышения рентабельности инвестиций за счет оптимизации и повышения эффективности управления.

При этом большинство попыток создания универсальных типовых программных продуктов не оправдали себя, и вопросы интеграции различных информационных систем и платформ, создание методик, позволяющих масштабировать программные решения, вопросы информационной безопасности интегрированных информационных систем, становятся крайне актуальными.

Если провести аналогию между эволюцией информационных технологий и процессами эволюции городов и промышленности, то уровень развития информационных технологий с точки зрения стандартизации, совместимости и т.д. сейчас соответствует уровню развития процессов урбанизации, промышленного производства и торговли примерно 80-х годов XIX века. В связи с этим многие ведущие специалисты отмечают, что в IT предстоит пережить переход к новому уровню развития систем, основанному на глобальном взаимодействии стандартных компонент. А в сфере интеллектуальных систем управления, баз знаний, поддержки принятия решений – настоящую информационную революцию.

Российское законодательство, отражающее наше динамично меняющееся общество, предъявляет особые требования к архитектуре программных продуктов и сопровождению уже имеющихся. Архитектура информационных систем неразрывно связана со структурами организаций их использующих. Бизнес-архитектура, инфраструктура баз знаний и структура информационных хранилищ, архитектура прикладных и технологических систем управления предоставляют мощные инструменты интеграции, синхронизации, непрерывной модернизации функциональных и бизнес-процессов организаций, одновременно обеспечивая наследование овеществленных в информационных системах знаний и навыков персонала в условиях экспоненциального роста сложности организационной структуры общества и бизнеса.

На этом основании представляется актуальным и своевременным создание единых методик построения управленческих IT-систем, формирование стандартизированных подходов к внедрению прикладных информационных систем, разработка способов интеграции имеющегося информационно-программного обеспечения, а также методологии проектирования архитектур информационных систем, неразрывно связанных с архитектурами различных типов государственных и корпоративных организаций, предприятий, и связанных с ними принципов и стандартов руководства и управления.

Настоящий документ представляет собой свод методических рекомендаций:

• по формированию правил добровольной сертификации информационных систем и программных продуктов;

• по организации структур добровольной сертификации.

Актуальность документа обусловлена шестью основными факторами:

• ускорение темпов информатизации всех сторон социальной деятельности при одновременном взрывном росте потоков информации;

• отказ от создания универсальных типовых программных продуктов как не оправдавших себя, перенос акцентов на вопросы интеграции различных информационных систем и платформ;

• рост числа методик, позволяющих масштабировать программные решения, решая вопросы их совместимости, информационной безопасности, доступности;

• целенаправленное повышение требований к процессам создания и архитектуре информационно-программных продуктов, сопровождению ранее созданных, отражаемое в международном и российском законодательствах;

• принятие в 2002 г. Федерального закона №184-ФЗ «О техническом регулировании», призванного обеспечить соответствие Российского законодательства требованиям ВТО в части отмены действия законов «О стандартизации»

и «О сертификации продукции и услуг» в пользу принципов добровольной сертификации, не отменяющих обязательной сертификации, определяемой с этого момента техническими регламентами;

• акцентирование внимания на требованиях безопасности продукции, т.е. критичных требований, без соблюдения которых использование продукции опасно для потребителей.

Основной акцент в настоящем документе сделан на методологическую, организационно-правовую и собственно сертификационную стороны работы органов по сертификации информационных систем и программных продуктов в современных российских условиях с учетом международного опыта и действующих практик.

Документ предназначен для специалистов по сертификации всех уровней.

Документ состоит из краткого исторического обзора вопросов сертификации, трех основных глав, глоссария используемых понятий итерминов, списка литературы.

Краткий исторический обзор вопросов сертификации от древности до современности, содержащий 8 страниц, описывает процесс становления современных принципов, подходов и систем сертификации в международной и российской практике. Детализирован ход развития сертификации в новейшей российской истории начиная с г. от законов «О защите прав потребителей» и «О сертификации продукции и услуг»до Федерального закона «О техническом регулировании», различных форм участия России в международных организациях ISO, МЭК и других. Описаны основные понятия и виды подтверждения соответствия: обязательное подтверждение соответствия и две его формы – обязательная сертификация и декларирование, а также добровольное подтверждение соответствия (добровольная сертификация). Проведено их сравнение и разъясняется разница между ними. Кратко анализируется фактор добровольной сертификация как стимулятор повышения конкурентоспособности продукции, а значит увеличения прибыли субъекта рынка.

В Главе 1, объемом 14 страниц, даны основные методические рекомендации по формированию правил добровольной сертификации информационных систем и программных продуктов. Описаны цели сертификации информационных систем и программных продуктов, область распространения системы сертификации информационных систем и программных продуктов. Приведена структура системы сертификации, детализированы функции участников процессов сертификации. Во второй части главы описан порядок проведения сертификации информационных систем и программных продуктов, организация инспекционного контроля за ранее сертифицированными продуктами. Приведены примерные формы заявки на сертификацию, сертификата соответствия, рассмотрены правила заполнения бланка сертификата соответствия, другие актуальные для специалистов и руководителей органов по сертификации формы документов. Предлагается примерная инструкция по сертификации.

В Главе 2, объемом 22 страниц, приводятся методические рекомендации по организации работы органа по сертификации информационных систем и программных продуктов. Представлена форма руководства по качеству, ориентированная на руководителя органа по сертификации, примерное положение о комиссии по апелляциям системы добровольной сертификации, об органе по сертификации. Даны формы акта внутренней проверки деятельности органа по сертификации, реестра экспертного состава органа по сертификации, реестра выданных сертификатов, договора допуска органа по сертификации в систему добровольной сертификации и другие ключевые документы, необходимые для эффективной и корректной работы любого органа по сертификации.

В Главе 3, объемом 110 страниц, приведены конкретные примеры стандартов, которые используются в работе систем добровольной сертификации программных продуктов, включая комплекс стандартов и руководящих документов на автоматизированные системы, единую систему программной документации, межгосударственный стандарт ГОСТ 28195-89, национальные стандарты серии ГОСТ Р ИСО/МЭК 9126-93, ИСО/МЭК 9294-93.

Глоссарий используемых понятий и терминов на одной странице содержит список основных определений с указанием страниц, где используются раскрываемые понятия и специальные термины.

Список литературы на одной странице содержит ссылки на используемые в документе первоисточники в количестве 21 наименования.

ИСТОРИЧЕСКИЙ ОБЗОР: СЕРТИФИКАЦИЯ ОТ ДРЕВНОСТИ ДО СОВРЕМЕННОСТИ.

ФОРМЫ ПОДТВЕРЖДЕНИЯ СООТВЕТСТВИЯ

Стандартное современное определение раскрывает понятие сертификации как форму осуществляемого органом по сертификации подтверждения соответствия объектов требованиям технических регламентов, положениям стандартов, сводов правил или условиям договоров. При этом само слово «Сертификация» в переводе с латинского языка означает «сделано правильно».

История сертификации уходит далеко в прошлое. Ещё в Древней Греции были известны строительные нормативы для сооружения колонн из бронзы, и это считается одним из первых случаев сертификации. Художники эпохи Возрождения гарантировали сохранность своих картин в течение трёх веков, что можно рассматривать как своеобразную «декларацию соответствия». Российский император Петр I предписывал «наблюдать, чтобы меры и весы были верные, и требовать сведения из магистрата о мерах и весах, а за нахождение неклейменых или фальшивых мер и весов штрафовать» (1722г.) Однако сертификация как системное явление появилось позднее. В 1920-х годах немецкий институт стандартов (DIN) учредил знак соответствия своим стандартам (стандартам DIN). Знак соответствия стандартам DIN распространялся почти на все виды продукции. Исключение составляло газовое оборудование и оборудование для водоснабжения (для этого оборудования устанавливался специальный порядок проведения испытаний и контроля производства). Знак DIN был защищён законом о защите торговых марок. Сразу после этого по соглашению с DIN немецкая электротехническая ассоциация VDE (VerbandderElektrotechnik) создала систему сертификации электротехнического и электронного оборудования. В Англии система сертификации появилась несколько позднее в 1926 году. Причем в отличие от Германии сертификация в Англии изначально носила в большей степени добровольный характер, что не отменяло и по настоящие дни не отменяет обязательную сертификацию для некоторых видов продукции. Во Франции система сертификации была создана в 1936г. под знаком NF под руководством Французской Ассоциации по стандартизации. В 1952г. в Индии принимается закон о сертификационных знаках ИСИ. В это же время в Канаде была создана организация по стандартизации KAC. В начале 1960-х в Дании, Швеции, Норвегии и Финляндии создаётся своя региональная система. Вопрос о соответствии продукции требованиям специальных правил решается национальными комитетами. В США единых правил сертификации и централизованной системы сертификации не существует. Действует несколько сотен систем сертификации при различных группах компаний и ассоциациях. Такая же ситуация в США и со стандартизацией. Однако в США существует единая национальная система аккредитации испытательных центров (лабораторий). В настоящее время создаётся система регистрации систем сертификации.

