Сертификации в ИБ: российские и международные — что выбрать в 2026 году

Чтобы подтвердить надёжность и безопасность программного продукта, облачной платформы или информационной системы, рекомендуется пройти сертификацию на соответствие требованиям ИБ. Рассмотрим, какие методы оценки в соответствии с российскими и международными стандартами предусмотрены регуляторами.

 

 

 

 

 

 

1. 1. Введение
2. 2. Что дают процедуры оценки соответствия программного продукта требованиям ИБ
3. 3. Российские стандарты для регулируемых отраслей
   
   1. 3.1. Защита персональных данных
   2. 3.2. Использование на объектах КИИ
   3. 3.3. Банковская сфера
   4. 3.4. Облачная инфраструктура
4. 4. Международные стандарты
5. 5. Сценарии выбора и риски неправильной сертификации
6. 6. Как подтвердить соответствие продукта требованиям ИБ
   
   1. 6.1. Соответствие требованиям регуляторов РФ
      
      1. 6.1.1. Включение в РПО
      2. 6.1.2. Сертификация ФСТЭК России
      3. 6.1.3. Аттестация ФСТЭК
      4. 6.1.4. Аудит на соответствие требованиям Банка России
   2. 6.2. Соответствие международным требованиям ИБ
      
      1. 6.2.1. Получение сертификата PCI DSS
      2. 6.2.2. Аудит на соответствие требованиям GDPR
      3. 6.2.3. Соответствие уровню TIER центров обработки данных
      4. 6.2.4. Получение сертификатов ISO/IEC
   3. 6.3. Независимая экспертиза
7. 7. Выводы

Введение

К разработке современного ПО предъявляется ряд требований, среди которых не последнее место отведено обеспечению ИБ. Чтобы убедить аудиторию в безопасности и надёжности выпускаемого на рынок продукта, целесообразно получить подтверждающие документы. Их выдача предполагает прохождение специальных процедур — таких, как сертификация, аттестация или аудит, которые проводятся уполномоченными на такие действия организациями.

Отдельно отметим возможность использования разработанного ПО в регулируемых отраслях (госсектор, финтех и пр.): они обязывают компании использовать сертифицированные продукты либо программы с подтверждённым соответствием нормативным стандартам.

Например, использование сертифицированного ПО предусмотрено на объектах КИИ: в частности, это касается использования СЗИ для обеспечения ИБ. Внедрение сертифицированных средств защиты включает проверку сертификатов и сопроводительной документации, пилотное развёртывание решения в тестовой среде, проведение официальной аттестации системы и регулярных аудитов на соответствие требованиям в течение всего жизненного цикла.

Но даже если разработчик не предполагает использование ПО на объектах КИИ, соблюдение сертификационных требований не только обеспечивает защиту данных, но и минимизирует правовые риски. Это исключает формальное отношение к безопасности, которое чревато штрафами и даже запретом на эксплуатацию информационной системы. Остаётся решить вопрос: какую процедуру подтверждения соответствия требованиям ИБ выбрать?

Что дают процедуры оценки соответствия программного продукта требованиям ИБ

Говоря о прохождении сертификационных процедур, прежде всего следует пояснить различия между «сертификацией», «аттестацией», «аудитом», «включением в реестр» для разработчиков ПО. Эти термины часто используют как синонимы, но они обозначают совершенно разные процессы с различными целями и правовыми последствиями:

• Сертификация — официальное подтверждение того, что продукт (программа, средство защиты) соответствует конкретным техническим требованиям и стандартам безопасности.
• Аттестация — официальная проверка и подтверждение, что целая информационная система (ИС) или автоматизированное рабочее место (АРМ) при вводе в эксплуатацию соответствует требованиям защиты информации.
• Аудит (оценка соответствия) — независимая проверка процессов, политик и их эффективности на соответствие стандарту или регуляторным требованиям. Аудит на соответствие определённому стандарту может проводится в том случае, если процедуры сертификации или аттестации для данного нормативного акта не определены.
• Включение в реестр РПО — административная процедура признания ПО отечественным для предоставления ему специального статуса и преференций.

