Około rok temu, 3 kwietnia 2018 r., opublikowało FSTEC Rosji
To determinowało, kto jest uczestnikiem systemu certyfikacji. Wyjaśniono także organizację i procedurę certyfikacji produktów stosowanych do ochrony informacji poufnych stanowiących tajemnicę państwową, przy czym środki ochrony również muszą być certyfikowane w ramach określonego systemu.
Zatem co dokładnie rozporządzenie odnosi się do produktów wymagających certyfikacji?
• Środki zwalczania zagranicznej inteligencji technicznej i środki monitorowania skuteczności ochrony informacji technicznej.
• Narzędzia bezpieczeństwa IT, w tym narzędzia bezpiecznego przetwarzania informacji.
Uczestnikami systemu certyfikacji byli:
• Organy akredytowane przez FSTEC.
• Laboratoria badawcze akredytowane przez FSTEC.
• Producenci narzędzi zapewniających bezpieczeństwo informacji.
Aby uzyskać certyfikat, należy wykonać następujące kroki:
• Złóż wniosek o certyfikację.
• Poczekaj na decyzję w sprawie certyfikacji.
• Zdać testy certyfikacyjne.
• Na podstawie wyników sporządzić ekspertyzę i projekt świadectwa zgodności.
Certyfikat może następnie zostać wydany lub odrzucony.
Ponadto w takim czy innym przypadku wykonuje się następujące czynności:
• Dostarczenie duplikatu certyfikatu.
• Oznakowanie sprzętu ochronnego.
• Wprowadzanie zmian w już certyfikowanym sprzęcie ochronnym.
• Odnowienie certyfikatu.
• Zawieszenie certyfikatu.
• Zakończenie jego działania.
Należy przytoczyć paragraf 13 Regulaminu:
„13. Badania certyfikacyjne narzędzi bezpieczeństwa informacji przeprowadzane są na bazie materiałowo-technicznej laboratorium badawczego, a także na bazie materiałowo-technicznej wnioskodawcy i (lub) producenta zlokalizowanego na terytorium Federacji Rosyjskiej.”
Nie tak dawno temu, bo 29 marca 2019 roku, FSTEC opublikował kolejne ulepszenie, które nosiło tytuł „
Dokument unowocześnił system certyfikacji bezpieczeństwa informacji. Tym samym wymagania dotyczące bezpieczeństwa informacji zostały zatwierdzone. Ustalają poziom zaufania do technicznych środków ochrony informacji i środków bezpieczeństwa technologii informatycznych. One z kolei określają warunki rozwoju i produkcji narzędzi bezpieczeństwa informacji, testowania narzędzi bezpieczeństwa informacji, a także zapewnienia bezpieczeństwa narzędzi bezpieczeństwa informacji w trakcie ich użytkowania. W sumie istnieje sześć poziomów zaufania. Najniższy poziom to szósty. Najwyższy jest pierwszy.
Przede wszystkim poziomy zaufania przeznaczone są dla projektantów i producentów sprzętu ochronnego, osób ubiegających się o certyfikację, a także laboratoriów badawczych i jednostek certyfikujących. Zgodność z wymaganiami dotyczącymi poziomu zaufania jest obowiązkowa podczas certyfikacji narzędzi bezpieczeństwa informacji.
Wszystko to wejdzie w życie 1 czerwca 2019 r. W związku z zatwierdzeniem Wymagań dotyczących poziomu zaufania FSTEC nie będzie już przyjmować wniosków o certyfikację urządzeń bezpieczeństwa na zgodność z wymaganiami poradnika „Ochrona przed nieupoważnionym dostęp. Część 1. Oprogramowanie zabezpieczające informacje. Klasyfikacja według poziomu kontroli nad brakiem niezadeklarowanych zdolności.”
W systemach informatycznych, w których przetwarzane są informacje zawierające informacje stanowiące tajemnicę państwową, stosowane są środki bezpieczeństwa informacji odpowiadające I, II i III poziomowi zaufania.
Stosowanie zabezpieczeń od czwartego do szóstego poziomu zaufania dla GIS i ISPDn odpowiednich klas/poziomów bezpieczeństwa przedstawia tabela:
Szczególną uwagę należy zwrócić na następujące kwestie:
„Ważność certyfikatów zgodności środków bezpieczeństwa informacji, dla których określona ocena zgodności nie zostanie przeprowadzona przed 1 stycznia 2020 r. na podstawie klauzuli 83 Regulaminu certyfikacji środków bezpieczeństwa informacji, zatwierdzonego zarządzeniem FSTEC Rosji z dnia 3 kwietnia 2018 r. nr 55, może zostać zawieszona.”
Chociaż prawodawcy nadal pracują nad ulepszeniami wymagań certyfikacyjnych, zapewniamy
Źródło: www.habr.com