Лицензирование деятельности в области защиты информации реферат

Обновлено: 04.07.2024

Соответствующими указами Президентом определены федеральные органы исполнительной власти, реализующие полномочия по защите информации:

ФСТЭК России является федеральным органом исполнительной власти, осуществляющим реализацию государственной политики, организацию межведомственной координации и взаимодействия, специальные и контрольные функции в области государственной безопасности по вопросам:

обеспечения безопасности критической информационной инфраструктуры Российской Федерации;

противодействия иностранным техническим разведкам на территории Российской Федерации;

обеспечения защиты (некриптографическими методами) информации, содержащей сведения, составляющие государственную тайну, иной информации с ограниченным доступом, предотвращения ее утечки по техническим каналам, несанкционированного доступа к ней, специальных воздействий на информацию (носители информации) в целях ее добывания, уничтожения, искажения и блокирования доступа к ней на территории Российской Федерации;

защиты информации при разработке, производстве, эксплуатации и утилизации неинформационных излучающих комплексов, систем и устройств;

осуществления экспортного контроля.

Нормативные правовые акты и методические документы, изданные по вопросам деятельности ФСТЭК России, обязательны для исполнения государственными органами и организациями.

ФСТЭК России осуществляет методическое руководство деятельностью государственных органов и организаций в области обеспечения безопасности информации в ключевых системах информационной инфраструктуры, противодействия техническим разведкам и технической защиты информации.

Основными задачами ФСБ России в области защиты информации являются:

обеспечение в пределах своих полномочий защиты сведений, составляющих государственную тайну, и противодействия иностранным организациям, осуществляющим техническую разведку;

формирование и реализация в пределах своих полномочий государственной и научно-технической политики в области обеспечения информационной безопасности;

организация в пределах своих полномочий обеспечения криптографической и инженерно-технической безопасности информационно-телекоммуникационных систем, а также систем шифрованной, засекреченной и иных видов специальной связи в Российской Федерации и ее учреждениях за рубежом.

Различие компетенций вышеперечисленных органов исполнительной власти заключается в следующем:

ФСТЭК России формирует требования и производит контроль мероприятий по защите информации некриптографическими методами (разграничение прав пользователей, защита информации от побочных электромагнитных излучений, защита речевой информации и др.);

ФСБ России формирует требования и производит контроль мероприятий по защите информации криптографическими методами (защита каналов связи, электронная подпись).

Защита информации некриптографическими методами является наиболее массовым видом при создании защищенных информационных систем.

2. Нормативно-правовая база защиты информации

Основой для формирования государственной политики и развития общественных отношений в области обеспечения информационной безопасности, а также для выработки мер по совершенствованию системы обеспечения информационной безопасности является Доктрина информационной безопасности Российской Федерации, утвержденная Указом Президента РФ от 5 декабря 2016 г. № 646.

Организация работ по защите информации в органах исполнительной власти осуществляется их руководителями. Для организации и проведения работы по защите информации создаются специальные подразделения по защите информации (или штатные специалисты).

В органах исполнительной власти субъекта может циркулировать два вида информации подлежащей обязательной защите в соответствии с действующим законодательством:

персональные данные (любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу);

Для вышеперечисленных видов информации должны в обязательном порядке применяться меры по защите информации.

Защита сведений, отнесенных к государственной тайне, осуществляется в соответствии с законом РФ от 21.07.1993 N 5485-1 (ред. от 29.07.2018) "О государственной тайне" и инструкцией по обеспечению режима секретности в РФ от 05.01.2004 3-1.

Одна из основных целей защиты информации – это предотвращение ее утечки по техническим каналам.

1) предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;

2) своевременное обнаружение фактов несанкционированного доступа к информации;

3) предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;

4) недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;

5) возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;

6) постоянный контроль за обеспечением уровня защищенности информации.

3. Требования по защите информации

Конкретные требования по защите информации, которые должен обеспечить обладатель информации, отражены в руководящих документах ФСТЭК и ФСБ России. Документы также делятся на ряд направлений:

защита информации при обработке сведений, составляющих государственную тайну;

защита конфиденциальной информации (в т.ч. персональных данных);

защита информации в ключевых системах информационной инфраструктуры.