Прохождение нужной сертификации, аттестации или аудита позволяет организации укрепить доверие к собственной системе информационной безопасности, выполнить требования регуляторов, важные для конкретного рынка, отрасли или клиента, соблюсти договорные обязательства перед партнёрами, а также оптимизировать общие расходы на обеспечение защиты данных.

Причины пройти сертификацию/аттестацию/аудит:

1. Подтверждение соответствия определённым стандартам или установленным требованиям. Полученный документ (сертификат, аттестат и пр.) удостоверяет, что ПО соответствует российским или международным стандартам, государственным или отраслевым нормам. Например, соответствие ISO 9001, ISO 27001, PCI DSS позволяет российской компании выйти на мировой рынок и работать с зарубежными партнёрами.
2. Повышение качества продукта. В процессе сертификации проводится тщательный аудит ПО, в результате чего могут быть выявлены и устранены скрытые недостатки. Это повышает надёжность, безопасность и общую зрелость программного решения.
3. Укрепление доверия клиентов. Независимое экспертное заключение служит доказательством качества и безопасности продукта. Это может стать конкурентным преимуществом разработчика на рынке и способствовать росту продаж.
4. Выполнение регуляторных требований. Во многих сферах (финансовый сектор, объекты КИИ, защита персональных данных) сертификация/аттестация продукта является обязательным условием для легальной эксплуатации ПО.
5. Снижение бизнес-рисков. Прохождение сертификационной процедуры минимизирует вероятность инцидентов ИБ, связанных с уязвимостями или некорректной работой продукта, тем самым снижая возможность финансовых потерь и репутационного ущерба.

Хотя ПО в России не относится к товарам, которые попадают под обязательные процедуры оценки соответствия, однако прохождение добровольной сертификации выгодно самим разработчикам.

Российские стандарты для регулируемых отраслей

Чаще всего российские разработчики преследуют цель укрепить позиции на отечественном рынке. Поэтому при выборе сертификации прежде всего стоит отталкиваться от нормативной базы, действующей в РФ, с учётом специфики предлагаемого продукта.

Рассмотрим регулируемые отрасли и нормативные документы, которые устанавливают основные требования к использованию в них СЗИ и обеспечению ИБ программных продуктов или систем.

Защита персональных данных

Сложно представить компанию, которая не работает с персональными данными (ПДн) клиентов, сотрудников или посетителей сайта. Основным нормативным актом, определяющим обработку персональных граждан и требования к их защите, является Федеральный закон 152-ФЗ. Согласно действующему законодательству, к ПДн относят cookie-файлы, IP-адреса и другие идентификаторы пользователей, которые в совокупности с другими данными позволяют их идентифицировать.

Постановление Правительства РФ от 01.11.2012 №1119 определяет требования к защите персональных данных при их обработке в информационных системах, а также 4 уровня защищённости ПДн: УЗ-1, УЗ-2, УЗ-3 и УЗ-4. А организационные и технические меры, которые следует предпринять при обработке ПДн, определены в Приказе ФСТЭК России от 18.02.2013 №21.

Несоблюдение законодательных требований может повлечь штрафы по итогам проверок регуляторов, судебные иски от клиентов или персонала, что в итоге может привести владельца или распорядителя информационной системы ПДн к привлечению к ответственности, в т. ч. уголовной. Кроме того, организация рискует столкнуться с необратимым репутационным ущербом.

Использование на объектах КИИ

К объектам критической информационной инфраструктуры (КИИ) относят системы, сети и базы данных, стабильная и безопасная работа которых напрямую влияет на безопасность государства, устойчивость национальной экономики и благополучие населения. Обеспечение защиты объектов КИИ является стратегически важной задачей, поскольку сбои или компрометация этих объектов способны повлечь масштабные негативные последствия для граждан и государственных интересов. Основным нормативным актом, устанавливающим меры защиты объектов КИИ, является Федеральный закон №187-ФЗ.

