SlideShare a Scribd company logo

Добровольная система сертификации отрасли ИБ. 2012

Download as PPTX, PDF
Е
Евгений Родыгин

Вопросы по созданию добровольной отраслевой системы сертификации средств систем и услуг ИБ

Business
1 of 14
"КАСКАД" Система добровольной сертификации
Рассматриваемые вопросы • Основание для создания • Условия создания • Существующие системы • Базовые принципы системы сертификации • Признание системы сертификации • Участники системы сертификации • Правовые вопросы • Классификация требований • Формирование требований • Порядок оценки соответствия • Способы получения сертификата • Институт декларации соответствия • Практическая польза для участников рынка ИБ • Шаги по созданию
Основные предпосылки создания добровольной системы сертификации в области ИБ • Развитие отрасли ИБ в РФ и как следствие п.2. • Расширение сферы деятельности в области защиты информации за пределами защиты государственной тайны в область защиты конфиденциальных данных бизнеса и конечных пользователей информационных систем. • Либерализация законодательства в области ИБ в РФ и как следствие сужение области по обязательной сертификации. • Предпосылки для использования бизнесом независимой оценки продукции для получения конкурентных преимуществ на рынке ИБ. • "Кризис доверия" образовавшийся в отрасли ИБ в части независимых оценок продукции. • Сложившийся "вакуум" за пределами обязательных систем сертификации, отсутствие альтернатив. • Необходимость обеспечения устойчивого баланса между запросами динамичной IT-отрасли и статичностью действующих систем сертификации.
Признание как самой системы сертификации так и результатов оценок возможно при условии: • Открытости процедур: формирования требований; методов и процедур оценки; формирования результатов оценки; формирования экспертных групп; сопровождения сертифицированной продукции и услуг. • Доступности: документов определяющих порядок сертификации; документов содержащих требования к продукции и услугам; методов оценки и экспертных заключений; документов содержащих разъяснения результатов сертификации. • Ответственном участии всех участников рынка ИБ в формировании и развитии системы сертификации. • Взаимное признание результатов других/другими системами сертификации и экспертными сообществами.
Условия для создания • 1993-2002гг. - ФЗ "О сертификации продукции и услуг" - утратил силу в связи с выходом ФЗ п.2. • с 2002г. - ФЗ-184 "О техническом регулировании". • ***. Правовая база РФ предоставляет возможность создания добровольной системы сертификации:
ФЗ "О техническом регулировании" • Применении и исполнении на добровольной основе требований к продукции, процессам проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации и утилизации, выполнению работ или оказанию услуг. • Оценке соответствия. Федеральный закон регулирует отношения, возникающие при: Определяет права и обязанности участников регулируемых настоящим Федеральным законом отношений. Вводит ряд определений так: "Сертификация" - форма подтверждения соответствия объектов требованиям технических регламентов, положениям стандартов, сводов правил или условиям договоров.
Существующие системы • Система добровольной сертификации "ГАЗПРОМСЕРТ". Она создана ОАО "Газпром" приказом от 06 февраля 1999 г. № 10 (регистрационный № РОСС RU.3022.04ГО00 от 17 июля 2000 г.). Ориентирована только на Газпром и его дочерние предприятия. За время существования выдано около 500 сертификатов. Практически все не относятся к средствм защиты информации. • Система добровольной сертификации "АйТиСертифика". Она создана ассоциацией "ЕВРААС" (регистрационный № РОСС RU.М089.04ИТ00). За 4 года выдано 38 сертификатов. • Система добровольной сертификации "Ecomex" (регистрационный № РОСС RU.З680.04УЭТ0). Данная система сертификации создана в сентябре 2010 года в связи с чем широкого распространения она пока не получила. В настоящее время существуют несколько добровольных систем сертификации:
Базовые принципы системы сертификации • Доверие участников рынка ИБ в России. • Требования к продукции должны быть открытыми и доступными для всех участников системы сертификации и представителей рынка ИБ. • Порядок оценки соответствия должен быть прозрачным. • Оценка соответствия должна быть независимой. • Участники системы сертификации должны иметь возможность принимать участие в её совершенствовании и развитии. • Потребитель должен быть уверен в том, что наличие сертификата у продукта даёт практическую выгоду. • Гибкость системы и готовность к адаптации с изменением правовой и экономической среды касающихся рынка ИБ. • Отсутствие завышенных требований к участникам (лицензий). Добровольная система может существовать только на принципах доверия всех участников системы сертификации и представителей рынка ИБ а так же баланса их интересов:
Участники системы сертификации • Центральный Орган по сертификации. • Экспертный совет системы сертификации. • Заявители оценки соответствия - участники рынка ИБ. • Эксперты системы сертификации - физ. лица. • Испытательные центры - юр. лица. • Учредители системы сертификации. • Партнеры системы сертификации - юр. лица. • Образовательные учреждения высшего и средне- специального уровня, повышения квалификации и т.п.
Порядок оценки соответствия • Выбор требований и условий проведения сертификации. • Консалтинг по вопросам проведения сертификации. • Декларация соответствия. • Проведение сертификации продукции и/или услуг. • Экспертиза полученных результатов сертификации. • Выпуск сертификата. • Регистрация сертифицированной продукции и услуг. • Сопровождение сертифицированной продукции включая процедуры отзыва сертификата. Реализация базовых принципов предполагает следующий порядок сертификации продукции:
Классификация требований • Международные стандарты и требования к продукции и оказываемым услугам. • Требования аналогичные требованиям национальных регуляторов (ФСТЭК, ФСБ и т.д.) и других ведомств и систем сертификации. • Требования систем обеспечения качества и производства продукции. • Требования разработанные/доработанные участниками системы сертификации. • Требования других нормативных документов (внутренние стандарты предприятий, отраслей, ТУ, и т.п.). • Лучшие бизнес-практики в области ИБ (CISecurity и т.п.) • Необходимо отметить что введение оценочных уровней доверия для большинства требований от декларации до независимой оценки должны расширить возможности системы сертификации.
Формирование требований • Должны быть открытыми и доступными всем участникам рынка ИБ. • Пройти ряд открытых экспертиз перед вступлением в силу. • Должны получить признание участниками рынка ИБ. • Должны соответствовать реалиям рынка ИБ. • Должны быть предусмотрены процедуры их совершенствования, критики и отзыва. • ***. Формируемые требования должны отвечать следующим качествам:
Методы оценки и получения сертификата • [Сертификат] = [Декларация Заявителя]+[Оценка Органа]. • [Сертификат] = [Декларация Заявителя]+[Проведение оценки своими силами]+[Оценка Органа]. • [Сертификат] = [Декларация Заявителя]+[Проведение оценки своими силами]+[Оценка независимыми экспертами]+[Оценка Органа]. • [Сертификат] = [Декларация Заявителя]+[Проведение оценки независимыми экспертами]+[Оценка независимыми экспертами]+[Оценка Органа]. Система сертификации должна предусмотреть не только набор требований и несколько способов получения сертификатов но и учитывать степень доверия по аналогии с ОУД в "общих критериях" где это возможно:
Декларация соответствия • Декларация представляет собой документальное подтверждение соответствия продукции и/или услуг тем или иным требованиям. • Декларация о соответствии - документ, удостоверяющий соответствие. • Институт декларации должен предусматривать ответственность поставщика/производителя. • Декларация является гарантией поставщика о соответствии продукции и/или услуг. • Декларация должна быть доступной участникам рынка ИБ. • Декларация открывает возможность оценки/проверки соответствия заявленным требованиям участниками рынка ИБ. • Не соответствие продукции и/или услуг декларированным требованиям могут нанести ущерб репутации поставщика. Институт декларации соответствия является базовым элементом формирования доверия:

