Федеральная служба по техническому и экспортному контролю — это федеральный орган исполнительной власти, который осуществляет проверку и контроль в области государственной безопасности. Сегодня каждый владелец ноутбука при покупке той или иной антивирусной программы или программного обеспечения не раз слышал такое выражение как сертификация ФСТЭК. Но мало кто знает, что же собой представляет сертификат ФСТЭК .

Сегодня вопрос защиты информации тесно переплетается с интересами общества, бизнеса и государства. Обычно каждое государство стремится контролировать информацию, которая связана с национальной безопасностью. Поэтому из года в год оно ставит основной задачей разработку, эксплуатацию хорошо защищенных информационных систем, баз персональных данных. В таких системах хранится, перерабатывается огромное количество информации связанной практически со всеми видами деятельности государства. Именно по этой причине производители программного обеспечения должны учитывать законодательные требования, налагаемые на информационные системы, которые участвуют в государственной деятельности. Процедура сертификации ФСТЭК осуществляется для проверки соответствия основным показателям безопасности.

Сертификат ФСТЭК выдается по итогам прохождения следующих этапов:

• оформление заявления на осуществление процедуры проверки;
• получение решения на проведение сертификации;
• оформление договора на осуществление процесса сертификации;
• утверждение программы испытаний;
• проведение испытаний;
• оформление протокола испытаний;
• заключение договора с экспертной организацией;
• экспертиза лабораторных испытаний;
• оформление сертификата.

Система российской сертификации ПО коренным образом отличается от сертификации на западе. Во-первых, каждая копия программного обеспечения, претендующая на сертификат ФСТЭК , проходит ряд испытаний и экспертиз, которым подвергался первоначальный продукт. Во-вторых, каждая компания, которая приобрела сертифицированный продукт,имеет защищенный доступ к информационной базе данного программного обеспечения, откуда организация будет получать обновления.

С 2004 года федеральный орган исполнительной власти обладает следующими полномочиями:

1. Обеспечение защиты и безопасности в ключевых системах инфраструктуры;
2. Осуществление технической информации;
3. Защита информации от иностранных технических разведок;
4. Обеспечение экспортного контроля.

ФСТЭК не занимается сертификационной деятельностью, он является основным организатором сертификации. Львиную долю действий выполняют его лицензиары – испытательные лаборатории и экспертные центры. Лаборатории исследуют программное обеспечение, а экспертные организации проверяют качество проведенных испытаний. Безусловно, заявитель может оформить сертификат ФСТЭК по результатам испытаний сторонних организаций. Но в этом случае переде тем, как выдать сертификат,ФСТЭК оставляет за собой право назначить перепроверку результатов другой экспертной организации. По этой причине в системе ФСТЭКа работает институт заявителя. Они проводят сравнение копий продаваемых продуктов с программами, которые ранее получили сертификат ФСТЭК .

Обратите внимание, что в настоящий момент наш центр сертификации оформляет только идентификационное заключение по ФСТЭК в рамках экспортного контроля. Статья носит информационный характер!

Сертификат соответствия ФСТЭК – это дословно документ, выданный федеральной структурой ФСТЭК, подтверждающий соответствие сертифицируемого объекта требованиям нормативных российских актов. Попробуем это расшифровать на понятийном уровне, и определиться, с чем это связано и о чем идет речь.

ФСТЭК России — Федеральная служба по техническому и экспортному контролю , в функции которой включен специальный контроль в некоторых областях. ФСТЭК в настоящее время подчинена Министерству обороны РФ. До августа 2004 года данная служба имела другое название и подчинение. Это была Государственная техническая комиссия при Президенте РФ. Одна из функций, которые определены ФСТЭК государством, является техническая защита информации.

К сфере деятельности сертификата соответствия ФСТЭК относятся средства защиты информации (СЗИ) без использования средств криптографии и не составляющих государственную тайну. Т.е обеспечение защиты информационной безопасности некриптографическими методами.

Наш центр сертификации в настоящий момент не оформляет данный разрешительный документ в отношении программного обеспечения. Обратитесь к нам для получения дополнительной информации .

Продукция, подлежащая сертификации ФСТЭК

К объектам, для которых оформляется сертификат соответствия ФСТЭК, относятся следующие:

• антивирусные программы массового использования для реализации на российском рынке (центр «РеГОСТ» сертификат ФСТЭК на программное обеспечение не оформляет);
• межсетевые экраны;
• средства защиты системного и сетевого уровня (сканеры безопасности, средства мониторинга безопасности, средства защиты от несанкционированного доступа);
• операционные системы;
• системы управления базами данных;
• прикладные информационные системы;
• системы генерации паролей для доступа к информационным ресурсам;
• электронные системы документооборота и другие.

В органах государственной власти, а также в государственных корпорациях могут применяться только программные средства, имеющие требуемые по закону лицензии и сертификаты безопасности информации, включая сертификаты соответствия ФСТЭК.

Основным законом, который регулирует сертификацию в сфере СЗИ является Постановление Правительства РФ № 608 «О сертификации СЗИ» , введенное в действие в 1995 году. Этот закон предписывает: обязательная сертификация и оформление сертификата соответствия ФСТЭК предусмотрено только для продукции, относящейся к средствам защиты информации для предохранения сведений, являющимися государственной тайной.

Для защиты от несанкционированного доступа к конфиденциальным данным не требуется обязательный сертификат соответствия ФСТЭК или Декларация соответствия на СЗИ. В этом случае оценка соответствия СЗИ является добровольной.

Система сертификации ФСТЭК

ФСТЭК (ранее Правительственная комиссия) создала Систему сертификации средств защиты информации по требованиям безопасности информации, которая имеет Свидетельство № Р0СС RU.0001.01БИ00 и зарегистрирована в Государственном реестре в 1995 году.

Органы сертификации данной системы производят оценку соответствия СЗИ на основе Руководящих документов (РД) «Защита от несанкционированного доступа к информации». Данные документы разработаны на разные группы продуктов, относящихся к программному, техническому обеспечению, к автоматизированным системам в целом.

Во всех документах имеется показатель — Оценочный уровень доверия (ОУД) . Он введен в действие Приказом Гостехкомиссии России от 19.06.02 г. № 187. ОУД характеризует уровень доверия к практическому исполнению требований по защите информации.

Классы защищенности изделий

Для защиты информации, значимость которой определяется градацией «секретность/конфиденциальность», установлены следующие классы защищенности изделий Информационных Технологий (ИТ):

• четвертый класс защищенности изделий ИТ является достаточным для защиты конфиденциальной информации;
• третий класс защищенности используется для защиты информации с грифом «Секретно»;
• второй класс — с грифом «Совершенно секретно»;
• первый класс используется для защиты информации с грифом «Особой важности».

Сертификат соответствия ФСТЭК содержит сведения: на основе каких нормативных документов происходило изготовление продукции, содержащей СЗИ и соответствует ли конечный товар требованиям, изложенным в указанном нормативном акте. Здесь же указывается класс защищенности продукта по классификации уровня контроля отсутствия недекларированных возможностей.

