Сертификация информационных систем

Нормативная база:

• Федеральный закон №152-ФЗ «О персональных данных» — устанавливает требования к защите персональных данных, обрабатываемых в информационных системах.
• Постановление Правительства РФ №1119 от 1.11.2012 — утверждает требования к защите информации в государственных информационных системах.
• ГОСТ Р 57580.1-2017 — стандарт обеспечения безопасности финансовых организаций.
• ФСТЭК России — выпускает конкретные методические документы и требования для всех видов информационных систем. Например, приказ 21 «Об утверждении Требований к защите информации».

В зависимости от типа разрабатываемой или эксплуатируемой системы (ГИС, ИСПДн, АСУ ТП, КИИ) применяются отдельные технические регламенты и спецификации. Мы в центре по сертификации «Мостест» внимательно следим за обновлениями нормативной базы, что позволяет нашим клиентам быть уверенными в актуальности получаемых услуг.

Кому и зачем нужна сертификация?

Сертификация нужна компаниям и организациям, чья деятельность напрямую связана с обработкой конфиденциальной информации, персональных и коммерческих данных, использования государственных информационных ресурсов или работы по госзаказу. Сертификация обязательна для:

• Государственных учреждений, операторов персональных данных;
• Финансовых организаций (банки, страховые компании — требования Центробанка РФ);
• Критических объектов инфраструктуры;
• Производственных предприятий, использующих автоматизированные системы управления технологическими процессами (АСУ ТП);
• ИТ-компаний, участвующих в тендерах и государственных закупках.

Для коммерческих компаний сертификация становится преимуществом: она подтверждает надёжность и безопасность информационной среды, повышает лояльность клиентов и помогает заключать выгодные контракты.

Этапы сертификации информационных систем

Сертификация — процесс поэтапный и регламентированный. Обычно он включает:

• • 1. Предварительная оценка и анализ объекта — аудит инфраструктуры, оценка потенциальных рисков и сбор исходных документов.
    2. Разработка организационно-распорядительной документации — подготовка регламентов, политик безопасности, инструкций пользователей, плана осуществления защиты информации.
    3. Внедрение средств защиты информации — установка сертифицированных СЗИ: антивирусы, межсетевые экраны, СКЗИ и др.
    4. Проведение испытаний — проверка системы на соответствие требованиям.
    5. Оформление документации и подача заявки в орган сертификации.
    6. Получение сертификата или заключения.

Весь процесс может занимать от 2 до 6 месяцев в зависимости от сложности объекта и объёма работ. Мы, как уполномоченный орган, организуем каждый этап с учётом специфики заказчика и требований контролирующих органов.

Необходимые документы и примерные цены оформления

Для прохождения сертификации требуется подготовить следующий комплект документов:

Средняя стоимость оформления полного пакета документов составляет для небольших организаций от 90 000 до 150 000 руб, для крупных распределённых структур — от 280 000 руб и выше. Для точной оценки обращайтесь к нашим экспертам — консультация первичная бесплатна.

Вопросы и ответы: Практика центра «Мостест»

Что происходит, если не пройти обязательную сертификацию?

Отсутствие сертификата грозит компаниям штрафами до 100 000 рублей, невозможностью участвовать в тендерах, а также опозориться при проверке Роскомнадзора или ФСТЭК РФ.

С какими сложностями чаще всего сталкиваются клиенты?

Главная сложность — отсутствие четкой архитектуры системы, неактуальность регламентов и слабая квалификация персонала. Мы устраняем эти проблемы на этапе консультации и подготовки документации.

Пример реальной практики: сертификация для IT-компании в сфере финтех

К нам обратился стартап из Санкт-Петербурга, который разработал облачную платформу хранения персональных данных для финансовых сервисов. После экспресс-аудита выяснилось, что требуется немедленное внедрение сертифицированного межсетевого экрана по ГОСТ Р 51624-2000, оформление Положения о защите информации и пересмотр политики доступа для сотрудников. Мы подготовили полностью соответствующий комплект документов, провели обучение сотрудников и провели испытания вместе с партнерами из сертифицированной лаборатории. Через 3 месяца клиент получил сертификат, который открыл выход на крупных финансовых заказчиков.

Какие стандарты и требования надо соблюдать чаще всего?

• • • ГОСТ Р 56939-2016 — требования к безопасности систем передачи данных.
    • ГОСТ Р 50922-2006 — требования к технической и программной защите информации.
    • Методические рекомендации ФСТЭК РФ по оценке соответствия.
    • Лицензии на используемые средства защиты информации, подтвержденные аккредитацией ФСТЭК или ФСБ России.

Преимущества обращения в наш центр сертификации

Работая на рынке с 2006 года, «Мостест» поддерживает партнерские отношения с аккредитованными лабораториями и экспертами в области информационной безопасности. Мы предлагаем:

• • Комплексное сопровождение на всех этапах — от аудита до получения сертификата;
  • Оптимизацию расходов за счет выверенных схем подготовки документации;
  • Гарантии получения требуемых результатов и прозрачность на каждом этапе;
  • Персональный подход к каждому заказчику, учитывая отраслевую специфику;
  • Постоянную поддержку — выдача консультаций и обновление документов по мере изменения законодательства.

Как обратиться: Контакты и порядок работы

Для бесплатной консультации и предварительной оценки обращайтесь по указанным телефонам или отправляйте запросы на электронную почту. Наши специалисты проводят анализ в кратчайшие сроки, помогут подготовить индивидуальный план сертификации и рассчитать стоимость услуг.

В условиях быстро меняющегося законодательства профессиональная поддержка и грамотное оформление нормативной документации становятся неотъемлемой частью долгосрочного успеха любой организации, которая заботится о надежности своих информационных систем и соблюдении всех требований информационной безопасности.