Что такое обязательная сертификация информационных технологий
Статья 19. Сертификация информационных систем, технологий, средств их обеспечения и лицензирование деятельности по формированию и использованию информационных ресурсов
Статья 19. Сертификация информационных систем, технологий, средств их обеспечения и лицензирование деятельности по формированию и использованию информационных ресурсов
1. Информационные системы, базы и банки данных, предназначенные для информационного обслуживания граждан и организаций, подлежат сертификации в порядке, установленном Законом Российской Федерации «О сертификации продукции и услуг».
2. Информационные системы органов государственной власти Российской Федерации и органов государственной власти субъектов Российской Федерации, других государственных органов, организаций, которые обрабатывают документированную информацию с ограниченным доступом, а также средства защиты этих систем подлежат обязательной сертификации. Порядок сертификации определяется законодательством Российской Федерации.
3. Организации, выполняющие работы в области проектирования, производства средств защиты информации и обработки персональных данных, получают лицензии на этот вид деятельности. Порядок лицензирования определяется законодательством Российской Федерации.
ГАРАНТ:
См. Положение о лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации, утвержденное постановлением Правительства РФ от 27 мая 2002 г. N 348
4. Интересы потребителя информации при использовании импортной продукции в информационных системах защищаются таможенными органами Российской Федерации на основе международной системы сертификации.
Сертификация в области информационной безопасности
5,0 (Проголосовало: 4)
Сертификация IT-систем и лицензирование
Постановление Правительства от 1 декабря 2009 года N 982 содержит исчерпывающий перечень позиций, которые подлежат обязательной сертификации. Но информационные системы в этом списке не упоминаются. Это означает, что на них не распространяется правило об обязательной оценке соответствия, то есть сертификация в области информационной безопасности в Российской Федерации не требуется. В соответствии с положениями федерального закона о т 6 октября 1999 г. N 184-ФЗ оценка соответствия таких объектов проводится в добровольном порядке по инициативе заявителя.
Исключение из этого правила зафиксировано в статье 19 федерального закона от 20 февраля 1995 года № 24-ФЗ, посвященного вопросам защиты данных и информатизации. Этот раздел данного нормативного документа устанавливает, что для информационных комплексов федеральных и региональных органов власти, и программ, содержащих данные, находящиеся в ограниченном доступе, сертификация в информационной сфере осуществляется в обязательном порядке.
Вместе с тем, для некоторых видов деятельности в нашей стране государственный контроль осуществляется в форме лицензирования. Список направлений, для которых применяется это требование, приведен в статье 12 федерального закона от 4 мая 2011 года № 99-ФЗ. Он включает следующие позиции:
Компании, которые занимаются одним или несколькими видами деятельности из приведенного списка, обязаны получать лицензию.
Виды сертификатов
Поскольку обязательная сертификация информационных средств в России не применяется, все виды сертификатов в этой области выдаются в добровольном порядке. Их делят на две укрупненные категории:
Корпоративные сертификаты
Одним из самых авторитетных инструментов в этой сфере является сертификация систем менеджмента информационной безопасности ISO 27001. Она признана во всем мире в качестве эталонной при оценке политики компании в данной предметной области. Кроме этого, в реестре зарегистрированных систем добровольной оценки соответствия, ведение которого осуществляет Росстандарт, значатся еще несколько десятков комплексов критериев, которые применяются компаниями для подтверждения своей ответственной позиции в этом вопросе.
Персональные сертификаты
Список популярных систем, применяющихся для оценки индивидуального профессионального уровня, более широк. В зависимости от области своей деятельности специалист выбирает сертификат информационной безопасности, наилучшим образом подтверждающий его компетенции. В перечень востребованных документов в данной области входят:
Система управления информационной безопасностью
Комплексная система, внедряемая организацией для обеспечения собственной IT-безопасности, должна охватывать все аспекты ее деятельности в этой области, включая создание продуктов, их отладку и ввод в эксплуатацию, функционирование, регулярный мониторинг работы, анализ алгоритмов и ошибок при ее применении, поддержку и улучшение рабочих механизмов. Выбираемые инструменты и методы должны отвечать особенностям технологического цикла предприятия, а также стоящим перед ним задачам.
