Сертификация — это предоставление независимым органом подтверждающего документа (сертификата), заверяющего соответствие определенного продукта (услуги, системы) установленным требованиям

Сертификация включает в себя:
1) подачу Заявителем (разработчиком или правообладателем изделия) заявки на проведение сертификации и рассмотрение Регулятором представленных материалов;
2) принятие Регулятором решения по заявке на проведение сертификации с указанием ее схемы (единичный образец, партия изделий или серийное производство);
3) назначение Регулятором Органа по сертификации (при проведении испытаний в системе ФСТЭК России, для системы Министерства Обороны Органом выступает 8 управление МО РФ);
4) разработку Программы и методик испытаний и согласование их с Заявителем;
5) утверждение Программы и методик испытаний назначенным Органом по сертификации;
6) непосредственно испытания — проверка документации, статический, динамический анализ изделия, фаззинг-тестирование, анализ взаимодействия со средой функционирования (перечень испытаний зависит от уровня доверия / уровня контроля), проверка производства сертифицируемой продукции (в случае серийного производства);
7) подача в Орган по сертификации Протоколов испытаний и Технического заключения;
8) подача Органом по сертификации материалов испытаний и Экспертного заключения Регулятору;
9) выдачу Регулятором сертификата или мотивированный отказ в выдаче сертификата;
10) осуществление Заявителем технической поддержки сертифицированной продукции.

Динамический анализ – анализ программного обеспечения, производящийся при помощи выполнения программ на реальном или виртуальном процессоре.

Статический анализ — анализ программного обеспечения, производимый без реального выполнения исследуемых программ; в большинстве случаев производится над какой-либо версией исходного кода

Фаззинг - техника тестирования программного обеспечения, часто автоматическая или полуавтоматическая, заключающаяся в передаче приложению на вход неправильных, неожиданных или случайных данных

Согласно Методике ВУ НДВ (ФСТЭК России, 2020), начальными данными для проведения сертификационных испытаний служат результаты всех испытаний, предоставляемые разработчиком — статический анализ, динамический анализ, фаззинг-тестирование, системный анализ (сетевая активность, активность файловой системы, обращения к реестру, создание дочерних процессов, обращение к общей памяти и пр.).
Аналогично все эти процедуры требуется соблюдать согласно ГОСТ Р 56939-2016 Защита информации. Разработка безопасного программного обеспечения
Однако если методики проведения испытаний изделия, проводимых разработчиком, не удовлетворяют требованиям Регулятора, Испытательная Лаборатория вправе самостоятельно проверить продукт. От разработчика потребуется лишь обработка (разметка) результатов автоматизированного анализа.
Следует отметить, что в этом случае время- и трудозатраты на полноценные испытания увеличивают срок сертификации.

Требования ФСТЭК России к уровням доверия - устанавливают требования к разработке и производству, проведению испытаний, а также к поддержке безопасности средств защиты информации и средствам обеспечения безопасности информационных технологий

Тестирование на проникновение - метод оценки безопасности компьютерных систем или сетей средствами моделирования атаки злоумышленника, процесс включает в себя активный анализ системы на наличие потенциальных уязвимостей

Оценка соответствия — прямое или косвенное определение соблюдения требований, предъявляемых к объекту.
Сертификация - одна из форм оценки соответствия в отношении определенных национальными стандартами видов продукции; процедура подразумевает выполнение комплекса работ в соответствии с утвержденными регламентами и предполагает оформление сертификата

Функциональное тестирование – это тестирование программного обеспечения в целях проверки реализуемости функциональных требований, то есть способности ПО в определённых условиях решать заявленные задачи

Аттестация объектов информатизации – это комплекс организационно-технических мероприятий, в результате которых посредством специального документа - "Аттестата соответствия" - подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации

Лицензирование - деятельность лицензирующих органов по предоставлению, переоформлению лицензий, продлению срока действия лицензий в случае, если ограничение срока действия лицензий предусмотрено федеральными законами, осуществлению лицензионного контроля, приостановлению, возобновлению, прекращению действия и аннулированию лицензий, формированию и ведению реестра лицензий, формированию государственного информационного ресурса, а также по предоставлению в установленном порядке информации по вопросам лицензирования

Техническая защита информации - защита информации, заключающаяся в обеспечении некриптографическими методами безопасности информации (данных), подлежащей (подлежащих) защите в соответствии с действующим законодательством, с применением технических, программных и программно-технических средств

Конфиденциальная информация – информация ограниченного доступа, признанная такой в соответствии с законодательством, разглашение (утечка) которой могут нанести ущерб охраняемым интересам личности, предприятия (организации), общества или государств

Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в т.ч. его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация

Информация для служебного пользования - один из основных видов конфиденциальной информации, охватывает широкий круг сведений, которые собираются, обрабатываются, хранятся в процессе деятельности органов власти, других государственных учреждений и организаций