Структура руководства по обеспечению информационной безопасности

Политика безопасности организации - понятие очень широкое. Конечно, она должна быть документирована. Из каких разделов она должна состоять? Какую документацию она должна в себя включать? Изучение международных стандартов в области информационной безопасности позволяет определить структуру документа под названием "Руководство по обеспечению информационной безопасности организации", обобщающего накопленный опыт бумаготворчества в этой области.

Часть 1. Политика безопасности

• Вводный раздел подтверждающий озабоченность высшего руководства проблемами информационной безопасности
• Организационный раздел содержащий описание подразделений, комиссий, групп и т.д., отвечающих за работы в области информационной безопасности
• Классификационный раздел описывающий имеющиеся в организации материальные и информационные ресурсы и необходимый уровень их защиты;
• Штатный раздел характеризующий меры безопасности, применяемые к персоналу (описание должностей с точки зрения информационной безопасности, организация обучения и переподготовки персонала, порядок реагирования на нарушения режима безопасности и т.п.)
• Раздел освещающий вопросы физической защиты
• Управляющий раздел описывающий подход к управлению компьютерами и компьютерными сетями
• Раздел описывающий правила разграничения доступа к производственной информации
• Раздел, характеризующий порядок разработки и сопровождения систем
• Раздел, описывающий меры, направленные на обеспечение непрерывной работы организации
• Юридический раздел подтверждающий соответствие политики безопасности действующему законодательству

 Часть 2. Общие принципы обеспечения безопасности АС

• Обеспечение безопасности ОС
• Обеспечение безопасности финансовых приложений
• Обеспечение безопасности систем электронного документооборота 
• Обеспечение безопасности средств связи и телекоммуникаций
• Обеспечение безопасности серверов ЛВС
• Обеспечение безопасности рабочих мест пользователей
• Обеспечение безопасности баз данных
• Обеспечение безопасности при работе пользователей в сети Интернет
• Общие принципы защиты от компьютерных вирусов и других разрушающих программных воздействий
• ...

 Часть 3. Организация режима информационной безопасности

• Организационная структура подразделений обеспечивающих режим информационной безопасности
• Задачи по обеспечению информационной безопасности
• Ответственность должностных лиц за выполнение требований информационной безопасности
• Руководящие принципы по использованию АС и СВТ в соответствии с требованиями информационной безопасности
• Стратегия управления системой информационной безопасности
• ...

 Часть 4. Инструкции по обеспечению информационной безопасности

• Инструкция для пользователей АС
• Инструкция для администраторов АС
• Инструкция для инженеров и техников
• Инструкция для администратора безопасности АС
• Инструкция для администратора МЭ
• Инструкции для администраторов прикладных подсистем
• ...

 5. Приложения

• Регламент использования съемных носителей информации
• Регламент по работе с переносными компьютерами
• Регламент по подключению и работе в сети Интернет
• Регламент по обеспечению защиты информации от утечки по техническим каналам
• Инструкция по обеспечению сохранности сведений ограниченного распространения
• ...