ГОСТ  Р ИСО/МЭК 12207-99 Информационная технология. Процессы жизненного цикла программных средств 
        ГОСТ Р ИСО/МЭК ТО 16326-2002 Программная инженерия. Руководство по применению ГОСТ Р ИСО/МЭК 12207 при управлении проектом 
        ГОСТ Р ИСО/МЭК 12119-2000 Информационная технология. Пакеты программ. Требования к качеству и тестирование 
        ГОСТ Р ИСО/МЭК 15408-2-2002 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности

     ГОСТ  Р ИСО/МЭК 15408-1-2002 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель

     ГОСТ  Р ИСО/МЭК 15408-3-2002 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности

     ГОСТ 28195-89 Оценка качества программных средств. Общие положения 
        ГОСТ 19.005-85 Единая система программной документации. Р-схемы алгоритмов и программ. Обозначения условные графические и правила выполнения 
        ГОСТ 19.201-78 Единая система программной документации. Техническое задание. Требования к содержанию и оформлению 
        ГОСТ 19.202-78 Единая система программной документации. Спецификация. Требования к содержанию и оформлению 
        ГОСТ 19.301-79  Единая система программной документации. Программа и методика испытаний. Требования к содержанию и оформлению 
        ГОСТ 7.70-96 Система стандартов по информации, библиотечному и издательскому делу. Описание баз данных и машиночитаемых информационных массивов. Состав и обозначение характеристик

     ГОСТ 7.70-2003 Система стандартов по информации, библиотечному и издательскому делу. Описание баз данных и машиночитаемых информационных массивов. Состав и обозначение характеристик 

5. Порядок проведения сертификации программного обеспечения

 

      Процедуры и вся технология проведения работ  по сертификации определяются схемой сертификации, которая устанавливает  четкую совокупность действий, по результатам которых принимается решение о соответствии или несоответствии продукции заданным требованиям. Согласно идеологии Международной организации по стандартизации (ИСО) общепризнанными являются восемь основных схем сертификации. Они используются и в комплекте основополагающих документов системы сертификации ГОСТ Р. При этом число схем сертификации, принятых Госстандартом России, в два раза больше, чем принято в зарубежной и международной практике. Схемы сертификации, принятые в системе сертификации ГОСТ Р, приведены в приложении 1.

      Для каждой схемы сертификации продукции  приводятся условия ее применения с  учетом степени опасности продукции. При проведении сертификации программного обеспечения наиболее удобно применение схемы 10а. Госстандартом России предусматривается ее использование в качестве доказательства соответствия (несоответствия) продукции (программного обеспечения) установленным требованиям декларации, о соответствии прилагаемым к ней документам, подтверждающим соответствие продукции установленным требованиям.

      Порядок проведения сертификации программного обеспечения средств измерений, информационно-измерительных систем и аппаратно-программных комплексов определен такими методиками как МИ 2891-2004 "ГСИ. Общие требования к программному обеспечению средств измерений" и МИ 2955-2005 "Типовая методика аттестации программного обеспечения средств измерений и порядок ее проведения".

      Кроме того, в настоящее время в связи  с принятием 11 июня 2008 г. новой редакции Закона РФ "Об обеспечении единства измерений", где в статье 9, п. 1 говорится о том, что "в состав обязательных требований к средствам измерений …в необходимых случаях включаются также требования к … программному обеспечению", ФГУП ВНИИМС приступил к разработке национального стандарта ГОСТ Р "ГСИ. Требования к программному обеспечению средств измерений и информационно - измерительных систем".

      Порядок проведения сертификации программного обеспечения включает:

• подачу заявки на сертификацию;
• принятие решения по заявке на сертификацию, в том числе назначение экспертов на проведение основных работ по сертификации из числа экспертов органа по сертификации;
• оформление договора на проведение работ по сертификации;
• проведение сертификационной проверки ПО, в том числе при необходимости проведение испытаний/контроля ПО по согласованным с заказчиком методикам;
• принятие решения о выдаче Сертификата соответствия и разрешения использования знака соответствия либо об отказе в выдаче Сертификата соответствия;
• выдача Сертификата соответствия и разрешения использования знака соответствия;
• занесение заявителя/изготовителя ПО и перечня сертифицированных ПО в Реестр СДС ПО;
• проведение инспекционного контроля сертифицированных ПО.

       Результатом сертификации является возможность  приобрести программный продукт  в Российской Федерации с соответствующей  поддержкой от производителя или  его официального представителя.

       В результате проведенной сертификации производитель ПО получает:

• Экспертное заключение;
• Свидетельство о сертификации;
• Право использовать логотип «Проверено IT Expert».  

       Сертификация  выгодна и для покупателей  соответствующего программного обеспечения. Покупатель получит:

• Предметную оценку функционала программного обеспечения;
• Возможность сравнения продуктов между собой;
• Возможность самостоятельной оценки продуктов по своим критериям.

