Подробно о сертификации ПО: Роспатент, Минцифры, ФСТЭК

Время чтения 5 минут

1.8к

Привет, я — Екатерина Курбатова, руководитель ЦС «Ростест Урал». Расскажу о нюансах сертификации программного обеспечения. В России это не обязательный процесс, но он подтверждает, что ПО соответствует определенным стандартам, критериям качества и безопасности.

Например, если компания-разработчик хочет участвовать в госзакупках, то нужно зарегистрировать продукт в реестре российского ПО, а сертификация ФСТЭК гарантирует безопасность данных, хранящихся в приложении.

Сертификаты гарантируют работоспособность ПО и его соответствие всем необходимым нормативно-правовым требованиям. На их наличие обращают внимание в государственных и крупных частных компаниях, когда выбирают программные решения для каких-либо бизнес-задач. Именно поэтому многие разработчики стремятся пройти сертификацию в том или ином формате.

Подробно о сертификации ПО: Роспатент, Минцифры, ФСТЭК

Виды программ, которые можно сертифицировать

Коммерческое ПО. Это программное обеспечение, разработанное для продажи или лицензирования конечным пользователям, к нему относятся приложения для широкой аудитории.

Корпоративное ПО. Разрабатывается специально для организаций и часто включает в себя системы управления базами данных, инструменты для аналитики и бизнес-планирования.

ПО для встраиваемых систем. Программное обеспечение, предназначенное для управления встраиваемыми системами, например, в автомобильной промышленности или бытовой технике.

Мобильные приложения. Приложения, разработанные для мобильных устройств, таких как смартфоны и планшеты.

Игровое ПО. Включает в себя игры для различных платформ — от ПК до мобильных устройств и игровых консолей.

Образовательное и академическое ПО. Разработано специально для образовательных учреждений и целей обучения.

ПО для государственных учреждений. Часто имеет строгие требования к безопасности и конфиденциальности, так как используется для обработки персональных данных граждан и управления государственными процессами.

Какие сертификаты можно получить и зачем они нужны

Каждый сертификат, кем бы он ни был выдан, отвечает как минимум за один из аспектов:

подтверждает соответствие промышленным, национальным или международным стандартам;
гарантирует, что ПО не содержит уязвимостей и защищено от хакерских атак. Это особенно важно для государственных учреждений, сферы здравоохранения или банковского сектора;
подтверждает качество и производительность ПО.

В России программное обеспечение можно зарегистрировать в нескольких ведомствах.
В каждом случае процесс сертификации разделен на несколько этапов и сопровождается подготовкой и получением документов.

Регистрация права на программное обеспечение в Роспатенте. Она обеспечивает юридическую защиту вашего интеллектуального продукта. Зарегистрировать могут только «Базы данных» и «Программы для ЭВМ».
Для регистрации необходимо будет предоставить фрагменты исходного кода программы из начала, середины и конца. Код должен храниться в одном файле, в котором не больше 70 страниц. Еще нужно уточнить, на каких устройствах может работать программа: телефон, компьютер; указать язык программирования. Наконец, понадобятся данные правообладателя и автора программы. Полный список нужных заявлений и требований к ПО можно найти на сайте Роспатента.

Регистрация программного обеспечения в реестре российских программ для ЭВМ и баз данных в Минцифры. Это необходимо для подтверждения, что программное обеспечение является российским и, соответственно, может устанавливаться на технику в России. Регистрация в реестре Минцифры также открывает доступ к определенным преференциям и льготам со стороны государства. Например, возможность участвовать в закупках по ФЗ-44, получать государственные гранты и льготные кредиты, заключения Минпромторга.

Получение сертификата ФСТЭК (Федеральной службы по техническому и экспортному контролю). Он подтверждает, что программное обеспечение безопасно и соответствует стандартам безопасности. Это критически важно для программ, которые будут использоваться в государственных учреждениях или в областях, где вопросы безопасности стоят особенно остро, например в банковской сфере. Банк России сформулировал требования к обеспечению информационной безопасности ПО в ряде нормативно-правовых актов:

Положение Банка России от 17 апреля 2019 года № 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента» (с изменениями от 18 февраля 2022 года);
Положение Банка России от 4 июня 2020 года № 719-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств»;
Положение Банка России от 20 апреля 2021 года № 757-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций».

Эти шаги необходимы для того, чтобы официально легализовать программное обеспечение в России, чтобы ИТ-специалисты могли получить преимущества, предоставляемые государством для отечественных разработчиков ПО. Например, льготную ипотеку или налоговые льготы для бизнеса.

Нюансы оценки качества

Кроме государственных сертификатов разработчик ПО может выполнить оценку качества в системах добровольной сертификации. Такую оценку проводят различные компании, регистрируемые уже в Росстандарте.

У добровольной оценки есть ряд нюансов, которые следует учитывать:

Выборочная или полная проверка. В процессе сертификации можно выбрать между полной проверкой ПО по всем требованиям нормативной документации и выборочной проверкой, фокусирующейся на отдельных показателях. Это позволяет учитывать специфику и потребности конкретного продукта. То есть можно проверять ПО на соответствие ГОСТ только по показателям безопасности или на соответствие программной документации.

Спецификация требований в зависимости от типа ПО. Например, требования к ПО для энергонезависимой памяти цифрового вычислительного устройства могут включать стабильность работы, надежность, безопасность и совместимость с оборудованием.

Необходимая документация для оценки качества. Для проведения оценки качества ПО потребуется предоставить определенный пакет документов. Они помогают оценить текущее состояние и качество программы и служат доказательством ее соответствия установленным требованиям и стандартам. Важно отметить, что в зависимости от специфики ПО и требований, предъявляемых к нему, список может быть расширен или изменен.

Список документов для добровольной оценки качества продукта в общем виде включает:

техническую документацию, например описание архитектуры, используемых технологий, интерфейсов и других деталей;
руководства пользователя и администратора, которые помогут понять функциональность и возможности ПО;
результаты тестирования, например отчеты о проведенных тестах, включая юнит-тесты, интеграционные тесты, тесты на безопасность и прочие;
доказательства соответствия стандартам, если они применяются к такому типу ПО;
отчеты об устранении недостатков, которые выявили в процессе тестирования;
сертификаты и лицензии, которые требуются для использования тех или иных технологий.

Заключение

Производитель программного обеспечения сам решает, какой сертификат необходим его продукту. В некоторых случаях сертификация дает ряд преференций, например налоговые льготы, получение мер господдержки и участие в госзакупках. Для этого потребуется регистрация в реестре российского ПО в Минцифры.

И, безусловно, сертификация способна расширить нишу сбыта программного продукта. Многие заказчики обращают внимание на наличие тех или иных сертификатов при выборе ПО. Таким образом, сертификация — это не процесс, который компании проходят ради «галочки», а реальный бизнес-инструмент, который позволяет соответствовать требованиям рынка.