Сертификация средств антивирусной защиты

Сертификация средств антивирусной защиты

Информационное сообщение ФСТЭК России от 30 июля 2012 г. N 240/24/3095

ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ (ФСТЭК РОССИИ)

ИНФОРМАЦИОННОЕ СООБЩЕНИЕ

ОБ УТВЕРЖДЕНИИ ТРЕБОВАНИЙ К СРЕДСТВАМ АНТИВИРУСНОЙ ЗАЩИТЫ

от 30 июля 2012 г. N 240/24/3095

В соответствии с подпунктом 13.1 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085, приказом ФСТЭК России от 20 марта 2012 г. N 28 (зарегистрирован Минюстом России 3 мая 2012 г., рег. N 24045) утверждены Требования к средствам антивирусной защиты (далее – Требования), которые вступают в действие с 1 августа 2012 г.

Требования к средствам антивирусной защиты применяются к программным средствам, используемым в целях обеспечения защиты (некриптографическими методами) информации, содержащей сведения, составляющие государственную тайну, иной информации с ограниченным доступом.

Требования предназначены для организаций, осуществляющих в соответствии с законодательством Российской Федерации работы по созданию средств защиты информации, заявителей на осуществление сертификации продукции, а также для испытательных лабораторий и органов по сертификации, выполняющих работы по сертификации средств защиты информации на соответствие обязательным требованиям безопасности информации.

Выполнение Требований является обязательным при проведении работ по оценке соответствия (включая работы по сертификации) средств технической защиты информации и средств обеспечения безопасности информационных технологий, применяемых для формирования государственных информационных ресурсов, организуемых ФСТЭК России в пределах своих полномочий.

Требования к средствам антивирусной защиты включают общие требования к средствам антивирусной защиты и требования к функциям безопасности средств антивирусной защиты.

Для дифференциации требований к функциям безопасности средств антивирусной защиты установлено шесть классов защиты средств антивирусной защиты. Самый низкий класс – шестой, самый высокий – первый.

Средства антивирусной защиты, соответствующие 6 классу защиты, применяются в информационных системах персональных данных 3 и 4 классов * .

Средства антивирусной защиты, соответствующие 5 классу защиты, применяются в информационных системах персональных данных 2 класса * .

Средства антивирусной защиты, соответствующие 4 классу защиты, применяются в государственных информационных системах, в которых обрабатывается информация ограниченного доступа, не содержащая сведения, составляющие государственную тайну, в информационных системах персональных данных 1 класса * , а также в информационных системах общего пользования II класса ** .

Средства антивирусной защиты, соответствующие 3, 2 и 1 классам защиты, применяются в информационных системах, в которых обрабатывается информация, содержащая сведения, составляющие государственную тайну.

Также выделяются следующие типы средств антивирусной защиты:

тип «А» – средства антивирусной защиты (компоненты средств антивирусной защиты), предназначенные для централизованного администрирования средствами антивирусной защиты, установленными на компонентах информационных систем (серверах, автоматизированных рабочих местах);

тип «Б» – средства антивирусной защиты (компоненты средств антивирусной защиты), предназначенные для применения на серверах информационных систем;

тип «В» – средства антивирусной защиты (компоненты средств антивирусной защиты), предназначенные для применения на автоматизированных рабочих местах информационных систем;

тип «Г» – средства антивирусной защиты (компоненты средств антивирусной защиты), предназначенные для применения на автономных автоматизированных рабочих местах.

Средства антивирусной защиты типа «А» не применяются в информационных системах самостоятельно и предназначены для использования только совместно со средствами антивирусной защиты типов «Б» и (или) «В».

Детализация требований к функциям безопасности, установленным Требованиями, а также взаимосвязи этих требований приведены для каждого класса и типа средств антивирусной защиты в профилях защиты, утвержденных 14 июня 2012 г. ФСТЭК России в качестве методических документов в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085.

