andreybryzgin » Пн мар 01, 2010 11:06 pm
Значит, желание сертифицироваться есть..
Давайте подумаем, есть ли
необходимость?
Вы как разработчик и продавец, наверняка знаете, кто и в каких количествах закупает ваш продукт. Проанализируйте, насколько велика среди клиентов доля обработчиков
гос. тайны? Беру на себя смелость угадать: их ноль или пара процентов (исключительно для экспериментов или применения в сегментах сети, не обрабатывающих
ГТ). Почему? Потому, что в информационных системах классов
3А, 2А, 1А, 1Б, 1В, то есть, тех, которые соответствуют требованиям ФСТЭК для обработки
ГТ, необходимо применение сертифицированных средств, иначе, не аттестоваться. Информационные же системы более низких классов могут содержать несертифицированные компоненты. В случае ИС, обрабатывающих модные в этом сезоне персональные данные, применение сертифицированных средств обязательно только в ИСПДн первого класса.
Теперь немного про саму сертификацию.
Занятие это не сказать чтобы чрезвычайно сложное, но финансово оно весьма затратно. Для того, чтобы получить сертификат Вам нужно найти ближайшего лицензиата ФСТЭК, заплатить ему денег и предоставить на испытания продукт и необходимую документацию, через время Вам всё кроме денег вернут, да в придачу дадут ещё красивый сертификат с голограммою. =) А гордое имя вашего продукта появится вот в
этом реестре, что, кстати, является неплохой рекламой. Без шуток. Особенно для тех, кого обязывают использовать сертифицированное.
Что же мешает вам прямо сейчас сдать программу на тесты?
Во-первых, необходимо определиться с тем, по какому критерию её будут оценивать. Самыми модными критериями являются отсутствие НДВ(недекларированные возможности) и соответствие ТУ(технические условия). Если попробовать разобраться что же это означает, то фактически, средство, сертифицированное "по ТУ" гарантированно выполняет те функции, которые вы сами указали в пресловутом ТУ, а сертифицированное "по НДВ" не выполняет функций сверх оговоренного вами же функционала. То есть, по сути, имея серый цвет мы получаем справку о том, что наш цвет не темнее серого и ещё одну о том, что он не светлее серого. Полезно? Очень..
Нужно отметить что "по НДВ и ТУ" сертифицирован "самый сертифицированный" антивирус всех времён и народов.
Иными словами, если у вас есть грамотная документация, то ничто кроме отсутствия финансов не может Вам помешать сертифицировать продукт.
Более серьёзным критерием при сертификации является соответствие требованиям
РД(регламентирующих документов). Самыми известными из которых являются
РД АС,
РД СВТ и
РД МЭ, который, впрочем, вам совсем не нужен. Регламентирующие документы очень чётко описывают требования, которым должно соответствовать ваше средство, чтобы пройти сертификацию. Всего скорее, программу придётся дописывать, добавлять поддержку программно-аппаратных комплексов защиты от НСД. Впрочем, по деталям этого вопроса лучше консультироваться у местного лицензиата ФСТЭК. Думаю, специалисты на безвозмездной основе могут сориентировать по типу сертификации для вашего продукта и целевому уровню.
И, да, чуть не забыл. Сертификат получается на версию программы. Каждый патч или апдейт, установленный на сертифицированную версию прекращает действие данного конкретного сертификата.
Если есть ещё какие-то вопросы или необходимы уточнения к написанному - постараюсь ответить.
Значит, желание сертифицироваться есть..
Давайте подумаем, есть ли [color=#FF4000]необходимость[/color]?
Вы как разработчик и продавец, наверняка знаете, кто и в каких количествах закупает ваш продукт. Проанализируйте, насколько велика среди клиентов доля обработчиков [color=#408040]гос. тайны[/color]? Беру на себя смелость угадать: их ноль или пара процентов (исключительно для экспериментов или применения в сегментах сети, не обрабатывающих [color=#408040]ГТ[/color]). Почему? Потому, что в информационных системах классов [color=#FF4000]3А, 2А, 1А, 1Б, 1В[/color], то есть, тех, которые соответствуют требованиям ФСТЭК для обработки [color=#408040]ГТ[/color], необходимо применение сертифицированных средств, иначе, не аттестоваться. Информационные же системы более низких классов могут содержать несертифицированные компоненты. В случае ИС, обрабатывающих модные в этом сезоне персональные данные, применение сертифицированных средств обязательно только в ИСПДн первого класса.
Теперь немного про саму сертификацию.
Занятие это не сказать чтобы чрезвычайно сложное, но финансово оно весьма затратно. Для того, чтобы получить сертификат Вам нужно найти ближайшего лицензиата ФСТЭК, заплатить ему денег и предоставить на испытания продукт и необходимую документацию, через время Вам всё кроме денег вернут, да в придачу дадут ещё красивый сертификат с голограммою. =) А гордое имя вашего продукта появится вот в [url=http://www.fstec.ru/_doc/reestr_sszi/_reestr_sszi.xls]этом[/url] реестре, что, кстати, является неплохой рекламой. Без шуток. Особенно для тех, кого обязывают использовать сертифицированное.
Что же мешает вам прямо сейчас сдать программу на тесты?
Во-первых, необходимо определиться с тем, по какому критерию её будут оценивать. Самыми модными критериями являются отсутствие НДВ(недекларированные возможности) и соответствие ТУ(технические условия). Если попробовать разобраться что же это означает, то фактически, средство, сертифицированное "по ТУ" гарантированно выполняет те функции, которые вы сами указали в пресловутом ТУ, а сертифицированное "по НДВ" не выполняет функций сверх оговоренного вами же функционала. То есть, по сути, имея серый цвет мы получаем справку о том, что наш цвет не темнее серого и ещё одну о том, что он не светлее серого. Полезно? Очень..
Нужно отметить что "по НДВ и ТУ" сертифицирован "самый сертифицированный" антивирус всех времён и народов.
Иными словами, если у вас есть грамотная документация, то ничто кроме отсутствия финансов не может Вам помешать сертифицировать продукт.
Более серьёзным критерием при сертификации является соответствие требованиям [color=#FF4000]РД[/color](регламентирующих документов). Самыми известными из которых являются [url=http://www.fstec.ru/_docs/doc_3_3_004.htm]РД АС[/url],[url=http://www.fstec.ru/_docs/doc_3_3_003.htm]РД СВТ[/url] и [url=http://www.fstec.ru/_docs/doc_3_3_006.htm]РД МЭ[/url], который, впрочем, вам совсем не нужен. Регламентирующие документы очень чётко описывают требования, которым должно соответствовать ваше средство, чтобы пройти сертификацию. Всего скорее, программу придётся дописывать, добавлять поддержку программно-аппаратных комплексов защиты от НСД. Впрочем, по деталям этого вопроса лучше консультироваться у местного лицензиата ФСТЭК. Думаю, специалисты на безвозмездной основе могут сориентировать по типу сертификации для вашего продукта и целевому уровню.
И, да, чуть не забыл. Сертификат получается на версию программы. Каждый патч или апдейт, установленный на сертифицированную версию прекращает действие данного конкретного сертификата.
Если есть ещё какие-то вопросы или необходимы уточнения к написанному - постараюсь ответить.