Сертификационное сопровождение

23.03.2021 Родыгин Евгений Валентинович, Менеджер по ИБ

У всякого крупного вендора в штате должен быть специалист, осуществляющий сертификационное сопровождение.

Что это такое и какие пользы бизнесу он принесет?

1 - формирование дорожной карты по сертификации продуктов вендора: на год или на 3 года вперед формируется перечень продуктов, которые разработаны или разрабатываются. Каким требованиям эти продукты должны соответствовать: по линии МО РФ, ФСБ, ФСТЭК. нужно знать тонкости текущих требований и планируемых к введению Регулятором. Даже участие в их проработке в интересах компании.

2 – формирование/адаптация требований регуляторов к этим продуктам. Не только в части нормативки, но и в части их поддержки. На что Регуляторы все больше обращают внимание. Включая организацию багтрекинга, безопасной разработки и поддержки пользователей.

3 – документирование требований по отношению к циклу разработки/доработки продуктов. Тут очень важно отметить, что при разработке можно зайти в тупик, сформировать архитектуру или использовать компоненты так, что потом на сертификации приведет к необходимости перерабатывать продукт или менять его архитектуру. А это время и деньги, и нервы команды разработки! Проработка этих вопросов специалистом избавляет от этого. Формируются требования к разработке, сборке, тиражированию, производству, документированию, и т.п.

4 – проводится оценка текущего состояния разработки, формируются недостатки, формируется четкий план реализации продуктов, позволяющих избежать недостатков.

5 – согласуется и реализуется план приведения в соответствие или поддержки соответствия. Совместно с руководством разработки и топ менеджерами. Уточняются сроки и т.п.

6 – проводится предварительная оценка соответствия требованиям регуляторов: по сути, такой специалист совместно с разработкой и тестировщиками: формируют необходимые стенды испытаний и методики проверок – очень близкие или повторяющие деятельность испытательной лаборатории. Проводятся внутренние испытания. Выявляются недостатки.

7 – Формируется программа устранения недостатков. По сути, все эти недостатки будут выявлены испытательной лабораторией, что приведет к необходимости доработки продуктов и повторной сертификации за деньги!

8 – Знание тонкостей сертификации в основных системах сертификации и взаимодействие с выбранной испытательной лабораторией позволяет решить заранее и сэкономить кучу времени и денег на сертификации. Например, сертификации в нескольких системах может привести к пересечению требований и затягиванию процесса сертификации. Одному процессу приходится ждать другой. Изменения от одного может потребовать изменений в другом. Иногда выгодно разделить продукт на два. Все эти тонкости важны.

9 – Правильная проработка дорожной карты, выбор стратегии могут существенно упростить работу Компании. Например, новые требования позволяют Разработчику проводить инспекционный контроль самостоятельно без привлечения испытательной лаборатории – это экономия. Проработка заранее может сократить стоимость Договора с испытательной лабораторией и т.п.

10 – такая роль у Вендора значительно сокращает время, деньги и нервы! Позволяет избежать неожиданностей. Процесс становится управляемым, прозрачным. Окупаемость такого специалиста – год или менее.

Не говорю даже о том, что с Регулятором и системой сертификации нужно говорить на одном языке.

Тема блога: