Il y a environ un an, le 3 avril 2018, le FSTEC de Russie a rendu l'
ordonnance n ° 55 . Il a approuvé le règlement sur le système de certification des outils de sécurité de l'information.
Cela a déterminé qui est membre du système de certification. Il a également précisé l'organisation et la procédure de certification des produits utilisés pour protéger les informations confidentielles représentant des secrets d'État, dont les moyens de protection doivent également être certifiés par le biais de ce système.
Alors, en quoi le règlement se rapporte-t-il exactement aux produits qui doivent être certifiés?
- Moyens de lutte contre le renseignement technique étranger et moyens de contrôle de l'efficacité de la protection technique des informations.
- Outils de sécurité informatique, y compris des outils de traitement sécurisé des informations
Les membres du système de certification comprenaient:
- Organismes accrédités FSTEC.
- Laboratoires d'essais accrédités par le FSTEC.
- Fabricants d'outils de sécurité de l'information.
Pour être certifié, vous devez suivre les étapes suivantes:
- Faites une demande de certification.
- Attendez une décision sur la certification.
- Réussir les tests de certification.
- Émettre un avis d'expert et un projet de certificat de conformité sur la base des résultats.
De plus, un certificat peut être délivré ou refusé.
De plus, dans tel ou tel cas il est fait:
- Fournir un certificat en double.
- Étiquetage des équipements de protection.
- Modification de remèdes déjà certifiés.
- Renouvellement de certificat.
- Suspendez un certificat.
- La fin de son action.
Il convient de citer la 13e clause du règlement:
"13. Les tests de certification des outils de sécurité de l'information sont effectués sur la base matérielle et technique du laboratoire d'essais, ainsi que sur les bases matérielles et techniques du demandeur et (ou) du fabricant, situés sur le territoire de la Fédération de Russie. »
Il n'y a pas si longtemps, le 29 mars 2019, le FSTEC a publié une autre amélioration, qui était intitulée "
Message d'information du FSTEC de Russie du 29 mars 2019 N 240/24/1525 ".
Le document a modernisé le système de certification des outils de sécurité de l'information. Ainsi, les exigences de sécurité de l'information sont approuvées. Ils établissent des niveaux de confiance dans les moyens de protection technique de l'information et les moyens d'assurer la sécurité des technologies de l'information. Ils déterminent à leur tour les conditions de développement et de production d'outils de sécurité de l'information, de test des outils de sécurité de l'information, ainsi que d'assurer la sécurité des outils de sécurité de l'information lors de leur utilisation. Il existe au total six niveaux de confiance. Le niveau le plus bas est le sixième. Le plus haut est le premier.
Tout d'abord, les niveaux de confiance sont destinés aux développeurs et fabricants d'équipements de protection, aux candidats à la certification, ainsi qu'aux laboratoires d'essais et aux organismes de certification. La conformité aux exigences du niveau de confiance est obligatoire pour la certification des outils de sécurité de l'information.
Tout cela prendra effet le 1er juin 2019. Dans le cadre de l'approbation des exigences du niveau de confiance, le FSTEC n'acceptera plus les demandes de certification des équipements de protection pour la conformité aux exigences du document d'orientation «Protection contre les accès non autorisés». Partie 1. Logiciel pour la sécurité de l'information. Classification selon le niveau de contrôle de l'absence d'opportunités non déclarées. »
Des outils de protection des informations correspondant aux premier, deuxième et troisième niveaux de confiance sont utilisés dans les systèmes d'information qui traitent des informations contenant des informations constituant un secret d'État.
L'utilisation d'équipements de protection du quatrième au sixième niveau de confiance pour les SIG et ISPD pour les classes / niveaux de sécurité correspondants est donnée dans le tableau:
Une attention particulière devrait être accordée au fait que:
«La validité des certificats de conformité des moyens de protection des informations, pour lesquels l'évaluation de conformité spécifiée ne sera effectuée que le 1er janvier 2020 sur la base du paragraphe 83 du Règlement sur la certification des moyens de protection des informations approuvé par arrêté du FSTEC de Russie du 3 avril 2018 n ° 55, pourra être suspendue . "
Alors que les législateurs continuent de travailler à l'amélioration des exigences de certification, nous fournissons une
infrastructure cloud qui répond à toutes les exigences des lois adoptées. La solution prévoit une infrastructure déjà préparée, une solution toute prête pour la conformité avec la loi fédérale 152.