athacker

Приведённое вами задание -- это скорее задание на анализ исходного кода, а ИБ тут притянута за уши и просто задаёт контекст (учётные записи, пароли, хэш), в котором рассматриваются исходники программы. Литература по ИБ для решения подобных задач вам никак не поможет. Скорее, помогут справочники и руководства по программированию на Си ли Паскале.

ИП в большинстве случаев более чем достаточно. Иногда это создаёт трудности в расчётах, так как клиенты могут быть плательщиками НДС, а ИП, как правило, нет. Но при относительно небольших суммов расчётов это обычно проблемой не является.

Что касается ОКВЭДа -- можно выбирать практически всё, что входит в категорию ОКВЭД 72.

Сертификаты -- с точки зрения регуляторов вроде бы ничего не требуется. Для увеличения своей привлекательности с точки зрения потенциальных клиентов -- можете получить что-нибудь из этого: https://habrahabr.ru/company/echelon/blog/320748/

Хранение рабочей информации на компе пользователя -- это зло. Это я про базы 1С и их раздачу по сети. На рабочих станциях вообще должна быть остановлена и запрещена к запуску служба "Сервер". А также "Браузер сети". Вся информация должна храниться на серверах, на дисках, организованных в RAID-массивы. И вот уже туда должен быть доступ у всех, кому эта информация по долгу службы положена.

Пароль админа пользователю не давать -- это само собой.

Что касается безопасных настроек винды, то можно воспользоваться рекомендациями CIS: https://www.cisecurity.org/benchmark/microsoft_win...

Для скачивания PDF там нужно зарегиться, регистрация бесплатна и ни к чему не обязывает.

Резервное копирование -- в обязательном порядке. Причём на другой носитель, не внутри сервера или уж тем более -- рабочей станции.

Про белый список приложений вам уже сказали выше.

Нет, недостаточная. Обеспечение безопасности -- это целый комплекс мер, и чем больше уровней защиты, тем лучше. Как минимум, стоит добавить ещё правила на файрволе.

Ну и прописывать список IP, с которых вы планируете подключаться к серверу по SSH -- так себе идея :-) Это сейчас вы на конкретном IP сидите, а потом выйдете прогуляться, вам позвонят и скажут, что "сайт упал", а ближайший интернет -- в каком-нибудь кафе. Вы такой подключаетесь к их вайфаю, ломитесь на сервак и... опа -- облом! Вы же ограничили возможность входа только для своего домашнего IP.

Идеологически верно для сервера, торчащего напрямую в интернет, перенести SSH на нестандартный порт и открыть возможность подключения с любого IP. А авторизацию сделать не по паролю, а по ключу, и ключ тоже сделать защищённым паролем.

MySQL наружу высовывать тоже идея не фонтан, тут правильнее было бы построить какой-нибудь вариант туннеля. Хотя, если жёстко зажать файрволом список IP, с которых можно подключиться к MySQL -- то сойдёт. Но я бы всё равно так делать не стал, так как данные будут ходить в открытом виде по интернету. Поэтому стоит завернуть MySQL-трафик в шифрованный туннель любого рода -- SSH, IPsec, l2tp, что угодно.