Организационно-правовые и программно-аппаратные средства обеспечения информационной безопасности и защиты информации
Ожидаемые риски на этапах жизненного цикла и их описание
В разделе необходимо рассмотреть наиболее существенные риски проекта в разрезе их типов. Необходимо описать возможные риски вообще (применительно к каждому этапу ЖЦ ИС) и актуальные для разрабатываемого проекта в частности. Помимо краткого описаниях их сущности, необходимо описать те шаги, которые планируется предпринять для уменьшения величины каждого конкретного риска.
В данном разделе необходимо дать полную и обоснованную характеристику проектируемым для решения задач средствам обеспечения ИБ и ЗИ. При этом необходимо отразить следующие аспекты.
1. Защита от внутренних угроз (разработка внутренней политики безопасности, разграничение прав доступа к информации и так далее). Для этого необходимо определить группы пользователей разрабатываемой системы и назначить им соответствующие права доступа к папкам и модулям системы, определить требования к паролям и частоте их смены, а также другие параметры использования ИС. Данные рекомендуется представить в форме таблиц. Пример такой обобщенной таблицы приведен ниже.
Разграничение прав пользователей.
| Группы пользова-телей | Общая папка «Врачи» | Общая папка «Регистратор» | Модуль «Регистра-тура» | Модуль «Управле-ние» | Доступ в Internet |
| Врачи | Чтение/создание | Чтение | Чтение | Чтение | Нет |
| Главный врач | Чтение/создание/удаление | Чтение | Чтение | Полный | Ограничен |
| Регистраторы | Чтение | Чтение/создание | Полный | Нет | Нет |
| Старший регистратор | Чтение | Чтение/создание/ удаление | Полный | Чтение | Ограничен |
| Системный администратор | Чтение/создание/удаление | Чтение/создание/ удаление | Полный | Полный | Не ограничен |
2. Защита от внешних угроз (безопасность каналов, протоколы, аутентификация, шифрование, безопасная пересылку ключей и т.д.).
Состав проектируемых программных и аппаратных средств может быть оформлен в виде таблицы с содержанием граф:
- нормативно-правовые акты организации, стандарты (международные и отечественные);
- антивирусные и антишпионские средства;
- проактивная защита от внешних угроз и защита внешнего периметра;
- защита от сетевых угроз;
- защита от инсайдерских угроз и защита информационных ресурсов;
- физическая защита информации.
3. Обоснование выбора политики безопасности, а также тех или иных программных и аппаратных средств, где должно быть:
- обоснование организационно-правовым методам и программно-аппаратным средствам (средства должны быть конкретные, лицензионные, с требованиями соответствующих стандартов);
- обоснование различным аспектам защиты системы: защита базы, резервное копирование, защита от хищения данных, защита от порчи данных, защита от инсайдерских угроз, уровни или сферы защиты (обоснование разрабатываемого решения на предмет уязвимостей, в том числе ошибки кода, ошибочные действия пользователя «защита от дурака»).