Минкомсвязи выпустил приказ "Об утверждении Требований к информационным системам электронного документооборота федеральных органов исполнительной власти, учитывающих в том числе необходимость обработки посредством данных систем служебной информации ограниченного распространения".
Приказ состоит из двух частей: 1. Описание технологических процессов функционирования системы электронного документооборота (СЭД); 2. Требования к информационной безопасности СЭД.
В требованиях по обеспечению информационной безопасности заинтересовал лишь один пункт:
"23. СЭД ФОИВ должна соответствовать требованиям национального стандарта Российской Федерации ГОСТ Р 51275-2006 "Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения" и требованиям по технической защите конфиденциальной информации."
С требованиями по технической защите все понятно, как говорится: "Без комментариев". А вот, соответствие СЭД госту 51275 вызывает легкое недоумение. ГОСТ 51275 - это некая попытка систематизировать знания в области дестабилизирующих факторов (угроз ИБ) вперемешку с уязвимостями. Из п .23 получается, что, например, СЭД должна предусматривать возможность защиты от утечки информации с помощью радиоэлектронной, оптико-электронной, фотографической, визуально-оптической, акустической, гидроаккустической технической компьютерной разведки или от биологических и химических угроз.
И вообще, для чего использовать ГОСТ, если в СТР-К и РД прописаны четкие требования по ИБ, в зависимости от класса АС, которые нужно выполнить. Если разработчики приказа имели ввиду, что требования по защите определяются в результате синтеза модели угроз, которая должна учитывать угрозы из 51275, и требований к защите информации из РД, то так и надо писать. А так, получается, что 51275 просто для "красного словца".
Я думаю, что при формировании требований по ИБ к СЭД нужно изначально оценить риски и построить модель актуальных угроз, после чего формулировать конкретные требования к ИБ. И лушче ссылаться на ГОСТы серии 13335 :).
Комментариев нет:
Отправить комментарий