Инспекционный контроль. Когда можно обойтись без повторной сертификации?

Инспекционный контроль. Когда можно обойтись без повторной сертификации?

      Идея написать данную статью возникла из-за часто задаваемых вопросов разработчиков, которые успешно прошли непростой процесс сертификации. Очень часто, когда ко мне обращаются наши клиенты, многих волнует вопрос: «Что делать если в уже сертифицированный программный продукт необходимо внести изменения?». Вопрос актуальный для современных программных продуктов, работающих в условиях часто меняющихся требований и задач рынка информационных технологий.

Для начала, необходимо сказать, что в соответствии с «Положением о сертификации средств защиты информации по требования безопасности информации № 199 от 27 октября 1995 г.» процедура инспекционного контроля (ИК) входит в состав процесса сертификации и представляет собой упрощенную сертификацию, направленную на контроль неизменности сертифицированных параметров изделия.

Инспекционный контроль обычно проводиться в следующих случаях:

1.      В случае внесения незначительных изменений в ранее сертифицированное изделие. На практике незначительными являются изменения в исходных текстах изделия, не превышающие 5% от общего объема исходных текстов. Мерить объем кода можно в чем-либо удобосчитаемом, например в байтах.

2.      В случае если вносимые в изделия изменения не влияют на функциональные возможности, отвечающие за механизмы безопасности изделия. Т.е. если в изделии был реализован, например, только дискреционный принцип разграничения доступа и разработчик добавил мандатный механизм, то в этом случае налицо изменения функционала по безопасности.

3.      В случае если не менялось наименование и версия изделия, на который выдан сертификат.

Прежде чем говорить о самой процедуре и участниках инспекционного контроля, необходимо отметить, что в Российской Федерации существует несколько систем обязательной сертификации: Минобороны России, ФСБ России, ФСТЭК России.

Каждая из перечисленных систем регулирует и отвечает за свою область деятельности. При этом в организации процедуры инспекционного контроля для каждой из вышеперечисленных систем есть свои особенности и отличия.

Основная схема проведения инспекционного контроля представлена на рисунке 1.

Рисунок 1. Участники и порядок проведения инспекционного контроля

Например, в Системе сертификации ФСТЭК России процедура инспекционного контроля уведомительная (заявитель предоставляет в испытательную лабораторию отчет по внесенным изменениям, затем испытательная лаборатория проводит испытания и оформляет отчетные материалы по ИК и передает материалы в федеральный орган).

А при проведении инспекционного контроля в Министерстве обороны РФ заявитель подаёт заявку соответственно в Федеральный орган по сертификации Минобороны России. Рассмотрев заявку, Федеральный орган выписывает РЕШЕНИЕ о проведении инспекционного контроля. На основании данного решения испытательная лаборатория проводит ИК и передает материалы совместно с заключением в федеральный орган.

Экспертизу результатов инспекционного контроля проводит федеральный орган по сертификации. После экспертизы федеральный орган выписывает новый сертификат, либо продлевает выданный ранее сертификат.

Таким образом, в случае необходимости обновления сертифицированного продукта (например, исправления обнаруженных ошибок) заявитель может инициировать процесс инспекционного контроля, понимая, что затраты по времени и финансовые затраты в данном случае в разы меньше по сравнению с первоначальной сертификацией.
  

В заключение следует добавить, что при ИК, для исключения субъективизма, удобно применять сертифицированное программное средство проведения инспекционного контроля — «ПИК Эшелон». Средство»ПИК Эшелон» позволяет проводить весь комплекс проверок по ИК, включая посимвольный контроль целостности версий и релизов исходных текстов и дистрибутива, учитывает особенности мноожества языков программирования, интегрировано с анализатором безопасности программного кода.