Безопасность бывает разная: экономическая, информационная и много еще какая.
То, что связано со структурой ЛВС, имеет отношение к информационной безопасности, но является ее лишь очень малой частью. Поэтому нужно как-то сразу понять, ставится ли перед Вами задача разработки всего комплекса информационной безопасности или нет. Я так подозреваю, что не ставится, а ставится лишь ее часть, связанная с информационной безопасностью при использовании ЛВС.


Такой проект подразделяется на архитектурную компоненту и регламенты. То есть, необходимо разработать документ, с названием вроде "Концепция информационной безопасности при использовании СВТ", в котором изначально обозначается, какого вида риски и в каких пределах рассатриваются данным документом:
- риски, связанные с порчей или утерей информации в результате сбоев ПО и оборудования
- риски, связанные с порчей или утерей информации в результате намеренных действий злоумышлеников (в частности, при заражении вирусами, червями и троянцами)
- риски утечки информации, связанные с доступом к информации как собственных сотрудников, так и посторонних лиц, которые такого доступа иметь не должны (в качестве примера, утечка информации через распечатки на сетевом принтере с разделяемым доступом; утечки информации через выброшенные в мусор документы, не утилизированные бумагоуничтожителем; утечки через проникновение в сеть и т.д.)
- риски, связанные с искажением информации - намеренной или ненамеренной
- и т.д.
По каждому риску озвучивается некая степень существенности (например, в виде экспертной оценки вероятности его реализации) и способы снижения каждого из обозначенных рисков, либо явно озвучивается, что по данному риску не предпринимается никаких защитных мер (например, по причине их дороговизны, либо низкой вероятности), однако, владелец бизнеса должен быть в курсе всех рисков (он должны быть явно озвучены), и должен понимать, в каких местах он пошел на послабление. К данному документу прилагаются:
1. Схема сети с выделением DMZ, коммуникационного оборудования, серверов, пользовательских станций, сетевых принтеров, сетевых сканеров, и т.д. с ее понятным описанием (можно наваять в Visio)
2. Регламенты пользования основными сетевыми сервисами (почтой, WEB, разделяемыми сетевыми ресурсами и т.д.)
3. Регламент предоставления и исключения доступа к информационным ресурсам (при приеме сотрудников, увольнениях, изменении функций).
4. Регламенты архивирования и хранения информации
5. Регламенты восстановление после сбоя.

Однако, повторяю, это лишь очень малая толика всего, что связано с безопасностью. В частности, полноценная концепция информационной безопасности должна предусматривать действия при внезапной смене администратора сети.