Помимо сертификации как системы подтверждения соответствия изделий, начиная с конца 1980-х гг. также сертификация специалистов. В 1989 г. фирма-производитель сетевого оборудования и программного обеспечения Novell реализовала первую программу сертификации специалистов CNE (Certified Novell Engineer). К середине 1990-х годов сертификация специалистов распространилась и стала отдельным бизнесом.

Очень большое внимание вопросам стандартизации и сертификации уделялось в СССР. В 1965 г. был основан Всероссийский научно-исследовательский институт сертификации (ВНИИС), который изначально в большей степени занимался вопросами стандартизации и метрологии. Собственно сертификация получила развитие в 1979г. с постановления ЦК КПСС и Совета Министров СССР «Об улучшении планирования и усилении воздействия хозяйственного механизма на повышение эффективности производства и качества работы». Утверждением головных организаций по испытаниям важнейших видов продукции было поручено заниматься Госстандарту совместно с министерствами и ведомствами. Все эти действия были предприняты для обеспечения систематического контроля стабильности качества выпускаемой продукции. С 1984 г. вводится сертификация продукции, идущей на экспорт, а в 1986 г. принимается «Временное положение о сертификации продукции машиностроения в СССР». В 1988 г. членами СЭВ подписывается международная конвенция о системе оценки качества и сертификации взаимопоставляемой продукции (СЕПРО СЭВ).

Система СЕПРО СЭВ предусматривала проведение сертификации с использованием стандартов СЭВ, а также других международных стандартов. С введением этой системы появляется международная аккредитация и аттестация испытательных лабораторий. К 1991 г. в СССР функционировало 14 испытательных центров, а также несколько аттестованных производств.

В новейшей Российской истории сертификация начата в 1993 г. с введения законов«О сертификации продукции и услуг» и «О защите прав потребителей». Законы установили обязанность сертификации продукции народного потребления и услуг на соответствие некоторым требованиям безопасности и качества. Конкретные требования к характеристикам продукции и услуг были установлены в государственных и отраслевых стандартах, нормах и правилах, которые до 2003 г. рассматривались как элементы технического законодательства страны. В последующее десятилетие происходило формирование законодательной основы подтверждения соответствия различной продукции. Главным образом объектами проверки являлось качество самой продукции и услуг. Для вступления России во Всемирную Торговую организацию (ВТО) в 2002 г. был принят Федеральный закон №184-ФЗ «О техническом регулировании». Этот закон отменил действие законов «О стандартизации» и «О сертификации продукции и услуг». Наконец, 21 июля 2012 г.

Президент России Владимир Путин подписал Федеральный закон «О ратификации Протокола о присоединении РФ к Марракешскому соглашению об учреждении Всемирной торговой организации от 15 апреля 1994 года».

Международная структура ВТО возникла в 1995 году, и сегодня ее членами являются более 150 стран, на долю которых приходится 95% мирового торгового оборота. Поскольку одной из декларируемых целей ВТО является снятие торговых барьеров между государствами-участниками и либерализация торговли, ее работа напрямую затрагивает вопросы подтверждения соответствия стандартам. В частности, в рамках этой структуры и по ее правилам заключаются двусторонние и многосторонние экономические сделки.

Поэтому одной из целей Федерального закона №184-ФЗ «О техническом регулировании» явилася пересмотр системы технического нормирования и снижение административного давления на бизнес. Однако это не отменило обязательную сертификацию, особенно для специализированных изделий и в ряде промышленных отраслей, а сместило её больше в сторону проверки требований по безопасности (т.е. критичных требований, без соблюдения которых использование продукции опасно). Обязательные требования с этого момента должны быть установлены в технических регламентах. Законом введены принципиально новые нормы, процедуры их принятия и формализованы процедуры подтверждения соответствия (рис.1).

ТЕХНИЧЕСКОЕ РЕГУЛИРОВАНИЕ

Техническое регулирование является одним из ключевых факторов создания эффективных условий для формирования и реализации государственной промышленной и социально-экономической политики, обеспечивающих:

• создание активной конкурентной среды;

• внедрение инноваций;

• снятие административных барьеров;

• устранение барьеров во внутренней и внешней торговле;

• увеличение на этой основе объемов инвестиций.

Федеральный закон «О техническом регулировании» определил основные цели системы технического регулирования в Российской Федерации, направленные на реформирование правоотношений в этой области, включая:

• нормирование обязательных и добровольных требований к продукции;

• стандартизацию (национальную);

Технический регламент определяется законом как документ, который принят международным договором Российской Федерации, ратифицированным в порядке, установленном законодательством Российской Федерации, или межправительственным соглашением, заключенным в порядке, установленном законодательством Российской Федерации, или федеральным законом, или указом Президента Российской Федерации, или постановлением Правительства Российской Федерации, и устанавливает обязательные для применения и исполнения требования к объектам технического регулирования(продукции, в том числе зданиям, строениям и сооружениям или к связанным с требованиями к продукции процессам проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации и утилизации).

Стандарт определен как документ, в котором в целях добровольного многократного использования устанавливаются характеристики продукции, правила осуществления и характеристики процессов проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации и утилизации, выполнения работ или оказания услуг. Стандарт также может содержать правила и методы исследований (испытаний) и измерений, правила отбора образцов, требования к терминологии, символике, упаковке, маркировке или этикеткам и правилам их нанесения.

• аккредитацию органов по сертификации и испытательных лабораторий;

• подтверждение соответствия продукции установленным требованиям (сертификация и декларирование соответствия) и государственный контроль (надзор).

Еще раз особо отметим, что данный закон принципиально изменил систему нормирования и систему подтверждения соответствия (рис.2), а именно привёл их в соответствие с европейскими нормами. Ранее принятие стандартов, обязательных для исполнения шло на уровне министерств и ведомств, что было закреплено Законом РФ «О стандартизации». С момента принятия ФЗ «О техническом регулировании» обязательные нормы представлены исключительно техническими регламентами, и ответственность за их принятие поднята до уровня Правительства и Президента, в то время как стандарты уже в определении предполагают добровольность в использовании и, соответственно, трансформированы в национальные стандарты и стандарты предприятий с соответствующим уровнем утверждения.

(название государственных органов приведены на момент выхода ФЗ-184 «О техническом регулировании». В настоящее время Госстандарт преобразован в Росстандарт, Госветслужба – в Госветнадзор).

Поскольку настоящий документ предназначен в первую очередь для организации органов по сертификации и регламентирования процедур добровольной сертификации как форм подтверждения соответствия, подробнее рассмотрим основные понятия и виды подтверждения соответствия, затрагиваемые ФЗ «О техническом регулировании», иллюстрируемые рисунком 3.

Подтверждением соответствия именуется документальное удостоверение соответствия продукции или иных объектов, процессов проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации и утилизации, выполнения работ или оказания услуг требованиям технических регламентов, положениям стандартов, сводов правил или условиям договоров.

Подтверждение соответствия может носить обязательный и добровольный характер. Обязательное подтверждение соответствия включает две формы: обязательную сертификацию и декларирование.

Обязательная сертификация – это сертификация, которая вводится государством для определенных видов продукции и проводится аккредитованными органами по сертификации на соответствие законодательным актам, обязательным требованиям технических регламентов, директив и других документов, принятых в соответствии с действующим законодательством Российской Федерации. Обязательная сертификация является необходимым условием допуска указанной продукции на рынок.

Декларирование включает два процесса: принятие декларации о соответствии и ее регистрацию.

ФОРМЫ ПРОДВИЖЕНИЯ СООТВЕТСТВИЙ

В настоящее время в России используются обе формы обязательного подтверждения соответствия. Основные различия форм декларирования и обязательной сертификации сравниваются в Таблице 1.

Изготовитель (поставщик, исполнитель) Орган по сертификации Документ, удостоверяющий соответствие: Документ, удостоверяющий соответствие:

сведения о декларации соответствия в сопроводитель- сведения о сертификате соответствия в сопроводиной документации; тельной документации;

маркирование знаком соответствия (при декларирова- маркирование знаком соответствия с указанием кода Перечень продукции, подлежащей обязательному подтверждению соответствия до вступления в силу технических регламентов, публикуется на сайте http://www.gost.ru Федерального агентства по техническому регулированию и метрологии (РОССТАНДАРТ).Информация представлена для обязательной сертификации и для декларирования с указанием нормативных документов, устанавливающих обязательные требования. После вступления в силу технического регламента, продукция, подлежащая обязательному подтверждению соответствия, определяется этим регламентом.

В отличие от обязательного, добровольное подтверждение соответствия в форме добровольной сертификации проводится по инициативе заявителя для подтверждения соответствия его продукции национальным стандартам, стандартам организаций, сводам правил, системам добровольной сертификации, условиям договоров. Если производитель товара или услуги говорит (заявляет) о том, что он делает хорошо – это называется декларированием. Сертификация – это процедура, при которой третья независимая и авторитетная для всех участников рынка сторона (не производящая и не потребляющая эту услугу или товар) проводит процедуру подтверждения соответствия.

