Сертификация програмного обеспечения

3.2 Проверка и тестирование программного обеспечения  

Необходимость проведения тестирования программного обеспечения  средств измерений на соответствие требованиям настоятельно подчеркивается в таких международных рекомендациях, как WELMEC 7.2 "Руководство по программному обеспечению", и в ГОСТ Р 8.596 "ГСИ. Метрологическое обеспечение измерительных  систем Основные положения".

Сертификация программного обеспечения предназначена для производителей программного обеспечения и представляет собой проверку ПО с целью оценки степени пригодности к автоматизации процессов управления информационными ресурсами и включает "следующие работы:

- Проверка по функциональным критериям функциональных возможностей ПО (не проверяются: удобство использования, быстродействие, надежность защитных механизмов, и т.п.)  
- Оценка состава документации;  
- Оценка объема программирования, необходимого для настройки продукта по требованиям технологических процессов;  
- Конфигурирование продукта для его проверки выполняется производителем ПО, за счет настройки профессионалом для обеспечения объективности проверки.

- Проверка по любому количеству процессов;  
- Подробный отчет, включая детали реализации. 

Созданные и зарегистрированные организации осуществляющих сертификацию программного обеспечения с целью установления отсутствия в нем не декларированных возможностей.

Проводится  сертификация и выпускаются сертификаты соответствия ГОСТ  на следующее программное обеспечение:

- операционные системы и средства их расширения,  
- системы программирования и утилиты,  
- сетевое программное обеспечение,  
- системы управления базами данных (СУБД),  
- редакционно-издательское программное обеспечение,  
- программное обеспечение для деловой и презентационной графики,  
- электронные таблицы,  
- программное обеспечения для систем «электронных сделок»,  
- программное обеспечения для обработки документов,  
- программное обеспечения для систем искусственного интеллекта,  
- программное обеспечения для моделирования,  
- программное обеспечения для научных исследований,  
- системы автоматизированного проектирования (САПР),  
- программное обеспечения для технологической подготовки производства,  
- автоматизированные системы управления технологическими процессами (АСУ ТП),  
- программное обеспечения для автоматизации управления отраслями,  
педагогическое программное обеспечение,  
- игры, лотереи, аукционы, средства развлечения и пр.,  базы данных и информационно-справочные системы,  
- электронные архивы,  
- электронные издания,  
- мультимедиа-приложения. 

В результате сертификации ГОСТ  подтверждаются показатели надежности, эффективности, сопровождаемости, мобильности, корректности и заявленные потребительские свойства программного обеспечения. При сертификации программного обеспечения подтверждается совместимость с различными операционными системами, устойчивость работы, возможность восстановления после различных сбоев, таких как отключение электропитания, программные сбои, потеря сети и пр. Подтверждаются требования, заявленные в Технических условиях на программное обеспечение. При сертификации ГОСТ также проводится оценка качества сопроводительной документации. 

3.3 Стандарты для сертификации программного обеспечения 

При проведении сертификации программного обеспечения используются методы оценки соответствия, основанные на международных правилах и нормах, которые позволяют с достаточной степенью достоверности определить соответствие программного обеспечения (программных продуктов) и аппаратно-программных комплексов требованиям нормативных документов программного обеспечения (программных продуктов) и аппаратно-программных комплексов. 

При сертификации программного обеспечения в системе ГОСТ , могут быть подтверждены требования, установленные следующими государственными стандартами на программную продукцию:

