Добровольные системы сертификации средств защиты информации: их вынужденность.
Будет ли русский человек добровольно обращаться к добровольной сертификации по требованиям ИБ, если есть прекрасные обязательные системы сертификации СЗИ (Минобороны, ФСТЭК, ФСБ, СВР), а также добровольно-принудительные системы сертификации (Газпромсерт, системы сертификации СМК)?
Обычно есть несколько причин, когда простые люди вынуждают себя к добровольной сертификации продукции и систем по требованиям безопасности информации (типа АйТиСертифика):
1) Организация желает провести аудит системы информационной безопасности, аудит безопасности программного кода, аудит СУИБ, тематическое исследование средства защиты информации, экспертизу или тесты на соответствие своему особенному (внутреннему, иностранному) нормативному документу. Но при этом какая-нибудь бумага гособразца (сертификат) не повредит!
2) Организации очень нужно провести какие-либо сертификационные испытания по безопасности информации (или устойчивости, надежности, целостности), но практически нельзя или очень трудно выполнить требования и условия (технические, нормативные, субъективные) обязательной системы сертификации.
Например, надо получить сертификат на комплекс или целую систему, а ФСТЭК России не выписывает Решение. Или у нас система какого-то суперкодирования, сами понимаете, как сертификат ФСБ России проблематичен. И т.д.
В этом случае можно обратиться к добровольной системе сертификации, где жесткость требований «корректируются», а в итоге есть бумага гособразца на соответствие РД! Можно показывать заказчику, повесить на сайте. :-).
3) Самая распространенная причина (81%). Организация уже проводит испытания в обязательной системе сертификации СЗИ, а сроки очень поджимают!
Мы помним, после проведения испытаний материалы из лаборатории отдаются на экспертизу в некий орган по сертификации (затем еще и в федеральный орган!) – это значит, можно еще прождать нестрого определенное число месяцев, а то и лет, а там еще и формулировки сертификата могут подрезать.
Вот здесь как раз очень удобно быстро получить сертификат добровольной системы, им размахивать перед заказчиком, проводить пресс-конференции и спокойно ожидать сертификат ФСТЭК.
Надо сказать, что в таких случаях часто лаборатории, проводящие испытания, идут навстречу — принципиально или вообще не увеличивают цену за доппроцесс (испытания же уже проведены!).
4) Иной раз бывает, что оборудование планируется к массовому (бюджетному) внедрению в различные структуры и организации.
Ввиду неопределенности и неуверенности в начальной информации о разработке (компиляция, например, за рубежом) или идут доработки внутренних и внешних механизмов безопасности (затачивают под нужный класс СВТ НСД), или по другим подобным причинам — имеется опасение невыполнения конкретных требований обязательных систем. Для этого можно провести предварительное исследование (0-этап), плюс, еще получить красивый документ гособразца – сертификат добровольной системы (для отчетности).
Основное преимущество добровольных систем: время, стоимость, в случае п.3 – подтвержденное качество.
Маленький недостаток – игнорирование (по понятным причинам отсутствия постоянного контроля качества) со стороны регуляторов, точнее, органов по вводу в эксплуатацию систем (в ФСТЭК – это органы аттестации объектов информатизации) и т.д.
Правда, говорят, есть одно единственное исключение – средства защиты персональных данных в информационных системах персональных данных 4-го класса. 🙂
Есть еще момент – это сертификация систем менеджмента информационной безопасности (СУИБ). Здесь регуляторы, несмотря на организацию ими же выпуска прекрасных ГОСТов серии 27000, не могут пока определиться, что делать с этими стандартами. Поэтому здесь пока работают только добровольные системы, причем не обязательно системы сертификации по безопасности информации, но и добровольные системы сертификации по качеству.
