Добровольцы России Сертификация систем менеджмента информационной безопасности – это подтверждение соответствия политики компании в области обеспечения защищенности применяемых IT-технологий и инструментов современным стандартам.
Наша тестовая лаборатория AM Test Lab с 2006 года предоставляет услугу по добровольной сертификации продуктов и сервисов по информационной безопасности. В случае положительного результата экспертизы выдается сертификат, который является подтверждением соответствия продукта или услуги заявленному классу и наличия в них заявленных функций.
Кому нужна услуга сертификации?
Услуга ориентирована на производителей решений в области информационной безопасности и их партнеров. Тестовая лаборатория AM Test Lab осуществляет сертификацию следующих продуктов и услуг:
Кому нужны сертифицированные продукты?
Итак, заветная индульгенция получена. Мы можем предлагать свой продукт жаждущим госорганам и бизнесу с государственным участием. Зачем им сертифицированные продукты?
Всё просто. Несертифицированные средства использовать или запрещено, или не рекомендуется. Государственные информационные системы (ГИС) нельзя ввести в действие без аттестации на соответствие требованиям безопасности. А аттестацию в свою очередь можно провести, только если требования безопасности реализуются за счет сертифицированных средств защиты.
Чем не игла в яйце?
Короче, не ходите сюда, самим мало ☺
Стоит ещё упомянуть защиту персональных данных. Требования к ней практически точь-в-точь совпадают с защитой ГИС, но ИСПДн (информационные системы персональных данных), в отличие от ГИС, не нужно аттестовывать, а загодя покупать сертифицированные продукты никто не спешит. Ведь они даже теоретически должны стоить дороже на год, который вы пожертвовали сертификации.
Кому нужна сертифицированная система защиты и управления мобильными устройствами?
Теперь немного о личном. На просторах нашей необъятной, где так вольно дышит человек, практически закончилась электрификация и мы семимильными шагами движемся в сторону цифровизации, о которой не слышал только Word. Чтобы «перестигнуть» (ещё одно неизвестное для Word слово) результаты всех, кто «нас не любят, но очень хотят», во всех министерствах и ведомствах оцифровываются практически все области экономики.
Возьмите название любой рабочей профессии, приставьте к нему слово «цифровой» и можно оформлять заявку на конкурс инновационных проектов!
Рассмотрим, например, гипотетический проект «Цифровой фрезеровщик».
Наш прожект будет состоять в том, чтобы снабдить цифрового бедолагу смартфоном, который будет собирать информацию со всего носимого им smart-барахла и передавать её на сервер ГИС.
А сервер ГИС за это будет возвращать на смартфон рекомендации о том, как заточить фрезу, когда можно сходить по нужде и др., чтобы получить 13-ю зарплату.
Итак, нам нужно сдать цифровой прожект. Для этого его нужно аттестовать. И тут у нас есть только два пути:
Для успешной аттестации ГИС на практике хватает следующего комплекта сертифицированных средств защиты для мобильных устройств:
Обзор Гарда Deception 1. 7, DDP-системы для имитации ИТ-инфраструктуры
15 Сентября 2023 – 10:30
DDP-платформа (Distributed Deception Platform) «Гарда Deception 1.7.0» создаёт фиктивный слой объектов на контуре, неотличимых от защищаемых узлов сети. Интерактивные ловушки отвлекают внимание злоумышленника приманками, позволяя выиграть время для нейтрализации кибератаки.
Сертификат AM Test Lab №428 от 15.09.2023
Обзор Kaspersky Secure Mobility Management, новой российской UEM-системы
Kaspersky Secure Mobility Management — это защита и администрирование корпоративных и личных мобильных устройств, которые используются сотрудниками в рабочей среде. Система позволяет контролировать устройства и выделять на них отдельный изолированный корпоративный профиль.
Сертификат AM Test Lab №425 от 07.09.2023
Обзор Secret Net Studio 8. 10, средства защиты данных и конечных точек сети
Secret Net Studio — комплекс защиты от несанкционированного доступа. В новой версии 8.10 обеспечены совместимость со внешними песочницами, поддержка работы в Docker, развёртывание и применение патчей через сервер обновлений, отправка журналов на сервер Syslog. Также внесено много улучшений.
