For omkring et år siden, den 3. april 2018, offentliggjorde FSTEC i Rusland . Han godkendte forordningerne om informationssikkerhedscertificeringssystemet.
Dette afgjorde, hvem der er deltager i certificeringssystemet. Det præciserede også organisationen og proceduren for certificering af produkter, der bruges til at beskytte fortrolige oplysninger, der repræsenterer statshemmeligheder, og midlerne til beskyttelse, som også skal certificeres gennem det specificerede system.
Så hvad henviser forordningen helt præcist til produkter, der skal certificeres?
• Midler til bekæmpelse af udenlandsk teknisk efterretning og midler til overvågning af effektiviteten af teknisk informationsbeskyttelse.
• IT-sikkerhedsværktøjer, herunder sikre informationsbehandlingsværktøjer.
Deltagerne i certificeringssystemet omfattede:
• Organer akkrediteret af FSTEC.
• Testlaboratorier, der er akkrediteret af FSTEC.
• Producenter af informationssikkerhedsværktøjer.
For at opnå certificering skal du tage følgende trin:
• Ansøg om certificering.
• Vent på afgørelsen om certificering.
• Bestå certificeringsprøver.
• Udarbejdelse af en ekspertudtalelse og et udkast til overensstemmelsesattest baseret på resultaterne.
Certifikatet kan derefter udstedes eller afvises.
Derudover gøres følgende i et eller andet tilfælde:
• Levering af et duplikat af certifikatet.
• Mærkning af værnemidler.
• Foretage ændringer af allerede certificeret beskyttelsesudstyr.
• Certifikatfornyelse.
• Suspension af certifikat.
• Opsigelse af sin handling.
Vedtægtens 13. afsnit skal citeres:
"13. Certificeringstest af informationssikkerhedsværktøjer udføres på testlaboratoriets materielle og tekniske grundlag såvel som på ansøgerens og (eller) fabrikantens materielle og tekniske grundlag beliggende på Den Russiske Føderations territorium."
For ikke så længe siden, den 29. marts 2019, offentliggjorde FSTEC endnu en forbedring, som havde titlen "'.
Dokumentet moderniserede informationssikkerhedscertificeringssystemet. Dermed er informationssikkerhedskravene blevet godkendt. De etablerer niveauer af tillid til tekniske informationsbeskyttelsesmidler og informationsteknologisikkerhedsmidler. De fastlægger til gengæld betingelserne for udvikling og produktion af informationssikkerhedsværktøjer, test af informationssikkerhedsværktøjer samt for at sikre sikkerheden af informationssikkerhedsværktøjer under deres brug. Der er seks niveauer af tillid i alt. Det laveste niveau er sjette. Den højeste er den første.
Først og fremmest er konfidensniveauer beregnet til udviklere og producenter af beskyttelsesudstyr, ansøgere om certificering samt testlaboratorier og certificeringsorganer. Overholdelse af kravene til tillidsniveau er obligatorisk ved certificering af informationssikkerhedsværktøjer.
Alt dette træder i kraft den 1. juni 2019. I forbindelse med godkendelsen af Kravene til tillidsniveauet vil FSTEC ikke længere acceptere ansøgninger om certificering af sikkerhedsudstyr til overholdelse af kravene i vejledningsdokumentet ”Beskyttelse mod uautoriseret adgang. Del 1. Informationssikkerhedssoftware. Klassificering i henhold til niveauet af kontrol over fraværet af ikke-erklærede kapaciteter."
Informationssikkerhedsforanstaltninger svarende til første, andet og tredje tillidsniveau anvendes i informationssystemer, hvor der behandles oplysninger, der indeholder oplysninger, der udgør statshemmeligheder.
Brugen af sikkerhedsforanstaltninger fra fjerde til sjette tillidsniveau for GIS og ISPDn af de tilsvarende klasser/sikkerhedsniveauer er vist i tabellen:
Der skal lægges særlig vægt på følgende:
"Gyldigheden af overensstemmelsescertifikater for informationssikkerhedsmidler, for hvilke den specificerede overensstemmelsesvurdering ikke vil blive udført før den 1. januar 2020 på grundlag af paragraf 83 i forordningerne om certificering af informationssikkerhedsmidler, godkendt efter ordre fra FSTEC af Rusland dateret 3. april 2018 nr. 55, kan blive suspenderet."
Mens lovgivere fortsætter med at arbejde på forbedringer af certificeringskravene, leverer vi , der opfylder alle kravene i vedtagne love. Løsningen giver en allerede forberedt infrastruktur, en færdiglavet løsning til at overholde føderal lov 152.
Kilde: www.habr.com