вторник, 22 ноября 2011 г.

Приказ Минкомсвязи №221 и ГОСТ Р 51275-2006

Приказ состоит из двух частей: 1. Описание технологических процессов функционирования системы электронного документооборота (СЭД); 2. Требования к информационной безопасности СЭД.

В требованиях по обеспечению информационной безопасности заинтересовал лишь один пункт:
"23. СЭД ФОИВ должна соответствовать требованиям национального стандарта Российской Федерации ГОСТ Р 51275-2006 "Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения" и требованиям по технической защите конфиденциальной информации."

С требованиями по технической защите все понятно, как говорится: "Без комментариев". А вот, соответствие СЭД госту 51275 вызывает легкое недоумение. ГОСТ 51275 - это некая попытка систематизировать знания в области дестабилизирующих факторов (угроз ИБ) вперемешку с уязвимостями. Из п .23 получается, что, например, СЭД должна предусматривать возможность защиты от утечки информации с помощью радиоэлектронной, оптико-электронной, фотографической, визуально-оптической, акустической, гидроаккустической технической компьютерной разведки или от биологических и химических угроз.

И вообще, для чего использовать ГОСТ, если в СТР-К и РД прописаны четкие требования по ИБ, в зависимости от класса АС, которые нужно выполнить. Если разработчики приказа имели ввиду, что требования по защите определяются в результате синтеза модели угроз, которая должна учитывать угрозы из 51275, и требований к защите информации из РД, то так и надо писать. А так, получается, что 51275 просто для "красного словца". 

Я думаю, что при формировании требований по ИБ к СЭД нужно изначально оценить риски и построить модель актуальных угроз, после чего формулировать конкретные требования к ИБ. И лушче ссылаться на ГОСТы серии 13335 :).

Комментариев нет: