Около года назад, 3 апреля 2018-го года ФСТЭК России опубликовал приказ №55. Он утвердил Положение о системе сертификации средств защиты информации.

Это определило, кто является участником системы сертификации. Также оно уточнило организацию и порядок сертификации продукции, которая используется для защиты конфиденциальных сведений, представляющих государственную тайну, средства для защиты которой тоже необходимо сертифицировать через указанную систему.

Итак, что именно Положение относит к продукции, которую необходимо сертифицировать?

  • Средства для борьбы с иностранными техническими разведками и средства контроля эффективности технической защиты информации.
  • Средства обеспечения безопасности IT, включая защищённые средства обработки информации.

В состав участников системы сертификации вошли:

  • Органы, аккредитованные ФСТЭК.
  • Испытательные лаборатории, которые аккредитованы ФСТЭК.
  • Изготовители средств защиты информации.

Чтобы пройти сертификацию, необходимо сделать следующие шаги:

  • Подать заявку на сертификацию.
  • Дождаться решения о проведении сертификации.
  • Пройти сертификационные испытания.
  • Оформить экспертное заключение и проект сертификата соответствия по результатам.

Далее сертификат могут выдать или отказать в выдаче.

Помимо этого, в том или ином случае производится:

  • Предоставление дубликата сертификата.
  • Маркирование средств защиты.
  • Внесение изменений в уже сертифицированные средства защиты.
  • Продление сертификата.
  • Приостановка действия сертификата.
  • Прекращение его действия.

13-й пункт Положения следует процитировать:

«13. Сертификационные испытания средств защиты информации проводятся на материально-технической базе испытательной лаборатории, а также на материально-технических базах заявителя и (или) изготовителя, расположенных на территории Российской Федерации.»

Не так давно, 29-го марта 2019-го года, ФСТЭК опубликовал ещё одно улучшение, которое озаглавил «Информационное сообщение ФСТЭК России от 29 марта 2019 г. N 240/24/1525».

Документ модернизировал систему сертификации средств защиты информации. Таким образом, утверждены Требования по безопасности информации. Они устанавливают уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий. Они в свою очередь определяют условия для разработки и производства средств защиты информации, проведения испытаний средств защиты информации, а также для обеспечения безопасности средств защиты информации в ходе их применения. Всего есть шесть уровней доверия. Самый низкий уровень — шестой. Самый высокий — первый.

Прежде всего уровни доверия предназначены для разработчиков и производителей средств защиты, заявителей на осуществление сертификации, а также для испытательных лабораторий и органов по сертификации. Выполнение Требований к уровню доверия обязательно при сертификации средств защиты информации.
Всё это вступит в силу 1-го июня 2019 г. В связи с утверждением Требований к уровню доверия, ФСТЭК больше не будет принимать заявки на сертификацию средств защиты на соответствие требованиям руководящего документа «Защита от несанкционированного доступа. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей».

Средства защиты информации, соответствующие первому, второму и третьему уровням доверия, применяются в информационных системах, в которых обрабатывается информация, содержащая сведения, составляющие государственную тайну.

Применение средств защиты с четвёртого по шестой уровень доверия для ГИС и ИСПДн соответствующих классов/уровней защищенности приведены в таблице:



Следует обратить особое внимание на то, что:

«Действие сертификатов соответствия средств защиты информации, в отношении которых указанная оценка соответствия не будет проведена до 1 января 2020 г. на основании пункта 83 Положения о сертификации средств защиты информации, утвержденного приказом ФСТЭК России от 3 апреля 2018 г. № 55, может быть приостановлено.»

Пока законотворцы продолжают работу над улучшениями требований к сертификации, мы предоставляем облачную инфраструктуру, отвечающую всем требованиям принятых законов. Решение предусматривает уже подготовленную инфраструктуру, готовое решение для соответствия федеральному закону 152.

Комментарии (2)


  1. saipr
    22.04.2019 17:48

    необходимо сертифицировать… защищённые средства обработки информации.

    Меня всегда мучает вопрос: а бывают незащищенные средства обработки информации?
    Это примерно как может ли появиться в продаже утюг с оголенными проводами?
    Микрософт Офис (или SQLite) — это защищенное средство обработки информации или как?


  1. kagarich
    22.04.2019 18:28
    +1

    >>Пока законотворцы продолжают работу над улучшениями требований к сертификации,
    >>мы предоставляем облачную инфраструктуру, отвечающую всем требованиям принятых законов.

    Цитата означает, что Cloud4Y уже прошел сертификацию по новым правилам?
    Можете пояснить более подробно что такое «уровни доверия» и как именно была изменена процедура сертификации СЗИ?