СОИБ. Проектирование. Приказ Минкомсвязи №221. Защита СЭД

Минкомсвязи выпустил приказ "Об утверждении Требований к информационным системам электронного документооборота федеральных органов исполнительной власти, учитывающих в том числе необходимость обработки посредством данных систем служебной информации ограниченного распространения". За наводку спасибо СергеюЕрохину.

Приказ состоит из трех частей: 1. Общие положения; 2. Описание технологических процессов функционирования системы электронного документооборота (СЭД); 3. Требования к информационной безопасности СЭД.


В первой части приводятся требования к доступности, надежности и требуется защищенность от НСД не ниже класса 1Г.
Во второй части приводятся функциональные требования к СЭД.
Наиболее интересна третья часть. Требуются следующие основные мероприятия:
Необходимая подсистема ИБ
Пункт приказа, являющийся основанием
Сертификация СЗИ в явном виде (а не оценка соответствия)
21
Провести классификацию системы по требуемым уровням защищенности
22
Выполнить требования ГОСТ Р 51275-2006, который не имеет в себе требований. Возможно имелась ввиду разработка аналитического обоснования с учетом этого ГОСТ
23
Внедрить использовать ролевую модель доступа (пользователь, администратор)
26, 27, 28, 29, 30

По непонятным причинам, роль администратора ИБ не предусмотрена. Назначением прав занимается администратор СЭД.
Из технических требований второго раздела вытекает необходимость следующих подсистем ИБ:
Необходимая подсистема ИБ
Пункт приказа, являющийся основанием
Управления доступом
24, 26, 27, 28, 29
Регистрации событий
24
Резервного копирования и восстановления
31, 32
Межсетевого экранирования
25

Комментарии

Отправить комментарий

Популярные сообщения из этого блога

СОИБ. Проектирование. Защита файловых ресурсов

Изображение
 В сегодняшней заметке хотелось бы уделить внимание комплексным решениям по защите файловых ресурсов. Несмотря на тенденцию хранения ценной информации в корпоративных приложениях и БД, в большинстве организаций всё равно хранится чувствительная информация в виде файлов. Могу привести следующие примеры: ·         даже если ценная информация хранится в БД, периодически она выгружается оттуда для передачи в другие системы (платежная информация хранится в АБС банка, но для межбанковских платежей используется передача файлов) ·         ценная информация может выгружаться пользователями из БД и сохраняться во временных файлах в рамках выполнения их служебных обязанностей ·         бизнес приложения обычно формируют отчетность, результаты анализа для руководителей в виде документов и именно эта информация представляет наибольшую ценность ·      ...
Далее...

СЗПДн. Анализ. Приказ ФСТЭК №21 (UPD)

Изображение
Как вы, наверное, уже заметили, Минюст зарегистрировал и опубликовал новый приказ ФСТЭК №21 от 18.02.2013 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных". Хотя я и участвовал в совершенствовании документа ( SOISO ), специально не хотел публиковать каких-то аналитических статей для широкого круга пользователей, потому что слишком уж в России быстро и сильно меняются конечные версии документов по сравнению с их проектами. И большая радость может  неожиданно сменится на большую печаль. Начнем пожалуй с порядка действий. Для наглядности процесс привожу в виде схемы, включая перечень мероприятий, необходимые данные и возможные результаты. (Кликать по ссылке1 - картинка JPG,  но лучше загружайте в формате PDF - там лучшее качество текста. Стрелки со сплошными линиями - значит есть явное требование в приказе, с пунктирными -...
Далее...

Новый ГОСТ по обнаружению КА и реагированию на инциденты

Изображение
Вчера на сайте ФСТЭК России для общественного обсуждения был выложен ГОСТ Р «Защита информации. Обнаружения, предупреждения и ликвидации последствий компьютерныхатак и реагирования на компьютерные инциденты. Термины и определения» Как следует из названия, стандарт содержит: термины, определения, взаимосвязь терминов. Термины и определения разделены на разделы и подразделы. Обнаружение компьютерных атак и реагирование на компьютерные инциденты – это тема в которой пересекаются интересы многих регулирующих и иных организаций. Разработчики стандарта так обосновывают его необходимость: “Анализ национальных стандартов, нормативных правовых актов и методических документов показывает необходимость установления единой терминологии в части обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты. Отсутствие единой терминологии может привести к нарушению взаимопонимания между заказч...
Далее...