УправлениеБезопасность

Сертификация. Шашечки или ехать?

Евгений Родыгин | 30.09.2013

Сертификация. Шашечки или ехать?

Часто от партнеров и коллег слышу мнение о том, что сертификация по безопасности информации — дань уважения государству и его правилам. Процедура эта бесполезная, а потому деньги тратить на нее готовы только при выполнении обязательных требований. 

Да и производители редко инициируют сертификацию своих продуктов, соответствующую высоким классам (уровням) защищенности. Обычно это характерно для новых изделий, которые разработчики еще только начинают продавать и стремятся обеспечить их конкурентоспособность с решениями, давно и широко представленными на отечественном рынке.

Вначале необходимо сказать об одном принципиальном моменте: мои рассуждения касаются случая, когда разработчик не занимает позицию магазина «деньги — товар, то есть сертификат», а готов совместно с испытательной лабораторией совершенствовать продукт и его документацию, чтобы в результате тот обрел более высокое качество.

Итак, если подходить к сертификации с умом, то пользы от ее проведения гораздо больше, чем принято считать. Во-первых, вы получаете дополнительное независимое функциональное тестирование продукта, на что обычно в сжатые сроки разработки не хватает времени и других ресурсов. Во-вторых, опытные специалисты помогут, подскажут, исправят то, что действительно получилось недостаточно хорошо. Ну не всегда же пишется полное и правильное техническое задание, учитывающее все технические и маркетинговые нюансы. Да и разработчики свою лепту в качество продукта внесли. В-третьих, будет сделан анализ документации, и прежде всего эксплуатационной. Насколько она пригодна и полна для эффективного функционирования продукта. Конечно, по результатам совместной работы будет приведена в должное состояние и программная документация. Это позволит в дальнейшем развивать продукт с меньшими усилиями.

Разработчику нужно понимать, что сертифицированная продукция имеет дополнительные конкурентные преимущества на рынке. К сожалению, большинство считает конкурентным преимуществом только наличие сертификата соответствия и не видит дополнительные бонусы, а потому ставит своей целью лишь получение самого документа. Это, конечно, ошибка. Спрос рождает предложение, приводящее к тому, что качество сертификации иногда отсутствует. Заявитель представляет на сертификацию недостаточно хорошо оформленный продукт (при том, что само изделие может быть отличным), недобросовестная испытательная лаборатория делает халтуру и т. д. 
  
Далее я попробую показать в чем, с моей точки зрения, подвох подобной сертификации. Рассмотрим на примере абстрактного продукта, обладающего функционалом, который можно разделить на три важные составляющие:
• Базовый функционал продукта, тождественный требованиям регуляторов.
• Функционал продукта, отражающий базовые потребности рынка и потребителей.
• Функционал продукта, обеспечивающий преимущества перед конкурентами.

   Каждый из этих уровней функционала документируется, представляется на рынке и рассматривается архитекторами целевых систем в защищенном исполнении. 

   Теперь я постараюсь объяснить, как данный продукт может выглядеть в глазах потребителей, когда его адаптация к требованиям и сертификация выполняется качественно, и другой случай — когда проводится быстро, дешево, халтурно.
Качественная адаптация к требованиям и сертификация учитывает все вложения разработчика в продукт (см.рис 1).
 img
Рис.1
Теперь рассмотрим второй случай, когда адаптация и сертификация проводится «специалистами» быстро, дешево, халтурно( см. рис.2).
img
Рис.2

Давайте разберемся, в чем разница.

   В первом случае учтены все особенности и преимущества продукта. Он адаптирован к требованиям, все его защитные механизмы сертифицированы, потребитель может ознакомиться с конструкторской/программной и эксплуатационной документацией, провести анализ возможности применения сертифицированных механизмов в сложной целевой системе и т. д. Разработчик в свою очередь вышел на рынок с полностью сертифицированным функционалом, который является конкурентным преимуществом! Он не просто получил сертификат, но и дополнительные преимущества, заложенные им в продукт!

   Во втором случае есть только сертифицированные механизмы, адаптированные лишь для того, чтобы попасть в зону требований регулятора. Не более... Ну а с неадаптированными механизмами потребитель не может разобраться самостоятельно. Нельзя, например, в неадаптированной конструкторской/программной или эксплуатационной документации найти внятных ответов на необходимые вопросы. И это отталкивает от продукта. Ведь потребитель должен прилагать недюжинные усилия по адаптации продукта только для того, чтобы оценить возможность безопасного его применения в целевой системе! То есть потенциальный покупатель не видит зону, отмеченную стрелкой 3.