Спецификация профилей защиты средств антивирусной защиты для каждого типа средства антивирусной защиты и класса защиты средства антивирусной защиты приведена в таблице.

Источник



Сертифицированные антивирусы ФСТЭК и ФСБ — как купить?

На данный момент возможно приобрести сертифицированные антивирусы от трех разработчиков:

  1. Лаборатория Касперского;
  2. Доктор Веб;
  3. ESET NOD32.

Сертифицированные антивирусы от Лаборатории Касперского

Для получения антивируса от «Лаборатории Касперского» с сертификатом вам необходимо совершить всего два действия:

1) Приобрести электронную лицензию из линейки Kaspersky Endpoint Security для бизнеса, к примеру Kaspersky Endpoint Security Стандартный (18250 руб. за 10 шт.). Важно, что минимальная покупка данных лицензий 10 шт., даже если вам требуется сертифицировать всего одно рабочее место.

2) Приобрести ФСТЭК медиа-комплект Kaspersky Стандартный Certified media Pack (1045 руб.), который содержит в себе все необходимые сертификаты и формуляры (можно 1 шт.). Если Вам необходим сертификат ФСБ, то приобретайте Kaspersky Certified media Pack Customized (2090 руб.).

После покупки Вы получаете электронную лицензию антивируса, сертифицированный медиа-комплект, а так же закрывающие документы. После этого устанавливаете дистрибутивы антивируса с диска, активируете электронным ключом и все готово.

Копии сертификатов соответствия, формуляры, приложения к формулярам, а так же дистрибутивы можно загрузить со страницы certifiedbuilds.kaspersky.ru.

Сертифицированные антивирусы от Доктор Веб

Схема получения сертифицированного ФСТЭК антивируса Dr.Web схожа с Лабораторией Касперского, но у вас есть несколько вариантов на выбор, исходя из ваших потребностей.

1) Если необходимо сертифицировать до 5 рабочих мест или 1 сервер, то приобретайте уже готовый комплект Dr.Web «Малый бизнес» (5990 руб.), который включает в себя лицензию для 5 ПК, 1 сервера на срок 12 месяцев + сертификат ФСТЭК и формуляры.

2) Если необходимо сертифицировать более 5 ПК и серверов, то приобретайте отдельно лицензию Dr.Web Desktop Security Suite (6050 руб. за 5 шт.) для требуемого количества ПК + сертифицированный ФСТЭК медиа-комплект Dr.Web для бизнеса сертифицированный версия 11 (1200 руб.).

3) Если необходим антивирус с сертификатом ФСБ, то есть готовый комплект Dr.Web для 1 ПК + сертификат ФСБ. (8300 руб.)

После покупки Вы получаете электронную лицензию антивируса, сертифицированный медиакомпект, а так же закрывающие документы. После этого устанавливаете дистрибутивы антивируса с диска, активируете электронным ключом и все готово.

Читайте также:  Подлежит ли сертификации портландцемент

Сертифицированные антивирусы от ESET

У компании ESET нет готовых комплектов, по этому необходимо приобрести лицензию и сертифицированный медиа-комплект отдельно.

1) Приобретите электронную лицензию ESET NOD32 Antivirus Business Edition (13510 руб. за 5 шт.), поставляется от 5 шт.

2) Приобретите сертифицированный ФСТЭК медиа-комплект ESET NOD32 Secure Enterprise Pack (2725 руб.), можно 1 шт. для всех своих устройств.

Популярные вопросы про сертифицированные антивирусы

1) Какой срок поставки?

Срок поставки электронной лицензии обычно занимает 1 день, а сертифицированного комплекта — 1-5 рабочих дней. При необходимости мы можем ускорить срок изготовления комплекта.

2) Если нам нужно сертифицировать 3 рабочих места, можно нам не приобретать 10 лицензий у Лаборатории Касперского?

