Сертификация

информационных систем
Работу выполнил студент группы ИСИп-22-5 Гавридьев
Артем
 Сертификация ИС- это что?
• Сертификация информационных
технологий – это проверка
соответствия IT-систем,
использующихся в компании, на
соответствие требованиям
безопасности. По результатам такой
проверки выдается официальное
подтверждение установленного
образца.
Важность сертификации для обеспечения
информационной безопасности.
• Система сертификации имеет
большое значение для обеспечения информационной безопасност
и, так как позволяет установить надежность и эффективность
средств защиты информации. Она помогает организациям и
пользователям выбирать и применять подходящие средства защиты, а
также повышает доверие к ним.
 Виды сертификатов
• Корпоративные, которые подтверждают соответствие политики компании
требованиям информационной безопасности. дним из самых авторитетных
инструментов в этой сфере является сертификация систем менеджмента
информационной безопасности ISO 27001. Она признана во всем мире в
качестве эталонной при оценке политики компании в данной предметной
области.
• Персональные, подтверждающие уровень квалификации конкретного
специалиста в этой сфере. В зависимости от области своей деятельности
специалист выбирает сертификат информационной безопасности, наилучшим
образом подтверждающий его компетенции.
Система управления информационной безопасностью

• Комплексная система, внедряемая организацией для обеспечения

собственной IT-безопасности, должна охватывать все аспекты ее
деятельности в этой области, включая создание продуктов, их
отладку и ввод в эксплуатацию, функционирование, регулярный
мониторинг работы, анализ алгоритмов и ошибок при ее
применении, поддержку и улучшение рабочих механизмов.
Выбираемые инструменты и методы должны отвечать особенностям
технологического цикла предприятия, а также стоящим перед ним
задачам.
 Процедура сертификации на
соответствие требованиям ISO 27001
• Процесс сертификации организуется после полноценного внедрения
системы на предприятии и отладки ее функционирования.
Добровольная информационная сертификация по стандартам ISO
27001 проводится только аккредитованной организацией, имеющей
право выполнять проверку на соответствие требованиям системы.
• Стандарты системы ISO 27001 во многом основываются на базовой
системе менеджмента качества ISO 9001.
 Этапы
• Внедрение системы, оформление документации по стандартам ISO 20071, обучение
сотрудников, подготовка к сертификации.
• Предварительный аудит системы силами сертифицированного аудитора. Проводится в
формате документарной или выездной проверки.
• Основной этап сертификационного аудита на соответствие требованиям системы.
Включает детальное тестирование внедренных стандартов, проверку документации,
оценку эффективности реализованных мер.
• Оформление сертификационной документации.
• Проведение периодического инспекционного аудита для подтверждения выполнения
требований стандартов сертифицированной организацией.
 Заключение
• В Российской Федерации принят ряд основополагающих законов, которые в разной
степени призваны регулировать работы по сертификации в сфере информатизации:
• Закон "О защите прав потребителей" - устанавливает обязательную сертификацию по
требованиям безопасности всей продукции, продаваемой на территории РФ для личных
нужд потребителя.
• Закон "Об информации, информационных технологиях и о защите информации",
который регулирует отношения, возникающие при формировании и использовании
информационных ресурсов и применения информационных технологий.
• Закон "О техническом регулировании" устанавливает права и обязанности участников
сертификации. Этим законом установлена обязательная и добровольная сертификация.
 Задание 2
• Основные цели защиты информации:
• 1. Конфиденциальность (Confidentiality) - осуществление сохранности информации от неправомерного доступа, обеспечение ее
конфиденциальности и ограничение доступа только уполномоченным лицам. Защита информации помогает предотвращать утечку
чувствительной информации, сохранять коммерческую тайну и личную конфиденциальность.
• 2. Целостность (Integrity) - обеспечение целостности информации посредством защиты от несанкционированного использования,
модификации или повреждения. Защита информации помогает гарантировать, что данные остаются достоверными и точными,
обеспечивая надежность и доверие к информационной системе.
• 3. Доступность (Availability) - обеспечение непрерывности доступа к информации и ее ресурсам для уполномоченных
пользователей. Защита информации направлена на предотвращение или минимизацию возможных проблем с доступом, таких как
отказ в обслуживании (DoS-атаки), технические сбои или естественные бедствия.
• 4. Аутентификация (Authentication) - установление подлинности и идентичности пользователей, систем или данных. Защита
информации включает различные методы и механизмы аутентификации, такие как пароли, биометрические данные или
использование сертификатов, чтобы гарантировать, что только уполномоченные лица имеют доступ к информации.
• 5. Несколько дополнительных целей защиты информации включают:
• - Невозможность отказа от ответственности (Non-repudiation), чтобы предотвратить отрицание или отказ от выполнения
определенных действий или передачи данных.
• - Легальность (Legality), обеспечивая соблюдение законодательства и нормативных требований, таких как защита персональных
данных или соблюдение промышленных стандартов и правил.
• - Исполнимость (Performance), которая гарантирует, что информационная система и ее защитные механизмы имеют подходящую
производительность и эффективность.
 Задание 3

