Сертификация - дело добровольное
BIS Summit 2025. На фото справа: председатель Ассоциации пользователей стандартов по информационной безопасности (АБИСС) Анастасия Харыбина (Фото BIS Summit 2025)
18 сентября на BIS Summit 2025 председатель Ассоциации пользователей стандартов по информационной безопасности (АБИСС) Анастасия Харыбина рассказала про проект ассоциации, который АБИСС долго разрабатывала и который наконец был запущен в этом году: "Это система добровольной сертификации (СДС) услуг в области информационной безопасности (ИБ). Объектами сертификации являются как специалисты, участвующие в оказании этих услуги, так и организации. Существует множество услуг в сфере информационной безопасности: интеграционные услуги, консалтинг и аудит ИБ, внедрение процессов ИБ, в том числе безопасной разработки, и другие. Мы начали пока с одной услуги – оценка соответствия требованиям защиты информации для финансовых организаций, чтобы понять, готов ли рынок к саморегулированию в таком виде".
Анастасия Харыбина отметила, что Банк России не только поддержал создание системы добровольной сертификации в части оказания услуг по оценке соответствия, но и создал совместную рабочую группу, в рамках которой обсуждается схема взаимодействия СДС и надзора со стороны ЦБ. Относительно других регуляторов Анастасия Харыбина уточнила, что неоднократно слышала от них пожелание, чтобы ассоциации, в том числе, несли ответственность за качество работы своих членов. "Поскольку такая деятельность – не является обычной для ассоциаций, создание системы добровольной сертификации может быть эффективным решением этой задачи", - уточнила она.
По словам Анастасии Харыбиной, в этом году АБИСС провела первые сертификационные испытания в формате экзамена для специалистов: "К концу года также появятся первые сертифицированные организации. В следующем году будет выпущен ГОСТ, разработанный совместно с Банком России, по проведению оценок соответствия требованиям защиты информации и операционной надежности финансовых организаций. Если этот механизм окажется полезным для всех сторон — регуляторов, поставщиков услуг и заказчиков — и будет поддержан рынком, АБИСС сможет расширить спектр сертифицируемых услуг".
Глава АБИСС рассказала корреспонденту ComNews, что СДС АБИСС зарегистрирована Росстандартом, находится в Реестре систем добровольной сертификации и соответствует требованиям, предъявляемым к СДС: "Все системы добровольной сертификации в случае успешного прохождения сертификации выдают сертификат соответствия, в котором указывается область сертификации. СДС АБИСС выдает сертификаты как специалистам, так и организациям. Первые сертификационные испытания организаций запланированы на ноябрь, к концу 2025 г. мы ожидаем до пяти сертифицированных организаций. Основная работа запланирована на следующий год, когда выйдет ГОСТ с требованиями к проведению оценок соответствия внешними аудиторами. В настоящее время проект ГОСТ дорабатывается совместной рабочей группой департамента информационной безопасности (ДИБ) Банка России и Ассоциации АБИСС по результатам рассмотрения проекта стандарта в ТК122 ПК1. ГОСТ содержит требования к проверяющим организациям и специалистам, а также требования ко всем этап проведения оценки соответствия и отчету по итогам оценки".
Заместитель генерального директора по науке АО "СиСофт Девелопмент" (входит в ГК "СиСофт") Михаил Бочаров отметил, что безопасность должна быть прежде всего: "Сертифицирующий орган обязательно должен нести ответственность за выданный сертификат. Наличие такого функционала в любом банке, а тем более в Банке России, считаю нецелесообразным. Коммерческая составляющая в таком деле просто недопустима".