Сертификат AM Test Lab №423 от 31.08.2023
Обзор Cyber Protego 10. 0, российской DLP-системы
Cyber Protego 10.0 — многофункциональная DLP-платформа корпоративного уровня с обширным стеком современных технологий, которая обеспечивает централизованный контроль всех операций с данными и минимизирует риски утечек.
Сертификат AM Test Lab №422 от 24.08.2023
Обзор EFROS DefOps 2. 6, российской платформы аудита безопасности ИТ-инфраструктуры
EFROS Defence Operations (DefOps) — новый программный комплекс, разработанный компанией «Газинформсервис». Он имеет модульную архитектуру и позволяет корпоративным заказчикам эффективно производить мониторинг и анализ безопасности ИТ-инфраструктуры, включая аутентификацию и авторизацию конечных точек, аудит топологии и сегментации сети, анализ векторов атак, контроль целостности и соответствия политикам безопасности системных файлов и ряда параметров прикладного ПО.
Сертификат AM Test Lab №421 от 23.08.2023
Обзор мессенджера Anwork 0. 3, средства организации защищённых коммуникаций
Anwork — новый продукт на отечественном рынке, предназначенный для безопасных корпоративных коммуникаций и защищённого обмена данными. Его особенности — высокоуровневое шифрование на базе криптостойкого протокола, отсутствие сведений о пользователе и невозможность получения доступа к отправленной информации.
Сертификат AM Test Lab №420 от 22.08.2023
Свидетельство о регистрации СМИ ЭЛ № ФС 77 – 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
Рекламные коды ОРД: JapBIIgg8, JapBINit6, JapBIR7iO, JapBIM8gm, LdtCKaTR6
Даже если просто просматривать заголовки новостей, то этого достаточно, чтобы понимать: в сфере информационной безопасности постоянно появляются новые угрозы и уязвимости. А потому предприятиям крайне важно иметь возможность осуществлять подготовку своих профессионалов в области безопасности в таком объеме, как того требует их стратегия ИТ-управления.
Это означает, что существует только один вопрос: как лучше всего, с одной стороны, специалистам получить адекватное обучение (что сделает их более востребованными на рынке труда), а с другой стороны, предприятиям улучшить свои протоколы и процедуры безопасности (и продемонстрировать своим клиентам чувство безопасности)?
Правильные решения – это сертификаты безопасности, которые допускают сочетания минимальных требований, стандартизированного языка и профессионального кодекса этики.
Если мы, как специалисты и руководители предприятий решили взять курс в управлении ИТ-безопасностью, то рекомендуется выбирать сертификаты ведущих международных и независимых организаций. С учетом этого, в данной статье мы приводим некоторые из доступных наиболее серьезных сертификационных программ:
CISA / CISM
CISA и CISM– это две основные аккредитации, выдаваемые ассоциацией ISACA (Information Systems Audit and Control Association) – международной ассоциации, которая занимается сертификацией и методологией с 1967 года и насчитывает в своих рядах свыше 95 000 членов.
CISM (Certified Information Systems Manager) появилась позже, чем CISA, и предлагает аккредитацию в знании и опыте управления IT-безопасностью.
CISM предлагает основные стандарты компетенции и профессионального развития, которыми должен обладать директор по IT-безопасности, чтобы разработать и управлять программой IT-безопасности.
CISSP
Сертификат Certified Information Systems Security Professional (CISSP), выдаваемый ISC, — это один из самых ценных сертификатов в отрасли. Такие организации, как АНБ или Министерство обороны США используют его в качестве эталона.
Сертификат также известен как «в милю шириной и дюйм глубиной», т.е. указывает на ширину знаний (в милю), которые проверяются в рамках экзамена, а также на то, что многие вопросы не затрагивают изощренных подробностей концепций (только в дюйм глубиной).
