Минкомсвязивыпустил приказ " Обутверждении Требований к информационным системам электронного документооборотафедеральных органов исполнительной власти, учитывающих в том численеобходимость обработки посредством данных систем служебной информацииограниченного распространения ". За наводку спасибо СергеюЕрохину.
Приказ состоит из трех частей:1. Общие положения; 2. Описание технологических процессов функционированиясистемы электронного документооборота (СЭД); 3. Требования к информационнойбезопасности СЭД.
В первой части приводятся требования к доступности, надежности и требуется защищенность от НСД не ниже класса1Г.
Во второй части приводятся функциональныетребования к СЭД.
Наиболее интересна третья часть.Требуются следующие основные мероприятия:
Необходимая подсистемаИБ | Пункт приказа, являющийся основанием |
Сертификация СЗИ в явном виде (а не оценка соответствия) | 21 |
Провести классификацию системы по требуемым уровням защищенности | 22 |
Выполнить требования ГОСТ Р 51275-2006, который не имеет в себе требований. Возможно имелась ввиду разработка аналитического обоснования с учетом этого ГОСТ | 23 |
Внедрить использовать ролевую модель доступа (пользователь, администратор) | 26, 27, 28, 29, 30 |
По непонятным причинам, рольадминистратора ИБ не предусмотрена. Назначением прав занимается администраторСЭД.
Из технических требований второгораздела вытекает необходимость следующих подсистем ИБ:
Необходимая подсистемаИБ | Пункт приказа, являющийся основанием |
Управления доступом | 24, 26, 27, 28, 29 |
Регистрации событий | 24 |
Резервного копирования и восстановления | 31, 32 |
Межсетевого экранирования | 25 |