Сертификаты на программные продукты
SSL-СЕРТИФИКАТ
2.60M

Сертификаты на программные продукты

1. Сертификаты на программные продукты

2.

Нормативно-правовая база
1. ГОСТ Р 56939-2016 — требования к разработке безопасного ПО и защите
информации.
2. ISO/IEC 25010 — международный стандарт оценки качества ПО.
3. ФЗ №152 «О персональных данных» — для продуктов, работающих с
персональными данными.
4. Федеральный закон от 31.07.2020 №258-ФЗ «Об экспериментальных правовых
режимах в сфере цифровых инноваций в Российской Федерации».
5. Федеральный закон от 27.07.2006 №149-ФЗ «Об информации, информационных
технологиях и о защите информации».
6. Приказ ФСТЭК России №55 от 03.04.2018 – содержит требования к
сертификации ПО и касается средств защиты информации
7. СТБ (стандарты безопасности) — для проверки соответствия ПО требованиям
защиты информации.

3.

Сертификат - это некий документ, подтверждающий, что товар соответствует
стандартам и нормативам, принятым в Российской Федерации...
Соответствия
(ГОСТ Р)
Сертификат
ФСТЭК
Сертификат
безопасности (13 г.)
Фитосанитарный
Виды
сертификатов
Сертификат
разработчика
Безопасности
(пожарный)
Декларация
соответствия

4.

Каждый сертификат, кем бы он ни был выдан, отвечает как минимум за один из
аспектов
В России программное обеспечение можно зарегистрировать в нескольких
ведомствах:
Регистрация права на программное обеспечение в Роспатенте. Оно обеспечивает
юридическую защиту интеллектуального продукта. Зарегистрировать можно только
«Базы данных» и «Программы для ЭВМ».
Регистрация программного обеспечения в реестре российских программ для
ЭВМ и баз данных в Минцифры. Это необходимо для подтверждения, что
программное обеспечение является российским и, соответственно, может
устанавливаться на технику в России. Предоставляет преференции (льготные
кредиты, участие в закупках/торгах, гранты)
Получение сертификата ФСТЭК (Федеральной службы по техническому и
экспортному контролю). Он подтверждает, что программное обеспечение безопасно
и соответствует стандартам безопасности.

5.

Что?
Эффективность
Внешние
Критерии качества
Сертификация
программного
обеспечения (ПО) направлена на оценку
соответствия продукта установленным
стандартам, требованиям и критериям
качества.
Это
ключевой
процесс,
позволяющий
гарантировать,
что
программное обеспечение выполняет
свои функции корректно, соответствует
спецификациям
и
стандартам
безопасности, а также может эффективно
использоваться в заданных условиях.
Корректность
Надежность
Адаптируемость
Практичность
Сопровождаемость
Тестируемость
Внутренние
Гибкость
Портативность
Удобство
использования

6.

Зачем?
1. Соответствие стандартам и требования
2. Повышение качества продукта Процесс сертификации помогает выявить и
устранить недостатки, что способствует улучшению надежности и безопасности
программного обеспечения);
3. Доверие со стороны клиентов (независимая сертификация демонстрирует, что
продукт проверен экспертами, что повышает уверенность клиентов в его качестве и
безопасности);
4. Соответствие регуляторным требованиям (сертификация часто обязательна для
выполнения законодательных норм, например, в сфере защиты данных или
финансового регулирования);
5. Снижение рисков (процесс сертификации минимизирует вероятность проблем, таких
как уязвимости безопасности или ошибки в функциональности, что позволяет
избежать репутационных и финансовых потерь);

7.