Сертификат соответствия ФСТЭК также содержит сведения о сертификационных испытаниях, об экспертном заключении и о лаборатории, где проходили лабораторные исследования с указанием, когда и кем был выполнен инспекционный контроль данной сертификационной лаборатории.

Процедура получения сертификата соответствия ФСТЭК

Сертификационные лаборатории для оформления сертификата соответствия ФСТЭК могут проводить целый ряд различных испытаний:

• на соответствие требованиям, связанным с защитой от неразрешенного доступа к информации;
• на соответствие требованиям Технических условий;
• на соответствие функциональных возможностей, которые реально имеются у исследуемого продукта описаниям, указанным в документации на эксплуатацию;
• на соответствие декларируемой безопасности исследуемого товара;
• на отсутствие возможностей, которые не указаны в документации, и связанные с безопасностью информации будущего пользователя;
• на соответствие требованиям стандартов предприятий, международным стандартам в сфере СЗИ;
• исследование датчиков случайных чисел на соответствие криптографическим требованиям и другие исследования.

Федеральный Закон «О персональных данных»

Приказ ФСТЭК N 58 ввел в действие 5 февраля 2010 года Положение, определяющее способы и методы защиты информации о персональных данных в различных в информационных системах. В нем указано, что СЗИ должны пройти сертификацию в установленном порядке. Но такого документа, установленного Президентом или Правительством РФ, пока не издано.

Тем не менее поставщики информационных систем, которые могут попасть под действие ФЗ № 152 «О персональных данных», стремятся получить Сертификат соответствия ФСТЭК, который подтверждает, что заказчики информационной системы, имеющей данный документ, защищают информацию о персональных данных от несанкционированного доступа по требованиям закона.

Добровольный сертификат ФСТЭК

Добровольный сертификат на СЗИ можно оформить не только как сертификат соответствия ФСТЭК, но и обратиться в другие системы сертификации. К ним относятся:

• Система добровольной сертификации «Газпромсерт». Данная система создана ОАО «Газпром» для нужд своей корпорации. В некоторых случаях при проведении тендеров на поставки требуется от участника получить сертификат соответствия в данной системе.
• Система добровольной сертификации «АйТиСертифика» создана ассоциацией «ЕВРААС».

Во всем мире сегодня практикуется тестирование кода информационных систем по требованиям безопасности информации, однако, несмотря на расширение практики сертификации, вокруг нее сложился ряд мифов и заблуждений.

02.08.2011 Алексей Марков, Валентин Цирлов

Во всем мире сегодня практикуется тестирование кода информационных систем по требованиям безопасности информации. Например, за рубежом обязательную проверку проходят государственные и платежные программные системы, а в России преобладают директивные методы сертификации по требованиям безопасности информации. Однако, несмотря на расширение практики сертификации, вокруг нее сложился ряд мифов и заблуждений.

На Западе обязательные проверки предусмотрены для государственных и платежных программных систем, а банки, брокерские, инвестиционные, страховыеи сервисные компании, предоставляющие услуги в индустрии недвижимости и в Интернете, проходят добровольный аудит. В нашей стране традиционно преобладают директивные методы оценки соответствия, в частности программное обеспечение ряда информационных систем подлежит обязательной сертификации по требованиям безопасности информации.

Исторически система сертификации по требованиям безопасности информации в России возникла после распада СССР, когда появилась потребность в контроле безопасности зарубежного программного обеспечения, а также качества российских программных систем, связанных с обработкой и защитой государственной тайны. Активными участниками процесса сертификации стали Минобороны, ФСБ и ФСТЭК.

До недавнего времени сертификация главным образом касалась силовых министерств и предприятий промышленности, выполняющих государственные заказы, аосновная масса специалистов в области информационных технологий мало интересовалась данной проблемой. Ситуация значительно изменилась с принятием ФЗ-152 «О персональных данных» и последовавших за ним нормативно-методических документов. Оказалось, что сертификация программного обеспечения и аттестация объектов информатизации необходима большинству коммерческих компаний и всем государственным организациям, работающим в области медицины, образования, транспорта. Это немедленно породило множество вопросов и, как правило, негативных суждений, связанных в большинстве случаев с недопониманием сути и процессов сертификации.

В общем случае под сертификацией принято понимать независимое подтверждение соответствия тех или иных характеристик товаров или услуг некоторым требованиям. В нашем случае речь идет о программных средствах защиты или программ в защищенном исполнении – соответственно в качестве требований выступают нормативные документы и документация, касающаяся безопасности информации.

Как проводится сертификация?

Принципиальная особенность любых сертификационных испытаний - это независимость испытательной лаборатории, проводящей испытания, и сертифицирующей организации, осуществляющей независимый контроль результатов испытаний, проведенных лабораторией. В общем случае схема проведения сертификации выглядит следующим образом.

1. Заявитель (разработчик либо другая компания, заинтересованная в проведении сертификации) подает в федеральный орган (ФСБ, ФСТЭК или Минобороны) по сертификации заявку на проведение сертификационных испытаний некоторого продукта.
2. Федеральный орган определяет аккредитованную испытательную лабораторию и орган по сертификации.
3. Испытательная лаборатория совместно с заявителем проводит сертификационные испытания. Если в процессе испытаний выявляются те или иные несоответствия заявленным требованиям, то они могут быть устранены заявителем в рабочем порядке, что и происходит в большинстве случаев, либо может быть принято решение об изменении требований к продукту, например о снижении класса защищенности. Возможен вариант, когда сертификационные испытания завершаются с отрицательным результатом. Наиболее нашумевшим в прессе примером можно назвать случай, когда испытательная лаборатория НИИ ВМФ после года проверок выдала отрицательное сертификационное заключение на программные изделия специального назначения. Известны как минимум пять случаев, когда определенные версии ОС и СУБД не смогли получить сертификат на отсутствие недекларированных возможностей по причине потери части исходного кода старых модулей. Если посмотреть реестр ФСТЭК, то можно заметить, что ряд программных систем защиты (например, СУБД Oracle и система безопасности приложений IBM Guardium) получили сертификаты лишь на соответствие ТУ, а не на соответствие руководящему документу Гостехкомиссии - это значит, что орган по сертификации посчитал, что не все требования руководящего документа подтверждены при испытаниях.
4. Материалы испытаний передаются в орган по сертификации, который проводит их независимую экспертизу. Как правило, в экспертизе участвуют не менее двух экспертов, которые независимо друг от друга подтверждают корректность и полноту проведения испытаний.
5. Федеральный орган по сертификации на основании заключения органа по сертификации оформляет сертификат соответствия. Надо сказать, что в случае выявления каких-либо несоответствий федеральный орган может провести дополнительную экспертизу с привлечением экспертов из различных аккредитованных лабораторий и органов.