COBIT
COBIT 5 (последняя протестированная версия) определяется как отправная точка, используемая правительственными учреждениями и предприятиями для IT-управления. Управляется ассоциацией ISACA совместно с IT Governance Institute.
COBIT разработан таким образом, чтобы адаптироваться для предприятий любого размера с различными бизнес-моделями и корпоративной культурой. Его стандарты применяются в таких сферах, как информационная безопасность, управление рисками или принятие решений относительно облачных вычислений.
ITIL
ITIL (IT Infrastructure Library) можно описать как пример надлежащей практики и рекомендаций для администрирования IT-сервисами с фокусом на администрировании процессами. Управляет этим сертификатом OGC (Office of Government Commerce) в Великобритании.
В то время как COBITS работает в вопросах управления и стандартизации предприятия, ITIL сконцентрирован на процессах, т.е. C OBIT определяет «ЧТО», а ITIL – «КАК».
ISO / IEC 27000
Стандарт, опубликованный международной организацией по сертификации ISO и международной электротехнической комиссией IEC, выступает в качестве отправной точки для группы стандартов, обеспечивающих основы управления IT-безопасностью, которые могут использоваться любым типом организаций (некоммерческие, государственные, частные, большие или маленькие).
В отличие от других сертификатов, которые предназначены для физических лиц, этот сертификат в первую очередь рассчитан для предприятий.
Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.
Уважаемые IT-профессионалы, какой сертификат безопасности Вы имеете?
не имею сертификата
Проголосовали 168 пользователей.
Воздержались 48 пользователей.
Обзор модуля DLP-системы Solar Dozor 7. 8 — Endpoint Agent для OC Windows
Dozor Endpoint Agent для ОС Windows — один из представленных на российском рынке полнофункциональных продуктов для мониторинга и контроля деятельности пользователей рабочих станций. Его отличают гибкость и простота настройки, зрелость, высокая производительность и эффективность предотвращения нарушений в сфере информационной безопасности.
Сертификат AM Test Lab №409 от 27.02.2023
Обзор Kaspersky Fraud Prevention 2022, интеллектуальной платформы для защиты от мошенничества
Сессионный антифрод Kaspersky Fraud Prevention 2022 сочетает в себе интеллектуальную защиту от кибермошенничества в режиме реального времени и удобство работы доверенных пользователей. Собственные технологии на базе машинного обучения помогают снизить финансовые и репутационные потери, а также сократить расходы на двухфакторную аутентификацию.
Сертификат AM Test Lab №408 от 15.02.2023
Обзор UserGate Log Analyzer 7. 0, российской SIEM-системы
Сертификат AM Test Lab №407 от 09.02.2023
Обзор DS Integrity NG 1. 1, семейства отечественных брокеров сетевых пакетов
Брокеры сетевых пакетов — это устройства, позволяющие снимать трафик с нескольких узлов сети, модифицировать его и передавать в NGFW, NTA, SIEM и другие системы анализа, в том числе с функциональностью DPI. D S Integrity NG 1.1 — единственные представители данного класса устройств, имеющие подтверждённое производство на территории Российской Федерации.
Сертификат AM Test Lab №406 от 03.02.2023
Обзор Ideco UTM 14. 0, отечественного универсального шлюза безопасности
Ideco UTM 14.0 обеспечивает безопасность сети «из коробки» (Unified Threat Management). В его состав входит набор механизмов защиты, отвечающий стандартам NGFW (межсетевые экраны нового поколения, Next Generation Firewall). Продукт готов ко всем вызовам 2022 года за счёт последних нововведений, в том числе благодаря блокировкам по GeoIP и новым механизмам журналирования. Для пользователей подготовлены новый интерфейс и централизованное управление настройками безопасности.
Сертификат AM Test Lab №405 от 21.12.2022
Обзор новых возможностей DLP-системы Solar Dozor 7
Solar Dozor — российская система предотвращения утечек конфиденциальной информации и корпоративного мошенничества (Data Leak Prevention). Третий десяток лет эта DLP-система защищает от утечек крупнейшие отечественные организации самых разных сфер и отраслей — от ретейла до медицины, от производства до госсектора. Система постоянно совершенствуется: в конце октября 2022 г. вышла версия 7.8 с рядом значимых изменений.
