Сертификация ПО

← →
Пит (2009-05-29 18:23) [0]

Кто-нибудь сталкивался?

Расскажите, пожалуйста - насколько геморно, что по трудозатратам, что надо иметь, сколько времени, денег. Какие требования было наиболее сложно удовлетворить?

Чему должна соответствовать программа, должна быть документация в каком виде. Проводят ли тестирование и если да в чем оно заключается, возникает ли необходимость что-то переписывать, надо ли предоставлять исходники и в каком объеме...

Ну в общем, хотелось бы впечатлений от тех, кто имеет опыт в данном процессе. Что-то конкретное не могу спрашивать, ибо не в курсе всего этого.

P.S. Сертификация нужна для понтов + доп. козырь в руках менеджеров, что мол у нас "все сертификаты, все супер, мы крутые".

← →
DVM © (2009-05-29 18:27) [1]

> Пит

> Чему должна соответствовать программа, должна быть документация
> в каком виде. Проводят ли тестирование и если да в чем оно
> заключается, возникает ли необходимость что-то переписывать,
> надо ли предоставлять исходники и в каком объеме...

Я не удивлюсь, если вся эта сертификация сводится к заявке, и отстегиванию денег. Не знаю, как ПО, но оборудование как то сертифицировали - всем по барабану что там у тебя за агрегат, плати деньги главное - получишь бумажку.

← →
Пит (2009-05-29 18:40) [2]

я тоже не удивлюсь. Но вопрос не в этом, а в том, как это все происходит.

> Не знаю, как ПО, но оборудование как то сертифицировали
> - всем по барабану что там у тебя за агрегат, плати деньги
> главное - получишь бумажку.

не совсем так. У нас продукция бывало и не проходила сертификацию. Например, абсолютно точно один раз забраковали из-за недостаточной толщины изоляции, при каких-то там тестах (видимо, подавали экстремальные напряжения) был пробой.. Ну точно я не знаю, не занимаюсь этим, но не везде взяточники.
Впрочем, я не опровергаю мысль, что деньги зачастую упрощают процессы.

← →
Пит (2009-05-29 18:43) [3]

Собственно, теоретизировать можно долго, хотелось бы узнать от тех, кто был причастен или разбирается в процессе.

← →
DVM © (2009-05-29 18:48) [4]

> Пит

Я так понимаю сертификация ПО - это проверка и подтверждение того. что оно соответствует каким-либо ГОСТам. Да и то не всем же, а в конкретной области применения.

Место проведения сертификации известно? Может на сайте сертифицирующей организации есть какая информация? Или позвонить туда/сходить, узнать что к чему.

← →
oldman © (2009-05-29 19:02) [5]

> Пит (29.05.09 18:23)
> P.S. Сертификация нужна для понтов

Забей!

Сертификация (например, в нашей области деятельности) нужна для того, чтобы все остальные конторы работали на твоей программе и чтобы вышестоящие конторы это тоже устраивало.
Если чисто для понтов - забей!

← →
Petr V. Abramov © (2009-05-29 23:18) [6]

> Сертификация нужна для понтов + доп. козырь в руках менеджеров,
> что мол у нас "все сертификаты, все супер, мы крутые".

сертификатов дофига на свете, все не получишь.
какой нужен? для работы с информацией, представлющей гостайну? :)
или росатома?

← →
Sergey Masloff (2009-05-30 00:37) [7]

Может речь о гос. регистрации?

← →
Piter © (2009-05-30 22:55) [8]

да я не шарю в этих сертификатах, поэтому и спрашиваю.

Просто бывает так:

- а у вас есть сертификат на продукт?
- нет
- а-а-а... а вот у тех-то есть

Доказывать клиенту лажовость сертификатов, объяснять что они не нужны и прочее - это лишь один из способов. Хочется по-другому, чтобы на вопрос "сертифицировано ли у вас" сказать "ЕСТЕСТВЕННО!" и дать кучу бумажек от государства (а не от рога и копыты конечно), что мол вот - все пучком, и на железо, и на ПО.

Плюс в тендерах зачастую проскакивают фразы аля:

"вся продукция должна быть сертифицирована надлежащим образом"

Зачастую пишут люди, не шарящие в данной проблематике, это на самом деле достаточно естественно, дискутировать об этом желания нету, факт остается фактом. Поэтому на такие расплывчатые фразы хочется иметь сертификат на программную продукцию.