В системах обязательной сертификации имеется практика отзыва и приостановления лицензий и аттестатов аккредитаций в случае выявления грубых нарушений в процессе сертификации. Были случаи, когда под сомнение на продолжение деятельности подпали три лаборатории и орган по сертификации, в результате чего две организации прекратили дальнейшую активность в области сертификации. Кроме того, в случае возникновения инцидентов на объектах информатизации, связанных с утечкой информации, регулирующие органы могут проинспектировать лабораторию, которая проводила испытания.

Системы сертификации и требования

Деятельность российских систем сертификации в РФ регламентируется Федеральным законом № 184 «О техническом регулировании». Сертификация средств защиты информации может быть добровольной или обязательной - проводимой главным образом в рамках Минобороны, ФСБ и ФСТЭК. Для большинства коммерческих компаний термин «сертификация» является синонимом понятий «сертификация в системе ФСБ» для криптографических средств защиты и «сертификация в системе ФСТЭК» для всех остальных продуктов. Однако необходимо иметь в виду, что, помимо криптографии, к компетенции ФСБ относятся средства защиты информации, применяемые в высших органах государственной власти. Система сертификации средств защиты информации Минобороны, в свою очередь, ориентирована на программные изделия, применяемые на объектах военного назначения.

Добровольные системы сертификации средств защиты информации на сегодняшний день пока еще не получили широкого распространения. Единственной сколь бы то ни было заметной из такого рода систем является «АйТи-Сертифика». К сожалению, несмотря на то что в добровольных системах можно получить сертификат на соответствие любому нормативному документу по защите конфиденциальной информации, при аттестации объектов информатизации такие сертификаты ФСТЭК России не признаются.

Что касается документов, на соответствие которым проводятся сертификационные испытания, то они практически идентичны во всех системах сертификации. Существуют два основных подхода к сертификации – и соответственно два типа нормативных документов.

1. Функциональное тестирование средств защиты информации, позволяющее убедиться в том, что продукт действительно реализует заявленные функции. Это тестирование чаще всего проводится на соответствие конкретному нормативному документу – например, одному из руководящих документов Гостехкомиссии России. Такие документы установлены, например, для межсетевых экранов и средств защиты от несанкционированного доступа. Если же не существует документа, которому сертифицируемый продукт соответствовал бы в полной мере, то функциональные требования могут быть сформулированы в явном виде – например, в технических условиях, или в виде задания по безопасности (в соответствии с положениями стандарта ГОСТ Р 15408).
2. Структурное тестирование программного кода на отсутствие недекларированных возможностей. Классическим примером недекларированных возможностей являются программные закладки, которые при возникновении определенных условий инициируют выполнение не описанных в документации функций, позволяющих осуществлять несанкционированные воздействия на информацию (по ГОСТ Р 51275-99). Выявление недекларированных возможностей предполагает проведение серии тестов исходных текстов программ, предоставление которых является необходимым условием для возможности проведения сертификационных испытаний.

В большинстве случаев средство защиты информации должно быть сертифицировано как в части основного функционала, так и на предмет отсутствия недекларированных возможностей. Делается исключение для систем обработки персональных данных второго и третьего класса с целью снижения затрат на защиту информации для небольших частных организаций. Если программное средство не имеет каких-либо механизмов защиты информации, оно может быть сертифицировано только на предмет отсутствия недекларированных возможностей.

Мифология вокруг сертификации

Процесс организации и проведения испытаний в любой системе сертификации жестко формализован, однако отсутствие у большинства ИТ-специалистов опыта участия в таких испытаниях, а также взаимодействия с регуляторами рождает ряд мифов и заблуждений, касающихся вопросов сертификации.

Миф №1: сертификация – это торговля. К сожалению, часть потребителей искренне считает любую сертификацию формальной процедурой получения разрешительной документации, естественно, коррумпированной и абсолютно бесполезной. Поэтому для многих заявителей становится шоком тот факт, что предъявляемые для сертификации средства защиты действительно серьезно проверяются, причем результат проверки может быть отрицательным. Независимый контроль органов по сертификации над испытательными лабораториями гарантирует отсутствие сговора между заявителем и лабораторией.

Миф №2: сертификацию проводят государственные органы. Безусловно, федеральные органы всех обязательных систем сертификации являются государственными, однако испытательные лаборатории и органы по сертификации могут иметь любую форму собственности, и на практике большинство из них – коммерческие организации.

Миф № 3: сертификация нужна только для средств защиты гостайны. На сегодняшний день более 80% средств защиты информации сертифицируются для использования исключительно в автоматизированных системах, не содержащих сведений, составляющих государственную тайну.

Миф № 4: сертификация нужна только госструктурам. На самом деле конечного заказчика интересует аттестация объекта информатизации – формальное подтверждение того, что автоматизированная система является защищенной. В большинстве случаев для успешного прохождения аттестации система должна строиться с использованием исключительно сертифицированных средств защиты – это справедливо не только для систем, относящихся к государственному информационному ресурсу, но и для систем, связанных с обработкой персональных данных. Можно встретить требования по обязательной сертификации программной продукции даже независимо от вида защищаемых тайн; например, такие требования имеются для систем, работающих с кредитными историями граждан, игровых систем в случаях предоставлении доступа к ресурсам из сетей международного обмена и др.

Миф № 5: зарубежный продукт нельзя сертифицировать. В действительности продукты таких разработчиков, как Microsoft, IBM, SAP, Symantec, Trend Micro и т. д., успешно проходят сертификационные испытания, в том числе и на отсутствие недекларированных возможностей.

Как правило, зарубежные компании не передают исходные тексты в Россию, поэтому испытания проводятся с выездом к разработчику. Разумеется, программные коды предоставляются под абсолютным контролем служб безопасности разработчиков, исключающих какую-либо утечку. Проведение работ в таком режиме является довольно сложным и требует высокой квалификации специалистов, поэтому не каждая испытательная лаборатория готова предложить такие услуги. Однако число зарубежных продуктов, проходящих сертификацию в России, с каждым годом увеличивается. Сегодня около 20 зарубежных компаний, в том числе Microsoft, IBM, Oracle и SAP, предоставили исходные коды своих продуктов для сертификационных испытаний. В этом отношении примечательна инициатива корпорации Microsoft - Government Security Program, согласно которой базовый код всех продуктов компании передан на территорию России для исследования. За последние пять лет почти 40 зарубежных продуктов получили сертификаты на отсутствие недекларированных возможностей.

Миф № 6: сертифицирован – значит защищен. Это не совсем так. Правильной была бы формулировка: продукт сертифицирован – значит соответствует тем или иным требованиям. При этом потребитель должен четко понимать, на соответствие чему именно сертифицировано средство защиты, чтобы убедиться, действительно ли в ходе проведения испытаний проверялись характеристики продукта, которые интересуют заказчика.

