Как я понимаю, система должна быть сертифицирована по 4 или 5 классу безопасности от несанкционированного доступа.
Кстати, не рискнул сразу возражать, но сейчас перепроверил - классов всего 4.
http://www.zki.infosec.ru/law/personal/doc/146/Оценил требования к ЭЖ типа РУЖЭЛЬ - получил необходимость сертификации по классу 3:
- категория Хпд - 3 (идентификация)/ 2 (+доп.инф-ия - отметки?)
- объем Хнпд - 3 (менее 1000 объектов)
- хар-ки безопасности - специальные (требуется обеспечить защищенность от удаления отметок)
- структура ИС - комплекс с удаленным доступом
- сети общего пользования - имеются подключения
- режим обработки - многопользовательские
- права доступа - с разграничением
- расположение - в пределах РФ
-------
= класс 3 - приводит к незначительным негативным последствиям