Πριν από περίπου ένα χρόνο, στις 3 Απριλίου 2018, το FSTEC της Ρωσίας δημοσίευσε . Ενέκρινε τους Κανονισμούς για το σύστημα πιστοποίησης ασφάλειας πληροφοριών.
Αυτό καθόριζε ποιος συμμετέχει στο σύστημα πιστοποίησης. Διευκρίνισε επίσης την οργάνωση και τη διαδικασία πιστοποίησης προϊόντων που χρησιμοποιούνται για την προστασία εμπιστευτικών πληροφοριών που αντιπροσωπεύουν κρατικά μυστικά, τα μέσα προστασίας των οποίων πρέπει επίσης να πιστοποιούνται μέσω του καθορισμένου συστήματος.
Τι ακριβώς αναφέρεται λοιπόν ο Κανονισμός σε προϊόντα που πρέπει να πιστοποιηθούν;
• Μέσα για την καταπολέμηση ξένων τεχνικών πληροφοριών και μέσα παρακολούθησης της αποτελεσματικότητας της προστασίας τεχνικών πληροφοριών.
• Εργαλεία ασφάλειας πληροφορικής, συμπεριλαμβανομένων εργαλείων ασφαλούς επεξεργασίας πληροφοριών.
Οι συμμετέχοντες στο σύστημα πιστοποίησης περιελάμβαναν:
• Φορείς διαπιστευμένοι από την FSTEC.
• Εργαστήρια δοκιμών που είναι διαπιστευμένα από την FSTEC.
• Κατασκευαστές εργαλείων ασφάλειας πληροφοριών.
Για να αποκτήσετε πιστοποίηση, πρέπει να ακολουθήσετε τα ακόλουθα βήματα:
• Αίτηση για πιστοποίηση.
• Περιμένετε την απόφαση για την πιστοποίηση.
• Περάστε τεστ πιστοποίησης.
• Ετοιμάστε μια γνώμη εμπειρογνωμόνων και ένα σχέδιο πιστοποιητικού συμμόρφωσης με βάση τα αποτελέσματα.
Το πιστοποιητικό μπορεί στη συνέχεια να εκδοθεί ή να απορριφθεί.
Επιπλέον, σε μια ή την άλλη περίπτωση γίνονται τα εξής:
• Παροχή αντιγράφου του πιστοποιητικού.
• Σήμανση προστατευτικού εξοπλισμού.
• Πραγματοποίηση αλλαγών σε ήδη πιστοποιημένο προστατευτικό εξοπλισμό.
• Ανανέωση πιστοποιητικού.
• Αναστολή πιστοποιητικού.
• Τερματισμός της δράσης της.
Η 13η παράγραφος του Κανονισμού πρέπει να αναφέρεται:
"13. Οι δοκιμές πιστοποίησης των εργαλείων ασφάλειας πληροφοριών πραγματοποιούνται στην υλικοτεχνική βάση του εργαστηρίου δοκιμών, καθώς και στην υλικοτεχνική βάση του αιτούντος και (ή) του κατασκευαστή που βρίσκεται στο έδαφος της Ρωσικής Ομοσπονδίας."
Όχι πολύ καιρό πριν, στις 29 Μαρτίου 2019, η FSTEC δημοσίευσε μια άλλη βελτίωση, η οποία είχε τον τίτλο "».
Το έγγραφο εκσυγχρονίζει το σύστημα πιστοποίησης ασφάλειας πληροφοριών. Έτσι, οι Απαιτήσεις Ασφάλειας Πληροφοριών έχουν εγκριθεί. Καθιερώνουν επίπεδα εμπιστοσύνης στα μέσα προστασίας τεχνικών πληροφοριών και στα μέσα ασφάλειας της τεχνολογίας των πληροφοριών. Αυτοί, με τη σειρά τους, καθορίζουν τις προϋποθέσεις για την ανάπτυξη και παραγωγή εργαλείων ασφάλειας πληροφοριών, τη δοκιμή εργαλείων ασφάλειας πληροφοριών, καθώς και τη διασφάλιση της ασφάλειας των εργαλείων ασφάλειας πληροφοριών κατά τη χρήση τους. Υπάρχουν έξι επίπεδα εμπιστοσύνης συνολικά. Το χαμηλότερο επίπεδο είναι το έκτο. Το υψηλότερο είναι το πρώτο.
Πρώτα απ 'όλα, τα επίπεδα εμπιστοσύνης προορίζονται για προγραμματιστές και κατασκευαστές προστατευτικού εξοπλισμού, αιτούντες πιστοποίηση, καθώς και εργαστήρια δοκιμών και φορείς πιστοποίησης. Η συμμόρφωση με τις απαιτήσεις επιπέδου εμπιστοσύνης είναι υποχρεωτική κατά την πιστοποίηση εργαλείων ασφάλειας πληροφοριών.
Όλα αυτά θα τεθούν σε ισχύ την 1η Ιουνίου 2019. Σε σχέση με την έγκριση των Απαιτήσεων για το επίπεδο εμπιστοσύνης, η FSTEC δεν θα δέχεται πλέον αιτήσεις για πιστοποίηση εξοπλισμού ασφαλείας για συμμόρφωση με τις απαιτήσεις του εγγράφου καθοδήγησης «Προστασία από μη εξουσιοδοτημένα πρόσβαση. Μέρος 1. Λογισμικό ασφάλειας πληροφοριών. Ταξινόμηση σύμφωνα με το επίπεδο ελέγχου για την απουσία αδήλωτων δυνατοτήτων.»
Τα μέτρα ασφαλείας των πληροφοριών που αντιστοιχούν στο πρώτο, δεύτερο και τρίτο επίπεδο εμπιστοσύνης χρησιμοποιούνται σε συστήματα πληροφοριών στα οποία επεξεργάζονται πληροφορίες που περιέχουν πληροφορίες που αποτελούν κρατικά μυστικά.
Η χρήση μέτρων ασφαλείας από το τέταρτο έως το έκτο επίπεδο εμπιστοσύνης για GIS και ISPDn των αντίστοιχων κλάσεων/επιπέδων ασφαλείας φαίνεται στον πίνακα:
Ιδιαίτερη προσοχή πρέπει να δοθεί στα ακόλουθα:
«Η ισχύς των πιστοποιητικών συμμόρφωσης μέσων ασφάλειας πληροφοριών για τα οποία η καθορισμένη αξιολόγηση συμμόρφωσης δεν θα διενεργηθεί πριν από την 1η Ιανουαρίου 2020 βάσει της ρήτρας 83 των Κανονισμών για την πιστοποίηση μέσων ασφάλειας πληροφοριών, εγκεκριμένος με εντολή της FSTEC της Ρωσίας με ημερομηνία 3 Απριλίου 2018 Νο. 55, μπορεί να ανασταλεί ."
Ενώ οι νομοθέτες συνεχίζουν να εργάζονται για βελτιώσεις στις απαιτήσεις πιστοποίησης, παρέχουμε , πληρώντας όλες τις απαιτήσεις των εκδοθέντων νόμων. Η λύση παρέχει μια ήδη προετοιμασμένη υποδομή, μια έτοιμη λύση για συμμόρφωση με τον Ομοσπονδιακό Νόμο 152.
Πηγή: www.habr.com