Порядок процедуры
1.
2.
3.
4.
5.
6.
7.
8.
9.
Процесс сертификации программного обеспечения включает следующие этапы:
Подача заявки (заявитель направляет заявку на сертификацию программного обеспечения в орган по
сертификации);
Рассмотрение заявки (орган по сертификации анализирует предоставленную документацию и
программное обеспечение, после чего принимает решение о возможности проведения сертификации);
Назначение экспертов (для выполнения сертификационных работ из числа экспертов органа по
сертификации назначаются компетентные специалисты);
Оформление договора (орган по сертификации и заявитель заключают договор на выполнение
сертификационных работ);
Разработка методики испытаний (разрабатывается методика сертификационных испытаний, которая
согласуется с заявителем);
Проведение сертификационных испытаний (испытания проводятся в соответствии с согласованной
методикой, а их результаты фиксируются в протоколе испытаний);
Принятие решения (по итогам испытаний принимается одно из следующих решений:
О выдаче Сертификата соответствия и разрешения на использование знака соответствия или об отказе
в выдаче Сертификата соответствия);
Выдача сертификата (Орган по сертификации выдает Сертификат соответствия и разрешение на
использование знака соответствия);
Регистрация в реестре (юридическое лицо/ИП, а также перечень сертифицированного программного
обеспечения вносятся в Реестр СДС ПО СИ).

8.

Кто? Как?
В 2024 году, в результате реорганизации (приказы Министерства
промышленности и торговли РФ № 1934 от 03.05.2024 и Федерального агентства по
техническому регулированию и метрологии № 1227 от 21.05.2024), функции ФГБУ
«ВНИИМС» были переданы ФБУ «НИЦ ПМ - Ростест» (НАУЧНО-ИССЛЕДОВАТЕЛЬСКИЙ ЦЕНТР
ПРИКЛАДНОЙ МЕТРОЛОГИИ – РОСТЕСТ)
Сертификация программного обеспечения проводится в соответствии с
требованиями стандарта ГОСТ Р 8.883-2015 "Государственная система обеспечения
единства измерений. Программное обеспечение средств измерений. Алгоритмы
обработки, хранения, защиты и передачи измерительной информации. Методы
испытаний" , который включает полный перечень работ для подтверждения
соответствия программного продукта. Среди основных этапов проверки
Проверка сопроводительной документации
Проверка корректности функционирования
Проверка разделения и защиты данных (информационная безопасность)
Оценка идентификации и вычислительных возможностей.

9.

Для проведения
сертификации
программного обеспечения
(ПО)
требуется
предоставить:
1. Программный продукт. Программное обеспечение может быть предоставлено на электронном носителе
или, при необходимости, с установкой на месте (например, если ПО является частью сложной
информационной системы или встроено в измерительное устройство).
2. Сопроводительная программная документация. Заявитель должен предоставить полный комплект
документов, содержащих следующую информацию:
Официальное название ПО
Описание структуры ПО и выполняемых функций, включая последовательность обработки данных.
Описание метрологически значимых функций и параметров, существенных для работы ПО (в
соответствии с ГОСТ Р 8.654-2015 и ГОСТ Р 8.883-2015).
Описание реализованных вычислительных алгоритмов с блок-схемами.
Описание модулей ПО.
Перечень интерфейсов и команд, включая описание интерфейсов связи и взаимодействия с
пользователем.
Описание пользовательских интерфейсов, меню и диалогов.
Список и описание всех команд для устройств ввода (клавиатура, мышь и т. д.).
Методика идентификации ПО и описание идентификационных признаков.
Описание хранимых или передаваемых данных.
Методы защиты ПО и данных.
Системные и аппаратные требования, если они не указаны в руководстве пользователя.

10.

По результатам сертификационных испытаний программного обеспечения
предоставляются следующие документы:
1. Сертификат соответствия
Сертификат установленного образца, подтверждающий соответствие программного
обеспечения требованиям стандартов и нормативных документов.
2.Приложение к сертификату
В приложении указываются характеристики программного обеспечения, выявленные и
подтверждённые в процессе сертификационных испытаний.
3. Методика испытаний
В рамках сертификации разрабатывается методика испытаний, которая согласовывается
с заказчиком перед началом работ.
4.Протокол испытаний
Все проверки, результаты и выводы по итогам сертификационных испытаний
фиксируются в протоколе испытаний. На его основании принимается решение о выдаче
Сертификата соответствия и приложений к нему.
Эти документы являются официальным подтверждением качества и функциональных
характеристик программного обеспечения и обеспечивают уверенность в его
соответствии установленным требованиям.