Преимущества внедрения стандарта ISO 27001 для предприятия
Общепризнанная система добровольной сертификации информационных технологий ISO 27001 не зря завоевала свою популярность. Она вобрала в себя лучшие мировые практики по обеспечению защиты информации и используемых технологий. Ее внедрение дает предприятию безопасность по трем основным направлениям:
Эти преимущества широко известны специалистам в данной области. По этой причине сертификат соответствия информационной безопасности сразу же воспринимается как свидетельство грамотной и ответственной позиции компании в вопросах обеспечения защиты данных.
Обратите внимание!
Компания может пройти сертификацию на соответствие требованиям международного стандарта ISO 27001 или национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 27001-2006. Первый вариант подойдет организациям, которые работают преимущественно на внутреннем рынке. Второй тип сертификата станет полезен компаниям, которые ориентированы на взаимодействие с международными партнерами.
Оценочные критерии и требования по ISO 27001
Требования, которые предъявляет к компаниям стандартизация и сертификация информационных систем по критериям ISO 27001, являются многоуровневыми и комплексными. Основными из них становятся следующие:
Процедура сертификации на соответствие требованиям ISO 27001
Процесс сертификации организуется после полноценного внедрения системы на предприятии и отладки ее функционирования. Добровольная информационная сертификация по стандартам ISO 27001 проводится только аккредитованной организацией, имеющей право выполнять проверку на соответствие требованиям системы.
Стандарты системы ISO 27001 во многом основываются на базовой системе менеджмента качества ISO 9001. Так что если компания уже сертифицирована на соответствие требованиям этого стандарта, ей станет проще пройти процедуру сертификации, воспользовавшись имеющимися документами и наработками.
Этапы
Прежде, чем подать заявление в органы сертификации информационных систем, заявителю следует выполнить следующие шаги.
Документы по итогам сертификации
Компания, которая успешно прошла проверку на соответствие требованиям системы и подтвердила выполнение обязательных стандартов, получает сертификат установленного образца. Он оформляется аккредитованным сертификационным органом, который проводил аудит на предприятии. Документ выдается на бумажном носителе, чтобы его владелец мог предъявить сертификат любому заинтересованному лицу — например, потенциальному партнеру или контрагенту.
Стоимость
Стоимость работ по сертификации в сфере информационной безопасности не регламентируется действующим законодательством. Аккредитованные агентства вправе самостоятельно определять цену своих услуг. Чаще всего в этом процессе принимаются во внимание масштаб организации, сложность информационных процессов и используемых технологий и другие факторы. В среднем эксперты оценивают общую стоимость работ по сертификации на соответствие стандартам ISO 27001 в сумму от 30 до 60 тысяч долларов.
Сертификация и аттестация ФСТЭК: разбираемся, что нужно компаниям по 152-ФЗ
Закон о персональных данных нужно соблюдать всем, кто хранит и обрабатывает данные сотрудников и клиентов. В самом законе нет технических требований к программному обеспечению и IT-системам — технические требования устанавливают приказы ФСТЭК. Расскажем, кому и зачем нужны сертификация и аттестация ФСТЭК.
Сертификат и аттестат ФСТЭК
Приказ №21 ФСТЭК России — Федеральной службы по техническому и экспортному контролю, устанавливает технические требования по защите персональных данных. Он определяет, насколько конкретные программы и IT-системы соответствуют 152-ФЗ.
Для подтверждения соответствия у ФСТЭК есть два документа: сертификат и аттестат. Давайте разберемся, чем они отличаются, когда выдаются и кому нужны.
Сертификат ФСТЭК: что это такое и для чего нужен
Возьмем компанию — разработчика программного обеспечения, и представим, что она разработала свой антивирус и хочет продавать его организациям, которые работают с персональными данными. Для этого нужно доказать, что этот антивирус безопасен и соответствует требованиям 152-ФЗ.
В России проверку на соответствие 152-ФЗ проводит ФСТЭК. Чтобы доказать безопасность нового антивируса, компании нужно получить на него сертификат ФСТЭК. Для этого нужно обратиться в представительство службы, после чего начинается долгий и сложный процесс сертификации: программу изучают, тестируют, проверяют на уязвимости и наличие недекларируемых возможностей.
Зачем нужна сертификация ФСТЭК
Если антивирус пройдет проверку, компания получит на него сертификат ФСТЭК. И разработчик ПО сможет гарантировать, что его антивирус безопасен и соответствует техническим требования ФСТЭК.