Конкретные требования по защите информации определены в руководящих документах ФСТЭК России.

При создании и эксплуатации государственных информационных систем (а это все информационные системы областных органов исполнительной власти) методы и способы защиты информации должны соответствовать требованиям ФСТЭК и ФСБ России.

4. Аттестация объектов информатизации

Основной единицей в терминах защиты информации принято считать объект информатизации – совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, а также средств их обеспечения, помещений или объектов (зданий, сооружений, технических средств), в которых эти средства и системы установлены, или помещений и объектов, предназначенных для ведения конфиденциальных переговоров (если упрощенно, объекты информатизации – это автоматизированные системы, на которых обрабатывается защищаемая информация и защищаемые помещения, в которых ведутся конфиденциальные переговоры).

Обязательной аттестации подлежат объекты информатизации, предназначенные для обработки конфиденциальной информации, информации, составляющей государственную тайну, управления экологически опасными объектами, ведения секретных переговоров.

Пpи аттестации объекта информатизации подтверждается его соответствие требованиям по защите информации от несанкционированного доступа, в том числе от компьютерных вирусов, от утечки за счет побочных электромагнитных излучений и наводок пpи специальных воздействиях на объект (высокочастотное навязывание и облучение, электромагнитное и радиационное воздействие), от утечки или воздействия на нее за счет специальных устройств, встроенных в объекты информатизации.

Аттестация проводится органом по аттестации (организация, имеющая лицензии ФСТЭК России).

Расходы по проведению всех видов работ и услуг по аттестации объектов информатизации оплачивают заявители.

Для проведения аттестации объектов информатизации, на которых обрабатывается:

информация, содержащая сведения, составляющие государственную тайну, требуется лицензия ФСТЭК России на право осуществления мероприятий и (или) оказания услуг в области защиты государственной тайны (в части технической защиты информации);

конфиденциальная информация требуется лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации.

Органы по аттестации объектов информатизации несут ответственность за выполнение возложенных на них функций, обеспечение сохранности государственных и коммерческих секретов, а также за соблюдение авторских прав pазpаботчиков аттестуемых объектов информатизации и их компонент.

5. Сертификация средств защиты информации

Указанные средства подлежат обязательной сертификации, которая проводится в рамках систем сертификации средств защиты информации. При этом криптографические (шифровальные) средства должны быть отечественного производства и выполнены на основе криптографических алгоритмов, рекомендованных ФСБ России.

На аттестованных объектах информатизации должны применяться сертифицированные по требованиям безопасности информации средства защиты информации. Сертификация средств защиты осуществляется испытательными лабораториями.

Федеральными органами по сертификации являются ФСТЭК России и ФСБ России в части:

разработки и производства средств защиты информации, составляющей государственную тайну;

разработки и производства средств защиты конфиденциальной информации.

6. Построение системы защиты информации в организации

Вопросы создания и непосредственного руководства подразделениями по защите информации в органах государственной власти возлагаются на руководителей органов государственной власти или их заместителей.

Для организации и проведения работ по защите информации создаются специальные подразделения по защите информации (или штатные специалисты).

7. Контроль состояния защиты информации

Контроль состояния защиты информации (далее - контроль) осуществляется с целью своевременного выявления и предотвращения утечки информации по техническим каналам, несанкционированного доступа к ней, преднамеренных программно-технических воздействий на информацию и оценки защиты ее от иностранных технических разведок.

Контроль заключается в проверке выполнения актов законодательства Российской Федерации по вопросам защиты информации, решений ФСТЭК России, а также в оценке обоснованности и эффективности принятых мер защиты для обеспечения выполнения утвержденных требований и норм по защите информации.

Контроль организуется ФСТЭК России, ФСБ России, другими органами государственной власти, входящими в государственную систему защиты информации, и предприятиями в соответствии с их компетенцией.

ФСТЭК России организует контроль силами центрального аппарата и территориальных Управлений ФСТЭК России.

Центральный аппарат ФСТЭК России осуществляет в пределах своей компетенции контроль в органах государственной власти и на предприятиях, обеспечивает методическое руководство работами по контролю.

Территориальные управления ФСТЭК России, в пределах своей компетенции осуществляют контроль в органах государственной власти и на предприятиях, расположенных в зонах ответственности этих управлений.