К сожалению нет, необходимо приобрести минимальное количество лицензий, к Лаборатории Касперского это 10 лицензий, у ЕСЕТ и Доктор Веб — 5 лицензий.

3) Что делать, если у нас уже есть лицензионный антивирус?

Если вы уже приобрели ранее лицензию на корпоративный антивирус, то вам достаточно приобрести только сертифицированный медиа-комплект нужного производителя.

Источник

Сертификация средств защиты информации

Есть определенный перечень программного обеспечения и технических средств, которые подлежат сертификации средств защиты информации (СЗИ). Без наличия разрешения нельзя заниматься импортом, реализацией и оборотом такой продукции.

Контрольные мероприятия регулируются ПП РФ №608 от 26.06.1995 г., Положением ФСТЭК №55 от 03.04.2018 г.

Помимо оценки безопасности дополнительно может потребоваться проверка в системе ТР ТС (к примеру, если речь идет о техническом средстве, работающем от сети – в этом случае необходимо провести оценку согласно ТР ТС 004/2011).

Если же средство не подлежит контролю качества в системах ТР ТС, то можно провести добровольную проверку соответствия государственным стандартам или другим нормативным документам.

Перечень продукции, подлежащей сертификации ФСТЭК

Федеральная служба по техническому и экспортному контролю предусматривает необходимость оценки качества для средств противодействия иностранным разведкам, устройств для защиты государственной тайны и обеспечения безопасности информационных технологий. Это могут быть отечественные и импортные IT-продукты.

Речь идет о следующих типах продукции:

  1. программные и программно-технические средства защиты информации от нарушения целостности;
  2. программные средства, которые разграничивают доступ к данным, контролируют единство инфо-данных, уничтожают остатки данных на информационных носителях, имитируют работу ОС или блокируют ее при необходимости;
  3. защитные программы, встроенные в ОС;
  4. средства, цель которых предотвратить незаконное копирование данных;
  5. операционные системы;
  6. экраны для межсетевого доступа;
  7. средства доступа к виртуальным локальным сетям;
  8. системы контроля эффективности;
  9. системы, которые используют защищенные методы обработки данных.

Это лишь часть товаров, которые подлежат обязательной проверке в рамках требований ФСТЭК. Точный перечень средств, на которые потребуется получить сертификат СЗИ, уточните у специалистов центра «Рос-Тест».

Схемы сертификации

Пройти оценку можно в соответствии с требованиями, установленными законодательно. Наиболее актуальными для предпринимателей являются такие схемы:

  1. оценка качества единичного оборудования;
  2. проверка партии изделий (в случае, если речь идет об ограниченном тираже копий);
  3. сертификация серийного выпуска.

Какую именно выбрать схему, зависит от типа производства и конкретной ситуации.

Участники системы оценки

Основными звеньями осуществления контроля продукции являются:

  1. федеральный орган (Росаккредитация);
  2. аккредитованные органы (центры), наделенные специальными полномочиями;
  3. испытательные лаборатории;
  4. изготовители (поставщики) товара.

Право на проведение проверки СЗИ имеют только аккредитованные органы. Аккредитация выдается при наличии у них лицензии на соответствующие виды деятельности.

Добровольный сертификат

На сегодняшний день предприниматели обладают широким спектром возможностей в плане продвижения своего бизнеса. Актуально оформление сертификатов для получения дополнительных преимуществ. Так, заказать документ можно для подтверждения соответствия ГОСТ (на продукцию), ИСО (на систему менеджмента качества). Проверка СМК может быть осуществлена в рамках системы «Промтехсертификация», которая имеет официальную аккредитацию Росстандарта и высоко ценится в России.

