Близько року тому, 3 квітня 2018 року ФСТЕК Росії опублікував . Він затвердив Положення про систему сертифікації засобів захисту інформації.
Це визначило, хто учасник системи сертифікації. Також воно уточнило організацію та порядок сертифікації продукції, яка використовується для захисту конфіденційних відомостей, що становлять державну таємницю, засоби для захисту якої також необхідно сертифікувати через вказану систему.
Отже, що саме Положення належить до продукції, яку необхідно сертифікувати?
• Кошти для боротьби з іноземними технічними розвідками та засоби контролю ефективності технічного захисту інформації.
• Засоби безпеки IT, включаючи захищені засоби обробки інформації.
До складу учасників системи сертифікації увійшли:
• Органи, акредитовані ФСТЕК.
• Випробувальні лабораторії, що акредитовані ФСТЕК.
• Виробники засобів захисту інформації.
Щоб пройти сертифікацію, необхідно зробити такі кроки:
• Подати заявку на сертифікацію.
• Дочекатися рішення щодо проведення сертифікації.
• Пройти сертифікаційні випробування.
• Оформити експертний висновок та проект сертифікату відповідності за результатами.
Далі сертифікат можуть видати чи відмовити у видачі.
Крім цього, у тому чи іншому випадку проводиться:
• Надання дублікату сертифіката.
• Маркування засобів захисту.
• Внесення змін до вже сертифікованих засобів захисту.
• Продовження сертифіката.
• Припинення дії сертифіката.
• Припинення його дії.
13-й пункт Положення слід процитувати:
«13. Сертифікаційні випробування засобів захисту інформації проводяться на матеріально-технічній базі випробувальної лабораторії, а також на матеріально-технічних базах заявника та (або) виробника, розташованих на території Російської Федерації.
Нещодавно, 29-го березня 2019-го року, ФСТЕК опублікував ще одне покращення, яке озаглавив «».
Документ модернізував систему сертифікації засобів захисту. Таким чином, затверджено Вимоги щодо безпеки інформації. Вони встановлюють рівні довіри до засобів технічного захисту інформації та засобів забезпечення безпеки інформаційних технологій. Вони, у свою чергу, визначають умови для розробки та виробництва засобів захисту інформації, проведення випробувань засобів захисту інформації, а також для забезпечення безпеки засобів захисту інформації в ході їх застосування. Усього є шість рівнів довіри. Найнижчий рівень – шостий. Найвищий – перший.
Насамперед рівні довіри призначені для розробників та виробників засобів захисту, заявників на здійснення сертифікації, а також для випробувальних лабораторій та органів із сертифікації. Виконання вимог до рівня довіри обов'язково при сертифікації засобів захисту інформації.
Все це набуде чинності 1 червня 2019 р. У зв'язку із затвердженням Вимог до рівня довіри, ФСТЕК більше не прийматиме заявки на сертифікацію засобів захисту на відповідність вимогам керівного документа «Захист від несанкціонованого доступу. Частина 1. Програмне забезпечення засобів захисту. Класифікація за рівнем контролю за відсутністю недекларованих можливостей».
Засоби захисту інформації, що відповідають першому, другому та третьому рівням довіри, застосовуються в інформаційних системах, в яких опрацьовується інформація, що містить відомості, що становлять державну таємницю.
Застосування засобів захисту з четвертого по шостий рівень довіри для ГІС та ІСПД відповідних класів/рівень захищеності наведено в таблиці:
Слід звернути особливу увагу на те, що:
«Дію сертифікатів відповідності засобів захисту інформації, щодо яких зазначена оцінка відповідності не буде проведена до 1 січня 2020 р. на підставі пункту 83 Положення про сертифікацію засобів захисту інформації, затвердженого наказом ФСТЕК Росії від 3 квітня 2018 р. № 55, може бути призупинено .»
Поки законотворці продовжують роботу над покращеннями вимог до сертифікації, ми надаємо , що відповідає всім вимогам ухвалених законів. Рішення передбачає вже підготовлену інфраструктуру, готове рішення відповідності федеральному закону 152.
Джерело: habr.com