Hace aproximadamente un año, el 3 de abril de 2018, la FSTEC de Rusia publicó . Aprobó el Reglamento del sistema de certificación de seguridad de la información.
Esto determinó quién es participante en el sistema de certificación. También aclaró la organización y el procedimiento para la certificación de productos que se utilizan para proteger información confidencial que representa secretos de estado, cuyos medios de protección también deben certificarse a través del sistema especificado.
Entonces, ¿a qué se refiere exactamente el Reglamento con respecto a los productos que deben certificarse?
• Medios para combatir la inteligencia técnica extranjera y medios para monitorear la efectividad de la protección de la información técnica.
• Herramientas de seguridad informática, incluidas herramientas de procesamiento seguro de la información.
Los participantes del sistema de certificación incluyeron:
• Organismos acreditados por FSTEC.
• Laboratorios de pruebas acreditados por FSTEC.
• Fabricantes de herramientas de seguridad de la información.
Para obtener la certificación, debe seguir los siguientes pasos:
• Solicitar la certificación.
• Esperar la decisión sobre la certificación.
• Pasar las pruebas de certificación.
• Elaborar un peritaje y un proyecto de certificado de conformidad en base a los resultados.
Entonces el certificado podrá ser expedido o rechazado.
Además, en un caso u otro se hace lo siguiente:
• Aportar duplicado del certificado.
• Marcado de equipos de protección.
• Realizar cambios en los equipos de protección ya certificados.
• Renovación del certificado.
• Suspensión del certificado.
• Terminación de su acción.
Cabe citar el párrafo 13 del Reglamento:
"13. Las pruebas de certificación de los instrumentos de seguridad de la información se llevan a cabo sobre la base material y técnica del laboratorio de pruebas, así como sobre la base material y técnica del solicitante y (o) fabricante ubicado en el territorio de la Federación de Rusia”.
No hace mucho, el 29 de marzo de 2019, FSTEC publicó otra mejora, que llevaba por título “".
El documento modernizó el sistema de certificación de seguridad de la información. Así, se han aprobado los Requisitos de Seguridad de la Información. Establecen niveles de confianza en los medios técnicos de protección de la información y en los medios de seguridad de las tecnologías de la información. Ellos, a su vez, determinan las condiciones para el desarrollo y producción de herramientas de seguridad de la información, las pruebas de las herramientas de seguridad de la información, así como para garantizar la seguridad de las herramientas de seguridad de la información durante su uso. Hay seis niveles de confianza en total. El nivel más bajo es el sexto. El más alto es el primero.
En primer lugar, los niveles de confianza están destinados a los desarrolladores y fabricantes de equipos de protección, a los solicitantes de certificación, así como a los laboratorios de pruebas y los organismos de certificación. El cumplimiento de los requisitos de nivel de confianza es obligatorio al certificar herramientas de seguridad de la información.
Todo esto entrará en vigor el 1 de junio de 2019. En relación con la aprobación de los Requisitos para el nivel de confianza, FSTEC ya no aceptará solicitudes de certificación de equipos de seguridad para el cumplimiento de los requisitos del documento de orientación "Protección contra personas no autorizadas". acceso. Parte 1. Software de seguridad de la información. Clasificación según el nivel de control sobre la ausencia de capacidades no declaradas.”
Las medidas de seguridad de la información correspondientes al primer, segundo y tercer nivel de confianza se utilizan en los sistemas de información en los que se procesa información que contiene información que constituye secretos de estado.
El uso de medidas de seguridad del cuarto al sexto nivel de confianza para GIS e ISPD de las clases/niveles de seguridad correspondientes se muestra en la tabla:
Se debe prestar especial atención a lo siguiente:
“La validez de los certificados de conformidad de los medios de seguridad de la información para los cuales no se realizará la evaluación de conformidad especificada antes del 1 de enero de 2020 sobre la base de la cláusula 83 del Reglamento sobre la certificación de medios de seguridad de la información, aprobado por orden de la FSTEC de Rusia de fecha 3 de abril de 2018 No. 55, podrá ser suspendido."
Mientras los legisladores continúan trabajando para mejorar los requisitos de certificación, brindamos , cumpliendo con todos los requisitos de las leyes adoptadas. La solución proporciona una infraestructura ya preparada, una solución lista para cumplir con la Ley Federal 152.
Fuente: habr.com