Наличие добровольного документа способно принести следующие преимущества:

  1. выход на новые рынки (если речь идет о международном сертификате ISO, то это поможет выйти на иностранный рынок);
  2. увеличение интереса со стороны потенциальных партнеров по бизнесу;
  3. укрепление имиджа;
  4. привлечение средств на развитие проекта, улучшение инвестиционных показателей;
  5. более простое прохождение надзорных экспертиз;
  6. формирование доверительного отношения к компании;
  7. возможность применять знаки соответствия в сопроводительной документации, в рекламе, на упаковке программных продуктов;
  8. рост продаж, повышение рентабельности и многое другое.

Важно! Наличие добровольного документа не избавляет от необходимости проводить обязательную оценку качества, а служит лишь инструментом для продвижения.

Пакет документов для подачи в центр «Рос-Тест»

Чтобы пройти оценку соответствия ГОСТ Р, ИСО или ФСТЭК, потребуется предоставить специалистам «Рос-Тест» полный пакет документов для проверки.

В него необходимо включить:

  • наименование и описание подконтрольной продукции, коды ТН ВЭД и ОКПД 2;
  • перечень продукции, которая будет проходить проверку (номера партии, артикулы, другая информация);
  • идентификационный налоговый номер, основной государственный регистрационный номер, учредительные и уставные документы, юридический и фактический адреса компании-заявителя;
  • техническую документацию, которая используется на предприятии – технологические регламенты и инструкции, стандарт организации, документацию ИСО, технические условия;
  • ранее выданные сертификаты (ТР ТС, иностранные, завершившие действие);
  • документы, указывающие на законность владения производственными площадями (договор аренды, свидетельство о собственности);
  • контракт на поставку, сведения об изготовителе, сопроводительные транспортные документы (если осуществляется поставка оборудования).

Если документы предоставляются на другом языке, следует выполнить их перевод на русский. В некоторых случаях предоставляется возможность подать документы в электронном порядке.

Этапы сертификации

Чтобы стать обладателем подтверждающего документа, предприниматель должен пройти все предусмотренные в этом случае проверки. Как правило, алгоритм действий следующий:

  1. подача заявки в центр «Рос-Тест», оказание консультационных услуг: идентификация товара, определение необходимости проведения оценки качества, выбор схемы;
  2. подготовка комплекта документации – на этой стадии наши сотрудники помогут вам разработать техдокументацию, если это понадобится;
  3. после этого осуществляются лабораторные испытания – провести их можно только в аккредитованной лаборатории, по результатам она должна выдать протоколы (они также направляются в аккредитованный орган на проверку);
  4. если того требует схема, то также осуществляются производственные экспертизы. Для этого на объект выезжают эксперты, оценивают соответствие производства установленным требованиям;
  5. по факту контрольных мероприятий выдается разрешительный документ, ему присваивают идентификационный номер, сведения о нем вносятся в специальный реестр.
Читайте также:  Пройдена добровольная сертификация

За более подробной информацией об оценке соответствия СЗИ обращайтесь в центр «Рос-Тест». Просто позвоните по телефону 8 (800) 100-20-85 или оставьте сообщение в форме обратной связи. Наши сотрудники проведут для вас бесплатную консультацию и помогут в оформлении сертификата.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Источник

Сертификация средств защиты информации

В настоящий момент актуальной является проблема защиты персональных данных. С ней сталкиваются как государственные учреждения, так и частные компании. Гарантировать функциональность и надежность IT-программ, отвечающих за сохранность сведений, можно с помощью сертификации средств защиты информации (СЗИ). Поэтому оценка соответствия пользуется большой популярностью во всем мире.

Виды СЗИ

Выделяют несколько категорий IT-продуктов:

  • технические — маскируют и перекрывают каналы утечки данных;
  • программные — способны зашифровывать информацию, идентифицировать пользователя, уничтожать файлы, вести контроль доступа;
  • смешанные — объединяют в себе характеристики вышеперечисленных категорий;
  • организационные — заключаются в правильной прокладке кабельной системы, создании свода правил выполнения работы.

