Сертификация программного обеспечения проводится с целью оценки соответствия программного продукта определенным стандартам, требованиям и критериям качества. Это важный процесс, который помогает убедиться в том, что программное обеспечение выполняет свои функции правильно, соответствует спецификациям и стандартам безопасности, и может быть использовано в определенных условиях.
Вот несколько причин, по которым проводят сертификацию ПО:
- Убедиться в соответствии ПО стандартам и требованиям: Сертификация помогает убедиться в том, что ПО соответствует определенным стандартам и требованиям, таким как ISO 9001, ISO 27001, PCI DSS и другим, которые могут быть важными для конкретной отрасли, рынка или клиента.
- Улучшение качества ПО: Сертификация ПО может помочь выявить проблемы и улучшить качество программного обеспечения, что может привести к повышению надежности и безопасности продукта.
- Увеличение доверия клиентов: Сертификация может помочь убедить клиентов в том, что ПО было проверено и сертифицировано независимыми экспертами, что повышает доверие клиентов к продукту.
- Соответствие регуляторным требованиям: Сертификация ПО может быть необходима для соответствия регуляторным требованиям, таким как законодательство в области защиты данных, банковское законодательство и другие.
- Снижение рисков: Сертификация может помочь снизить риски, связанные с использованием ПО, такие как возможность нарушения безопасности, ошибки в функциональности и другие.
В целом, сертификация ПО является важным процессом, который может помочь повысить доверие клиентов, улучшить качество и безопасность ПО, а также соответствовать регуляторным требованиям и стандартам качества.
В 2013 году ФГБУ «ВНИИМС» в соответствии с Законом РФ «О техническом регулировании» создал и зарегистрировал в Росстандарте Систему добровольной сертификации программного обеспечения средств измерений ( СДС ПО СИ, регистрационный номер РОСС RU.В1018.04ЖЗУ0 от 8 февраля 2013 г. ). Функция по обеспечению деятельности СДС ПО СИ была возложена на лабораторию 009 «Информационных технологий» института.
В 2019 году правила системы были актуализированы и внесены в Единый реестр зарегистрированных систем добровольной сертификации (регистрационный номер РОСС RU.В2156.04ЖЗУ1 от 17 октября 2019 г. ).
В структуре СДС ПО СИ предусмотрено наличие органа по сертификации и испытательных лабораторий, создаваемых на базе отделов института и сторонних юридических лиц, наделенных функциями испытательной лаборатории СДС ПО СИ.
ПОРЯДОК ПРОВЕДЕНИЯ СЕРТИФИКАЦИИ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ
- подача заявки на сертификацию
- рассмотрение предоставленной программной документации, программного обеспечения и принятие решения по заявке на сертификацию
- назначение экспертов на проведение основных работ по сертификации из числа экспертов органа по сертификации
- оформление договора на проведение работ по сертификации
- разработка и согласование с заказчиком Методики сертификационных испытаний
- проведение сертификационных испытаний с занесением результатов в Протокол испытаний
- принятие решения о выдаче Сертификата соответствия и разрешения использования знака соответствия либо об отказе в выдаче Сертификата соответствия
- выдача Сертификата соответствия от имени органа по сертификации — ФГБУ ВНИИМС и разрешения использования знака соответствия;
- занесение юридического лица или индивидуального предпринимателя и перечня сертифицированного ПО в Реестр СДС ПО СИ
СТОИМОСТЬ РАБОТ ПО СЕРТИФИКАЦИИ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ
Стандарт ГОСТ Р 8.883-2015 определяет полный перечень работ, проводимых при подтверждении соответствия программного обеспечения и предусматривает проведение следующих работ: проверку сопроводительной программной документации, проверку правильности функционирования, проверку разделения, защиты (информационной безопасности), идентификации, вычислительных возможностей программного обеспечения.
В силу того, что каждый программный продукт представляет собой уникальное решение со специфической реализацией задач и различной сложностью исполнения, при проведении сертификации ПО в каждом конкретном случае цена работы является предметом договоренности сторон.
Под каждого клиента мы разрабатываем индивидуальную программу испытаний, которая может включать различное количество и виды проверок, что и определяет конечную стоимость работ.
- Проверка соответствия документации, защиты, разделения и идентификации ПО — от 60 т.р.
- Проверки из п.1 + функциональные проверки — от 80 т.р.
- Проверки из п.1. + проверка вычислительных возможностей ПО — от 120 т.р.
- Проверки из п.2. + проверка вычислительных возможностей ПО — от 160 т.р.
- Договорная цена при сертификации ПО, связанного с: осуществлением производственного контроля за соблюдением установленных законодательством РФ требований промышленной безопасности к эксплуатации опасного производственного объекта; выполнением государственных учетных операций; осуществлением деятельности в области обороны и безопасности государства; проведением банковских, налоговых и таможенных операций; осуществлением деятельности в области охраны окружающей среды.
ВЫХОДНЫЕ ДОКУМЕНТЫ
По результатам сертификационных испытаний программного обеспечения от имени органа по сертификации — ФГБУ ВНИИМС, выдается сертификат соответствия установленного образца и приложение к сертификату соответствия с указанием характеристик ПО, установленных в процессе испытаний. Кроме того, в процессе сертификации разрабатывается методика испытаний, которая в обязательном порядке согласовывается с заказчиком. Все проверки и выводы из сертификационных испытаний заносятся в протокол испытаний, на основании которого выпускается Сертификат и приложение к сертификату.
ЧТО НЕОБХОДИМО ДЛЯ СЕРТИФИКАЦИИ ПО
Для проведения работ необходимо предоставить программный продукт и комплект сопроводительной программной документации.
В зависимости от формы реализации программы (программный продукт может быть выполнен в виде отдельной программы, может входить в состав измерительного устройства или быть частью большой измерительной системы) ПО может быть предоставлено на испытания или на электронном носителе или, если мы имеем дело с сложной информационной системой, возможна командировка на место инсталляции программы.
Документация, подаваемая заявителем для прохождения процедуры добровольной сертификации программного обеспечения должна содержать следующую информацию о ПО:
- официальное название ПО;
- описание структуры программного обеспечения, выполняемых им функций, в том числе последовательность обработки данных;
- описание метрологически значимых функций и параметров ПО, существенных для их работы; (ГОСТ Р 8.654-2015, ГОСТ Р 8.883-2015);
- описание реализованных в ПО вычислительных алгоритмов, а также их блок-схемы;
- описание модулей ПО;
- перечень интерфейсов и перечень команд для каждого интерфейса, в том числе для интерфейса связи и пользователя, включая заявление об их полноте;
- описание интерфейсов пользователя, всех меню и диалогов;
- список, значение и действие всех команд, получаемых от клавиатуры, мыши и других устройств ввода информации;
- описание реализованной методики идентификации ПО и самих идентификационных признаков;
- описание хранимых или передаваемых наборов данных;
- описание реализованных методов защиты ПО и данных;
- характеристики требуемых системных и аппаратных средств, если эта информация не приведена в руководстве пользователя.
Указанная информация может быть представлена в виде программных документов (например, описания программы, пояснительной записки, описания применения, руководства системного программиста, руководства оператора и т.д.) или иной программной документации, имеющейся у заявителя, при этом при ее составлении можно руководствоваться рекомендациями единой системы программной документации (ЕСПД).