В первую очередь, сертификация информационных систем позволяет подтвердить соответствие требованиям:
- Федерального закона №152-ФЗ «О персональных данных»;
- ГОСТ Р 57580.1-2017 (безопасность финансовых организаций);
- ГОСТ Р 56939-2016, ГОСТ Р 53679-2009 (общие требования к информационным системам);
- Постановления Правительства РФ №1119 (меры по защите информации);
- Приказа ФСТЭК РФ №17 (классификация ИСПДн по уровню защищенности);
- Требований регуляторов: Роскомнадзора, ФСТЭК, ФСБ.
- Возможность участвовать в тендерах и госзакупках;
- Минимизация штрафных санкций за нарушение правил хранения и обработки данных;
- Повышение доверия клиентов и партнёров к компании;
- Упрощение взаимодействия с банками и крупными заказчиками.
- Государственных и муниципальных организаций (все системы, связанные с обработкой персональных, государственных и служебных данных);
- Коммерческих структур, обрабатывающих персональные данные третьих лиц (сайты, CRM, ERP, облачные сервисы);
- Медицинских учреждений, страховых компаний, банков и финансовых организаций;
- Разработчиков и интеграторов программного обеспечения.
- Уставные и регистрационные документы компании;
- Описание архитектуры и функциональности информационной системы;
- Документация по обеспечению защиты информации (приказы, инструкции, положения);
- Договоры с разработчиками/подрядчиками (если применяются сторонние решения);
- Протоколы тестирования (если проводились ранее).
- Отсутствие или некорректное оформление политики безопасности;
- Использование неактуальных версий ГОСТов и нормативных документов;
- Применение несертифицированных средств защиты информации;
- Проведение независимых испытаний без привлечения аккредитованной лаборатории.
- Официальная аккредитация и опыт работы с крупными государственными и коммерческими заказчиками;
- Персональный подход: выделенный куратор, экспресс-анализ ситуации, бесплатная первичная консультация;
- Комплексное сопровождение — от аудита до получения сертификата;
- Постоянное обновление знаний экспертов в связи с изменениями законодательства.
Подтверждение соответствия — это также:
Кому и каким системам требуется обязательная сертификация?
Сертификация обязательна для:
На практике в наш центр часто обращаются компании, запускающие новые IT-продукты, интернет-магазины с функцией хранения клиентских данных, а также производственные предприятия, внедряющие автоматизацию бизнес-процессов.
Основные этапы процедуры сертификации
Эксперты «СтандартСоюз» сопровождают клиентов поэтапно, что подтверждается успешными кейсами в Санкт-Петербурге, Москве и регионах. Процесс проходит в несколько этапов:
| Этап | Описание работ |
|---|---|
| 1. Предварительный аудит | Анализ архитектуры системы, выявление потенциальных несоответствий. |
| 2. Разработка и согласование документов | Составление политики безопасности, технической документации, инструкций (на основе ГОСТов и требований ФСТЭК/ФСБ). |
| 3. Проведение технических испытаний | Тестирование на проникновение, анализ уязвимостей, проверка на соответствие установленным стандартам. |
| 4. Оформление отчётности | Составление протоколов, актов испытаний, заключений. |
| 5. Получение сертификата | Передача документов в аккредитованный орган, получение официального сертификата (срок действия — до 5 лет). |
Какие документы необходимы для старта?
Наши эксперты самостоятельно подготавливают недостающие документы, что существенно сокращает сроки и снижает риски возврата документов на доработку.
Ответы на часто задаваемые вопросы
Как долго длится процесс сертификации?
В среднем — от 1 до 3 месяцев, в зависимости от сложности ИС и наличия необходимой документации. В ряде случаев, если система типовая и ранее уже проходила аналогичные проверки, срок сокращается до 3–4 недель.
Сколько стоит оформление сертификата?
Стоимость зависит от объема работ, категории системы, необходимости разработки документов «с нуля» и других факторов. По опыту, средний чек для малых и средних организаций составляет от 170 000 до 350 000 рублей. Для сложных распределённых систем (например, крупных банковских или медицинских ИС) — от 500 000 рублей.
Какие самые типичные ошибки совершают компании?
Реальные кейсы из опыта «СтандартСоюз»
В 2023 году к нам обратился разработчик облачного ПО для автоматизации работы с медицинскими картами. До обращения клиент получил предписание Роскомнадзора из-за несоответствия системы требованиям ФСТЭК. Наши специалисты провели экспресс-аудит, выявили слабые места в системе хранения данных, помогли внедрить сертифицированные средства защиты класса СЗИ-НДВ (ГОСТ Р 57580.1-2017), разработали полный пакет документов и организовали испытания в лаборатории. В результате — клиент за 2 месяца получил сертификат соответствия и смог возобновить контракты с государственными клиниками.
Другой кейс — поддержка IT-интегратора, внедряющего CRM для крупной торговой сети. Задача — пройти сертификацию по ГОСТ Р 56939-2016, получить сертификат ФСТЭК на обработку персональных данных 2 уровня защищенности. Благодаря корректно выстроенному процессу, сертификация заняла 5 недель, что позволило избежать штрафов и обеспечить возможность участия в федеральных тендерах.
Актуальные нормативные документы и стандарты
| Документ | Область применения |
|---|---|
| ГОСТ Р 57580.1-2017 | Информационная безопасность организаций финансовой сферы |
| ГОСТ Р 56939-2016 | Требования к информационным системам персональных данных |
| ГОСТ Р 53679-2009 | Требования к защите информации в автоматизированных системах |
| Постановление Правительства РФ №1119 от 01.11.2012 | Меры по защите информации при обработке персональных данных |
| Приказ ФСТЭК России №17 от 11.02.2013 | Классификация ИСПДн по уровню защищенности |
| ФЗ-152 от 27.07.2006 | Обработка и защита персональных данных |
Почему выбирают «СтандартСоюз»?
Если у вашей компании есть вопросы по подтверждению соответствия IT-инфраструктуры, вы всегда можете обратиться в «СтандартСоюз» по телефону 7 (812) 409-41-50 или написать нам на msk@standartsouz.ru. Мы готовы предложить индивидуальное решение под вашу задачу!