Органы государственной власти организуют и осуществляют контроль на подчиненных им предприятиях через свои подразделения по защите информации. Повседневный контроль за состоянием защиты информации на предприятиях проводится силами их подразделений по защите информации.

Контроль на предприятиях негосударственного сектора при выполнении работ с использованием сведений, отнесенных к государственной или служебной тайнам, осуществляется органами государственной власти, ФСТЭК России, ФСБ России и заказчиком работ в соответствии с их компетенцией.

Защита информации считается эффективной, если принимаемые меры соответствуют установленным требованиям или нормам.

Несоответствие мер установленным требованиям или нормам по защите информации является нарушением.

Лицензирование деятельности в области защиты информации представляет собой определенную форму государственного контроля и должно обеспечить не только допуск организаций, соответствующих определенным требованиям и условиям, к осуществлению определенных видов деятельности, но и повышение качества непосредственно мероприятий и услуг по технической защите информации.

Основополагающим федеральным законом в области лицензирования является Федеральный закон от 04.05.2011 N 99-ФЗ "О лицензировании отдельных видов деятельности". Рассмотрим основные понятия в области лицензирования.

Лицензия - специальное разрешение на право осуществления юридическим лицом или индивидуальным предпринимателем конкретного вида деятельности (выполнения работ , оказания услуг, составляющих лицензируемый вид деятельности ), которое подтверждается документом, выданным лицензирующим органом на бумажном носителе или в форме электронного документа, подписанного электронной подписью, в случае, если в заявлении о предоставлении лицензии указывалось на необходимость выдачи такого документа в форме электронного документа.

Лицензирование - деятельность лицензирующих органов по предоставлению, переоформлению лицензий, продлению срока действия лицензий в случае, если ограничение срока действия лицензий предусмотрено федеральными законами, осуществлению лицензионного контроля, приостановлению, возобновлению, прекращению действия и аннулированию лицензий, формированию и ведению реестра лицензий, формированию государственного информационного ресурса, а также по предоставлению в установленном порядке информации по вопросам лицензирования.

Лицензирующие органы - уполномоченные федеральные органы исполнительной власти и (или) их территориальные органы, а в случае передачи осуществления полномочий Российской Федерации в области лицензирования органам государственной власти субъектов Российской Федерации органы исполнительной власти субъектов Российской Федерации, осуществляющие лицензирование .

Соискатель лицензии - юридическое лицо или индивидуальный предприниматель, обратившиеся в лицензирующий орган с заявлением о предоставлении лицензии.

Лицензиат - юридическое лицо или индивидуальный предприниматель, имеющие лицензию;

Лицензионные требования - совокупность требований, которые установлены положениями о лицензировании конкретных видов деятельности, основаны на соответствующих требованиях законодательства Российской Федерации и направлены на обеспечение достижения целей лицензирования.

В ст.12 Федерального закона перечислены виды деятельности, на которые требуется лицензия . В контексте информационной безопасности лицензия требуется на следующие виды деятельности:

• разработка, производство, распространение шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнение работ, оказание услуг в области шифрования информации, техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя);
• разработка, производство, реализация и приобретение в целях продажи специальных технических средств, предназначенных для негласного получения информации;
• деятельность по выявлению электронных устройств, предназначенных для негласного получения информации (за исключением случая, если указанная деятельность осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя);
• разработка и производство средств защиты конфиденциальной информации;
• деятельность по технической защите конфиденциальной информации[91].

Лицензия является бессрочной.

Перечислим общий порядок получения лицензии, описанный в ст. 13 ФЗ:

К заявлению соискатель должен приложить копии документов в соответствии с положением о лицензировании конкретного вида деятельности и опись прилагаемых документов. Следует отметить, что в последних редакциях закона предусмотрена электронная отправка документов в лицензирующий орган с электронной подписью соискателя. В течение трех рабочих дней лицензирующий орган принимает решение о соответствии предоставленных документов. В случае принятия документов на рассмотрение в срок не позднее 45 рабочих дней принимается решение об отказе или предоставлении лицензии соискателю. Решение о предоставлении лицензии или об отказе в ее предоставлении оформляется приказом (распоряжением) лицензирующего органа.