Конкретные меры безопасности в отношении КИИ регулируют приказы ФСТЭК России:

• Для значимых объектов КИИ базовым документом является Приказ № 235, который формулирует обязательные требования по их защите.
• Требования к безопасности автоматизированных систем управления технологическими процессами определены в Приказе № 239.
• Приказ № 17, а также приказ №117 устанавливают порядок построения систем защиты для государственных информационных систем.

Разработчикам стоит понимать, что к субъектам КИИ относятся не только государственные органы и бюджетные организации, но и крупные частные заказчики: например, телекоммуникационные и транспортные компании, корпорации ТЭК, предприятия металлургии. Также эти требования распространяются на ИП и юридических лиц, которые взаимодействуют с объектами КИИ: например, с ГИС и муниципальными информационными ресурсами.

Банковская сфера

Высокая платёжеспособность заказчиков делает эту отрасль привлекательной для российских разработчиков, однако нужно учитывать действующие в ней стандарты. Основными из них являются:

• ГОСТ Р 57580.1-2017, устанавливающий базовые требования к безопасности банковских и финансовых операций. Этот документ обязателен к применению как для кредитных, так и для некредитных финансовых организаций и определяет минимально необходимый набор организационных и технических мер по защите информации в финансовой сфере;
• СТО БР ИББС-1.0-2014 — это стандарт Банка России, устанавливающий базовые принципы и требования к построению системы ИБ для всех организаций, входящих в банковскую систему Российской Федерации;
• РС БР ИББС-2.8-2015 — рекомендации Банка России по построению защиты информации в средах виртуализации для организаций банковской системы РФ.

В систему БР ИББС входят и другие стандарты, и рекомендации Банка России, которые должны учитывать разработчики ПО при создании сервисов, использующих определённые технологии: например, дистанционную идентификацию и аутентификацию, протокол OpenID Connect, или цифровые отпечатки.

Подтвердить соответствия организации стандартам и рекомендациям Банка России можно на основе аудиторского заключения (если оценка проводится внешней организацией) или отчёта самооценки (если экспертиза проводится силами организации). А подтвердить соответствие ГОСТ Р 57580.1-2017 можно, только получив соответствующее заключение.

 

Рисунок 1. Пример заключения на соответствие ГОСТ Р 57580.1-2017 (источник: selectel.ru)

 

Облачная инфраструктура

Гибкое масштабирование ресурсов и скорость развёртывания сервисов заставляет компании мигрировать в облако. Выбирая провайдера, заказчикам важно убедиться в безопасности облачной инфраструктуры, а для госструктур и бизнеса, работающего с государственными проектами, защищённость данных является обязательным условием при использовании облачных ресурсов.

Для этого можно пройти добровольную сертификацию на соответствие требованиям ГОСТов:

• ГОСТ Р ИСО 9001 (ISO 9001:2015), регламентирующий управление рисками и систему менеджмента качества в организации;
• ГОСТ Р ИСО 27001 (ISO/IEC-27001:2013), определяющий требования к системе менеджмента информационной безопасности;
• ГОСТ Р ИСО 27017 (ISO/IEC 27017:2015), представляющий собой специализированное дополнение к ГОСТ Р ИСО 27001 для сферы облачных технологий;
• ГОСТ Р ИСО 27018 (ISO/IEC-27018:2019), который концентрируется на защите персональных данных в облачной среде;
• ГОСТ Р 57580.1-2017, который описан в предыдущем разделе.

Чтобы расширить пул клиентов за счёт субъектов КИИ, провайдеры облачных сервисов могут предлагать клиентам аттестованное облако. О том, чем отличается облако с государственной аттестацией от облака с сертифицированными СЗИ, мы писали здесь. Для подтверждения безопасности облака целесообразно подтвердить его соответствие 152-ФЗ и 187-ФЗ, пройдя государственную аттестацию согласно Приказу ФСТЭК России №77.