Этот вид сертификации в условиях рыночно-ориентированной экономики важен для производителей товаров и услуг, поскольку является средством повышения их конкурентоспособности на внутреннем и внешнем рынках. Добровольная сертификация особенно эффективна для повышения конкурентоспособности продукции в случаях, когда подтверждается ее соответствие положениям международных или национальных стандартов. Наличие сертификата добровольной сертификации дает возможность:

• расширять рынки сбыта;

• устанавливать соответствующую цену на продукцию, услуги, увеличивая прибыль субъекта хозяйственной деятельности;

• получать преимущество в конкурентной борьбе.

Поскольку сегодня бывают случаи смешения понятий сертификации и лицензирования, особо отметим, что сертификация – процедура, подтверждающая качество предоставляемых услуг, в то время как лицензирование – это разрешительная функция. Например, наличие площадей, кадров, оборудования – основа для получения лицензии.

А предоставляемая услуга или произведённый товар являются объектами исследования при сертификации (поэтому процедуры лицензирования и сертификации не могут проходить одновременно).

Добровольная сертификация проводится в рамках систем добровольной сертификации. В настоящее время в России зарегистрировано около 1000 систем добровольной сертификации, поэтому и является особенно актуальной разработка единых методик, процедур и форм сертификации самой основы функционирования современного общества – информационных и программных средств.

Рациональное сочетание полномочий и ответственности государства и бизнеса в сфере безопасности информационных систем и программных продуктов – еще один важный аспект ФЗ «О техническом регулировании».

Разделение полномочий и ответственности государства и бизнеса за безопасность и качество продукции достигается на основе рационального сочетания свободного предпринимательства и государственного регулирования, гармонизации их с международной практикой. При этом государство на основе новой категории нормативных актов (технических регламентов) берет на себя ответственность за установление приемлемых для общества требований безопасности и правил подтверждения соответствия продукции этим требованиям, определяемых на основе учета риска причинения вреда от ее применения.

Регулирование отношений, связанных с безопасной обработкой персональных данных органами государственной власти, юридическими и физическими лицами с использованием и без использования средств автоматизации, в том числе порядок обеспечения и проведения работ по созданию системы защиты безопасности персональных данных, определяется Федеральным законом№152-ФЗ «О персональных данных»от 27 июля 2006 г. Его дополняет Постановление Правительства РФ от 17 ноября 2007 г. №781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных». Согласно п.3, ст.25, гл. вышеуказанного Федерального закона информационные системы персональных данных, созданные до дня его вступления в силу, должны были быть приведены в соответствие с законодательством до 1 января 2010 г. Классификация систем персональных данных в соответствии с Приказом ФСТЭК России, ФСБ России и Министерства информационных технологий и связи от 13 февраля 2008 г. №55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных»должна была осуществляться организациями, имеющими лицензии на деятельность по защите информации, и оформляться соответствующими актами.

Вопросы тестирования информационных систем на соответствие защиты персональных данных носят специальный характер и выходят за рамки этого пособия, как и методология тестирования ФСТЭК России на недекларированные возможности программного обеспечения. Тем не менее, с целью обеспечить пользователя настоящего документа необходимыми ссылками в Главе 3 п.3.1.6. приведен список основных нормативно-правовых актов, регулирующих вопросы информационной безопасности.

Регулирование процессов повышения качества и конкурентоспособности продукции ФЗ «О техническом регулировании» относит к рыночной, добровольной сфере. Здесь действуют такие категории документов, как национальные стандарты, носящие добровольный характер, а также стандарты организаций. При этом и те, и другие должны обеспечивать выполнение требований технических регламентов. Поэтому на бизнес ложится ответственность за выполнение требований технических регламентов в процессе создания продукции и доказательство того, что эти требования фактически выполняются путем подтверждения соответствия.

Федеральный закон «О техническом регулировании» в обязательной сфере реализует следующее положение: изготовитель может добровольно следовать национальному стандарту. В этом случае изготовитель выполняет существенные требования технического регламента. А также может использовать принципиально новые научно-технические решения, не следуя добровольному национальному стандарту, и разработав стандарт организации. Однако в обоих случаях производитель должен доказать соответствие своей продукции существенным требованиям технического регламента путем использования механизма сертификации, т.е. обязательно привлекая третью сторону. В этом и состоит важная роль сертификации – подтверждать соответствие продукции требованиям технических регламентов.

Современная зарубежная практика показывает, что в наиболее технически развитых странах для создания и размещения на рынке новых товаров, услуг и технологий добровольные национальные стандарты и добровольная сертификация используются широко и активно. В мировой практике это важнейшие инструменты не только инновационного развития, но и конкурентной борьбы за выход на глобальные рынки, обеспечения преференций для продвижения своих национальных товаров, технологий и услуг. Таким образом, стандартизация и сертификация стали вопросом большой политики. Принятие стандарта в качестве международного, с одной стороны, открывает для соответствующей ему продукции большие возможности для ее реализации на глобальном рынке, а с другой – закрывает этот рынок для чужой продукции, не соответствующей этому стандарту. Поэтому во многих отношениях стандартизация и сертификация стали основой деловой активности корпораций, малых и средних фирм. Этими вопросами занимаются не только специалисты, но и высшие руководители. Бизнес активно взаимодействует с государством в разработке национальных и международных стандартов, в создании авторитетных для международного сообщества систем добровольной сертификации на базе ассоциаций, союзов, саморегулируемых организаций, других профессиональных объединений, во многих случаях самостоятельно финансируя эту деятельность.

Не является исключением и российский бизнес. В России сегодня сертификация также активно развивается с учетом международных достижений и сложившихся в этой области практик. При этом Россия является участником международных систем сертификации, таких, как ISO, МЭ и ряда других. Далее перечислен ряд наиболее известных и авторитетных в России организаций, занимающихся вопросами сертификации.

Одну из лидирующих позиций традиционно занимает Всероссийский научно-исследовательский институт сертификации (ВНИИС) (www.vniis.ru).

ФГБУ Центральный НИИ организации и информатизации здравоохранения Министерства здравоохранения и социального развития РФ – имеет право осуществлять добровольную сертификацию информационных систем и программных средств, применяемых в сфере здравоохранения и социального развития.

Компания «Радиофизические тестовые технологии» (www.certific.ru) профессионально занимается сертификацией программного обеспечения. Этот орган сертификации программных средств аккредитован Федеральным агентством по техническому регулированию и метрологии (информационный портал по стандартизации, www.standard.gost.ru/wps/ portal/interstandards) на проведение сертификации программного обеспечения в системе сертификации ГОСТ Р.

ФГУП ВНИИНМАШ (www.vniinmash.ru) – крупнейший федеральный центр сертификации и испытаний продукции, систем качества и производств, аккредитованный Федеральным агентством по техническому регулированию и метрологии (РОССТАНДАРТ) и Федеральной службой по экологическому, технологическому и атомному надзору (РОСТЕХНАДЗОР). Органы по сертификации ВНИИНМАШ сертифицируют автоматизированные системы, технические и программные средства ИТ.

Система добровольной сертификации информационных технологий ССИТ (www.old.sertification.net) проводит добровольную сертификацию по всему спектру компонентов, окружающих понятие «информационные технологии».

Не входит в другие системы сертификации. Проводит добровольную сертификацию, в том числе на соответствие международным стандартам ISO 9000, российским стандартам, стандартам других стран, отраслевым стандартам, техническим условиям, проектной, технической и пользовательской документации, стандартам головной организации ССИТ и другим требованиям. Ее сертификат обязаны признавать все организации и фирмы России и других стран, признающих международные правила стандартизации и сертификации и законы Российской Федерации.

АНО МИЦ (www.testrussia.ru) – орган сертификации систем добровольной сертификации программного обеспечения, средств измерений и информационно-измерительных систем, созданнsй Федеральным государственным унитарным предприятием «ВНИИ метрологической службы» (ФГУП «ВНИИМС»). АНО МИЦ имеет аккредитацию Феде- рального агентства по техническому регулированию и метрологии на право проведения ремонта средств измерений и их поверки в лечебно-профилактических и санаторно-курортных учреждениях с целью обеспечения безопасных и качественных лечебно-профилактических и санаторно-оздоровительных услуг.

Система добровольной сертификации ИНФОРМИКАСЕРТ (www.informika.ru)создана для подтверждения соответствия компьютерных систем, персонала, продукции и услуг в сфере образования и науки требованиям действующего законодательства, национальным стандартам, государственным образовательным стандартам, нормативным документам Министерства образования и науки Российской Федерации, условиям договоров и других документов.

Руководящий орган системы добровольной сертификации ИНФОРМИКАСЕРТ – федеральное государственное учреждение Государственный научно-исследовательский институт информационных технологий и телекоммуникаций (ФГУ ГНИИ ИТТ «Информика»).

Система добровольной сертификации Росинфосерт (www.infocert.stankin.ru) позволяет подтвердить соответствие технических и программных средств информатизации требованиям национальных и отраслевых стандартов.

В системе сертификации Росинфосерт можно сертифицировать вычислительную технику,программно-технические комплексы, информационные продукты вычислительной техники и другие виды программных и технических средств.