Естественно, хочется от РСТ, а не какие-то левые конторы, подавляющее большинство заказчиков вовсе не дураки, просто не могут они сильно разбираться во всех закупаемых продуктах, поэтому судят по косвенным признакам. Сертификаты - один из таких признаков, надежда хоть на какое качество. Собственно, за этим и задумывались в общем ГОСТ"ы, опять же обсуждать это не хочу, но вот пытаюсь сформулировать ЗАЧЕМ это нам нужно.

А нам это нужно и точка. Вопрос остается в сертификации. Никакой гостайны нету, коммерческое ПО.

Но ставят его и банки, например, многие гос. учреждения. Поэтому хорошо бы сертификаты иметь и по безопасности, и по чему-то другому... Я не разбираюсь, хотел и спросить...

Мне как неосведомленному кажется вполне достаточным что-то типа такого: http://www.grandsmeta.ru/files/sertifikat_gs_gost.jpg

Лично меня бы как заказчика устроило бы. Хотелось бы хотя бы так.

У кого-нибудь есть ОПЫТ сертификации?

← →
Anatoly Podgoretsky © (2009-05-31 10:42) [9]

> Piter (30.05.2009 22:55:08) [8]

У меня есть опыт использования сертифицированых продуктов, при том именно того класса, которое требует сертификации, расчеты сужающих устройств, на основе которых выдается сертификат на устройство.

Именно, что лажа, как можно назвать сертификацией продукт, когда 1-2 обновления каждую неделю.
Эти бумажки или просто покупаются, изготавливаются или сертификационный орган их выдает на автомате не проверяя.
Но даже и в в этом случае надо поновому проходить хотя бы видимую сертификацию, на каждую новую версию программы.

← →
Piter © (2009-05-31 13:05) [10]

Anatoly Podgoretsky © (31.05.09 10:42) [9]
У меня есть опыт использования сертифицированых продуктов

я рад. Но я бы хотел услышать мнение от людей, не которые используют сертифицированные продукты, а от тех, которые сертифицировали свои продукты.

Разница мне кажется очевидна.

← →
Anatoly Podgoretsky © (2009-05-31 13:31) [11]

> Piter (31.05.2009 13:05:10) [10]

Там же, напечатай сертификат, славо богу есть куча программ, которые и красивую форму сделают, и печати, и подписи.

← →
Anatoly Podgoretsky © (2009-05-31 13:32) [12]

> Piter (31.05.2009 13:05:10) [10]

Там же вариант - заплати и получишь сертификат.

← →
Anatoly Podgoretsky © (2009-05-31 13:37) [13]

> Piter (31.05.2009 13:05:10) [10]

Кстати наше предприятие выпускает несколько сертификатов.

← →
Piter © (2009-05-31 16:52) [14]

наверняка у многих в конторе была сертификация ПО... Может, кто-нибудь поспрашивает хотя бы у тех людей, которые этим занимались?

буду благодарен за советы.

← →
DVM © (2009-05-31 16:59) [15]

> Piter ©

Спрашивать у кого то про сертификацию ПО бесполезно, надо идти туда, где будет проходить сертификация и все узнавать, есть очень много нюансов, вот там все и прояснят тебе относительно конкретного вашего продукта.

← →
Piter © (2009-05-31 17:11) [16]

есть единственный орган, сертификацию которого хочу - ГОССТАНДАРТ.

могу уточнить - Москва...

← →
DVM © (2009-05-31 17:33) [17]

> Piter © (31.05.09 17:11) [16]

> есть единственный орган, сертификацию которого хочу - ГОССТАНДАРТ.

Ну и в чем проблема? Звони (495) 236-03-00.

← →
DVM © (2009-05-31 17:36) [18]

А вот и рекомендации.

http://www.gost.ru/wps/portal/pages.root.Activity?WCM_GLOBAL_CONTEXT=/wps/wcm/connect/Web%20Content/GOSTRU/Activity/AcknowledgementCorrespondence/VoluntaryAcknowledgementCorrespondence

← →
Павел Калугин © (2009-06-01 10:51) [19]

> Пит (29.05.09 18:23)
> Кто-нибудь сталкивался?

Угу, сталкивался. Депозитарий в ПАРТАД сертифицировали лет 8 назад
Куча времени на приведение соответствия надписей на кнопках с требованиями к сертификации. Самое смешное, разрабротчик , у которого я это делал, за пару лет до собственной сертификации активно участвовал в разработке тех самых требований. Потому и "малой кровью" обошлось. Названиями пунктов меню, закладок и надписей на кнопках.
Пришел тестер рзвернул портянку требований и побежали....
к обеду он круглыми глазами смотрел на софт и твердил.. ээ не моджет быть. я обязан найти хоть мелкое несоответствие" . Был выведен из ступора обедом и просьбой почитать список авторов.
После чего, была показана непереименованная кнопка он радостно записал расхождение, через неделю приехал, проверил, и все подписал.

