Pred približno letom dni, 3. aprila 2018, je FSTEC Rusije objavil . Potrdil je Pravilnik o sistemu certificiranja informacijske varnosti.
S tem je bilo določeno, kdo je udeleženec v sistemu certificiranja. Pojasnila je tudi organizacijo in postopek certificiranja izdelkov, ki se uporabljajo za varovanje zaupnih podatkov, ki predstavljajo državno skrivnost, katerih sredstva za varovanje je prav tako treba certificirati po navedenem sistemu.
Kaj točno se torej uredba nanaša na izdelke, ki jih je treba certificirati?
• Sredstva za boj proti tujim tehničnim obveščevalnim podatkom in sredstva za spremljanje učinkovitosti tehničnega varovanja informacij.
• Varnostna orodja IT, vključno z orodji za varno obdelavo informacij.
Udeleženci sistema certificiranja so bili:
• Organi, akreditirani s strani FSTEC.
• Testni laboratoriji, ki jih je akreditiral FSTEC.
• Proizvajalci orodij za informacijsko varnost.
Če želite pridobiti certifikat, morate narediti naslednje korake:
• Prijavite se za certificiranje.
• Počakajte na odločbo o certificiranju.
• Opravite certifikacijske teste.
• Na podlagi rezultatov izdelati strokovno mnenje in osnutek potrdila o skladnosti.
Potrdilo se lahko nato izda ali zavrne.
Poleg tega se v enem ali drugem primeru naredi naslednje:
• Izdelava dvojnika potrdila.
• Označevanje zaščitne opreme.
• Spremembe že certificirane zaščitne opreme.
• Podaljšanje certifikata.
• Začasni odvzem potrdila.
• Prenehanje njegovega delovanja.
Citiramo 13. odstavek pravilnika:
"13. Certifikacijski preskusi orodij za informacijsko varnost se izvajajo na materialno-tehnični bazi preskusnega laboratorija, pa tudi na materialno-tehnični bazi vlagatelja in (ali) proizvajalca, ki se nahaja na ozemlju Ruske federacije.
Ne tako dolgo nazaj, 29. marca 2019, je FSTEC objavil še eno izboljšavo, ki je nosila naslov »".
Dokument je posodobil sistem certificiranja informacijske varnosti. Tako so bile zahteve glede informacijske varnosti odobrene. Vzpostavljajo stopnje zaupanja v sredstva tehničnega varovanja informacij in varnostna sredstva informacijske tehnologije. Ti pa določajo pogoje za razvoj in proizvodnjo informacijskovarnostnih orodij, testiranje informacijskovarnostnih orodij ter za zagotavljanje varnosti informacijskovarnostnih orodij med njihovo uporabo. Skupaj je šest stopenj zaupanja. Najnižja stopnja je šesta. Najvišji je prvi.
Stopnje zaupanja so v prvi vrsti namenjene razvijalcem in proizvajalcem zaščitne opreme, prosilcem za certificiranje ter preskuševalnim laboratorijem in certifikacijskim organom. Skladnost z zahtevami glede ravni zaupanja je obvezna pri certificiranju orodij za varnost informacij.
Vse to bo začelo veljati 1. junija 2019. V zvezi z odobritvijo Zahtev za stopnjo zaupanja FSTEC ne bo več sprejemal vlog za certificiranje varnostne opreme glede skladnosti z zahtevami smernic »Zaščita pred nepooblaščenimi dostop. Del 1. Programska oprema za informacijsko varnost. Razvrstitev glede na stopnjo nadzora nad odsotnostjo neprijavljenih zmogljivosti.”
Ukrepi informacijske varnosti, ki ustrezajo prvi, drugi in tretji stopnji zaupanja, se uporabljajo v informacijskih sistemih, v katerih se obdelujejo informacije, ki vsebujejo podatke, ki so državna skrivnost.
Uporaba varnostnih ukrepov od četrte do šeste stopnje zaupanja za GIS in ISPD pripadajočih razredov/varnostnih stopenj je prikazana v tabeli:
Posebno pozornost je treba nameniti naslednjemu:
„Veljavnost potrdil o skladnosti sredstev za varovanje informacij, za katere navedena ocena skladnosti ne bo izvedena pred 1. januarjem 2020 na podlagi člena 83 Pravilnika o certificiranju sredstev za varovanje informacij, odobrenega z odredbo FSTEC Rusije z dne 3. aprila 2018 št. 55, se lahko začasno prekine."
Medtem ko zakonodajalci še naprej delajo na izboljšavah certifikacijskih zahtev, mi zagotavljamo , ki izpolnjuje vse zahteve sprejetih zakonov. Rešitev zagotavlja že pripravljeno infrastrukturo, pripravljeno rešitev za skladnost z zveznim zakonom 152.
Vir: www.habr.com