Уведомление о принятии решения вручается или отправляется соискателю в письменной форме. Если решение отрицательное, должны указываться причины отказа и реквизиты акта проверки возможности выполнения соискателем лицензии лицензионных требований и условий, если причиной отказа является невозможность выполнения соискателем лицензии указанных требований и условий.

Причинами отказа в получении лицензии могут быть:

• наличие в документах, представленных соискателем лицензии, недостоверной или искаженной информации;
• несоответствие соискателя лицензии, принадлежащих ему или используемых им объектов лицензионным требованиям и условиям;
• если у соискателя ранее была лицензия на этот же вид деятельности и она была аннулирована.

Лицензирующими органами в области защиты информации являются ФСБ и ФСТЭК. В области технической защиты конфиденциальной информации, которой посвящен данный курс, - ФСТЭК. Требования для получения лицензии устанавливаются положениями о лицензировании конкретных видов деятельности, утверждаемыми Правительством РФ. Лицензирование в области технической защиты конфиденциальной информации осуществляется на основании "Положения о лицензировании деятельности по технической защите конфиденциальной информации" от 03.02.2012 (далее - Положение).

В соответствии с Положением к юридическому лицу - соискателю лицензии -предъявляются следующие требования:

• В штате по основному месту работы в соответствии со штатным расписанием руководителя и(или) уполномоченного руководить работами лица, имеющих высшее образование по направлению подготовки (специальности) в области информационной безопасности и стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 3 лет, или высшее образование по направлению подготовки (специальности) в области математических и естественных наук, инженерного дела, технологий и технических наук и стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 5 лет, или иное высшее образование и стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 5 лет, прошедших обучение по программам профессиональной переподготовки по одной из специальностей в области информационной безопасности (нормативный срок обучения - не менее 360 аудиторных часов).
• Не менее двух инженерно-технических работников имеющих высшее образование по направлению подготовки (специальности) в области информационной безопасности и стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 3 лет или иное высшее образование и стаж работы в области проводимых работ по лицензируемому виду деятельности не менее 3 лет, прошедших обучение по программам профессиональной переподготовки по одной из специальностей в области информационной безопасности (нормативный срок обучения - не менее 360 аудиторных часов).
• Наличие помещений, принадлежащих на праве собственности или ином законном основании, в которых созданы необходимые условия для осуществления лицензируемого вида деятельности;
• Наличие необходимого оборудования, принадлежащего на праве собственности или ином законном основании, в соответствии с перечнем, определяемым ФСТЭК, в том числе:
  • измерительных приборов, прошедших в установленном законодательством Российской Федерации порядке метрологическую поверку (калибровку);
  • программных (программно-технических) средств, включая средства контроля эффективности защиты информации, сертифицированных по требованиям безопасности информации, а также средств контроля (анализа) исходных текстов программного обеспечения.

  Для получения лицензии соискатель отправляет в ФСТЭК:

  Лицензионный контроль также осуществляет ФСТЭК в соответствии с Федеральным законом "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля" и статьей 19 Федерального закона "О лицензировании отдельных видов деятельности".

  "…получение юридическим лицом лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации является обязательным в случае, если эта деятельность направлена на получение прибыли от выполнения работ или оказания услуг по технической защите конфиденциальной информации и (или) она необходима для достижения целей деятельности, предусмотренных в учредительных документах юридического лица, а также, если это юридическое лицо (уполномоченное лицо) обеспечивает техническую защиту конфиденциальной информации при ее обработке в соответствии с Федеральным законом "Об информации, информационных технологиях и о защите информации" по поручению обладателя информации конфиденциального характера и (или) заказчика информационной системы".

  Таким образом, если ТКЗИ не приносит прибыли и не направлена на достижение целей деятельности, предусмотренных в учредительных документах, лицензия на ТКЗИ не нужна. Если же юридическое лицо оказывает услуги или выполняет работы по ТКЗИ - то получение лицензии является обязательным в соответствии с ФЗ "О лицензировании отдельных видов деятельности" и Гражданским кодексом РФ.

