Где взять шаблон ТЗ ИБ для CRM b2c?

Question

[Vida]

Здравствуйте,
Такой вопрос: пишется ТЗ на информационную систему (CRM b2c). Нужно сформулировать НФТ, в том числе по информационной безопасности. Подскажите пожалуйста шаблоны, подходы - как правильно это сделать. Может, кто ссылкой поделится? Спасибо за помощь!

Answer 1

[darkboatman]

Думаю, Вам может это вам может быть полезен этот семинар

Answer 2

[Макс]

в качестве отправной точки можете взять 21-ый приказ ФСТЭК. CRM в явном виде обрабатывает персональные данные, так что лишним не будет. В основном это управление доступом, разграничение прав, протоколирование действий. Если планируете обмен данными с контрагентами - стоит подумать над встраиванием СКЗИ и управлением ключами.

Answer 3

[Александр Зачиналов]

Шаблон документа "Техническое задание на разработку АСУ". Скачать можете здесь

Answer 4

[Максим Кудрявцев]

Любое техническое задание, в первую очередь, пишется на основе требований заказчика и здравого смысла исполнителя.

Про защиту информации в целом есть ряд руководящих документов(сайт ФСТЭК). Если конкретно для CRM, то в первую очередь смотрим РД "СВТ" и РД "АС".

Далее есть постановление правительства РФ №1119 и уже упомянутый тут 21 приказ ФСТЭК

Документы из первой серии рассказывают как надо писать систему под требования безопасности, т.е. какой конкретно функционал должен быть реализован там, каким математическим моделям он должен соответствовать и т.д. Документы второй серии говорят чем именно нужно докомплектовать твою систему, чтобы она была безопасной.

В случае с твой CRM, ее саму ты напишешь, опираясь на РД. Но вот писать самому ОС, СУБД, межсетевых экранов и прочие компоненты - бессмысленно, на рынке куча готовых решений. Так вот, что именно должны поддерживать ОС, СУБД, FireWall и т.д. это уже описывает 21 приказ.