Что такое требования и как их проверять

Оценка состояния ИБ на соответствие требованиям клиентов и/или стандартов

При выявлении критичных моментов на этапе обследования консультанты по информационной безопасности немедленно сообщают об этом Заказчикам, и предлагают оптимальные пути решения сложившейся ситуации.

По оценке соответствия информационной безопасности

Музалевский Федор Александрович

Ведущий эксперт компьютерно-технического направления. Опыт: Экспертная работа с 2010 года. Педагогический стаж с 2012 года. Кандидат физико-математических наук. Доцент кафедры ВМ и ИТ ФГБОУ ВО “ВГУИТ”.

Царев Евгений Олегович

Эксперт в сфере информационной безопасности. Опыт: Экспертная работа с 2011 года. Педагогический стаж с 2008 года.

Кобец Дмитрий Андреевич

Опыт: Профессиональный опыт в сфере информационных технологий и информационной безопасности с 2009 года.

Гончаров Андрей Михайлович

Юрист в области информационной безопасности. Опыт: Профессиональный опыт в области IT-права с 2015 года.

Обратите внимание! Компания работает с юридическими лицами, ИП и бюджетными организациями по безналичному расчету. Работа с физическими лицами временно не осуществляется.

Оценка состояния информационной безопасности на соответствие требованиям клиентов и/или стандартов

Работаем с юридическими лицами, ИП и бюджетными организациями по безналичному расчету. Работа с физическими лицами временно не осуществляется.

Наши эксперты обладают одновременно опытом ИТ-аудитов и судебных компьютерных экспертиз

Нами проведено более 800 аудитов

Сотрудники компании провели более 700 аудитов по различным критериям

Лицензии: ФСТЭК России и ФСБ России

Часто задаваемые вопросы

Скажите, сколько будет стоить оценка соответствия филиала компании внутреннему стандарту?

Добрый день. Для определения стоимости работ, просим выслать стандарт. В целях обеспечения конфиденциальности готовы подписать NDA.

Гончаров Андрей Михайлович

Проконсультируйте, пожалуйста: Расчетный центр (частная компания), выставляет квитанции на оплату коммунальных услуг и принимает платежи по этим квитанциям. На безналичный прием денежных средств заключены договоры с разными банками (кредитные организации), то есть транзакции обрабатывает банк. Требуется ли расчетному центру в этом случае получать сертификат PCI DSS?

Все организации, которые хранят или передают данные хотя бы одной банковской карты и хотят работать с международными платежными системами, должны следовать этому стандарту. Делать это нужно:

Тестирование на соответствие стандартам

Из вашего описания, как я понял, не фигурируют данные банковских карт, а именно CV2 (секретный код на обороте карты). Вы принимаете только электронные сообщения – распоряжения о переводе. Соответственно данные банковских карт обрабатывает банк, а не ваша организация.

Кобец Дмитрий Андреевич

Тестирование на соответствие стандартам — это процесс проверки программного обеспечения на соответствие определенным стандартам, требованиям, спецификациям и регламентам. Это важный аспект тестирования ПО, поскольку стандарты обычно предоставляют четкие критерии и ожидания относительно качества программных продуктов.

Примеры стандартов

Некоторые из стандартов, используемых в тестировании ПО, включают:

• ISO/IEC 25010:2011
• ISO/IEC 29119
• IEEE 829
• ASTM E1954-14

Преимущества тестирования на соответствие стандартам

В заключение, тестирование на соответствие стандартам — это важный процесс, который помогает обеспечить высокое качество продукта и соответствие регуляторным требованиям. Применение стандартов и проведение тестирования на соответствие может помочь улучшить процессы разработки и увеличить доверие клиентов к вашему продукту.

Проверки организаций с лицензией на гостайну со стороны ФСБ

7 февраля 2024

Проверки организации, имеющей лицензию ФСБ на работу с государственной тайной, проводятся для контроля работы по защите гостайны, правильности учетной и допускной работы предприятия, а также для выявления и рассмотрения инцидентов, связанных с угрозой утечки секретных сведений. Изначально проверка ФСБ проводится при получении лицензии, затем — при продлении лицензии на гостайну. В период действия лицензии осуществлять контроль за защитой гостайны на предприятии могут отдельные ведомства и вышестоящие органы власти, а также прокуратура.