Recommended

Про аудиты ИБ для студентов фин.академии
Про аудиты ИБ для студентов фин.академииПро аудиты ИБ для студентов фин.академии
Про аудиты ИБ для студентов фин.академииAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Модель зрелости процесса (мониторинг и оценка ИБ)
Модель зрелости процесса (мониторинг и оценка ИБ) Модель зрелости процесса (мониторинг и оценка ИБ)
Модель зрелости процесса (мониторинг и оценка ИБ) Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Про интегральные метрики ИБ
пр Про интегральные метрики ИБпр Про интегральные метрики ИБ
пр Про интегральные метрики ИБAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр все про Cobit5 для dlp expert 2013-12
пр все про Cobit5 для dlp expert 2013-12пр все про Cobit5 для dlp expert 2013-12
пр все про Cobit5 для dlp expert 2013-12Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Книга про измерения (ITSM)
Книга про измерения (ITSM)Книга про измерения (ITSM)
Книга про измерения (ITSM)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр зачем измерять информационную безопасность (прозоров)
пр зачем измерять информационную безопасность (прозоров)пр зачем измерять информационную безопасность (прозоров)
пр зачем измерять информационную безопасность (прозоров)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Сколько зарабатывают специалисты по ИБ в России 2016
пр Сколько зарабатывают специалисты по ИБ в России 2016пр Сколько зарабатывают специалисты по ИБ в России 2016
пр Сколько зарабатывают специалисты по ИБ в России 2016Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Аудит СУИБ
Аудит СУИБАудит СУИБ
Аудит СУИБAlexander Dorofeev
 

Recommended

Про аудиты ИБ для студентов фин.академии
Про аудиты ИБ для студентов фин.академииПро аудиты ИБ для студентов фин.академии
Про аудиты ИБ для студентов фин.академииAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Модель зрелости процесса (мониторинг и оценка ИБ)
Модель зрелости процесса (мониторинг и оценка ИБ) Модель зрелости процесса (мониторинг и оценка ИБ)
Модель зрелости процесса (мониторинг и оценка ИБ) Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Про интегральные метрики ИБ
пр Про интегральные метрики ИБпр Про интегральные метрики ИБ
пр Про интегральные метрики ИБAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр все про Cobit5 для dlp expert 2013-12
пр все про Cobit5 для dlp expert 2013-12пр все про Cobit5 для dlp expert 2013-12
пр все про Cobit5 для dlp expert 2013-12Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Книга про измерения (ITSM)
Книга про измерения (ITSM)Книга про измерения (ITSM)
Книга про измерения (ITSM)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр зачем измерять информационную безопасность (прозоров)
пр зачем измерять информационную безопасность (прозоров)пр зачем измерять информационную безопасность (прозоров)
пр зачем измерять информационную безопасность (прозоров)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Сколько зарабатывают специалисты по ИБ в России 2016
пр Сколько зарабатывают специалисты по ИБ в России 2016пр Сколько зарабатывают специалисты по ИБ в России 2016
пр Сколько зарабатывают специалисты по ИБ в России 2016Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Аудит СУИБ
Аудит СУИБАудит СУИБ
Аудит СУИБAlexander Dorofeev
 