Если испытания продукта проводились на соответствие техническим условиям, то в сертификате это соответствие будет зафиксировано, но при этом потребитель, не прочитав технические условия на продукт, в принципе не может определить, какие характеристики проверялись, что создает предпосылки для обмана неквалифицированного потребителя. Аналогичным образом наличие сертификата на отсутствие недекларированных возможностей ничего не говорит о функциональных возможностях продукта.

Очень важно ознакомиться с ограничениями на использование продукта, которые указаны в технических условиях: конкретные операционные среды и платформы, режимы работы, конфигурации, применение дополнительных средств защиты и др. Например, сертификат на некоторые версии операционных систем Windows и МСВС действителен только с модулем доверенной загрузки. Почти все сертификаты на внешние средства защиты действительны только для конкретных версий ОС, а в ограничениях на использование ряда средств доверенной загрузки указывается, что должна быть обеспечена физическая защита компьютера. Известен курьезный случай, когда в ограничениях одного устаревшего средства защиты было указано, что Windows должна работать только в командном режиме.

Миф № 7: при сертификации ничего не находят. Независимо от требований нормативных документов, сегодня сложилось негласное правило, по которому в рамках сертификационных испытаний эксперты тщательно инспектируют исходный код (в случае его предоставления), а также проводят различные варианты нагрузочного тестирования. Кроме того, эксперты изучают различные бюллетени по безопасности продуктов и сред их функционирования. В результате этого опытная лаборатория получает список критических уязвимостей, которые заявитель должен исправить или описать в документации. Например, при сертификации выявляются такие уязвимости, как встроенные пароли и алгоритмы их генерации, архитектурные ошибки (некорректная реализация дискретного и мандатного принципов доступа и т. п.), некорректности программирования (уязвимости к переполнению буфера, ошибки операторов логики и времени, гонки, возможность загрузки недоверенных файлов и др.), а также ошибки обработки данных приложений (SQL-инъекции, кросс-сайтовый скриптинг), реализация которых может существенно снизить уровень безопасности системы. Согласно нашей практике, в 70% проверенного коммуникационного оборудования обнаруживались встроенные мастер-пароли, а почти в 30% проверяемых операционных систем были выявлены ошибки реализации системы разграничения доступом. Зафиксированы также случаи, когда в продуктах присутствовали даже логические временные бомбы.

Миф № 8: продукт сертифицирован на отсутствие недекларированных возможностей – значит в нем нет уязвимостей. На сегодняшний день нет методов гарантированного выявления всех возможных уязвимостей программного обеспечения - успешное прохождение сертификации на отсутствие недекларированных возможностей гарантирует обнаружение лишь определенного класса уязвимостей, выявляемых с использованием конкретных методов. С другой стороны, прохождение сертификации на отсутствие недекларированных возможностей гарантирует наличие у разработчика системы качества производства программ, то есть найдены и зафиксированы все реальные исходные тексты и компиляционная среда, компиляция и сборка могут быть гарантировано повторены, а также имеется русскоязычная документация.

Миф № 9: требования по анализу исходного кода существуют только в нашей стране. Часто можно столкнуться с критикой строгости отечественной сертификации, связанной с предоставлением исходных текстов программ. Действительно, в международной системе сертификации Common Criteria допускается проведение испытаний продукции, обрабатывающей информацию, не отнесенную к гостайне, без предоставления исходных кодов, однако в этом случае должны быть обоснованы проверки на отсутствие скрытых каналов и уязвимостей. Для систем обработки гостайны и платежных систем предусмотрен структурный анализ безопасности исходного кода. Требования по аудиту безопасности исходного кода коммерческих программных продуктов можно найти в международных стандартах PCI DSS, PA DSS и NISTIR 4909.

Миф № 10: сертификация стоит дорого. Сертификация программного обеспечения по требованиям безопасности информации – это довольно длительный и трудоемкий процесс, который не может быть бесплатным. В то же время наличие сертификата соответствия значительно расширяет рынок сбыта продукта заявителя и увеличивает количество продаж, и тогда стоимость сертификации по отношению к прочим затратам оказывается небольшой.

Будущее сертификации

Сертификация не является универсальным способом решения всех существующих проблем в области информационной безопасности, однако сегодня это единственный реально функционирующий механизм, который обеспечивает независимый контроль качества средств защиты информации, и пользы от него больше, чем вреда. При грамотном применении механизм сертификации позволяет вполне успешно решать задачу достижения гарантированного уровня защищенности автоматизированных систем.

Заглядывая вперед, можно предположить, что сертификация как инструмент регулятора будет изменяться в направлении совершенствования нормативных документов, отражающих разумные требования по защите от актуальных угроз, с одной стороны, и в направлении улучшения методов проверки критических компонентов по критерию «эффективность/время» - с другой.

Алексей Марков ([email protected]), Валентин Цирлов - сотрудники НПО «Эшелон» (Москва).

Microsoft — транснациональная компания по производству проприетарного программного обеспечения для различного рода вычислительной техники - персональных компьютеров, игровых приставок, КПК, мобильных телефонов и прочего, разработчик наиболее широко распространённой на данный момент в мире программной платформы - семейства операционных систем Windows.

Подразделения компании также производят семейство игровых консолей Xbox, а также аксессуары для персональных компьютеров (клавиатуры, мыши и т.д.). Продукция Microsoft продаётся более чем в 80 странах мира, программы переведены более чем на 45 языков.

Пользовательсткие ОС

Windows 7 - пользовательская операционная система семейства Windows NT.
В этой операционной системе реализована поддержка Unicode 5.1
Данная ОС обладает поддержкой мультитач-управления
Windows 7 поддерживает псевдонимы для папок на внутреннем уровне. Дополнительным преимуществом Windows 7 можно считать более тесную интеграцию с производителями драйверов. Большинство драйверов определяются автоматически.
В Windows 7 была также улучшена совместимость со старыми приложениями, некоторые из которых было невозможно запустить на Windows Vista. Особенно это касается старых игр, разработанных под Windows XP. Также в Windows 7 появился режим Windows XP Mode, позволяющий запускать старые приложения ввиртуальной машине Windows XP, что обеспечивает практически полную поддержку старых приложений.
Функция Удалённого рабочего стола также претерпела изменения. Была введена поддержка интерфейса Aero Peek, Direct 2D и Direct3D 10.1, поддержка нескольких мониторов, расширений мультимедиа, DirectShow, а также возможность воспроизведения звука с низкими задержками.
Сетевая технология Branch Cache позволяет кешировать содержимое интернет-трафика. Если пользователю в локальной сети потребуется файл, который уже был загружен кем-то из пользователей его сети, - он сможет получить его из локального кэш-хранилища, а не использовать канал с ограниченной пропускной способностью. Технология рассчитана на крупные сети и предлагается для внедрения на предприятиях в составе Корпоративной и Максимальной версий ОС.
Windows AIK, с помощью которого можно создавать образ с любыми конфигурациями и настройками. Таким образом можно в Windows 7 Добавить поддержку USB 3.0, Bluetooth 4.0, DirectX 11.1 и NET.Framework 4.5 по умолчанию.
Windows 7 также получила OEM-поддержку UEFI, а также поддержку UEFI в Retail-образах Windows 7 SP1. При желании можно записать UEFI-установщик Windows 7 на USB-накопитель. Так же можно опять же самому с помощью Windows AIK добавить поддержку UEFI целиком. Однако внимательно читайте лицензионное соглашение, не всем пользователям подобные модификации разрешены.
В Windows 7 реализована более гибкая настройка User Account Control (UAC), которая в отличие от Windows Vista имеет ещё два промежуточных состояния - «Уведомлять, только при попытках программ внести изменения в компьютер» (положение по умолчанию), «Уведомлять, только при попытках программ внести изменения в компьютер (не затемнять рабочий стол)».
Внесены изменения в технологию шифрования BitLocker и добавлена функция шифрования съёмных носителей BitLocker to go, позволяющая шифровать съёмные носители, причём даже при отсутствии модуля TPM.
Добавлена возможность защиты данных на USB-накопителях с помощью Enhanced Storage .
Улучшения коснулись и брандмауэра Windows: вернулась функция уведомления пользователя о блокировке программы, которая пытается получить доступ к сети.
С помощью групповой политики и функции AppLocker можно запретить запуск определенных приложений.
Функция DirectAccess позволяет устанавливать безопасное соединение с сервером в фоновом режиме, в отличие от VPN, которому требуется участие пользователя. Также DirectAccess может применять групповые политики до входа пользователя в систему.