В системе сертификации Росинфосерт предприятия, занимающиеся разработкой, производством или реализацией технических и программных средств, могут подтвердить высокое качество своей продукции, ее соответствие установленным требованиям по функциональности и безопасности применения.

Система добровольной сертификации АРМИТ (www.armit.ru)создана для добровольной сертификации по всему спектру компонентов, окружающих понятие «медицинские информационные технологии». Сертификации в этой системе подлежат прикладные программные средства, базы данных, электронные справочные издания, автоматизированные системы и их компоненты, программные средства аппаратно-программных комплексов, Интернет-ресурсы, проекты, техническая и пользовательская документация, а также сервисное сопровождение информационных систем и баз данных. Сертификация производится на соответствие:

• российским и международным стандартам, отраслевым стандартам, другим директивным документам;

• международным стандартам серии ISO 9000;

• проектной, технической и пользовательской документации;

• техническим требованиям и техническим заданиям;

• требованиям системы добровольной сертификации АРМИТ.

Система добровольной сертификации информационных систем и программных продуктов в сфере здравоохранения и социального развития Федеральной службы по надзору в сфере здравоохранения и социального развития (www.center-sertifikat.ru) предназначена для технологических испытаний, проводимых в соответствии с ГОСТ 28195-89 «Оценка качества программных средств», ГОСТ Р ИСО/МЭК 9126-93 «Оценка программной продукции» и ГОСТ Р ИСО/МЭК ТО 9294-93 «Руководство по управлению документированием программного обеспечения».Качество программных продуктов оценивается на основе следующих типов испытаний: функциональные испытания, позволяющие проверить соответствие между рабочей версией программного продукта и заявленными разработчиком функциональными характеристиками; общесистемные испытания в рамках заявленных конфигураций; проверка полноты и качества документации.

Система добровольной сертификации АКАДЕМИНФОРМТЕСТ Российской академии народного хозяйства и государственной службы при Президенте Российской Федерации (www.rane.ru) создана с целью решения вопросов по интеграции действующих информационных систем, в том числе медицинских, подтверждения функциональных характеристик и возможности наследования данных, обеспечения безопасности работы с персональными данными, а также с целью повышения качества информационных систем и программных продуктов, используемых в Российской Федерации.

Создание механизмов управления качеством, включая сертификацию информационных систем и программных продуктов, актуально в связи с тем, что значительные средства государственного бюджета направляются на разработку различного программного обеспечения. Важно, чтобы эти средства были использованы с максимальной эффективностью.

Технологические испытания в системе сертификации проводятся в соответствии с ГОСТ 28195-89 «Оценка качества программных средств», ГОСТ Р ИСО/МЭК 9126-93 «Оценка программной продукции» и ГОСТ Р ИСО/МЭК ТО 9294- «Руководство по управлению документированием программного обеспечения».

В заключение данной обзорной части отметим, что в отличие от российских принципов метрологии и сертификации, направленных в основном на подтверждение характеристик готового продукта или услуги, в современной мировой практике развивается принципиально иной подход. Вместо подтверждения характеристик изделий или качества услуги утверждается соответствие принципам организации производства либо оказания услуги на основе наилучших практик, a-priori гарантирующих их высокое качество.

Для рассматриваемых здесь вопросов сертификации информационных систем и программного обеспечения их разработчикам и сертификационным органам полезно ориентироваться на следующие современные методологии и практики организации услуг:

(1) Capability Maturity Model Integration (CMMI) – набор моделей (методологий) совершенствования процессов в организациях разных размеров и видов деятельности. CMMI содержит набор рекомендаций в виде практик, реализация которых, по мнению разработчиков модели, позволяет реализовать цели, необходимые для определённых областей деятельности. Набор моделей CMMI включает три модели: CMMI for Development (CMMI-DEV), CMMI for Services (CMMI-SVC) и CMMI for Acquisition (CMMI-ACQ). Наиболее известной является модель CMMI for Development, ориентированная на организации, занимающиеся разработкой программного обеспечения, аппаратного обеспечения, а также комплексных систем. Все действующие версии моделей имеют номер 1.3 (вышли в ноябре 2010 года). Более подробно можно ознакомиться с методологией на известном Интернет-ресурсе Wikipedia по ссылке www.ru.wikipedia.

org/wiki/CMMI.

(2) ITSM (IT Service Management, управление IT-услугами) – подход к управлению и организации IT-услуг, направленный на удовлетворение потребностей бизнеса. Управление IT-услугами реализуется поставщиками IT-услуг путём использования оптимального сочетания людей, процессов и информационных технологий.

(3) Для содействия управлению IT-услугами используется библиотека документов ITIL, описывающая лучшие из применяемых на практике способов организации работы подразделений или компаний, занимающихся предоставлением услуг в области информационных технологий (см. www.ru.wikipedia.org/wiki/ITIL). В отличие от более традиционного технологического подхода, ITSM рекомендует сосредоточиться на клиенте и его потребностях, на услугах, предоставляемых пользователю информационными технологиями, а не на самих технологиях. При этом процессная организация предоставления услуг и наличие заранее оговоренных в соглашениях об уровне услуг параметров эффективности (KPI) позволяет производителю предоставлять качественные услуги, измерять и улучшать их качество.

(4) CobiT (от Control Objectives for Information and Related Technology (Задачи информационных и смежных технологий) представляет собой пакет открытых документов, около 40 международных и национальных стандартов и руководств в области управления IT, аудита, информационной безопасности. Создатели стандарта провели анализ и оценку, объединили лучшее из международных технических стандартов, стандартов управления качеством, аудиторской деятельности, а также из практических требований и опыта, то есть все то, что имело отношение к целям управления. Задача CobiT заключается в ликвидации разрыва между руководством компании с их видением целей бизнеса и специалистами, осуществляющими поддержку информационной инфраструктуры, которая должна способствовать достижению этих целей (см. www.ru.wikipedia.org/wiki/Cobit).

Очевидно, что по сравнению с сертификацией готовых продуктов и услуг такого рода подходы представляют собой качественно новый, более высокий уровень регламентирования и стандартизации. Хотя в настоящий момент российская система регламентов и сертификации не готова к данному уровню подтверждения качества на стадии процесса создания продукта (оказания услуги), необходимо обеспечивать постепенный переход к этим принципам.

Предлагаемые в следующей главе методические рекомендации по формированию правил добровольной сертификации информационных систем и программных продуктов по возможности учитывают перечисленные международные практики.

Глава 1. МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ ПО ФОРМИРОВАНИЮ ПРАВИЛ ДОБРОВОЛЬНОЙ

СЕРТИФИКАЦИИ ИНФОРМАЦИОННЫХ СИСТЕМ И ПРОГРАММНЫХ ПРОДУКТОВ

1.1. Общие положения Правила сертификации информационных систем и программных продуктов (далее – Система) разрабатываются в соответствии с Федеральным законом от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании», постановлением Правительства Российской Федерации от 23 января 2004 г. № 32 «О регистрации и размере платы за регистрацию системы добровольной сертификации» и являются основополагающим документом для проведения добровольной сертификации информационных систем и программных продуктов.

Целью создания системы сертификации является организация деятельности по проведению добровольной сертификации информационных систем и программных продуктов на соответствие требованиям, установленным в нормативных документах, и обеспечения необходимого уровня объективности и достоверности результатов сертификации.

Правила функционирования Системы устанавливают:

• организационную структуру Системы и функции участников Системы;

• объекты сертификации в Системе;

• принципы функционирования Системы;

• правила проведения работ по сертификации;

• порядок оплаты работ по сертификации;

• правила рассмотрения апелляций.

Правила функционирования Системы добровольной сертификации предназначены для применения всеми участниками Системы и другими заинтересованными юридическими и физическими лицами. Правила сертификации вступают в силу с момента регистрации Системы в едином реестре зарегистрированных систем добровольной сертификации. На основе и в развитие правил сертификации разрабатываются организационно-методические документы Системы, определяющие процедуры, виды работ и нормативную базу сертификации информационных систем и программных продуктов в Системе.

При сертификации в Системе соблюдаются следующие основные принципы:

• добровольность;

• открытость;

• бездискриминационный доступ и участие в процессах сертификации;

• объективность оценки;

• конфиденциальность и защита интересов заявителя;

• доступность информации В Системе устанавливаются форма сертификата соответствия и знака соответствия. Разрабатывается порядок применения знака соответствия. Система должна являться открытой для участия в ней организаций, признающих и выполняющих ее правила.

Все документы Системы оформляются на русском языке. В случаях, установленных договором на проведение добровольной сертификации в Системе, заявителю выдается дубликат сертификата соответствия на английском или другом иностранном языке.

1.2. Цели сертификации информационных систем и программных продуктов Сертификация в Системе осуществляется по инициативе заявителя.

Основными задачами Системы могут являться:

• обеспечение потребителю гарантий, что сертифицированные информационные системы и программные продукты соответствует требованиям, установленным в нормативных документах;

• повышение качества информационных систем и программных продуктов;

• создание условий для обеспечения конкурентоспособности информационных систем и программных продуктов на внутреннем и внешнем рынках;

• подтверждение соответствия информационных систем и программных продуктов требованиям, установленным национальными и международными стандартами, стандартами организаций.

