Сертификация ИС Практическая работа №13

Сертификация программного обеспечения - это подтверждение соответствия показателей надежности, мобильности, эффективности, корректности и других его характеристик, а также заявленных свойств требованиям нормативных документов (например, в соответствии с ГОСТ 28195-89 или ГОСТ Р ИСО/МЭК 9126-93).

Основной целью сертификации программных средств и систем качества, обеспечивающих их жизненный цикл, является контроль и удостоверение качества техно- логий и продукции, гарантирование их высоких потребительских свойств.

Целью сертификации является подготовка и принятие решения о целесообразности выдачи заявителю сертификата соответствия с учетом следующих факторов:

• полноты, точности и достоверности исходного технического задания и спецификаций требований, представленных в документации на ПС, а также на технологию поддержки его жизненного цикла;

• достоверности и точности измерения и обобщения результатов сертификационных испытаний и получения адекватных показателей качества конечных программных продуктов и/или технологических процессов их создания;

• методологии и качества интерпретации данных об объекте испытаний и/или технологии с учетом достоверности оценок, квалификации и объективности испытателей, заказчиков и пользователей.

Общие правовые основы сертификации продукции и услуг в Российской Федерации установлены Законом "О сертификации продукции и услуг", Федеральным Законом от 27.12.2002 № 184-ФЗ «О техническом регулировании» где определены права и ответственность в области сертификации органов государственного управления, а также изготовителей (продавцов, исполнителей) и других участников сертификации.

Результатом положительных испытаний является сертификат соответствия - документ, выданный по правилам системы сертификации для подтверждения соответствия сертифицированной продукции установленным требованиям. Сертификация программных средств и систем является элементом общей системы сертификации продукции в Российской Федерации.

Система сертификации — система, располагающая собственными правилами процедуры и управления для проведения сертификации.

Орган по сертификации — орган, проводящий сертификацию соответствия. Орган по сертификации может сам проводить испытания или же осуществлять надзор за этой деятельностью, проводимой по его поручению другими органами.

Организационная структура системы сертификации в России включает:

1. государственный (национальный) орган по сертификации,

2. ведомственные органы по управлению сертификацией продукции определенных классов,

3. испытательные центры (лаборатории).

Национальным органом по сертификации продукции в Российской Федерации является Госстандарт России, который осуществляет следующие функции:

• организует ведение обязательной сертификации продукции по поручению органов законодательной или исполнительной власти;

• организует и финансирует разработку, а также утверждает основополагающие нормативно-технические и методические документы системы сертификации;

• утверждает документы, устанавливающие порядок сертификации конкретных видов продукции;

• проводит аккредитацию испытательных центров (лабораторий) совместно с ведомственными органами по сертификации и выдает аттестат аккредитации;

• признает иностранные сертификаты соответствия, осуществляет взаимодействие с соответствующими уполномоченными органами других стран и международных организаций по вопросам сертификации;

• регистрирует и аннулирует сертификаты соответствия и сертификационные лицензии, рассматривает спорные вопросы, возникающие в процессе сертификации;

• организует периодическую публикацию информации по сертификации.

Основой сертификации продукции в Российской Федерации является Система сертификации ГОСТ Р Госстандарта России.

Виды сертификации

Сертификация проводится для подтверждения соответствия программного продукта государственным стандартам в области информационных технологий (набор стандартов, на соответствие которым будет проверяться ПС, согласуется с заказчиком), требованиям технических условий, технического задания.

Выделяют два вида сертификации:

1. Обязательная сертификация — подтверждение уполномоченным на то органом соответствия продукции обязательным требованиям, установленным законодательством. Обязательная сертификация является формой государственного контроля за безопасностью продукции. Поэтому она может осуществляться лишь в случаях, предусмотренных законодательными актами РФ.

2. Добровольная сертификация проводится в соответствии с Законом РФ по инициативе заявителей (изготовителей, продавцов, исполнителей) в целях подтверждения соответствия продукции (услуг) требованиям стандартов, технических условий, рецептур и других документов, определяемых заявителем.

В зависимости от области применения системы, от назначения и класса ПС, их сертификация может быть обязательной или добровольной.

