Сертификация систем защиты информации
Securico предоставляет полный комплекс услуг по оценке и построения систем защиты информационных систем. В этот комплекс входит также и сертификация систем защиты информации компании.
По желанию заказчика сертификация может быть проведена как по международным стандартам ISO серия 27000, так и по стандартам, которые требуются украинским законодательством в сфере КСЗИ (НД ТЗИ и КЗИ).
Международные стандарты
ISO 27001 and 27002
ISO/IEC 27001:2013, part of the growing ISO/IEC 27000 family of standards, is an information security management system (ISMS) standard published in October 2013 by the International Organization for Standardization (ISO) and the International Electrotechnical Commission (IEC). Its full name is ISO/IEC 27001:2013 – Information technology – Security techniques – Information security management systems – Requirements.
ISO/IEC 27001:2013 formally specifies a management system that is intended to bring information security under explicit management control.
ISO/IEC 27002 incorporates mainly part 1 of the BS 7799 good security management practice standard. The latest versions of BS7799 is BS7799-3. Sometimes ISO/IEC 27002 is therefore referred to as ISO 17799 or BS 7799 part 1 and sometimes it refers to part 1 and part 7. BS 7799 part 1 provides an outline or good practice guide for cybersecurity management; whereas BS 7799 part 2 and ISO 27001 are normative and therefore provide a framework for certification. ISO/IEC 27002 is a high level guide to cybersecurity. It is most beneficial as explanatory guidance for the management of an organisation to obtain certification to the ISO 27001 standard. The certification once obtained lasts three years. Depending on the auditing organisation, no or some intermediate audits may be carried out during the three years.
ISO 27001 (ISMS) replaces BS 7799 part 2, but since it is backward compatible any organization working toward BS 7799 part 2 can easily transition to the ISO 27001 certification process. There is also a transitional audit available to make it easier once an organization is BS 7799 part 2-certified for the organization to become ISO 27001-certified. ISO/IEC 27002 provides best practice recommendations on information security management for use by those responsible for initiating, implementing or maintaining information security management systems (ISMS). It states the information security systems required to implement ISO 27002 control objectives. Without ISO 27001, ISO 27002 control objectives are ineffective. ISO 27002 controls objectives are incorporated into ISO 27001 in Annex A.
ISO/IEC 21827 (SSE-CMM – ISO/IEC 21827) is an International Standard based on the Systems Security Engineering Capability Maturity Model (SSE-CMM) that can measure the maturity of ISO controls objectives.
Стандарты защиты информации в Украине
Законы Украины:
Закон Украины «Об информации» от 02.10.1992 № 2657-XII
Закон Украины «О защите информации в информационно-телекоммуникационных системах» от 05.07.1994 № 80/94-ВР
Закон Украины «О государственной тайне» от 21.01.1994 № 3855-XII
Закон Украины «О защите персональных данных» от 01.06.2010 № 2297-VI
Закон Украины «Про основні засади забезпечення кібербезпеки України»
Постановления КМУ:
Постановление Кабинета Министров Украины «Об утверждении Правил обеспечения защиты информации в информационных, телекоммуникационных и информационно-телекоммуникационных системах» от 29.03.2006 №373
Постановление Кабинета Министров Украины «Об утверждении Инструкции о порядке учета, хранения и использования документов, дел, изданий и других материальных носителей информации, содержащих служебную информацию» от 27 ноября 1998 №1893
Нормативные документы в области технической защиты информации (НД ТЗИ) и государственные стандарты Украины (ДСТУ) относительно создания и функционирования КСЗИ:
НД ТЗИ 3.7-003-05 Порядок проведения работ по созданию комплексной системы защиты информации в информационно-телекоммуникационной системе
Государственный стандарт Украины. Защита информации. Техническая защита информации. Порядок проведения работ. ДСТУ 3396.1-96
НД ТЗИ 1.4-001-2000 Типовое положение о службе защиты информации в автоматизированной системе
НД ТЗИ 2.5-004-99 Критерии оценки защищенности информации в компьютерных системах от несанкционированного доступа
НД ТЗИ 2.5-005-99 Классификация автоматизированных систем и стандартные функциональные профили защищенности обрабатываемой информации от несанкционированного доступа
НД ТЗИ 2.5-008-02 Требования по защите конфиденциальной информации от несанкционированного доступа при обработке в автоматизированных системах класса 2
НД ТЗИ 2.5-010-03 Требования к защите информации WEB-страницы от несанкционированного доступа
НД ТЗИ 3.7-001-99 Методические указания по разработке технического задания на создание комплексной системы защиты информации в автоматизированной системе
НД ТЗИ 3.6-001-2000 Техническая защита информации. Компьютерные системы. Порядок создания, внедрения, сопровождения и модернизации средств технической защиты информации от несанкционированного доступа
Автоматизированные системы. Требования к содержанию документов РД 50-34.698
Техническое задание на создание автоматизированной системы. ГОСТ 34.602-89
НД ТЗИ 1.1-002-99 Общие положения по защите информации в компьютерных системах от несанкционированного доступа
Сертификация ИТС компании в сфере ТЗИ и КЗИ
По результатам аудита систем компании и проведения полного перечня работ по созданию КСЗИ, мы проводим выдачу аттестата соответствия и соответствующих отраслевых стандартов.