1. Особенности сертификации ПО
иностранного производства
Вареница Виталий
Заместитель директора департамента тестирования
и сертификации ЗАО НПО «Эшелон»
2. План работы:
Что такое сертификация
Виды
Требования
Схемы
Особенности сертификации
зарубежного ПО
3. Сертификация – вещь очевидная
Сертификация – процесс подтверждения
соответствия, посредством которой
независимая от изготовителя (продавца,
исполнителя) и потребителя (покупателя)
организация удостоверяет в письменной
форме (сертификат), что продукция
соответствует установленным требованиям.
4. Законодательные основы
Конституция Российской Федерации
Федеральные законы
Указы Президента РФ
Постановления Правительства РФ
Приказы регуляторов
Нормативные документы регуляторов
Государственные стандарты
Отраслевые стандарты
7. РУКОВОДЯЩИЕ ДОКУМЕНТЫ ФСТЭК России
(ГОСТЕХКОМИССИИ РФ)
Защита от несанкционированного доступа к информации.
Термины и определения.
АС. Защита от НСД к информации. Классификация
автоматизированных систем и требования по защите
НСД информации.
СВТ. Защита от НСД к информации. Показатели защищенности от
НСД к информации.
СВТ. Межсетевые экраны. Защита от НСД к информации.
Показатели защищенности от НСД к информации.
Безопасные информационные технологии. Критерии оценки
ТУ безопасности информационных технологий. 2002. (приказ №
19.06.02 № 187).
Защита от НСД к информации. Часть 1. Программное обеспечение
НДВ средств защиты информации. Классификация по уровню контроля
отсутствия недекларированных возможностей.
9. Защита от НСД. Программное обеспечение средств
защиты информации. Классификация по уровню контроля отсутствия
недекларированных возможностей (НДВ)
10. Основные сложности с
зарубежными продуктами
Недоверенный стенд проведения испытаний
Исходный код в 99% случаях не передается на территорию РФ
Проблема с русскоязычной документацией
Проблемы с контролем полноты ИТ
Проблемы с контролем соответствия ИТ ЗК
Агрессивные условия работы на территории заказчика
Высокая вероятность наличия НДВ и ПЗ в продукте
Сложности организационной структуры ролей в зарубежных
компаниях
Неукоснительное выполнение политик безопасности разработчиком
Необходимость дополнительного контроля отчетных материалов ИЛ
Языковой барьер