Деятельность территориально распределенных корпораций характеризуется сегодня широким внедрением информационных технологий. Множество производственных процессов, начиная с формализации постановки задач и заканчивая управлением технологическими системами, в той или иной степени автоматизированы или находятся в активной стадии автоматизации, в связи с чем особенно актуальной становится проблема обеспечения информационной безопасности (ИБ) таких корпораций.

Это в полной мере относится к предприятиям ОАО "Газпром", что было подтверждено на состоявшемся в начале июля семинаре "Сертификация средств и систем защиты информации в Системе ГАЗПРОМСЕРТ. Порядок проведения и предъявляемые требования". Цель мероприятия заключалась в ознакомлении организаций-заявителей с правилами сертификации и требованиями, предъявляемыми к средствам и системам защиты информации в Системе ГАЗПРОМСЕРТ.
"В настоящее время в ОАО "Газпром" принят ряд документов, которые направлены на регламентирование методов и средств, применяемых при автоматизации бизнес-процессов предприятия и обеспечении их информационной безопасности, - отметил Андрей Бондаренко, начальник отдела службы безопасности ОАО "Газпром". - 19 октября 2007 г. Председателем Правления ОАО "Газпром" А. Б. Миллером была утверждена "Комплексная целевая программа на 2008-2010 гг. по развитию систем обеспечения безопасности ОАО "Газпром". В рамках этой Программы запланирован целый ряд научно-исследовательских и опытно-конструкторских работ, в результате выполнения которых будут сформулированы требования информационной безопасности к автоматизированным системам управления производственно-хозяйственной деятельностью и технологическими процессами. В разработанной в конце прошлого года "Стратегии информатизации ОАО "Газпром" определены роль и место информационных технологий в достижении стратегических целей ОАО "Газпром", основные цели и принципы информатизации. В Стратегии закреплено положение о применении для защиты информационных ресурсов только сертифицированных средств обеспечения информационной безопасности".
В 2007 г. были разработаны еще два основополагающих документа - "Концепция информационной безопасности ОАО "Газпром"" и "Политика информационной безопасности ОАО "Газпром".
О правилах сертификации и требованиях, предъявляемых к средствам и системам защиты информации, рассказал в своем докладе Максим Шилин, заместитель начальника отдела ООО "НИИ СОКБ". Система добровольной сертификации (СДС) ГАЗПРОМСЕРТ была создана приказом ОАО "Газпром" от 6 февраля 1999 г. № 10 и зарегистрирована Федеральным агентством по техническому регулированию и метрологии 17 июля 2000 г. К основным целям сертификации относятся:
- удостоверение соответствия средств и систем защиты информации (ЗИ) стандартам, условиям договоров и Системе ГАЗПРОМСЕРТ;
- соблюдение единой технической политики ОАО "Газпром" в области обеспечения информационной безопасности;
- подтверждение функциональных показателей, а также показателей качества средств и систем ЗИ, заявленных производителем;
- содействие дочерним обществам и организациям в компетентном выборе средств и систем ЗИ, их защита от недобросовестных производителей (вендоров).
Принципами, заложенными в Систему сертификации, являются:
- доступность информации о порядке осуществления добровольной сертификации для заинтересованных лиц;
- установление перечня форм и схем добровольной сертификации в отношении объектов, подлежащих сертификации в Системе ГАЗПРОМСЕРТ;
- установление согласованных с заявителем сроков осуществления добровольной сертификации и приемлемых затрат заявителя;
- недопустимость принуждения к осуществлению добровольной сертификации в Системе ГАЗПРОМСЕРТ;
- защита имущественных интересов заявителей, соблюдение коммерческой тайны в отношении сведений, полученных при осуществлении добровольной сертификации.
Объектами сертификации в СДС ГАЗПРОМСЕРТ должны стать продукция и системы менеджмента дочерних обществ и организаций ОАО "Газпром", продукция и услуги, приобретаемые ОАО "Газпром" для осуществления своей деятельности, и системы менеджмента качества на предприятиях - поставщиках этих продуктов и услуг.
Для ОАО "Газпром" внедрение Системы сертификации ГАЗПРОМСЕРТ, по мнению Максима Шилина, - это не только соблюдение единой технической политики в части обеспечения ИБ, но и упрощение процедуры выбора и оценки возможности применения на объектах ОАО "Газпром" тех или иных средств ЗИ. Дочерние общества и организации ОАО "Газпром" смогут своевременно получать соответствующие обновления и новые версии средств ЗИ, заранее прошедшие все необходимые проверки. Производители средств и систем защиты информации, прошедших сертификацию, могут рассчитывать на долгосрочное взаимовыгодное сотрудничество и сокращение сроков дальнейшей сертификации обновлений и новых версий программных продуктов. И, наконец, системные интеграторы смогут обоснованно подходить к выбору средств и систем ЗИ уже на этапе проектирования автоматизированных систем.
"Работы, выполняемые органом по сертификации ООО "НИИ СОКБ", - продолжил Виктор Силенко, начальник отдела ООО "НИИ СОКБ", - способствуют решению задач и реализации мероприятий, предусмотренных "Комплексной целевой программой на 2008-2010 гг. по развитию систем обеспечения безопасности ОАО "Газпром". 31 августа 2006 г. ООО "НИИ СОКБ" было аккредитовано в качестве органа по сертификации (ОС) продукции, работ (услуг) в Системе добровольной сертификации ГАЗПРОМСЕРТ. В качестве испытательных лабораторий (ИЛ) для проведения сертификационных испытаний продукции в Системе ГАЗПРОМСЕРТ подтвердили свою компетентность: ИЛ "Газинформсервис" (Санкт-Петербург), ИЛ 32 ГНИИИ МО РФ (Мытищи), ИЛ "Документальные системы" (Москва), ИЛ "Газпроектинжиниринг" (Воронеж), а в 2008 г. - ИЛ "Стандарт безопасности" (Москва) и ИЛ ФГУ 12 ЦНИИ МО РФ (Сергиев Посад)".
