For omtrent et år siden, 3. april 2018, publiserte FSTEC i Russland . Han godkjente Forskrift om sertifiseringssystemet for informasjonssikkerhet.
Dette avgjorde hvem som er deltaker i sertifiseringssystemet. Den klargjorde også organisasjonen og prosedyren for sertifisering av produkter som brukes til å beskytte konfidensiell informasjon som representerer statshemmeligheter, midler for å beskytte som også må sertifiseres gjennom det spesifiserte systemet.
Så, hva refererer forordningen til produkter som må sertifiseres?
• Midler for å bekjempe utenlandsk teknisk etterretning og midler for å overvåke effektiviteten av teknisk informasjonsbeskyttelse.
• IT-sikkerhetsverktøy, inkludert sikre informasjonsbehandlingsverktøy.
Deltakerne i sertifiseringssystemet inkluderte:
• Organer akkreditert av FSTEC.
• Testlaboratorier som er akkreditert av FSTEC.
• Produsenter av informasjonssikkerhetsverktøy.
For å få sertifisering må du gjøre følgende:
• Søk om sertifisering.
• Vent på vedtak om sertifisering.
• Bestå sertifiseringstester.
• Utarbeide en ekspertuttalelse og et utkast til samsvarsattest basert på resultatene.
Sertifikatet kan da utstedes eller avslås.
I tillegg gjøres følgende i ett eller annet tilfelle:
• Gi et duplikat av sertifikatet.
• Merking av verneutstyr.
• Foreta endringer i allerede sertifisert verneutstyr.
• Sertifikatfornyelse.
• Suspensjon av sertifikat.
• Oppsigelse av handlingen.
Forskriftens 13. ledd skal siteres:
"13. XNUMX. Sertifiseringstester av informasjonssikkerhetsverktøy utføres på den materielle og tekniske basen til testlaboratoriet, så vel som på den materielle og tekniske basen til søkeren og (eller) produsenten lokalisert på territoriet til den russiske føderasjonen."
For ikke så lenge siden, 29. mars 2019, publiserte FSTEC en annen forbedring, som hadde tittelen "'.
Dokumentet moderniserte sertifiseringssystemet for informasjonssikkerhet. Dermed er informasjonssikkerhetskravene godkjent. De etablerer nivåer av tillit til tekniske informasjonsbeskyttelsesmidler og informasjonsteknologisikkerhetsmidler. De bestemmer på sin side betingelsene for utvikling og produksjon av informasjonssikkerhetsverktøy, testing av informasjonssikkerhetsverktøy, samt for å sikre sikkerheten til informasjonssikkerhetsverktøy under bruk. Det er totalt seks nivåer av tillit. Det laveste nivået er sjette. Den høyeste er den første.
Først av alt er konfidensnivåer ment for utviklere og produsenter av verneutstyr, søkere om sertifisering, samt testlaboratorier og sertifiseringsorganer. Overholdelse av Trust Level Requirements er obligatorisk ved sertifisering av informasjonssikkerhetsverktøy.
Alt dette trer i kraft 1. juni 2019. I forbindelse med godkjenning av Kravene til tillitsnivå vil FSTEC ikke lenger akseptere søknader om sertifisering av sikkerhetsutstyr for samsvar med kravene i veiledningsdokumentet «Beskyttelse mot uautoriserte adgang. Del 1. Informasjonssikkerhetsprogramvare. Klassifisering i henhold til nivået av kontroll over fraværet av uerklærte evner."
Informasjonssikkerhetstiltak tilsvarende første, andre og tredje nivå av tillit benyttes i informasjonssystemer hvor informasjon som inneholder informasjon som utgjør statshemmeligheter, behandles.
Bruken av sikkerhetstiltak fra fjerde til sjette nivå av tillit for GIS og ISPDn av de tilsvarende klassene/sikkerhetsnivåene er vist i tabellen:
Spesiell oppmerksomhet bør rettes mot følgende:
"Gyldigheten av samsvarssertifikater for informasjonssikkerhet betyr at den spesifiserte samsvarsvurderingen ikke vil bli utført før 1. januar 2020 på grunnlag av paragraf 83 i forskriften om sertifisering av informasjonssikkerhetsmidler, godkjent etter ordre fra FSTEC av Russland datert 3. april 2018 nr. 55, kan bli suspendert."
Mens lovgivere fortsetter å jobbe med forbedringer av sertifiseringskravene, leverer vi , oppfyller alle kravene i vedtatte lover. Løsningen gir en allerede forberedt infrastruktur, en ferdiglaget løsning for å overholde føderal lov 152.
Kilde: www.habr.com