Каким боком сертификация средств защиты для работы с гостайной и пограммист, который пилит отчётную систему на базе LibreOffice из состава уже сертифицированного дистрибутива???

На что собрались сертифицироваться, юмористы???
Если вы оттестировали работу своего приложения в замкнутой среде сертифицированного дистрибутива и, если у вас имеется юридически стойкая позиция, исключающая ваше приложение из категории "средства защиты информации"?

Если, внезапно, у вас нет такой позиции и, внезапно ещё раз, расстановка отметок уровней секретности в документах XYZ Office отнесена к этим самым средствам защиты информации и, если вдобавок, вы работаете в правовом пространстве Российской Федерации, то вопросы на "общецелевом" форуме - выглядят странно. Мягко говоря.

Даже если вы сертифицируетесь на отсутствие незадекларированных возможностей (НДВ), то есть ньанс - никто не примет запрос на сертификацию от физического лица. А у юридического лица должны быть мало-мальски компетентные специалисты в сфере защиты информации. Особенно, если это юридическое лицо претендует на работу с гостайной.
Именно поэтому я помалкивал, видя идиотские вопросы, но не выдержал, когда накал идиотии превысил даже неразумные границы.

Это, типа, должно удивлять или должно вызывать сомнения в адекватности отечественного законодательства?
Или, всё-таки, достаточно вспомнить, что статистически качественный вихрь Мерсена не является криптографически стойким, поскольку позволяет восстановить параметры генератора по последовательности в 519 чисел?

Если уж мы взялись меряться пиписьками, то мой личный стаж государственной гражданской службы превышает десять лет.
Работал (всегда) именно, что техническим специалистов в области "системное администрирование и поддержка пользователей". Плюс кусочки предметной области сопровождаемого ПО. Всё это требовало достаточно хорошего знания законодательства в сфере информационных (и смежных) технологий.
Плюс два года работы со средствами защиты информации на последнем месте госслужбы в разветвлённой сети (учредитель плюс подведомственные). С гостайной напрямую не работал, но "рядом постоять" - приходилось.

Так вот, надо читать документы, ссылки на которые вы так необдуманно выкладываете на форум.

P.S.
Сертификация, если мы всё ещё о ней, всегда идёт по конкретному списку дистрибутивов.

И со второго раза не доходит, что надо читать документы, на которые вы ссылаетесь?
Приказ, которым вы размахиваете, относится к гостайне. Точка.
Вы не можете просто так взять и начать работать с гостайной, не имея необходимой лицензии. Лицензия выдаётся юридическому лицу и можно обоснованно предположить, что в штате этого юридического лица должно быть некоторое количество специалистов с необходимой подготовкой, квалификацией и стажем работы.
Разработка, распространение и эксплуатация средств защиты информации на возмездной основе является лицензируемой деятельностью. Лицензия, опять-таки, выдаётся юридическому лицу. Насколько я помню, в штате у такого юридического лица должно быть не менее двух специалистов (на полную ставку) с необходимой подготовкой и стажем работы. Подготовка, если не ошибаюсь, начинается с пары сотен часов обучения. Стаж - с года или двух.
Так вот, если все эти специалисты у вас есть, то вопросы на "общецелевом" форуме являются глупостью. А если у вас нет специалистов, то у вас не может быть и лицензии, а значит никакой сертификации вы не пройдёте по чисто формальным признакам.
Поэтому тестируйте работу своего ПО на конкретных дистрибутивах и продавайте заказчику со словами "мамой клянусь - всё работает".

Подчеркнул одну из целей сертификации.