Сертификат AM Test Lab №404 от 19.12.2022
Обзор Servicepipe Cybert 3. 0, платформы для защиты веб-ресурсов от DDoS-атак и вредоносных ботов
Платформа Servicepipe Cybert 3.0 нацелена на борьбу с активностью вредоносных ботов, а также на защиту от DDoS-атак на сетевом и прикладном уровнях. Многофакторные методы анализа, современные математические модели и машинное обучение с высокой точностью выявляют и сразу блокируют запросы ботов, в том числе автоматизированные угрозы из списка OWASP Automated Threats to Web Applications.
Сертификат AM Test Lab №402 от 11.12.2022
Обзор X-Config 1. 7, российской системы управления безопасностью конфигураций
X-Config 1.7 предназначена для приведения параметров системных и прикладных программ в соответствие принятым на предприятии стандартам по безопасности, а также для выявления несанкционированных изменений (контроль целостности) и точной оценки того, как имеющаяся конфигурация оборудования и ПО влияет на защищённость всей инфраструктуры, обрабатываемой информации и бизнес-процессов. На основе стандартов безопасной конфигурации легко создаются профили для различных групп хостов.
Сертификат AM Test Lab №401 от 29.11.2022
Обзор Senhasegura 3. 25, платформы для управления привилегированными пользователями (PAM)
Senhasegura — это простое в установке и администрировании решение для управления учётными записями и доступом пользователей. С помощью Senhasegura PAM можно контролировать действия администраторов, специалистов техподдержки, подрядчиков и централизованно управлять сертификатами и паролями от любых учётных записей в любых системах, полностью автоматизировав их жизненный цикл.
Сертификат AM Test Lab №400 от 17.11.2022
Почему оценка соответсвия средств защиты информации и есть сертификация
Время на прочтение
В предыдущем посте Сертификация средств защиты и персональные данные не хватало конкретики в вопросе сертификации как таковой.
В этот раз изложу не свое виденье вопроса, а выдержки из законов ведущие к тезису, что
Сертификация — есть единственная форма оценки соответствия средств защиты требованиям по защите информации
.
Статья получилась немного сумбурная, но, надеюсь, понятная.
Откуда растут ноги?
Будем рассматривать требования к средствам защиты в соответствии с последними нормативными документами: Приказ ФСТЭК №21, Постановление Правительства №1119, — именно они устанавливают требование о необходимости оценки соответствия.
Пункт 4 Приказа №21
4. Меры по обеспечению безопасности персональных данных реализуются в том числе посредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных.
Пункт 13 Постановления №1119
Таким образом при нейтрализации угроз с помощью средств защиты необходимо использовать СЗИ, прошедшие оценку соответствия.
Для многих встает вопрос на этом пункте, так как в прямых документах по защите информации не дается внятного определения оценки соответствия.
Что есть «оценка соответствия»?
Для того, чтоб понять, что же это, следует обратиться к последней редакции Федерального закона от 27 декабря 2002 г. N 184-ФЗ «О техническом регулировании» с поправками от 01.09.2013 г. (далее ФЗ №184)
Во-первых, определимся с понятиями:
декларирование соответствия — форма подтверждения соответствия продукции требованиям технических регламентов;
декларация о соответствии — документ, удостоверяющий соответствие выпускаемой в обращение продукции требованиям технических регламентов;
оценка соответствия — прямое или косвенное определение соблюдения требований, предъявляемых к объекту;
подтверждение соответствия — документальное удостоверение соответствия продукции или иных объектов, процессов производства, эксплуатации, хранения, перевозки, реализации и утилизации, выполнения работ или оказания услуг требованиям технических регламентов, положениям стандартов или условиям договоров;
технический регламент — документ, который принят международным договором Российской Федерации, ратифицированным в порядке, установленном законодательством Российской Федерации, или федеральным законом, или указом Президента Российской Федерации, или постановлением Правительства Российской Федерации, и устанавливает обязательные для применения и исполнения требования к объектам технического регулирования (продукции, в том числе зданиям, строениям и сооружениям, процессам производства, эксплуатации, хранения, перевозки, реализации и утилизации);
форма подтверждения соответствия — определенный порядок документального удостоверения соответствия продукции или иных объектов, процессов производства, эксплуатации, хранения, перевозки, реализации и утилизации, выполнения работ или оказания услуг требованиям технических регламентов, положениям стандартов или условиям договоров.