> Piter © (31.05.09 17:11) [16]
> есть единственный орган, сертификацию которого хочу - ГОССТАНДАРТ.
>

ааа.. ну это тогда искать сначала стандарт которому надо соответствовать:)

По поводу общей сертификации. Программа сертифицирована для чего и кем? Сертификат, обычно, указывает что продукт соответствует требованиям блаблабла и пригоден для исвользования в бла бла бла
По сути, привелденный тобой пример указывает, что выхлоп программы соответствует нормативке. То есть что сформированная в программе смета будет соотвествовать перечисленным в сертификате ГОСТам.

А далее вопрос, что сертифицировать в твоей программе.
С какой целью?
Кто сертифицирует?
повторюсь, в моем случае сертификат ГОССТАНДАРТ - просто бумажка а сертификат ПАРТАД - необходимое требование было.

← →
Ega23 © (2009-06-01 11:20) [20]

> - а у вас есть сертификат на продукт?
> - нет
> - а-а-а... а вот у тех-то есть

Сертификат выдаётся на соответствие какому-либо ГОСТу (или ОСТу), либо на совокупность государственных и/или отраслевых стандартов.

Офицальная сертификация - дело крайне геморное и трудоёмкое. Плюс, если мне память не изменяет, сертификация с точки зрения ПО ещё чуть ли не после каждого нового патча\релиза должна заново подтверждаться.

← →
Пит (2009-06-01 11:38) [21]

Удалено модератором
Примечание: Пункт 5.

← →
Ega23 © (2009-06-01 11:43) [22]

> Интересует сертификация по ГОСТ"ам, непосредственно контролирующая
> качество и требования к ПО, независимо от предназначения
> ПО.

Так не бывает. Молоток не сертифицируется как "просто молоток". Он может проходить сертификацию, как "сапожный молоток" или "молоток для забивания 150мм гвоздей в открытом космосе" или "молоток для работы в гелиево-аргонной среде".
С ПО то же самое.

← →
Пит (2009-06-01 13:13) [23]

> Так не бывает. Молоток не сертифицируется как "просто молоток".
> Он может проходить

Олег, со всем уважением, но зачем в такой категоричной форме писать о том, в чем ты не разбираешься? Опыта работы с ГОСТами в сфере ПО у тебя нету - это очевидно по твоим словам.
Я понимаю, что опираясь на логику ты постулируешь как должно было бы быть по твоему мнению.
Но меня, к сожалению, интересует получение ГОСТов на ПО, конкретные бумажки, а не домыслы и проведения аналогий с чем-либо.

http://protect.gost.ru/document.aspx?control=7&id=138388

http://www.standards.ru/document/4144514.aspx

← →
Павел Калугин © (2009-06-01 13:14) [24]

На

> Но по прежнему хотелось бы услышать мнение людей, которые
> непосредственно занимались вопросами сертификации.

> Ega23 © (01.06.09 11:43) [22]

> Он может проходить сертификацию, как "сапожный молоток"

+1
И совсем не обязательно это соответствие зафиксированно ГОСТ или ОСТ.
Все зависит от предметной области

← →
Пит (2009-06-01 13:24) [25]

Товарищи, я тоже могу придумывать до бесконечности.

Я могу с такой же легкостью сказать, что не может пройти сертификацию "сапожный молоток", он будет либо "сапожный молоток для мягкой подошвы" или "сапожный молоток для жесткой подошвы". И уровень вложенности зависит лишь от степени изобретательности.

Но это не имеет отношения к реальности. Утверждение Олега "Так не бывает" - ошибочно, это с легностью видно, если даже вскольз почитать некоторые ГОСТ"ы, ссылки я привел.

Там не стандартизируется ПО как прикладной продукт в определенной области, куча ГОСТов где качество ПО рассматривается как таковое само по себе. Например, требование к документации, к экранным формам, читабельности информации и понятности.
Допустим, есть пункты, где утверждается, что любые сложные действия в программе, критичные должны иметь возможность встроенного отката или предупреждение о необратимости действий. И так далее, и так далее.

Я рад за попытки помочь, но я завел ветку, чтобы объяснили мне, так как я нифига не разбираюсь. А приходится объяснять самому элементарные вещи, опровергать теоретизирования.

← →
Ega23 © (2009-06-01 13:29) [26]

> но зачем в такой категоричной форме писать о том, в чем
> ты не разбираешься? Опыта работы с ГОСТами в сфере ПО у
> тебя нету - это очевидно по твоим словам.