Так выглядит сертификат ФСТЭК
Получается, что сертификат соответствия ФСТЭК нужно получать, если вы разрабатываете средства защиты, например антивирусные программы, межсетевые экраны и так далее. То есть он нужен только разработчикам ПО, которые хотят подтвердить безопасность своих программ и предлагать их компаниям для защиты персональных данных.
На сайте ФСТЭК есть реестр, в который включены все сертифицированные системы защиты. Любой может зайти и проверить, прошла ли программа сертификацию. Например, сертификат ФСТЭК есть у антивируса от «Лаборатории Касперского».
Кому и зачем нужна аттестация ФСТЭК
Сертификат соответствия по требованиям безопасности информации выдают только на сами средства защиты, например антивирусные системы. Однако кроме средств защиты, ФСТЭК проверяет и IT-системы, в которых хранятся персональные данные: серверы и сети компаний или облачные хранилища. Такая процедура проверки называется не сертификацией, а аттестацией.
Аттестация по требованиям ФСТЭК нужна не всем компаниям. Вы можете не проходить аттестацию, если:
Если вы храните другие персональные данные, например, биометрические — характеризующие биологические и физиологические данные человека и позволяющие по ним установить его личность, то обязаны обеспечивать уже третий уровень защищенности. И систему, в которой вы храните такие данные, нужно аттестовать в органах аттестации ФСТЭК.
Процесс аттестации немного проще, чем процесс сертификации. Для аттестации у ФСТЭК есть четкий порядок и требования, которые нужно соблюсти. Также пройти аттестацию проще, если использовать средства защиты информации с сертификатом ФСТЭК России.
Так выглядит аттестат ФСТЭК
Получается, что для работы любой компании нужен не сертификат, а аттестат ФСТЭК. А сертификаты должны быть у программного обеспечения, которое вы используете, но о сертификации должны позаботиться производители этого ПО.
У облака VK Cloud Solutions (бывш. MCS) есть аттестат безопасности ФСТЭК. В публичном облаке VK можно хранить персональные данные в соответствии с УЗ-2, 3 и 4. Для хранения данных с УЗ-2 и УЗ-1 также есть возможность сертификации, как в формате частного облака, так и на изолированном выделенном гипервизоре в ЦОДе VK. При построении гибридной инфраструктуры для хранения персональных данных на платформе VK Cloud Solutions (бывш. MCS) вы получаете облачную инфраструктуру, уже соответствующую всем требованиям законодательства. При этом частный контур нужно аттестовать, в этом могут помочь специалисты VK, что позволит быстрее пройти необходимые процедуры.
Что такое обязательная сертификация информационных технологий
ГОСУДАРСТВЕННЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
Качество служебной информации
ПРАВИЛА ПРЕДЪЯВЛЕНИЯ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ НА СЕРТИФИКАЦИЮ
Quality of technological and official information.
Procedure for information technologies certification
Дата введения 1999-01-01
1 РАЗРАБОТАН Московским научно-исследовательским центром (МНИЦ) Государственного комитета Российской Федерации по связи и информатизации и Московским государственным университетом путей сообщения (МГУПС)
ВНЕСЕН Техническим комитетом по стандартизации «Информационные технологии» (ТК 22)
2 ПРИНЯТ И ВВЕДЕН В ДЕЙСТВИЕ Постановлением Госстандарта России от 12 мая 1998 г. N 184
1 ОБЛАСТЬ ПРИМЕНЕНИЯ
Настоящий стандарт распространяется на информационные технологии всех видов служебной информации, используемой в государственной, производственной и коммерческой деятельности.
Стандарт устанавливает основные правила предъявления информационных технологий на обязательную сертификацию в области качества служебной информации. Стандарт рекомендуется применять и при добровольной сертификации информационных технологий в области качества служебной информации.
2 НОРМАТИВНЫЕ ССЫЛКИ
В настоящем стандарте использована ссылка на следующий стандарт:
ГОСТ Р 51169-98 Качество служебной информации. Система сертификации информационных технологий в области качества служебной информации. Термины и определения
3 ОБЩИЕ ПРАВИЛА
3.1 Для проведения сертификации информационной технологии в области качества информации отечественный или иностранный заявитель направляет декларацию-заявку в соответствующий аккредитованный орган по сертификации информационных технологий.
Форма декларации-заявки приведена в приложении А.
При отсутствии у заявителя сведений о таком органе и порядке сертификации интересующей его информационной технологии он может получить их в территориальном центре стандартизации и метрологии или в Госстандарте России.