Следуя статье 20 ФЗ №184:
Формы подтверждения соответствия
1. Подтверждение соответствия на территории Российской Федерации может носить добровольный или обязательный характер.
2. Добровольное подтверждение соответствия осуществляется в форме добровольной сертификации.
3. Обязательное подтверждение соответствия осуществляется в формах:
— принятия декларации о соответствии (далее — декларирование соответствия);
— обязательной сертификации.
,- выясняем, что существует
добровольная сертификацияобязательное подтверждение соответствия
.
В свою очередь обязательное может проходить в двух формах:
декларирование соответствияобязательная сертификация
.
По сути мы получаем 3 способа подтверждения соответствия:
— добровольная сертификация
— обязательная сертификация
— декларирование соответствия
Обязательную сертификацию рассматривать не будем: по данной теме она для нас интереса не представляет. Рассмотрим оставшиеся.
Добровольная сертификация
На данной форме не буду сильно акцентироваться, так как на данный момент толком не существует органов по сертификации (могу ошибаться). Единственная, которая приходит на ум — Газпромсерт, и та больше для использования продуктов внутри компании.
В соответствии с 21 статьей:
,- видно, что она больше используется для соответствия корпоративным стандартам.
Одно время было движение по созданию системы добровольной сертификации в разрезе защиты ПДн, но похоже толком дело не пошло.
Да и разница в трате времени и ресурсов по сравнению с обязательной сертификацией выходит незначительная (если вообще выходит).
Декларирование соответствия
Наиболее привлекательным может показаться следующий пункт закона:
Статья 24. Декларирование соответствия
1. Декларирование соответствия осуществляется по одной из следующих схем:
— принятие декларации о соответствии на основании собственных доказательств;
— принятие декларации о соответствии на основании собственных доказательств, доказательств, полученных с участием органа по сертификации и (или) аккредитованной испытательной лаборатории (центра) (далее — третья сторона).
и особенно греющие душу строки той же статьи:
2. При декларировании соответствия на основании собственных доказательств заявитель самостоятельно формирует доказательственные материалы в целях подтверждения соответствия продукции требованиям технических регламентов. В качестве доказательственных материалов используются техническая документация, результаты собственных исследований (испытаний) и измерений и (или) другие документы, послужившие мотивированным основанием для подтверждения соответствия продукции требованиям технических регламентов. Состав доказательственных материалов определяется соответствующим техническим регламентом.
Особенно с учетом пункта 3 статьи 23:
3. Декларация о соответствии и сертификат соответствия имеют равную юридическую силу независимо от схем обязательного подтверждения соответствия и действуют на всей территории Российской Федерации.
Но обратим внимание на последнее предложение пункта 2 статьи 24:
«Состав доказательственных материалов определяется соответствующим техническим регламентом.»
, а также пункт 5 главы 24:
Также (и в первую очередь) стоит учесть пункт 1 статьи 23:
1. Обязательное подтверждение соответствия проводится только в случаях, установленных соответствующим техническим регламентом, и исключительно на соответствие требованиям технического регламента.
Так почему же «сертификация» = «оценка соответствия»?
в настоящее время
С ФЗ 184 «О техническом регулировании» можно ознакомиться на официальном сайте ФСТЭК России:
Федеральный закон от 27 декабря 2002 г. N 184-ФЗ
Если появился интерес по профилям защиты, то нормативные документы можно посмотреть здесь.
Сколько стоит сертификация?
Стоимость добровольной сертификации продукта или сервиса зависит от его типа и сложности. Обращайтесь в наш отдел продаж, и мы расскажем вам все о добровольной сертификации и получении сертификата Certified by AM Test Lab.