Всё как бы немного наоборот. Проходили сертификацию в плане ПО для систем физ.защиты и управления доступом. Проходили как по ГОСТ-ам (номера уже не помню, звнияй) так и по ОСТ-ам (для разных - разные).

И не может никак у тебя ПО проходить по ГОСТ-у "просто ПО". У тебя как минимум операционка есть и железо. Которое может ка подлежать сертификации (Государственной и Отраслевой, естественно), так и не подлежать.
понятно, что я сейчас восновном о гос.сертификации говорю (я ведь и свой стандарт могу присвоить и свою бумажку выдавать - это ПО соотетствует стандарту Ega23.341, а этое - нет).

В целом - да, очень похоже на то, что кому-то надо денег забашлять, и сертификат в кармане. Что, к сожалению, не избавляет тебя от написания килограмм 15 документации. У нас в конторе отдельная тётка работала, которая чисто специалист по ГОСТам была, одна тётка - по документации, технический секретарь и ещё программеры сами немало документов писали.

← →
Ega23 © (2009-06-01 13:37) [27]

> Там не стандартизируется ПО как прикладной продукт в определенной
> области, куча ГОСТов где качество ПО рассматривается как
> таковое само по себе.

То, что ты привёл... Ну не знаю, такой именно сертификат никому на... не нужен, в общем.
Когда тебя спрашивают: "А есть ли у вас сертификат на ....", то вот это вот "на ...." - это исключительно применимо к очень конкретной предметной области.

> Например, требование к документации, к экранным формам, читабельности информации и понятности.

Я довольно длительное софт для военных и полу-военных писал. Так вот, у них крайне специфическое мнение насчёт экранных форм, читабельности и понятности, а также по цветам раскраски и размерам фонтов. И в соответствующих ОСТ-ах это дело даже расписано, причём очень подробно, военные это умеют (по секрету - это лучшее ТЗ, которое я когда-либо видел в жизни. Добавлять к нему было просто нечего, равно как и уточнять).
И вот потенциального заказчика волнует как раз этот сертификат, а не какой-то там общий на ПО.

← →
jack128_ (2009-06-01 13:58) [28]

> такой именно сертификат никому на... не нужен,
> в общем.

никому/никогда/всегда/всем/все/ничего - не стоит всуе употреблять ;-)

Любой тезис-обобщение опровергается единственным контрпримером.

← →
Пит (2009-06-01 14:05) [29]

> Ну не знаю, такой именно сертификат никому на... не нужен,
> в общем.

перечитай плиз пост [8]

> Когда тебя спрашивают: "А есть ли у вас сертификат на ..
> ..", то вот это вот "на ...." - это исключительно применимо
> к очень конкретной предметной области

> потенциального заказчика волнует как раз этот сертификат,
> а не какой-то там общий на ПО

Олег, твоими устами да мед пить. Но, к сожалению, я общаюсь в том числе и с заказчиками. И фразы в тендере:

"вся продукция должна быть сертифицирована надлежащим образом"

вовсе не уникальны.

Уточнять у человека, который это писал смысла никакого нету, он не разбирается в этом вообще.

Изменять условия тендера - проще развести на оплату в двухкратном размере, чем что-то изменить. Обычно сидит начальник с постулатом "Я тут согласовывал согласовывал, вот подписал и ничего я больше делать не буду идите нафиг даже не думайте".

Судиться доказывать что значит "надлежащим образом" не хочется. Не надо рассказывать, что это бумажка ничего не означает, она не мне нужна и для меня она и не означает ничего, я с этим и не спорю.

> И фразы в тендере:
>
> "вся продукция должна быть сертифицирована надлежащим образом"
>
> вовсе не уникальны.

Правильно! Так и есть!
Только "надлежащая сертификация" на такое ПО по тем ГОСТ-ам, которые ты привёл, ИМХО, нужна только в случае, когда какой-нибудь софт для этой... "Библиотеки имени БЕНи" пишется, или программа для акиза алкогольного (хотя для послеж\дней - не факт).

Всё остальное - это соответствие безопасности, надёжности, юзабилити и т.п. для той конкретной предметной области, для которой тендер проводится.

> Пит (01.06.09 14:05) [29]

Вобщем, как совет - полазий по сайтам конкурентов (ну наверняка конкуренты есть) и почитай про их продукты. Такие вещи, как наличие сертификата на ... очень любят на сайтах продукта вываливать. Вот и посмотри, чему данный сертификат соответствует.

Во, ради прикола на сайт бывшей своей работы зашёл.