 

Рисунок 2. Пример сертификата на соответствие требованиям ISO (источник: cloud.vk.com)

 

Международные стандарты

Для работы на мировом рынке необходимо соблюдать международные стандарты безопасности. Также подтверждение соответствия им может стать конкурентным преимуществом для продвижения продукта на российском рынке.

Мировые стандарты сертификации в области ИБ:

• ISO/IEC 27001 / 27017 / 27018 / 27701. Комплексная сертификация по этому набору стандартов демонстрирует зрелый подход к ИБ, охватывая защиту данных, обеспечение конфиденциальности и безопасность облачных технологий. ISO/IEC 27001, ISO/IEC 27017 и ISO/IEC 27018 признаны в РФ на уровне госстандартов, ISO/IEC 27701 является расширением ISO/IEC 27001 и ISO 27018, устанавливающим дополнительные требования для облачных сервисов и защиты персональных данных.

• PCI DSS (Payment Card Industry Data Security Standard). Международный стандарт безопасности платёжных карт, определяющий требования для систем, работающих с карточными данными. Его цель — гарантировать безопасность транзакций и защиту данных держателей карт при их хранении, передаче или обработке.
• GDPR (General Data Protection Regulation). Общеевропейский регламент по защите персональных данных устанавливает строгие правила сбора, хранения и обработки личной информации физлиц, находящихся в Европейской экономической зоне. Его требования обязательны для исполнения любой организацией, если её деятельность касается данных лиц, находящихся на территории Евросоюза. Однако сертификаты соответствия GDPR из РФ признаются в ЕС с очень большими оговорками.
• Стандартизация Tier. Это международная система классификации центров обработки данных, разработанная Uptime Institute. Стандарт устанавливает четыре уровня (Tier I–IV), где каждый последующий предполагает более высокую отказоустойчивость и доступность. Цель стандартизации — создать прозрачные и объективные критерии для оценки и проектирования ЦОД. Сертификация проводится по двум ключевым направлениям: Tier Certification of Design Document (проектная документация) и Tier Certification of Constructed Facility (реализованный объект).

 

Рисунок 3. Пример сертификата соответствия GDPR (источник: spb-asb.ru)

 

Хотя из-за санкций продвижение российских продуктов на мировом рынке затруднено, прохождение процедур сертификации на подтверждение международным стандартам может способствовать продвижению ПО в дружественных государствах, а также дать фору в будущем.

Сценарии выбора и риски неправильной сертификации

Сценарии выбора сертификации определяются сферой деятельности, в которой работает разработчик. Хотя подтверждение соответствия ПО в России является добровольной процедурой, но для продвижения в регулируемых отраслях становится реальной необходимостью. Иногда можно ограничиться получением одного сертификата на ПО, но чаще приходится пройти несколько различных процедур подтверждения соответствия. При этом выбор неверного типа или формата сертификации может привести к серьёзным негативным последствиям для организации.

Основные риски неверного выбора подтверждения соответствия ПО требования безопасности:

• Административные взыскания. Регуляторы (ФСТЭК, Роскомнадзор, Банк России) могут наложить крупные штрафы за просроченный сертификат или предоставление недостоверных сведений.
• Приостановка деятельности. При серьёзных нарушениях регулятор может временно запретить обработку данных или эксплуатацию системы, что парализует бизнес-процессы.
• Уголовная ответственность. В крайних случаях, например, при выявлении нарушений обработки информации, составляющей гостайну, предусмотрена уголовная ответственность.

• Потеря рынков и контрактов. Без требуемого сертификата продукт или услуга не будут допущены к госзакупкам, работе с критической инфраструктурой или на регулируемых рынках (финансы, телеком).
• Прямые убытки. Средства, потраченные на неподходящую сертификацию, не окупятся. Дополнительно потребуются расходы на срочное прохождение правильной процедуры.