Что даёт сертификация?
Для начала давайте определимся о какой именно сертификации далее пойдет речь. Физический смысл сертификации чего бы то ни было – это процесс проверки/подтверждения/оценки соответствия зафиксированным где-либо требованиям. В зависимости от сферы применения, сертификация бывает обязательной или добровольной. Соответственно, за нее отвечают различные государственные и негосударственные структуры. Например, регистрационное удостоверение (клон сертификата) после прохождения экспертизы, на столь близкие нам маски выдаёт Роспотребнадзор.
В области сертификации средств защиты информации в России два основных регулятора – ФСТЭК и ФСБ. Ф СБ занимается, в основном, сертификацией криптографических средств, а остальные средства защиты информации (не)нужно (обсудим дальше) сертифицировать во ФСТЭК.
Для сертификации типовых средств защиты, таких как межсетевые экраны или антивирусы, ФСТЭКом разработаны наборы специализированных требований. Остальные средства проходят сертификацию на соответствие техническим условиям или заданиям по безопасности, а набор функций безопасности определяется разработчиком продукта. Это чем-то напоминает советскую тушёнку по ГОСТ и по ТУ, но в ряде случаев ГОСТов попросту нет.
Путь к сертификату тернистый и длительный. Идти/ползти по нему или «лечь в правильном направлении» каждый решает сам. Не всем удаётся добраться до финиша, но счастливчикам заветный сертификат даёт «пропуск» на не самый большой, но конкурентный рынок сертифицированных средств защиты информации.
А сейчас рекламная пауза!
Единственным сертифицированным MDM / EMM / UEM решением для Android и iOS является наша платформа SafePhone. Конечно, цифровому фрезировщику iPad не светит. Но если начальник из профильного ведомства, угодивший на принудительную удалёнку, захочет получить доступ с iPad к рабочим файлам без их пересылки на личный почтовый ящик Google, ему придётся аттестовать ГИС удалённого доступа и тут мы ему поможем.
И ещё одно. Чтобы оптимизировать затраты своих заказчиков, мы недавно встроили в свою платформу антивирусные библиотеки Лаборатории Касперского. Теперь, чтобы удовлетворить регулятора, нужно покупать на одно решение меньше. Встречайте SafePhone MTD Edition.
Сертификация IT-систем и лицензирование
Постановление Правительства от 1 декабря 2009 года N 982 содержит исчерпывающий перечень позиций, которые подлежат обязательной сертификации. Но информационные системы в этом списке не упоминаются. Это означает, что на них не распространяется правило об обязательной оценке соответствия, то есть сертификация в области информационной безопасности в Российской Федерации не требуется. В соответствии с положениями федерального закона от 6 октября 1999 г. N 184-ФЗ оценка соответствия таких объектов проводится в добровольном порядке по инициативе заявителя.
Исключение из этого правила зафиксировано в статье 19 федерального закона от 20 февраля 1995 года № 24-ФЗ, посвященного вопросам защиты данных и информатизации. Этот раздел данного нормативного документа устанавливает, что для информационных комплексов федеральных и региональных органов власти, и программ, содержащих данные, находящиеся в ограниченном доступе, сертификация в информационной сфере осуществляется в обязательном порядке.
Вместе с тем, для некоторых видов деятельности в нашей стране государственный контроль осуществляется в форме лицензирования. Список направлений, для которых применяется это требование, приведен в статье 12 федерального закона от 4 мая 2011 года № 99-ФЗ. Он включает следующие позиции:
Компании, которые занимаются одним или несколькими видами деятельности из приведенного списка, обязаны получать лицензию.
Придётся разобраться в продукте и в технологии его разработки
Итак, сертификация – процесс суровый. Испытательные лаборатории вынимают душу разработчиков не хуже Шан Цунга.
Придётся не только найти у себя функции безопасности, но и показать, как именно они работают и какие исходные тексты соответствуют этим функциям. Тем, кто хочет приблизить себя к защите государевой тайны ещё придётся пройти занимательные квесты с фаззингом и другими весёлыми инструментами от инженера Джона Крамера. Холодный пот и бессонные ночи вам обеспечены, но зато свой код будете помнить от «main ()» до «.лЯ!».
