Проектирование системы защиты информации — это процесс выработки требований к организации защиты информации в информационной системе.
В рамках оказания услуг по проектированию системы защиты информации проводятся следующие этапы работ:
- анализ структуры информационной системы и информационных потоков;
- определение количества и мест размещения элементов системы, ее физических и логических границ;
- определение требований к системе защиты информации;
- выбор средств обеспечений защиты информации;
- разработка общей схемы системы защиты информации.
Итогом проектирования системы защиты информации является:
- описание субъектов доступа (пользователи, процессы и иные субъекты доступа) и объекты доступа;
- описание политик управления доступом (дискреционная, мандатная, ролевая, комбинированная);
- описание организационных и технических мер, подлежащих реализации, включая их обоснование;
- описание видов и типов средств защиты информации, обеспечивающие реализацию технических мер по обеспечению безопасности значимого объекта;
- выбор средств защиты информации;
- описание архитектуры подсистемы защиты информации в составе информационной системы, включая состав, места установки, взаимосвязи средств защиты информации;
- требования к параметрам настройки программных и программно-аппаратных средств, включая средства защиты информации, обеспечивающие реализацию мер по обеспечению безопасности, блокирование (нейтрализацию) угроз безопасности информации и устранение уязвимостей;
- описание мер по обеспечению безопасности при взаимодействии значимого объекта с иными объектами критической информационной инфраструктуры, информационными системами, автоматизированными системами управления или информационно-телекоммуникационными сетями.