При разработке и производстве программно-аппаратного комплекса учтены требования следующих стандартов, нормативных и руководящих документов: * Общетехнических: ГОСТ 12997, ГОСТ 12.2.007, ГОСТ 27.002, ГОСТ 21522, ГОСТ 23773, ГОСТ Р 5007, ГОСТ Р 50627, ГОСТ Р 51241, ГОСТ Р 50775 (МЭК 839-1-1), ГОСТ Р 50776 (МЭК839-1-4); * Минобороны: ГОСТ РВ 15.307, ГОСТ РВ 20.39.303, ГОСТ РВ 20.39.304, ГОСТ РВ 20.39.309, ГОСТ РВ 20.57.305, ГОСТ РВ 20.57.306; * Росатома: ОСТ Р 50746, ГОСТ Р 51635; * Гостехкомиссии России.

Сертификат - это документ, подтверждающий соответствие предметной области определенным критериям эмиссионером.
Соответсвенно "вся продукция должна быть сертифицирована надлежащим образом" говорит о том, что для определенной предметной области сущесвуют определенные критерии, которые, в свою очередь, кем-то определены.

По поводу сертификации по всяким там ИСО XXXX
Насколько я знаю сертифицироуется соответствие процесса разработки ПО данному стандарту.
То есть не само ПО а процессы в конторе разработчике.
По приведенной ссылке да, один из стандартов.
Позвони в росстандарт (тилипон вроде приводили) и спроси в каком порядке они выдают сертификат соответствия данному стандарту и выдают ли оный вообще.

> и спроси в каком порядке они выдают сертификат соответствия
> данному стандарту и выдают ли оный вообще.

Выдают. Пришлют в контору комиссию, которая будет ходить и смотреть на процесс. Чтобы смотрелось мутнее комиссия поится алкоголем. От качества и количества алкоголя зависит вердикт.

← →
Пит (2009-06-01 16:23) [35]

> По поводу сертификации по всяким там ИСО XXXX

> Пришлют в контору комиссию, которая будет

вы про менеджмент качества?

Нет, такое не нужно. Нужен вердикт-сертификация на готовое ПО

> Ega23 © (01.06.09 16:17) [34]

процесс если мне не изменяет память это ИСО 9000

а почитав ИСО 2000 (по сцылке) это таки на софт и доку к нему стандарт. Только сертифицируют ли по нему вот вопрос?
Это типа написав ТЗ по ГОСТ надо еще идти в росстандарт чтоб подтвердили чтьо оно по госту. Поля там померяли, шрифты, интервалы

> Пит (01.06.09 16:23) [35]

Да позвони ты в контору головную :)

> процесс если мне не изменяет память это ИСО 9000

Там этиз ISO - как собак нерезанных.

http://www.rosstandart.ru/services/

> Сертификация продукции
> Мы поможем оформить следующие документы на продукцию:
>
> Сертификат соответствия (сертификат качества, сертификат
> ГОСТ Р) — подтверждает соответствие продукции требованиям,
> установленным действующими стандартами и правилами (ГОСТ,
> ГОСТ Р, ГОСТ Р МЭК, ТУ и пр.). Может как добровольным,
> так и обязательным.
> Стоимость: 9-я схема (на инвойс) - от 4000 рублей, 3-я схема
> (на производителя) - от 6500 рублей, 7-я схема (на контракт)
> - от 5500 рублей.
> Стоимость сертификатов соответствия приведена ориентировочная,
> окончательная стоимость определяется после уточнения вида
> продукции, на которую оформляется сертификат.
>
>
> Отказное письмо ВНИИС — официальное письмо Всероссийского
> Научно-Исследовательского Института Сертификации, которое
> подтверждает, подлежит или не подлежит продукция сертификации.
>
> Стоимость: от 7500 рублей.
> Окончательная стоимость зависит от количества наименований
> продукции и от срочности.
>
>
> Санитарно-Эпидемиологическое Заключение (СЭЗ, гигиенический
> сертификат) — подтверждает, что продукция соответствует
> установленным гигиеническим нормам и санитарным правилам
> принятым в РФ.
> Стоимость: от 6500 рублей.
>
>
> Заключение о содержании спирта в продукции (протокол на
> спирт) — заключение об испытаниях продукции на содержание
> спиртовых добавок в составе.
> Стоимость: от 3000 рублей
>
> Для получения дополнительных консультаций по поводу стоимости
> сертификации просьба обращаться по телефону: (495) 226-43-
> 09

ну и вот тут еще посмотри. позвони...
http://www.gost.ru/wps/portal/pages.Certifiers

Сертификация ПО Найти похожие ветки