Коллеги, добрый день!
C 1 июня 2024 года вступил в силу приказ ФСТЭК России «Об утверждении Порядка проведения сертификации процессов безопасной разработки программного обеспечения средств защиты информации».
Я изучил настоящий документ, и хотел бы ответить на самые популярные вопросы, которые задают по данному документу.
1. Кому нужен сертификат соответствия по подтверждению процессов безопасной разработки программного обеспечения?
Ответ: Сертификация процессов безопасной разработки программного обеспечения необходима организациям, которые разрабатывают и производят программное обеспечение средств защиты информации и соответственно имеют лицензию ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации.
2. На соответствие каким требованиям проводится сертификация процессов безопасной разработки программного обеспечения средств защиты информации?
Ответ: процессов безопасной разработки программного обеспечения средств защиты информации проверяются на соответствие требованиям национального стандарта Российской Федерации ГОСТ Р 56939-2016 "Защита информации. Разработка безопасного программного обеспечения. Общие требования", утвержденного и введенного в действие приказом Федерального агентства по техническому регулированию и метрологии от 1 июня 2016 г. N 458-ст.
3. Кто имеет право сертифицировать (проверять) процессы безопасной разработки программного обеспечения?
Проводить сертификацию (проверку) процессов безопасной разработки программного обеспечения имеет право аккредитованный ФСТЭК России орган по сертификации. В настоящий момент (на 05.06.24 г.) в РФ насчитывается 9 (девять) аккредитованных ФСТЭК России органов по сертификации, из них, всего один орган по сертификации имеет аккредитацию в области сертификации процессов безопасной разработки программного обеспечения средств защиты информации, и это ИСП РАН.
Ответ: На сегодняшний день существует только один орган по сертификации, который имеет аккредитацию в области сертификации процессов безопасной разработки программного обеспечения средств защиты информации, это (ИСП РАН).
4. Кто выдаёт сертификат соответствия?
Ответ: Сертификат соответствия подписывается уполномоченным должностным лицом ФСТЭК России, сведения о сертификате соответствия учитываются в перечне сертификатов соответствия процессов безопасной разработки программного обеспечения требованиям по безопасной разработке. Сертификат соответствия в течение 10 рабочих дней после дня подписания вручается изготовителю или направляется ему заказным почтовым отправлением.
5. На какой срок выдаётся сертификат соответствия?
Ответ: Сертификат соответствия выдаётся на срок, указанный в заявке, но не более чем на 5 лет.
6. Что проверяют в процессе сертификации?
Ответ: В процессе прохождения сертификации проверяют:
- оценку соответствия руководства по безопасной разработке программного обеспечения и документации по безопасной разработке программного обеспечения, имеющейся у изготовителя, пунктам 4.10 и 4.12 требований по безопасной разработке соответственно;
- проверку наличия у изготовителя средств разработки программного обеспечения, а также средств, предназначенных для проведения композиционного, статического и динамического анализа программного обеспечения, предусмотренных подпунктами 5.3.3.4 и 5.4.3.3 пункта 5 требований по безопасной разработке;
- проверку реализации изготовителем процессов безопасной разработки программного обеспечения, приведенных в руководстве и в документации по безопасной разработке программного обеспечения;
- проверку реализации изготовителем процедур поддержки безопасности программного обеспечения;
- проверку выполнения требований к обучению специалистов изготовителя, участвующих в реализации процессов безопасной разработки программного обеспечения.
7. Как оформить Заявку на прохождение процессов сертификации?
Ответ: форма Заявки указана в Приложение N 1 к Порядку сертификации процессов безопасной разработки программного обеспечения средств защиты информации, утвержденному приказом ФСТЭК России от 1 декабря 2023 г. N 240). Для получения сертификата соответствия изготовителю необходимо направить Заявку на сертификации процессов безопасной разработки ПО в ФСТЭК России. Заявка подписывается руководителем организации изготовителя или лицом, которое в силу закона или учредительных документов выступает от его имени и заверяется печатью изготовителя. Подписанную и заверенную Заявку с приложением необходимо направить во ФСТЭК России почтовым отправлением с уведомлением о вручении или представляется непосредственно в ФСТЭК России.
8. Что делать после направления заявки на сертификацию во ФСТЭК?
Ответ: После направления заявки на сертификацию, в случае положительного результата по рассмотрению Заявки на сертификацию, ФСТЭК России выдаёт Решение о проведении сертификации процессов безопасной разработки программного обеспечения. Данное Решение оформляется в трёх экземплярах, подписывается уполномоченным должностным лицом ФСТЭК России и направляется почтовым отправлением или вручается по одному экземпляру изготовителю и органу по сертификации. Один экземпляр решения остается в ФСТЭК России.
9. Что делать после получения Решения на сертификацию от ФСТЭК России?
Ответ: Орган по сертификации проводит сертификацию в сроки, установленные договором на проведение сертификации, заключенным с изготовителем. Сертификация проводится на материально-технической базе изготовителя, используемой для разработки и поддержки безопасности программного обеспечения. По результатам проведения сертификации орган по сертификации оформляет протоколы сертификации. Протоколы сертификации подписываются экспертами органа по сертификации, проводившими сертификацию. По завершении сертификации орган по сертификации оформляет экспертное заключение о соответствии (несоответствии) реализованных изготовителем процессов безопасной разработки программного обеспечения требованиям по безопасной разработке. Экспертное заключение подписывается экспертами органа по сертификации, проводившими сертификацию, и утверждается руководителем органа по сертификации. В случае положительных результатов орган по сертификации подготавливает проект сертификата соответствия и представляет материалы сертификации в ФСТЭК России. ФСТЭК России их рассматривает и в случае положительного решения выдаёт сертификат соответствия.
Спасибо!
Буду рад вопросам.