Система управления доступом в СЭД. - Форум по вопросам информационной безопасности

Доброго времени суток!
Прошу прощения если не умею пользоваться поиском, но ответа не нашел.
Дано:
Система документооборота(СЭД, 1С...) с 2 базами данных - "секретная" и "служебная". Обрабатываются только ПДн(без ГТ, уж не придирайтесь к названию).
СЭД позволяет разграничить права пользователей. Т.е. пользователь А имеет доступ в об базы, а пользователь Б, только к базе "служебная".
А вопрос вот какой:
Может ли рассматриваться система разграничения доступа документооборота как выполнение требования УПД.2(Реализация необходимых методов и правил разграничения доступа) Приказа №21 ФСТЭК? Или для выполнения в данном случае разделять доступ можно только сертифицированными средствами?

to Вячеслав
Решаете через Модель угроз. Для ИСПДн явного требования перекрывать все чисто сертиф.средствами нет. Протестируйте устойчивость такой схемы разграничения доступа. Если посчитаете, что для ИСПДн вашего уровня защищенности и для актуальных нарушителей такая схема является достаточной - убираете вопросы угроз за счет обхода системы разграничения прав доступа из актуальных и позже ссылаетесь на это при анализе защищенности ИСПДн...
Либо пригласите экспертную организацию-лицензиата ФСТЭК - пусть они протестируют и выдадут рекомендации / решения (заодно помогут найти "забытых" юзеров, владеющих административными правами доступа к базе, ага)...
Либо пообщайтесь с компанией 1С на предмет их ЗПК. Не знаю, насколько он применим к Документообороту, но, являясь "сертифицированной заплаткой" сразу снимает все вопросы к стойкости тех или иных защитных механизмов. Только опасное это дело, внедрять ЗПК в не типовых конфигурациях 1С (коих, как показывает практика, каждая вторая, ага)...

Можно протестировать систему разграничения доступа (нсд) 1с в форме испытаний и ввода в эксплуатацию. Делаете методику испытаний, проводите по ней испытания, выпускаете Акт.
Так вы покажете себе и проверющим (кто это 2й вопрос) что разграничение действительно работает.