1.3. Область распространения системы сертификации информационных систем и программных продуктов Перечень объектов, сертифицируемых в Системе на соответствие требованиям ГОСТ 28195-89 и ГОСТ Р ИСО/МЭК 9126-93, представлен в таблице:

50 0000 Программные средства и информационные продукты вычислительной техники 50 1000 Системные программные средства 50 1100 Операционные системы и средства их расширения 50 1110 Операционные системы общего назначения 50 1120 Операционные системы реального времени 50 1130 Программные средства поддержки функционирования многопроцессорных вычислительных 50 1140 Программные средства расширения операционных систем 50 1190 Операционные системы прочие 50 1200 Системы программирования и обслуживающие программы 50 1210 Языки программирования 50 1220 Системные обрабатывающие программы 50 1230 Программные средства организации и обслуживания вычислительного процесса 50 1240 Сервисные программы для обслуживания вычислительного процесса 50 1250 Программные средства тестовые и диагностические 50 1290 Системы программирования и обслуживающие программы прочие 50 1300 Программные средства обработки первичной информации 50 1310 Программные средства обработки символов и текстов 50 1320 Программные средства обработки речи 50 1330 Программные средства обработки изображений 50 1340 Программные средства обработки видеоизображений 50 1390 Программные средства обработки первичной информации прочие 50 1400 Программные средства защиты и восстановления информации 50 1410 Программные средства защиты информации от несанкционированного доступа и копирования 50 1420 Программные средства защиты информации антивирусные 50 1430 Программные средства защиты информации криптографические 50 1490 Программные средства защиты и восстановления информации прочие 50 1500 Программные средства сетевые 50 1510 Программные средства для локальных вычислительных сетей 50 1520 Программные средства для системной телеобработки данных и обмена информацией между 50 1530 Сетевые протоколы и междууровневые интерфейсы 50 1540 Программные средства защиты данных в сетях и телекоммуникационных системах 50 1590 Программные средства сетевые прочие 50 1600 Программные средства автоматизации технологии программирования 50 1610 Программные компоненты систем автоматизаци и технологии программирования 50 1620 Технологии автоматизации программирования 50 1690 Программные средства автоматизации технологии программирования прочие 50 1900 Системные программные средства прочие 50 2000 Программные средства общего назначения 50 2100 Системы управления базами данных (СУБД) 50 2110 Системы управления базами данных конечного пользователя 50 2120 Системы управления базами данных многопользовательские 50 2130 Системы управления распределенными базами данных 50 2140 Программные средства серверов баз данных 50 2150 Программные средства удаленного доступа к базам данных 50 2190 Системы управления базами данных прочие 50 2200 Программные средства редакционно-издательского назначения 50 2210 Программные средства лингвистические 50 2220 Текстовые редакторы 50 2230 Программные средства для издательских комплексов 50 2240 Программные средства для автоматизированного перевода текстов 50 2290 Программные средства редакционно-издательского назначения прочие 50 2300 Программные средства для деловой и презентационной графики 50 2400 Электронные таблицы 50 2500 Программные средства инструментальные для систем «электронных сделок»

50 2600 Программные средства инструментальные для систем мультимедиа 50 2700 Программные средства для обработки документов 50 2800 Программные средства для систем искусственного интеллекта 50 2900 Программные средства общего назначения прочие 50 3000 Прикладные программные средства для научных исследований 50 3100 Программные средства для методоориентированных расчетов 50 3200 Программные средства для моделирования и исследования 50 3300 Программные средства для автоматизации научных исследований 50 4000 Прикладные программные средства для проектирования 50 4100 Программные средства для общетехнических расчетов 50 4200 Программные средства для технико-экономических расчетов 50 4300 Программные средства для систем автоматизированного проектирования (САПР) 50 4400 Программные средства для систем автоматизации технологической подготовки 50 5000 Прикладные программные средства для управления техническими средствами и технологическими процессами 50 5500 Программные средства для автоматизированных рабочих мест 50 6000 Прикладные программные средства для решения организационно-экономических задач 50 6100 Программные средства для автоматизации управления предприятиями (организациями) 50 6200 Программные средства для автоматизации управления отраслями и объединениями 50 6300 Программные средства для экономического моделирования 50 6400 Программные средства для автоматизации операций по финансовому посредничеству 50 6410 Программные средства для автоматизации операций по денежному посредничеству 50 6420 Программные средства для автоматизации услуг по страхованию и пенсионному 50 6500 Программные средства для автоматизации управления операциями с недвижимостью и 50 7000 Прикладные программные средства учебного назначения 50 8000 Программно-информационные продукты 50 8100 Базы данных и информационно-справочные системы 50 8200 Электронные архивы 50 8300 Электронные издания официальные 50 8400 Электронные издания литературные 50 8500 Электронные издания произведений искусства 50 8600 Электронные издания справочников и словарей 50 8700 Электронные издания развлекательные (игровые) и рекламные 50 8800 Мультимедиа-приложения 50 8900 Программно-информационные продукты прочие 50 9000 Программные средства прочие При сертификации в Системе могут использоваться следующие нормативные документы: национальные, международные и межгосударственные стандарты; стандарты организаций; технические условия; отраслевые нормы; методические рекомендации и другие документы, заявленные организацией, проходящей сертификацию.

1.4. Структура системы сертификации и функции ее участников Организационная структура Системы может включать следующих участников:

• юридическое лицо создавшее и возглавляющее Систему;

• органы по сертификации;

• испытательные лаборатории.

Орган, создавший Систему, может выполнять следующие функции:

• управлять Системой и создавать условия для ее функционирования;

• утверждать общие правила и процедуры проведения работ по сертификации в Системе;

• разрабатыватьи утверждать организационно-методические документы Системы;

• разрабатывать и утверждать нормативные документы Системы;

• осуществлять допуск в Систему органов по сертификации на условиях договора с лицом, создавшим Систему;

• организовывать взаимодействие с отечественными органами и международными организациями по сертификации;

• проводить процедуры взаимного признания сертификатов, знаков соответствия;

• устанавливать перечень объектов сертификации, подлежащих сертификации, и их характеристик;

• вести сводный реестр Системы;

• устанавливать порядок оплаты работ по сертификации в Системе;

• разрабатывать программы обучения экспертов по сертификации и проводить их обучение и аттестацию;

• осуществлять методическую помощь и оказывать консультационные услуги участникам Системы.

Органы по сертификации могут выполнять следующие функции:

• осуществлять подтверждение соответствия объектов сертификации;

• выдавать сертификаты соответствия на объекты, прошедшие добровольную сертификацию;

• предоставлять заявителям право на применение знака соответствия;

• приостанавливать или прекращать действие выданных им сертификатов соответствия.

Испытательные лаборатории проводят испытания информационных систем и программных продуктов. Персонал органа по сертификации и испытательной лаборатории должен включать необходимое число экспертов по сертификации, которые обладают достаточными знаниями и опытом в области разработки, применения и экспертизы информационных систем и программных продуктов.

Эксперты Системы, входящие в штат органа по сертификации или испытательной лаборатории, а также взаимодействующие с ними на основе договоров, должны соответствовать требованиям, установленным в документах Системы.

Порядок аттестации и обучения экспертов Системы устанавливается органом, создавшим Систему.

1.5. Порядок проведения сертификации информационных систем Для проведения сертификации информационных систем разработчик или потребитель, использующий информационные системы (далее – заявитель), должен направить письменно заявку на ее проведение в орган по сертификации Системы.

Заявка на сертификацию должна включать в себя основную информацию о заявителе, разработчике информационной системы, информационной системе. В случае указания в заявке неточных, неполных или недостоверных данных орган по сертификации имеет право отклонить заявку.

Вместе с заявкой необходимо предоставлять в орган по сертификации следующие обязательные документы и материалы:

• письменное подтверждение согласия с процедурой сертификации, подписанное руководителем организации-заявителя (заявителем);

• перечень заявленных показателей информационных систем, подлежащих сертификации;

• программу и методику испытаний в соответствии с РД 50-34.698-90 для проверки заявленных показателей;

• акт проведения испытаний.

При оформлении заявки на сертификацию информационных систем, которые обрабатывают документированную информацию с ограниченным доступом (в том числе персональные данные), дополнительно представляются документы, подтверждающие использование в информационных системах сертифицированных средств защиты информации.

Документы и материалы, предоставленные организацией-заявителем на сертификацию, как правило, не возвращаются.

После начала процесса сертификации исправления и дополнение представленных документов и материалов, как правило, не допускаются.

При проведении работ по добровольной сертификации информационных систем могут использоваться схемы, представленные в таблице.

A Экспертиза и испытание информационных Экспертиза информационных систем по месту экссистем, обрабатывающих информацию с ограни- плуатации B Экспертиза и испытание информационных си- Экспертиза информационных систем по месту эксстем, обрабатывающих открытую информацию плуатации Схема А используется при сертификации информационных систем, предназначенных для обработки информации с ограниченным доступом (в том числе персональных данных).

Схема В используется при сертификации информационных систем, предназначенных для обработки открытой информации.

