Шаг 1. Первоначальный запрос

Специалисты GlobalTrust окажут вам в этом всестороннюю поддержку и помощь при заполнении заявки на сертификацию.

Шаг 2. Предоставление Калькуляции

GlobalTrust направляет Вам расценки как на сертификацию СУИБ Вашего предприятия на соответствие требованиям ISO 27001:2005, так и на поддержание Вашей регистрации.

Шаг 3. Подача заявки

Вы предоставляете официальную заявку в компанию Аудитор по установленной форме.

Шаг 4. Назначение команды аудиторов

Ответственные эксперты компании Аудитора, номинированные на проведение аудита Вашей СУИБ, будут оказывать Вам поддержку в процессе регистрации и по его завершении. Они будут обладать необходимыми знаниями о сфере деятельности Вашей организации, о смежных предприятиях, будут иметь зарегистрированную техническую компетенцию, соответствующую Вашей отрасли и окажут поддержку в процессе налаживания работы Вашей Системы.

Шаг 4а. Предварительная оценка (необязательный)

Предварительный аудит – это факультативная услуга, являющаяся по своему назначению тренировочным, репетиционным аудитом, который проводится с целью обеспечения готовности Вашей Организации для сертификационного аудита. Во время предварительной оценки аудитор сосредотачивается на тех областях СУИБ, где его время может быть потрачено с максимальной пользой для Вас. Предварительный аудит должен рассматриваться как проведение оценки, контролируемой клиентом. Аудитор будет готов помочь Вам выявить любые области, требующие усовершенствования. По завершении Предварительного аудита проводится собрание для обсуждения его результатов, и представляется отчет, в котором подробно описываются все отмеченные положительные стороны СУИБ и выявленные несоответствия. Продолжительность Предварительного аудита зависит от Вашего выбора.

Шаг 5. Сертификационный аудит

Фаза 1 – Проведение анализа.

Компания Аудитор проводит анализ работы Системы оценки рисков, политики компании, объемов информации, состояния соответствия и имеющихся процедур. В результате будут выявлены все слабые места и упущения, которые необходимо устранить.

Фаза 2 – Проведение полного аудита.

Оценочная команда компании Аудитора проводит проверку (аудит) внедренной СУИБ и в тот же день представляет полноценный отчёт, содержащий выявленные в ходе оценки сильные и слабые стороны СУИБ, а также официальные рекомендации. Каждый отчёт обязательно содержит подробный план последующих визитов в рамках поддержания регистрации.

Шаг 6. Регистрация

В случае положительного результата сертификационного аудита выдается сертификат соответствия.

Шаг 7. Последующая периодическая оценка

Действительность вашего сертификата, который остается в силе на протяжении трех лет, подтверждается посредством выполнения программы визитов Последующей Периодической Оценки. По итогам трёхгодичнго цикла Ваш сертификат будет продлен при условии положительных результатов ре-сертификационного аудита.

 

Подготовка к сертификационному аудиту

На данном этапе, как и на начальном, организации рекомендуется пройти предварительный аудит, который поможет оценить готовность к сертификационному аудиту. Предварительный аудит обычно проводится тем же органом по сертификации, в котором предполагается прохождение сертификационного аудита.

По результатам предварительного аудита орган по сертификации составляет отчет, в нем отмечаются все положительные стороны созданной СУИБ, выявленные несоответствия и рекомендации по их устранению.

Для проведения сертификационного аудита рекомендуется, чтобы СУИБ компании функционировала от трех до шести месяцев. Это минимальный период, необходимый для первичного выполнения внутренних аудитов и анализа СУИБ со стороны руководства, а также для формирования записей по результатам выполнения всех процедур СУИБ, которые анализируются в ходе сертификационного аудита.

Результатом данного этапа является СУИБ организации, готовая к прохождению сертификационного аудита.

 

Сертификация

Сертификация – процедура подтверждения соответствия, посредством которой независимая от изготовителя (продавца, исполнителя) и потребителя (покупателя) организация удостоверяет в письменной форме, что продукция соответствует установленным требованиям.