Подробнее: Когда пора продлить лицензию ФСБ

Проверки ФСБ могут проводиться как единолично, так и совместно с другими ведомствами, и заключаться как в изучении документации, так и в полном обследовании организации вплоть до проверки организации пропускного режима и хранения носителей секретных данных, организации работы в ИС с использованием шифровально-криптографических средств. Все зависит от основания проверки, а также специфики предприятия.

Вопросы контроля обеспечения защиты гостайны

В органах власти и организациях, работающих на основании лицензии ФСБ на гостайну, вопросы контроля обеспечения защиты гостайны регулируются следующими законами и постановлениями:

• Закон О государственной тайне
• Закон О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля
• Постановление Правительства РФ от 22.11.2012 N 1205 Об утверждении Правил организации и осуществления федерального государственного контроля за обеспечением защиты государственной тайны

При подготовке к проверкам необходимо учитывать специфику как предмета проверки, так и полномочия проверяющих органов. Специфика предмета проверки может включать работу с секретными сведениями, режимные помещения, защищенные информационные системы и особые правила документооборота. Проверяющие органы имеют полномочия доступа к любым документам, хранилищам, носителям информации и т.д.

Кто может проводить проверку работы с гостайной

Контроль работы с гостайной может осуществляться различными органами:

Межведомственный контроль

• ФСБ
• ФСО
• СВР
• Минобороны
• ФСТЭК

Ведомственный контроль

• Руководители органов, работающих с гостайной

Органы власти, являющиеся распорядителями сведений, составляющих государственную тайну, должны контролировать защиту секретных сведений организациями, которым выдали разрешение на передачу секретных сведений (например, фирмы с лицензией ФСБ, работающие по государственному заказу).

Проверку работы с гостайной также могут инициировать прокуроры, частные компании, заказчики закрытых работ и другие заинтересованные стороны.

Основание для проверки защиты гостайны

Основанием для проверки защиты гостайны может быть внесение организации в план проверок. Согласно риск-ориентированному подходу, организации делятся на категории по степени опасности последствий при нарушении лицензионных требований. Оценка риска определяет периодичность проверок. Частота внесения в план проверок ФСБ зависит от степени секретности обрабатываемых сведений, специфики организации и результатов предыдущих проверок.

Плановые проверки включают проверку исполнения предписаний, выданных по итогам предыдущих проверок. В этом случае срок визита представителя ФСБ заранее известен, а цель контроля — устранение нарушений требований законодательства в области защиты гостайны.

Предписание (распоряжение, приказ) руководителя контрольного органа либо прокурора о проведении внеплановой проверки — может выдаваться в связи с наступлением определенных обстоятельств (например, проверка защиты гостайны в условиях военного положения или проведения мобилизационных мероприятий) либо в связи с заданием высшего руководства (поручение Президента РФ или правительства, поручение прокурора в связи с поступившей информацией о возможных нарушениях и пр.)

Поступление сведений о вероятном нарушении требований по защите государственной тайны — это могут быть заявления конкретных лиц или сообщения в СМИ, публикации в открытых источниках и прочая информация, которая содержит данные о возможных утечках гостайны. Заявления и сообщения могут быть направлены в органы контроля либо стать основанием для проведения внеплановой проверки ФСБ по инициативе прокурора.

Порядок проведения проверок

До начала плановой проверки ФСБ организации предупреждаются за 3 рабочих дня (это касается как выездной, так и документарной проверки). О внеплановой проверке предупреждают за 24 часа, а если она назначена по представлению прокурора — не предупреждают вовсе.

Контроль занимает не более 30 рабочих дней, а в случае, если требуются дополнительные мероприятия (расследование, экспертиза, осмотры, испытания) срок может быть продлен еще на 20 рабочих дней.