Обе схемы предполагают проведение инспекционного контроля сертифицированных информационных систем по месту эксплуатации.

Орган по сертификации регистрирует заявку и рассматривает ее с целью определения возможности проведения работ по сертификации.

Орган по сертификации при рассмотрении заявки определяет схему сертификации, при необходимости запрашивает у заявителя дополнительные сведения.

Срок рассмотрения заявки и принятия решения о проведении (либо не проведении) работ по сертификации информационных систем, как правило, составляет не более 30 календарных дней после ее получения.

По результатам рассмотрения заявки и представленных заявителем материалов орган по сертификации принимает решение по заявке.

При положительном решении по заявке орган по сертификации направляет заявителю решение по заявке и проект договора на проведение работ по сертификации. Работы по рассмотрению заявки включаются в стоимость договора.

Если решение принимается отрицательное, то орган по сертификации аргументировано в письменной форме сообщает заявителю о невозможности проведения работ по сертификации.

После получения от Заявителя подписанного договора и его оплаты орган по сертификации приступает к работам по сертификации.

Сертификация информационных систем осуществляется в два этапа:

• экспертная оценка;

• испытания на соответствие заявленных показателей в соответствии с представленной программой и методикой испытаний.

Экспертная оценка представленных документов и материалов осуществляется экспертами, назначаемыми руководителем органа по сертификации. Эксперты назначаются с учетом их профессиональной специализации и уровня квалификации.

При отсутствии замечаний по результатам решения экспертов составляется протокол проведения экспертизы информационных систем.

Испытания могут проводиться по месту эксплуатации информационных систем. Сроки проведения испытаний согласовываются с заявителем.

Заявитель отвечает за выполнение организационных и технических мероприятий по проведению испытаний и обеспечивает беспрепятственный доступ специалистов Органа по сертификации к месту проведения испытаний.

При отсутствии замечаний по результатам испытаний информационных систем на соответствие заявленных показателей оформляется протокол проведения испытаний (экспертизы).

Орган по сертификации на основании протоколов проведения экспертизы и испытаний на соответствие заявленных показателей принимает решение о выдаче или отказе в выдаче сертификата соответствия.

При положительных результатах принимается решение о выдаче сертификата соответствия.

При отрицательных результатах орган сертификации направляет заявителю решение об отказе в выдаче сертификата соответствия.

Основанием для отказа в выдаче сертификата соответствия является отсутствие положительного результата сертификационных проверок и испытаний, а также отказ заявителя от оплаты работ по сертификации.

При повторном обращении заявителя используется тот же порядок сертификации информационных систем.

Срок действия сертификата соответствия устанавливает орган по сертификации, но не более чем на три года.

Заявитель, получивший сертификат соответствия в Системе, имеет право маркировать свою продукцию, документацию, квитанции, кассовые чеки, заключаемые договоры знаком соответствия Системы, а также использовать знак в целях рекламы, в информационных материалах, вывесках и стендах на основании разрешения на применение Знака соответствия.

1.6. Порядок проведения сертификации программных продуктов Для проведения сертификации программных продуктов разработчик или потребитель, использующий программные продукты (далее – заявитель), должен направить письменно заявку на ее проведение в орган по сертификации Системы.

Заявка на сертификацию должна включать в себя основную информацию о заявителе, разработчике программного продукта, программном продукте. Если заявителем является юридическое лицо, заявка оформляется на бланке организации-заявителя. В случае указания в заявке неточных, неполных или недостоверных данных орган по сертификации имеет право отклонить заявку.

На сертификацию принимаются только рабочие версии программных продуктов (версии, не содержащие ограничений по времени работы и других параметров).

Вместе с заявкой необходимо предоставлять в орган по сертификации обязательные документы и материалы:

- письменное подтверждение согласия с процедурой сертификации, подписанное руководителем организации-заявителя (заявителем);

- письменное согласие от организации, разработавшей программный продукт (в случае, если заявка подана от имени организации, эксплуатирующей или продающей программный продукт);

- техническое задание по ГОСТ 19.201-78;

- спецификацию по ГОСТ 19.202-78;

- описание программы по ГОСТ 19.402-78;

- описание применения по ГОСТ 19.502-78;

- руководство пользователя по РД 50-34.698-90;

- программу и методику испытаний по ГОСТ 19.301-79;

- акт проведения испытаний;

- две дистрибутивные копии программного средства (дистрибутивы должны сопровождаться отпечатанным списком файлов, записанных на электронном носителе, в списке должны быть указаны объем файлов, дата и время их создания);

- копия документа (лицензии), подтверждающего легальность покупки фирмой-разработчиком инструментальных и общесистемных программных средств (ОС, СУБД, языки программирования), использованных для разработки программных продуктов, предоставленных на сертификацию.

При оформлении заявки на сертификацию программных продуктов, предназначенных для обработки и хранения персональных данных, дополнительно представляются:

- руководство по использованию защитных механизмов;

- руководство по управлению средствами защиты;

- исходные тексты программ (ГОСТ 19.401-78);

- тестовая документация, содержащая описание тестов и испытаний, которым подвергались программные продукты, а также результаты тестирования.

Документы и материалы, предоставленные организацией-заявителем на сертификацию, как правило, не возвращаются.

После начала работ по сертификации исправления к программному продукту и/или документации, как правило, не принимаются.

При проведении работ по добровольной сертификации программных продуктов возможно использовать схемы, представленные в таблице.

Схема А предусматривает проведение испытаний образца программного продукта в Органе по сертификации.

Схема В предусматривает дополнение к схеме А (после выдачи сертификата на программный продукт) последующий инспекционный контроль за сертифицированными программными продуктами путем испытаний образца, взятого у изготовителя, проводимых, как правило, в органе по сертификации.

Схема С предусматривает испытания выборки образцов, отобранных из партии изготовленных программных продуктов, в органе по сертификации.

Схема D предусматривает испытания каждого изготовленного единичного программного продукта в органе по сертификации.

Орган по сертификации регистрирует заявку и рассматривает ее с целью определения возможности проведения работ по сертификации.

Орган по сертификации при рассмотрении заявки определяет схему сертификации, при необходимости запрашивает у заявителя дополнительные сведения.

Срок рассмотрения заявки и принятия решения о проведении (либо не проведении) работ по сертификации, как правило, составляет не более 30 календарных дней после ее получения.

По результатам рассмотрения заявки и представленных заявителем материалов орган по сертификации принимает решение по заявке.

При положительном решении по заявке орган по сертификации направляет заявителю решение по заявке и проект договора на проведение работ по сертификации.

Если решение принимается отрицательное, то орган по сертификации аргументированно в письменной форме сообщает заявителю о невозможности проведения работ по сертификации.

После получения от заявителя подписанного договора и его оплаты орган по сертификации приступает к работам по сертификации.

Сертификация программных продуктов, как правило, осуществляется в два этапа:

• технологические испытания, проводимые с высокой степенью объективности с использованием современных методов и средств по формализованным правилам, удостоверяющим соответствие реальных количественных и качественных показателей тем, которые зафиксированы в НТД или программной документации;

• экспертная оценка, проводимая экспертной комиссией.

При проведении сертификации программных продуктов, входящих в состав информационных систем, испытания выполняются на территории заявителя специалистами органа по сертификации.

Технологические испытания возможно проводить в соответствии с ГОСТ 28195-89 «Оценка качества программных средств», ГОСТ Р ИСО/МЭК 9126-93 «Оценка программной продукции» и ГОСТ Р ИСО/МЭК ТО 9294-93 «Руководство по управлению документированием программного обеспечения».

Качество программных продуктов может оцениваться на основе следующих типов испытаний:

• функциональные испытания, позволяющие проверить соответствие между рабочей версией программного продукта и заявленными разработчиком функциональными характеристиками;

• общесистемные испытания в рамках заявленных конфигураций;

• проверка полноты и качества документации.

При отсутствии замечаний по результатам технологических испытаний программного продукта орган по сертификации (испытательная лаборатория) оформляет протокол проведения технологических испытаний программного продукта.

На втором этапе руководителем органа по сертификации организуется экспертная комиссия, в состав которой должны входить независимые эксперты по данному направлению деятельности. Члены экспертной комиссии выбираются с учетом их профессиональной специализации и уровня квалификации.

По результатам заседания экспертной комиссии составляется протокол проведения экспертизы программных продуктов.

В случае, если один (или несколько) экспертов не согласны с выводами экспертной комиссии или хотят приобщить к материалам проверки также свое особое мнение, подобный документ должен быть оформлен в письменном виде в произвольной форме на имя руководителя органа по сертификации за подписью эксперта(ов) и приобщен к материалам проверки программного продукта.

Орган по сертификации анализирует полученные протоколы технологических испытаний и проведения экспертизы и принимает решение о выдаче или отказе в выдаче сертификата соответствия.

При положительных результатах принимается решение о выдаче сертификата соответствия.

Сертификат соответствия распространяется только на версию (с указанием номера и даты выпуска версии) программного продукта, предоставленную для сертификации.

При отрицательных результатах орган сертификации направляет заявителю решение об отказе в выдаче сертификата соответствия.