- Единая система программной документации. Виды программ и программных документов.  
- Единая система программной документации. Требования к программным документам, выполненным печатным способом  
- Единая система программной документации. Текст программы. Требования к содержанию и оформлению 
- Единая система программной документации. Пояснительная записка. Требования к содержанию и оформлению  
- Единая система программной документации. Формуляр. Требования к содержанию и оформлению 
- Единая система программной документации. Руководство по техническому обслуживанию. Требования к содержанию и оформлению  
- Единая система программной документации. Общие правила дублирования, учета и хранения 
- Единая система программной документации. Правила внесения изменений в программные документы, выполненные печатным способом 
- Информационная технология. Процессы жизненного цикла программных средств  
- Программная инженерия. Руководство по применению международных стандартов при управлении проектом  
- Информационная технология. Пакеты программ. Требования к качеству и тестирование    
- Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий.  
- Требования доверия к безопасности 
- Оценка качества программных средств. Общие положения.  
- Единая система программной документации. Р-схемы алгоритмов и программ. Обозначения условные графические и правила выполнения  
- Единая система программной документации. Техническое задание. Требования к содержанию и оформлению  
- Единая система программной документации. Спецификация. Требования к содержанию и оформлению  
- Единая система программной документации. Программа и методика испытаний. Требования к содержанию и оформлению  
-  Система стандартов по информации, библиотечному и издательскому делу. Описание баз данных и машиночитаемых информационных массивов. Состав и обозначение характеристик 
- Система стандартов по информации, библиотечному и издательскому делу. Описание баз данных и машиночитаемых информационных массивов. Состав и обозначение характеристик 

3.4 Стандарты и нормативные документы, регламентирующие защищенность программного обеспечения

К основным стандартам и нормативным  техническим документам по безопасности информации, в первую очередь, относятся следующее.

В области защиты информации от несанкционированного доступа комплект руководящих документов, которые в соответствии с Законом "О стандартизации" можно отнести к отраслевым стандартам, в том числе "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности средств вычислительной техники"", "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации", "Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники", "Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от НСД к информации", в области защиты информации от утечки за счет побочных электромагнитных излучений и наводок (ПЭМИН) "Специальные требования и рекомендации по защите информации, составляющей государственную тайну, от утечки , "Информационная технология. Защита информации от утечки, при ее обработке средствами вычислительной техники. Общие технические требования», «Информационная технология. Защита информации от утечки за счет побочных электромагнитных излучений при ее обработке средствами вычислительной техники. Методы испытаний", методики контроля защищенности объектов ЭВТ и другие. 

Особенности защиты программ нашли свое отражение в следующих  документах Гостехкомиссии Украины: 

"Программное обеспечение  автоматизированных систем и средств  вычислительной техники. Классификация по уровню гарантированности отсутствия не декларированных возможностей" и "Антивирусные средства. Показатели защищенности и требования по защите от вирусов".

В первом документе устанавливается  классификация программного обеспечения автоматизированных систем и средств вычислительной техники по уровню гарантированности отсутствия в нем не декларированных возможностей, где уровень гарантированности определяется набором требований, предъявляемых к составу, объему и содержанию документации представляемой заявителем для проведения испытаний программ и к содержанию испытаний.

Во втором документе устанавливается классификация средств антивирусной защиты по уровню обеспечения защиты от воздействия программ-вирусов  на базе перечня показателей защищенности и совокупности описывающих их требований. Кроме того, следующие нормативные документы так или иначе косвенно регламентируют отдельные вопросы обеспечения безопасности ПО:  
.- Оценка качества программных средств. Общие положения;  
- Средства вычислительной техники. ОТТ, приемка методы испытаний, маркировка, упаковка, транспортировка и хранение;  
- Средства вычислительной техники. ОТТ, приемка методы испытаний, маркировка, упаковка, транспортировка и хранение; ТУ на конкретный вид продукции (ПО). 

3.5 Порядок проведения сертификации программного обеспечения

Процедуры и вся технология проведения работ  по сертификации определяются схемой сертификации, которая устанавливает  четкую совокупность действий, по результатам которых принимается решение о соответствии  или несоответствии продукции заданным требованиям. Согласно идеологии Международной организации по стандартизации (ИСО) общепризнанными являются восемь основных схем сертификации. Они используются и в комплекте основополагающих документов системы сертификации ГОСТ

Для каждой схемы сертификации продукции  приводятся условия ее применения с учетом степени опасности продукции. При проведении сертификации программного обеспечения наиболее удобно применение схемы , которые в качестве доказательства соответствия (несоответствия) продукции (программного обеспечения) установленным требованиям декларации, о соответствии прилагаемым к ней документам, подтверждающим соответствие продукции установленным требованиям. 

