СОИБ. Проектирование. Приказ Минкомсвязи №221. Защита СЭД

Минкомсвязи выпустил приказ "Об утверждении Требований к информационным системам электронного документооборота федеральных органов исполнительной власти, учитывающих в том числе необходимость обработки посредством данных систем служебной информации ограниченного распространения". За наводку спасибо СергеюЕрохину.

Приказ состоит из трех частей: 1. Общие положения; 2. Описание технологических процессов функционирования системы электронного документооборота (СЭД); 3. Требования к информационной безопасности СЭД.

В первой части приводятся требования к доступности, надежности и требуется защищенность от НСД не ниже класса 1Г.

Во второй части приводятся функциональные требования к СЭД.

Наиболее интересна третья часть. Требуются следующие основные мероприятия:

Необходимая подсистема ИБ	Пункт приказа, являющийся основанием
Сертификация СЗИ в явном виде (а не оценка соответствия)	21
Провести классификацию системы по требуемым уровням защищенности	22
Выполнить требования ГОСТ Р 51275-2006, который не имеет в себе требований. Возможно имелась ввиду разработка аналитического обоснования с учетом этого ГОСТ	23
Внедрить использовать ролевую модель доступа (пользователь, администратор)	26, 27, 28, 29, 30

По непонятным причинам, роль администратора ИБ не предусмотрена. Назначением прав занимается администратор СЭД.

Из технических требований второго раздела вытекает необходимость следующих подсистем ИБ:

Необходимая подсистема ИБ	Пункт приказа, являющийся основанием
Управления доступом	24, 26, 27, 28, 29
Регистрации событий	24
Резервного копирования и восстановления	31, 32
Межсетевого экранирования	25