Если имеется несколько органов по сертификации информационных технологий, действующих в различных регионах, заявитель вправе направить декларацию-заявку в любой из них.
При отсутствии на момент подачи заявки органа по сертификации информационных технологий заявка направляется в Госстандарт России.
3.2 Заявитель представляет образцы документов, содержащих служебную информацию на выходе аттестуемой информационной технологии, техническую документацию к информационной технологии и ответы на анкету-вопросник в соответствии с приложением Б. Состав и содержание технической документации определяется принятой схемой сертификации информационных технологий. Возможны две схемы сертификации: аттестация информационной технологии в области качества служебной информации или сертификация системы управления качеством служебной информации. При обеих схемах сертификации желателен инспекционный контроль стабильности информационной технологии, осуществляемый периодическими проверками образцов документов.
Схема обязательной сертификации определяется Госстандартом России с учетом содержания, особенностей технологии переработки и использования служебной информации данного вида.
Схема добровольной сертификации определяется органом по сертификации с учетом предложений заявителя.
4 ПРАВИЛА ПРЕДЪЯВЛЕНИЯ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ НА АТТЕСТАЦИЮ
4.1 При аттестации информационных технологий должна быть предъявлена техническая документация, включающая:
— словесное описание информационной технологии, содержащее описания событий (т.е. состояний служебной информации как продукта информационной технологии в момент окончания очередной технологической операции) и технологических операций;
— сведения о соответствии технологических операций и информационной технологии в целом требованиям нормативных документов. Должен быть приведен полный список нормативных документов;
— сведения, характеризующие стабильность качества служебной информации на выходе информационной системы в соответствии с требованиями нормативных документов; условия испытаний; должности и фамилии ответственных лиц;
— характеристики квалификации персонала;
— распределение ответственности персонала за обеспечение качества служебной информации.
4.2 При словесном описании событий необходимо четко выделить начальное и конечное события. Все промежуточные события должны быть перечислены в порядке их наступления.
Если имеются события, за которыми следует более одной операции, т.е. начинается выполнение параллельных технологических операций, необходимо эти события выделить. Также выделяются события, которыми заканчивается выполнение параллельных технологических операций.
При упоминании операции «контроль» необходимо указать его характеристики:
— комплексный или локальный;
— однократный или многократный;
— повторный контроль всего объема данных или лишь исправленных ошибок;
— контроль с повторной обработкой всего объема данных, если обнаружены ошибки; с повторной обработкой данных, в которых обнаружены ошибки; без повторной обработки.
4.4 Если в базе данных органа по сертификации информационных технологий в области качества служебной информации отсутствуют контрольные нормативы для характеристик структуры технологического процесса переработки данных и персонала, орган по сертификации может затребовать у заявителя сведения о среде и системе, в которой используется информационная технология.
Эти сведения должны быть достаточными для обоснования значений контрольных нормативов, которые затем утверждаются Госстандартом России. При обосновании контрольных нормативов возможные информационные технологии делятся на классы. Пример деления на классы приведен в приложении В. В каждом классе выбирают прототип информационной технологии, имеющий возможно большее сходство с рассматриваемой. Контрольные нормативы прототипа корректируются с учетом условий системы или среды, в которой будет применяться рассматриваемая информационная технология. При этом учитываются классификация персонала, технический прогресс за время, прошедшее с момента оценки прототипа.
5 ПРАВИЛА ПРЕДЪЯВЛЕНИЯ НА СЕРТИФИКАЦИЮ СИСТЕМ УПРАВЛЕНИЯ КАЧЕСТВОМ СЛУЖЕБНОЙ ИНФОРМАЦИИ
5.1 На сертификацию систем управления качеством служебной информации должна предъявляться техническая документация, включающая описание структуры и функций двух подсистем: обеспечения технических свойств и обеспечения социально-психологических свойств служебной информации.
5.2 Описание подсистемы обеспечения технических свойств служебной информации должно включать сведения не только об общей структуре подсистемы, но и о структуре субподсистемы сбора сведений о качестве служебной информации (данных), о номенклатуре контролируемых показателей качества данных, методах определения их значений, нормах точности и достоверности оценки значений показателей, о технических средствах контроля данных и характеристиках персонала.
