Сертификация средств защиты информации

На территории Российской Федерации для средств защиты информации предусмотрен один вид обязательной проверки – сертификация ФСТЭК (Федеральная служба по техническому и экспортному контролю).

Отсутствие разрешения ФСТЭК может обернуться довольно серьезными административными наказаниями – штрафом до 1 миллиона рублей, невозможностью ввезти товар через государственную границу, приостановлением деятельности на срок до трех месяцев, изъятием подконтрольной продукции.

Добровольные документы

По желанию предпринимателя можно провести добровольную экспертизу на соответствие требованиям системы ГОСТ Р.

Кроме того, многие предприниматели внедряют у себя на предприятии систему по стандарту ИСО 27001 (система информационной защиты информации) и оформляют сертификат ИСО.

Сертификация средств защиты информации контролируется законом – ниже более подробно и методах проверки.

Разрешение ФСТЭК

Данный документ выдается на программные продукты, задачей которых является обеспечение техзащиты некриптографическими способами. Проверка ФСТЭК нацелена на формирование госсистемы для противодействия техническим разведкам, она помогает формировать национальную защиту информации на федеральном уровне. Получение разрешения является обязательном в соответствии с «Положением о ФСТЭК РФ», если речь идет о программных средствах.

ISO 27001: основные особенности

Система ИСО 27001 информационной защиты информации позволяет внедрить на предприятии соответствующую систему менеджмента (сделать это можно как на соответствие международному стандарту, так и согласно требованиям его отечественного аналога ГОСТ Р ИСО/МЭК 27001).

Если в организации внедрена подобная система, она дает такие преимущества:

• Минимизация рисков;
• Постоянный мониторинг работы компании и ее совершенствование;
• Формирование безопасных способов хранения информации;
• Систематизация данных;
• Качественное улучшение взаимодействия между отделами;
• Повышение секретности работы предприятия (в случае необходимости).

Как правило, такую систему внедряют компании банковского и финансового сектора, логистические организации, курьерские службы. Также имеет смысл внедрить ИСО 27001 производственным предприятиям, которые изготавливают программные продукты, вычислительную технику, разрабатывают новейшие технологии.

Экспертиза ИСО 27001 в «РеГОСТ»

Мы предлагаем три формы услуг по данному направлению:

• Консалтинг и дальнейшая сертификация;
• Внедрение СМК и проведение оценки соответствия;
• Сертификация уже внедренной на предприятии системы стандартов ISO.

Сертификат ГОСТ Р

В добровольном порядке предприниматели также могут оформить добровольный сертификат ГОСТ Р. Документ дает массу преимуществ:

• Усиление рыночных позиций, формирование авторитета компании на рынке;
• Возможность использовать знаки соответствия РСТ в рекламе, в сопроводительной документации;
• Рост инвестиционной привлекательности, привлечение средств на развитие проекта;
• Увеличение шансов на прием госзаказа, победу в тендере;
• Повышение лояльности со стороны государственных органов;
• Более простое прохождение ведомственных экспертиз;
• Более эффективные рекламные кампании;
• Выход на новые рынки, расширение аудитории сбыта.

Выбрать стандарт предприниматель имеет право самостоятельно – это может быть как ГОСТ, так и собственноручно разработанные технические условия, зарегистрированные в единой базе. Следует, однако, помнить, добровольная сертификация средств защиты информации не избавляет от обязательных процедур – в частности, от получения разрешения ФСТЭК.

Алгоритм оценки качества

Добровольная сертификация СЗИ (так сокращенно называют средства защиты информации) осуществляется в следующем порядке:

• Подача заявки в центр «РеГОСТ», бесплатная консультация от наших специалистов;
• Идентификация программного продукта, технического средства, изделия, присвоение ему личного идентификационного кода, выбор подходящего стандарта и схемы проверки;
• Подписание договора на оказание услуг, оплата госпошлины;
• Разработка технической документации, если это необходимо – к примеру, если вы только начинаете бизнес и планируете вести производство по ТУ, либо если собираетесь осуществить оценку качества в соответствии с требованиями технических условий (также можно заказать разработку стандарта организации, технологических регламентов, конструкторской документации);
• Подготовка пакета документов, их анализ специалистами аккредитованного органа;
• Отбор образцов СЗИ, их проверка в лаборатории или научно-исследовательском центре, формирование протоколов испытаний (это исключительно важный документ, без наличия которого оценка качества не может быть завершена – именно от результатов практической экспертизы во многом зависит исход всей сертификации);
• Оценка состояния производственных мощностей, системы менеджмента качества (если это необходимо согласно выбранной схеме работы);
• Выдача документа, присвоение ему идентификационного номера, внесение данных в единый реестр.

Пакет документации

Чтобы пройти проверку, предприниматель должен подготовить полный пакет сведений о товаре, своей компании и поставках/производстве, а также заполнить заявление на прохождение экспертизы по установленной форме (сделать это может как сам производитель, так и его официальный представитель). В пакет документации необходимо включить следующее:

• Наименование СЗИ, присвоенные ему коды ТН ВЭД и ОКПД 2 (если они вам неизвестны, мы поможем идентифицировать продукцию);
• Наименование компании-заявителя, ее номера идентификационный налоговый и общий государственный регистрационный, устав, учредительные сведения;
• Документы, подтверждающие законность использования коммерческих площадей (договор аренды, свидетельство о собственности);
• Договор поставки, инвойс, спецификации (если речь идет не о программных продуктах, а о технических средствах);
• Техдокументацию, которая используется на предприятии.

Для заказа сертификата на средства информационной защиты и за бесплатной консультацией обращайтесь в центр «РеГОСТ».