• 1. Интеллектуальная собственность - это правовая концепция, которая охватывает создания ума, такие как изобретения, литературные и художественные произведения, символы,
изображения, а также производственные знания, методы и информацию. Она обеспечивает правовую защиту и вознаграждение за интеллектуальные творения, позволяя
создателям контролировать использование и распространение своих произведений.
• 2. Авторское право на программы и информационные технологии - это правовая область, которая обеспечивает правовую защиту оригинальных программного обеспечения и
информационных технологий. Авторское право позволяет автору контролировать использование, воспроизводство и распространение своих программ и технологий, а также
получать вознаграждение за их использование.
• 3. Способы фиксации авторского права включают написание и регистрацию договоров и лицензий, использование авторских прав и симбола ©, использование цифровых
подписей, скриншотов и документации для программного обеспечения, а также нотариальное заверение и депонирование материалов.
• 4. Экономические преимущества производства и реализации сертифицированной продукции включают повышение доверия потребителей, улучшение качества продукции,
расширение рынков сбыта, сокращение риска и уменьшение затрат на рекламу.
• 5. Взаимоотношение непосредственных участников обязательной сертификации продукции включает производителя, сертификационное учреждение (орган), потребителя и
испытательную лабораторию. Производитель предоставляет продукцию для сертификации, сертификационное учреждение проводит оценку соответствия, испытательная
лаборатория проводит испытания, а потребитель получает сертифицированную продукцию.
• 6. Сертификация качества в обеспечении качества IT-продукции в конкурентоспособности предприятия включает подтверждение соответствия продукции стандартам,
улучшение качества и надежности продукции, повышение доверия потребителей и конкурентное преимущество перед конкурентами.
• 7. Особенности сертификации информационных технологий и услуг включают специфические требования, такие как безопасность, защита данных, интероперабельность и
совместимость, а также оценку соответствия на основе международных и национальных стандартов.
• 8. Развитие сертификации в ближайшей перспективе будет направлено на интеграцию с новыми технологиями, такими как искусственный интеллект, интернет вещей и облачные
технологии, а также решение новых вызовов в области безопасности и защиты данных.
• 9. Концепция совершенствования действующей в стране системы сертификации информационных технологий включает упрощение процедур, повышение прозрачности,
гарантии безопасности и защиты данных, улучшение эффективности и конкурентоспособности.
• 10. Качество продукции и защита прав потребителей включает обеспечение высокого уровня качества продукции, соответствия стандартам и требованиям, а также защиту
потребителей от небезопасных и некачественных продуктов.
• 11. Правовая защита программ и информационных технологий в России и за рубежом различается в рамках национального законодательства и международных соглашений.
Россия, как и другие страны, обеспечивает авторскую защиту программ и правовые механизмы, такие как авторские права, патенты и лицензии, чтобы защитить права
создателей программ и информационных технологий.
• 12. Программы и информационные технологии как формы интеллектуальной собственности охватывают создание и использование программного обеспечения, баз данных,
алгоритмов, знаний и ноу-хау. Они являются результатом творческого труда и интеллектуального вклада и могут быть правово защищены на основе авторских прав и других
форм правовой защиты.