пр прозоров для Info sec2012 cobit5 итог
пр прозоров для Info sec2012 cobit5 итогпр прозоров для Info sec2012 cobit5 итог
пр прозоров для Info sec2012 cobit5 итогAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
About TM for CISO (rus)
About TM for CISO (rus)About TM for CISO (rus)
About TM for CISO (rus)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
ИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренцаИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренцаAlexey Evmenkov
 
пр Принципы измерения ИБ
пр Принципы измерения ИБпр Принципы измерения ИБ
пр Принципы измерения ИБAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компанииВнедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компанииSQALab
 
Управление инцидентами информационной безопасности от А до Я
Управление инцидентами информационной безопасности от А до ЯУправление инцидентами информационной безопасности от А до Я
Управление инцидентами информационной безопасности от А до ЯDialogueScience
 
Создание СУИБ в организации на примере 5 реализованных проектов LETA 2010-201...
Создание СУИБ в организации на примере 5 реализованных проектов LETA 2010-201...Создание СУИБ в организации на примере 5 реализованных проектов LETA 2010-201...
Создание СУИБ в организации на примере 5 реализованных проектов LETA 2010-201...LETA IT-company
 
UEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумалиUEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумалиAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Security as a Service = JSOC
Security as a Service = JSOCSecurity as a Service = JSOC
Security as a Service = JSOCSolar Security
 
пр Про развитие в ИБ для студентов
пр Про развитие в ИБ для студентовпр Про развитие в ИБ для студентов
пр Про развитие в ИБ для студентовAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр 03.JSOC inside
пр 03.JSOC insideпр 03.JSOC inside
пр 03.JSOC insideAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр стандарты и «лучшие практики» в иб (прозоров)
пр стандарты и «лучшие практики» в иб (прозоров)пр стандарты и «лучшие практики» в иб (прозоров)
пр стандарты и «лучшие практики» в иб (прозоров)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Вопросы для интервью ISO 27001
Вопросы для интервью ISO 27001Вопросы для интервью ISO 27001
Вопросы для интервью ISO 27001Ivan Piskunov
 
пр После внедрения Dlp (прозоров)
пр После внедрения Dlp (прозоров)пр После внедрения Dlp (прозоров)
пр После внедрения Dlp (прозоров)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Мониторинг своими руками
Мониторинг своими рукамиМониторинг своими руками
Мониторинг своими рукамиSergey Soldatov
 
Iso 27001 01_dmytriyev_kiev_2010_july
Iso 27001 01_dmytriyev_kiev_2010_julyIso 27001 01_dmytriyev_kiev_2010_july
Iso 27001 01_dmytriyev_kiev_2010_julyGlib Pakharenko
 
пр стандарты иб. Itsm
пр стандарты иб. Itsmпр стандарты иб. Itsm
пр стандарты иб. ItsmAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Комплект документов по ISO 27001-2013
Комплект документов по ISO 27001-2013Комплект документов по ISO 27001-2013
Комплект документов по ISO 27001-2013Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр про SOC для ФСТЭК
пр про SOC для ФСТЭКпр про SOC для ФСТЭК
пр про SOC для ФСТЭКAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Внедрение СУИБ на основе ISO/IEC 27001
Внедрение СУИБ на основе ISO/IEC 27001Внедрение СУИБ на основе ISO/IEC 27001
Внедрение СУИБ на основе ISO/IEC 27001Dmitry Savchenko
 
анализ соответствия ТБ и зПДн
анализ соответствия ТБ и зПДнанализ соответствия ТБ и зПДн
анализ соответствия ТБ и зПДнSergey Borisov
 
пр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБпр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 

More Related Content

What's hot

ИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренцаИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренцаAlexey Evmenkov
 
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компанииВнедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компанииSQALab
 
Управление инцидентами информационной безопасности от А до Я
Управление инцидентами информационной безопасности от А до ЯУправление инцидентами информационной безопасности от А до Я
Управление инцидентами информационной безопасности от А до ЯDialogueScience
 
Создание СУИБ в организации на примере 5 реализованных проектов LETA 2010-201...
Создание СУИБ в организации на примере 5 реализованных проектов LETA 2010-201...Создание СУИБ в организации на примере 5 реализованных проектов LETA 2010-201...
Создание СУИБ в организации на примере 5 реализованных проектов LETA 2010-201...LETA IT-company
 
UEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумалиUEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумалиAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Security as a Service = JSOC
Security as a Service = JSOCSecurity as a Service = JSOC
Security as a Service = JSOCSolar Security
 
пр стандарты и «лучшие практики» в иб (прозоров)
пр стандарты и «лучшие практики» в иб (прозоров)пр стандарты и «лучшие практики» в иб (прозоров)
пр стандарты и «лучшие практики» в иб (прозоров)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Вопросы для интервью ISO 27001
Вопросы для интервью ISO 27001Вопросы для интервью ISO 27001
Вопросы для интервью ISO 27001Ivan Piskunov
 
