Второй уровень составляют документы, определяющие правила и принципы, которые используются применительно к отдельным областям информационной безопасности, видам и технологиям деятельности организации данного сектора экономики. Кроме того, в состав документов второго уровня целесообразно включать планы работ по обеспечению информационной безопасности. При этом нецелесообразно повторение одинаковых правил в различных частных политиках, а включение в частную политику правила, содержащегося в другой, уже существующей политике, целесообразно осуществлять посредством необходимой ссылки. Частные политики безопасности формируются на основании принципов, требований и задач, которые определены на первом уровне. При этом в обязательном порядке учитывается детализация, уточняется и дополнительная классификация активов и угроз, определяются владельцы активов, анализируются и оцениваются риски, а также возможные последствия реализации угроз в данной области. В частные политики организации включаются следующие положения:
Цели и задачи информационной безопасности, на обеспечение которых направлена частная политика;
Область действия политики;
Определение объектов защиты, уязвимостей, угроз и оценка рисков, связанных с объектами защиты. Сведения о виде деятельности, на обеспечение информационной безопасности которых направлено действие положений политики, о совокупности информационных технологий, применяемых в рамках выполнения данного вида уставной деятельности, а также сведения об основных технологических процессах, реализуемых при помощи данных технологий
Определение субъектов, на которых распространяется данныедокументы. При этом, в качестве субъектов могут рассматриваться как структурные подразделения, так и исполнители.
Требования и правила по обеспечению информационной безопасности данного информационного сервиса.
Обязанности по обеспечению информационной безопасности в рамках области действия частной политики.
Описание функций субъектов над управляемыми объектами в рамках регламентируемых технологических процессов.
Состав ссылочных документов (к ссылочным документам относятся документы, ознакомление с которыми обязательно для правильного понимания текста политики информационной безопасности).
Положение по контролю реализации частной политики информационной безопасности.
Ответственность за реализацию и поддержку документа.
Условия пересмотра документа.
С целью контроля за состоянием информационной безопасности организации, а также оперативного реагирования на нарушения информационной безопасности, в состав документов второго уровня рекомендуется включать следующие планы:
План мероприятий на случаи возможных инцидентов информационной безопасности
План мероприятий по управлению документами, связанными с обеспечением информационной безопасности (менеджмент документов)
Планы работ по обслуживанию аппаратных средств и программных систем, используемых для обеспечения информационной безопасности
Планы мероприятий по обучению и повышению осведомленности сотрудников организации
Примечание. Этот перечень не является исчерпывающим. Главное, что в планах рекомендуется описывать перечень, порядок, объем и сроки выполнения мероприятий по реализации задач обеспечения информационной безопасности организации. В обязательном порядке в планах указываются руководители, исполнители и ответственные за выполнение мероприятий. Планы должны определять следующие позиции:
Последовательность выполнения мероприятий в рамках деятельности по обеспечению информационной безопасности.
Сроки начала и окончания запланированных мероприятий.
Физические лица или структурные подразделения, то есть субъеты, отвечающие за проведения мероприятий.
К разработке и согласованию частных политик информационной безопасности рекомендуется привлекать представителей высшего руководства организации и профильных подразделений, а также представителей служб информатизации и безопасности. Документы второго уровня могут юыть утверждены руководителем организации или руководителем подразделения, заместитель руководителя службы безопасности, или должностное лицо, в компетенцию которого входит решение таких вопросов.