Благодаря нашему многолетнему опыту работы на рынке информационной безопасности, мы часто подмечаем закономерности и детали, которые напрямую не влияют на конечный результат той или иной задачи, но, зачастую, затрюдняют и замедляют достижение этого результата.
Если вы профильный безопасник, который близко знаком с нормативными документами, то написанное ниже, будет для вас очевидным, но если вы столкнулись с терминологией впервые, разьяснения ниже будут для вас полезными.
Одной из очень частых “мелочей”, с которой нам приходится сталкиваться в нашей работе является практически повальная путаница участников рынка в терминологии. Давайте на примере работы с регуляторм ФСТЭК, разберем три основных термина:
- Аттестация;
- Сертификация;
- Лицензирование.
Очень часто нам приходится слышать фразы, подобные этим: “Хотим заказать у вас Аттестацию нашего ПО”, “Хотим сертифицировать нашу информационную систему”, “Нам нужна лицензия ФСТЭК на наше программное обеспечение” и т.д. Как правило, мы сразу понимаем о чем речь, хотя бывают очень запущеные случаи и приходится разбираться и при помощи наводящих вопросов выяснять поставленную задачу. В целом, эта путаница особо вредна именно для Заказчика, поскольку она затрудняет его общение с подрядчиками, поставщиками и, самое главное, с регулятором.
Давайте разбираться и исключать путанницу на корню!
- Вам нужно проверить соответствие вашей информационной (автоматизирвоанной) системы требованиям ФСТЭК России. Вам нужна – АТТЕСТАЦИЯ. Какая именно Аттестация вам потребуется уже будет зависеть од других факторов, это может быть Аттестация ИСПДн, Аттестация ЗП или АС. Сама по себе процедура Аттестации это комплекная проверка всех элементов информационной (автоматизированной) системы: проверка помещений, проверка оборудования, проверка физической защищенности, проверка программного обеспечения и его защищености, проверка компетенции персонала и т.д. В случае положительного заключения по результатам испытаний вы получаете Аттестат соответствия на свою информационную систему. Основной документ, который регламентирует процедуру Аттестации ФСТЭК, на данный момент является Приказ №77 ФСТЭК России, утвердивший новый порядок проведения аттестационных испытаний основных типов информационных систем, а так же защищаемых помещений.
- Если у вас есть потребность проверить соответствия разработанного вами ПО требованиям ФСТЭК России. То тут мы говорим о процедуре СЕРТИФИКАЦИИ. Так же сертифицировать можно программно-аппаратные комплексы, либо технические средства защиты. Но все же, в 90% случаев, речь именно об оценке соотвествия ПО. Информационные системы не подлежат сертификации, но в аттестованных ИС, как правило, всегда используются именно сертифицированное ПО и средства защиты информации. Сертификация провидится как профильных средств защиты, например, межсетевых экранов или систем обнаружения вторжений, для которых имеются специализированные нормативные документы, так можно сертифицировать и прикладное программное обеспечение, например, систему электронного документо оборота, подвердив её соответсвие одному из уровней доверия определенных в нормативной документации ФСТЭК России. Ключевым документом, регламентирующим процедуру сертификации ФСТЭК России, является “Положение о системе сертификации средств защиты информации”, утвержденное Приказом №55 ФСТЭК России.
- Ну и третий случай. Он вызывает меньше всего путаницы, но все таки закрепим и его. ЛИЦЕНЗИРОВАНИЕ – процесс получения разрешения организацией на ведение определенных видов деятельности. ФСТЭК России не выдает лицензии на ПО, не выдает лицензии на ГИС или ИСПДн, он может выдать только Лицензию на ведение определенных видов деятельности. Если говорить о деятельности не связанной с государственной тайной, то актуальных лицензий, связанных с ИБ всего две: на техническую защиту конфиденциальной информации (ТЗКИ) и на разработку и производство средств защиты конфиденциальной информации (СЗКИ). Основной документ, рагламентирующий работу любого регулятора в части лиценирования – Федеральный закон №99. Если говорить именно о ФСТЭК России и упомянутых выше лицензиях, то для лицензии ТЗКИ основной регламентирующий документ – Постановление правительства №79, а для лицензии СЗКИ – Постановление правительства №171.
Надеюсь нам удалось внести немного порядка в терминологии и упростить поставленную для вас задачу.
Кстати, по любой из описанных выше процедур, наша компания может вам помочь, обращайтесь, контакты указаны вверху слева на этой странице или оставте заявку в форме ниже и мы сами свяжемся с вами.