Нормативная база

В отношении оценки соответствия СЗИ действуют несколько нормативно-правовых актов:

  • Закон РФ №5485-1 “О государственной тайне” от 21.07.93 г.;
  • Федеральный закон №184-ФЗ “О техническом регулировании” от 27.12.02 г.;
  • ПП РФ №608 “О сертификации СЗИ” от 26.06.95 г.;
  • Положение о системе сертификации СЗИ, утвержденное приказом ФСТЭК России от 3.04.18 г. №55.

Необходимость обязательной оценки соответствия

Сертификацию в обязательном порядке должны проводить разработчики следующих программных продуктов:

  1. технические, криптографические, программные и другие средства, которые осуществляют противодействие зарубежным разведкам;
  2. программы, в которых применяются вышеназванные IT-продукты;
  3. программы контроля эффективности технической защиты данных.

Отказ от оформления разрешительной документации грозит административной ответственностью, которая выражается в значительных штрафах и конфискации нелегальной продукции.

Система сертификации ФСТЭК

Основными участниками оценки соответствия средств защиты данных выступают:

  • уполномоченные органы и испытательные лаборатории, имеющие соответствующую аккредитацию;
  • компании-изготовители СЗИ;
  • Росаккредитация.

Для каждого участника предусмотрены определенные функции. Например, производители средств защиты данных обязаны руководствоваться установленными правилами изготовления программных продуктов. Предприятия, выпускающие СЗИ для сведений, составляющих государственную тайну или имеющих ограниченный доступ, должны получить лицензию ФСТЭК на ведение деятельности.

Заявителями могут быть как предприятия-изготовители, так и органы управления всех уровней.

Применяемые схемы

Выбор определенной схемы зависит от формы выпуска СЗИ:

  • для единичного экземпляра – осуществление экспертизы образца и проверки организации технической поддержки;
  • для поставки партии – проведение испытаний выборки образцов и оценка техподдержки;
  • для серийного изготовления – контроль выборки образцов, анализ производства и технической поддержки.

Срок действия выданного сертификата не может превышать пять лет. Далее законом предусмотрена возможность подачи заявки на продление срока законной силы документа.

Внешний вид документа

Отличает сертификат специальная голограмма, которая обеспечивает надежную защиту от подделок.

В документе представлена важная информация:

  1. реквизиты, адрес и контакты заявителя;
  2. название и область применения товара, нормативы изготовления;
  3. протоколы лабораторных исследований;
  4. сведения о специализированной лаборатории;
  5. отметки об инспекционном контроле и маркировке;
  6. регистрационный номер;
  7. дата регистрации и срок действия;
  8. подпись руководителя подразделения ФСТЭК и печать.

Добровольное оформление сертификационной документации

Если предприятие выпускает СЗИ, не связанные с охраной государственной тайны, есть возможность оформить сертификат соответствия в добровольном порядке. Это повысит конкурентоспособность товара и привлечет массу новых покупателей.

Документальное подтверждение качества увеличит инвестиционную привлекательность фирмы и позволит заключать выгодные контракты с требовательными заказчиками.

Уровни доверия СЗИ

В марте 2019 г. было опубликовано Информационное сообщение ФСТЭК России № 240/24/1525. Документ устанавливает уровни доверия средств технической защиты информации. Всего насчитывается шесть позиций: 1-й (самый высокий), а 6-й (самый низкий).

Нововведение актуально для разработчиков и изготовителей IT-продуктов, заявителей на проведение оценки соответствия, а также для испытательных центров и уполномоченных органов. Выполнение требований к уровню доверия обязательно при сертификации:

Источник

Сертификация в области информационной безопасности

сертификация в области информационной безопасности

Сертификация систем менеджмента информационной безопасности — это подтверждение соответствия политики компании в области обеспечения защищенности применяемых IT-технологий и инструментов современным стандартам.