Пакет обновления 1 (SP1) для Windows 7 - это обновление, содержащее ранее выпущенные обновления для системы безопасности, обеспечения производительности и стабильности работы Windows 7. Кроме того, в состав пакета обновления 1 входят новые улучшения компонентов и служб в Windows 7, например повышенная надежность подключений к звуковым устройствам HDMI, печать с помощью средства просмотра XPS и восстановление более ранних версий папок в проводнике ОС Windows после перезапуска.

OEM -версия программного обеспечения предназначена только для сборщиков персональных компьютеров и серверов.
— Согласно лицензии «Сборщик систем» - это изготовитель оборудования, сборщик, лицо, производящее доводку и обновление или лицо, производящее предустановку программного обеспечения на компьютеры для продажи полностью собранной системы/систем третьему лицу.
— Производить вскрытие упаковки ОЕМ-версии программного продукта Microsoft и установку ее на компьютер могут только сборщики систем, которые при этом связаны соглашением «Лицензия корпорации Майкрософт для сборщика систем». В случае если конечному пользователю в магазине продали ОЕМ-версию, рекомендуется, не вскрывая упаковку, вернуть ее в магазин.
— Компьютер с установленной ОЕМ-версией запрещается сдавать в аренду или временное пользование.
— Основной отличительной особенностью OEM-версий является то, что они «привязаны» к компьютеру, на который были первоначально установлены и не могут быть перенесены на заменяющий компьютер или любой другой ПК. Термин «персональный компьютер» означает полностью собранную компьютерную систему, включающую по крайней мере центральный процессор, материнскую плату, жесткий диск, блок питания и корпус. Необходимым подтверждением лицензионных прав пользователя является сертификат подлинности, наклеенный на корпус ПК. Для дополнительного подтверждения лицензионных прав и целей бухгалтерского учёта настоятельно рекомендуется сохранять упаковку, информационные носители (диски с голограммой, если они есть в составе продукта) и документы, подтверждающие покупку.

Средство защиты информации Secure Pack Rus версия 3.0 (СЗИ SPR 3.0) является сервисным пакетом для операционных систем семейства Microsoft Windows и позволяет обеспечить выполнение требований ФСБ России по защите конфиденциальной информации по классу АК2 и АК3.

Windows 8 - операционная система, принадлежащая к семейству ОС Microsoft Windows, в линейке следующая за Windows 7 и разработанная транснациональной корпорацией Microsoft. Серверной версией является Windows Server 2012.
Основные нововведения:
— Учетная запись Майкрософт и синхронизация параметров
— Магазин приложений Windows Store
— Internet Explorer 10
— Восстановление для Windows возвращает все системные файлы в исходное состояние, сохраняя при этом все настройки, пользовательские файлы и приложения
— Сброс для Windows возвращает компьютер к заводским настройкам
— Новый диспетчер задач
— Добавлена поддержка USB 3.0, Bluetooth 4.0, DirectX 11.1 и NET.Framework 4.5
— Усовершенствованный поиск

Windows 8.1 - операционная система семейства Windows NT, производства корпорации Microsoft, следующая по времени выхода за Windows 8 и до Windows 10. Предназначена для рабочих станций, персональных компьютеров и портативных устройств; версия, предназначенная для решения серверных задач - Windows Server 2012 R2. По сравнению с Windows 8 имеет ряд обновлений и улучшений, направленных на облегчение работы с графическим интерфейсом. Windows 8.1, так же как и Windows 8, ориентирована на сенсорные ПК, но не исключает возможности использования на классических ПК.
Ключевые нововведения:
— Улучшения Metro-интерфейса
— Версия ядра NT - 6.3
— Улучшение в области энергопотребления
— Поддержка DirectX 11.2
— Поддержка 3D принтеров
— Поддержка биометрических устройств

CRM-системы

Microsoft Dynamics для планирования ресурсов предприятия (ERP) предоставляет компании (малого, среднего или крупного бизнеса) средства для управления всей организацией, начиная с цепочки поставок, закупок и управления персоналом и заканчивая финансами и проектами совместной работы. Она включает мощные возможности для операционного менеджмента, реализации отраслевой специфики, а также решения всего комплекса административных задач в области управления финансами и персоналом. Благодаря таким возможностям руководители всех уровней могут предвидеть изменения и предпринимать соответствующие меры, обеспечивающие эффективное развитие вашего бизнеса. Это единое мощное ERP решение по управлению корпоративными ресурсами для крупных международных, федеральных и государственных корпораций, а также — динамично растущего среднего бизнеса, которое помогает компаниям перейти на более высокий уровень управления бизнесом, повысить его операционную эффективность и найти новые возможности для развития – за счет интеграции индустриальных решений, вовлечения всех сотрудников к решению актуальных задач, стоящих перед бизнесом, а также – отличного масштабирования в решениях задач любого уровня сложности.

Microsoft Dynamics CRM – это пакет программного обеспечения для управления взаимоотношениями с клиентами, разработанный компанией Microsoft и ориентированный на организацию продаж, маркетинга и предоставления услуг (службы поддержки).
Dynamics CRM является клиент-серверным приложением. Это веб-приложение на основе IIS поддерживает множественные интерфейсы веб-сервисов. Клиенты получают доступ к Dynamics CRM через браузер, клиентский плагин к Microsoft Outlook или через планшеты и мобильные устройства. Кроме Internet Explorer, Microsoft Dynamics CRM, начиная с версии 2011 года Update Rollup 12, поддерживает браузеры Chrome и Firefox. Пакет используется как расширенная платформа для взаимодействия с клиентами, и может настраиваться в зависимости от целей с помощью программной платформы.NET
Линейка программного обеспечения Microsoft Dynamics включает ERP-приложения Microsoft Dynamics AX, Microsoft Dynamics GP, Microsoft Dynamics NAV, Microsoft Dynamics SL и Microsoft Dynamics Retail Management System, также известную как Dynamics RMS.

