Прежде чем приступать к разработке руководящих документов, необходимо определить глобальные цели политики.
Выделенные и рассмотренные на предыдущем этапе производственные системы необходимо разбить на отдельные компоненты по типу используемых материальных и нематериальных ресурсов.
Правила могут быть написаны для защиты аппаратных средств, программного обеспечения, средств доступа к информации, людей, внутренних коммуникаций, сети, телекоммуникаций и т.д.
Как правило, выделяют следующий минимум целей:
− система контроля доступа в помещения организации;
− аппаратные средства информационных технологий (в том числе локальная вычислительная сеть и инвентаризационный учёт);
− программные средства информационных технологий (в том числе подсистема резервирования и архивации информации);
− система управления доступом к информационной системе предприятия (политики учётных записей и паролей);
− кадровая политика;
− система антивирусной защиты;
|
|
− система внешнего доступа к информационным ресурсам предприятия (в зависимости от сложности может быть разделена на отдельные системы электронной почты, Web
и т.д.);
− внекомпьютерные информационные ресурсы (бумажные документы и т.п.)
4.3. Рекомендации по разработке правил
информационной безопасности
При разработке правил контроля доступа в помещения организации рекомендуется рассмотреть не только вопросы организации охраны объектов и пропускных пунктов, но и такие вопросы как: размещение оборудования в здании, используемые двери и запорные устройства, система регистрации лиц, имеющих право доступа, в случаях использования этого права. Отдельно рекомендуется проработать вопросы защиты информации в случае пожаров и других бедствий, несвязанных с действиями злоумышленников.
В предписаниях правил, относящихся к аппаратному обеспечению, рекомендуется регламентировать вопросы инвентаризационного учёта аппаратного обеспечения (особенно, носителей конфиденциальной информации), подключения к локальной вычислительной сети предприятия. Особое внимание следует уделить вопросу очистки и уничтожения носителей конфиденциальной информации, т.к. обычно они просто выкидываются.
При проработке цели «программное обеспечение информационных технологий» следует уделить внимание вопросам открытости применяемых программных продуктов, их лицензионной чистоты, а также сертификации соответствующими органами Российской Федерации.