В соответствии с действующими законодательными и нормативными документами сертификация средств информатизации проводится в Российской Федерации в следующих основных направлениях:

• обязательная сертификация средств информатизации на соответствие требованиям электромагнитной совместимости, а также требованиям, обеспечивающим безопасность жизни, здоровья, имущества потребителей и охрану среды обитания;

• обязательная сертификация средств защиты информации;

• добровольная сертификация функциональных параметров средств и систем информатизации, по номенклатуре и характеристикам, устанавливаемым отраслевыми (фирменными) стандартами, и учитывающим различные аспекты применения аппаратуры и программного обеспечения.

Добровольная сертификация применяется для средств информатизации, не подлежащих в соответствии с законодательными актами Российской Федерации обязательной сертификации, и проводится по требованиям, на соответствие которым законодательными актами Российской Федерации не предусмотрено проведение обязательной сертификации. Добровольная сертификация проводится для удостоверения качества средств и систем информатизации с целью повышения их конкурентоспособности, расширения сферы использования и получения дополнительных экономических преимуществ.

В сфере информатизации создан эффективный инструмент оценки уровня качества приобретаемых средств информатизации в виде Системы добровольной сертификации средств и систем информатизации "Росинфосерт". Система сертификации "Росинфосерт" создана в 1994 году Комитетом при Президенте Российской Федерации по политике информатизации (РОСКОМИНФОРМОМ) и внесена в Государственный реестр систем сертификации, действующих в Российской Федерации.

В соответствии с действующим законодательством Российской Федерации сертификации программного обеспечения проводится только в добровольной системе сертификации продукции. Продукция, на которую получен сертификат на программное обеспечение пользуется большим доверием, так как данный документ подтверждает высокое качество продукта, его надежность и соответствие требованиям государственных стандартов.

• сетевое программное обеспечение;

• системы управления базой данных;

• операционные системы и средства расширения;

• программное обеспечение для моделирования;

• программное обеспечение для электронных сделок;

• программное обеспечение для обработки документов;

• программное обеспечение для автоматизации управления объединения и отраслями;

• информационно-справочные системы и базы данных;

• программное обеспечение для презентационной графики;

• утилиты и системы программирования;

• системы автоматизированного проектирования;

• аукционы, лотереи, игры, развлечения и др.;

• электронные издания;

• приложения мультимедиа;

• педагогическое программное обеспечение;

• программное обеспечение для технологической подготовки производства и многие другие.

Процедура сертификации

Для удостоверения качества конечного продукта – программных средств и их компонентов, следует сертифицировать технологические процессы, обеспечивающих их жизненный цикл. Поэтому необходимо рассматривать совместно задачи сертификации конечных объектов – программных продуктов, а также технологий и систем качества, обеспечивающих их создание и совершенствование.

В исходных нормативных документах и требованиях должны быть сосредоточены все функциональные и эксплуатационные характеристики, обеспечивающие заказчику и пользователям возможность корректного применения сертифицированного объекта и/или технологического процесса во всем многообразии его функций и характеристик качества.

Сертификационные испытания являются наиболее формализованным и регламентированным этапом тестирования, как объектов программных продуктов, таки процессов их создания, поддерживаемым значительным числом стандартов и документов. При сертификации обычно руководствуются следующими основными исходными документами:

• действующими международными, государственными и ведомственными стандартами на проектирование и испытания комплексов программ, на жизненный цикл ПС, системы обеспечения и характеристики их качества, а также на технологическую документацию;

• утвержденным заказчиком и согласованным с разработчиком техническим заданием и/или спецификацией требований, утвержденным комплектом эксплуатационной документации на ПС и его компоненты, а также на систему обеспечения их качества;

• Программой сертификационных испытаний по всем требованиям технического задания и положениям эксплуатационной документации;

• методиками испытаний по каждому разделу требований технического задания и документации.

Сертификация состоит из ряда организационных процессов, составляющих Систему сертификации, которые поддерживаются регламентированными процедурами и документами и должны выполняться квалифицированными, аттестованными экспертами – инспекторами.

1. анализ и выбор разработчиком или заказчиком (заявителем), компетентных в данной области органа и аттестованной лаборатории для выполнения сертификационных испытаний;

2. подачу заявителем заявки на испытания в орган сертификации и принятие сертификаторами решения по заявке, выбор схемы сертификации, заключение договора на сертификацию;

3. идентификацию требований к системе качества предприятия и/или к версии программного продукта, подлежащих испытаниям;

4. выполнение сертификационных испытаний системы качества предприятия или версии программного продукта сертификационной лабораторией;

5. анализ полученных результатов и принятие решения лабораторией и/или органом сертификации о возможности выдачи заявителю сертификата соответствия;

6. выдачу органом сертификации заявителю – сертификата и лицензии на применение знака соответствия и на выпуск сертифицированной продукции – версий программного продукта;

7. осуществление инспекционного контроля органом сертификации сертифицированной системы качества предприятия и/или продукции;

8. проведение заявителем корректирующих мероприятий при нарушении соответствия процессов системы качества и/или продукции установленным требованиям и при неправильном применении знака соответствия.

