📍
🕒 Работаем с 9:00 до 18:00
📞 +7 (499) 403-32-37
💬 Консультация
📞 +7 (499) 403-32-37 Получить консультацию

Сертификация информационных систем

Про сертификацию товаров

Сегодня информационные системы (ИС) используются практически во всех сферах, от банковского сектора до государственных служб и промышленных предприятий. Повышенные требования к безопасности данных закономерно влекут за собой обязательства по прохождению процедур сертификации. Центр по сертификации товаров и услуг «СертЦентр» на протяжении более 10 лет выступает экспертным партнером организаций по вопросам соответствия информационных систем национальным и отраслевым стандартам.

Почему сертификация информационных систем становится обязательной

Одним из ключевых факторов, приводящих к необходимости оформления сертификата на информационную систему, выступают прямые требования законодательства Российской Федерации, в особенности Федеральные законы №152-ФЗ («О персональных данных»), №187-ФЗ («О безопасности критической информационной инфраструктуры»), а также положения Постановления Правительства РФ №1119 (гл. II, п. 5, 11–13). Законом установлены требования к обязательной защите данных в зависимости от типа обрабатываемой информации.

В частности, сертификация нужна, если:

  • В ИС хранятся или обрабатываются персональные данные граждан РФ
  • Система обеспечивает функционирование критических объектов инфраструктуры (ТЭК, связь и прочее)
  • Планируется участие в государственных и муниципальных закупках
  • Реализуются значимые проекты в сфере госсектора

Для любой компании, участвующей во внедрении или обслуживании ИС, важно понимать: допуск к работе с определенным классом данных или систем невозможен без наличия у системы паспорта соответствия (сертификата).

Какие документы и стандарты регламентируют сертификацию

Процедура сертификации строго регламентирована. Основными документами выступают:

  • ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации. Общие требования»
  • ГОСТ Р 56939-2016 «Информационная безопасность. СПОД»
  • ГОСТ Р ИСО/МЭК 27001-2012 «Информационная технология – Методы и средства обеспечения безопасности»
  • Требования ФСТЭК России (порядок сертификации ИС по защите информации от несанкционированного доступа, Приказ №17).
  • Приказ ФСТЭК №21 — Требования по защите информации при обработке персональных данных (уровень защищенности 1–4)
  • На уровне международной торговли используется ТН ВЭД ( Таможенная номенклатура внешнеэкономической деятельности)

Также к числу предписаний относят профильные методические указания от ФСБ и ФСТЭК России, регулирующие оценку защищенности.

Документ Сфера применения Обязательность
ГОСТ Р 57580.1-2017 Банковские ИС Обязателен для лицензии ЦБ
ГОСТ Р ИСО/МЭК 27001-2012 Все ИС Добровольно/Рекомендовано
Приказ ФСТЭК №21 Обработка персональных данных Обязателен

Этапы сертификации и регулярные ошибки заявителей

Эксперты «СертЦентр» выделяют несколько четких ступеней в процедуре:

  1. Анализ целей и типа защищаемой информации. Классификация по уровням защищенности.
  2. Аудит ИС: корректность архитектуры, наличие документооборота, уровень внедренных защитных средств.
  3. Проведение тестирования на практическую устойчивость к угрозам (пентестирование, анализ уязвимостей).
  4. Сбор и подготовка полного пакета документов для сертификационного сопровождения.
  5. Оформление актов тестирования, протоколов, паспортов и заявок, согласование с контролирующими органами.
  6. Получение итогового сертификата, регистрация системы в едином реестре (если требуется по типу сертификата).

Основные ошибки — недостаточная документальная база, неверное определение класса защищенности системы, использование незарегистрированных государством средств защиты или попытка ускорить процедуру за счет «универсальных» шаблонов.

Ценообразование: сколько стоит сертификация информационной системы

Стоимость услуг зависит от ряда факторов:

  • Категория и объем защищаемой информации (от 1-го до 4-го класса защищенности)
  • Тип стандарта (ГОСТ или международные ISO, ФСТЭК, ФСБ)
  • Степень готовности системы и число объектов (серверы, клиентские станции и пр.)

