Извините, ваш браузер не поддерживается. Пожалуйста, установите любой актуальный браузер и возвращайтесь!

 

Кому нужна сертификация?

Под сертификацией средств защиты информации по требованиям безопасности информации (далее - сертификацией) понимается деятельность по подтверждению их соответствия требованиям государственных стандартов или иных нормативных документов по защите информации, утвержденных Государственной технической комиссией при Президенте Российской Федерации (Гостехкомиссией России). Обязательность оценки соответствия неразрывно связана с требованиями, предъявляемыми заказчиком. Он формулирует требования к разработке, поставке, внедрению продукта или системы в организацию на ее объекты информатизации (объекты ЭВТ, АС, КСА и т.д.).

ЧТО ПОДЛЕЖИТ СЕРТИФИКАЦИИ?

Обязательной сертификации подлежат средства, в том числе иностранного производства, предназначенные для защиты информации, составляющей государственную тайну, и иной информации с ограниченным доступом, а также средства, использующиеся в управлении экологически опасными объектами. Перечень средств защиты информации, подлежащих обязательной сертификации, разрабатывается Гостехкомиссией России и согласовывается с Межведомственной комиссией по защите государственной тайны. Говоря о категориях информации можно выделить:

  • государственные информационные ресурсы,

  • персональные данные граждан,

  • специальные категории персональных данных граждан (относительно расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни),

  • информационные ресурсы негосударственных организаций.

КАК ОСУЩЕСТВЛЯЕТСЯ СЕРТИФИКАЦИЯ?

Меры по обеспечению безопасности персональных данных реализуются также посредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных.

Система сертификации средств защиты информации по требованиям безопасности информации включает в себя аттестацию объектов информатизации по требованиям безопасности информации и подлежит государственной регистрации в установленном Госстандартом России порядке. Основные принципы, правила проведения, а также другие вопросы аттестации определяются "Положением по аттестации объектов информатизации по требованиям безопасности информации", утвержденным председателем Государственной технической комиссии при Президенте Российской Федерации. Деятельность системы сертификации организует Гостехкомиссия России в пределах ее компетенции, определенной законодательными и иными нормативными актами Российской Федерации.

ПРАВОВАЯ БАЗА

Законы Российской Федерации "О сертификации продукции и услуг" и "О государственной тайне" , Постановление Правительства Российской Федерации от 26 июня 1995 года N 608 "О сертификации средств защиты информации" , "Положение о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам", на основании "Системы сертификации ГОСТ Р" и "Правил по проведению сертификации в Российской Федерации" .

ОТВЕТСТВЕННОСТЬ

Ответственность за нарушение правил защиты информации сформулирована в КоАП РФ и содержится, в частности, в ст. 13.12. КоАП РФ.  

ДОБРОВОЛЬНАЯ СЕРТИФИКАЦИЯ

Говоря о добровольной сертификации, следует упомянуть ст. 21 Закона «О Техническом регулировании» 2014 года, которая содержит основные положения по порядку ее проведения. В п. 1 указано, что добровольное подтверждение соответствия осуществляется по инициативе заявителя на условиях договора между заявителем и органом по сертификации. Добровольное подтверждение соответствия может осуществляться для установления соответствия национальным стандартам, предварительным национальным стандартам, стандартам организаций, сводам правил, системам добровольной сертификации, условиям договоров.
В п. 2 говорится, что система добровольной сертификации может быть создана юридическим лицом и (или) индивидуальным предпринимателем или несколькими юридическими лицами и (или) индивидуальными предпринимателями. Добровольная сертификация может использоваться для обеспечения соответствия корпоративным стандартам, а также в качестве обеспечения мер по защите ПДН. 

Как владельцу компании понять, нужна ли его компании сертификация информационных систем? В современном мире стремительного развития IT технологий и роста числа систем баз данных, совершенствования способов передачи и хранения информации возникает необходимость в построении «правильных» и работоспособных систем защиты информации (СЗИ), что в том числе обусловлено конкурентной борьбой IT компаний и желанием сохранения лидерства и положения на рынке услуг. Прежде всего, это обусловлено массой возрастающих вместе с развитием информационных систем рисков, что зачастую является определяющим критерием выбора компании-партнера для хранения и обработки информации. Информационные системы различного уровня существуют во многих компаниях и их число постоянно растет. Говоря о необходимости осуществления сертификации, нельзя не отметить, что сертификация всегда является очень полезным и действенным с точки зрения стратегического планирования бизнеса обстоятельством. Среди основных благоприятных последствий, которые компания получает в результате осуществления сертификации, можно выделить устранение недостатков и несоответствий в системе управления информационной безопасностью. Это ведет к снижению рисков и уменьшению или исключению убытков после возможных инцидентов, связанных с информационной безопасностью. Говоря о необходимости осуществления сертификации информационных систем, следует учитывать риски, которые могут возникнуть у компании в случае отсутствия должным образом проведенного и оформленного в соответствии с действующим законодательством РФ комплекса действий по организации защиты информационных систем, а также их сертификации в случаях установленных законом.

ОЦЕНКА СООТВЕТСТВИЯ

Оценка соответствия осуществляется в соответствии с Федеральным законом от 27 декабря 2002 г. N 184-ФЗ «О техническом регулировании».  Согласно ему, декларирование соответствия   является формой подтверждения соответствия продукции требованиям технических регламентов. Говоря о документе, называемом декларация о соответствии , закон отмечает, что это документ, удостоверяющий соответствие выпускаемой в обращение продукции требованиям технических регламентов.  По данному ФЗ оценка соответствия  представляет собой прямое или косвенное определение соблюдения требований, предъявляемых к объекту, а подтверждение соответствия  является документальным удостоверением соответствия продукции или иных объектов, процессов производства, эксплуатации, хранения, перевозки, реализации и утилизации, выполнения работ или оказания услуг требованиям технических регламентов, положениям стандартов или условиям договоров.


Подводя итоги, отметим, что из анализа статей закона получается, что осуществление подтверждения способа соответствия возможно следующими способами: добровольная сертификация, обязательная сертификация и декларирование соответствия.

Также хочется отметить, что при нейтрализации угроз с помощью средств защиты, необходимо использовать СЗИ, прошедшие оценку соответствия, а добровольная сертификация и обеспечение средств защиты информации способны повысить надежность компании.


Материалы статьи так же опубликованы в журнале "Information Security" №6/2014, стр.40-41.

Москва, ул. Вавилова, д. 57Ас1
Консультант доступен в будни с 10:00 до 19:00 по Москве

 
   
 

Москва, ул. Вавилова, д. 57Ас1
Консультант доступен в будни с 10:00 до 19:00 по Москве

ООО Юридическая компания «Зарцын и партнеры»
ИНН   7736683214
КПП   773601001
ОГРН  5147746257247

 
Перевозка умерших персональный сайт ритуальные перевозки.