На сертификацию принимаются только рабочие версии программных продуктов (т.е., версии, не содержащие ограничений по времени работы и других параметров).

Вместе с заявкой необходимо предоставить в орган по сертификации следующие обязательные документы и материалы:

• письменное подтверждение согласия с процедурой сертификации, подписанное руководителем организации-заявителя (заявителем);

• письменное согласие от организации, разработавшей программный продукт (в случае, если заявка подана от имени организации эксплуатирующей или продающей программный продукт);

• «Техническое задание» по ГОСТ 19.201-78;

• «Спецификация» по ГОСТ 19.202-78;

• «Описание программы» по ГОСТ 19.402-78;

• «Описание применения» по ГОСТ 19.502-78;

• «Руководство пользователя» по РД 50-34.698-90;

• «Программа и методика испытаний» по ГОСТ 19.301-79;

• акт проведения испытаний;

• две дистрибутивные копии программного средства. Дистрибутивы должны сопровождаться отпечатанным списком файлов, записанных на дискетах и компакт дисках, в списке должны быть указаны объем файлов, дата и время их создания;

• копия документа (лицензии), подтверждающего легальность покупки фирмой- разработчиком инструментальных и общесистемных программных средств (ОС, СУБД, языки программирования), использованных для разработки программных продуктов, предоставленных на сертификацию.

Сертификационные испытания ПС осуществляется в два этапа:

1. Технологические испытания. Проводятся с использованием современных методов и средств по формализованным правилам, удостоверяющим соответствие реальных количественных и качественных показателей тем, которые зафиксированы в НТД или программной документации;

2. Оценка, проводимая экспертами. В ходе испытаний выполняется:

   • Идентификация объекта испытаний путем проверки характеристик идентификации программного средства (полное название ПС, версия и дата выпуска ПС, сведения о разработчике ПС, сведения о входящих в состав компонентах, основные выполняемые функции, состав программной документации);

   • Инсталляция путем установки программного продукта на компьютеры, на которые до этого данный программный продукт не был установлен;

   • Экспертиза программной документации на соответствие требованиям Государственных стандартов ГОСТ Р ИСО/МЭК 12119-2000 (п. 3.2), ГОСТ Р ИСО 9127-94 (п.п. 5, 6.1, 6.3-6.5);

   • Проверка и оценка качества сертифицируемого программного продукта в соответствии с требованиями нормативных документов (список документов определяется в процессе разработки методики), проверка программного продукта на соответствие выполняемых функций по руководству пользователя и требованиям технического задания.

На основании испытаний оцениваются полученные результаты и обосновываются выводы о соответствии или несоответствии продукции или процессов требованиям нормативных документов. Протоколы испытаний представляются в орган по сертификации, а также заявителю по его требованию. Протоколы испытаний подлежат хранению в течение сроков, установленных в правилах систем сертификации продукции и в документах испытательной лаборатории, но не менее трех лет.

Протоколы испытаний представляются заявителю и в орган по сертификации. Заявитель может представить в орган по сертификации протоколы испытаний с учетом сроков их действия, проведенных при разработке и постановке продукции на производство, или документы об испытаниях, выполненных отечественными или за- рубежными испытательными лабораториями, аккредитованными или признанными в Системе сертификации. На основании протоколов сертификационных испытаний оцениваются полученные результаты и обосновываются сделанные выводы о соответствии или несоответствии продукции требованиям нормативных документов.

Заключение по результатам сертификационных испытаний разрабатывается сертификаторами и содержит обобщенные сведения о результатах испытаний и обоснование целесообразности выдачи сертификата. В случае получения отрицательных результатов сертификационных испытаний принимается решение об отказе в выдаче сертификата соответствия. После доработки сертифицируемой продукции или системы качества испытания могут быть повторены. Результаты анализа состояния технологии или качества продукции оформляются актом, в котором даются оценки по всем позициям Программы испытаний и содержатся выводы, включающие общую оценку состояния производства и продукции, необходимость корректирующих мероприятий. Акт используется органом по сертификации наряду с протоколами испытаний, заявкой для выдачи и определения срока действия сертификата на программный продукт, периодичности инспекционного контроля, а также для составления корректирующих мероприятий.