• Потеря репутации. Формальный подход к безопасности нередко становится достоянием общественности, создавая негативный инфоповод и подрывая имидж вендора.

• Повышение вероятности инцидента. Формальное прохождение сертификации создаёт иллюзию безопасности, в то время как реальные уязвимости системы не устранены.

Перед инициацией аудита/сертификации/аттестации необходимо убедиться, что выбранный тип процедуры соответствует конкретным требованиям целевого рынка или заказчика.

Рассмотрим примеры неверных решений для разных категорий разработчиков:

• Для систем обработки ПДн. Пройти аудит по ISO 27001, но не выполнить требования 152-ФЗ о размещении данных. Итог: гигантские штрафы от Роскомнадзора.
• Для облачного провайдера. Иметь сертификат Tier III на ЦОД, но не иметь сертификата ФСТЭК на СЗИ для размещения АСУ ТП. Итог: потеря промышленных клиентов.
• Для разработчика финтех-приложения. Пройти проверку внутренними аудиторами, но не получить обязательный сертификат PCI DSS от аккредитованного QSA-аудитора. Итог: невозможность работать с платёжными системами.

Хотя выбор неверной сертификации может привести к финансовым, правовым и репутационным потерям и невозможности работать в регулируемых отраслях, прохождение необязательных сертификационных процедур и дополнительное подтверждение безопасности продукта по разным стандартам способствует доверию клиентов.

Как подтвердить соответствие продукта требованиям ИБ

На сегодня сертификация программного обеспечения на территории РФ носит добровольный характер. Процедура осуществляется по инициативе владельца ПО. Для её проведения необходимо определить, какой стандарт содержит основополагающие требования к программам и будет использоваться для оценки. Рассмотрим наиболее популярные процедуры сертификации и аудита.

Соответствие требованиям регуляторов РФ

Прохождение процедур сертификации, предусмотренных нормами российского законодательства, открывает для разработчиков доступ к новым возможностям — таким, как участие в государственных тендерах или возможность пользоваться господдержкой.

Включение в РПО

Единый реестр российского программного обеспечения (РПО) — это официальный перечень отечественных ИТ-продуктов, который ведётся Минцифры России. Реестр был создан для поддержки и развития российских разработок, а также для их продвижения на внутреннем рынке. Для включения в него программа должна соответствовать определённым критериям, а её правообладателем может быть только российская компания или гражданин Российской Федерации.

Чтобы ПО включили в реестр, необходимо подать в Минцифры соответствующую заявку, приложив к ней все необходимые документы. Услуга оказывается бесплатно, при этом ПО будет состоять в реестре до момента исключения — по заявке правообладателя или в связи с выявленными нарушениями соответствия.

Хотя формально эта процедура не относится к сертификационным, включение в РПО является первым шагом к подтверждению надёжности и безопасности разрабатываемого продукта. Нахождение ПО в реестре делает возможным использовать его в рамках импортозамещения.

Сертификация ФСТЭК России

Федеральная служба по техническому и экспортному контролю является одним из ключевых государственных регуляторов в области обеспечения ИБ в стране. Сертификат, выданный ФСТЭК России, — это официальное подтверждение того, что ПО или СЗИ соответствует требованиям безопасности. Такой сертификат необходим разработчикам ПО, которые хотят подтвердить безопасность своего продукта, поставщикам облачных услуг, которые занимаются построением защищённых ИТ-инфраструктур, и организациям, работающим с конфиденциальными или государственными данными.

Сертификация ПО или аппаратного решения проводится путём подачи заявки в органы сертификации. Срок действия сертификата не может превышать 5 лет, однако в дальнейшем его можно продлить. При этом стоит учитывать, что для разработки СЗИ или прикладного ПО в защищённом исполнении согласно приказу ФСТЭК России от 03.04.2018 №55 необходимо иметь соответствующую лицензию ФСТЭК России.

