Лагоша О.Н. - Сертификация информационных систем (2021). Курс лекций по дисциплине Сертификация информационных систем. Предназначено для студентов специальности Информационные системы и программирование

80
– стабильность — атрибут, указывающий на постоянство структуры и риск ее модификации;
– тестируемость — атрибут, определяющий усилия при проведении ва- лидации и верификации ПО с целью обнаружения несоответствий требованиям, а также необходимость проведения модификации ПО и его сертификации;
– согласованность — атрибут, который показывает соответствие данного атрибута соглашениям, правилам и предписаниям стандарта.
Переносимость. Это множество показателей, определяющих способ- ность ПО адаптироваться к работе в новых условиях среды выполнения. Среда может быть организационной, аппаратной и программной. Перенос ПО в новую среду выполнения может быть связан с некоторой совокупностью действий, направленных на обеспечение его функционирования в среде, отличной от той, в которой оно создавалось, с учетом новых программных, организационных и технических возможностей. Переносимость включает в себя следующие атри- буты:
– адаптивность — атрибут, определяющий усилия, затрачиваемые на адаптацию к различным средам;
– настраиваемость (простота инсталляции) — атрибут, который опреде- ляет необходимые усилия для запуска данного ПО в специальной среде;
– сосуществование — атрибут, который определяет возможность исполь- зования специального ПО в среде действующей системы;
– заменяемость — атрибут, который обеспечивает возможность интер- операбельности при совместной работе с другими программами с необходимой инсталляцией или адаптацией ПО;
– согласованность — атрибут, который определяет соответствие стандар- там или соглашениям по обеспечению переноса ПО.
10 / 10

81
ЛЕКЦИЯ 10. СИСТЕМЫ СЕРТИФИКАЦИИ
1. Система сертификации
Сертификация программного обеспечения — это подтверждение соот- ветствия показателей надежности, мобильности, эффективности, корректности и других его характеристик, а также заявленных свойств требованиям норма- тивных документов (например, в соответствии с ГОСТ 28195-89 или ГОСТ Р
ИСО/МЭК 9126-93).
Основной целью сертификации программных средств и систем качества, обеспечивающих их жизненный цикл, является контроль и удостоверение каче- ства технологий и продукции, гарантирование их высоких потребительских свойств.
Целью сертификации является подготовка и принятие решения о целесо- образности выдачи заявителю сертификата соответствия с учетом следующих факторов:
– полноты, точности и достоверности исходного технического задания и спецификаций требований, представленных в документации на ПС, а также на технологию поддержки его жизненного цикла;
– достоверности и точности измерения и обобщения результатов серти- фикационных испытаний и получения адекватных показателей качества конеч- ных программных продуктов и (или) технологических процессов их создания;
– методологии и качества интерпретации данных об объекте испытаний и (или) технологии с учетом достоверности оценок, квалификации и объектив- ности испытателей, заказчиков и пользователей.
Общие правовые основы сертификации продукции и услуг в Российской
Федерации установлены Законом «О сертификации продукции и услуг»,Феде- ральным законом от 27.12.2002 № 184-ФЗ «О техническом регулировании», где определены права и ответственность в области сертификации органов государ- ственного управления, а также изготовителей (продавцов, исполнителей) и дру- гих участников сертификации.
Результатом положительных испытаний является сертификат соответ-
ствия — документ, выданный по правилам системы сертификации для под- тверждения соответствия сертифицированной продукции установленным тре- бованиям. Сертификация программных средств и систем является элементом общей системы сертификации продукции в Российской Федерации.
Система сертификации — система, располагающая собственными пра- вилами процедуры и управления для проведения сертификации.
Проведение сертификации возможно только в рамках системы сертифи- кации, которая должна быть признана всеми ее участниками и зарегистрирова- на в установленном порядке. Структура системы сертификации определяется законом «О техническом регулировании».
Типовая структура системы сертификации, как видно из рисунка 16, предполагает наличие целого ряда участников.
1 / 10

