Регулярно в общении с заказчиками, не являющимися экспертами в области информационной безопасности, либо информационных технологий, выявляется путаница в терминологии. И практически всегда в этом небольшом рейтинге топ-3 занимают три ключевых понятия в области оценки соответствия требованиям информационной безопасности – сертификация, аттестация, лицензирование. Для специалистов по кибербезопасности это, разумеется, будут прописные азы, однако для лиц, не являющихся экспертами, возможно, ситуация несколько прояснится в ходе настоящей статьи. Итак, рассмотрим эти понятия применительно к государственным регулирующим органам РФ в части защиты информации.
Сертификация в области информационной безопасности осуществляется у средств защиты информации – программного обеспечения и программно-аппаратных комплексов. Согласно определению Росстандарта, «Сертификация средств защиты информации (CЗИ) – это процесс, направленный на подтверждение соответствия СЗИ нормам и требованиям, действующим на территории России.
Данный процесс относительно средств защиты информации без использования шифрования контролирует ФСТЭК России, а с использованием криптографии – ФСБ.