Il y a environ un an, le 3 avril 2018, le FSTEC de Russie a publié . Il a approuvé le Règlement sur le système de certification de la sécurité de l'information.
Cela a déterminé qui participe au système de certification. Il a également clarifié l'organisation et la procédure de certification des produits utilisés pour protéger les informations confidentielles représentant des secrets d'État, dont les moyens de protection doivent également être certifiés par le système spécifié.
Alors, que fait exactement le règlement sur les produits qui doivent être certifiés ?
• Moyens de lutte contre le renseignement technique étranger et moyens de contrôle de l'efficacité de la protection des informations techniques.
• Des outils de sécurité informatique, notamment des outils de traitement sécurisé de l'information.
Les participants au système de certification comprenaient :
• Organismes accrédités par FSTEC.
• Laboratoires d'essais accrédités par FSTEC.
• Fabricants d'outils de sécurité de l'information.
Pour obtenir la certification, vous devez suivre les étapes suivantes :
• Faites une demande de certification.
• Attendez la décision sur la certification.
• Réussir les tests de certification.
• Rédiger une expertise et un projet de certificat de conformité sur la base des résultats.
Le certificat peut alors être délivré ou refusé.
De plus, dans un cas ou un autre, on procède comme suit :
• Fournir un duplicata du certificat.
• Marquage des équipements de protection.
• Apporter des modifications aux équipements de protection déjà certifiés.
• Renouvellement du certificat.
• Suspension du certificat.
• Cessation de son action.
Le 13ème alinéa du Règlement doit être cité :
"13. Les tests de certification des outils de sécurité de l'information sont effectués sur la base matérielle et technique du laboratoire d'essais, ainsi que sur la base matérielle et technique du demandeur et (ou) du fabricant situé sur le territoire de la Fédération de Russie.
Il n'y a pas si longtemps, le 29 mars 2019, le FSTEC a publié une autre amélioration intitulée «».
Le document a modernisé le système de certification de la sécurité de l'information. Ainsi, les exigences en matière de sécurité de l'information ont été approuvées. Ils établissent des niveaux de confiance dans les moyens techniques de protection de l’information et dans les moyens de sécurité informatique. Ils déterminent à leur tour les conditions de développement et de production des outils de sécurité de l'information, de test des outils de sécurité de l'information, ainsi que d'assurer la sécurité des outils de sécurité de l'information lors de leur utilisation. Il existe six niveaux de confiance au total. Le niveau le plus bas est le sixième. Le plus haut est le premier.
Tout d'abord, les niveaux de confiance sont destinés aux développeurs et fabricants d'équipements de protection, aux candidats à la certification, ainsi qu'aux laboratoires d'essais et aux organismes de certification. Le respect des exigences de niveau de confiance est obligatoire lors de la certification des outils de sécurité des informations.
Tout cela entrera en vigueur le 1er juin 2019. Dans le cadre de l'approbation des exigences relatives au niveau de confiance, le FSTEC n'acceptera plus les demandes de certification des équipements de sécurité pour le respect des exigences du document d'orientation « Protection contre les accéder. Partie 1. Logiciel de sécurité de l'information. Classification selon le niveau de contrôle sur l’absence de capacités non déclarées.
Des mesures de sécurité de l'information correspondant aux premier, deuxième et troisième niveaux de confiance sont utilisées dans les systèmes d'information dans lesquels sont traitées des informations contenant des informations constituant des secrets d'État.
L'utilisation des mesures de sécurité du quatrième au sixième niveau de confiance pour le SIG et l'ISPDn des classes/niveaux de sécurité correspondants est indiquée dans le tableau :
Une attention particulière doit être portée aux éléments suivants :
« La validité des certificats de conformité des moyens de sécurité de l'information pour lesquels l'évaluation de conformité spécifiée ne sera pas effectuée avant le 1er janvier 2020 sur la base de l'article 83 du Règlement sur la certification des moyens de sécurité de l'information, approuvé par arrêté du FSTEC de Russie du 3 avril 2018 n° 55, peut être suspendu."
Tandis que les législateurs continuent de travailler à l'amélioration des exigences de certification, nous proposons , répondant à toutes les exigences des lois adoptées. La solution fournit une infrastructure déjà préparée, une solution prête à l'emploi pour se conformer à la loi fédérale 152.
Source: habr.com