82
Рис. 16
Типовая структура системы сертификации
Орган по сертификации — орган, проводящий сертификацию соответ- ствия. Орган по сертификации может сам проводить испытания или же осуще- ствлять надзор за этой деятельностью, проводимой по его поручению другими органами.
Организационная структура системы сертификации в России включает:
1) государственный (национальный) орган по сертификации;
2) ведомственные органы по управлению сертификацией продукции оп- ределенных классов;
3) испытательные центры (лаборатории).
Национальным органом по сертификации продукции в Российской Феде- рации является Госстандарт России, который осуществляет следующие
функции:
– организует ведение обязательной сертификации продукции по поруче- нию органов законодательной или исполнительной власти;
– организует и финансирует разработку, а также утверждает основопола- гающие нормативно-технические и методические документы системы сертифи- кации;
– утверждает документы, устанавливающие порядок сертификации кон- кретных видов продукции;
– проводит аккредитацию испытательных центров (лабораторий) совме- стно с ведомственными органами по сертификации и выдает аттестат аккреди- тации;
– признает иностранные сертификаты соответствия, осуществляет взаи- модействие с соответствующими уполномоченными органами других стран и международных организаций по вопросам сертификации;
– регистрирует и аннулирует сертификаты соответствия и сертификаци- онные лицензии, рассматривает спорные вопросы, возникающие в процессе сертификации;
– организует периодическую публикацию информации по сертификации.
Основой сертификации продукции в Российской Федерации является
Система сертификации ГОСТ Р Госстандарта России.
2 / 10

83
2. Виды сертификации
Сертификация проводится для подтверждения соответствия программно- го продукта государственным стандартам в области информационных техноло- гий (набор стандартов, на соответствие которым будет проверяться ПС, согла- суется с заказчиком), требованиям технических условий, технического задания.
Различают системы обязательной и добровольной сертификации (рис. 17).
Рис. 17
Виды сертификации
Обязательная сертификация — подтверждение уполномоченным на то органом соответствия продукции обязательным требованиям, установленным законодательством. Обязательная сертификация является формой государст- венного контроля за безопасностью продукции. Поэтому она может осуществ- ляться лишь в случаях, предусмотренных законодательными актами РФ.
Добровольная сертификация проводится в соответствии с Законом РФ по инициативе заявителей (изготовителей, продавцов, исполнителей) в целях подтверждения соответствия продукции (услуг) требованиям стандартов, тех- нических условий, рецептур и других документов, определяемых заявителем.
В зависимости от области применения системы, от назначения и класса
ПС их сертификация может быть обязательной или добровольной.
В соответствии с действующими законодательными и нормативными до- кументами сертификация средств информатизации проводится в Российской
Федерации в следующих основных направлениях:
– обязательная сертификация средств информатизации на соответствие требованиям электромагнитной совместимости, а также требованиям, обеспе-
3 / 10