Мониторинг своими руками
Мониторинг своими рукамиМониторинг своими руками
Мониторинг своими рукамиSergey Soldatov
 
Iso 27001 01_dmytriyev_kiev_2010_july
Iso 27001 01_dmytriyev_kiev_2010_julyIso 27001 01_dmytriyev_kiev_2010_july
Iso 27001 01_dmytriyev_kiev_2010_julyGlib Pakharenko
 
Внедрение СУИБ на основе ISO/IEC 27001
Внедрение СУИБ на основе ISO/IEC 27001Внедрение СУИБ на основе ISO/IEC 27001
Внедрение СУИБ на основе ISO/IEC 27001Dmitry Savchenko
 

What's hot (20)

пр прозоров для Info sec2012 cobit5 итог
пр прозоров для Info sec2012 cobit5 итогпр прозоров для Info sec2012 cobit5 итог
пр прозоров для Info sec2012 cobit5 итог
 
About TM for CISO (rus)
About TM for CISO (rus)About TM for CISO (rus)
About TM for CISO (rus)
 
ИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренцаИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренца
 
пр Принципы измерения ИБ
пр Принципы измерения ИБпр Принципы измерения ИБ
пр Принципы измерения ИБ
 
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компанииВнедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
 
Управление инцидентами информационной безопасности от А до Я
Управление инцидентами информационной безопасности от А до ЯУправление инцидентами информационной безопасности от А до Я
Управление инцидентами информационной безопасности от А до Я
 
Создание СУИБ в организации на примере 5 реализованных проектов LETA 2010-201...
Создание СУИБ в организации на примере 5 реализованных проектов LETA 2010-201...Создание СУИБ в организации на примере 5 реализованных проектов LETA 2010-201...
Создание СУИБ в организации на примере 5 реализованных проектов LETA 2010-201...
 
UEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумалиUEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумали
 
Security as a Service = JSOC
Security as a Service = JSOCSecurity as a Service = JSOC
Security as a Service = JSOC
 
пр Про развитие в ИБ для студентов
пр Про развитие в ИБ для студентовпр Про развитие в ИБ для студентов
пр Про развитие в ИБ для студентов
 
пр 03.JSOC inside
пр 03.JSOC insideпр 03.JSOC inside
пр 03.JSOC inside
 
пр стандарты и «лучшие практики» в иб (прозоров)
пр стандарты и «лучшие практики» в иб (прозоров)пр стандарты и «лучшие практики» в иб (прозоров)
пр стандарты и «лучшие практики» в иб (прозоров)
 
Вопросы для интервью ISO 27001
Вопросы для интервью ISO 27001Вопросы для интервью ISO 27001
Вопросы для интервью ISO 27001
 
пр После внедрения Dlp (прозоров)
пр После внедрения Dlp (прозоров)пр После внедрения Dlp (прозоров)
пр После внедрения Dlp (прозоров)
 
Мониторинг своими руками
Мониторинг своими рукамиМониторинг своими руками
Мониторинг своими руками
 
Iso 27001 01_dmytriyev_kiev_2010_july
Iso 27001 01_dmytriyev_kiev_2010_julyIso 27001 01_dmytriyev_kiev_2010_july
Iso 27001 01_dmytriyev_kiev_2010_july
 
пр стандарты иб. Itsm
пр стандарты иб. Itsmпр стандарты иб. Itsm
пр стандарты иб. Itsm
 
Комплект документов по ISO 27001-2013
Комплект документов по ISO 27001-2013Комплект документов по ISO 27001-2013
Комплект документов по ISO 27001-2013
 
пр про SOC для ФСТЭК
пр про SOC для ФСТЭКпр про SOC для ФСТЭК
пр про SOC для ФСТЭК
 
Внедрение СУИБ на основе ISO/IEC 27001
Внедрение СУИБ на основе ISO/IEC 27001Внедрение СУИБ на основе ISO/IEC 27001
Внедрение СУИБ на основе ISO/IEC 27001
 

Viewers also liked

анализ соответствия ТБ и зПДн
анализ соответствия ТБ и зПДнанализ соответствия ТБ и зПДн
анализ соответствия ТБ и зПДнSergey Borisov
 
пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Противодействие хищению персональных данных и платежной информации в сети Инт...
Противодействие хищению персональных данных и платежной информации в сети Инт...Противодействие хищению персональных данных и платежной информации в сети Инт...
Противодействие хищению персональных данных и платежной информации в сети Инт...Dmitry Evteev
 
20% of investment and 80% of profit. How to implement security requirements a...
20% of investment and 80% of profit. How to implement security requirements a...20% of investment and 80% of profit. How to implement security requirements a...
20% of investment and 80% of profit. How to implement security requirements a...Igor Gots
 
Kips rules overview_ru
Kips rules overview_ruKips rules overview_ru
Kips rules overview_ruSergey Borisov
 
Iso 27001 внедрение технических защитных мер
Iso 27001 внедрение технических защитных мерIso 27001 внедрение технических защитных мер
Iso 27001 внедрение технических защитных мерAlexey Evmenkov
 