  В области технической защиты конфиденциальной информации ФСТЭК также осуществляет лицензирование деятельности по разработке и(или) производству средств защиты конфиденциальной информации в соответствии с Постановлением Правительства РФ от 3 марта 2012 г. N 171 "О лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации".

  Лицензией называется разрешение на право проведения работ в области защиты информации. Лицензия выдается на конкретные виды деятельности на три года, по истечении которых осуществляется ее перерегистрация в порядке, установленном для выдачи лицензии.

  Лицензия выдается в том случае, если предприятие, подавшее заявку на получение лицензии, имеет условия для проведения лицензирования: производственную и испытательную базу, нормативную и методическую документацию, располагает научным и инженерно-техническим персоналом.

  Организационную структуру системы государственного лицензирования деятельности предприятий в области защиты информации образуют:

  · государственные органы по лицензированию;

  Государственные органы по лицензированию:

  · организуют обязательное государственное лицензирование деятельности предприятий;

  · выдают государственные лицензии предприятиям-заявителям;

  · согласовывают составы экспертных комиссий, представляемые лицензионными центрами;

  · осуществляют контроль и надзор за полнотой и качеством проводимых лицензиатами работ в области защиты информации.

  · формируют экспертные комиссии и представляют их состав на согласование руководителям соответствующих государственных органов по лицензированию, которыми являются ФСТЭК и ФСБ;

  · планируют и проводят работы по экспертизе предприятий-заявителей;

  · контролируют полноту и качество выполненных лицензиатами работ.

  Лицензионные центры при государственных органах по лицензированию создаются приказами руководителей этих органов. Экспертные комиссии формируются из числа компетентных в соответствующей области защиты информации специалистов отраслей промышленности, органов государственного управления, других организаций и учреждений. Экспертные комиссии создаются по одному или нескольким направлениям защиты информации.

  Лицензированию ФСТЭК России подлежат:

  · сертификация, сертификационные испытания защищенных технических средств обработки информации (ТСОИ), технических и программных средств защиты, средств контроля эффективности мер защиты информации, программных средств обработки, защиты и контроля защищенности;

  · аттестация систем информатизации, автоматизированных систем управления, систем связи и передачи данных, объектов ВТ и выделенных помещений на соответствие требованиям руководящих и нормативных документов по безопасности информации;

  · разработка, производство, реализация, монтаж, наладка, установка, ремонт, сервисное обслуживание защищенных объектов информатики, технических средств защиты и контроля эффективности мер защиты информации, защищенных прог­раммных средств обработки, защиты и контроля защищенности информации;

  · проведение специальных исследований на побочные электромагнитные излучения и наводки (ПЭМИН) ТСОИ;

  · проектирование объектов в защищенном исполнении.

  На орган по лицензированию возлагается:

  · разработка правил, процедур и нормативно-методических документов по вопросам проведения лицензирования;

  · осуществление научно-методического руководства лицензионной деятельностью;

  · публикация необходимых сведений о системе лицензирования;

  · рассмотрение заявлений организаций и воинских частей о выдаче лицензий;

  · согласование заявлений с воинскими частями, ответственными за соответствующие направления защиты информации;

  · согласование состава экспертных комиссий;

  · организация и проведение специальных экспертиз;

  · принятие решения о выдаче лицензии;

  · принятие решения о приостановлении, возобновлении действия лицензии или ее аннулировании;

  · ведение реестра выданных, приостановленных, возобновленных и аннулированных лицензий;

  · приобретение, учет и хранение бланков лицензий;

  · организация работы аттестационных центров;

  · осуществление контроля за полнотой и качеством проводимых лицензиатами работ.

  · деятельность по распространению шифровальных (криптографических) средств;

  · деятельность по техническому обслуживанию шифровальных (криптографических) средств;

  · предоставление услуг в области шифрования информации;

  · разработка, производство шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных систем, телекоммуникационных систем;

  · деятельность по разработке и (или) производству средств защиты конфиденциальной информации; деятельность по технической защите конфиденциальной информации;

  · деятельность по выявлению электронных устройств, предназначенных для негласного получения информации в помещениях и технических средствах (за исключением случая, если указанная деятельность осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя).