Документарная проверка заключается в том, что орган контроля запрашивает конкретные документы и проверяет их на соответствие требованиям законодательства о защите гостайны. В запросе должен быть четко указан перечень документов, их отправка и приемка осуществляется в рамках секретного документооборота.

Выездная проверка — это визит представителей контрольного органа в саму организацию, который может включать в себя и проверку документов, и визуальный осмотр защищенных помещений и хранилищ, посещение архивов, режимно-секретного подразделения и производственных помещений, а также исследование компьютерных систем и периферийных устройств, на которых обрабатывается секретная информация.

Для выездной проверки ФСБ формируется комиссия из 2 и более человек, имеющих допуск к государственной тайне нужной формы, причем контрольный орган вправе привлечь к участию и представителей других органов и ведомств с согласия их руководства. Каждый член комиссии в рамках проверки получает полный доступ ко всем материалам, относящимся к проверке: к документам, журналам и картам учета, изделиям и оборудованию, техническим устройствам и электронным носителям информации, а также информационным и автоматизированным системам обработки информации.

Как видим, проверка организации со стороны ФСБ, даже плановая, проводится довольно стремительно. Чтобы не допустить нарушений, рекомендуем изначально выполнять все требования по защите гостайны на предприятии. Мы поможем провести аудит выполнения требований ФСБ и подготовиться к получению или продлению лицензии на гостайну. Есть вопросы? Задайте их нашему специалисту.

Нужна косультация по лицензированию ФСБ?

Договоры согласно гражданскому законодательству Российской Федерации – это соглашения, способные порождать, изменять или прекращать конкретные права и обязанности договаривающихся лиц. Они заключаются между двумя или более сторонами.

Простыми словами, договоры являются одним из подвидов гражданско-правовых сделок. Зачастую, когда документ вступает в силу, одна из сторон получает право требовать, а другая сторона должна это право требования удовлетворить. В случае если договор не соответствует требованиям законодательства, относящимся к определенному типу договора – он является недействительным.

Этапы проверки договоров

Все требуемые действия для проверки любого договора можно разделить на три этапа:

Изначально нужно определиться с задачей и целью проверки. Простыми словами, первый этап – составление нескольких вопросов, на которые требуется ответить. Ответы должны быть развернутыми и обоснованными.

Следующий этап проверки соглашения или договора — это прямое изучение документа, анализ пунктов и условий. В этом случае цель проверки договоров – убедиться в их соответствии действующему законодательству, а именно текущим нормам гражданского права.

Не секрет, что законы постоянно меняются или корректируются для полного соответствия целям гражданского оборота. Как правило, люди, постоянно следящие за изменениями в правовой сфере – профессиональные юристы или частные юридические компании. Специалист, отталкиваясь от действующего законодательства, сопоставляет его с условиями, включенными в договор. Данная процедура – дополнительная причина обратиться за помощью к профессиональным юристам, которые выполнят правовую экспертизу соглашения.

Так ли это важно? Безусловно – да, но большая часть граждан не уделяет достаточно внимания контролю договорных правоотношений. Из-за этого остается много рисков возникновения ошибки в момент заключения соглашений. Например: могут поменяться или устареть «правовые нормы», в связи с чем договор может быть признан недействительным. Поэтому главная задача специалиста – предотвращение таких ситуаций.

Третий и последний этап – анализ всей полученной информации и формирование экспертного мнения. Чаще всего подобные заключения представляются в устной форме или на бумаге с указанием рекомендаций специалиста. Дополнительно заказчик проверки и анализа документации имеет возможность получить «финальный договор», в котором все уже исправлено и скорректировано. Считается, что такое развитие событий эффективнее, так как в руки заказчика попадает договор, который соответствует текущему законодательству и требованиям. В качестве бонуса эксперт оставляет в соглашении рекомендации для участвующих сторон.

Проверка договоров на соответствие законодательству. Негативные последствия в случае несоответствия

Это первый ответ на вопрос: «Какова цель проверки договоров?». Благодаря проверке и оценке документов на соответствие требованиям гражданского законодательства РФ, договаривающиеся стороны могут избежать негативных последствий, в том числе:

Другими словами, одна из главных задач проверки договоров – обнаружение несоответствий и нарушений норм гражданского законодательства, способных привести к негативным последствиям.

