Процесс сертификации разработки безопасного программного обеспечения включает в себя следующие этапы: 13

1. Заключение договора между изготовителем средства защиты информации и органом по сертификации. 1
2. Представление заявки на сертификацию в ФСТЭК России. 13 В заявке указывают полное и сокращённое наименование изготовителя, его организационно-правовую форму, адрес юридического лица и другие данные. 1
3. Получение решения ФСТЭК России о проведении сертификации процессов безопасной разработки программного обеспечения. 12 Решение оформляется в трёх экземплярах, подписывается уполномоченным должностным лицом ФСТЭК России и направляется или вручается по одному экземпляру изготовителю и органу по сертификации. 12
4. Сертификация на материально-технической базе изготовителя. 12 Она проводится в сроки, установленные договором на проведение сертификации, заключённым с изготовителем. 2
5. Оценка соответствия руководства по безопасной разработке программного обеспечения и документации, имеющейся у изготовителя. 13
6. Проверка наличия у изготовителя средств разработки программного обеспечения, а также средств для проведения композиционного, статического и динамического анализа программного обеспечения. 13
7. Проверка реализации изготовителем процессов безопасной разработки программного обеспечения, приведённых в руководстве и в документации по безопасной разработке программного обеспечения. 13
8. Проверка реализации изготовителем процедур поддержки безопасности программного обеспечения. 13
9. Проверка выполнения требований к обучению специалистов изготовителя, участвующих в реализации процессов безопасной разработки программного обеспечения. 13
10. Оформление протоколов сертификации органом по сертификации. 13 В них указывают основание для проведения сертификации, даты и места проведения, описание процессов безопасной разработки программного обеспечения, реализованных изготовителем, результаты сертификации по каждому процессу и выводы о соответствии или несоответствии требованиям. 13
11. Оформление экспертного заключения органом по сертификации по завершении сертификации. 13 В нём указывают основание для проведения сертификации, описание процессов безопасной разработки программного обеспечения, реализованных изготовителем, результаты сертификации по каждому процессу, вывод о соответствии или несоответствии требованиям и выводы о возможности или невозможности выдачи сертификата соответствия. 13
12. В случае положительных результатов орган по сертификации подготавливает проект сертификата соответствия и представляет материалы сертификации в ФСТЭК России. 23 ФСТЭК России рассматривает материалы и в случае положительного решения выдаёт сертификат соответствия. 2