Кроме анализа кода вам предстоит сдать анализы от процесса разработки, описать свой gitflow, процесс CI, исправление багов, доставку исправлений клиентам и т.д.
Разработка средств безопасности должна быть безопасной и не должна быть опасной. О как!
У этих чуднЫх забав польза все-же есть. Продукты, слепленные из gовнокода, скорее всего не получат сертификат. Agile в худшем его понимании, типа «фигачим прямо на продакшене» не подходит для сертификации, как и продукты, которые были собраны очумелыми ручками с горящим взором из «кучи пластиковых бутылок».
Что общего между сертификаторами и Лангольерами
Эти милые создания неустанно пожирают время и пространство. После принятия решения о начале сертификации считайте, что вы и члены вашей команды уже стали на год старше, потому что редко, кому удаётся пройти сертификацию быстрее.
Обычно это происходит так. Сначала вы обучаете своему продукту тружеников из испытательной лаборатории, которая будет доказывать регулятору, что вы не верблюд. В том смысле, что ваш продукт не верблюд и в нём есть необходимые для получения сертификата функции безопасности, которые вы безопасно разрабатываете.
Далее вы вместе с испытательной лабораторией пишете заявку на сертификацию и технические условия (задание по безопасности), где определяете какие именно функции безопасности должны искать и находить в вашем продукте. Как только заявка акцептована, начинается самое утомительное.
Процедура сертификации на соответствие требованиям ISO 27001
Процесс сертификации организуется после полноценного внедрения системы на предприятии и отладки ее функционирования. Добровольная информационная сертификация по стандартам ISO 27001 проводится только аккредитованной организацией, имеющей право выполнять проверку на соответствие требованиям системы.
Стандарты системы ISO 27001 во многом основываются на базовой системе менеджмента качества ISO 9001. Так что если компания уже сертифицирована на соответствие требованиям этого стандарта, ей станет проще пройти процедуру сертификации, воспользовавшись имеющимися документами и наработками.
Этапы
Прежде, чем подать заявление в органы сертификации информационных систем, заявителю следует выполнить следующие шаги.
Документы по итогам сертификации
Компания, которая успешно прошла проверку на соответствие требованиям системы и подтвердила выполнение обязательных стандартов, получает сертификат установленного образца. Он оформляется аккредитованным сертификационным органом, который проводил аудит на предприятии. Документ выдается на бумажном носителе, чтобы его владелец мог предъявить сертификат любому заинтересованному лицу — например, потенциальному партнеру или контрагенту.
Стоимость
Стоимость работ по сертификации в сфере информационной безопасности не регламентируется действующим законодательством. Аккредитованные агентства вправе самостоятельно определять цену своих услуг. Чаще всего в этом процессе принимаются во внимание масштаб организации, сложность информационных процессов и используемых технологий и другие факторы. В среднем эксперты оценивают общую стоимость работ по сертификации на соответствие стандартам ISO 27001 в сумму от 30 до 60 тысяч долларов.
Виды сертификатов
Поскольку обязательная сертификация информационных средств в России не применяется, все виды сертификатов в этой области выдаются в добровольном порядке. Их делят на две укрупненные категории:
Корпоративные сертификаты
Одним из самых авторитетных инструментов в этой сфере является сертификация систем менеджмента информационной безопасности ISO 27001. Она признана во всем мире в качестве эталонной при оценке политики компании в данной предметной области. Кроме этого, в реестре зарегистрированных систем добровольной оценки соответствия, ведение которого осуществляет Росстандарт, значатся еще несколько десятков комплексов критериев, которые применяются компаниями для подтверждения своей ответственной позиции в этом вопросе.
Персональные сертификаты
Список популярных систем, применяющихся для оценки индивидуального профессионального уровня, более широк. В зависимости от области своей деятельности специалист выбирает сертификат информационной безопасности, наилучшим образом подтверждающий его компетенции. В перечень востребованных документов в данной области входят:
Как проводится сертификация?