Во время проверки договоры сверяются с законодательными требованиями, относящимися к конкретному договору. Помимо этого, тщательно анализируется содержание договоров на предмет юридических рисков, которые могут возникнуть у клиента в будущем. Можно сказать, что правовая экспертиза договоров способна исключить возможность возникновения негативных последствий после его заключения.

Особенности проверки договоров

До отправки согласованного договора требуется совершить проверку правильности его оформления, а в случае наличия ошибок договор отправится на переоформление, а затем снова на согласование. Отказ от проверки и анализа увеличивает риск потери финансов из-за небрежного составления договора.

Следующая важная цель проверки договоров – это обнаружение и устранение рисков, находящихся непосредственно в условиях договора. Они способны пагубно повлиять на состояние клиента. Такими договорными условностями принято называть: отяготительные условия, дополнительные обстоятельства, прикрепляющиеся к договорам. Чтобы свести риски к минимуму, следует осуществить проверку, она является гарантией защиты клиента от негативных последствий.

В каких ситуациях проверка договоров – обязательна?

По мнению руководителей крупных компаний: «Постоянная проверка договоров необходима, когда в самом договоре на этапе составления были упущены юридические риски, что и привело к необходимости постоянного контроля».

Какие части и пункты договоров нужно проверять?

Первым делом необходимо ответить на вопрос: «Кто в текущей сделке является контрагентом?». Поэтому проверять контрагентов следует до заключения договора. Простой вариант – заказать выписку из государственного реестра юридических лиц, затем проверить организацию в общественных базах данных на предмет наличия судебных разбирательств. Последний шаг — это проверка наличия долгов перед государством и подтверждение легальности полномочий руководства.

Кроме того, существует группа лиц, обладающая правом действовать от имени организации, когда эти права подтверждаются доверенностью. По этой причине необходимо ознакомиться с данным документом. Рекомендуется максимально внимательно рассмотреть сроки действия доверенности и подтвердить факт наличия у представителя фирмы прав действовать от ее лица. После этого требуется осмотреть доверенность, найти пункт, где перечислены полномочия представителя.

Можно сказать, что проверка контрагентов не является чем-то сложным и не требует особых навыков. Закончив с проверкой представителя, следует начать ознакомление с договором, анализом его условий. Условия договора не должны иметь возможности толковаться двояко. То есть все условия соглашения обязаны быть написаны ясно и односложно, это делается для исключения проблем, связанных с пониманием документа. Договор обязан содержать все значимые условия, их непременное наличие обуславливается законодательством Российской Федерации.

Проверка выполнения договоров

Хорошо составленный договор в юридическом плане – это действенный способ достижения желаемых целей. Дополнительно договор может стать средством защиты от необоснованных обвинений, споров со стороной контрагента и избавить от будущих проблем.

Выполнение договоров и соглашений – это исполнение действий, входящих в предмет договора. Если одна из сторон не соблюдает договоренности, ее можно привлечь к ответственности (например, взыскать неустойку), основываясь на пунктах договора.

Конец выполнения договора наступает после фактического окончания указанных действий или работ. Некоторые соглашения имеют отдельный пункт «Возможные изменения в объемах или продолжительности договора», в этой ситуации договор не может считаться выполненным, пока не будут выполнены дополнительные условия. Другой способ завершить исполнения договора – создание двухстороннего акта «приема-сдачи», который должны подписать руководители и заместители участвующих сторон (исполнитель/заказчик).Главное, что следует запомнить из всего вышеперечисленного материала – проверка договоров или соглашений, была и остается важной составляющей сделки, с помощью которой минимизируются все возможные риски. Также она защищает клиентов от возможных негативных последствий, связанных с выполнением условий договоров.

Что такое требования и как их проверять

Узнайте о требованиях к ПО, как их проверять и обеспечить качество продукта с нашей практической статьей для новичков!

