Стоимость работ зависит от классов и уровней защиты, соответствие которым требуется подтвердить в процессе сертификационных испытаний. Факторами, уменьшающими стоимость работ, являются:
- наличие у Заявителя сертифицированной системы качества
- наличие опыта разработки средств защиты информации
- наличие подробной и корректной документации на изделие (объект сертификации) в объеме требований системы сертификации
- наличие изделия (объекта сертификации)
- наличие опыта сертификации изделий собственной разработки на соответствие требованиям безопасности информации
- наличие положительных протоколов, актов и решений по результатам испытаний (отсутствие замечаний и наличие малозначительных рекомендаций по доработке)
- наличие должностных лиц, ответственных за сопровождение сертификационных испытаний со стороны Заявителя, наличие должностных инструкций сотрудников Заявителя по сопровождению сертификационных испытаний
- наличие акта классификации изделия по требованиям безопасности информации с детальной информацией о реализованных методах выполнения требований выбранных классов защищенности
- наличие отчетов о выполнении анализа уязвимостей, сведений об остаточной уязвимости и мерах по ее устранению
- наличие технологической документации, в том числе подробных инструкций по компиляции
Факторы, увеличивающие стоимость испытаний:
-
отсутствие у Заявителя внутренних актов классификации изделия по требованиям безопасности информации, отсутствие в документации сведений о выполнении установленных для выбранного класса защищенности требований безопасности информации
- явная необходимость доработки изделия в процессе сертификационных испытаний (наличие замечаний и рекомендаций по доработке изделия в протоколах и актах испытаний, не устраненных к моменту начала сертификационных испытаний)
- отсутствие требуемой системой сертификации документации в полном объеме, ее неконкретность и некорректность
- отсутствие у Заявителя сертифицированной системы качества
- отсутствие документов, подтверждающих проведение верификации изделия на соответствие заданным требованиям безопасности информации на различных этапах жизненного цикла
- отсутствие опыта сертификации изделий
- отсутствие должностных лиц, ответственных за сопровождение сертификационных испытаний
Первоначальный расчет стоимости работ осуществляется на основании исходных данных, предоставляемых Заявителем в испытательную лабораторию, оформленных в произвольной форме, но подписанных руководителем предприятия-Заявителя, в которых должны быть отражены следующие сведения:
- наименование и обозначение изделия
- сведения о проведенных испытаниях и их результатах, установленные сроки устранения замечаний
- классы и уровни защищенности, соответствие которым требуется подтвердить в процессе сертификационных испытаний
- сведения об изделии: назначение, область применения, состав
- сведения об используемых средствах защиты: покупные или собственной разработки, реализованные механизмы защиты могут рассматриваться как самостоятельные изделия или являются интегрированными, наличие разработанной модели защиты и профиля безопасности
- сведения о наличии отчетов по результатам верификации изделия на соответствие заданным требованиям безопасности информации в процессе жизненного цикла, сведения о наличии отчетов анализа уязвимости
- сведения об инструментальных средствах разработки программного обеспечения изделия, используемых библиотеках
- сведения о программном обеспечении изделия: суммарный размер файлов исходных текстов и суммарный размер файлов исполняемых модулей, наличие в составе программного обеспечения компонент, имеющих сертификат соответствия требуемому уровню контроля отсутствия недекларированных возможностей
Расчет стоимости работ испытательная лаборатория ООО «М-СТАНДАРТ холдинг» осуществляет в соответствии с внутренней методикой расчета, что определено положениями законодательства Российской Федерации в области сертификации.