Определите, какие правила необходимо разработать
Правила информационной безопасности не должны быть единым документом. Чтобы упростить пользование ими, правила могут быть включены в несколько документов. Именно с той же целью эта книга, вместо того чтобы представить сплошной перечень формулировок, разбита на отдельные, объединенные смыслом, главы. Поэтому не стремитесь описать политику компании одним документом, просто разработайте необходимые вам руководящие документы и назовите их главами описания политики информационной безопасности. Тогда их будет легче понимать, легче внедрять и проще организовать изучение этих документов, поскольку каждому аспекту политики безопасности будет посвящен свой собственный раздел. Небольшие разделы также легче корректировать и обновлять.
Сколько различных правил безопасности необходимо разработать? Не хотелось бы отвечать вопросом на вопрос, но, тем не менее, сколько различных видов деятельности и задач поставлено перед вами вашим бизнесом? Для каждой системы, обеспечивающей ваш бизнес, и каждой подзадачи, на которые может быть разбита глобальная цель вашего бизнеса, необходимо разработать отдельный документ. Абсолютно нормально разрабатывать антивирусную защиту отдельно от правил использования Internet. Общепринятая ошибка заключается в попытках втиснуть описание политики безопасности в один документ, который обрисовывает только общие принципы. В результате появляется обширный документ, с которым очень трудно работать, который, возможно, никогда не будет прочитан и не получит никакой поддержки. На рис. 1.1 представлен примерный перечень разрабатываемых правил информационной безопасности.
Рис. 1.1. Примерный список систем, поддерживающих бизнес, для которых разрабатываются правила безопасности
Человечество накопило массу доказательств того, что люди не в состоянии сосредоточить внимание на чем-то одном длительное время. Увы, правила информационной безопасности не являются захватывающей темой. Следовательно, сжатое изложение правил с ясными формулировками и логическим обоснованием в четко скомпанованном документе дадут шанс этому документу быть прочитанным. И не стоит стараться ошеломить свою аудиторию.