Mga isang taon na ang nakalipas, noong Abril 3, 2018, inilathala ng FSTEC ng Russia . Inaprubahan niya ang Regulasyon sa sistema ng sertipikasyon ng seguridad ng impormasyon.
Tinukoy nito kung sino ang kalahok sa sistema ng sertipikasyon. Nilinaw din nito ang organisasyon at pamamaraan para sa sertipikasyon ng mga produkto na ginagamit upang protektahan ang kumpidensyal na impormasyon na kumakatawan sa mga lihim ng estado, ang mga paraan para sa pagprotekta na kailangan ding sertipikado sa pamamagitan ng tinukoy na sistema.
Kaya, ano nga ba ang tinutukoy ng Regulasyon sa mga produktong kailangang ma-certify?
β’ Paraan para sa paglaban sa dayuhang teknikal na katalinuhan at paraan ng pagsubaybay sa pagiging epektibo ng proteksyon ng teknikal na impormasyon.
β’ Mga tool sa seguridad ng IT, kabilang ang mga secure na tool sa pagproseso ng impormasyon.
Kasama sa mga kalahok ng sistema ng sertipikasyon ang:
β’ Mga katawan na kinikilala ng FSTEC.
β’ Pagsubok sa mga laboratoryo na kinikilala ng FSTEC.
β’ Mga tagagawa ng mga tool sa seguridad ng impormasyon.
Upang makakuha ng sertipikasyon, dapat mong gawin ang mga sumusunod na hakbang:
β’ Mag-apply para sa sertipikasyon.
β’ Maghintay para sa desisyon sa sertipikasyon.
β’ Pumasa sa mga pagsusulit sa sertipikasyon.
β’ Bumuo ng opinyon ng eksperto at isang draft na sertipiko ng pagsunod batay sa mga resulta.
Ang sertipiko ay maaaring maibigay o tanggihan.
Bilang karagdagan, sa isang kaso o iba pa, ang mga sumusunod ay ginagawa:
β’ Pagbibigay ng duplicate ng sertipiko.
β’ Pagmarka ng mga kagamitang pang-proteksiyon.
β’ Paggawa ng mga pagbabago sa sertipikadong kagamitang pang-proteksyon.
β’ Pag-renew ng sertipiko.
β’ Pagsususpinde ng sertipiko.
β’ Pagwawakas ng pagkilos nito.
Ang ika-13 talata ng Mga Regulasyon ay dapat na sipiin:
"13. Ang mga pagsubok sa sertipikasyon ng mga tool sa seguridad ng impormasyon ay isinasagawa sa materyal at teknikal na base ng laboratoryo ng pagsubok, pati na rin sa materyal at teknikal na base ng aplikante at (o) tagagawa na matatagpuan sa teritoryo ng Russian Federation.
Hindi pa katagal, noong Marso 29, 2019, naglathala ang FSTEC ng isa pang pagpapabuti, na pinamagatang "'.
Ginawang moderno ng dokumento ang sistema ng sertipikasyon ng seguridad ng impormasyon. Kaya, ang Mga Kinakailangan sa Seguridad ng Impormasyon ay naaprubahan. Nagtatatag sila ng mga antas ng tiwala sa mga paraan ng proteksyon ng teknikal na impormasyon at mga paraan ng seguridad sa teknolohiya ng impormasyon. Tinutukoy nila ang mga kondisyon para sa pagbuo at paggawa ng mga tool sa seguridad ng impormasyon, pagsubok ng mga tool sa seguridad ng impormasyon, pati na rin para sa pagtiyak ng seguridad ng mga tool sa seguridad ng impormasyon sa panahon ng kanilang paggamit. Mayroong anim na antas ng pagtitiwala sa kabuuan. Ang pinakamababang antas ay pang-anim. Ang pinakamataas ay ang una.
Una sa lahat, ang mga antas ng kumpiyansa ay inilaan para sa mga developer at tagagawa ng mga kagamitan sa proteksyon, mga aplikante para sa sertipikasyon, pati na rin ang mga laboratoryo sa pagsubok at mga katawan ng sertipikasyon. Ang pagsunod sa Mga Kinakailangan sa Antas ng Tiwala ay sapilitan kapag nagpapatunay ng mga tool sa seguridad ng impormasyon.
Ang lahat ng ito ay magkakabisa sa Hunyo 1, 2019. Kaugnay ng pag-apruba ng Mga Kinakailangan para sa antas ng tiwala, ang FSTEC ay hindi na tatanggap ng mga aplikasyon para sa sertipikasyon ng mga kagamitang panseguridad para sa pagsunod sa mga kinakailangan ng dokumentong gabay na "Proteksyon laban sa hindi awtorisado access. Bahagi 1. Software ng seguridad ng impormasyon. Pag-uuri ayon sa antas ng kontrol sa kawalan ng hindi idineklara na mga kakayahan."
Ang mga hakbang sa seguridad ng impormasyon na naaayon sa una, pangalawa at pangatlong antas ng tiwala ay ginagamit sa mga sistema ng impormasyon kung saan pinoproseso ang impormasyong naglalaman ng impormasyong bumubuo ng mga lihim ng estado.
Ang paggamit ng mga hakbang sa seguridad mula ikaapat hanggang ikaanim na antas ng tiwala para sa GIS at ISPDn ng mga kaukulang klase/antas ng seguridad ay ipinapakita sa talahanayan:
Ang partikular na atensyon ay dapat bayaran sa mga sumusunod:
"Ang bisa ng mga sertipiko ng pagsang-ayon ng mga paraan ng seguridad ng impormasyon kung saan ang tinukoy na pagtatasa ng pagsunod ay hindi isasagawa bago ang Enero 1, 2020 sa batayan ng sugnay 83 ng Mga Regulasyon sa sertipikasyon ng mga paraan ng seguridad ng impormasyon, na inaprubahan ng utos ng FSTEC ng Russia na may petsang Abril 3, 2018 No. 55, ay maaaring masuspinde ."
Habang ang mga mambabatas ay patuloy na gumagawa ng mga pagpapabuti sa mga kinakailangan sa sertipikasyon, nagbibigay kami , nakakatugon sa lahat ng mga kinakailangan ng pinagtibay na batas. Ang solusyon ay nagbibigay ng nakahandang imprastraktura, isang handa na solusyon upang sumunod sa Pederal na Batas 152.
Pinagmulan: www.habr.com