УправлениеБезопасность

Сертификация. Шашечки или ехать?

Евгений Родыгин | 30.09.2013

Сертификация. Шашечки или ехать?

Моя мечта как сертификатора — хотя бы раз дайте поработать в срок, предусмотренный договором!
Часто от партнеров и коллег слышу мнение о том, что сертификация по безопасности информации — дань уважения государству и его правилам. Процедура эта бесполезная, а потому деньги тратить на нее готовы только при выполнении обязательных требований. 

Да и производители редко инициируют сертификацию своих продуктов, соответствующую высоким классам (уровням) защищенности. Обычно это характерно для новых изделий, которые разработчики еще только начинают продавать и стремятся обеспечить их конкурентоспособность с решениями, давно и широко представленными на отечественном рынке.

Вначале необходимо сказать об одном принципиальном моменте: мои рассуждения касаются случая, когда разработчик не занимает позицию магазина «деньги — товар, то есть сертификат», а готов совместно с испытательной лабораторией совершенствовать продукт и его документацию, чтобы в результате тот обрел более высокое качество.

Итак, если подходить к сертификации с умом, то пользы от ее проведения гораздо больше, чем принято считать. Во-первых, вы получаете дополнительное независимое функциональное тестирование продукта, на что обычно в сжатые сроки разработки не хватает времени и других ресурсов. Во-вторых, опытные специалисты помогут, подскажут, исправят то, что действительно получилось недостаточно хорошо. Ну не всегда же пишется полное и правильное техническое задание, учитывающее все технические и маркетинговые нюансы. Да и разработчики свою лепту в качество продукта внесли. В-третьих, будет сделан анализ документации, и прежде всего эксплуатационной. Насколько она пригодна и полна для эффективного функционирования продукта. Конечно, по результатам совместной работы будет приведена в должное состояние и программная документация. Это позволит в дальнейшем развивать продукт с меньшими усилиями.

Разработчику нужно понимать, что сертифицированная продукция имеет дополнительные конкурентные преимущества на рынке. К сожалению, большинство считает конкурентным преимуществом только наличие сертификата соответствия и не видит дополнительные бонусы, а потому ставит своей целью лишь получение самого документа. Это, конечно, ошибка. Спрос рождает предложение, приводящее к тому, что качество сертификации иногда отсутствует. Заявитель представляет на сертификацию недостаточно хорошо оформленный продукт (при том, что само изделие может быть отличным), недобросовестная испытательная лаборатория делает халтуру и т. д. 
  
Далее я попробую показать в чем, с моей точки зрения, подвох подобной сертификации. Рассмотрим на примере абстрактного продукта, обладающего функционалом, который можно разделить на три важные составляющие:
• Базовый функционал продукта, тождественный требованиям регуляторов.
• Функционал продукта, отражающий базовые потребности рынка и потребителей.
• Функционал продукта, обеспечивающий преимущества перед конкурентами.

   Каждый из этих уровней функционала документируется, представляется на рынке и рассматривается архитекторами целевых систем в защищенном исполнении. 

   Теперь я постараюсь объяснить, как данный продукт может выглядеть в глазах потребителей, когда его адаптация к требованиям и сертификация выполняется качественно, и другой случай — когда проводится быстро, дешево, халтурно.
Качественная адаптация к требованиям и сертификация учитывает все вложения разработчика в продукт (см.рис 1).
 img
Рис.1
Теперь рассмотрим второй случай, когда адаптация и сертификация проводится «специалистами» быстро, дешево, халтурно( см. рис.2).
img
Рис.2

Давайте разберемся, в чем разница.

   В первом случае учтены все особенности и преимущества продукта. Он адаптирован к требованиям, все его защитные механизмы сертифицированы, потребитель может ознакомиться с конструкторской/программной и эксплуатационной документацией, провести анализ возможности применения сертифицированных механизмов в сложной целевой системе и т. д. Разработчик в свою очередь вышел на рынок с полностью сертифицированным функционалом, который является конкурентным преимуществом! Он не просто получил сертификат, но и дополнительные преимущества, заложенные им в продукт!

   Во втором случае есть только сертифицированные механизмы, адаптированные лишь для того, чтобы попасть в зону требований регулятора. Не более... Ну а с неадаптированными механизмами потребитель не может разобраться самостоятельно. Нельзя, например, в неадаптированной конструкторской/программной или эксплуатационной документации найти внятных ответов на необходимые вопросы. И это отталкивает от продукта. Ведь потребитель должен прилагать недюжинные усилия по адаптации продукта только для того, чтобы оценить возможность безопасного его применения в целевой системе! То есть потенциальный покупатель не видит зону, отмеченную стрелкой 3.

