Fyrir um ári síðan, 3. apríl 2018, birti FSTEC Rússlands . Hann samþykkti reglugerð um upplýsingaöryggisvottunarkerfi.
Þetta réði því hver er þátttakandi í vottunarkerfinu. Það skýrði einnig skipulag og málsmeðferð við vottun á vörum sem eru notaðar til að vernda trúnaðarupplýsingar sem tákna ríkisleyndarmál, aðferðirnar til að vernda sem einnig þarf að votta í gegnum tilgreint kerfi.
Svo, hvað nákvæmlega vísar reglugerðin til vara sem þarf að votta?
• Aðferðir til að berjast gegn erlendum tækninjósnum og aðferðir til að fylgjast með skilvirkni tæknilegra upplýsingaverndar.
• Upplýsingaöryggisverkfæri, þar á meðal örugg upplýsingavinnsluverkfæri.
Meðal þátttakenda í vottunarkerfinu voru:
• Aðilar viðurkenndir af FSTEC.
• Prófunarstofur sem eru viðurkenndar af FSTEC.
• Framleiðendur upplýsingaöryggistækja.
Til að fá vottun verður þú að taka eftirfarandi skref:
• Sæktu um vottun.
• Bíða eftir ákvörðun um vottun.
• Standast vottunarpróf.
• Gera sérfræðiálit og drög að samræmisvottorði út frá niðurstöðum.
Þá er hægt að gefa út vottorðið eða hafna því.
Að auki er eftirfarandi gert í einu eða öðru tilviki:
• Að leggja fram afrit af vottorðinu.
• Merking hlífðarbúnaðar.
• Gera breytingar á þegar vottuðum hlífðarbúnaði.
• Endurnýjun skírteina.
• Svipting skírteina.
• Uppsögn aðgerða þess.
Vitna skal í 13. mgr. reglugerðarinnar:
„13. Vottunarprófanir á upplýsingaöryggistækjum eru gerðar á efnis- og tæknigrunni prófunarstofunnar, sem og á efnis- og tæknigrunni umsækjanda og (eða) framleiðanda sem staðsettur er á yfirráðasvæði Rússlands.
Fyrir ekki svo löngu síðan, 29. mars 2019, birti FSTEC aðra endurbætur, sem bar yfirskriftina „'.
Í skjalinu var upplýsingaöryggisvottunarkerfið nútímalegt. Þannig hafa kröfur um upplýsingaöryggi verið samþykktar. Þeir koma á trausti á tæknilegum upplýsingaverndaraðferðum og upplýsingatækniöryggisaðferðum. Þeir ákvarða aftur á móti skilyrði fyrir þróun og framleiðslu upplýsingaöryggistækja, prófun upplýsingaöryggistækja, svo og til að tryggja öryggi upplýsingaöryggistækja við notkun þeirra. Alls eru sex stig trausts. Lægsta stigið er sjötta. Hæst er það fyrsta.
Í fyrsta lagi eru öryggisstig ætluð þróunaraðilum og framleiðendum hlífðarbúnaðar, umsækjendum um vottun, svo og prófunarstofum og vottunaraðilum. Það er skylt að uppfylla kröfur um trauststig þegar vottað er upplýsingaöryggisverkfæri.
Allt þetta tekur gildi 1. júní 2019. Í tengslum við samþykki Kröfu um traustsstig mun FSTEC ekki lengur taka við umsóknum um vottun öryggisbúnaðar til að uppfylla kröfur leiðbeiningarskjals „Vörn gegn óviðkomandi aðgangur. Hluti 1. Upplýsingaöryggishugbúnaður. Flokkun eftir því hversu mikið eftirlit er með því að ótilgreindir hæfileikar séu ekki til staðar.“
Upplýsingaöryggisráðstafanir sem samsvara fyrsta, öðru og þriðja stigi trausts eru notaðar í upplýsingakerfum þar sem unnið er með upplýsingar sem innihalda upplýsingar sem teljast til ríkisleyndarmála.
Notkun öryggisráðstafana frá fjórða til sjötta stigi trausts fyrir GIS og ISPDn í samsvarandi flokkum/öryggisstigum er sýnd í töflunni:
Sérstaklega skal huga að eftirfarandi:
„Gildisvottorð um samræmi upplýsingaöryggis sem tilgreint samræmismat verður ekki framkvæmt fyrir 1. janúar 2020 á grundvelli 83. greinar reglugerðar um vottun upplýsingaöryggisbúnaðar, samþykktar samkvæmt fyrirmælum FSTEC Rússlands frá 3. apríl 2018 nr. 55, má fresta ."
Þó að löggjafarmenn haldi áfram að vinna að endurbótum á vottunarkröfum, veitum við , sem uppfyllir allar kröfur samþykktra laga. Lausnin veitir þegar tilbúna innviði, tilbúna lausn til að uppfylla alríkislög 152.
Heimild: www.habr.com