Аттестация и сертификация СЗИ: в чём разница

Аттестация и сертификация СЗИ — разные процедуры: сертифицируют отдельное средство защиты (продукт), а аттестуют систему защиты информации конкретной информационной системы в реальных условиях эксплуатации. Сертификат подтверждает, что продукт соответствует требованиям; аттестат — что вся ваша система защищена правильно. Путаница между ними частая, но дорогая: нельзя «заменить» аттестацию набором сертификатов на средства защиты.

Ключевые выводы

• Сертификация — про продукт (средство защиты), аттестация — про вашу систему целиком.
• Сертификат выдаёт орган по сертификации производителю; аттестат — аттестующая организация владельцу системы.
• Наличие сертифицированных средств не отменяет необходимость аттестации.
• Аттестат соответствия действует до 5 лет и относится к конкретной информационной системе.
• Для законной обработки защищаемой информации в РБ нужна именно аттестация СЗИ.

Если нужен общий контекст — что такое аттестация и кому она обязательна — начните с обзора что такое аттестация СЗИ.

Что такое сертификация средств защиты

Сертификация — это подтверждение, что конкретный продукт (антивирус, межсетевой экран, средство криптографической защиты, система разграничения доступа) соответствует установленным требованиям безопасности. Сертификат получает производитель или поставщик средства. Он относится к продукту вообще, а не к тому, как именно вы его настроили и используете в своей системе.

Что такое аттестация системы защиты

Аттестация — это проверка всей системы защиты информации конкретной информационной системы в реальных условиях её эксплуатации. Аттестующая организация оценивает, правильно ли подобраны и настроены меры защиты, соответствуют ли они классу системы, есть ли нужные документы. Результат — аттестат соответствия, который относится именно к вашей системе и действует до 5 лет. Подробно процесс разобран в статье об этапах аттестации.

Аттестация и сертификация: сравнение

Как они связаны между собой

Процедуры не заменяют, а дополняют друг друга. На аттестации проверяют, в том числе, что применённые средства защиты имеют необходимые сертификаты. То есть сертифицированные продукты — это «строительные блоки», а аттестация подтверждает, что из них собрана корректная система информационной безопасности. Можно купить сертифицированный межсетевой экран, но неправильно его настроить — и тогда система не пройдёт аттестацию, несмотря на сертификат.

Частая ошибка: «у нас всё сертифицировано»

Распространённое заблуждение — считать, что закупки сертифицированных средств защиты достаточно для законной обработки защищаемой информации. Это не так: закон требует аттестованную систему защиты, а не просто набор сертифицированных продуктов. Сертификаты — необходимое, но не достаточное условие. Без аттестата обработка защищаемой информации остаётся нарушением, даже если каждое средство защиты сертифицировано.

Чтобы понять, насколько ваша система готова к аттестации, поможет анализ защищённости информационной системы — он покажет, правильно ли настроены сертифицированные средства и достаточно ли мер защиты.

Часто задаваемые вопросы об аттестации и сертификации СЗИ

Заключение

Сертификация и аттестация решают разные задачи: первая отвечает за качество отдельных средств защиты, вторая — за корректность всей системы. Для законной обработки защищаемой информации в Беларуси нужна именно аттестация СЗИ, а сертифицированные средства — её составная часть.

Не уверены, что ваша система пройдёт аттестацию? Специалисты Genesis Systems проведут аттестацию системы защиты информации под ключ — проверят настройку сертифицированных средств и подготовят систему к выдаче аттестата. Свяжитесь с нами: +375 (17) 336-07-67, info@genesis-systems.by.

Оставьте заявку на аттестацию СЗИ

Оставьте заявку — специалисты Genesis Systems оценят готовность вашей системы и проведут аттестацию системы защиты информации.