Основанием для отказа в выдаче сертификата соответствия является отсутствие положительного результата сертификационных проверок, а также отказ заявителя от оплаты работ по сертификации.

При повторном обращении заявителя используется тот же порядок сертификации программных продуктов.

Срок действия сертификата соответствия устанавливает орган по сертификации, но не более чем на три года.

Заявитель, получивший сертификат соответствия в Системе, имеет право маркировать свою продукцию, документацию, квитанции, кассовые чеки, заключаемые договоры знаком соответствия Системы, а также использовать знак в целях рекламы, в информационных материалах, вывесках и стендах на основании разрешения на применение Знака соответствия.

1.7. Организация инспекционного контроля за сертифицированными объектами Инспекционный контроль за соблюдением требований к сертифицированным информационным системам и программным продуктам проводит орган по сертификации, выдавший сертификат соответствия.

Инспекционный контроль осуществляют в рамках схемы сертификации в течение всего срока действия сертификата соответствия в форме плановых и внеплановых проверок, как правило, не реже одного раза в год.

Объем, содержание, порядок проведения инспекционного контроля определяет орган по сертификации с учетом схемы сертификации, по которой она проводилась.

Внеплановый инспекционный контроль проводят при поступлении информации о претензиях к сертифицированным информационным системам и программным продуктам.

По результатам инспекционного контроля может быть принято одно из следующих решений, которое оформляется в форме акта:

• считать сертификат соответствия и предоставленное заявителю право на применение знака соответствия подтвержденными;

• приостановить действие сертификата соответствия и разрешения на применение знака соответствия;

• отменить действие сертификата соответствия и разрешения на применение знака соответствия.

При положительных результатах инспекционного контроля орган по сертификации осуществляет подтверждение действия выданного сертификата соответствия и разрешения на применение знака соответствия.

При отрицательных результатах инспекционного контроля орган по сертификации подготавливает решение о приостановлении действия сертификата соответствия или отмене его действия и представляет решение держателю сертификата соответствия.

Информация о приостановлении действия или отмене сертификата соответствия доводится органом по сертификации до сведения держателя сертификата и всех заинтересованных организаций, как правило, не позднее 7 дней с момента принятия решения.

Акт инспекционного контроля хранится в органе по сертификации, проводившем инспекционный контроль, а его копию направляют держателю сертификата соответствия.

1.8. Оплата работ по сертификации Расходы, связанные с проведением добровольной сертификации информационных систем и программных продуктов в Системе, несут заявители (юридические или физические лица).

Условия оплаты работ по сертификации и инспекционному контролю определяются договором в зависимости от вида и объема работ по сертификации, заключенным между органом по сертификации и заявителем.

Оплата работ по сертификации информационных систем и программных продуктов проводится заявителем, как правило, полностью до начала выполнения работ. Оплата работ по сертификации не зависит от полученных результатов.

1.9. Организация конфиденциальности в системе сертификации В Системе должна обеспечиваться конфиденциальность информации, полученной в ходе сертификации, всеми участниками Системы. Информация составляет служебную или коммерческую тайну, если она имеет действительную или потенциальную ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании, и обладатель информации принимает меры к ее охране. Сведения, которые не являются служебной или коммерческой тайной, определяют законы и правовые акты.

Информацию, составляющую служебную или коммерческую тайну, защищают способами, предусмотренными Гражданским кодексом и другими законами Российской Федерации.

1.10. Примерная форма заявки на сертификацию

НАИМЕНОВАНИЕ ОРГАНА ПО СЕРТИФИКАЦИИ

ЗАЯВКА

на проведение сертификации в Системе добровольной сертификации «_»

наименование организации – изготовителя, продавца (далее – заявитель) код ОКПО или номер регистрационного документа индивидуального предпринимателя Телефон Факс E-mail просит провести добровольную сертификацию серийный выпуск, или партия определенного размера, или единица продукции выпускаемой по наименование и обозначение документация изготовителя (стандарт, ТУ, КД, образец-эталон) на соответствие требованиям _ по схеме _ Заявитель обязуется выполнять правила сертификации.

Дополнительные сведения _ Руководитель организации _ _ 1.11. Примерная форма сертификата соответствия

СИСТЕМА ДОБРОВОЛЬНОЙ СЕРТИФИКАЦИИ

«_»

С Е Р Т И Ф И К АТ С О О Т В Е Т С Т В И Я

(1) № (2) Срок действия с _ по _ (3) Орган по сертификации_ (4) (5) код ОК 005(ОКП) _ (6) Соответствует требованиям нормативных документов _ _ (7) Изготовитель (8) Сертификат выдан _ (9) На основании (10) Дополнительная информация _ _ _ Руководитель организации _ _ 1.12. Пример правил заполнения бланка сертификата соответствия Позиция 1. Регистрационный номер сертификата соответствия составляется следующим образом:

ИТ RU ХХХХ Х ХХХХХ

Код типа объекта сертификации:

Е – партия (единичное изделие), сертифицированная на соответствие требованиям нормативных документов;

С – серийно выпускаемая продукция, сертифицированная на соответствие требованиям нормативных документов;

Позиция 2. Срок действия сертификата. Даты записываются следующим образом: число и месяц – двумя арабскими цифрами, разделенными точками, год – четырьмя арабскими цифрами. При этом первую дату проставляют по дате регистрации сертификата в реестре Системы. При сертификации партий или единичного изделия вторая дата не проставляется.

Позиция 3. Здесь указывается наименование органа по сертификации, его адрес и телефон.

Позиция 4. Указывается наименование, тип, вид, марка продукции, обозначение стандарта, технических условий или иного документа, по которому она выпускается (для импортной продукции ссылка на документ необязательна). Далее указывается: «серийный выпуск», или «партия», или «единичное изделие». Для партии и единичного изделия приводят номер и размер партии или номер изделия, номер и дату выдачи накладной, договора (контракта), документа о качестве и т.п.

Позиция 5. Код продукции (6 разрядов с пробелом после первых двух) по Общероссийскому классификатору продукции.

Позиция 6. Обозначение нормативных документов, на соответствие которым проведена сертификация. Если продукция сертифицирована не на все требования нормативного (ых) документа (ов), то указывают разделы или пункты, содержащие подтверждаемые требования.

Позиция 7. Наименование, адрес организации-изготовителя (индивидуального предпринимателя).

Позиция 8. Наименование, адрес, телефон, факс юридического лица, которому выдан сертификат соответствия.

Позиция 9. Документы, на основании которых органом по сертификации выдан сертификат:

• протокол испытаний с указанием номера и даты выдачи, наименования и регистрационного номера аккредитованной испытательной лаборатории;

• документы (гигиеническое заключение, сертификат пожарной безопасности и др.), выданные органами и службами федеральных органов исполнительной власти, с указанием наименования органа или службы, адреса, наименования вида документа, номера, даты выдачи и срока действия;

• документы других органов по сертификации и испытательных лабораторий с указанием наименования, адреса, наименования вида документа, номера, даты выдачи и срока действия;

• декларация о соответствии с указанием номера и даты ее принятия.

Позиция 10. Дополнительную информацию приводят при необходимости, определяемой органом по сертификации.

К такой информации могут относиться внешние идентифицирующие признаки продукции (вид тары, упаковки, нанесенные на них сведения и т.п.), условия действия сертификата (при хранении, реализации), место нанесения знака соответствия, номер схемы сертификации и т.п.

Позиция 11. Подпись, инициалы, фамилия руководителя органа, выдавшего сертификат, и эксперта, проводившего сертификацию, печать органа по сертификации.

Сертификат соответствия заполняют электронным способом. Исправления, подчистки и поправки не допускаются.

1.13. Порядок применения Знака соответствия системы сертификации.

Область применения и общие положения Знак Системы – это обозначение, служащее для информирования приобретателей о соответствии объекта сертификации требованиям Системы.

Порядок применения знака соответствия устанавливается в документе (порядок, правила) который определяет сферу применения, изображение и технические требования к знаку соответствия, порядок применения знака соответствия Системы добровольной сертификации (далее – Знак Системы), используемого при сертификации информационных систем и программных продуктов. Разработанные правила или порядок применения знака соответствия, как и правила проведения добровольной сертификации информационных систем и программных продуктов, подлежат регистрации в соответствии с постановлением Правительства Российской Федерации от 23 января 2004 г. № 32 «О регистрации и размере платы за регистрацию системы добровольной сертификации»

Требования документа должны являться обязательными для всех участников Системы добровольной сертификации.

Разрешение на применение Знака Системы выдается органом по сертификации держателю сертификата соответствия Системы. Основанием для выдачи разрешения на применения Знака Системы является сертификат соответствия. Выдача разрешения на применение Знака Системы осуществляется одновременно с выдачей сертификата соответствия. Разрешение на применение Знака Системы выдается на срок, не превышающий срока действия сертификата соответствия. Бланк разрешения на применение Знака Системы является документом строгой отчетности.