             6. Перечень информации предоставляемой заявителем для прохождения процедуры сертификации

  

  - описание структуры сертифицируемого программного обеспечения, выполняемых функций, в том числе последовательность обработки данных;

      - описание функций сертифицируемого ПО и параметров программного обеспечения, существенных для их работы;

      - описание реализованных в сертифицируемом программном обеспечении алгоритмов функционирования, в том числе вычислительных алгоритмов, а также их блок-схемы;

      - описание модулей программного обеспечения;

      - перечень интерфейсов и перечень команд для каждого интерфейса, включая заявление об их полноте;

      - список, значение и действие всех команд, получаемых от устройств ввода (клавиатуры, мыши, сенсорных устройств и т.п.);

      - описание реализованных методов идентификации сертифицируемого программного обеспечения;

      - описание реализованных методов защиты сертифицируемого программного обеспечения и данных от влияющих факторов;

      - описание интерфейсов пользователя, всех меню и диалогов;

      - описание хранимых или передаваемых наборов данных;

      - руководство пользователя на сертифицируемое программное обеспечение;

      - характеристики необходимых системных и аппаратных средств, если эта информация не приведена в руководстве пользователя.

      Перечень  документов, сопровождающих программное  обеспечение, может корректироваться соглашением между исполнителем и заказчиком сертификации ПО.

    7. Сертификационные испытания программных средств

      Сертификация  программного обеспечения представляет собой процесс испытаний программ в нагруженных режимах применения, подтверждающий соответствие показателей  качества программного изделия требованиям  установленным в нормативно-технических  документах на него и обеспечивающий документальную гарантию использования программного средства при соблюдении заданных ограничений.

      Сертификация  программного обеспечения возможна при выполнении следующих условий:

• разработке шкалы показателей качества с учетом специфики целевого использования программных средств и набора их функциональных характеристик;
• каталогизации программ, как объекта сертификации на основе опыта их эксплуатации;
• создании специализированного центра сертификации, выполняющего роль "третейской" организации контроля качества;
• разработке нормативно-технической базы, регламентирующей сертификацию программного обеспечения;
• разработке эталонов программных средств, которые удовлетворяют требованиям технических заданий на разработку разнотипных программных комплексов;
• разработке специальной технологии испытаний, определяющей объем и содержание сертификационных испытаний;
• реализации комплекса тестового программного обеспечения для широкого спектра программных изделий.

      В процессе сертификации сложного ПО следует выделить два аспекта: методический и технологический. Методический аспект связан с разработкой комплекса методик сертификации программного обеспечения с учетом специфики его применения, а технологический с автоматизацией процесса применения методического аппарата.

      Следует отметить, что по некоторым оценкам  до 70% общих затрат на создание и  внедрение сложных программных  комплексов приходится на реализацию процесса их сертификации. Причем значительная доля этих затрат относится к организации  аппаратно-программной платформы, моделирующих средств и тестового обеспечения стенда сертификации.

      Кроме того, важнейшим вопросом создания качественных программных изделий  является обеспечение технологической  безопасности ПО на этапе сертификационных стендовых испытаний. Недостаточный уровень развития современных информационных технологий разработки ПО, доминирующее использование зарубежных инструментальных средств и применение разработчиками программ лишь средств защиты от непреднамеренных дефектов обуславливают существенные, принципиально новые изменения технологии создания программ в этих условиях. Поэтому, одной из задач сертификации на современном уровне развития информационных технологий становится выявление преднамеренных программных дефектов.

      Технологическая безопасность на этапе сертификационных испытаний характеризуется усилением мер контроля, так как в настоящее время предполагается, что вероятность внедрения закладок на окончательных фазах разработки программ выше, чем на начальных фазах в связи со снижением вероятности их обнаружения при последовательном технологическом контроле. В связи с этим завершающей процедурой тестового контроля и испытаний программ должна стать сертификация ПО по требованиям безопасности с выпуском сертификата на соответствие этого изделия требованиям технического задания.

      В условиях существующих технологий создания ПО сертификация программ является наиболее дешевым и быстро реализуемым  способом "фильтрации" компьютерных систем от низкокачественных, не отвечающих условиям безопасности программных средств.

      Сертификационные  испытания программных средств, в том числе защищенных программных  средств и программных средств  контроля защищенности проводятся в  государственных и отраслевых сертификационных центрах.

      Право на проведение сертификационных испытаний защищенных средств вычислительной техники, в том числе программных средств предоставляется Гостехкомиссией России по согласованию с Госстандартом России предприятиям-разработчикам защищенных СВТ, специализированным организациям ведомств, разрабатывающих защищенные СВТ, в том числе программные средства.

      В соответствии с "Положением о сертификации..." по результатам сертификационных испытаний  оформляется акт, а разработчику выдается сертификат, заверенный в  Гостехкомиссии России и дающий право на использование и распространение этих средств как защищенных.

      Разработанные программные средства после их приемки  представляются для регистрации  в специализированный фонд Государственного фонда алгоритмов и программ.