Сертификация IT-систем и лицензирование

Постановление Правительства от 1 декабря 2009 года N 982 содержит исчерпывающий перечень позиций, которые подлежат обязательной сертификации. Но информационные системы в этом списке не упоминаются. Это означает, что на них не распространяется правило об обязательной оценке соответствия, то есть сертификация в области информационной безопасности в Российской Федерации не требуется. В соответствии с положениями федерального закона о т 6 октября 1999 г. N 184-ФЗ оценка соответствия таких объектов проводится в добровольном порядке по инициативе заявителя.

Исключение из этого правила зафиксировано в статье 19 федерального закона от 20 февраля 1995 года № 24-ФЗ, посвященного вопросам защиты данных и информатизации. Этот раздел данного нормативного документа устанавливает, что для информационных комплексов федеральных и региональных органов власти, и программ, содержащих данные, находящиеся в ограниченном доступе, сертификация в информационной сфере осуществляется в обязательном порядке.

Вместе с тем, для некоторых видов деятельности в нашей стране государственный контроль осуществляется в форме лицензирования. Список направлений, для которых применяется это требование, приведен в статье 12 федерального закона от 4 мая 2011 года № 99-ФЗ. Он включает следующие позиции:

  • создание, изготовление и распространение телекоммуникационных продуктов, выполненных с использованием шифровальных (криптографических) методов или средств;
  • техническое обслуживание таких продуктов;
  • создание и изготовление специальных средств, используемых для защиты конфиденциальной информации;
  • деятельность по защите конфиденциальной информации при помощи технических средств.
Читайте также:  Сертификация производства регистр

Компании, которые занимаются одним или несколькими видами деятельности из приведенного списка, обязаны получать лицензию.

Виды сертификатов

Поскольку обязательная сертификация информационных средств в России не применяется, все виды сертификатов в этой области выдаются в добровольном порядке. Их делят на две укрупненные категории:

  • корпоративные, которые подтверждают соответствие политики компании требованиям информационной безопасности;
  • персональные, подтверждающие уровень квалификации конкретного специалиста в этой сфере.

Корпоративные сертификаты

Одним из самых авторитетных инструментов в этой сфере является сертификация систем менеджмента информационной безопасности ISO 27001. Она признана во всем мире в качестве эталонной при оценке политики компании в данной предметной области. Кроме этого, в реестре зарегистрированных систем добровольной оценки соответствия, ведение которого осуществляет Росстандарт, значатся еще несколько десятков комплексов критериев, которые применяются компаниями для подтверждения своей ответственной позиции в этом вопросе.

информационная сертификация

Персональные сертификаты

Список популярных систем, применяющихся для оценки индивидуального профессионального уровня, более широк. В зависимости от области своей деятельности специалист выбирает сертификат информационной безопасности, наилучшим образом подтверждающий его компетенции. В перечень востребованных документов в данной области входят:

  • CISSP — безопасность IT-продуктов;
  • ISSAP — архитектура безопасности;
  • ISSEP — инженерия в IT-безопасности;
  • ISSMP — управление продуктами в области безопасности;
  • CISM — информационная безопасность;
  • другие сертификаты.

Система управления информационной безопасностью

Комплексная система, внедряемая организацией для обеспечения собственной IT-безопасности, должна охватывать все аспекты ее деятельности в этой области, включая создание продуктов, их отладку и ввод в эксплуатацию, функционирование, регулярный мониторинг работы, анализ алгоритмов и ошибок при ее применении, поддержку и улучшение рабочих механизмов. Выбираемые инструменты и методы должны отвечать особенностям технологического цикла предприятия, а также стоящим перед ним задачам.

Преимущества внедрения стандарта ISO 27001 для предприятия

Общепризнанная система добровольной сертификации информационных технологий ISO 27001 не зря завоевала свою популярность. Она вобрала в себя лучшие мировые практики по обеспечению защиты информации и используемых технологий. Ее внедрение дает предприятию безопасность по трем основным направлениям:

  • конфиденциальность — предотвращение несанкционированного использования информации, которое способно навредить компании;
  • целостность — достижение необходимой степени полноты и корректности информации, а также соответствия способов ее обработки поставленным задачам;
  • доступность — обеспечение бесперебойного доступа к информации для авторизованных пользователей.

