9.2. Требования к проектированию системы защиты информации
При разработке системы защиты информации должно учитываться ее информационное взаимодействие с иными информационными системами и информационно-телекоммуникационными сетями.
При проектировании системы защиты информации должны быть:
- определены типы субъектов доступа (пользователи, процессы и иные субъекты доступа) и объектов доступа, являющихся объектами защиты (устройства, объекты файловой системы, запускаемые и исполняемые модули, объекты системы управления базами данных, объекты, создаваемые прикладным программным обеспечением, иные объекты доступа);
- определены методы управления доступом (дискреционный, мандатный, ролевой или иные методы), типы доступа (чтение, запись, выполнение или иные типы доступа) и правила разграничения доступа субъектов доступа к объектам доступа (на основе списков, меток безопасности, ролей и иных правил), подлежащие реализации в информационной системе;
- выбраны меры защиты информации, подлежащие реализации в системе защиты информации Системы;
- определены виды и типы средств защиты информации, обеспечивающие реализацию технических мер защиты информации;
- определена структура системы защиты информации информационной системы, включая состав (количество) и места размещения ее элементов;
- осуществлен выбор средств защиты информации, сертифицированных на соответствие требованиям по безопасности информации, с учетом их стоимости, совместимости с информационными технологиями и техническими средствами, функций безопасности этих средств и особенностей их реализации, а также класса защищенности Системы;
- определены требования к параметрам настройки программного обеспечения, включая программное обеспечение средств защиты информации, обеспечивающие реализацию мер защиты информации, а также устранение возможных уязвимостей Системы, приводящих к возникновению угроз безопасности информации;
- определены меры защиты информации при информационном взаимодействии с иными информационными системами и информационно-телекоммуникационными сетями, в том числе с информационными системами уполномоченного лица, а также при применении вычислительных ресурсов (мощностей), предоставляемых уполномоченным лицом для обработки информации.
Результатом выполнения работ по данному этапу является проектная документация на систему защиты информации.