Microsoft Dynamics CRM 2015 – это актуальная версия пакета программного обеспечения для управления взаимоотношениями с клиентами, разработанный компанией Microsoft и ориентированный на организацию продаж, маркетинга и предоставления услуг (службы поддержки).

Офисные пакеты

Microsoft Office 2010
Версия Professional Plus включает:

• Excel
• OneNote
• PowerPoint
• Outlook
• Publisher
• Access
• InfoPath
• SharePoint Workspace

Продлен не будет. Уточняйте наличие актуальной версии.

Microsoft Office 2013 - офисный пакет приложений, созданных корпорацией Microsoft для операционных систем Microsoft Windows, Windows Phone, Android, Apple Mac OS X, Apple iOS. В состав этого пакета входит программное обеспечение для работы с различными типами документов: текстами, электронными таблицами, базами данных и др.

• PowerPoint
• Excel
• Outlook
• OneNote
• Access
• Publisher

Microsoft Office 2016 - офисный пакет, предоставляющий эффективную платформу для бизнес-коммуникаций и совместной работы. Преимущества, которыми обеспечивает данный продукт, дают больше возможностей для роста производительности и использования расширенных технических служб. OfficeProPlus 2016 — комплексный продукт, позволяющий сотрудникам эффективно работать из различных мест. Причем, обрабатывать документы и взаимодействовать с коллегами можно, вне зависимости от того, что находится у Вас под руками – персональный компьютер, телефон или веб-браузер. Использование данного пакета программ позволяет добиться максимальной окупаемости вложений и наилучших результатов, благодаря применению знакомых сотрудникам приложений и реализации возможностей сервера Microsoft.
Версия Professional Plus включает:

• PowerPoint
• Excel
• Outlook
• OneNote
• Access
• Publisher

Серверные ОС

Windows Server 2008 R2 - серверная операционная система компании «Microsoft», являющаяся усовершенствованной версией Windows Server 2008, использующая ядро Windows NT 6.1. Новые возможности включают:
— улучшенную виртуализацию
— новую версию Active Directory
— Internet Information Services 7.5
— поддержку до 256 процессоров

(разновидность Server 2008) Microsoft Windows Server 2008 - версия серверной операционной системы производства компании Microsoft.
Приемущества:
— Возможность установки Server Core — существенно облегченная установка Windows Server 2008 в которую не включена оболочка Windows Explorer
— Active Directory — заказчики могут управлять удостоверениями и взаимоотношениями, формирующими сеть организации.
— Службы Терминалов теперь поддерживают Remote Desktop Protocol 6.0 .
— Возможность опубликовать одно конкретное приложение, вместо всего рабочего стола.
— Terminal Services Gateway позволяет авторизованным компьютерам безопасно подключаться к Службам Терминалов или Удаленному Рабочему Столу из интернета используя RDP через HTTPS без использования VPN.
— Встроенный Windows PowerShell .
— Самовосстанавливающаяся NTFS — вместо блокировки всего тома блокируются только поврежденные файлы/папки, остающиеся недоступными на время исправления.
— Microsoft Hyper-V - система виртуализации на основе гипервизора для x64-систем.
— Windows System Resource Manager — дминистративное средство WSRM, которое позволяет управлять ресурсами сервера с целью равномерного распределения рабочей нагрузки между ролями.
— Server Manager — является комбинацией Управления данным сервером и Мастера настройки безопасности из Windows Server 2003. Server Manager является улучшенным диалогом Мастера настройки сервера, который запускался по умолчанию в Windows Server 2003 при входе в систему. Теперь он позволяет не только добавлять новые роли, но ещё и объединяет в себе все операции, которые пользователи могут выполнять на сервере, а также обеспечивает консолидированное, выполненное в виде единого портала отображение текущего состояния каждой роли.
Особенности:
— До 4 поддерживаемых процессоров
— Количество поддерживаемой памяти до 4 Гбайт на платформе x86 и до 32 Гбайт на платформе x64
— Нет кластеризации
— Право на 1 виртуальную машину

Продлен не будет. Уточняйте наличие актуальной версии.

(разновидность Server 2008)
Особенности:
— До 8 поддерживаемых процессоров
— Количество поддерживаемой памяти до 32 Гбайт на платформе x86 и до 64 Гбайт на платформе x64
— Кластеризация до 16 узлов
— Право на 4 виртуальные машину

Продлен не будет. Уточняйте наличие актуальной версии.

(разновидность Server 2008) Пакет обновления 2 (SP2) для Microsoft Windows Server 2003 – это накопительный пакет обновления, включающий последние обновления и повышающий безопасность и стабильность системы. Кроме того, он добавляет новые функции и обновления к существующим функциям и служебным программам ОС Windows Server 2003.

(разновидность Server 2008)
Особенности:
— До 32 поддерживаемых процессоров на платформе x86 и до 64 на платформе x64
— Количество поддерживаемой памяти до 64 Гбайт на платформе x86 и до 2 Тбайт на платформе x64
— Кластеризация до 16 узлов
— Нет ограничений на количество виртуальных машин

Продлен не будет. Уточняйте наличие актуальной версии.

(разновидность Server 2012) Windows Server 2012 R2 - предназначен для создания и предоставления глобальных облачных сервисов, содержащих новые возможности и улучшения для виртуализации, управления, хранения, работы с сетями, инфраструктуры виртуальных рабочих столов, защиты доступа и информации, веб-платформы и платформы приложений, а также многих других компонентов.
Особенности:
— Не более двух виртуальных экземпляров
— Все функциональные возможности

Windows Storage Server 2012 представляет собой специализированную операционную систему для хранения данных, разработанную на платформе Windows Server 2012. Данная ОС позволяет создавать надежные и производительные системы хранения данных с использованием новейших технологий Microsoft для защиты данных.
Особенности:
— Поддерживает 64 сокета, но лицензируется с шагом в 2 сокета
— Поддерживает 4 TB оперативной памяти (RAM)
— Поддерживает включение в домен
— Поддерживает некоторые роли, например: DNS и DHCP Server, но не поддерживает такие как: Active Directory® Domain Services (AD DS), Active Directory Certificate Services (AD CS), и Active Directory Federation Services (AD FS).

Windows Storage Server 2012 представляет собой специализированную операционную систему для хранения данных, разработанную на платформе Windows Server 2012. Данная ОС позволяет создавать надежные и производительные системы хранения данных с использованием новейших технологий Microsoft для защиты данных.