Актуальные вопросы защиты информации для государственных оранов
Актуальные вопросы защиты информации для государственных орановАктуальные вопросы защиты информации для государственных оранов
Актуальные вопросы защиты информации для государственных орановSergey Borisov
 
Применение криптографии для обезличивания персональных данных
Применение криптографии для обезличивания персональных данныхПрименение криптографии для обезличивания персональных данных
Применение криптографии для обезличивания персональных данныхAleksey Lukatskiy
 
Waf.js: How to Protect Web Applications using JavaScript
Waf.js: How to Protect Web Applications using JavaScriptWaf.js: How to Protect Web Applications using JavaScript
Waf.js: How to Protect Web Applications using JavaScriptDenis Kolegov
 
Судебная практика в части признания правомочности электронных документов
Судебная практика в части признания правомочности электронных документовСудебная практика в части признания правомочности электронных документов
Судебная практика в части признания правомочности электронных документовNatasha Khramtsovsky
 
«Назначение ГОСТ Р/ИСО 18128 «Информация и документация. Оценка рисков для до...
«Назначение ГОСТ Р/ИСО 18128 «Информация и документация. Оценка рисков для до...«Назначение ГОСТ Р/ИСО 18128 «Информация и документация. Оценка рисков для до...
«Назначение ГОСТ Р/ИСО 18128 «Информация и документация. Оценка рисков для до...Natasha Khramtsovsky
 
Работа с договорами риэлторской компании
Работа с договорами риэлторской компанииРабота с договорами риэлторской компании
Работа с договорами риэлторской компанииValery Estekhin
 
Валерий Естехин #FunnySOC #SOCForum Презентация-пародия "The SOC - внутренние...
Валерий Естехин #FunnySOC #SOCForum Презентация-пародия "The SOC - внутренние...Валерий Естехин #FunnySOC #SOCForum Презентация-пародия "The SOC - внутренние...
Валерий Естехин #FunnySOC #SOCForum Презентация-пародия "The SOC - внутренние...Valery Estekhin
 
Threat hunting as SOC process
Threat hunting as SOC processThreat hunting as SOC process
Threat hunting as SOC processSergey Soldatov
 
Защита пользователей систем банк клиент
Защита пользователей систем банк клиентЗащита пользователей систем банк клиент
Защита пользователей систем банк клиентSergey Borisov
 

Viewers also liked (20)

анализ соответствия ТБ и зПДн
анализ соответствия ТБ и зПДнанализ соответствия ТБ и зПДн
анализ соответствия ТБ и зПДн
 
пр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБпр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБ
 
пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)
 
penetest VS. APT
penetest VS. APTpenetest VS. APT
penetest VS. APT
 
Противодействие хищению персональных данных и платежной информации в сети Инт...
Противодействие хищению персональных данных и платежной информации в сети Инт...Противодействие хищению персональных данных и платежной информации в сети Инт...
Противодействие хищению персональных данных и платежной информации в сети Инт...
 
20% of investment and 80% of profit. How to implement security requirements a...
20% of investment and 80% of profit. How to implement security requirements a...20% of investment and 80% of profit. How to implement security requirements a...
20% of investment and 80% of profit. How to implement security requirements a...
 
A Threat Hunter Himself
A Threat Hunter HimselfA Threat Hunter Himself
A Threat Hunter Himself
 
Kips rules overview_ru
Kips rules overview_ruKips rules overview_ru
Kips rules overview_ru
 
Iso 27001 внедрение технических защитных мер
Iso 27001 внедрение технических защитных мерIso 27001 внедрение технических защитных мер
Iso 27001 внедрение технических защитных мер
 
Актуальные вопросы защиты информации для государственных оранов
Актуальные вопросы защиты информации для государственных орановАктуальные вопросы защиты информации для государственных оранов
Актуальные вопросы защиты информации для государственных оранов
 
Применение криптографии для обезличивания персональных данных
Применение криптографии для обезличивания персональных данныхПрименение криптографии для обезличивания персональных данных
Применение криптографии для обезличивания персональных данных
 
пр Лицензия ТЗКИ на мониторинг Small
пр Лицензия ТЗКИ на мониторинг Smallпр Лицензия ТЗКИ на мониторинг Small
пр Лицензия ТЗКИ на мониторинг Small
 
Waf.js: How to Protect Web Applications using JavaScript
Waf.js: How to Protect Web Applications using JavaScriptWaf.js: How to Protect Web Applications using JavaScript
Waf.js: How to Protect Web Applications using JavaScript
 
Судебная практика в части признания правомочности электронных документов
Судебная практика в части признания правомочности электронных документовСудебная практика в части признания правомочности электронных документов
Судебная практика в части признания правомочности электронных документов
 
«Назначение ГОСТ Р/ИСО 18128 «Информация и документация. Оценка рисков для до...
«Назначение ГОСТ Р/ИСО 18128 «Информация и документация. Оценка рисков для до...«Назначение ГОСТ Р/ИСО 18128 «Информация и документация. Оценка рисков для до...
«Назначение ГОСТ Р/ИСО 18128 «Информация и документация. Оценка рисков для до...
 
