Формирование требований к системе защиты информации (СЗИ) осуществляется обладателем информации с учетом требований, определенных в нормативных правовых актах уполномоченных федеральных органов исполнительной власти, национальных стандартах в области защиты информации и утвержденных политик безопасности Заказчика.
Формирование требований к СЗИ происходит на основании совокупности следующих данных:
-
Результата классификации ИС/категорирования объекта(ов) КИИ;
- Данных об актуальных угрозах безопасности информации;
- Особенностей архитектуры построения и используемых информационных технологии;
- Требований регуляторов в области обеспечения информационной безопасности;
- Внутренних политик и регламентов по безопасности.
Техническое здание на создание (развитие) Системы защиты информации разрабатывается на основе ГОСТ 34.602 «Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы» с учетом специфики требований по защите информации.