Продлен не будет. Уточняйте наличие актуальной версии.

Разновидность Windows Storage Server 2012

(обнова для Storage 2012) Windows Storage Server 2012 R2 представляет собой специализированную операционную систему для хранения данных, разработанную на платформе Windows Server 2012 R2. Данная ОС позволяет создавать надежные и производительные системы хранения данных с использованием новейших технологий Microsoft для защиты данных.

Windows Storage Server 2012 R2 обладает всеми преимуществами, которые существуют в Windows Storage Server 2012, а также дополнен рядом новых возможностей:
— Экономичное хранение данных
— Улучшенная виртуализация
— Безопасность и надежность хранения данных

Продлен не будет. Уточняйте наличие актуальной версии.

Разновидность Microsoft Windows Server 2012

Продлен не будет. Уточняйте наличие актуальной версии.

Ключевые Особенности:
— Отсутствие Hyper-V
— Нет Server Core

— Нет прав на виртуализацию
— Максимально 1 процессор
— Максимум 15 пользователей

Продлен не будет. Уточняйте наличие актуальной версии.

Windows Server 2012 Essentials - идеальное решение для предприятий малого бизнеса (до 25 пользователей и до 50 устройств).

Продлен не будет. Уточняйте наличие актуальной версии.

(разновидность Server 2012 R2) Оптимальный сервер для малого бизнеса - Windows Server 2012 R2 Essentials - упрощает интеграцию дополнительных облачных приложений и сервисов, таких как Microsoft Office 365 и Microsoft Azure. Windows Server 2012 R2 Essentials помогает до минимума сократить время, усилия и средства, затрачиваемые на обслуживание ИТ-инфраструктуры.
Преимущества:
— Защита данных
— Интеграция облачных сервисов
— Безопасный удаленный доступ
— Виртуализация серверов
Ключевые Особенности:
— Отсутствие Hyper-V
— Нет Server Core
— Отсутствуют Active Directory Federation Services
— Права на виртуализацию одной машины
— Максимально 2 процессора
— Максимум 25 пользователей
— Множество функций ограничено или недоступно

Продлен не будет. Уточняйте наличие актуальной версии.

Hyper-V Serve r - это специальный автономный продукт, включающий в себя гипервизор, модель драйвера Windows Server, возможности виртуализации, а также вспомогательные компоненты, такие как отказоустойчивая кластеризация, однако он не содержит такого широкого набора функций и ролей, как ОС Windows Server.

СУБД

Microsoft SQL Server - система управления реляционными базами данных, разработанная корпорацией Microsoft. Использует язык запросов Transact-SQL, который является реализацией стандарта ANSI/ISO по структурированному языку запросов (SQL) с расширениями. Предназначен для работы с базами данных размером от персональных до крупных баз данных масштаба предприятия.

Продлен не будет. Уточняйте наличие актуальной версии.

Версия SQL Server 2012 несет в себе много важных изменений для платформы интеграции корпоративных данных, в частности упрощенный состав версий продукта и новую модель лицензирования. Кроме того, в SQL Server 2012 реализованы усовершенствования в части производительности, бизнес-аналитики (BI) и средств разработки. Ниже перечислены 10 наиболее важных нововведений в SQL Server 2012.
Особенности:
— Упрощенный состав версий
— Поддержка режима Server Core
— Службы обеспечения качества данных DQS позволяют поддерживать высокое качество и корректность данных в базе
— Усовершенствования языка T-SQL
— Автономные базы данных
— Столбцовые индексы
— SQL Server Data Tools
— Power View — Графический инструмент навигации и визуализации данных, позволяющий конечному пользователю проектировать форму отчетности
— Группы доступности AlwaysOn — Самым важным компонентом SQL Server 2012 является новая технология обеспечения высокой доступности базы данных.

Microsoft SQL Server 2014 в редакциях Standart, BI, EE, Express, Web, Compact - это наиболее актуальная версия из ленейки Microsoft SQL Server, которая подойдёт для организаций, требующих высокой производительности системы для создания, развертывания и поддержки больших производственных баз данных.

Продлен не будет. Уточняйте наличие актуальной версии.

Microsoft SQL Server 2016 отличается революционной производительностью обработки в памяти, непревзойденной безопасностью, комплексными возможностями мобильной бизнес-аналитики и продвинутой аналитики. Узнайте, почему Microsoft считается лидером отрасли в области платформ данных, ознакомившись с «Магическим квадрантом» Gartner по системам управления операционными базами данных, бизнес-аналитике, аналитике и хранению данных.Microsoft System Center 2016. Сертификат ФСТЭК России 3978. Срок действия до 06.08.2023

Система почтовых серверов

Microsoft Exchange Server

Продлен не будет. Уточняйте наличие актуальной версии.

Microsoft Exchange Server - программный продукт для обмена сообщениями и совместной работы.
Основные функции Microsoft Exchange: обработка и пересылка почтовых сообщений, совместный доступ к календарям и задачам, поддержка мобильных устройств и веб-доступ, интеграция с системами голосовых сообщений (начиная с Exchange 2007), поддержка систем обмена мгновенными сообщениями (поддержка удалена с версии Exchange 2003).
Microsoft Exchange Server поддерживает следующие протоколы: MAPI, SMTP, POP3, IMAP4, HTTP/HTTPS, LDAP/LDAPS SSL и DAVEx
С Microsoft Exchange Server могут работать следующие клиенты: Microsoft Outlook, Outlook Express, Windows Mail, Outlook Web Access, Outlook Mobile Access, ActiveSync, Outlook Voice Access, Произвольные почтовые клиенты (кроме MAPI).
Основные нововведения:
— Поддержка нескольких поколений сотрудников
— Интеграция с SharePoint
— Улучшенные функции поиска и индексации позволяют вести поиск в Exchange 2013, Lync 2013, SharePoint 2013 и на файловых серверах Windows
— Использует архитектуру Exchange Server 2010, которая была переработана для упрощения масштабирования, использования оборудования и обнаружения сбоев.

Набор серверных приложений

Microsoft SharePoint Server 2010 - это рабочая платформа для предприятий и работы в сети Интернет, интегрированные функции которой предоставляют широкие возможности коммуникации между людьми, которая включает в себя следующие компоненты:
— набор веб-приложений для организации совместной работы
— функциональность для создания веб-порталов
— модуль поиска информации в документах и информационных системах
— функциональность управления рабочими процессами и систему управления содержимым масштаба предприятия
— модуль создания форм для ввода информации
— функциональность для бизнес-анализа

«SharePoint» может быть использован для создания сайтов, предоставляющих пользователям возможность для совместной работы. Создаваемые на платформе «SharePoint» сайты могут быть использованы в качестве хранилища информации, знаний и документов, а также использоваться для исполнения облегчающих взаимодействие веб-приложений, таких как вики и блоги. Пользователи могут управлять и взаимодействовать с информацией в списках и библиотеках документов используя элементы управления, называемые веб-части (SharePoint WebParts).