 

Рисунок 4. Пример сертификата соответствия ФСТЭК России (источник: company.drweb.ru)

 

Аттестация ФСТЭК

Для официального подтверждения того, что информационная система или облачная платформа соответствует требованиям ФСТЭК России, нужно её аттестовать. Наличие аттестата соответствия является необходимым условием для легитимной эксплуатации системы или платформы для обработки защищаемой информации.

Аттестация — формализованная процедура, в ходе которой лицензированная ФСТЭК организация всесторонне оценивает систему/платформу на предмет её соответствия установленным нормам безопасности. По итогам аттестации удостоверяется класс защищённости информационных систем и уровень защищённости персональных данных. Стоимость аттестации — от 100 тыс. руб., в зависимости от сложности ИС. Аттестат соответствия требованиям по защите информации действует бессрочно (если в системе не обрабатываются сведения, составляющие государственную тайну), но требует регулярного аудита не реже одного раза в 2 года.

Аудит на соответствие требованиям Банка России

ГОСТ Р 57580.1-2017, как и большинство государственных стандартов, носит рекомендательный характер. Тем не менее для финансовых организаций, подпадающих под действие ряда ключевых нормативных актов Банка России и Минцифры, соблюдение требований этого стандарта становится обязательным. Он устанавливает базовые меры для защиты финансовых операций и ИТ-инфраструктуры.

Подтверждать соответствие ГОСТ Р 57580.1-2017 необходимо через внешний аудит в сроки, установленные соответствующими регуляторными положениями. Эту процедуру могут проводить только лицензированные ФСТЭК России организации. По итогам такого аудита выдаётся не сертификат, а заключение об оценке соответствия требованиям к обеспечению защиты информации.

В документе указывается уровень защиты информации и итоговый уровень соответствия защиты информации согласно ГОСТ Р 57580.1-2017. Стоимость услуги — от 600 тыс. руб., периодичность оценки — не реже, чем раз в 2 года.

Соответствие международным требованиям ИБ

Подтверждение соответствия международным стандартам можно отнести к дополнительным методам сертификации ПО. Например, присвоение дата-центру уровня Tier III не отменяет необходимости облачному провайдеру пройти аттестацию ФСТЭК для того, чтобы работать с государственными информационными системами и заниматься обработкой персональных данных. Ниже рассмотрим наиболее популярные среди российских разработчиков процедуры сертификации на соответствие международным стандартам.

Получение сертификата PCI DSS

Для получения и поддержания сертификата PCI DSS организации необходимо реализовать применимые требования стандарта и не реже одного раза в год подтверждать соответствие одним из установленных способов требований: провести самооценку по опроснику (Self-Assessment Questionnaire, SAQ), поручить проверку внутреннему сертифицированному аудитору (Internal Security Assessor, ISA) или заказать полноценный внешний аудит у аккредитованного провайдера (Qualified Security Assessor, QSA). По результатам оценки компания получает подтверждающий документ: Attestation of Compliance (AOC) при проведении самооценки или Report on Compliance (ROC) при проведении аудита с участием QSA или ISA.

Чаще всего компании прибегают к внешнему аудиту аккредитованной компанией со статусом QSA как к наиболее авторитетному способу. По итогам оценки формируется отчётный документ, который можно будет предоставить платёжным системам, банкам-партнёрам или клиентам. Стоимость услуги в РФ — от 700 тыс. руб., срок действия сертификата — 1 год.

 

Рисунок 5. Пример сертификата соответствия PCI DSS (источник: t1-cloud.ru)

 

Аудит на соответствие требованиям GDPR

Требования GDPR вызывают опасения компаний по всему миру. Рекордный штраф в 1,3 млрд долларов, наложенный Евросоюзом на компанию Meta, деятельность которой запрещена в РФ, наглядно показал, что вопросы приватности и соблюдения европейских нормативов требуют самого серьёзного подхода. К настоящему моменту за несоблюдение GDPR эта компания оштрафована уже более чем на 2,23 млрд долларов.