5.3 Описание подсистемы обеспечения социально-психологических свойств служебной информации должно включать:
сведения об общей структуре подсистемы и структуре субподсистемы сбора данных о качестве служебной информации;
сведения об их эффективности с учетом эффекта привыкания.
Необходимо также указать, какие предполагается сформировать виды деятельности по обеспечению качества служебной информации.
ПРИЛОЖЕНИЕ А
(обязательное)
Форма декларации-заявки на проведение сертификации
информационных технологий
_____________________________________
наименование органа по сертификации
ДЕКЛАРАЦИЯ-ЗАЯВКА
на проведение сертификации
информационной технологии
адрес, фамилия, имя, отчество руководителя
заявляет, что _____________________________________________________________________________
наименование информационной технологии
предназначена для серийного (или единичного) применения, соответствует требованиям______________
наименование и номер стандарта или другого нормативного документа
и просит провести сертификацию данной информационной технологии на соответствие требованиям указанных стандартов или других нормативных документов по схеме __________________________________________________
указывается вид проверки:
аттестация информационной технологии или сертификация системы управления качеством служебной информации.
2 Заявитель обязуется:
выполнять все условия сертификации;
обеспечивать стабильность сертификационных характеристик информационной технологии, маркированной знаком соответствия;
оплатить все расходы по проведению сертификации.
3 Дополнительные сведения _____________________________________________________________
Руководитель предприятия _______________________ _____________________
личная подпись расшифровка подписи
Главный бухгалтер ______________________________ ____________________
личная подпись расшифровка подписи
ПРИЛОЖЕНИЕ Б
(обязательное)
АНКЕТА-ВОПРОСНИК
Данные о состоянии информационной технологии
1 Организация (предприятие), представляющая на сертификацию информационную технологию:
Телефон: _____________ Телекс: ______________ Факс: __________________
Сертификация ФСТЭК для чайников
Что такое сертификация ФСТЭК?
Сертификация ФСТЭК – процедура получения документа, подтверждающего, что средство защиты информации соответствует требованиям нормативных и методических документов ФСТЭК России.
Сертификация ФСТЭК для средств защиты информации создана для того, чтобы обеспечить:
Зачем нужна сертификация ФСТЭК?
Сертификация ФСТЭК необходима для строго определенных сфер деятельности и ее необходимость зависит от того, какая именно информация будет обрабатываться в той или иной информационной системе.
Сферы деятельности с обязательной сертификацией средств защиты информации:
Несертифицированный продукт невозможно использовать в тех сферах деятельности, где обязательно использование сертифицированных продуктов.
Использование компанией несертифицированной продукции в сфере деятельности, требующей обязательной сертификации средств защиты информации, может повлечь за собой серьезные последствия: от больших штрафов до уголовной ответственности для руководителей.
Отличия сертифицированных версий от версий общего пользования
Сертифицированные версии решений поставляются с соответствующим сертификатом, формуляром, инструкциями и прочими документами, подтверждающими класс, уровень защищенности информационной системы.
У сертифицированных версий продуктов есть свои особенности:
Когда можно покупать решения общего пользования, а когда нужны сертифицированные?
В пределах одной компании может быть несколько информационных систем. Некоторые из них нуждаются в сертифицированных средствах защиты, а некоторые – нет. Все зависит от характера информации, которая обрабатывается в этих системах. В случае, если данные касаются вышеперечисленных сфер деятельности, сертификация обязательна.
Можно ли устанавливать на сертифицированную операционную систему несертифицированные продукты?
При необходимости можно использовать пакеты, которые не входят в состав дистрибутива, поставляемого вместе с операционной системой. Для этого несертифицированные продукты должны соответствовать следующим требованиям:
Для удобства контроля и обновления сторонние пакеты помещаются в служебный репозиторий.
В том случае, если продукт относится к средствам защиты информации, он должен быть обеспечен соответствующим сертификатом.
Что делать, если изменился характер деятельности компании, а продукты не сертифицированы?
Есть два варианта дальнейшего развития событий:
Требования ФСТЭК могут измениться, насколько это может затронуть компанию-пользователя?
Требования ФСТЭК меняются не единовременно. О любых изменениях предупреждают заранее. Кроме того, после принятия нового документа с требованиями дается около года на то, чтобы подготовить все системы компании к новым реалиям.
Чем может помочь компания Softline?
Автор статьи: руководитель органа по аттестации объектов информатизации Softline Антон Казаков