Работа с договорами риэлторской компании
Работа с договорами риэлторской компанииРабота с договорами риэлторской компании
Работа с договорами риэлторской компании
 
Валерий Естехин #FunnySOC #SOCForum Презентация-пародия "The SOC - внутренние...
Валерий Естехин #FunnySOC #SOCForum Презентация-пародия "The SOC - внутренние...Валерий Естехин #FunnySOC #SOCForum Презентация-пародия "The SOC - внутренние...
Валерий Естехин #FunnySOC #SOCForum Презентация-пародия "The SOC - внутренние...
 
mm РС БР ИББС 2.7
mm РС БР ИББС 2.7mm РС БР ИББС 2.7
mm РС БР ИББС 2.7
 
Threat hunting as SOC process
Threat hunting as SOC processThreat hunting as SOC process
Threat hunting as SOC process
 
Защита пользователей систем банк клиент
Защита пользователей систем банк клиентЗащита пользователей систем банк клиент
Защита пользователей систем банк клиент
 

Similar to Добровольная система сертификации отрасли ИБ. 2012

системы сертификации, требования к аккредитации
системы сертификации, требования к аккредитациисистемы сертификации, требования к аккредитации
системы сертификации, требования к аккредитацииcezium
 
Модуль 8 Сертификация и лицензирование (учебно-наглядное пособие)
Модуль 8 Сертификация и лицензирование (учебно-наглядное пособие)Модуль 8 Сертификация и лицензирование (учебно-наглядное пособие)
Модуль 8 Сертификация и лицензирование (учебно-наглядное пособие)dontourism
 
«1С-Битрикс» и сертификация ФСТЭК России
«1С-Битрикс» и сертификация ФСТЭК России«1С-Битрикс» и сертификация ФСТЭК России
«1С-Битрикс» и сертификация ФСТЭК России1С-Битрикс
 
Система добровольной сертификации
Система добровольной сертификацииСистема добровольной сертификации
Система добровольной сертификацииBDA
 
порядок взаимоотношений предприятий....
порядок взаимоотношений предприятий....порядок взаимоотношений предприятий....
порядок взаимоотношений предприятий....cezium
 
Добавленная ценность серт.аудита
Добавленная ценность серт.аудитаДобавленная ценность серт.аудита
Добавленная ценность серт.аудитаIgor Zvyaghin
 
Автоматизация закупок для предприятий и организаций
Автоматизация закупок для предприятий и организаций Автоматизация закупок для предприятий и организаций
Автоматизация закупок для предприятий и организаций НОРБИТ
 
Cерконс новосибирск
Cерконс новосибирскCерконс новосибирск
Cерконс новосибирскBDA
 
Практика сертификации систем менеджмента бережливого производства
Практика сертификации систем менеджмента бережливого производстваПрактика сертификации систем менеджмента бережливого производства
Практика сертификации систем менеджмента бережливого производстваMikhail Kalinin
 
Zakon ob otsenke sootvetstviy_r
Zakon ob otsenke sootvetstviy_rZakon ob otsenke sootvetstviy_r
Zakon ob otsenke sootvetstviy_rRyan Wright
 
Как спроектировать систему сквозной аналитики
Как спроектировать систему сквозной аналитикиКак спроектировать систему сквозной аналитики
Как спроектировать систему сквозной аналитикиMariia Bocheva
 
Об оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информацииОб оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информацииCisco Russia
 
Обзор рынка АСР, Краснова Ф.В.
Обзор рынка АСР, Краснова Ф.В.Обзор рынка АСР, Краснова Ф.В.
Обзор рынка АСР, Краснова Ф.В.Fedor Krasnov
 
международное сотрудничество в области сертификации.
международное сотрудничество в области сертификации.международное сотрудничество в области сертификации.
международное сотрудничество в области сертификации.cezium
 
Приведение ЦОДов в соответствие требованиям ИБ, как средство повышения привле...
Приведение ЦОДов в соответствие требованиям ИБ, как средство повышения привле...Приведение ЦОДов в соответствие требованиям ИБ, как средство повышения привле...
Приведение ЦОДов в соответствие требованиям ИБ, как средство повышения привле...Konstantin Feoktistov
 
TEST-DRIVE on ISO 9001:2008
TEST-DRIVE on ISO 9001:2008TEST-DRIVE on ISO 9001:2008
TEST-DRIVE on ISO 9001:2008WEBCAST STANDARD
 
выбор поставщика 1
выбор поставщика 1выбор поставщика 1
выбор поставщика 1Vladimir Burdaev
 

Similar to Добровольная система сертификации отрасли ИБ. 2012 (20)

системы сертификации, требования к аккредитации
системы сертификации, требования к аккредитациисистемы сертификации, требования к аккредитации
системы сертификации, требования к аккредитации
 
Модуль 8 Сертификация и лицензирование (учебно-наглядное пособие)
Модуль 8 Сертификация и лицензирование (учебно-наглядное пособие)Модуль 8 Сертификация и лицензирование (учебно-наглядное пособие)
Модуль 8 Сертификация и лицензирование (учебно-наглядное пособие)
 
«1С-Битрикс» и сертификация ФСТЭК России
«1С-Битрикс» и сертификация ФСТЭК России«1С-Битрикс» и сертификация ФСТЭК России
«1С-Битрикс» и сертификация ФСТЭК России
 
Система добровольной сертификации
Система добровольной сертификацииСистема добровольной сертификации
Система добровольной сертификации
 
порядок взаимоотношений предприятий....
порядок взаимоотношений предприятий....порядок взаимоотношений предприятий....
порядок взаимоотношений предприятий....
 