Держатель сертификата соответствия, получивший разрешение на применение Знака Системы, обязан соблюдать ряд требований:

• обеспечить соответствие сертифицированных информационных систем и программных продуктов требованиям нормативных документов, на соответствие которым проведена сертификация;

• применять Знак Системы по правилам, установленным в Системе;

• приостанавливать (прекращать) применение Знака Системы в случае приостановки (отмены) действия сертификата соответствия;

• создать необходимые условия для проведения органом по сертификации инспекционного контроля за сертифицированными информационными системами и программными продуктами;

• своевременно извещать орган по сертификации, выдавший сертификат соответствия, об изменениях организационно-правовых, регистрационных документов, адресов и телефонов.

В разрешении указываются данные держателя сертификата соответствия, которому дается право маркировки знаком Системы, а также данные органа по сертификации, выдавшего разрешение, и сроки действия разрешения.

Разрешение на применение знака Системы, как правило, подписывается руководителем органа по сертификации, подпись которого заверяется печатью. Данные о выдаче разрешения заносятся в реестр Системы.

Маркирование объектов Знаком Системы осуществляет держатель сертификата соответствия.

1.14. Порядок применения Знака соответствия системы сертификации Применением является маркирование Знаком Системы технической, сопроводительной и финансовой документации, а также рекламных и прочих информационных материалов.

Следует учитывать, что при применении Знака Системы его изображение должно быть отличным по цвету от маркируемой поверхности. При маркировании могут применяться следующие технологические приемы:

• нанесение плоского или рельефного изображения Знака Системы;

• прикрепление специально изготовленных носителей Знака Системы (ярлыков, этикеток, самоклеющихся лент и т.п.).

Технические средства маркирования Знаком Системы могут изготовляться централизованно или по индивидуальным заказам.

Место нанесения Знака Системы определяется держателем сертификата соответствия. Знак Системы наносят полностью согласно его изображению, установленному в Системе. Как правило, не допускается наносить отдельные элементы его изображения.

Затраты на маркирование сертифицированных объектов Знаком Системы, включая приобретение необходимых технических средств, несет держатель сертификата соответствия.

1.15. Требования к изображению Знака соответствия Описание знака должны содержать подробное описание графического изображения Знака соответствия, включая его цвет и пропорции.

Размеры Знака Системы, как правило, устанавливаются организацией, получившей сертификат соответствия Системы, с сохранением установленных пропорций.

В результате исследования зарегистрированных торговых знаков, знаков систем соответствия и других условных обозначений должно быть установлено, что Знак соответствия, применяемый в системе добровольной сертификации, отличается от уже применяемых и зарегистрированных в Российской Федерации знаков.

1.16. Примерная форма разрешения на применения Знака соответствия

СИСТЕМА ДОБРОВОЛЬНОЙ СЕРТИФИКАЦИИ

РА З Р Е Ш Е Н И Е

Регистрационный номер от «»_ 20_ г.

Разрешает применение Знака соответствия Системы добровольной сертификации Разрешение выдано _ _ Адрес регистрации _ телефон факс на основании сертификата соответствия рег. № срок действия сертификата с «» _ по «» срок действия разрешения с «» _ по «» Условия применения Знака соответствия _ _ Место нанесения Знака соответствия, прочие условия _ Руководитель органа по сертификации _ _ 1.17. Примерный перечень документов для прохождения добровольной сертификации информационных систем и программных продуктов - Заявка по установленной форме.

- Письменное подтверждение согласия с процедурой сертификации, подписанное руководителем организации-заявителя (заявителем).

- Письменное согласие от организации, разработавшей программный продукт (в случае, если заявка подана от имени организации, эксплуатирующей или продающей программный продукт).

- Техническое задание по ГОСТ 19.201-78.

- Спецификация по ГОСТ 19.202-78.

- Описание программы по ГОСТ 19.402-78.

- Описание применения по ГОСТ 19.502-78.

- Руководство пользователя по РД 50-34.698-90.

- Программа и методика испытаний по ГОСТ 19.301-79.

- Акт проведения испытаний.

- Две дистрибутивные копии программного средства на дискетах 3,5 или компакт дисках.

Дистрибутивы должны сопровождаться отпечатанным списком файлов, записанных на дискетах и компакт дисках, в списке должны быть указаны объем файлов, дата и время их создания.

Копия документа (лицензии), подтверждающего легальность покупки фирмой-разработчиком инструментальных и общесистемных программных средств (ОС, СУБД, языки программирования), использованных для разработки программных продуктов, предоставленных на сертификацию.

При оформлении заявки на сертификацию программных продуктов, предназначенных для обработки и хранения персональных данных, дополнительно представляются:

- руководство по использованию защитных механизмов;

- руководство по управлению средствами защиты;

- исходные тексты программ (ГОСТ 19.401-78);

- тестовая документация, содержащая описание тестов и испытаний, которым подвергались программные продукты, а также результаты тестирования.

1.18. Пример инструкции по сертификации Процедура сертификации проводится сертифицированными экспертами уполномоченного органа по сертификации и/или испытательной лаборатории.

Процедура сертификация начинается с ознакомления заявителя с правилами сертификации, перечнем требуемых для сертификации документов, заполнения и подачи в орган по сертификации заявки в установленной форме по факсу или по электронной почте.

Далее необходимо заключить договор на услуги по сертификации, и после этого руководитель органа по сертификации закрепляет за организацией, подавшей заявку, эксперта, который в свою очередь формирует экспертную группу и приступает непосредственно к испытанию и оценке информационной системы или программного продукта.

Сертификация информационной системы или программного продукта занимает, как правило, минимум семь дней, в зависимости от сложности программы и полноты представленной заявителем документации.

По результатам сертификации экспертная группа составляет протокол оценки (экспертизы) информационной системы или программного продукта (примерная форма прилагается) с указанием рекомендаций и предложением о выдаче заявителю сертификата соответствия сроком до трех лет, как правило с ежегодным инспекционным контролем.

В случае несоответствия заявленной информационной системы или программного продукта установленным в системе сертификации требования экспертная группа составляет обоснованный отказ в выдаче заявителю сертификата соответствия.

Глава 2. МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ ПО ОРГАНИЗАЦИИ РАБОТЫ ОРГАНА ПО

СЕРТИФИКАЦИИ ИНФОРМАЦИОННЫХ СИСТЕМ И ПРОГРАММНЫХ ПРОДУКТОВ

С целью организации работы и квалифицированного отбора и допуска органов по сертификации, а также испытательных лабораторий в системе сертификации информационных систем и программных продуктов, целесообразно применять критерии отбора организаций. При этом возможно руководствоваться утверждённым постановлением Правительства Российской Федерации от 19 июня 2012 г. N 602 «Правила аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по подтверждению соответствия, аттестации экспертов по аккредитации, а также привлечению и отбору экспертов по аккредитации и технических экспертов для выполнения работ в области аккредитации», а также национальным стандартом ГОСТ Р ИСО/МЭК 17025-2006 «Общие требования к компетентности испытательных и калибровочных лабораторий». Обращаем внимание, что вышеназванные документы используются при организации работы органов по сертификации в системе добровольной сертификации ГОСТ Р, а функции по аккредитации возложены исключительно на Федеральную службу по аккредитации. Прочие системы добровольной сертификации имеют возможность самостоятельно определять набор требований для органов по сертификации и испытательных лабораторий, подтверждая их соответствие сертификатом, свидетельством, договором допуска или иным принятым и утвержденным документом. Ниже приведены примерные правила допуска испытательных лабораторий и органов по сертификации в систему добровольной сертификации информационных систем и программных продуктов.

2.1. Примерные правила допуска испытательных лабораторий и органов по сертификации в систему добровольной сертификации информационных систем и программных продуктов Правила определяют порядок допуска юридических лиц, индивидуальных предпринимателей в качестве органов по сертификации, испытательных лабораторий (центров), проводящих сертификационные испытания информационных систем и программных продуктов, и выдачи свидетельства о соответствии.

Допуск осуществляется в отношении юридических лиц, индивидуальных предпринимателей, которые изъявили желание получить признание своей компетентности в области подтверждения соответствия информационных систем и программных продуктов установленным требованиям. Допуск осуществляет лицо, создавшее систему добровольной сертификации (далее –руководящий орган).

Термины и определения используемые в правилах допуска:

• свидетельство о соответствии – документ, удостоверяющий допуск юридического лица, индивидуального предпринимателя в качестве органа по сертификации, испытательной лаборатории (центра);

• орган по сертификации – юридическое лицо, индивидуальный предприниматель, допущенные в установленном порядке для выполнения работ по сертификации;

• испытательная лаборатория (центр) – юридическое лицо, индивидуальный предприниматель, допущенные в установленном порядке для проведения испытаний информационных систем и программных продуктов;

• сертификационные испытания – исследования, проводимые испытательными лабораториями (центрами) в пределах своей компетенции.

Орган по сертификации, испытательная лаборатория (центр) не должны быть аффилированными лицами и (или) участвовать в договоре простого товарищества, в том числе негласного товарищества, по отношению к продавцам, изготовителям сертифицируемых информационных систем и программных продуктов, их представителям, а также иным испытательным лабораториям (центрам) или органам по сертификации.

Орган испытательная лаборатория (центр) должны иметь: