Сертификация информационных средств

Государственный учет информационных продуктов

В Российской Федерации государственный учет материальных, интеллектуальных и других продуктов осуществляется в двух основных формах:

• информационная сертификация самой продукции, которая предполагает оценку качества готового изделия на соответствие установленным требованиям;
• лицензирование, в рамках которого на соответствие действующим нормативам оценивается процесс оказания услуги или производства товара.

При этом стандартизация и сертификация информационных систем в разных случаях осуществляется с применением различных механизмов.

Лицензирование

Общие правила лицензирования в нашей стране определены Федеральным законом от 4 мая 2011 года № 99-ФЗ. Согласно статье 12 этого нормативного документа органы сертификации информационных систем осуществляют обязательное лицензирование следующих направлений деятельности:

• изготовление и распространение IT-систем, использующих криптографические инструменты безопасности;
• техническое обслуживание таких продуктов;
• изготовление спецсредств для обеспечения безопасности секретных данных;
• защита секретных данных с использованием технических средств.

Сертификация

Для систем, которые используют федеральные и региональные органы власти, и продуктов, которые оперируют конфиденциальными данными, предусмотрена сертификация в области информационной безопасности, которая осуществляется в обязательном порядке. Основной список продукции, на которую распространяется требование об обязательной оценке соответствия, приведен в Постановлении Правительства от 1 декабря 2009 года № 982. Изучение этого нормативного документа показывает, что упоминание об IT-системах в нем отсутствует, то есть их обязательная оценка соответствия в целом не предусмотрена. Исключение из этого правила определено статьей 19 Федерального закона от 20 февраля 1995 года № 24-ФЗ о защите информации.

Однако в соответствии с положениями Федерального закона от 6 октября 1999 г. № 184-ФЗ о техническом регулировании она может осуществляться в добровольном порядке. В этом случае применяется система добровольной сертификации информационных технологий, зарегистрированная в России, или международный комплекс оценки.

Типы сертификатов

В рамках добровольной оценки соответствия в IT-сфере осуществляется выдача двух типов сертификатов:

• персональный сертификат соответствия информационной безопасности, который подтверждает наличие у специалиста навыков и умений в определенной сфере;
• корпоративный сертификат, который свидетельствует о внедрении в компании того или иного комплекса обеспечения IT-безопасности.

В настоящее время одним из наиболее распространенных корпоративных документов является сертификат информационной безопасности ISO 27001.

Управление информационной защищенностью предприятия

Система, обеспечивающая информационную безопасность деятельности организации, должна охватывать все аспекты ее функционирования. Это касается таких видов работ как создание программных продуктов, их отладка, внедрение, контроль работы, анализ появляющихся ошибок, доработка сценария, техническая поддержка и разработка обновлений. Для подтверждения соответствия такого комплекса установленным требованиям и текущим задачам предприятия используется сертификация систем менеджмента информационной безопасности по стандарту ISO 27001.

Принципы ISO 27001

Общемировая популярность комплекса ISO 27001 обусловлена тем, что она обеспечивает эффективный характер защиты конфиденциальных данных для предприятия. Это стало возможным благодаря тому, что оценка соответствия в данной системе базируется на следующих принципах:

• всестороннее предотвращение несанкционированного доступа к информации и обеспечение ее безопасности;
• обеспечение полноты информации и корректности методов ее обработки;
• гарантия бесперебойного доступа к данным для пользователей, имеющих соответствующие права.

Критерии системы

Согласно принципам ISO 27001 сертификация в информационной сфере означает, что компания прошла проверку на соответствие следующим критериям:

• комплексная политика IT-безопасности;
• продуманный алгоритм управления IT-безопасностью;
• обеспечение защиты данных при организации доступа третьих лиц;
• надежное предотвращение несанкционированного доступа к данным;
• минимизация количества сбоев в работе;
• использование релевантных и безопасных методов обработки данных;
• обеспечение безопасности каналов передачи информации;
• гарантия сохранности системных файлов.

Проверка на соответствие критериям ISO 27001

В соответствии с установленным порядком сертификация информационных средств на соответствие принципам ISO 27001 производится по следующему алгоритму.

1. Компания самостоятельно или с привлечением компетентных консультантов разрабатывает программу внедрения системы и необходимую документацию, проводит обучение сотрудников, модернизацию инструментов и оборудования.
2. Сертифицированный аудитор выполняет предварительную проверку готовности компании к основной проверке в формате выездного или документарного аудита.
3. Компания устраняет выявленные недочеты. Назначается дата основной проверки.
4. Проводится основной этап сертификационного аудита, в рамках которого выполняется проверка на соответствие организации всем обязательным критериям.
5. По результатам аудита выносится окончательное решение о сертификации. Если оно окажется положительным, аудитор оформляет и передает заказчику сертификат, подтверждающий его соответствие требованиям системы безопасности.

В течение срока действия сертификата предусматривается проведение регулярного инспекционного контроля для подтверждения выполнения требований ISO 27001.

Сертификационные документы

Организация, которая в ходе проверки подтвердила свое соответствие требованиям IT-безопасности, получает официальный сертификат. Он оформляется аудитором, проводившим проверку, по установленному образцу. Документ предоставляется в бумажной форме для предъявления потенциальным контрагентам, партнерам и клиентам. При необходимости копия сертификата направляется заказчику в электронном виде.

Стоимость сертификата

На законодательном уровне стоимость сертификата не устанавливается. Сертифицированные аудиторы самостоятельно определяют свою ценовую политику в зависимости от ситуации на рынке, сложности необходимых работ и других факторов. На текущий момент комплекс всех необходимых работ по сертификации информационных систем эксперты оценивают в сумму от 25 до 50 тысяч долларов.

Преимущества работы с нами

Центр сертификации «Безопасность» является сертифицированным аудитором в области информационной безопасности. Нашим клиентам мы предлагаем удобный формат работы «под ключ». В рамках комплексной услуги Вы получаете:

• тщательную подготовку к сертификации с выполнением всех необходимых требований;
• предварительную проверку готовности компании к сертификации и рекомендации по устранению проблем;
• проведение сертификационного аудита;
• оформление официального сертификата соответствия требованиям системы ISO 27001;
• проведение инспекционного контроля, необходимого для обеспечения действительности сертификата.

Обратитесь к нам по телефону +7 (812) 467-34-86, чтобы получить качественный результат по разумной стоимости!

Скачать заявку на услугу