Сертификация ФСТЭК не предполагает выдачу гарантий. Естественно, в сертифицированном ПО могут остаться незамеченными как недекларированные возможности, так и уязвимости. Но сама система сертификации направлена на то, чтобы минимизировать такие риски. ФСТЭК обязывает производителей сертифицированного ПО незамедлительно устранять выявленные уязвимости и недекларированные возможности. Вот выдержка из приказа 55 ФСТЭК от 3 апреля 2018 г. по сертификации:
«11. Заявители должны обеспечивать соответствие сертифицированных средств защиты информации требованиям по безопасности информации, а также осуществлять устранение недостатков и дефектов средств защиты информации, в том числе устранение уязвимостей и недекларированных возможностей программного обеспечения средств защиты информации, информирование потребителей об обновлении программного обеспечения средств защиты информации, доведение до потребителей обновлений программного обеспечения средств защиты информации, а также изменений в эксплуатационную документацию».
Иначе действие сертификата будет приостановлено (из того же Приказа):
«83. Действие сертификата соответствия приостанавливается в случаях:
…
установления факта несоответствия сертифицированного средства защиты информации требованиям по безопасности информации на основании поступившей в ФСТЭК России информации, в том числе о наличии в сертифицированном средстве защиты информации уязвимостей или недекларированных возможностей;
…»
Поэтому, реализуется вариант «д», который у Вас не приведен:
д) Заявитель/производитель оперативно устраняет выявленную проблему в сертифицированном ПО.
«11. Заявители должны обеспечивать соответствие сертифицированных средств защиты информации требованиям по безопасности информации, а также осуществлять устранение недостатков и дефектов средств защиты информации, в том числе устранение уязвимостей и недекларированных возможностей программного обеспечения средств защиты информации, информирование потребителей об обновлении программного обеспечения средств защиты информации, доведение до потребителей обновлений программного обеспечения средств защиты информации, а также изменений в эксплуатационную документацию».
Иначе действие сертификата будет приостановлено (из того же Приказа):
«83. Действие сертификата соответствия приостанавливается в случаях:
…
установления факта несоответствия сертифицированного средства защиты информации требованиям по безопасности информации на основании поступившей в ФСТЭК России информации, в том числе о наличии в сертифицированном средстве защиты информации уязвимостей или недекларированных возможностей;
…»
Поэтому, реализуется вариант «д», который у Вас не приведен:
д) Заявитель/производитель оперативно устраняет выявленную проблему в сертифицированном ПО.