Maždaug prieš metus, 3 m. balandžio 2018 d., Rusijos FSTEC paskelbė . Jis patvirtino Informacijos saugumo sertifikavimo sistemos nuostatus.
Taip buvo nustatyta, kas yra sertifikavimo sistemos dalyvis. Taip pat patikslinta gaminių, naudojamų konfidencialia valstybės paslapčių informacijai apsaugoti, sertifikavimo organizacija ir tvarka, kurios apsaugos priemones taip pat reikia sertifikuoti per nurodytą sistemą.
Taigi, kas tiksliai reglamente nurodo gaminius, kuriuos reikia sertifikuoti?
• Priemonės kovai su užsienio technine žvalgyba ir techninės informacijos apsaugos efektyvumo stebėjimo priemonės.
• IT saugos įrankiai, įskaitant saugius informacijos apdorojimo įrankius.
Sertifikavimo sistemoje dalyvavo:
• FSTEC akredituotos įstaigos.
• FSTEC akredituotos bandymų laboratorijos.
• Informacijos saugumo priemonių gamintojai.
Norėdami gauti sertifikatą, turite atlikti šiuos veiksmus:
• Kreipkitės dėl sertifikavimo.
• Palaukite sprendimo dėl sertifikavimo.
• Išlaikyti sertifikavimo testus.
• Remdamiesi rezultatais, parengti eksperto išvadą ir atitikties sertifikato projektą.
Tada pažymėjimas gali būti išduotas arba atsisakoma išduoti.
Be to, vienu ar kitu atveju daroma taip:
• Pažymėjimo dublikato pateikimas.
• Apsaugos priemonių žymėjimas.
• Jau sertifikuotų apsaugos priemonių keitimas.
• Sertifikato atnaujinimas.
• Sertifikato sustabdymas.
• jos veiksmo nutraukimas.
Reikėtų cituoti Taisyklių 13 pastraipą:
„13. Informacijos saugos priemonių sertifikavimo testai atliekami bandymų laboratorijos materialinėje ir techninėje bazėje, taip pat pareiškėjo ir (ar) gamintojo, esančio Rusijos Federacijos teritorijoje, materialinėje ir techninėje bazėje.
Ne taip seniai, 29 m. kovo 2019 d., FSTEC paskelbė dar vieną patobulinimą, pavadintą „".
Dokumentu atnaujinta informacijos saugumo sertifikavimo sistema. Taigi patvirtinti Informacijos saugumo reikalavimai. Jie nustato pasitikėjimo techninėmis informacijos apsaugos priemonėmis ir informacinių technologijų saugumo priemonėmis lygius. Jos savo ruožtu nustato sąlygas informacijos saugos priemonių kūrimui ir gamybai, informacijos saugos priemonių testavimui, taip pat informacijos saugumo priemonių saugumo užtikrinimui jas naudojant. Iš viso yra šeši pasitikėjimo lygiai. Žemiausias lygis yra šeštas. Aukščiausias yra pirmasis.
Visų pirma, pasitikėjimo lygiai yra skirti apsaugos priemonių kūrėjams ir gamintojams, pretendentams sertifikuoti, taip pat bandymų laboratorijoms ir sertifikavimo įstaigoms. Atitiktis pasitikėjimo lygio reikalavimams yra privaloma sertifikuojant informacijos saugos įrankius.
Visa tai įsigalios 1 m. birželio 2019 d. Dėl Pasitikėjimo lygio reikalavimų patvirtinimo FSTEC nebepriims prašymų sertifikuoti apsaugos įrangą, kad ji atitiktų rekomendacinio dokumento „Apsauga nuo neteisėtų veiksmų“. prieiga. 1 dalis. Informacijos saugos programinė įranga. Klasifikavimas pagal nedeklaruotų pajėgumų nebuvimo kontrolės lygį.
Informacijos saugumo priemonės, atitinkančios pirmąjį, antrąjį ir trečiąjį pasitikėjimo lygius, naudojamos informacinėse sistemose, kuriose tvarkoma informacija, turinti valstybės paslaptį sudarančios informacijos.
Saugos priemonių naudojimas nuo ketvirto iki šeštojo patikimumo lygio atitinkamų klasių/saugos lygių GIS ir ISPDn parodytas lentelėje:
Ypatingas dėmesys turėtų būti skiriamas šiems dalykams:
„Informacijos saugos priemonių atitikties sertifikatų, kuriems iki 1 m. sausio 2020 d. nebus atliktas nurodytas atitikties vertinimas, galiojimas Informacijos saugos priemonių sertifikavimo nuostatų, patvirtintų FSTEC įsakymu, 83 punktu. Rusijos Federacijos 3 m. balandžio 2018 d. Nr. 55, gali būti sustabdytas.
Kol įstatymų leidėjai ir toliau tobulina sertifikavimo reikalavimus, mes teikiame , atitinkantis visus priimtų įstatymų reikalavimus. Sprendimas suteikia jau paruoštą infrastruktūrą, paruoštą sprendimą, kad būtų laikomasi federalinio įstatymo 152.
Šaltinis: www.habr.com