Требования – это утвержденные условия, которые должны быть выполнены для достижения определенной цели. В контексте тестирования ПО, требования могут быть функциональными (описывающие функции и возможности ПО) и нефункциональными (такими как производительность, безопасность и надежность).

Типы требований

Предположим, у нас есть функциональное требование: «Пользователь должен иметь возможность регистрироваться на сайте с использованием своего адреса электронной почты и пароля». В этом случае проверка требования может включать следующие этапы:

Используя этот подход, можно эффективно проверять требования и обеспечивать качество ПО.

Все чаще в отраслевых нормативных документах и в выступлениях чиновников звучат настоятельные рекомендации, а порой и требования использовать только сертифицированное по требованиям безопасности в уполномоченном органе (ФСТЭК, ФСБ, Минобороны) программное обеспечение. Например, такие нормы есть в документах Банка России, адресованных участникам финансового рынка. В то же время эксперты указывают, что сертификация – мероприятие долгое и дорогостоящее, поэтому принимать решение о необходимости сертификации необходимо исходя из реалий и потребностей конкретной организации.

Сам по себе термин «сертификация» означает подтверждение заявленных характеристик товара, работ, услуг или даже квалификации специалиста третьей стороной. Сертифицированное по требованиям безопасности программное обеспечение (ПО) – это программа, прошедшая процедуру проверки соответствия требованиям государственных стандартов и нормативных документов по защите информации Федеральной службы по техническому и экспортному контролю России (ФСТЭК России) и ФСБ России.

Тот же принцип действует и при сертификации программных продуктов. «Суть процедуры сертификации ПО заключается в его комплексной проверке, в том числе его исходного кода, – поясняет советник генерального директора Content AI Олег Сажин. – В ходе проверки ищут вредоносные программные закладки и вирусы, поскольку такие скрытые элементы позволяют злоумышленникам в определенный момент получать доступ к системе». По словам экспертов, выбор сертифицирующего органа напрямую зависит от того, где в дальнейшем будет использоваться то или иное решение. «Например, ПО, предназначенное для установки на предприятиях оборонно-промышленного комплекса, не может использоваться без наличия сертификата Минобороны. На средства криптографической защиты нужно получать сертификат ФСБ, – рассказывает управляющий «RTM Group» Евгений Царев. – Средства защиты информации подлежат сертификации во ФСТЭК».

По словам генерального директора группы «Иннотех» Дмитрия Харитонова, сертификация программных продуктов в Минобороне, ФСТЭК России и ФСБ проводится для обеспечения гарантий на уровне государства соответствия ПО принятым требованиям безопасности.

В большинстве случаев, указали эксперты, программные продукты сертифицируют именно во ФСТЭК России. В службу подают заявления на решения, которые планируется использовать в государственных информационных системах; автоматизированных системах управления технологическим процессом; при обработке персональных данных; на объектах критической информационной инфраструктуры; там, где используется конфиденциальная информация, есть статус гостайны. В этом случае нужен сертификат именно ФСТЭК России.

По словам Олега Сажина, при сертификации ПО исследование могут проводить эксперты как ФСТЭК России (Минобороны, ФСБ), так и аккредитованных ими компаний. Проверку проводят на разных уровнях: анализируют функциональность и механику, проводят тестирование на различных сценариях.

Обязательная сертификация выполняется на соответствие государственным регламентам, определяют их органы власти. Добровольная может проводиться на соответствие национальным или отраслевым стандартам, договору и т. д. «В России программы добровольной сертификации средств защиты данных и информационных технологий не слишком распространены, – отмечает Дмитрий Харитонов. – Это может быть связано с хорошо развитой системой государственной сертификации и высокой степенью доверия к ней».

Дмитрий Харитонов подчеркнул, что сертификация обязательна только для продуктов, которые выполняют функции по защите (включая идентификацию, аутентификацию, управление доступом и т. п.) определенной информации, имеющей отношение к гостайне, госресурсам и т. д. При этом не имеет значения, в открытом или закрытом контуре они стоят, используется решение вендора или самописное ПО.