   Ввиду отсутствия полноценной адаптации и, соответственно, сертификации функций продукта, и разработчик и потребитель теряют самое «вкусное»! Разработчик не может выйти на рынок сертифицированных средств со своими преимуществами, в которые он вложил немало денег! Потребитель если и знает про эти функции, то не в состоянии их применять, включать в состав средств защиты и пользоваться всеми достижениями, заложенными в продукт!

   Иными словами, некачественная сертификация приводит к тому, что даже наличие сертификата значительно сужает сферу применения всех технических преимуществ продукта.
Что же сделать, чтобы изложенная мной сказка стала былью? Прежде всего, не ошибиться с выбором испытательной лаборатории. Их много, некоторые страшно далеки от интересов производителя и реальной работы. Конечно, правильно с соответствующим вопросом обратиться в орган по сертификации и получить небольшой списочек. Затем обзвонить, навести справки, встретиться лично, поспрашивать знающих людей. И принять взвешенное решение, пользуясь только известным вам критерием. Я всегда выбираю партнеров по принципу: известен (не первый год на рынке, достаточное количество выполненных с положительным результатом работ), интеллектуален (соображает, что и зачем делают), инициативен (формулирует не только замечания, но и предложения по возможным способам их устранения).

Идеальный вариант — пообщаться с заказчиками работ и послушать их отзывы. Но тут нужно иметь в виду следующее. Если лаборатория мало чего реально требует и замечания не выставляет, значит — гарантирован долгострой при утверждении программы и методик испытаний, а также риски повторных тестов при сдаче отчетных материалов. Потому как все, что не доделали и не доспрашивали, придется доделывать и доспрашивать, только уже под руководством экспертов органа по сертификации, рассматривающих документы.

   В этой трансформации сказки в быль важно со стороны разработчика назначить людей, ответственных за взаимодействие с испытательной лабораторией, и разгрузить их до такой степени, чтобы занимались они целевой задачей сертификации с утра до вечера, и ничего их от столь нужного дела их не отвлекало. Поскольку на их плечах будут лежать и организация работ, и согласование сроков и технических решений, и еще многое, о чем в начале сертификации думать не приходится.

   Конечно, и перегибы на местах случаются, в том смысле, что испытательная лаборатория предъявляет завышенные требования. Только поверьте, поступает она (лаборатория) так не со зла и не по своей прихоти (деньги все считают и цену копейке знают). Просто, имея большой опыт работы, она все уже давно знает и про оформление документов, и про справочные материалы, и про все «хотелки» экспертов. Вот и пытается все предусмотреть, дабы уложиться в срок и не подвести заказчика. Кстати, хорошая испытательная лаборатория всегда обоснует свои требования.  

Ну а про срок сертификации хочется отдельно поговорить. Волшебной палочки не существует.
И превращение тыквы в карету возможно только на время. И время это очень непродолжительное. Ведь нужно, чтобы не пришли и претензии (в лучшем случае!) не предъявили. Поэтому срок сертификации должен быть адекватен периоду, необходимому для полноценного тестированию продукта (а если надо — то и технически верного и соответствующего предъявленным требованиям устранения недостатков). А вообще, моя мечта как сертификатора — хотя бы раз дайте поработать в срок, предусмотренный договором! И чтобы он не таял на глазах, как снежный ком весной. Из-за того, что в очередной раз нужно понять и простить заказчика.

   Мораль сей сказки такова: согласие должно быть между испытательной лабораторией и разработчиком продукта. Чтобы один за счет другого не решал свои задачи.


Сертификация Безопасность

Журнал: Журнал IT-Manager [№ 09/2013], Подписка на журналы


Поделиться:

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Также по теме

Мысли вслух

Мы много и часто говорим о том, что "ИТ меняют наш мир". Посмотрим, как это происходит в Китае с применением конкретных инструментов и затрагивает сотни миллионов человек.
Согласно прогнозам Gartner, к 2022 г. 75% организаций, использующих инфраструктуру как сервис (IaaS), будут реализовывать продуманную мультиоблачную стратегию, в то время как в 2017 г. доля таких компаний составляла 49%.
Все жалуются на нехватку времени. Особенно обидно, что его не хватает на самые важные вещи. Совещания, созвоны, подготовка внутренних отчетов, непонятно, насколько нужных, но которые начальство требует так, как будто это именно то, ради чего мы работаем.

Компании сообщают

Мероприятия

VI Конференция ЦИПР-2021
Нижний Новгород, ул. Совнаркомовская, дом 13, «Нижегородская Ярмарка»
15 000 руб
23.06.2021
Выставка «EXPO-RUSSIA KAZAKHSTAN 2021»
Республика Казахстан
23.06.2021 — 25.06.2021
10:00–18:00
ЖКХ Будущего. Актуальные вопросы и решения
ОНЛАЙН
10 500 руб
24.06.2021 — 25.06.2021
10:00–18:00