Há cerca de um ano, em 3 de abril de 2018, o FSTEC da Rússia emitiu o
pedido nº 55 . Ele aprovou o regulamento sobre o sistema de certificação de ferramentas de segurança da informação.
Isso determinou quem é membro do sistema de certificação. Também especificou a organização e o procedimento para a certificação de produtos usados para proteger informações confidenciais que representam segredos de estado, cujos meios de proteção também precisam ser certificados através deste sistema.
Então, o que exatamente o regulamento diz respeito aos produtos que precisam ser certificados?
- Meios para combater a inteligência técnica estrangeira e os meios de monitorar a eficácia da proteção técnica da informação.
- Ferramentas de segurança de TI, incluindo ferramentas seguras de processamento de informações.
Os membros do sistema de certificação incluíam:
- Organismos credenciados pelo FSTEC.
- Laboratórios de teste credenciados pelo FSTEC.
- Fabricantes de ferramentas de segurança da informação.
Para obter a certificação, você deve executar as seguintes etapas:
- Solicite a certificação.
- Aguarde uma decisão sobre a certificação.
- Passe nos testes de certificação.
- Emitir uma opinião de especialista e um projeto de certificado de conformidade com base nos resultados.
Além disso, um certificado pode ser emitido ou recusado.
Além disso, neste ou naquele caso, é feito:
- Fornecendo um certificado duplicado.
- Rotulagem de equipamentos de proteção.
- Modificação de remédios já certificados.
- Renovação de certificado.
- Suspenda um certificado.
- O término de sua ação.
A décima terceira cláusula do regulamento deve ser citada:
"13 Os testes de certificação das ferramentas de segurança da informação são realizados na base material e técnica do laboratório de testes, bem como nas bases técnicas e materiais do requerente e (ou) do fabricante, localizado no território da Federação Russa. ”
Há pouco tempo, em 29 de março de 2019, o FSTEC publicou outra melhoria, intitulada "
Mensagem informativa do FSTEC da Rússia de 29 de março de 2019 N 240/24/1525 ".
O documento modernizou o sistema de certificação para ferramentas de segurança da informação. Assim, os Requisitos de segurança da informação são aprovados. Eles estabelecem níveis de confiança nos meios de proteção técnica da informação e nos meios de garantir a segurança das tecnologias da informação. Eles, por sua vez, determinam as condições para o desenvolvimento e produção de ferramentas de segurança da informação, teste de ferramentas de segurança da informação e também para garantir a segurança das ferramentas de segurança da informação durante seu uso. Existem seis níveis de confiança no total. O nível mais baixo é o sexto. O mais alto é o primeiro.
Em primeiro lugar, os níveis de confiança são destinados a desenvolvedores e fabricantes de equipamentos de proteção, candidatos a certificação, bem como a laboratórios de teste e organismos de certificação. A conformidade com os requisitos de nível de confiança é obrigatória para a certificação de ferramentas de segurança da informação.
Tudo isso entrará em vigor em 1º de junho de 2019. Em conexão com a aprovação dos requisitos para o nível de confiança, o FSTEC não aceitará mais os pedidos de certificação de equipamentos de proteção em conformidade com os requisitos do documento de orientação “Proteção contra acesso não autorizado. Parte 1. Software para segurança da informação. Classificação pelo nível de controle da ausência de oportunidades não declaradas. ”
As ferramentas de proteção de informações correspondentes aos primeiro, segundo e terceiro níveis de confiança são usadas em sistemas de informações que processam informações que contêm informações que constituem um segredo de estado.
O uso de equipamentos de proteção do GIS e ISPD do quarto ao sexto nível de confiança para as classes / níveis de segurança correspondentes são apresentados na tabela:
Atenção especial deve ser dada ao fato de que:
“A validade dos certificados de conformidade dos meios de proteção de informações para os quais a avaliação de conformidade especificada não será realizada até 1º de janeiro de 2020 com base no parágrafo 83 do Regulamento sobre certificação de meios de segurança da informação aprovados por despacho do FSTEC da Rússia de 3 de abril de 2018 no 55, pode ser suspensa . ”
Enquanto os legisladores continuam trabalhando para melhorar os requisitos de certificação, fornecemos uma
infraestrutura em nuvem que atende a todos os requisitos das leis adotadas. A solução fornece infraestrutura já preparada, uma solução pronta para conformidade com a lei federal 152.