Сертификация информационных систем — от 80 000 руб. | Реестр Гарант | Реестр Гарант
Сертификация компьютерных комплектующих

Сертификация информационных систем — от 80 000 руб., срок 1-4 мес.

📅 👁 44 просмотров 4 мин чтения

Сертификация ИС по требованиям ФСТЭК, ФСБ и ISO/IEC 27001. Стоимость 80 000–300 000 руб., срок 1-4 месяца. Аттестация объектов информатизации, соответствие 152-ФЗ и ГосСОПКА.

Сертификация информационных систем — от 80 000 руб. | Реестр Гарант

Сертификация информационных систем

Информационная система компании может обрабатывать персональные данные, служебную тайну или критическую инфраструктуру — и в каждом из этих случаев государство устанавливает конкретные требования к защите. Штраф Роскомнадзора за обработку персданных без надлежащей защиты после реформы 2023 года достигает 15 миллионов рублей. Для государственных информационных систем отсутствие аттестации означает запрет на эксплуатацию.

«Сертификация информационной системы» — собирательный термин для нескольких процедур. Государственные ИС проходят аттестацию по требованиям ФСТЭК России (Приказ №17). Коммерческие ИС с персональными данными подлежат защите согласно Приказу №21 ФСТЭК. Системы критической информационной инфраструктуры (КИИ) категорируются по 187-ФЗ. Отдельно существует добровольная сертификация средств защиты информации (СЗИ) и корпоративных систем по международным стандартам ISO/IEC 27001.

Виды сертификации и их применение

Вид Основание Для кого Срок
Аттестация ГИС по Приказу ФСТЭК №17 149-ФЗ, Приказ ФСТЭК №17 Госорганы, МФЦ, ГИС 2-4 мес.
Защита ИСПДн по Приказу ФСТЭК №21 152-ФЗ, Приказ ФСТЭК №21 Все операторы персданных 1-3 мес.
Категорирование объектов КИИ 187-ФЗ Объекты критической инфраструктуры 1-2 мес.
Сертификация СЗИ по требованиям ФСТЭК Система сертификации ФСТЭК Разработчики средств защиты 3-6 мес.
ISO/IEC 27001 (СМИБ) Добровольная международная норма Коммерческие компании 2-4 мес.

Аттестация государственных информационных систем

Государственная информационная система (ГИС) обязана получить аттестат соответствия до начала эксплуатации. Класс защищённости определяется по методике ФСТЭК: К1 (высший), К2, К3. Большинство региональных ГИС попадают в класс К3, федеральные — К2 или К1. От класса зависит набор обязательных мер защиты — от шифрования до физической охраны серверных.

  1. Классификация ИС — определение класса защищённости на основании обрабатываемой информации и масштаба системы.
  2. Разработка модели угроз — формализованный документ по методике ФСТЭК 2021 года с описанием актуальных угроз и нарушителей.
  3. Проектирование системы защиты — выбор технических и организационных мер из Приказа №17, внедрение сертифицированных СЗИ.
  4. Внедрение мер защиты — настройка межсетевых экранов, систем обнаружения вторжений, антивирусной защиты, разграничения доступа.
  5. Аттестационные испытания — проводит лицензиат ФСТЭК; включает анализ документации, инструментальный контроль, тест на проникновение.
  6. Выдача аттестата — аттестат соответствия выдаётся на 3 года с ежегодным контролем.

Эксплуатация государственной информационной системы без аттестата соответствия является нарушением ст. 19 149-ФЗ. Для операторов персональных данных, допустивших утечку без надлежащей защиты ИС, штраф по КоАП достигает 15 000 000 руб. (поправки 2023 года). После крупных утечек 2022-2023 годов ФСТЭК и Роскомнадзор резко усилили плановые проверки.

Защита персональных данных (152-ФЗ)

Для коммерческих ИСПДн аттестация необязательна, но требуется реализация мер по Приказу №21. Уровень защищённости УЗ1–УЗ4 определяется по категории данных и числу субъектов. Реестр Гарант разрабатывает комплект организационной документации и помогает с техническими мерами.

ISO/IEC 27001 для бизнеса

Международный стандарт системы менеджмента информационной безопасности. Сертификат ISO 27001 повышает доверие корпоративных заказчиков и партнёров, требуется при выходе на международные рынки и тендеры крупных корпораций. Выдаётся аккредитованным органом по сертификации на 3 года с ежегодными наблюдательными аудитами.

Часто задаваемые вопросы

Нужна ли аттестация коммерческой CRM-системе, которая хранит персданные клиентов?

Аттестация в формате ФСТЭК для коммерческих ИС не является обязательной. Однако вы обязаны реализовать меры по Приказу ФСТЭК №21 соответственно уровню защищённости ИСПДн. Это означает: установку сертифицированных СЗИ, организационные документы (политика ИБ, инструкции), журналирование и разграничение доступа. Реестр Гарант помогает пройти проверку Роскомнадзора без замечаний.

Сколько стоит аттестация ГИС класса К3?

Стоимость аттестации ГИС класса К3 зависит от числа автоматизированных рабочих мест, сегментов сети и набора применяемых СЗИ. Минимальная стоимость — от 80 000 руб. за небольшую систему до 3 рабочих мест. Для типовой региональной ГИС с 20-50 АРМ — 150 000–350 000 руб. с учётом разработки документации, внедрения и испытаний.

Что такое объект КИИ и нужно ли нам категорирование?

Объекты критической информационной инфраструктуры — это ИС в сферах здравоохранения, науки, транспорта, связи, энергетики, банков, финансов, ТЭК, атомной и оборонной промышленности, ракетно-космической сферы. Если ваша организация относится к одной из этих отраслей и владеет ИС, обеспечивающей критический процесс — категорирование по 187-ФЗ обязательно.

Контакты

Телефон: +7 920-898-17-18

WhatsApp: +7 920-898-17-18

Telegram: +7 920-898-17-18

E-mail: reestrgarant@mail.ru

Нужна сертификация по этой теме?

Получите бесплатную оценку сроков и стоимости за 15 минут. Расскажите о продукции — подберём оптимальную схему сертификации.

1500+ сертификатов оформлено В работе с 2015 года Ответ за 15 мин

Читайте также