Добавленная ценность серт.аудита
Добавленная ценность серт.аудитаДобавленная ценность серт.аудита
Добавленная ценность серт.аудита
 
Автоматизация закупок для предприятий и организаций
Автоматизация закупок для предприятий и организаций Автоматизация закупок для предприятий и организаций
Автоматизация закупок для предприятий и организаций
 
Cерконс новосибирск
Cерконс новосибирскCерконс новосибирск
Cерконс новосибирск
 
Практика сертификации систем менеджмента бережливого производства
Практика сертификации систем менеджмента бережливого производстваПрактика сертификации систем менеджмента бережливого производства
Практика сертификации систем менеджмента бережливого производства
 
Zakon ob otsenke sootvetstviy_r
Zakon ob otsenke sootvetstviy_rZakon ob otsenke sootvetstviy_r
Zakon ob otsenke sootvetstviy_r
 
Как спроектировать систему сквозной аналитики
Как спроектировать систему сквозной аналитикиКак спроектировать систему сквозной аналитики
Как спроектировать систему сквозной аналитики
 
Как спроектировать систему сквозной аналитики
Как спроектировать систему сквозной аналитикиКак спроектировать систему сквозной аналитики
Как спроектировать систему сквозной аналитики
 
Об оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информацииОб оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информации
 
Обзор рынка АСР, Краснова Ф.В.
Обзор рынка АСР, Краснова Ф.В.Обзор рынка АСР, Краснова Ф.В.
Обзор рынка АСР, Краснова Ф.В.
 
kovalkin
kovalkinkovalkin
kovalkin
 
международное сотрудничество в области сертификации.
международное сотрудничество в области сертификации.международное сотрудничество в области сертификации.
международное сотрудничество в области сертификации.
 
Автоматизация закупок. Переход к Федеральной контрактной системе
Автоматизация закупок. Переход к Федеральной контрактной системеАвтоматизация закупок. Переход к Федеральной контрактной системе
Автоматизация закупок. Переход к Федеральной контрактной системе
 
Приведение ЦОДов в соответствие требованиям ИБ, как средство повышения привле...
Приведение ЦОДов в соответствие требованиям ИБ, как средство повышения привле...Приведение ЦОДов в соответствие требованиям ИБ, как средство повышения привле...
Приведение ЦОДов в соответствие требованиям ИБ, как средство повышения привле...
 
