Сертификационные испытания программного обеспечения на соответствие требованиям СТ РК ISO/IEC 15408-1-2017 являются достаточно сложным процессом, в процессе прохождения которого органу по сертификации необходимо убедиться в том, что проверяемое программное обеспечение проектировалось, разрабатывалось, тестировалось и передавалось конечному потребителю с соблюдением общепринятых требований информационной безопасности.
В зависимости от того на какой из четырех уровней доверия сертифицируется программное обеспечение, меняется состав требований к ПО и документации. Перечень информации, которую необходимо подать заявителю для прохождения процедуры сертификации программного обеспечения на соответствие требованиям информационной безопасности по СТ РК ISO/IEC 15408-1-2017 с уровнем доверия выше первого и включает от 12 до 16 позиций, среди которых есть достаточно специфичные документы. К примеру, документ под названием “Задание по безопасности”, разработка которого требует достаточно высокой компетенции в сфере информационной безопасности.
Зачем это нужно?
Получение сертификата соответствия требованиям СТ РК ISO/IEC 15408-1-2017 может быть полезным, а иногда даже необходимым во многих ситуациях. К примеру, наличие у ПО данного сертификата 4 уровня доверия позволяет ему попасть в национальный реестр доверенного программного обеспечения, который даст значительное преимущество перед зарубежным ПО в рамках государственных закупок. И, конечно же, наличие данного сертификата будет полезно и при работе с частными заказчиками, так как позволит снять значительную часть вопросов о том, насколько защищено данное программное обеспечение.
Что мы предлагаем?
Для сертификации ПО на соответствие требованиям СТ РК ISO/IEC 15408-1-2017 сертификационный орган проводит анализ документации, которая должна содержать необходимый объем информации, а также изучать процессы сопровождающие весь цикл жизни программного обеспечения. Мы, со своей стороны можем предложить услуги по разработке следующей документации:
- Конструкторская документация:
- Проект верхнего уровня – описание системы в терминах подсистем
- Проект нижнего уровня – описание системы в терминах модулей
- Функциональные спецификации – задания на разработку того или иного функционала
- Руководства
- Руководства пользователя;
- Руководства администратора.
- Документация по обеспечению информационной безопасности
Также мы можем оказать консультационные услуги по организации и формализации следующих процессов:
- Процесс разработки;
- Процесс функционального тестирования;
- Процесс тестирования на наличие уязвимостей;
- Процесс поставки готового продукта конечным пользователям.
Результат
Результатом нашей работы, в зависимости от выбранного варианта, будет набор документации и/или формализованные процессы разработки, которые будут удовлетворять всем требованиям сертификационного органа и позволят максимально быстро пройти процедуру сертификации программного обеспечения на соответствие требованиям СТ РК ISO/IEC 15408-1-2017.