Сертификация ФСТЭК

Требования по обязательной сертификации ФСТЭК распространяются на средства защиты информации и автоматизированные системы управления (ИСПДн, АСУ ТП, ГИС, КИИ и прочие).

Для успешного прохождения сертификации компании-разработчику СЗИ (заявителю) необходимо подтвердить соблюдение требований к испытаниям по выявлению уязвимостей (согласно Приказу ФСТЭК России от 2 июня 2020 г. № 76 и "Методике выявления уязвимостей и недекларированных возможностей в программном обеспечении" от 25 декабря 2020 г.).

Здесь на помощь приходят инструменты статического анализа кода, способные выявлять критические ошибки в ПО. Выбор инструментального средства для проведения сертификационных испытаний на данный момент возложен на заказчиков и сертификационные лаборатории, аккредитованные в системах сертификации средств защиты информации ФСТЭК России. Для самих статических анализаторов процедура сертификации является добровольной. Сертификат ФСТЭК не влияет на возможность использования инструмента, так как его наличие не является одним из критериев выбора инструментальных средств анализа для построения безопасной разработки по ГОСТ Р 56939-2016/2024 и не упоминается в требованиях ГОСТ Р 71207-2024 (Статический анализ программного обеспечения).

Из нашего опыта взаимодействия с сертификационными лабораториями и ФСТЭК России при выборе подходящего анализатора стоит обратить внимание на следующие параметры:

• российское или открытое (Open Source) решение без ограничения в использовании на территории РФ;
• соответствие требованиям "Методики выявления уязвимостей и недекларированных возможностей в программном обеспечении" от 25 декабря 2020 г.;
• желательно соответствие требованиям ГОСТ Р 71207-2024.

Статический анализатор PVS-Studio успешно применяется испытательными лабораториями, аккредитованными в системах сертификации средств защиты информации ФСТЭК России в рамках работ по сертификационным испытаниям программных продуктов, так как полностью соответствует вышеизложенным критериям (для заказчиков и сертификационных лабораторий мы подготовили информационное письмо):

• PVS-Studio включён в Реестр российского ПО (запись № 9837 от 18.03.2021);
• PVS-Studio удовлетворяет функциональным требованиям к инструментам статического анализа кода, описанным в Методическом документе "Методика выявления уязвимостей и недекларированных возможностей в программном обеспечении" (издание второе, доработанное, утверждён ФСТЭК России 25 декабря 2020 г.);
• продукт разрабатывается с учётом требований, предъявляемых к статическим анализаторам в ГОСТ Р 71207–2024 (подробнее).

В 2025 году PVS-Studio принимает участие в "Испытаниях статических анализаторов исходных кодов компилируемых и динамических языков программирования под руководством ФСТЭК России", проводимых с целью выработки единой методики для определения соответствия инструментов требованиям ГОСТ Р 71207-2024.