Закон «О сертификации продукции и услуг» (в ред. Федеральных законов от 27.12.95 № 211-ФЗ, от 02.03.98 № 30-ФЗ, от 31.07.98 № 154-ФЗ) устанавливает правовые основы обязательной и добровольной сертификации продукции, услуг и иных объектов (далее ­– продукция) в Российской Федерации, а также права, обязанности и ответственность участников сертификации.

Сертификация осуществляется в целях:

· создания условий для деятельности организаций и предпринимателей на едином товарном рынке Российской Федерации, а также для участия в международном экономическом, научно-техническом сотрудничестве и международной торговле;

· содействия потребителям в компетентном выборе продукции;

· защиты потребителя от недобросовестности изготовителя (продавца, исполнителя);

· контроля безопасности продукции для окружающей среды, жизни, здоровья и имущества;

· подтверждения показателей качества продукции, заявленных изготовителем.

Сертификация может иметь обязательный и добровольный характер.

Под сертификацией средств защиты информации понимается деятельность по подтверждению соответствия этих средств требованиям государственных стандартов или иных нормативных документов по защите информации.

К средствам защиты информации относятся технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации. Обязательной сертификации подлежат средства, в том числе иностранного производства, предназначенные для защиты информации, составляющей государственную тайну, и другой информации с ограниченным доступом, а также средства, используемые в управлении экологически опасными объектами.

Организационную структуру системы сертификации образуют:

· центральный орган системы сертифи­кации (возглавляет систему сертификации однородных средств защиты информации);

· федеральный орган по сертификации средств защиты информации;

· органы по сертификации средств защиты информации (проводят сертифика­цию средств защиты информации);

· испытательные лаборатории (прово­дят сертификационные испытания средств защиты информации);

· заявители (разработчики, изготови­тели, поставщики, потребители средств за­щиты информации).

Руководящий документ ФСТЭК России «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности средств вычислительной техники» устанавливает классификацию средств вычислительной техники по уровню защищенности от несанкционированного доступа к информации на базе перечня показателей защищенности и совокупности описывающих их требований.

В соответствии с этим руководящим документом возможные показатели защищенности исчерпываются 7 классами. По классу защищенности можно судить о номенклатуре используемых механизмов защиты – наиболее защищенным является 1 класс. Выбор класса защищенности зависит от секретности обрабатываемой информации, условий эксплуатации и расположения объектов системы. В частности, для защиты конфиденциальной информации (персональных данных, служебной тайны и др.) можно применять средства защиты 5 и 6 класса (рис. 4.6).

Рис 4.6. Классификация средств защиты

 

Другим важным руководящим документом ФСТЭК России является «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей», который устанавливает классификацию программного обеспечения (отечественного и импортного производства) средств защиты информации по уровню контроля отсутствия в нем недекларированных возможностей. Недекларированные возможности (НДВ) – функциональные возможности программного обеспечения (ПО), не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности и целостности обрабатываемой информации (см. рис. 4.7).

Также следует отметить руководящий документ ФСТЭК России «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации.

Рис. 4.7. Классификация ПО по уровням НДВ

Показатели защищенности от несанкционированного доступа к информации», который устанавливает классификацию межсетевых экранов (МЭ) по уровню защищенности от несанкционированного доступа к информации на базе перечня показателей защищенности и совокупности описывающих их требований (см. рис. 4.8).

Рис. 4.8. Классификация межсетевых экранов

Межсетевой экран – локальное (однокомпонентное) или функционально-распределенное средство (комплекс), реализующее контроль за информацией, поступающей в автоматизированную систему и/или выходящей из автоматизированной системы, и обеспечивающее защиту автоматизированной системы посредством фильтрации информации, т. е. ее анализа по совокупности критериев и принятия решения о ее распространении в автоматизированной системе (или вне автоматизированной системы).

 

 

Лицензирование

Согласно ФЗ "О лицензировании отдельных видов деятельности" № 99 от 4.05.2011 г. лицензированию подлежат:

• разработка, производство, распространение и ТО шифровальных (криптографических) средств, информационных и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, когда ТО осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя), выполнение работ, оказание услуг в области шифрования информации;
• разработка и производство средств защиты конфиденциальной информации (СЗКИ);
• деятельность по технической защите конфиденциальной информации.

Органами, уполномоченными выдавать вышеуказанные лицензии, являются ФСБ и ФСТЭК России.