Około rok temu, 3 kwietnia 2018 r., opublikowało FSTEC Rosji . Zatwierdził Regulamin systemu certyfikacji bezpieczeństwa informacji.
To determinowało, kto jest uczestnikiem systemu certyfikacji. Wyjaśniono także organizację i procedurę certyfikacji produktów stosowanych do ochrony informacji poufnych stanowiących tajemnicę państwową, przy czym środki ochrony również muszą być certyfikowane w ramach określonego systemu.
Zatem co dokładnie rozporządzenie odnosi się do produktów wymagających certyfikacji?
• Środki zwalczania zagranicznej inteligencji technicznej i środki monitorowania skuteczności ochrony informacji technicznej.
• Narzędzia bezpieczeństwa IT, w tym narzędzia bezpiecznego przetwarzania informacji.
Uczestnikami systemu certyfikacji byli:
• Organy akredytowane przez FSTEC.
• Laboratoria badawcze akredytowane przez FSTEC.
• Producenci narzędzi zapewniających bezpieczeństwo informacji.
Aby uzyskać certyfikat, należy wykonać następujące kroki:
• Złóż wniosek o certyfikację.
• Poczekaj na decyzję w sprawie certyfikacji.
• Zdać testy certyfikacyjne.
• Na podstawie wyników sporządzić ekspertyzę i projekt świadectwa zgodności.
Certyfikat może następnie zostać wydany lub odrzucony.
Ponadto w takim czy innym przypadku wykonuje się następujące czynności:
• Dostarczenie duplikatu certyfikatu.
• Oznakowanie sprzętu ochronnego.
• Wprowadzanie zmian w już certyfikowanym sprzęcie ochronnym.
• Odnowienie certyfikatu.
• Zawieszenie certyfikatu.
• Zakończenie jego działania.
Należy przytoczyć paragraf 13 Regulaminu:
„13. Badania certyfikacyjne narzędzi bezpieczeństwa informacji przeprowadzane są na bazie materiałowo-technicznej laboratorium badawczego, a także na bazie materiałowo-technicznej wnioskodawcy i (lub) producenta zlokalizowanego na terytorium Federacji Rosyjskiej.”
Nie tak dawno temu, bo 29 marca 2019 roku, FSTEC opublikował kolejne ulepszenie, które nosiło tytuł „".
Dokument unowocześnił system certyfikacji bezpieczeństwa informacji. Tym samym wymagania dotyczące bezpieczeństwa informacji zostały zatwierdzone. Ustalają poziom zaufania do technicznych środków ochrony informacji i środków bezpieczeństwa technologii informatycznych. One z kolei określają warunki rozwoju i produkcji narzędzi bezpieczeństwa informacji, testowania narzędzi bezpieczeństwa informacji, a także zapewnienia bezpieczeństwa narzędzi bezpieczeństwa informacji w trakcie ich użytkowania. W sumie istnieje sześć poziomów zaufania. Najniższy poziom to szósty. Najwyższy jest pierwszy.
Przede wszystkim poziomy zaufania przeznaczone są dla projektantów i producentów sprzętu ochronnego, osób ubiegających się o certyfikację, a także laboratoriów badawczych i jednostek certyfikujących. Zgodność z wymaganiami dotyczącymi poziomu zaufania jest obowiązkowa podczas certyfikacji narzędzi bezpieczeństwa informacji.
Wszystko to wejdzie w życie 1 czerwca 2019 r. W związku z zatwierdzeniem Wymagań dotyczących poziomu zaufania FSTEC nie będzie już przyjmować wniosków o certyfikację urządzeń bezpieczeństwa na zgodność z wymaganiami poradnika „Ochrona przed nieupoważnionym dostęp. Część 1. Oprogramowanie zabezpieczające informacje. Klasyfikacja według poziomu kontroli nad brakiem niezadeklarowanych zdolności.”
W systemach informatycznych, w których przetwarzane są informacje zawierające informacje stanowiące tajemnicę państwową, stosowane są środki bezpieczeństwa informacji odpowiadające I, II i III poziomowi zaufania.
Stosowanie zabezpieczeń od czwartego do szóstego poziomu zaufania dla GIS i ISPDn odpowiednich klas/poziomów bezpieczeństwa przedstawia tabela:
Szczególną uwagę należy zwrócić na następujące kwestie:
„Ważność certyfikatów zgodności środków bezpieczeństwa informacji, dla których określona ocena zgodności nie zostanie przeprowadzona przed 1 stycznia 2020 r. na podstawie klauzuli 83 Regulaminu certyfikacji środków bezpieczeństwa informacji, zatwierdzonego zarządzeniem FSTEC Rosji z dnia 3 kwietnia 2018 r. nr 55, może zostać zawieszona.”
Chociaż prawodawcy nadal pracują nad ulepszeniami wymagań certyfikacyjnych, zapewniamy , spełniając wszystkie wymogi uchwalonego prawa. Rozwiązanie zapewnia już przygotowaną infrastrukturę, gotowe rozwiązanie zgodne z ustawą federalną 152.
Źródło: www.habr.com