ประมาณหนึ่งปีที่แล้ว เมื่อวันที่ 3 เมษายน 2018 FSTEC ของรัสเซียเผยแพร่
สิ่งนี้จะกำหนดว่าใครคือผู้เข้าร่วมในระบบการรับรอง พร้อมทั้งชี้แจงองค์กรและขั้นตอนการรับรองผลิตภัณฑ์ที่ใช้คุ้มครองข้อมูลที่เป็นความลับที่เป็นความลับของรัฐ วิธีการป้องกัน ซึ่งต้องได้รับการรับรองผ่านระบบที่กำหนดด้วย
แล้วกฎระเบียบนี้หมายถึงอะไรกันแน่ถึงผลิตภัณฑ์ที่ต้องได้รับการรับรอง?
• วิธีการต่อสู้กับข่าวกรองทางเทคนิคต่างประเทศและวิธีการตรวจสอบประสิทธิผลของการปกป้องข้อมูลทางเทคนิค
• เครื่องมือรักษาความปลอดภัยด้านไอที รวมถึงเครื่องมือประมวลผลข้อมูลที่ปลอดภัย
ผู้เข้าร่วมระบบการรับรองประกอบด้วย:
• หน่วยงานที่ได้รับการรับรองจาก FSTEC
• ห้องปฏิบัติการทดสอบที่ได้รับการรับรองจาก FSTEC
• ผู้ผลิตเครื่องมือรักษาความปลอดภัยข้อมูล
หากต้องการขอรับการรับรอง คุณต้องทำตามขั้นตอนต่อไปนี้:
• ยื่นขอการรับรอง
• รอผลการพิจารณารับรอง
• ผ่านการทดสอบการรับรอง
• เตรียมความเห็นของผู้เชี่ยวชาญและร่างใบรับรองความสอดคล้องตามผลลัพธ์
ใบรับรองอาจถูกออกหรือปฏิเสธ
นอกจากนี้ ในกรณีใดกรณีหนึ่ง ให้ทำดังต่อไปนี้:
• จัดให้มีสำเนาใบรับรอง
• การทำเครื่องหมายอุปกรณ์ป้องกัน
• การเปลี่ยนแปลงอุปกรณ์ป้องกันที่ได้รับการรับรองแล้ว
• การต่ออายุใบรับรอง
• การพักใช้ใบรับรอง
• การยุติการกระทำของตน
วรรค 13 ของข้อบังคับควรอ้างถึง:
"13. การทดสอบการรับรองเครื่องมือรักษาความปลอดภัยข้อมูลจะดำเนินการบนวัสดุและฐานทางเทคนิคของห้องปฏิบัติการทดสอบตลอดจนวัสดุและฐานทางเทคนิคของผู้สมัครและ (หรือ) ผู้ผลิตที่ตั้งอยู่ในอาณาเขตของสหพันธรัฐรัสเซีย”
ไม่นานมานี้ เมื่อวันที่ 29 มีนาคม 2019 FSTEC ได้เผยแพร่การปรับปรุงใหม่อีกครั้งหนึ่งซึ่งมีชื่อว่า “
เอกสารดังกล่าวได้ปรับปรุงระบบการรับรองความปลอดภัยของข้อมูลให้ทันสมัย ดังนั้นข้อกำหนดด้านความปลอดภัยของข้อมูลจึงได้รับการอนุมัติแล้ว พวกเขาสร้างระดับความไว้วางใจในวิธีการปกป้องข้อมูลทางเทคนิคและวิธีการรักษาความปลอดภัยของเทคโนโลยีสารสนเทศ ในทางกลับกัน พวกเขาจะกำหนดเงื่อนไขสำหรับการพัฒนาและการผลิตเครื่องมือรักษาความปลอดภัยข้อมูล การทดสอบเครื่องมือรักษาความปลอดภัยข้อมูล ตลอดจนการรับรองความปลอดภัยของเครื่องมือรักษาความปลอดภัยข้อมูลระหว่างการใช้งาน ระดับความไว้วางใจมีทั้งหมด 6 ระดับ ระดับต่ำสุดคืออันดับที่หก สูงสุดคืออันดับแรก
ประการแรก ระดับความเชื่อมั่นมีไว้สำหรับผู้พัฒนาและผู้ผลิตอุปกรณ์ป้องกัน ผู้ขอรับการรับรอง ตลอดจนห้องปฏิบัติการทดสอบและหน่วยรับรอง การปฏิบัติตามข้อกำหนดระดับความน่าเชื่อถือเป็นสิ่งจำเป็นเมื่อรับรองเครื่องมือรักษาความปลอดภัยข้อมูล
ทั้งหมดนี้จะเริ่มมีผลใช้บังคับในวันที่ 1 มิถุนายน 2019 ในการเชื่อมต่อกับการอนุมัติข้อกำหนดสำหรับระดับความน่าเชื่อถือ FSTEC จะไม่ยอมรับการสมัครขอการรับรองอุปกรณ์รักษาความปลอดภัยอีกต่อไปเพื่อให้เป็นไปตามข้อกำหนดของเอกสารคำแนะนำ “การป้องกันจากไม่ได้รับอนุญาตอีกต่อไป เข้าถึง. ส่วนที่ 1 ซอฟต์แวร์รักษาความปลอดภัยข้อมูล การจำแนกประเภทตามระดับการควบคุมการขาดความสามารถที่ไม่ได้ประกาศ”
มาตรการรักษาความปลอดภัยข้อมูลที่สอดคล้องกับระดับความไว้วางใจระดับที่หนึ่ง สองและสามจะถูกใช้ในระบบสารสนเทศซึ่งมีการประมวลผลข้อมูลที่มีข้อมูลที่ประกอบขึ้นเป็นความลับของรัฐ
การใช้มาตรการรักษาความปลอดภัยตั้งแต่ระดับที่สี่ถึงระดับที่หกของความน่าเชื่อถือสำหรับ GIS และ ISPDn ของคลาส/ระดับความปลอดภัยที่เกี่ยวข้องจะแสดงในตาราง:
ควรให้ความสนใจเป็นพิเศษกับสิ่งต่อไปนี้:
“ ความถูกต้องของใบรับรองความสอดคล้องของความปลอดภัยของข้อมูลซึ่งการประเมินความสอดคล้องที่ระบุจะไม่ดำเนินการก่อนวันที่ 1 มกราคม 2020 บนพื้นฐานของข้อ 83 ของข้อบังคับว่าด้วยการรับรองวิธีการรักษาความปลอดภัยข้อมูลที่ได้รับอนุมัติตามคำสั่งของ FSTEC ของรัสเซีย ลงวันที่ 3 เมษายน 2018 ฉบับที่ 55 อาจถูกระงับ”
ในขณะที่ผู้ร่างกฎหมายยังคงดำเนินการปรับปรุงข้อกำหนดการรับรองต่อไป เราก็จัดเตรียมไว้ให้
ที่มา: will.com