  В рамках рассматриваемых видов деятельности были выпущены отдельные постановления Правительства Российской Федерации, разъясняющие порядок лицензирования. Среди них:

  В соответствии с этими документами лицензиаты обязаны ежегодно представлять в орган по лицензированию или аттестационный центр сведения о количестве выполненных работ по конкретным видам указанной в лицензии деятельности. Лицензиаты несут ответственность за полноту и качество выполняемых работ, обеспечение сохранности государственной тайны, доверенной им в ходе практической деятельности.

  © 2022 Научная библиотека

  Копирование информации со страницы разрешается только с указанием ссылки на данный сайт

  
  

  Сертификация систем менеджмента информационной безопасности - это подтверждение соответствия политики компании в области обеспечения защищенности применяемых IT-технологий и инструментов современным стандартам.

  Сертификация IT-систем и лицензирование

  Постановление Правительства от 1 декабря 2009 года N 982 содержит исчерпывающий перечень позиций, которые подлежат обязательной сертификации. Но информационные системы в этом списке не упоминаются. Это означает, что на них не распространяется правило об обязательной оценке соответствия, то есть сертификация в области информационной безопасности в Российской Федерации не требуется. В соответствии с положениями федерального закона о т 6 октября 1999 г. N 184-ФЗ оценка соответствия таких объектов проводится в добровольном порядке по инициативе заявителя.

  Исключение из этого правила зафиксировано в статье 19 федерального закона от 20 февраля 1995 года № 24-ФЗ, посвященного вопросам защиты данных и информатизации. Этот раздел данного нормативного документа устанавливает, что для информационных комплексов федеральных и региональных органов власти, и программ, содержащих данные, находящиеся в ограниченном доступе, сертификация в информационной сфере осуществляется в обязательном порядке.

  Вместе с тем, для некоторых видов деятельности в нашей стране государственный контроль осуществляется в форме лицензирования. Список направлений, для которых применяется это требование, приведен в статье 12 федерального закона от 4 мая 2011 года № 99-ФЗ. Он включает следующие позиции:

  • создание, изготовление и распространение телекоммуникационных продуктов, выполненных с использованием шифровальных (криптографических) методов или средств;
  • техническое обслуживание таких продуктов;
  • создание и изготовление специальных средств, используемых для защиты конфиденциальной информации;
  • деятельность по защите конфиденциальной информации при помощи технических средств.

  Компании, которые занимаются одним или несколькими видами деятельности из приведенного списка, обязаны получать лицензию.

  Виды сертификатов

  Поскольку обязательная сертификация информационных средств в России не применяется, все виды сертификатов в этой области выдаются в добровольном порядке. Их делят на две укрупненные категории:

  • корпоративные, которые подтверждают соответствие политики компании требованиям информационной безопасности;
  • персональные, подтверждающие уровень квалификации конкретного специалиста в этой сфере.

  Корпоративные сертификаты

  
  

  Персональные сертификаты

  Список популярных систем, применяющихся для оценки индивидуального профессионального уровня, более широк. В зависимости от области своей деятельности специалист выбирает сертификат информационной безопасности, наилучшим образом подтверждающий его компетенции. В перечень востребованных документов в данной области входят:

  • CISSP — безопасность IT-продуктов;
  • ISSAP — архитектура безопасности;
  • ISSEP — инженерия в IT-безопасности;
  • ISSMP — управление продуктами в области безопасности;
  • CISM — информационная безопасность;
  • другие сертификаты.

  Система управления информационной безопасностью

  Комплексная система, внедряемая организацией для обеспечения собственной IT-безопасности, должна охватывать все аспекты ее деятельности в этой области, включая создание продуктов, их отладку и ввод в эксплуатацию, функционирование, регулярный мониторинг работы, анализ алгоритмов и ошибок при ее применении, поддержку и улучшение рабочих механизмов. Выбираемые инструменты и методы должны отвечать особенностям технологического цикла предприятия, а также стоящим перед ним задачам.

  Преимущества внедрения стандарта ISO 27001 для предприятия

  Общепризнанная система добровольной сертификации информационных технологий ISO 27001 не зря завоевала свою популярность. Она вобрала в себя лучшие мировые практики по обеспечению защиты информации и используемых технологий. Ее внедрение дает предприятию безопасность по трем основным направлениям:

  • конфиденциальность — предотвращение несанкционированного использования информации, которое способно навредить компании;
  • целостность — достижение необходимой степени полноты и корректности информации, а также соответствия способов ее обработки поставленным задачам;
  • доступность — обеспечение бесперебойного доступа к информации для авторизованных пользователей.