Сертификаты соответствия GDPR (Certificate of Compliance GDPR) выдаются в рамках системы добровольной сертификации IRQ, аккредитованной Росстандартом. Это позволяет российским разработчикам пройти независимую проверку и официально подтвердить соответствие своих процессов обработки данных европейскому регламенту. Стоимость услуги в РФ — от 600 тыс. руб., срок действия сертификата — 3 года.

Соответствие уровню TIER центров обработки данных

В России значительное число компаний целенаправленно проектирует центры обработки данных с расчётом на последующее получение сертификата Uptime Institute (UI). Уровень Tier является одним из критериев выбора облачных провайдеров. Для оценки надёжности ЦОД следует проверить его сертификацию, узнать уровень доступности и получить документальное подтверждение о проведённой классификации.

 

Рисунок 6. Уровни надежности Tier

 

Согласно данным Uptime Institute, Tier III является самым востребованным уровнем сертификации среди заказчиков. Такая популярность объясняется ключевым преимуществом этого класса: возможность проведения планового технического обслуживания или замены любого компонента инженерной инфраструктуры без прерывания работы критически важного оборудования в машинном зале. Стоимость сертификации Tier — 50 000–150 000 тысяч долларов в зависимости от размера и сложности объекта. Сертификат действует 3 года, но требует ежегодного подтверждения статуса путём проверочного аудита.

Получение сертификатов ISO/IEC

Разработчикам ПО нужно решить, стоит ли в текущей ситуации проходить сертификацию на соответствие международным стандартам. Если получение сертификата PCI DSS является обоснованным решением при обработке платёжной информации, сертификата GDPR — для обработки ПДн, а прохождение сертификации Tier целесообразно для дата-центров, то преимущества сертификации ISO/IEC не так очевидны.

И всё же получить сертификат соответствия международным стандартам, таким как ISO 27001, имеет смысл. Такой документ подтверждает, что в компании успешно внедрена и функционирует система управления ИБ, отвечающая международным требованиям. К примеру, наличие такого сертификата у облачного провайдера служит гарантией того, что обрабатываемые в системе данные надёжно защищены от кибератак и несанкционированного доступа. О других преимуществах добровольной сертификации на соответствие ISO/IEC 27001 мы писали здесь. Стоимость услуги в РФ — от 1,5 млн руб. Ресертификацию проводят раз в 3 года, оценку рисков (точечные проверки) — ежегодно. 

Независимая экспертиза

Продвигая свой программный продукт на отечественном рынке, целесообразно также рассмотреть варианты сертификации, предлагаемые частными организациями. Так, лаборатория AM Test Lab с 2006 года проводит добровольную сертификацию продуктов и услуг в области ИБ. После успешной экспертизы выдаётся сертификат, подтверждающий, что решение соответствует заявленному классу защиты и обладает декларируемыми функциональными возможностями.

 

Рисунок 7. Сертификат AM Test Lab (шаблон)

 

Выводы

Сейчас под сертификацией программного обеспечения понимают разнообразные процедуры оценки соответствия продукта установленным стандартам, требованиям и критериям качества. Данный процесс может подразумевать выдачу сертификата, аттестата или экспертного заключения — в зависимости от выбранного способа подтверждения соответствия.

Выбор того или иного способа сертификации зависит от целей, которые преследует разработчик, а также специфики продукта и отраслевой принадлежности компаний, на которые он ориентирован. Прохождение аудита подтверждает, что продукт корректно выполняет заявленные функции, соответствует спецификациям и стандартам безопасности, а также пригоден для эксплуатации в определённых условиях.

В текущей геополитической ситуации целесообразно, прежде всего, подтвердить соответствие продукта требованиям российской нормативной базы, в частности, установленным Федеральными законами №152-ФЗ и №187-ФЗ, приказами ФСТЭК России и стандартами Банка России. Усилить свои конкурентные позиции на рынке можно, доказав соответствие международным стандартам ИБ: например, PCI DSS или определённому уровню Tier.