Порядок проведения сертификации программного обеспечения средств  измерений, информационно-измерительных систем и аппаратно-программных комплексов определен такими методиками как МИ 2891-2004 "ГСИ. Общие требования к программному обеспечению средств измерений" и МИ 2955-2005 "Типовая методика аттестации программного обеспечения средств измерений и порядок ее проведения". 

Кроме того, в настоящее время в связи  с  новой редакции Закона Украины "Об обеспечении единства измерений", где в статье 9, п. 1 говорится о том, что "в состав обязательных требований к средствам измерений …в необходимых случаях включаются также требования к программному обеспечению", ФГУП ВНИИМС приступил к разработке национального стандарта ГОСТ "ГСИ. Требования к программному обеспечению средств измерений и информационно - измерительных систем".

Порядок проведения сертификации программного обеспечения включает: 
- подачу заявки на сертификацию;  
- принятие решения по заявке на сертификацию, в том числе назначение экспертов на проведение основных работ по сертификации из числа экспертов органа по сертификации;  
- оформление договора на проведение работ по сертификации;  
- проведение сертификационной проверки ПО, в том числе при необходимости проведение испытаний/контроля ПО по согласованным с заказчиком методикам;  
- принятие решения о выдаче Сертификата соответствия и разрешения использования знака соответствия либо об отказе в выдаче Сертификата соответствия;  
- выдача Сертификата соответствия и разрешения использования знака соответствия;  
- занесение заявителя/изготовителя ПО и перечня сертифицированных ПО в Реестр СДС ПО;  
- проведение инспекционного контроля сертифицированных ПО.

Результатом сертификации является возможность  приобрести программный продукт  в Украине с соответствующей  поддержкой от производителя или его официального представителя.

В результате проведенной сертификации производитель ПО получает: 
Экспертное заключение; Свидетельство о сертификации; Право использовать логотип «Проверено IT Expert».  

Сертификация  выгодна и для покупателей  соответствующего программного обеспечения. Покупатель получит: 
- Предметную оценку функционала программного обеспечения;  
- Возможность сравнения продуктов между собой;  
- Возможность самостоятельной оценки продуктов по своим критериям. 

3.6 Перечень информации предоставляемой заявителем для прохождения процедуры сертификации

Описание структуры сертифицируемого программного обеспечения, выполняемых функций, в том числе последовательность обработки данных;  
 Описание функций сертифицируемого ПО и параметров программного обеспечения, существенных для их работы;  
 Описание реализованных в сертифицируемом программном обеспечении алгоритмов функционирования, в том числе вычислительных алгоритмов, а также их блок-схемы;  
 Описание модулей программного обеспечения;  
 Перечень интерфейсов и перечень команд для каждого интерфейса, включая заявление об их полноте;  
 Список, значение и действие всех команд, получаемых от устройств ввода (клавиатуры, мыши, сенсорных и т.п.);  
 Описание реализованных методов идентификации сертифицируемого программного обеспечения;  
 Описание реализованных методов защиты сертифицируемого программного обеспечения и данных от влияющих факторов;  
 Описание интерфейсов пользователя, всех меню и диалогов;  
 Описание хранимых или передаваемых наборов данных;  
 Руководство пользователя на сертифицируемое программное обеспечение;   
 Характеристики необходимых системных и аппаратных средств, если эта информация не приведена в руководстве пользователя.  
 Перечень  документов, сопровождающих программное обеспечение, может корректироваться соглашением между исполнителем и заказчиком сертификации. ПО.