Аттестация информационных систем — шаг навстречу качеству

В мире существует множество систем аттестации и сертификации программных продуктов, как международных, так и национальных. Подобные системы нужны любому государству, стремящемуся обеспечить собственную безопасность и проверить эффективность капвложений на приобретение или разработку ИС. Законы налагают на информационные системы, связанные с национальной безопасностью, определенные ограничения, которые разработчики программного обеспечения обязаны соблюдать.

Как известно, закон «О внесении изменений и дополнений в некоторые законодательные акты Республики Казахстан по вопросам информационно-коммуникационных сетей» вызвал большой интерес в обществе и стал предметом оживленных дискуссий. Вместе с тем практически незамеченными остались некоторые важные нововведения, касающиеся вопросов аттестации и сертификации информационных систем. Более подробно на эту тему мы поговорили с Канатом Жанатовичем Абильдиным, первым заместителем директора Республиканского государственного предприятия «Центр технического сопровождения и анализа в области телекоммуникаций» Агентства Республики Казахстан по информатизации и связи.

— Действительно, изменения, внесенные в Закон Республики Казахстан от 11 января 2007 года «Об информатизации» закрепили необходимость обязательной аттестации государственных информационных систем на их соответствие требованиям информационной безопасности. Негосударственные информационные системы, интегрируемые с государственными информационными системами, также подлежат аттестации на соответствие их требованиям информационной безопасности и принятым на территории Республики Казахстан стандартам.

Только при условии положительного результата испытаний программных продуктов, программных кодов и экспертизы нормативно-технической документации в испытательной лаборатории информационные системы могут быть введены в эксплуатацию.

Аттестация программной, как и любой другой продукции, вводится в целях защиты пользователей от недоброкачественной продукции. Она предоставляет определенную гарантию того, что программный продукт соответствует требованиям нормативных документов, условиям и характеристикам, описанным в документации. Нередки случаи, когда в процессе аттестации происходит совершенствование, повышение качества программного средства, как в части уточнения нормативных требований, так и в части решаемых проектных задач.

Сегодня на казахстанском IT-рынке достаточно широко представлена и применяется программная и аппаратная продукция как мировых, так местных производителей, разработанная по существенно различающимся стандартам и требующая адаптации к требованиям безопасности, принятым в Казахстане.

— Испытания, аттестация возложены на ваш Центр. О какой степени готовности можно говорить?

— С ноября 2008 года в нашем Центре действуют три испытательные лаборатории: 1) программных средств и баз данных; 2) в области телекоммуникаций; 3) информационной безопасности.

Испытательная лаборатория программных средств и баз данных имеет Аттестат аккредитации ТОО «Национальный центр аккредитации» о соответствии требованиям СТ РК ИСО/МЭК 17025 «Общие требования к компетентности испытательных и калибровочных лабораторий». Основная цель этой лаборатории — повышение качества национальных продуктов в области информатизации и исключение фактов недоработки программных продуктов при их вводе в промышленную эксплуатацию. Лаборатория испытывает программные продукты и проводит экспертизу нормативно-технической документации согласно области аккредитации.

— Какие конкретно услуги предлагаются?

— В первую очередь, это определение базовых показателей качества ПО, расчет показателей качества программных средств, статический и динамический анализ программных средств и баз данных. Далее — экспертиза программной документации посредством проверки нормативно-технической документации по комплектности, содержанию и оформлению и, наконец, оценка качества программной документации.

Если говорить о двух следующих лабораториях, то основные направления испытательной лаборатории в области телекоммуникаций — это определение характеристик структурированных кабельных сетей на основе медного кабеля и оптоволоконных линий связи и проверка их соответствия стандартным требованиям.

Деятельность испытательной лаборатории по информационной безопасности направлена на обеспечение условий для проведения испытаний объектов информатизации с целью определения уровня состояния их информационной безопасности.

Испытания включают в себя анализ состояния защищенности объектов информатизации, оценку соответствия объектов информатизации требованиям существующих нормативных документов по информационной безопасности, определение недостатков и уязвимостей в обеспечении информационной безопасности согласно принятой классификации, анализ и оценку средств защиты информации объектов информатизации, оценку соответствия средств защиты информации требованиям безопасности.

— Что необходимо для того, чтобы провести испытания, какие необходимо предоставить документы?

— Заявку, анкету-вопросник и комплект материалов в зависимости от проводимого испытания: Заявка оформляется для проведения экспертной оценки программных средств и баз данных. Анкета-вопросник заполняется для определения характеристик испытуемого образца и является конфиденциальной.

По завершении проведения испытаний, испытательной лабораторией формируется Протокол, удостоверяющий результаты испытаний программного средства, замечания и рекомендации.

— Сколько уже проведено испытаний?

— Более 60. По итогам ряда испытаний были даны рекомендации, реализация которых на практике позволила программным средствам пройти сертификацию.

Я также хотел бы добавить, что наши испытательные лаборатории, кроме проведения испытаний, осуществляют еще несколько важных задач: Во-первых, лаборатории принимают участие в разработке и реализации отраслевых политик стандартизации и сертификации в области информационно-коммуникационных технологий и информационной безопасности.

Во-вторых, они участвуют в разработке и внедрении отраслевых стандартов и нормативных документов системной сертификации программных средств и баз данных, объектов информатизации и кабельной продукции на соответствие требованиям в области информатизации, защиты информации и телекоммуникаций.

В-третьих, лаборатории задействованы в развитии межотраслевой базы, включая различные программно-аппаратные комплексы для проведения испытаний и сертификации программного обеспечения, объектов информатизации и кабельной продукции.

И, в-четвертых, лаборатории участвуют в осуществлении мониторинга при проведении тестовых испытаний и ведении отраслевых реестров сертифицированных программных средств и баз данных, средств защиты информации и кабельной продукции.

Испытательные лаборатории отвечают современным международным стандартам. Статус республиканского государственного предприятия позволяет лабораториям быть независимыми от разработчиков информационных систем, производителей и потребителей телекоммуникационного оборудования. Текущие результаты работы испытательных лабораторий подтверждают техническую компетентность и высокую квалификацию работающих в них специалистов.

— Спасибо за беседу.