Продлен не будет. Уточняйте наличие актуальной версии.

Microsoft SharePoint Server 2013 SP1 представляет собой интегрированный пакет корпоративных приложений, который предназначен для увеличения производительности труда, организации совместной работы сотрудников, решения таких важных бизнес-задач, как контроль информационных потоков, принятие взвешенных решений и управление рабочими процессами. В продукте сделан акцент на социальную составляющую, облака и мобильность. Microsoft SharePoint 2013 предлагает новые средства простого администрирования, эффективной защиты коммуникации и информации и гибкой совместной работы. Социальные возможности позволяют легко обмениваться идеями, отслеживать действия коллег, отыскивать экспертов и информацию и т. п.

Microsoft SharePoint Server 2016 предназначен для создания сайтов, предоставляющих пользователям возможность для совместной работы. Создаваемые на платформе Microsoft SharePoint 2016 сайты могут быть использованы в качестве хранилища информации, знаний и документов, а также использоваться для исполнения облегчающих взаимодействие веб-приложений, таких как вики и блоги. Пользователи могут управлять и взаимодействовать с информацией в списках и библиотеках документов используя элементы управления, называемые веб-части.

Сертификация в федеральной службе по техническому и экспортному контролю (ФСТЭК) проводится, когда необходимо подтвердить соответствие разрабатываемой продукции требованиям защиты информации.

Испытательная лаборатория ЗАО «ИБТранс» более десяти лет проводит испытания программного обеспечения в системе сертификации средств защиты информации по требованиям защиты информации. Испытания проводятся на соответствие требованиям руководящих документов Гостехкомиссии России и включает в себя проверки продукции и документации на нее.

На железнодорожном транспорте, как правило, проводятся проверки программного обеспечения по требованиям руководящего документа «Защита от несанкционированного доступа к информации Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей».

Готовность Заявителя

Готовность программной документации по ГОСТ ЕСПД (ЕСКД)
Доступность исходных кодов ПО
Наличие функционально завершенного ПО (стабильная версия ПО)
*Заявитель – организация-разработчик ПО, пользователь ПО, официальный представитель зарубежной компании-разработчика в РФ, подающие заявку на сертификацию программного обеспечения

Сбор информации

Определение наименования и обозначения программного изделия
Определение объема исходного кода, подлежащего анализу на отсутствие НДВ
Адреса проведения испытаний ПО
Технические и программные средства разработки ПО
*НДВ – недекларированная возможность

Передача информации

Заявитель обращается в испытательную лабораторию с собранной информацией. Испытательная лаборатория на основании полученных данных оценивает возможность проведения работ, сроки и стоимость.
*Испытательная лаборатория – организация, аккредитованная ФСТЭК России на проведение сертификационных испытаний средств защиты информации.

Коммерческое предложение

Испытательная лаборатория формирует коммерческое предложение с указанием последовательности проведения работ, порядка расчетов, стоимости и сроков испытаний, обоснованных руководящими документами и практикой проведения работ.

Подготовка Заявки

Заявитель (с информационной поддержкой Испытательной лаборатории) на фирменном бланке со штампом организации оформляет «Заявку на проведение сертификации программного обеспечения на отсутствие недекларированных возможностей» и направляет ее во ФСТЭК России.
Информация, содержащаяся в заявке: адрес; наименование и банковские реквизиты Заявителя; наименование продукции, подлежащей сертификации; схема сертификации; требования, на соответствия которым проводится сертификация; адрес предпочитаемой Испытательной лаборатории.
Скачать бланк заявки на проведение сертификации можно ЗДЕСЬ.
*ФСТЭК России – Федеральный орган по сертификации продукции по требованиям безопасности информации

Получение Решения

Федеральный орган по сертификации (ФСТЭК России) в месячный срок рассматривает заявку на сертификацию, определяет схему проведения сертификации средств защиты информации, испытательную лабораторию с учетом предложений заявителя и назначает орган по сертификации.
По результатам рассмотрения Заявки ФСТЭК России направляет заявителю, в назначенные для проведения сертификации Орган по сертификации и Испытательную лабораторию Решения по заявке на проведение сертификации. В Решении по сертификации указывается наименование продукции, схема проведения сертификации, Испытательная лаборатория, проводящая испытания продукции и Орган по сертификации, контролирующий процесс сертификации.
*Орган по сертификации – уполномоченная организация (лицо), осуществляющая контроль за ходом испытаний и проводящая экспертизу материалов сертификационных испытаний

Заключение договора

Согласование всех условий проведения работ между Заявителем и Испытательной лабораторией. На основании консультаций между сторонами формируется календарный план работ. Подписание договора определяет начало сертификационных испытаний.
Помимо этого, заключается договор с Органом по сертификации для проведения экспертизы материалов испытаний. Договор с Органом по сертификации может заключать как Испытательная лаборатория, так и Заявитель. Рекомендуемым вариантом является заключение договора между Испытательной Лабораторией и Органом по сертификации.

Анализ документации

Передача Заявителем программной документации на изделие, подлежащее сертификационным испытанием, Испытательной Лаборатории.
Программная документация включает в себя следующий перечень документов, разработанный с учетом требований стандартов ЕСПД (ЕСКД):
Формуляр (ГОСТ 19.501-78)
Спецификация (ГОСТ 19.202-78)
Описание программы (ГОСТ 19.402-78)
Описание применения (ГОСТ 19.502-78)
Текст программы (ГОСТ 19.401-78)

Разработка программы испытаний

По результатам анализа документации специалисты Испытательной лаборатории разрабатывают «Программу и методику проведения сертификационных испытаний» изделия.
Программа и методика испытаний определяет последовательность проверок, осуществляемых специалистами лаборатории для оценки соответствия программного изделия требованиям соответствующих нормативных документов ФСТЭК России.
Программа и методика испытаний согласуется с Заявителем и утверждается Органом по сертификации.
В случае, если сертифицируемое изделие разработано с участием иностранной организации, Программа и методика испытаний дополнительно согласуется с Федеральным Органом по сертификации.

Проведение испытаний

После согласования Программы и Методики испытаний специалисты лаборатории приступают к испытаниям программного изделия. Испытания включают в себя следующие основные шаги:
анализ программной документации,
фиксация исходного состояния ПО,
испытания программного продукта (статические испытания исходного кода, динамический анализ)
Осуществляются выезды специалистов Испытательной Лаборатории на место проведения испытаний (в организации-разработчики программного изделия)

Результаты испытаний

Испытательная лаборатория по результатам всех проверок сертифицируемой продукции формирует пакет документов, включающий:
протоколы испытаний продукции,
техническое заключение,
акты отбора образца, сборки ПО и другие документы.
Весь пакет документов, включающий программную документацию Заявителя, передается в Орган по сертификации для проведения экспертизы. Техническое заключение Испытательной лаборатории отправляется Заявителю.