Добровольная сертификация работ (услуг) происходит следующим образом: после поступления заявки ОС высылает заинтересованным организациям перечень представляемых к заявке материалов и документов. Дальнейшее взаимодействие ОС и организации-заявителя происходит на договорной основе. Сертификация работ (услуг) на первом этапе проводится экспертно-документальным методом. При этом осуществляются:
- анализ соответствия учредительных документов организации-заявителя требованиям законодательства;
- проверка принадлежности деятельности организации к сфере заявленных работ (услуг);
- идентификация работы (услуги), в том числе проверка принадлежности к классификационной группировке ОК 029-2001 Общероссийского классификатора видов экономической деятельности;
- оценка финансово-экономической устойчивости организации-заявителя;
- подтверждение компетентности организации-заявителя.
- При положительных результатах первого этапа начинается этап сертификации, связанный с выездом комиссии на проверяемый объект. На этом этапе осуществляются:
- сертификационная проверка по подтверждению соответствия и оценка качества работы (услуги);
- принятие решения о выдаче (об отказе в выдаче) сертификата соответствия и выдача сертификата соответствия.
После получения сертификата соответствия органом по сертификации с периодичностью не реже одного раза в год проводится плановая инспекционная проверка за сертифицированной работой (услугой).
Подтверждение компетентности организации-заявителя, подавшей заявку на сертификацию, с 01.07.2008 осуществляется на основе стандарта ОАО "Газпром" СТО Газпром 2-1.4-185-2008.
Согласно данным за период 2006-2008 гг., из 146 обратившихся организаций-заявителей в 23 случаях была прекращена процедура сертификации продукции, работ (услуг) в связи с нарушениями требований нормативных документов Системы добровольной сертификации ГАЗПРОМСЕРТ о порядке проведения сертификации или не подтверждением организацией-заявителем своей компетентности в заявленной на сертификацию области деятельности.
Органом по сертификации за отчетный период было выдано 110 сертификатов соответствия, из них на продукцию - 32 сертификата, на работы (услуги) - 78 сертификатов. Сертификаты получили 76 организаций, подтвердивших свою компетентность в заявленных областях деятельности и успешно прошедших сертификационные проверки. В настоящее время ООО "НИИ СОКБ" ведет работу по сертификации продукции, работ (услуг) с 50 организациями.
Одним из основных требований нормативных документов по сертификации является сертификационная проверка выполненных организациями-заявителями работ (услуг) непосредственно на объектах. За истекший период экспертами ОС "НИИ СОКБ" проведено более 70 сертификационных проверок, из них шесть - в составе комиссий Службы безопасности ОАО "Газпром".
В соответствии с правилами Системы ГАЗПРОМСЕРТ сертификат соответствия выдается на срок не более трех лет. Для определения срока действия сертификата ОС разработаны специальные критерии:
- опыт работы в заявленной области деятельности на объектах ОАО "Газпром";
- среднегодовой объем работ в части заявленных на сертификацию продукции, работ (услуг);
- финансовое состояние организации.
Результаты сертификационных проверок на объектах проведения работ выявили следующие основные недостатки:
- качество монтажа ТСО не всегда соответствует предъявляемым требованиям;
- использование наряду с профессиональным оборудованием оборудования с низкой надежностью эксплуатационных характеристик;
- использование "морально" и "физически" устаревших ТСО.
Правилами Системы добровольной сертификации определен инспекционный контроль за сертифицированными продукцией, работами и услугами, который осуществляется с целью установления того, что выполняемые работы (услуги) и выпускаемая продукция продолжают соответствовать заданным требованиям, подтвержденным при сертификации. Инспекционный контроль проводит орган по сертификации, выдавший сертификат соответствия, на месте выполнения работы (услуги), производства продукции.
Разработанные нормативные документы в течение 2006-2008 гг. прошли практическую апробацию при проведении более 70 сертификационных проверок работ (услуг), а также 32 образцов ИТСО и ПО.
"Результаты апробации разработанных нормативных документов свидетельствуют об их практической реализуемости и эффективности использования", - отметил Виктор Силенко.
"Система ГАЗПРОМСЕРТ не заменяет, а дополняет системы сертификации ФСТЭК и ФСБ", - пояснил Валерий Пустарнаков, генеральный директор ООО "Газинформсервис". В рамках обязательных систем сертификации уполномоченных органов сертифицируются средства защиты на предмет их соответствия требованиям руководящих документов по безопасности. В системе сертификации ГАЗПРОМСЕРТ акцент сделан на испытании на совместимость сертифицированных по требованиям безопасности средств защиты и средств контроля защищенности информационных систем.
В завершение семинара Валерий Пустарнаков сказал, что "сертификация - это механизм реализации технической политики ОАО "Газпром" и снижения рисков при создании информационных систем". Сертификация систем и средств защиты информации в Системе ГАЗПРОМСЕРТ - наиболее эффективный способ создания долгосрочной программы по продвижению собственных решений вендоров на рынке ОАО "Газпром", а также снижения рисков при создании и сопровождении комплексных систем защиты информации на всех этапах жизненного цикла автоматизированных систем".

Редакция благодарит организаторов мероприятия за участие  в подготовке материала