11.

Сертификаты разработчика (Code Signing сертификаты) — это
сертификат, которым подписывается программное обеспечение или скрипты,
который подтверждает автора программы и гарантирует, что код не был
изменен после того, как была наложена цифровая подпись.
.
Сертификат разработчика Code Signing
гарантирует:
– подлинность источника, подтверждая посредством
цифровой подписи, что ПО на самом деле выпущено
указанной в сертификате компанией или физическим
лицом;
– целостность кода, подтверждая, что с момента
подписания код про граммы не был изменен,
поврежден или дополнен

12. SSL-СЕРТИФИКАТ

13.

Цифровые
SSL-сертификаты
(сокращение
от
Secure
Socket
Layer)
«защищенный сокетный слой» — это стандартная интернет-технология безопасности:
подтверждает подлинность ресурса;
обеспечивает зашифрованное соединение между веб-сервером (сайтом) и браузером.
SSL-сертификат позволяет нам использовать https-протокол. Это безопасное
соединение, которое гарантирует, что информация, которая передается от вашего
браузера на сервер, остается приватной, т. е. защищенной от хакеров или любого, кто
хочет украсть информацию.
Для того чтобы активировать возможность работы протокола HTTPS, как раз и
нужны цифровые SSL-сертификаты.

14.

15.

Интеграция с
сервисами
Ранжирование в
поисковых
системах
Защита клиентов
Визуальные
характеристики
Защита от
перехвата данных

16.

DV – сертификат (только
Виды сертификатов
доменное имя)
по типу
валидации
OV – сертификат
(домен+организация)
EV – сертификат (расширенная
проверка)
обычный (автоматически,
только домен)
SGC (для устаревших
браузеров)
по свойствам
Wildcard (поддомены 1 домена)
SAN (1 сертификат на разные 5
доменов)
IDN

17.

Виды SSL-сертификатов

18.

Типы SSL-сертификатов по своим свойствам
– обычные SSL-сертификаты — это сертификаты, которые выпускаются автоматически и
подтверждают только домен (подходят для всех сайтов);
– SGC-сертификаты — сертификаты с поддержкой повышения уровня шифрования,
(актуально для очень старых браузеров, уровень шифрования принудительно повышается до
128 бит);
– Wildcard-сертификаты — нужны в том случае, когда кроме основного домена нужно
обеспечить шифрование также на всех поддоменах одного домена;
– SAN-сертификаты — применяется, если необходимо использовать один сертификат для
нескольких разных доменов, размещенных на одном сер вере. Обычно в такой сертификат
входит 5 доменов, и их количество можно увеличивать с шагом в 5;
– EV-сертификаты — это сертификаты с расширенной проверкой и зеленой строкой в
браузере ( только юридическое лицо, коммерческая, некоммерческая или государственная
организация);
– сертификаты c поддержкой IDN — как правило, не у всех центров сертификации указана
эта опция в описании сертификата, но не все сертификаты поддерживают работу с IDNдоменами

19.

Получение SSL-сертификата
– бесплатный способ — это так
называемый самоподписной сертификат
(self-signed), который можно сгенерировать
прямо на веб-сервере.
Такие
сертификаты подходят для служебных
целей и для внутреннего использования, а
вот для публичных сайтов, а тем более для
сайтов, которые продают услуги, такие
сертификаты противопоказаны;
- платные сертификаты, выдаваемые
центром
сертификации.
Данные
в
сертификате
проверены
центром
сертификации, и при использовании такого
сертификата на сайте ваш посетитель
никогда не увидит огромную ошибку на
весь экран.

20.

21.

1. Сформировать запрос на сертификат, так называемый Certificate Signing Request
(вопросы для уточнения данных). Создаются 2 криптографических ключа
(приватный и публичный).
2. Когда CSR сгенерирован, приступать к оформлению заявки на выпуск сертификата.
Центр сертификации (CA — Certification Authority) произведет проверку введенных
данных и в случае успешной проверки выпустит SSL-сертификат с вашими данными
и даст возможность вам использовать HTTPS.
3. Устанавливайте и пользуйтесь

22.

