Преди около година, на 3 април 2018 г., FSTEC на Русия публикува . Той одобри Наредбата за системата за сертифициране на информационната сигурност.
Това определи кой е участник в системата за сертифициране. Разяснява се и организацията и редът за сертифициране на продукти, които се използват за защита на поверителна информация, представляваща държавна тайна, средствата за защита на която също трябва да бъдат сертифицирани чрез посочената система.
И така, какво точно се отнася в регламента за продуктите, които трябва да бъдат сертифицирани?
• Средства за борба с външно техническо разузнаване и средства за наблюдение на ефективността на защитата на техническата информация.
• Инструменти за ИТ сигурност, включително инструменти за защитена обработка на информация.
Участниците в системата за сертифициране включват:
• Органи, акредитирани от FSTEC.
• Лаборатории за изпитване, които са акредитирани от FSTEC.
• Производители на инструменти за информационна сигурност.
За да получите сертификат, трябва да предприемете следните стъпки:
• Кандидатствайте за сертифициране.
• Изчакайте решението за сертифициране.
• Издържайте сертификационни тестове.
• Въз основа на получените резултати изготвя експертно заключение и проект на сертификат за съответствие.
Тогава сертификатът може да бъде издаден или отказан.
Освен това в един или друг случай се прави следното:
• Предоставяне на дубликат на удостоверението.
• Маркировка на защитните средства.
• Промяна на вече сертифицирани предпазни средства.
• Подновяване на сертификата.
• Спиране на сертификата.
• Прекратяване на действието му.
Трябва да се цитира параграф 13 от правилника:
„13. Сертификационните тестове на средствата за защита на информацията се извършват на материално-техническата база на лабораторията за изпитване, както и на материално-техническата база на заявителя и (или) производителя, разположена на територията на Руската федерация.
Не толкова отдавна, на 29 март 2019 г., FSTEC публикува още едно подобрение, което беше озаглавено „".
Документът модернизира системата за сертифициране на информационната сигурност. По този начин са одобрени изискванията за сигурност на информацията. Те установяват нива на доверие в средствата за техническа защита на информацията и средствата за сигурност на информационните технологии. Те от своя страна определят условията за разработване и производство на средства за информационна сигурност, тестване на средства за информационна сигурност, както и за осигуряване на сигурността на средствата за информационна сигурност по време на тяхното използване. Има общо шест нива на доверие. Най-ниското ниво е шесто. Най-високият е първият.
На първо място, нивата на доверие са предназначени за разработчици и производители на защитно оборудване, кандидати за сертифициране, както и за изпитвателни лаборатории и сертифициращи органи. Съответствието с изискванията за ниво на доверие е задължително при сертифициране на инструменти за защита на информацията.
Всичко това ще влезе в сила на 1 юни 2019 г. Във връзка с одобрението на Изискванията за ниво на доверие, FSTEC вече няма да приема заявления за сертифициране на оборудване за сигурност за съответствие с изискванията на ръководния документ „Защита срещу неоторизирано достъп. Част 1. Софтуер за информационна сигурност. Класификация според нивото на контрол върху липсата на недекларирани способности.“
Мерките за информационна сигурност, съответстващи на първо, второ и трето ниво на доверие, се използват в информационни системи, в които се обработва информация, съдържаща информация, представляваща държавна тайна.
Използването на мерки за сигурност от четвърто до шесто ниво на доверие за GIS и ISPDn на съответните класове/нива на сигурност е показано в таблицата:
Особено внимание трябва да се обърне на следното:
„Валидността на сертификатите за съответствие на средствата за информационна сигурност, за които посочената оценка на съответствието няма да бъде извършена преди 1 януари 2020 г. въз основа на клауза 83 от Правилника за сертифициране на средства за информационна сигурност, одобрен със заповед на FSTEC на Русия от 3 април 2018 г. № 55, може да бъде спряно."
Докато законодателите продължават да работят върху подобрения на изискванията за сертифициране, ние предоставяме , отговарящи на всички изисквания на приетите закони. Решението предоставя вече подготвена инфраструктура, готово решение за спазване на Федерален закон 152.
Източник: www.habr.com