По результатам сертификационных испытаний и экспертизы документации принимается решение о выдаче сертификата. В случае получения отрицательных результатов сертификационных испытаний принимается решение об отказе в выдаче сертификата соответствия. Кроме того, предприятию-заявителю могут быть направлены предложения по устранению предполагаемых причин отрицательных результатов испытаний, после доработки сертифицируемой продукции испытания могут быть повторены.

Орган по сертификации после анализа протоколов испытаний, оценки производства, сертификации системы качества, анализа документации, указанной в решении по заявке, осуществляет оценку соответствия продукции установленным требованиям, оформляет сертификат на основании заключения экспертов и регистрирует его. При внесении изменений в конструкторскую или эксплуатационную документацию, которые могут повлиять на качество системы или программный продукт, удостоверяемые при сертификации, заявитель должен известить об этом орган по сертификации, для принятия решения о необходимости проведения дополнительных испытаний. После регистрации сертификат вступает в силу и направляется предприятию- заявителю. Одновременно с выдачей сертификата предприятию-заявителю может выдаваться лицензия на право применения знака соответствия.

За сертифицированными программными продуктами в процессе их эксплуатации в течение всего срока действия сертификата соответствия должен осуществляться инспекционный контроль. Инспекционный контроль проводится в форме периодических и внеплановых проверок соблюдения требований к качеству технологии и сертифицированной продукции. Объектами контроля, в зависимости от схемы сертификации, является сертифицированная продукция, система качества или стабильность производства предприятия-разработчика. При определении периодичности и объема инспекционной проверки учитываются следующие факторы: степень потенциальной опасности программного продукта, стабильность производства, объем выпуска, наличие и применение системы качества при разработке, информация о результатах испытаний продукта и его производства, проведенных изготовителем, органами государственного контроля и надзора.

Результаты инспекционного контроля оформляются актом, в котором дается оценка результатов испытаний образцов и других проверок, делается общее заключение о состоянии производства сертифицированной продукции и возможности сохранения действия выданного сертификата. Акт хранится в органе по сертификации, а его копии направляются разработчику и в организации, принимавшие участие в инспекционном контроле. По результатам инспекционного контроля орган по сертификации может приостановить или отменить действие сертификата и аннулировать лицензию на право применения знака соответствия в случае несоответствия продукции требованиям нормативных документов, контролируемых при сертификации, а также в случаях:

• принципиальных изменений модели зрелости, профиля стандартов, нормативных документов на продукцию или метода испытаний;

• изменения конструкции (состава), комплектности продукции;

• изменения организации или технологии разработки и производства;

• невыполнения требований технологии, методов контроля и испытаний, системы качества, если перечисленные изменения могут вызвать несоответствие продукции требованиям, контролируемым при сертификации.

Решение о приостановлении действия сертификата и лицензии на право применения знака соответствия не принимается в том случае, если путем корректирующих мероприятий, согласованных с органом по сертификации, его выдавшим, заявитель может устранить обнаруженные причины несоответствия и подтвердить без повторных испытаний в аккредитованной лаборатории, соответствие продукта или процессов нормативным документам. Если этого сделать нельзя, то действие сертификата отменяется, и лицензия на право применения знака соответствия аннулируется. Информация о приостановлении или отмене действия сертификата доводится органом по сертификации, его выдавшим, до сведения заявителя, потребителей и других заинтересованных организаций. Действие сертификата и право маркирования продукции знаком соответствия могут быть возобновлены при выполнении предприятием- разработчиком следующих условий:

• выявления причин несоответствия и их устранения;

• представления в орган по сертификации отчета о проделанной работе по улучшению и обеспечения качества продукции;

• проведения по методикам и под контролем органа по сертификации дополнительных испытаний продукции и получения положительных результатов.

Ход работы

Составьте по материалам лекции 15 - 20 вопросов с ответами.

Контрольные вопросы:

1. Объясните понятие открытого и закрытого ключа в контексте сертификатов безопасности.

2. Какую роль играет центр сертификации (ЦС) в системе сертификатов безопасности?

3. Что такое цепочка доверия в контексте сертификатов безопасности?