   Ввиду отсутствия полноценной адаптации и, соответственно, сертификации функций продукта, и разработчик и потребитель теряют самое «вкусное»! Разработчик не может выйти на рынок сертифицированных средств со своими преимуществами, в которые он вложил немало денег! Потребитель если и знает про эти функции, то не в состоянии их применять, включать в состав средств защиты и пользоваться всеми достижениями, заложенными в продукт!

   Иными словами, некачественная сертификация приводит к тому, что даже наличие сертификата значительно сужает сферу применения всех технических преимуществ продукта.
Что же сделать, чтобы изложенная мной сказка стала былью? Прежде всего, не ошибиться с выбором испытательной лаборатории. Их много, некоторые страшно далеки от интересов производителя и реальной работы. Конечно, правильно с соответствующим вопросом обратиться в орган по сертификации и получить небольшой списочек. Затем обзвонить, навести справки, встретиться лично, поспрашивать знающих людей. И принять взвешенное решение, пользуясь только известным вам критерием. Я всегда выбираю партнеров по принципу: известен (не первый год на рынке, достаточное количество выполненных с положительным результатом работ), интеллектуален (соображает, что и зачем делают), инициативен (формулирует не только замечания, но и предложения по возможным способам их устранения).

Идеальный вариант — пообщаться с заказчиками работ и послушать их отзывы. Но тут нужно иметь в виду следующее. Если лаборатория мало чего реально требует и замечания не выставляет, значит — гарантирован долгострой при утверждении программы и методик испытаний, а также риски повторных тестов при сдаче отчетных материалов. Потому как все, что не доделали и не доспрашивали, придется доделывать и доспрашивать, только уже под руководством экспертов органа по сертификации, рассматривающих документы.

   В этой трансформации сказки в быль важно со стороны разработчика назначить людей, ответственных за взаимодействие с испытательной лабораторией, и разгрузить их до такой степени, чтобы занимались они целевой задачей сертификации с утра до вечера, и ничего их от столь нужного дела их не отвлекало. Поскольку на их плечах будут лежать и организация работ, и согласование сроков и технических решений, и еще многое, о чем в начале сертификации думать не приходится.

   Конечно, и перегибы на местах случаются, в том смысле, что испытательная лаборатория предъявляет завышенные требования. Только поверьте, поступает она (лаборатория) так не со зла и не по своей прихоти (деньги все считают и цену копейке знают). Просто, имея большой опыт работы, она все уже давно знает и про оформление документов, и про справочные материалы, и про все «хотелки» экспертов. Вот и пытается все предусмотреть, дабы уложиться в срок и не подвести заказчика. Кстати, хорошая испытательная лаборатория всегда обоснует свои требования.  

Ну а про срок сертификации хочется отдельно поговорить. Волшебной палочки не существует.
И превращение тыквы в карету возможно только на время. И время это очень непродолжительное. Ведь нужно, чтобы не пришли и претензии (в лучшем случае!) не предъявили. Поэтому срок сертификации должен быть адекватен периоду, необходимому для полноценного тестированию продукта (а если надо — то и технически верного и соответствующего предъявленным требованиям устранения недостатков). А вообще, моя мечта как сертификатора — хотя бы раз дайте поработать в срок, предусмотренный договором! И чтобы он не таял на глазах, как снежный ком весной. Из-за того, что в очередной раз нужно понять и простить заказчика.

   Мораль сей сказки такова: согласие должно быть между испытательной лабораторией и разработчиком продукта. Чтобы один за счет другого не решал свои задачи.


СертификацияБезопасность

Журнал: Журнал IT-Manager [№ 09/2013], Подписка на журналы


Поделиться:

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Также по теме

Мысли вслух

Даже если электронная запись не работает, всегда найдется возможность пройти вакцинацию.
Как бизнес и учебные заведения адаптируют образование к новым реалиям экономики?
Попробуйте представить ощущения, когда ты занимаешься, вроде бы, прорывными вещами, а тебе объясняют "это, парень, тенденция вчерашнего дня".
Возникает понятное желание поразбираться, иногда на это нужны несколько лет.

Компании сообщают

Мероприятия