Эти преимущества широко известны специалистам в данной области. По этой причине сертификат соответствия информационной безопасности сразу же воспринимается как свидетельство грамотной и ответственной позиции компании в вопросах обеспечения защиты данных.

Обратите внимание!

Компания может пройти сертификацию на соответствие требованиям международного стандарта ISO 27001 или национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 27001-2006. Первый вариант подойдет организациям, которые работают преимущественно на внутреннем рынке. Второй тип сертификата станет полезен компаниям, которые ориентированы на взаимодействие с международными партнерами.

Оценочные критерии и требования по ISO 27001

Требования, которые предъявляет к компаниям стандартизация и сертификация информационных систем по критериям ISO 27001, являются многоуровневыми и комплексными. Основными из них становятся следующие:

  • продуманная политика IT-безопасности;
  • структурированная программа управления IT-безопасностью в организации;
  • гарантия защищенности информации при необходимости обеспечения доступа к ней третьих лиц;
  • предотвращение потерь, повреждений, хищения информации и ее компрометации;
  • обеспечение безопасного функционирования инструментов обработки информации;
  • минимизация рисков появления сбоев в работе комплекса;
  • поддержание безопасности каналов обмена информацией;
  • внедрение эффективных методов обнаружения несанкционированной активности;
  • организация системы контроля доступа к информации;
  • обеспечение безопасности системных файлов.

Процедура сертификации на соответствие требованиям ISO 27001

Процесс сертификации организуется после полноценного внедрения системы на предприятии и отладки ее функционирования. Добровольная информационная сертификация по стандартам ISO 27001 проводится только аккредитованной организацией, имеющей право выполнять проверку на соответствие требованиям системы.

Стандарты системы ISO 27001 во многом основываются на базовой системе менеджмента качества ISO 9001. Так что если компания уже сертифицирована на соответствие требованиям этого стандарта, ей станет проще пройти процедуру сертификации, воспользовавшись имеющимися документами и наработками.

сертификация в информационной сфере

Этапы

Прежде, чем подать заявление в органы сертификации информационных систем, заявителю следует выполнить следующие шаги.

  1. Внедрение системы, оформление документации по стандартам ISO 20071, обучение сотрудников, подготовка к сертификации.
  2. Предварительный аудит системы силами сертифицированного аудитора. Проводится в формате документарной или выездной проверки.
  3. Основной этап сертификационного аудита на соответствие требованиям системы. Включает детальное тестирование внедренных стандартов, проверку документации, оценку эффективности реализованных мер.
  4. Оформление сертификационной документации.
  5. Проведение периодического инспекционного аудита для подтверждения выполнения требований стандартов сертифицированной организацией.

Документы по итогам сертификации

Компания, которая успешно прошла проверку на соответствие требованиям системы и подтвердила выполнение обязательных стандартов, получает сертификат установленного образца. Он оформляется аккредитованным сертификационным органом, который проводил аудит на предприятии. Документ выдается на бумажном носителе, чтобы его владелец мог предъявить сертификат любому заинтересованному лицу — например, потенциальному партнеру или контрагенту.

Стоимость

Стоимость работ по сертификации в сфере информационной безопасности не регламентируется действующим законодательством. Аккредитованные агентства вправе самостоятельно определять цену своих услуг. Чаще всего в этом процессе принимаются во внимание масштаб организации, сложность информационных процессов и используемых технологий и другие факторы. В среднем эксперты оценивают общую стоимость работ по сертификации на соответствие стандартам ISO 27001 в сумму от 30 до 60 тысяч долларов.

Источник