Согласно СТР-45, на этапе ввода ИТ в эксплуатацию необходимо разработать большое количество документов. Часть из них будут новыми для отечественных потребителей. К таким документам относятся следующие:
• планы: обеспечения безопасности ИТ; действий в непредвиденных ситуациях;
• политики: безопасности информационных технологий; реагирования на инциденты нарушения безопасности; оценки рисков; защиты носителей информации; обеспечения целостности ИТ и информации; физической защиты и защиты среды ИТ; обеспечения безопасности эксплуатирующего персонала; обучения (тренинга) безопасности (для ИТ 2 категории и выше); идентификации и аутентификации; управления доступом; аудита и обеспечения подотчетности (политика регистрации и учета); защиты ИТ и коммуникаций; сопровождения ИТ; управления конфигурацией;
• руководства: по использованию беспроводных технологий (для ИТ 3-й и последующих категорий); по использованию портативных и мобильных устройств (для ИТ 3-й и последующих категорий); по использованию технологий мобильного кода (для ИТ 2-й и следующих категорий); по использованию технологии передачи речи по IP-сетям (1Р-телефонии);
|
|
• списки: персонала, уполномоченного на выполнение действий по сопровождению ИТ; ключевых компонентов ИТ (для ИТ 2-й и следующих категорий); доступа эксплуатирующего персонала на объекты ИТ;
• журналы: доступа посетителей; регистрации действий по сопровождению ИТ (для ИТ 3-й и следующих категорий);
• правила поведения эксплуатирующего персонала в отношении обеспечения безопасности ИТ,
• соглашения о доступе;
• базовая конфигурация ИТ;
• реестр компонентов ИТ.
В тексте СТР-45 очень кратко упоминается о том, что должен содержать каждый из перечисленных документов. Учитывая отсутствие необходимой методической базы, можно полагать, что разработка документации по ИТ будет непростым делом для потребителей.
Организационно-распорядительная документация по применению мер и средств обеспечения безопасности ИТ должна относиться к информации ограниченного доступа.