Требования по обеспечению информационной безопасности
Проведем небольшой анализ нормативно-правовой базы, чтобы четко обрисовать взаимосвязь процессов управления, которые нужно внедрить предприятиям ОПК. Начнем с государственного военного стандарта ГОСТ РВ 0015-002-2012 «Система разработки и постановки на производство военной техники. Системы менеджмента качества. Общие требования». Он устанавливает требования к СМК организаций, осуществляющих исследования, разработку, производство, поставку, эксплуатацию, ремонт и утилизацию военной продукции, направленные на обеспечение соответствия военной продукции тактико-техническому заданию заказчика, условиям контракта (договора) на всех стадиях жизненного цикла военной продукции. Иначе говоря, если предприятие выполняет государственный оборонный заказ (ГОЗ), оно должно внедрить и сертифицировать систему менеджмента качества. Отметим, что согласно Постановлению Правительства РФ № 581 от 13.06.2012 сертификация по военному стандарту обязательна для получения лицензии Минпромторга (сокращенно – лицензии ВВТ).
В основе ГОСТ РВ 0015-002 стандарт Международной организации по сертификации ISO:9001, точнее его локализованная версия – национальный стандарт ГОСТ Р ИСО 9001 «Системы менеджмента качества. Требования», который дополнен отраслевой спецификой ОПК. Пункт 4.3 ГОСТ РВ 0015-002-2012 предусматривает обязательное внедрение, документальное оформление порядка соблюдения информационной безопасности в соответствии с требованиями ГОСТ Р ИСО/МЭК 27001 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования» (национальный стандарт основанный на ISO:27001). Таким образом, определяется необходимость внедрения и сертификации СУИБ.
В свою очередь, управление рисками – ключевая процедура при построении СМК в целом и СУИБ в частности. Пункт 8.5.3 ГОСТ РВ 0015-002-2012 включает требование к анализу вероятности возникновения проблем с качеством военной продукции на всех стадиях ее жизненного цикла, а также разработку мероприятий по ее снижению. Пункт 6.1 ГОСТ Р ИСО 9001-2015 определяет действия в отношении рисков, возможностей. В пункте 4.2 ГОСТ Р ИСО/МЭК 27001-2006 указаны требования к управлению рисками информационной безопасности.
Построение СУИБ
Теперь, когда выявлена необходимость построения СУИБ, процедуры управления рисками, как основополагающей функции СМК, перейдем к детальному рассмотрению данных вопросов. Ниже приведены ссылки на ряд статей с разъяснениями, практическими рекомендациями, каждая из которых поможет сделать шаг на пути построения СУИБ:
- Построение СУИБ. Применение стандартов семейства ИСО 27000
- Процедура управления рисками. Базовые понятия, идентификация и оценка рисков
- Процедура управления рисками. Планирование, мониторинг и корректировка
- Процедура управления рисками. Организация и документальное оформление
Создание эффективной СМК требует высокой квалификации, опыта, поэтому не всегда под силу предприятиям, не имеющим в своем штате соответствующих профильных специалистов. Мы готовы поделиться знаниями, поможем построить и сертифицировать СУИБ. Заказать консультацию можно прямо сейчас.
С уважением,
команда ИСУ
Лицензия на деятельность в сфере государственного оборонного заказа
Сертификация ГОСТ РВ 0015-002-2012 для получения лицензии МинПромТорга (ВВТ)
Сертификация по стандарту ISO 27001 (ГОСТ Р ИСО 27001)