Однако, если в нормативных документах нет указания о необходимости сертификата, это не означает, что его не запросит заказчик. По словам Евгения Царева, в тендерной документации госструктур на закупку ПО наличие сертификата ФСТЭК России порой бывает указано как обязательное требование даже в тех случаях, когда ни по одному нормативному документу сертификация не нужна. И это при условии, что решения с сертификатом стоят существенно дороже.

Однако имеет ли смысл разработчикам ПО сертифицировать все свои решения? «На мой взгляд, нет необходимости сертифицировать все ПО без разбора, поскольку в некоторых случаях несертифицированные версии могут предложить больше функций и быстрее адаптироваться к изменениям рынка», – указывает владелец российского решения по защите от DDoS-атак Servicepipe Даниил Бобрышев.

Эксперт пояснил, в каких случаях сертификация может только мешать.

Например, после любых апгрейдов или обновлений необходимо проходить повторную сертификацию. Но так как сертификация – мероприятие долгое и дорогостоящее, то очевидно, что сертифицированные версии никто не стремится обновлять часто. В итоге несертифицированная версия может быть более продвинутой и быстрее реагировать на изменения конъюнктуры. Кроме того, у несертифицированной версии ПО может быть более широкий функционал в отличие от сертифицированной, в которой возможны ограничения, связанные с необходимостью соблюдения уровня защищенности или класса защиты.

«Сертификацию следует рассматривать с учетом потребностей и требований конкретной организации или проекта, – говорит Даниил Бобрышев. – Первичная сертификация продукта может занимать больше года, в течение которого продукт уже может приносить пользу, если использовать несертифицированную версию».

По словам Олега Сажина, зачастую вендоры проводят эту процедуру точечно, в рамках конкретного проекта, сертифицировать же всю линейку продуктов или разные версии продукта смысла нет. Поэтому нередки случаи, когда у одного решения две версии (сертифицированная и нет) с минимальным отличием по функционалу и ощутимой разницей в цене.

Все эксперты сходятся во мнении, что сертификация – это дорогостоящее и долгое мероприятие. По их оценкам, минимальный срок – от полугода, порой процесс с учетом всех тестирований и испытаний занимает до двух лет. «Длительность прохождения сертификации, стоимость ее прохождения напрямую зависят от объема кода, использованного в ПО, – указывает Евгений Царев. – Стоимость сертификации исчисляется миллионами или десятками миллионов рублей, на моей памяти самый дешевый кейс по сертификации ФСТЭК России обошелся разработчику в 1,5 млн руб.».

Порой отраслевые регуляторы разрешают вместо сертификации делать оценку соответствия в аккредитованных лабораториях. Например, Банк России требует от банков использовать прикладное ПО автоматизированных систем и приложений, которое сертифицировано ФСТЭК России или же для которого проведена оценка соответствия по ГОСТу.

«Оценка соответствия – тоже небыстрое мероприятие, но все же быстрее сертификации. В тех случаях, когда ФСТЭК России проводила бы работы в течение двух лет, аккредитованные лаборатории проводят все необходимые испытания за год», – указал Евгений Царев.

Эксперты сошлись во мнении, что, несмотря на длительность процедуры сертификации и ее дороговизну и, соответственно, более высокую стоимость сертифицированных решений, спрос на такие продукты со стороны бизнеса растет.

Генеральный директор компании «МойОфис» Павел Калякин отметил, что все больше компаний выбирают доверенные IТ-продукты российских разработчиков с высокой культурой безопасной разработки. Индикатор такой гарантии доверия к ПО – наличие сертификата ФСТЭК России. Проводя сертификацию, регулятор проверяет отсутствие в программных продуктах недекларированных возможностей и уязвимостей, корректность работы встроенных механизмов защиты. Применение доверенных программных средств создает серьезный барьер для киберпреступников и помогает компаниям построить результативную систему безопасности.

По словам Олега Сажина, отчасти это объясняется импортозамещением, причем инициативу проявляют сами вендоры, которые хотят предоставлять заказчикам гарантии полной безопасности своих продуктов. Сохраняя при этом и несертифицированные версии для тех, кому важнее возможность быстрых обновлений и более широкий функционал несертифицированного ПО.