84
чивающим безопасность жизни, здоровья, имущества потребителей и охрану среды обитания;
– обязательная сертификация средств защиты информации;
– добровольная сертификация функциональных параметров средств и систем информатизации по номенклатуре и характеристикам, устанавливаемым отраслевыми (фирменными) стандартами и учитывающим различные аспекты применения аппаратуры и программного обеспечения.
Добровольная сертификация применяется для средств информатизации, не подлежащих в соответствии с законодательными актами Российской Феде- рации обязательной сертификации, и проводится по требованиям, на соответст- вие которым законодательными актами Российской Федерации не предусмот- рено проведение обязательной сертификации. Добровольная сертификация проводится для удостоверения качества средств и систем информатизации с целью повышения их конкурентоспособности, расширения сферы использова- ния и получения дополнительных экономических преимуществ.
В сфере информатизации создан эффективный инструмент оценки уровня качества приобретаемых средств информатизации в виде Системы доброволь- ной сертификации средств и систем информатизации «Росинфосерт». Система сертификации «Росинфосерт» создана в 1994 г. Комитетом при Президенте
Российской Федерации по политике информатизации (РОСКОМИНФОРМ) и внесена в Государственный реестр систем сертификации, действующих в
Российской Федерации.
В соответствии с действующим законодательством Российской Федера- ции сертификация программного обеспечения проводится только в доброволь-
ной системе сертификации продукции. Продукция, на которую получен серти- фикат на программное обеспечение, пользуется большим доверием, так как данный документ подтверждает высокое качество продукта, его надежность и соответствие требованиям государственных стандартов.
Сертификация программ может быть проведена для таких видов продук- ции:
– сетевое программное обеспечение;
– системы управления базой данных;
– операционные системы и средства расширения;
– программное обеспечение для моделирования;
– программное обеспечение для электронных сделок;
– программное обеспечение для обработки документов;
– программное обеспечение для автоматизации управления объединения и отраслями;
– информационно-справочные системы и базы данных;
– программное обеспечение для презентационной графики;
– утилиты и системы программирования;
– системы автоматизированного проектирования;
– аукционы, лотереи, игры, развлечения и др.;
– электронные издания;
– приложения мультимедиа;
4 / 10

85
– педагогическое программное обеспечение;
– программное обеспечение для технологической подготовки производ- ства и многие другие.
3. Процедура сертификации
Для удостоверения качества конечного продукта — программных средств и их компонентов следует сертифицировать технологические процессы, обес- печивающие их жизненный цикл. Поэтому необходимо рассматривать совмест- но задачи сертификации конечных объектов — программных продуктов, а также технологий и систем качества, обеспечивающих их создание и совер- шенствование.
В исходных нормативных документах и требованиях должны быть сосре- доточены все функциональные и эксплуатационные характеристики, обес- печивающие заказчику и пользователям возможность корректного применения сертифицированного объекта и (или) технологического процесса во всем мно- гообразии его функций и характеристик качества.
Сертификационные испытания являются наиболее формализованным и регламентированным этапом тестирования как объектов
− программных про- дуктов, так и процессов их создания, поддерживаемым значительным числом стандартов и документов. При сертификации обычно руководствуются сле- дующими основными исходными документами:
– действующими международными, государственными и ведомственны- ми стандартами на проектирование и испытания комплексов программ, на жиз- ненный цикл ПС, системы обеспечения и характеристики их качества, а также на технологическую документацию;
– утвержденным заказчиком и согласованным с разработчиком техниче- ским заданием и (или) спецификацией требований, утвержденным комплектом эксплуатационной документации на ПС и его компоненты, а также на систему обеспечения их качества;
– программой сертификационных испытаний по всем требованиям техни- ческого задания и положениям эксплуатационной документации;
– методиками испытаний по каждому разделу требований технического задания и документации.
Сертификация состоит из ряда организационных процессов (рис. 18), со- ставляющих систему сертификации, которые поддерживаются регламентиро- ванными процедурами и документами и должны выполняться квалифициро- ванными, аттестованными экспертами — инспекторами.
Процесс сертификации программных продуктов и систем качества
предприятия включает:
1) анализ и выбор разработчиком или заказчиком (заявителем) компе- тентных в данной области органа и аттестованной лаборатории для выполнения сертификационных испытаний;
5 / 10

86 2) подачу заявителем заявки на испытания в орган сертификации и при- нятие сертификаторами решения по заявке, выбор схемы сертификации, заклю- чение договора на сертификацию;
3) идентификацию требований к системе качества предприятия и (или) к версии программного продукта, подлежащих испытаниям;
4) выполнение сертификационных испытаний системы качества пред- приятия или версии программного продукта сертификационной лабораторией;
5) анализ полученных результатов и принятие решения лабораторией и (или) органом сертификации о возможности выдачи заявителю сертификата соответствия;
6) выдачу органом сертификации заявителю сертификата и лицензии на применение знака соответствия и на выпуск сертифицированной продукции — версий программного продукта;
7) осуществление инспекционного контроля органом сертификации сер- тифицированной системы качества предприятия и (или) продукции;
8) проведение заявителем корректирующих мероприятий при нарушении соответствия процессов системы качества и (или) продукции установленным требованиям и при неправильном применении знака соответствия.
Рис. 18
Схема сертификации
На сертификацию принимаются только рабочие версии программных продуктов (т. е. версии, не содержащие ограничений по времени работы и дру- гих параметров).
6 / 10