TEST-DRIVE on ISO 9001:2008
TEST-DRIVE on ISO 9001:2008TEST-DRIVE on ISO 9001:2008
TEST-DRIVE on ISO 9001:2008
 
выбор поставщика 1
выбор поставщика 1выбор поставщика 1
выбор поставщика 1
 

Добровольная система сертификации отрасли ИБ. 2012

  • 2. Рассматриваемые вопросы • Основание для создания • Условия создания • Существующие системы • Базовые принципы системы сертификации • Признание системы сертификации • Участники системы сертификации • Правовые вопросы • Классификация требований • Формирование требований • Порядок оценки соответствия • Способы получения сертификата • Институт декларации соответствия • Практическая польза для участников рынка ИБ • Шаги по созданию
  • 3. Основные предпосылки создания добровольной системы сертификации в области ИБ • Развитие отрасли ИБ в РФ и как следствие п.2. • Расширение сферы деятельности в области защиты информации за пределами защиты государственной тайны в область защиты конфиденциальных данных бизнеса и конечных пользователей информационных систем. • Либерализация законодательства в области ИБ в РФ и как следствие сужение области по обязательной сертификации. • Предпосылки для использования бизнесом независимой оценки продукции для получения конкурентных преимуществ на рынке ИБ. • "Кризис доверия" образовавшийся в отрасли ИБ в части независимых оценок продукции. • Сложившийся "вакуум" за пределами обязательных систем сертификации, отсутствие альтернатив. • Необходимость обеспечения устойчивого баланса между запросами динамичной IT-отрасли и статичностью действующих систем сертификации.
  • 4. Признание как самой системы сертификации так и результатов оценок возможно при условии: • Открытости процедур: формирования требований; методов и процедур оценки; формирования результатов оценки; формирования экспертных групп; сопровождения сертифицированной продукции и услуг. • Доступности: документов определяющих порядок сертификации; документов содержащих требования к продукции и услугам; методов оценки и экспертных заключений; документов содержащих разъяснения результатов сертификации. • Ответственном участии всех участников рынка ИБ в формировании и развитии системы сертификации. • Взаимное признание результатов других/другими системами сертификации и экспертными сообществами.
  • 5. Условия для создания • 1993-2002гг. - ФЗ "О сертификации продукции и услуг" - утратил силу в связи с выходом ФЗ п.2. • с 2002г. - ФЗ-184 "О техническом регулировании". • ***. Правовая база РФ предоставляет возможность создания добровольной системы сертификации:
  • 6. ФЗ "О техническом регулировании" • Применении и исполнении на добровольной основе требований к продукции, процессам проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации и утилизации, выполнению работ или оказанию услуг. • Оценке соответствия. Федеральный закон регулирует отношения, возникающие при: Определяет права и обязанности участников регулируемых настоящим Федеральным законом отношений. Вводит ряд определений так: "Сертификация" - форма подтверждения соответствия объектов требованиям технических регламентов, положениям стандартов, сводов правил или условиям договоров.
  • 7. Существующие системы • Система добровольной сертификации "ГАЗПРОМСЕРТ". Она создана ОАО "Газпром" приказом от 06 февраля 1999 г. № 10 (регистрационный № РОСС RU.3022.04ГО00 от 17 июля 2000 г.). Ориентирована только на Газпром и его дочерние предприятия. За время существования выдано около 500 сертификатов. Практически все не относятся к средствм защиты информации. • Система добровольной сертификации "АйТиСертифика". Она создана ассоциацией "ЕВРААС" (регистрационный № РОСС RU.М089.04ИТ00). За 4 года выдано 38 сертификатов. • Система добровольной сертификации "Ecomex" (регистрационный № РОСС RU.З680.04УЭТ0). Данная система сертификации создана в сентябре 2010 года в связи с чем широкого распространения она пока не получила. В настоящее время существуют несколько добровольных систем сертификации:
  • 8. Базовые принципы системы сертификации • Доверие участников рынка ИБ в России. • Требования к продукции должны быть открытыми и доступными для всех участников системы сертификации и представителей рынка ИБ. • Порядок оценки соответствия должен быть прозрачным. • Оценка соответствия должна быть независимой. • Участники системы сертификации должны иметь возможность принимать участие в её совершенствовании и развитии. • Потребитель должен быть уверен в том, что наличие сертификата у продукта даёт практическую выгоду. • Гибкость системы и готовность к адаптации с изменением правовой и экономической среды касающихся рынка ИБ. • Отсутствие завышенных требований к участникам (лицензий). Добровольная система может существовать только на принципах доверия всех участников системы сертификации и представителей рынка ИБ а так же баланса их интересов:
  • 9. Участники системы сертификации • Центральный Орган по сертификации. • Экспертный совет системы сертификации. • Заявители оценки соответствия - участники рынка ИБ. • Эксперты системы сертификации - физ. лица. • Испытательные центры - юр. лица. • Учредители системы сертификации. • Партнеры системы сертификации - юр. лица. • Образовательные учреждения высшего и средне- специального уровня, повышения квалификации и т.п.
  • 10. Порядок оценки соответствия • Выбор требований и условий проведения сертификации. • Консалтинг по вопросам проведения сертификации. • Декларация соответствия. • Проведение сертификации продукции и/или услуг. • Экспертиза полученных результатов сертификации. • Выпуск сертификата. • Регистрация сертифицированной продукции и услуг. • Сопровождение сертифицированной продукции включая процедуры отзыва сертификата. Реализация базовых принципов предполагает следующий порядок сертификации продукции:
  • 11. Классификация требований • Международные стандарты и требования к продукции и оказываемым услугам. • Требования аналогичные требованиям национальных регуляторов (ФСТЭК, ФСБ и т.д.) и других ведомств и систем сертификации. • Требования систем обеспечения качества и производства продукции. • Требования разработанные/доработанные участниками системы сертификации. • Требования других нормативных документов (внутренние стандарты предприятий, отраслей, ТУ, и т.п.). • Лучшие бизнес-практики в области ИБ (CISecurity и т.п.) • Необходимо отметить что введение оценочных уровней доверия для большинства требований от декларации до независимой оценки должны расширить возможности системы сертификации.
  • 12. Формирование требований • Должны быть открытыми и доступными всем участникам рынка ИБ. • Пройти ряд открытых экспертиз перед вступлением в силу. • Должны получить признание участниками рынка ИБ. • Должны соответствовать реалиям рынка ИБ. • Должны быть предусмотрены процедуры их совершенствования, критики и отзыва. • ***. Формируемые требования должны отвечать следующим качествам:
  • 13. Методы оценки и получения сертификата • [Сертификат] = [Декларация Заявителя]+[Оценка Органа]. • [Сертификат] = [Декларация Заявителя]+[Проведение оценки своими силами]+[Оценка Органа]. • [Сертификат] = [Декларация Заявителя]+[Проведение оценки своими силами]+[Оценка независимыми экспертами]+[Оценка Органа]. • [Сертификат] = [Декларация Заявителя]+[Проведение оценки независимыми экспертами]+[Оценка независимыми экспертами]+[Оценка Органа]. Система сертификации должна предусмотреть не только набор требований и несколько способов получения сертификатов но и учитывать степень доверия по аналогии с ОУД в "общих критериях" где это возможно:
  • 14. Декларация соответствия • Декларация представляет собой документальное подтверждение соответствия продукции и/или услуг тем или иным требованиям. • Декларация о соответствии - документ, удостоверяющий соответствие. • Институт декларации должен предусматривать ответственность поставщика/производителя. • Декларация является гарантией поставщика о соответствии продукции и/или услуг. • Декларация должна быть доступной участникам рынка ИБ. • Декларация открывает возможность оценки/проверки соответствия заявленным требованиям участниками рынка ИБ. • Не соответствие продукции и/или услуг декларированным требованиям могут нанести ущерб репутации поставщика. Институт декларации соответствия является базовым элементом формирования доверия: