При проектировании и разработке

Специалисты подразделения обеспечения безопасности ИТ совместно со специалистами отдела разработки программ и представителями заказывающего подразделения участвуют в разработке постановки задач и Технического задания (спецификаций) в части определения требований по информационной безопасности.

На основе анализа категории пользователей, категорий сведений, используемых и создаваемых при решении задачи, их размещения на носителях, характера осуществляемых преобразований информации и других особенностей проектируемой технологии обработки данных и с учетом требований Концепции безопасности ИТ организации и других документов, специалисты подразделения обеспечения безопасности ИТ проводят анализ рисков и формируют требования к защите ресурсов разрабатываемой подсистемы.

При этом учитываются реальные возможности по реализации требований обеспечения безопасности ИТ организационными мерами и аппаратно-программным1^ средствами защиты системного и прикладного уровней и другие особенности создаваемой подсистемы. При необходимости определяется потребность в приобретении или разработке дополнительных средств защиты.

Согласованные с начальником подразделения обеспечения безопасности ИТ требования должны включаться отдельным разделом в проектную документацию (постановку задачи, техническое задание, техно-рабочий проект и т.п.).

Подразделение обеспечения безопасности ИГ участвует также в процессе выбора аппаратно-программных средств (системных, инструментальных, базовых и т.п.), планируемых к приобретению и использованию в разрабатываемой подсистеме.

Специалисты подразделения обеспечения безопасности ИТ совместно со специалистами подразделения технического сопровождения и представителями подразделений разработки участвуют в обсуждении предложений по конфигурации (правил коммутации, маршрутизации и т.п.) телекоммуникационной сети организации в части определения требований по обеспечения безопасности ИТ. Требования формируются на основе анализа коммуникационных потребностей пр1жладных задач подсистемы, категорий сведений, используемых при решении данных задач. При этом учитываются реальные возможности по реализации требований обеспечения безопасности ИТ техническими средствами и организационными мерами При необходимости определяется потребность в приобретении и использовании дополнительных средств защиты телекоммуникаций.