busidoway
@busidoway

Существует ли документ, подтверждающий безопасность информационного продукта?

Есть сайт, который содержит некую информацию в базе данных. Информация видна только зарегистрированным пользователям. Для клиента необходимо подготовить некий документ, который бы подтверждал, что данный сайт безопасен, вся информация на сайте и в БД защищена, конфиденциальность соблюдена. Кто-нибудь знает, есть ли вообще что-то подобное, какое-нибудь "официальное" подтверждение?
  • Вопрос задан
  • 132 просмотра
Пригласить эксперта
Ответы на вопрос 3
Jump
@Jump
Системный администратор со стажем.
Кто-нибудь знает, есть ли вообще что-то подобное, какое-нибудь "официальное" подтверждение?
Смотря что в вашем понимании является официальным подтверждением.
  • Делаете все по ГОСТ'у, подаете заявку на сертификацию, собираете нужные бумаги, оплачиваете, проходите проверку, и получаете сертификат и при запросе выдаете копию сертификата..
  • Или как вариант, пишите на бумаге в свободной форме, что-то вроде - Сим удостоверяю, что тут все очень безопасно и зело конфиденциально. Подписываетесь, и ставите штамп "Уплочено"


Оба варианта являются вполне официальными подтверждениями.
Ответ написан
Думаю нужен сертификат
base.garant.ru/10103678/95ef042b11da42ac166eeedeb9...
полученный на добровольной основе
base.garant.ru/12129354/b5dae26bebf2908c0e8dd3b8a6...

ну и куча контор типа sevtest.com/sertifikaciya-informacionnyx-sistem
которые занимаются выдачей сертификатов, тут надо уже подробно изучать рынок.
Ответ написан
athacker
@athacker
Нет таких сертификатов. Есть программа и методика сертификации соответствия информационной системы ОПРЕДЕЛЁННЫМ ТРЕБОВАНИЯМ. В России подобные сертификаты может выдавать ФСТЭК (в отношении мер информационной безопасности) и ФСБ (в отношении средств криптографической защиты информации). Процедура сертификации по требования ФСБ/ФСТЭК -- долгая, сложная и дорогая. В реальности требуется только в случае, если вы работаете с гос-органами.

Если планируете работать с коммерческими предприятиями... Ну, можно заказать аудит у какой-нибудь огранизации, которая занимается аудитом ИБ, и затем их заключение показывать клиентам. Но судя по вашему вопросу, даю 100% гарантии, что подобный аудит ваша информационная система не пройдёт. Особенно учитывая, что у вас даже HTTPS нет -- это однозначно показывает уровень разработки.

Но в любом случае, сертификат только подтверждает соответствие вашей системы и процедур её эксплуатации/развития некоторым стандартам в области ИБ. Стандартов несколько -- как минимум, есть российские требования, типа21 приказ ФСТЭК и документы, его дополняющие, 152-ФЗ (закон о защите перс. данных). Есть европейские стандарты ISO 27000, есть американские NIST 800 series или FIPS 140-2.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
Chenii Санкт-Петербург
от 1 500 до 3 500 $
Платформа НТИ Москва
от 160 000 до 190 000 ₽
ИТРИУМ Санкт-Петербург
от 120 000 до 160 000 ₽