Организационно-правовые и программно-аппаратные средства обеспечения информационной безопасности и защиты информации

В данном разделе необходимо дать полную и обоснованную характеристику проектируемым для решения задач средствам обеспечения ИБ и ЗИ. При этом необходимо отразить следующие аспекты.

1. Защита от внутренних угроз (разработка внутренней политики безопасности, разграничение прав доступа к информации и так далее). Для этого необходимо определить группы пользователей разрабатываемой системы и назначить им соответствующие права доступа к папкам и модулям системы, определить требования к паролям и частоте их смены, а также другие параметры использования ИС. Данные рекомендуется представить в форме таблиц. Пример такой обобщенной таблицы приведен ниже.

Разграничение прав пользователей.

2. Защита от внешних угроз (безопасность каналов, протоколы, аутентификация, шифрование, безопасная пересылку ключей и т.д.).

Состав проектируемых программных и аппаратных средств может быть оформлен в виде таблицы с содержанием граф:

• нормативно-правовые акты организации, стандарты (международные и отечественные);
• антивирусные и антишпионские средства;
• проактивная защита от внешних угроз и защита внешнего периметра;
• защита от сетевых угроз;
• защита от инсайдерских угроз и защита информационных ресурсов;
• физическая защита информации.

3. Обоснование выбора политики безопасности, а также тех или иных программных и аппаратных средств, где должно быть:

• обоснование организационно-правовым методам и программно-аппаратным средствам (средства должны быть конкретные, лицензионные, с требованиями соответствующих стандартов);
• обоснование различным аспектам защиты системы: защита базы, резервное копирование, защита от хищения данных, защита от порчи данных, защита от инсайдерских угроз, уровни или сферы защиты (обоснование разрабатываемого решения на предмет уязвимостей, в том числе ошибки кода, ошибочные действия пользователя «защита от дурака»).

Управление проектом автоматизации