Hace aproximadamente un año, el 3 de abril de 2018, el FSTEC de Rusia emitió la
orden No. 55 . Aprobó el Reglamento sobre el sistema de certificación de herramientas de seguridad de la información.
Esto determinó quién es miembro del sistema de certificación. También especificó la organización y el procedimiento para la certificación de los productos que se utilizan para proteger la información confidencial que representa los secretos de estado, cuyos medios de protección también deben certificarse a través de este sistema.
Entonces, ¿qué se relaciona exactamente el Reglamento con los productos que necesitan ser certificados?
- Medios para combatir la inteligencia técnica extranjera y medios para monitorear la efectividad de la protección técnica de la información.
- Herramientas de seguridad de TI, incluidas herramientas seguras de procesamiento de información.
La membresía del sistema de certificación incluyó:
- Organismos acreditados por la FSTEC.
- Laboratorios de pruebas acreditados por FSTEC.
- Fabricantes de herramientas de seguridad de la información.
Para obtener la certificación, debe seguir los siguientes pasos:
- Solicitar la certificación.
- Espere una decisión sobre la certificación.
- Pasar pruebas de certificación.
- Emitir una opinión experta y un borrador de certificado de conformidad basado en los resultados.
Además, se puede emitir o rechazar un certificado.
Además, en este o aquel caso se realiza:
- Proporcionar un certificado duplicado.
- Etiquetado de equipos de protección.
- Modificación de remedios ya certificados.
- Renovación de certificado.
- Suspender un certificado.
- La terminación de su acción.
Debe citarse la decimotercera cláusula del Reglamento:
"13. Las pruebas de certificación de las herramientas de seguridad de la información se llevan a cabo en el material y la base técnica del laboratorio de pruebas, así como en el material y las bases técnicas del solicitante y (o) del fabricante, ubicado en el territorio de la Federación de Rusia ".
No hace mucho tiempo, el 29 de marzo de 2019, el FSTEC publicó otra mejora, titulada "
Mensaje informativo del FSTEC de Rusia con fecha del 29 de marzo de 2019 N 240/24/1525 ".
El documento ha modernizado el sistema de certificación de herramientas de seguridad de la información. Por lo tanto, se aprueban los requisitos de seguridad de la información. Establecen niveles de confianza en los medios de protección técnica de la información y los medios para garantizar la seguridad de las tecnologías de la información. A su vez, determinan las condiciones para el desarrollo y la producción de herramientas de seguridad de la información, las pruebas de las herramientas de seguridad de la información, así como para garantizar la seguridad de las herramientas de seguridad de la información durante su uso. Hay seis niveles de confianza en total. El nivel más bajo es el sexto. Lo más alto es lo primero.
En primer lugar, los niveles de confianza están destinados a desarrolladores y fabricantes de equipos de protección, solicitantes de certificación, así como a laboratorios de prueba y organismos de certificación. El cumplimiento de los requisitos de nivel de confianza es obligatorio para la certificación de las herramientas de seguridad de la información.
Todo esto entrará en vigencia el 1 de junio de 2019. En relación con la aprobación de los requisitos para el nivel de confianza, el FSTEC ya no aceptará solicitudes de certificación de equipos de protección para cumplir con los requisitos del documento guía “Protección contra el acceso no autorizado. Parte 1. Software para la seguridad de la información. Clasificación por el nivel de control de la ausencia de oportunidades no declaradas ".
Las herramientas de protección de la información correspondientes al primer, segundo y tercer nivel de confianza se utilizan en los sistemas de información que procesan información que contiene información que constituye un secreto de estado.
El uso de equipos de protección del cuarto al sexto nivel de confianza para SIG e ISPD para las clases / niveles de seguridad correspondientes se detallan en la tabla:
Se debe prestar especial atención al hecho de que:
"La validez de los certificados de conformidad de los medios de protección de la información para los cuales la evaluación de conformidad especificada no se llevará a cabo hasta el 1 de enero de 2020 sobre la base del párrafo 83 del Reglamento sobre la certificación de los medios de seguridad de la información aprobados por orden del FSTEC de Rusia del 3 de abril de 2018 No. 55, puede suspenderse . "
Mientras los legisladores continúan trabajando para mejorar los requisitos de certificación, proporcionamos una
infraestructura en la nube que cumple con todos los requisitos de las leyes adoptadas. La solución proporciona una infraestructura ya preparada, una solución lista para cumplir con la ley federal 152.