  Эти преимущества широко известны специалистам в данной области. По этой причине сертификат соответствия информационной безопасности сразу же воспринимается как свидетельство грамотной и ответственной позиции компании в вопросах обеспечения защиты данных.

  Обратите внимание!

  Компания может пройти сертификацию на соответствие требованиям международного стандарта ISO 27001 или национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 27001-2006. Первый вариант подойдет организациям, которые работают преимущественно на внутреннем рынке. Второй тип сертификата станет полезен компаниям, которые ориентированы на взаимодействие с международными партнерами.

  Оценочные критерии и требования по ISO 27001

  Требования, которые предъявляет к компаниям стандартизация и сертификация информационных систем по критериям ISO 27001, являются многоуровневыми и комплексными. Основными из них становятся следующие:

  • продуманная политика IT-безопасности;
  • структурированная программа управления IT-безопасностью в организации;
  • гарантия защищенности информации при необходимости обеспечения доступа к ней третьих лиц;
  • предотвращение потерь, повреждений, хищения информации и ее компрометации;
  • обеспечение безопасного функционирования инструментов обработки информации;
  • минимизация рисков появления сбоев в работе комплекса;
  • поддержание безопасности каналов обмена информацией;
  • внедрение эффективных методов обнаружения несанкционированной активности;
  • организация системы контроля доступа к информации;
  • обеспечение безопасности системных файлов.

  Процедура сертификации на соответствие требованиям ISO 27001

  Процесс сертификации организуется после полноценного внедрения системы на предприятии и отладки ее функционирования. Добровольная информационная сертификация по стандартам ISO 27001 проводится только аккредитованной организацией, имеющей право выполнять проверку на соответствие требованиям системы.

  Стандарты системы ISO 27001 во многом основываются на базовой системе менеджмента качества ISO 9001. Так что если компания уже сертифицирована на соответствие требованиям этого стандарта, ей станет проще пройти процедуру сертификации, воспользовавшись имеющимися документами и наработками.

  
  

  Этапы

  Прежде, чем подать заявление в органы сертификации информационных систем, заявителю следует выполнить следующие шаги.

  1. Внедрение системы, оформление документации по стандартам ISO 20071, обучение сотрудников, подготовка к сертификации.
  2. Предварительный аудит системы силами сертифицированного аудитора. Проводится в формате документарной или выездной проверки.
  3. Основной этап сертификационного аудита на соответствие требованиям системы. Включает детальное тестирование внедренных стандартов, проверку документации, оценку эффективности реализованных мер.
  4. Оформление сертификационной документации.
  5. Проведение периодического инспекционного аудита для подтверждения выполнения требований стандартов сертифицированной организацией.

  Документы по итогам сертификации

  Компания, которая успешно прошла проверку на соответствие требованиям системы и подтвердила выполнение обязательных стандартов, получает сертификат установленного образца. Он оформляется аккредитованным сертификационным органом, который проводил аудит на предприятии. Документ выдается на бумажном носителе, чтобы его владелец мог предъявить сертификат любому заинтересованному лицу — например, потенциальному партнеру или контрагенту.

  Стоимость

  Стоимость работ по сертификации в сфере информационной безопасности не регламентируется действующим законодательством. Аккредитованные агентства вправе самостоятельно определять цену своих услуг. Чаще всего в этом процессе принимаются во внимание масштаб организации, сложность информационных процессов и используемых технологий и другие факторы. В среднем эксперты оценивают общую стоимость работ по сертификации на соответствие стандартам ISO 27001 в сумму от 30 до 60 тысяч долларов.

  Читайте также:

    
  • Категории и виды преступлений в медицине реферат
    
  • Бесконтактные электрические аппараты реферат
    
  • Краткая характеристика основных видов спорта и систем физических упражнений реферат
    
  • Особенности физического развития и телосложения у представителей различных видов спорта реферат
    
  • Біржасушалылардан бастап дене мөлшері әртүрлі ағзалар реферат