Поэтому в сферах, связанных с обработкой конфиденциальных данных, должно применяться только то программное обеспечение, которое прошло определённую оценку.

Если просто, то оценочный уровень доверия (ОУД) - это показатель того, насколько можно считать программное обеспечение безопасным.

Оценка программного обеспечения осуществляется в соответствии со стандартом ISO/IEC 15408-3-2017 "Информационные технологии. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования к обеспечению защиты".

Истоки данного стандарта берут своё начало в США в 70-х годах прошлого века. По мере развития информационных технологий силовые ведомства США стремились гарантировать надёжность программного обеспечения, используемого госорганами для защиты информации. В результате объединения нескольких подходов появился стандарт ISO/IEC 15408 «Common Criteria for Information Technology Security Evaluation».

На сегодняшний день стандартом ISO/IEC 15408-3-2017 "Информационные технологии. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования к обеспечению защиты" предусмотрены 7 оценочных уровней доверия (далее - ОУД) к продуктам информационных технологий (программному обеспечению).

Если кратко, то ОУД1 применяется, когда угрозы безопасности не рассматриваются как серьёзные, а ОУД7используется в условиях чрезвычайно высокого риска и/или там, где имеется очень высокая ценность информации. То есть самый низкий уровень доверия - первый (ОУД1), а самый высокий - седьмой (ОУД7).

Уровни доверия подразумевают различные методы оценки от простого подтверждения наличия определённых функций до анализа исходного программного кода с целью выявления уязвимостей в нём.

На сегодняшний день наиболее частым требованием к программному обеспечению является наличие не ниже четвёртого ОУД, что позволяет применять его для обработки сведений, составляющих государственные секреты. Наличие ОУД подтверждается сертификатом испытательной лаборатории.

Для подготовки к сертификации необходимо разработать ряд документов согласно СТ РК ISO/IEC 15408, провести испытания исходного кода в испытательной лаборатории и направить результаты в орган по сертификации для выдачи решения о соответствии установленным требованиям. Анализ исходных кодов проводится с целью выявления недостатков ПО. Выявление недостатков ПО проводится с использованием специализированных программных средств на основании исходных кодов, предоставленных заявителем (вашей организацией). Объём работ по анализу исходного кода зависит от его размера.

В РК есть ряд компаний, которые сопровождают весь путь сертификации, от подготовки необходимого пакета документации до выдачи сертификата соответствия.

ОУД проверяется лабораторией, которая была аккредитована в Национальном центре аккредитации Республики Казахстан на соответствие требованиям ГОСТ ISO/IEC 17065-2013 "Оценка соответствия. Требования к органам по сертификации продукции, процессов и услуг". Лаборатория проводит анализ и принимает решение о соответствии ПО установленным требованиям.

Проверить актуальность аккредитации можете в Реестре субъектов аккредитации.