Вопросы информационной безопасности (ИБ) в современных экономических условиях становятся все более актуальными, особенно для таких системообразующих отраслей, как оборонно-промышленный комплекс (ОПК). Мы не будем останавливаться на объяснении общих преимуществ внедрения систем управления (менеджмента) информационной безопасности (СУИБ или СМИБ), а сразу перейдем к рассмотрению отраслевых требований для предприятий ОПК в части систем менеджмента.

Проведем небольшой анализ нормативно-правовой базы с использованием причинно-следственной связи, чтобы четко обрисовать взаимосвязь процессов управления, которые предприятиям ОПК необходимо внедрить. Начнем с государственного военного стандарта ГОСТ РВ 0015-002-2012 «Система разработки и постановки на производство военной техники. Системы менеджмента качества. Общие требования». Данный стандарт устанавливает требования к системе менеджмента качества организаций, осуществляющих исследования, разработку, производство, поставку, обеспечение эксплуатации, ремонт и утилизацию военной продукции, направленные на обеспечение соответствия военной продукции требованиям тактико-технического задания заказчика и условиям контракта (договора) на всех стадиях жизненного цикла военной продукции. Другими словами, если предприятие выполняет государственный оборонный заказ (ГОЗ), оно должно внедрить и сертифицировать систему менеджмента качества. Отметим, что согласно Постановлению Правительства РФ № 581 от 13.06.2012 сертификация по стандарту ГОСТ РВ 0015-002 обязательна для получения предприятием лицензии МинПромТорга (сокращенно – лицензии ВВТ).

В основе ГОСТ РВ 0015-002 лежит стандарт Международной организации по сертификации ISO:9001, точнее его локализованная версия – национальный стандарт ГОСТ Р ИСО 9001 «Системы менеджмента качества. Требования», который дополнен отраслевой спецификой ОПК. Пункт 4.3 ГОСТ РВ 0015-002-2012 предусматривает обязательное внедрение и документальное оформление порядка соблюдения информационной безопасности в соответствии с требованиями ГОСТ Р ИСО/МЭК 27001 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования» (национальный стандарт основанный на ISO:27001). Таким образом, определяется необходимость внедрения и сертификации системы управления информационной безопасностью.

В свою очередь, управление рисками является ключевой процедурой при построении как системы менеджмента качества в целом, так и СУИБ в частности. Пункт 8.5.3 ГОСТ РВ 0015-002-2012 включает требование к анализу рисков возникновения проблем с качеством военной продукции на всех стадиях ее жизненного цикла и разработку мероприятий по снижению этих рисков. Пункт 6.1 ГОСТ Р ИСО 9001-2015 определяет действия в отношении рисков и возможностей. В пункте 4.2 ГОСТ Р ИСО/МЭК 27001-2006 указаны требования к управлению рисками информационной безопасности.

Теперь, когда мы выявили необходимость построения СУИБ и процедуры управление рисками, как основополагающей функции системы менеджмента, перейдем к более детальному рассмотрению данных вопросов. Ниже приведены ссылки на ряд статей с нашими разъяснениями и практическими рекомендациями, каждая из которых поможет сделать шаг на пути построения СУИБ:

Создание эффективной системы менеджмента требует высокой квалификации и опыта, поэтому не всегда под силу предприятиям, не имеющим в своем штате соответствующих профильных специалистов. Мы готовы поделиться знаниями и поможем построить и сертифицировать систему управления информационной безопасностью. Вы можете заказать консультацию по управлению рисками системы менеджмента вашего предприятия прямо сейчас.

 

Лицензия на деятельность в сфере государственного оборонного заказа

arrows

Сертификация ГОСТ РВ 0015-002-2012 для получения лицензии МинПромТорга (ВВТ)

arrows

Сертификация по стандарту ISO 27001 (ГОСТ Р ИСО 27001)

arrows

Хотите получать дайджест свежих материалов
по сертификации, а так же информацию о новых
курсах и спецпредложениях?

Оставьте Ваш E-mail