Vor etwa einem Jahr, am 3. April 2018, veröffentlichte das FSTEC Russlands . Er genehmigte die Verordnungen zum Zertifizierungssystem für Informationssicherheit.
Dadurch wurde festgelegt, wer Teilnehmer am Zertifizierungssystem ist. Außerdem wurden die Organisation und das Verfahren zur Zertifizierung von Produkten geklärt, die zum Schutz vertraulicher Informationen, die Staatsgeheimnisse darstellen, verwendet werden und deren Schutzmittel ebenfalls durch das festgelegte System zertifiziert werden müssen.
Was genau bezieht sich die Verordnung also auf Produkte, die zertifiziert werden müssen?
• Mittel zur Bekämpfung ausländischer technischer Aufklärung und Mittel zur Überwachung der Wirksamkeit des technischen Informationsschutzes.
• IT-Sicherheitstools, einschließlich sicherer Informationsverarbeitungstools.
Zu den Teilnehmern des Zertifizierungssystems gehörten:
• Von FSTEC akkreditierte Stellen.
• Prüflabore, die von FSTEC akkreditiert sind.
• Hersteller von Informationssicherheitstools.
Um die Zertifizierung zu erhalten, müssen Sie folgende Schritte unternehmen:
• Beantragen Sie die Zertifizierung.
• Warten Sie die Entscheidung über die Zertifizierung ab.
• Bestehen Sie Zertifizierungstests.
• Erstellen Sie auf Grundlage der Ergebnisse ein Gutachten und einen Entwurf einer Konformitätsbescheinigung.
Die Bescheinigung kann dann ausgestellt oder verweigert werden.
Darüber hinaus wird in dem einen oder anderen Fall Folgendes getan:
• Bereitstellung eines Duplikats des Zertifikats.
• Kennzeichnung von Schutzausrüstung.
• Änderungen an bereits zertifizierter Schutzausrüstung vornehmen.
• Zertifikatsverlängerung.
• Aussetzung des Zertifikats.
• Beendigung seiner Aktion.
Der 13. Absatz der Verordnung sollte zitiert werden:
„13. Zertifizierungstests von Informationssicherheitstools werden auf der materiellen und technischen Basis des Prüflabors sowie auf der materiellen und technischen Basis des Antragstellers und (oder) Herstellers mit Sitz auf dem Territorium der Russischen Föderation durchgeführt.“
Vor nicht allzu langer Zeit, am 29. März 2019, veröffentlichte FSTEC eine weitere Verbesserung mit dem Titel „".
Das Dokument modernisierte das Zertifizierungssystem für Informationssicherheit. Damit wurden die Informationssicherheitsanforderungen genehmigt. Sie schaffen ein Maß an Vertrauen in technische Informationsschutzmittel und informationstechnologische Sicherheitsmittel. Sie legen wiederum die Bedingungen für die Entwicklung und Produktion von Informationssicherheitstools, die Prüfung von Informationssicherheitstools sowie für die Gewährleistung der Sicherheit von Informationssicherheitstools während ihres Einsatzes fest. Insgesamt gibt es sechs Vertrauensstufen. Die niedrigste Stufe ist die sechste. Das Höchste ist das Erste.
Konfidenzniveaus richten sich in erster Linie an Entwickler und Hersteller von Schutzausrüstungen, Zertifizierungsbewerber sowie Prüflabore und Zertifizierungsstellen. Bei der Zertifizierung von Informationssicherheitstools ist die Einhaltung der Trust Level-Anforderungen zwingend erforderlich.
All dies wird am 1. Juni 2019 in Kraft treten. Im Zusammenhang mit der Genehmigung der Anforderungen an das Vertrauensniveau akzeptiert FSTEC keine Anträge mehr auf Zertifizierung von Sicherheitsausrüstung für die Einhaltung der Anforderungen des Leitfadens „Schutz vor unbefugtem Zugriff“. Zugang. Teil 1. Informationssicherheitssoftware. Klassifizierung nach dem Grad der Kontrolle über das Fehlen nicht deklarierter Fähigkeiten.“
In Informationssystemen, in denen Informationen verarbeitet werden, die Informationen enthalten, die Staatsgeheimnisse darstellen, werden Informationssicherheitsmaßnahmen entsprechend der ersten, zweiten und dritten Vertrauensebene eingesetzt.
Der Einsatz von Sicherheitsmaßnahmen der vierten bis sechsten Vertrauensstufe für GIS und ISPDn der entsprechenden Klassen/Sicherheitsstufen ist in der Tabelle dargestellt:
Besonderes Augenmerk sollte auf Folgendes gelegt werden:
„Die Gültigkeit von Konformitätszertifikaten von Informationssicherheitsmitteln, für die die festgelegte Konformitätsbewertung nicht vor dem 1. Januar 2020 auf der Grundlage von Abschnitt 83 der Verordnung über die Zertifizierung von Informationssicherheitsmitteln durchgeführt wird, die auf Anordnung des FSTEC genehmigt wurde.“ Russlands vom 3. April 2018 Nr. 55 kann ausgesetzt werden.
Während der Gesetzgeber weiterhin an Verbesserungen der Zertifizierungsanforderungen arbeitet, bieten wir diese an , alle Anforderungen der verabschiedeten Gesetze erfüllend. Die Lösung bietet eine bereits vorbereitete Infrastruktur, eine fertige Lösung zur Einhaltung des Bundesgesetzes 152.
Source: habr.com