Добровольная сертификация осуществляется либо с использованием технических ресурсов AM Test Lab, либо на тестовых стендах заказчика, если самостоятельная установка и настройка решения затруднена или невозможна. В обоих случаях со стороны заказчика необходимо предоставление технической документации по продукту.
Добровольная сертификация продуктов для защиты домашних пользователей проводится по следующим критериям:
Добровольная сертификация продуктов для защиты корпоративных клиентов проводится по следующим критериям:
Дополнительно при проведении сертификации могут учитываться и другие критерии, специальные для отдельных классов продуктов.
В случае положительного результата испытаний продукт получает сертификат Certified by AM Test Lab и его обзор публикуется на нашем сайте. Наличие такого сертификата подтверждает высокий уровень качества продукта и является нашей рекомендацией в выборе для потенциальных покупателей.
Продукты и услуги, отмеченные сертификатом Certified by AM Test Lab »
Важно! Оценка эффективности защиты в ходе проведения сертификационных испытаний не производится, так как для обоснованного заключения по этому вопросу требуется тестирование нескольких продуктов одновременно. Для сравнения эффективности лабораторией AM Test Lab проводится ряд специальных тестов и сравнений, отвечающих на вопрос: «Какие продукты и технологии наиболее эффективны».
Зачем нужны сертифицированные средства защиты информации?
Сертификат – справка очень важная, но слегка бумажная. Что она даёт, кому и зачем она нужна пытаемся разобраться под катом.
Что входит в услугу сертификации?
В рамках услуги по добровольной сертификации продуктов и сервисов по информационной безопасности лабораторией AM Test Lab проводится:
НаучИтесь натягивать сову на глобус
Руководящие документы (РД) это вам не гайдлайны и обучающие видео от Google. Читать РД могут «не только лишь все», а только лишь те, кто умеет переводить с казенного на русский без словаря. Большинство испытательных лабораторий успешно справляются с этой задачей. Но, увы, остаются и те, кто цитирует РД как ПисАние. Поэтому при выборе лаборатории ищите ту, у представителей которой при слове «руководящий документ» глаза не загораются в религиозном экстазе. Иначе есть шанс попасть в филиал Святой Инквизиции, целью которой является ярко и с огоньком обращать неверных в верных.
«Причём тут сова и глобус?» – спросите вы. А при том, что с учётом даты выпуска части действующих РД (начало конца XX века), в которых определены основные термины и определения, успех сертификации иногда зависит от правильной трактовки требований и умения обосновать свою позицию.
Испытательная лаборатория должна быть вашим партнёром, а не истязателем. В общем, тщательно выбирайте партнёров. Иначе на глобус натянут вас.
Система управления информационной безопасностью
Комплексная система, внедряемая организацией для обеспечения собственной IT-безопасности, должна охватывать все аспекты ее деятельности в этой области, включая создание продуктов, их отладку и ввод в эксплуатацию, функционирование, регулярный мониторинг работы, анализ алгоритмов и ошибок при ее применении, поддержку и улучшение рабочих механизмов. Выбираемые инструменты и методы должны отвечать особенностям технологического цикла предприятия, а также стоящим перед ним задачам.
Преимущества внедрения стандарта ISO 27001 для предприятия
Общепризнанная система добровольной сертификации информационных технологий ISO 27001 не зря завоевала свою популярность. Она вобрала в себя лучшие мировые практики по обеспечению защиты информации и используемых технологий. Ее внедрение дает предприятию безопасность по трем основным направлениям:
Эти преимущества широко известны специалистам в данной области. По этой причине сертификат соответствия информационной безопасности сразу же воспринимается как свидетельство грамотной и ответственной позиции компании в вопросах обеспечения защиты данных.
Компания может пройти сертификацию на соответствие требованиям международного стандарта ISO 27001 или национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 27001-2006. Первый вариант подойдет организациям, которые работают преимущественно на внутреннем рынке. Второй тип сертификата станет полезен компаниям, которые ориентированы на взаимодействие с международными партнерами.