Circa un anno fa, il 3 aprile 2018, è stato pubblicato l'FSTEC russo . Ha approvato il Regolamento sul sistema di certificazione della sicurezza delle informazioni.
Ciò determina chi partecipa al sistema di certificazione. Ha inoltre chiarito l'organizzazione e la procedura per la certificazione dei prodotti utilizzati per proteggere le informazioni riservate che rappresentano segreti di Stato, i mezzi per la protezione che devono essere certificati anche attraverso il sistema specificato.
Allora, cosa si riferisce esattamente il Regolamento ai prodotti che necessitano di essere certificati?
• Mezzi per combattere l'intelligence tecnica straniera e mezzi per monitorare l'efficacia della protezione delle informazioni tecniche.
• Strumenti di sicurezza IT, compresi strumenti di elaborazione sicura delle informazioni.
I partecipanti al sistema di certificazione includevano:
• Organismi accreditati da FSTEC.
• Laboratori di prova accreditati da FSTEC.
• Produttori di strumenti per la sicurezza delle informazioni.
Per ottenere la certificazione è necessario effettuare i seguenti passaggi:
• Richiedere la certificazione.
• Attendere la decisione sulla certificazione.
• Superare i test di certificazione.
• Redigere una perizia e una bozza di certificato di conformità sulla base dei risultati.
Il certificato potrà quindi essere rilasciato o rifiutato.
Inoltre, in un caso o nell'altro viene fatto quanto segue:
• Fornire un duplicato del certificato.
• Marcatura dei dispositivi di protezione.
• Apportare modifiche ai dispositivi di protezione già certificati.
• Rinnovo del certificato.
• Sospensione del certificato.
• Cessazione della sua azione.
Va citato il 13° comma del Regolamento:
"13. I test di certificazione degli strumenti di sicurezza delle informazioni vengono eseguiti sulla base materiale e tecnica del laboratorio di prova, nonché sulla base materiale e tecnica del richiedente e (o) produttore situato nel territorio della Federazione Russa."
Non molto tempo fa, il 29 marzo 2019, FSTEC ha pubblicato un altro miglioramento, intitolato “'.
Il documento ha modernizzato il sistema di certificazione della sicurezza delle informazioni. Pertanto, i requisiti di sicurezza delle informazioni sono stati approvati. Stabiliscono livelli di fiducia nei mezzi di protezione delle informazioni tecniche e nei mezzi di sicurezza della tecnologia dell'informazione. A loro volta, determinano le condizioni per lo sviluppo e la produzione di strumenti per la sicurezza delle informazioni, il test degli strumenti per la sicurezza delle informazioni, nonché per garantire la sicurezza degli strumenti per la sicurezza delle informazioni durante il loro utilizzo. Esistono sei livelli di fiducia in totale. Il livello più basso è il sesto. Il più alto è il primo.
Innanzitutto, i livelli di fiducia sono destinati agli sviluppatori e ai produttori di dispositivi di protezione, ai richiedenti la certificazione, nonché ai laboratori di prova e agli organismi di certificazione. Il rispetto dei requisiti del livello di fiducia è obbligatorio quando si certificano gli strumenti di sicurezza delle informazioni.
Tutto ciò entrerà in vigore il 1 giugno 2019. In connessione con l'approvazione dei Requisiti per il livello di fiducia, FSTEC non accetterà più richieste di certificazione delle apparecchiature di sicurezza per la conformità ai requisiti del documento guida “Protezione contro non autorizzati accesso. Parte 1. Software per la sicurezza delle informazioni. Classificazione in base al livello di controllo sull’assenza di capacità non dichiarate.”
Le misure di sicurezza delle informazioni corrispondenti al primo, secondo e terzo livello di fiducia vengono utilizzate nei sistemi informativi in cui vengono elaborate informazioni contenenti informazioni che costituiscono segreti di stato.
L'utilizzo delle misure di sicurezza dal quarto al sesto livello di fiducia per GIS e ISPD delle corrispondenti classi/livelli di sicurezza sono riportati nella tabella:
Particolare attenzione dovrebbe essere prestata a quanto segue:
"La validità dei certificati di conformità dei mezzi di sicurezza delle informazioni per i quali la valutazione di conformità specificata non sarà effettuata prima del 1 gennaio 2020 sulla base della clausola 83 del Regolamento sulla certificazione dei mezzi di sicurezza delle informazioni, approvato con ordine dell'FSTEC della Russia del 3 aprile 2018 n. 55, può essere sospeso."
Mentre i legislatori continuano a lavorare per migliorare i requisiti di certificazione, noi forniamo , soddisfacendo tutti i requisiti delle leggi adottate. La soluzione fornisce un'infrastruttura già predisposta, una soluzione già pronta per conformarsi alla legge federale 152.
Fonte: habr.com