4.1. Определение производственных систем и процессов, подлежащих защите

На первом этапе необходимо определить перечень информации, относящейся к конфиденциальной, и выделить производственные системы и процессы, в которых происходит обращение этой информации. Это поможет определить, сколько и каких правил должно быть разработано для успешной деятельности компании, а после разработки позволит узнать, все ли стороны деятельности компании охвачены разрабатываемыми правилами.

4.2. Определение целей политики безопасности

Прежде чем приступать к разработке руководящих документов, необходимо определить глобальные цели политики.

Выделенные и рассмотренные на предыдущем этапе производственные системы необходимо разбить на отдельные компоненты по типу используемых материальных и нематериальных ресурсов.

Правила могут быть написаны для защиты аппаратных средств, программного обеспечения, средств доступа к информации, людей, внутренних коммуникаций, сети, телекоммуникаций и т.д.

Как правило, выделяют следующий минимум целей:

• система контроля доступа в помещения организации;

• аппаратные средства информационных технологий (в том числе локальная вычислительная сеть и инвентаризационный учёт);

• программные средства информационных технологий (в том числе подсистема резервирования и архивации информации);

• система управления доступом к информационной системе предприятия (политики учётных записей и паролей);

• кадровая политика;

• система антивирусной защиты;

• система внешнего доступа к информационным ресурсам предприятия (в зависимости от сложности может быть разделена на отдельные системы электронной почты, Web и т.д.);

• внекомпьютерные информационные ресурсы (бумажные документы и т.п.)

4.3. Рекомендации по разработке правил информационной безопасности

При разработке правил контроля доступа в помещения организации рекомендуется рассмотреть не только вопросы организации охраны объектов и пропускных пунктов, но и такие вопросы как: размещение оборудования в здании, используемые двери и запорные устройства, система регистрации лиц, имеющих право доступа, в случаях использования этого права. Отдельно рекомендуется проработать вопросы защиты информации в случае пожаров и других бедствий, несвязанных с действиями злоумышленников.

В предписаниях правил, относящихся к аппаратному обеспечению, рекомендуется регламентировать вопросы инвентаризационного учёта аппаратного обеспечения (особенно, носителей конфиденциальной информации), подключения к локальной вычислительной сети предприятия. Особое внимание следует уделить вопросу очистки и уничтожения носителей конфиденциальной информации, т.к. обычно они просто выкидываются.

При проработке цели «программное обеспечение информационных технологий» следует уделить внимание вопросам открытости применяемых программных продуктов, их лицензионной чистоты, а также сертификации соответствующими органами Российской Федерации.

5. Оформление пояснительной записки

Правила информационной безопасности могут быть оформлены единым документом. Однако чтобы упростить пользование ими, на практике рекомендуется оформлять их в виде отдельных документов для каждой из выделенных целей. Тогда их будет легче понимать, легче внедрять и проще организовать изучение этих документов, поскольку каждому аспекту политики безопасности будет посвящен свой собственный документ. Небольшие документы также легче корректировать и обновлять.

При оформлении пояснительной записки по курсовой работе каждая цель должна быть описана в отдельном разделе пояснительной записки. Наименования разделов задаются именем соответствующей им цели политики.