Средние цены на оформление документов в 2024 году на рынке следующие:

Услуга Средняя стоимость, руб. Срок
Предсертификационный аудит от 90 000 до 180 000 10–20 дней
Комплексная сертификация (ФСТЭК, ФСБ) от 450 000 до 950 000 60–120 дней
Оформление паспорта соответствия от 60 000 7–15 дней

Для крупных распределённых систем с несколькими объектами обязательного мониторинга итоговые затраты могут превышать 2–3 млн руб. с учетом консультационного, организационного и технического сопровождения.

Вопросы и ответы: типичные запросы клиентов

Вопрос: Как определить, обязателен ли сертификат ФСТЭК для нашего предприятия?
Ответ: Если ваша система обрабатывает ПДн россиян (даже в рамках корпоративной переписки или CRM), сертифицировать ее по требованиям ФСТЭК необходимо. Независимо от рода деятельности. Исключение — системы, работающие исключительно с обезличенными либо техническими данными.

Вопрос: Можно ли пройти сертификацию дистанционно?
Ответ: Предварительный аудит (знакомство с документацией, архитектурой, удаленный анализ) – да, но сами контрольные измерения и испытания (оценка защищенности, тестовые проникновения, оценка физической инфраструктуры) гарантированно требуют присутствия специалистов на объекте.

Вопрос: Наша база уже обеспечивает антивирусную и сетевую защиту. Нужно ли что-то еще?
Ответ: Требования законодательства выходят далеко за рамки антивирусов и межсетевых экранов. Необходим набор сертифицированных средств ЗИ, ведение шифрования, журналы событий, раздельный доступ согласно ролям, регламентное обновление. Недостаточно просто установить популярный софт — потребуется официальное заключение (сертификат) о его соответствии типу обрабатываемых данных.

Вопрос: Чем грозит отсутствие сертификата при проверке?
Ответ: Помимо штрафных санкций (от 60 000 руб. до 500 000 руб. по ст. 13.11 КоАП РФ и выше), возможна временная приостановка обработки данных, внесение организации в реестр нарушителей или отзыв аккредитации (для госучреждений и коммерческих подрядчиков госсектора).

Кейсы и опыт «СертЦентра»

Наиболее запомнившиеся кейсы, с которыми сталкивалась команда, включают:

  • Полная сертификация территориально распределенной системы документооборота регионального суда (включено 18 филиалов, централизованное администрирование, интеграция сервисов, обработка персональных и служебных данных).
  • Аудит и последующая сертификация автоматизированной банковской платформы согласно ГОСТ Р 57580.1-2017 с подготовкой отчетности для Банка России и внедрением отечественных СЗИ.
  • Проработка перехода крупного промышленного холдинга с зарубежных средств защиты на сертифицированные российские решения с сопутствующей аттестацией в ФСБ (включены системы видеонаблюдения, логирования событий и управления доступом).

Один из ключевых вызовов — своевременная работа по документации. В каждом случае стандартная проблема: отсутствие полной схемы ИС, неактуализированный журнал инцидентов, недокументированные изменения в ИТ-инфраструктуре. Благодаря нашему подходу — обязательный аудит с выездом, совместная работа с системными администраторами и обучение ответственных — удается минимизировать количество непредвиденных доработок и ускорить процедуру согласования с контролирующими органами.

Советы от экспертов «СертЦентра»

Соблюдение формальных требований — не только способ избежать штрафов, но и реальный инструмент построения доверия к организации. Мы рекомендуем:

  • Начинать подготовку к сертификации на стадии проектирования или изменений в ИС.
  • Вести постоянный мониторинг инцидентов, обновлять журналы и периодически проводить самооценку соответствия.
  • Привлекать специалистов с опытом ведения проектов под требования ФСТЭК и международных аудитов.
  • Регулярно повышать квалификацию ответственных сотрудников — обучение окупается снижением числа ошибок и ускорением подготовительных мероприятий.
  • Использовать только отечественные сертифицированные средства защиты при работе с ПДн и КИИ, иначе срок процедуры увеличится в разы.

При грамотном подходе оформление паспорта соответствия занимает 2–4 месяца; при начальных ошибках — от 6 и более.

Заключение

Итог положительной сертификации — не только соблюдение закона, но и уверенность в безопасности информации, возможность легально участвовать в государственных тендерах и отсутствие рисков при проверках. Опыт «СертЦентра» доказывает: даже самая сложная система реально проходит сертификацию за расчетный срок, если работа выстроена правильно и заблаговременно. Мы всегда готовы поделиться опытом, консультациями и стать вашим партнером по юридически значимому оформлению безопасности информационных систем любой сложности.