87
Вместе с заявкой необходимо предоставить в орган по сертификации сле- дующие обязательные документы и материалы:
– письменное подтверждение согласия с процедурой сертификации, под- писанное руководителем организации-заявителя (заявителем);
– письменное согласие от организации, разработавшей программный продукт (в случае, если заявка подана от имени организации, эксплуатирующей или продающей программный продукт);
– «Техническое задание» по ГОСТ 19.201-78;
– «Спецификация» по ГОСТ 19.202-78;
– «Описание программы» по ГОСТ 19.402-78;
– «Описание применения» по ГОСТ 19.502-78;
– «Руководство пользователя» по РД 50-34.698-90;
– «Программа и методика испытаний» по ГОСТ 19.301-79;
– акт проведения испытаний;
– две дистрибутивные копии программного средства. Дистрибутивы должны сопровождаться отпечатанным списком файлов, записанных на диске- тах и компакт-дисках, в списке должны быть указаны объем файлов, дата и время их создания;
– копия документа (лицензии), подтверждающего легальность покупки фирмой — разработчиком инструментальных и общесистемных программных средств (ОС, СУБД, языки программирования), использованных для разработки программных продуктов, предоставленных на сертификацию.
Сертификационные испытания ПС осуществляются в два этапа.
1. Технологические испытания. Проводятся с использованием современ- ных методов и средств по формализованным правилам, удостоверяющим соот- ветствие реальных количественных и качественных показателей тем, которые зафиксированы в НТД или программной документации;
2. Оценка, проводимая экспертами.
В ходе испытаний выполняется следующие.
1. Идентификация объекта испытаний путем проверки характеристик идентификации программного средства (полное название ПС, версия и дата выпуска ПС, сведения о разработчике ПС, сведения о входящих в состав ком- понентах, основные выполняемые функции, состав программной документа- ции).
2. Инсталляция путем установки программного продукта на компьютеры, на которые до этого данный программный продукт не был установлен.
3. Экспертиза программной документации на соответствие требованиям
Государственных стандартов ГОСТ Р ИСО/МЭК 12119-2000 (п. 3.2), ГОСТ Р
ИСО 9127-94 (п. 5, 6.1, 6.3–6.5).
4. Проверка и оценка качества сертифицируемого программного продукта в соответствии с требованиями нормативных документов (список документов определяется в процессе разработки методики), проверка программного про- дукта на соответствие выполняемых функций по руководству пользователя и требованиям технического задания.
7 / 10

88
На основании испытаний оцениваются полученные результаты и обосно- вываются выводы о соответствии или несоответствии продукции или процессов требованиям нормативных документов. Протоколы испытаний представляются в орган по сертификации, а также заявителю по его требованию. Протоколы испытаний подлежат хранению в течение сроков, установленных в правилах систем сертификации продукции и в документах испытательной лаборатории, но не менее трех лет.
Протоколы испытаний представляются заявителю и в орган по серти- фикации. Заявитель может представить в орган по сертификации протоколы испытаний с учетом сроков их действия, проведенных при разработке и поста- новке продукции на производство, или документы об испытаниях, выполнен- ных отечественными или зарубежными испытательными лабораториями, ак- кредитованными или признанными в Системе сертификации. На основании протоколов сертификационных испытаний оцениваются полученные результа- ты и обосновываются сделанные выводы о соответствии или несоответствии продукции требованиям нормативных документов.