2 этап:Разработка организационных документов регламентирующих общие требования по защите информации в организации

Вторым этапом в организации работ по защите информации мы считаем разработку организационных документов, регламентирующих общие требования по защите информации в организации.

Вполне возможно, что на момент проведения работ по защите информации в организации уже приняты определеннные меры по защите информации: установлено антивирусное програмное обеспечение на рабочие станции и сервера, регламентирован доступ на территорию организации, организована физическая охрана территории (помещений) и т.д.

Все эти меры Вы сможете учитывать на следующих этапах построения системы защиты информации, только если принятие этих мер строго регламентировано организационными документами, требования которых распространяются в целом на организацию.

Например: если доступ на територию организации осуществляется через пост вневедомственой охраны с проходом через турникет и фиксацией времени входа-выхода сотрудников, пропуск посетителей осуществляется по пропускам при предъявлении документа, удостоверяющего личность, и т.п., но это не регламетировано никаким документом, с которым под роспись  ознакомлены ответственные должностные лица, и не определены мероприятия по контролю соблюдения установленных требований, то говорить о том, что приняты организационные меры, направленные на физическую защиту объекта, мы не можем.

На этом этапе работ нам необходимо:

1. Выявить и упорядочить (при наличии) документы, регламентирующие вопросы, касающиеся защиты информации.

2. С учетом анализа, проведенного на первом этапе, внести корректировки и дополнения (возможно ужесточение требований в сответствии с наличием в организации информации ограниченого распространения).

3. Разработать недостающие документы.

Итак, какими все-таки документами регламентируются общие требования по защите информации в организации? В этом вопросе все сугубо индивидуально и зависит от множества факторов. Приведем основные.

• Положение о пропускном режиме.
• Приказ о назначении ответственного за защиту информации и распределении обязанностей.
• Инструкция о работе в сети интернет и использовании электронной почты организации.
• Инструкция системного администратора.
• Инструкция по антивирусному контролю.
• Инструкция по парольной защите.
• Инструкция пользователя.
• План обеспечения непрерывной работы и восстановления работоспособности подсистемы.
• Порядок обращения с информацией, подлежащей защите.
• Концепция обеспечения безопасности информации в автоматизированной системе организации.

При разработке документов необходимо помнить: защите подлежит вся информация, циркулирующая в организации, только подход должен быть дифференцированным. Если к информации ограниченного распространения предъявляется, как одно из основных требований, конфиденциальность, то к информации, не подлежащей защите в соответствии с требованиями федерального законодательства, должны предъявляться требования защиты от уничтожения, модифицирования, блокирования и иных неправомерных действий, которые могут нанести ущерб организации.

Вопрос дифференцированного подхода к защите информации подробно расмотрен на 3 этапе - Проведение категорирования и классификации информационных ресурсов.