Как получить?
1. На сайте Министерства цифрового развития, связи и массовых коммуникаций РФ
2. На портале Госуслуги (март, 2022) юридические лица могут бесплатно заказать
SSL-сертификат. Он работает только в браузерах, которые поддерживают
сертификаты российского удостоверяющего центра:
•Яндекс.Браузер,
•Спутник,
•Atom.

23.

Получить их можно в центрах сертификации, которые ещё называют
удостоверяющими центрами. Среди самых крупных из них — DigiCert, Symantec,
GlobalSign. Все они занимаются подтверждением ключей для шифрования. Чтобы
получить сертификат, придётся заплатить деньги, зато вы будете уверены в его
подлинности.
Сертификаты от этих компаний идут вместе с печатью доверия. Она подтверждает,
что соединение надёжно защищено.
SSL-сертификат можно получить бесплатно — например, через сервисы Cloudflare
и Let’s Encrypt. Они выдают их на три месяца, а затем их нужно будет продлить.
Но есть несколько нюансов, которые стоит учесть при выборе этих сервисов:
• Cloudflare выдаёт один сертификат на 50 сайтов одновременно. Поэтому он будет
принадлежать не только вам, но и сайтам других компаний. А ещё — у него не будет
печати доверия.
• Сертификат Let’s Encrypt поддерживает не все браузеры, не гарантирует
сохранность данных, а также не имеет печати доверия.
Поэтому иногда стоит выбрать платный сертификат, если важно убедить
пользователей, что соединение надёжно защищено.

24.

Срок действия
Изначально, SSL-сертификаты выдавали на срок до 5 лет. Затем период действия
сократили до 3 лет, а впоследствии — до 2 лет и 3 месяцев (3 месяца дают на
пролонгацию действующего сертификата).
Когда срок действия сертификата подходит к концу, сайт продолжает оставаться
доступным. Однако каждый пользователь, желающий посетить ресурс, видит
всплывающее окно с предупреждением: сайт не отвечает требованиям безопасности.
Максимальный период, на который могут выдать SSL-сертификат — 27 месяцев.
Срок действия ограничен не случайно. Нужно регулярно проверять информацию о
компании, чтобы убедиться в ее актуальности.
Срок действия бесплатного SSL-сертификата – 90 дней

25.

ТОП-10 лучших SSL-сертификатов для сайта 2026 года в России
Редакция изучила множество сервисов для покупки SSL-сертификатов и отобрала 10 лучших:
•Timeweb — предлагает SSL-сертификаты от 179 рублей с защитой от DDoS-атак через DDoS-Guard.
•Beget — SSL-сертификаты с 256-битным симметричным шифрованием и совместимостью с IDNдоменами.
•SmartApe — предоставляет SSL-сертификаты с 2048-битным ключом и 256-битным шифрованием,
поддерживает PHP 7.3 с Zend Guard и ionCube.
•Евробайт — обеспечивает практически безлимитные тарифы с аптаймом серверов 99,99%.
•FirstVDS — размещает серверы в собственном дата-центре WEB DC уровня Tier III с полным
резервированием систем.
•Рег.ру — предлагает SSL-сертификаты и хостинг на основе SSD-дисков с поддержкой панелей
управления ISPmanager, Cpanel или Plesk.
•Appletec — предоставляет 9 различных VDS-тарифов с виртуализацией KVM и неограниченным
трафиком.
•MaxiPlace — обеспечивает работу виртуальных машин в кластерах с гарантированной доступностью
серверов не ниже 99,9%.
•Alliancehost — использует профессиональное оборудование Dell с SSD-дисками и предлагает
упрощённое подключение CloudFlare.
•Rusonyx — предоставляет специализированные хостинг-решения для 1С-Битрикс и WordPress с
автоматическими бэкапами.
English     Русский Rules