Разработка AUP
Несмотря на то, что AUP представляет собой весьма важный документ, он должен быть кратким и исчерпывающим. Одна из проблем, с которой можно столкнуться при разработке AUP, заключается в том, что в нем необходимо учесть различные аспекты деятельности различных организаций. Отдел кадров организации захочет получить гарантии, что в документе описаны правила найма на работу и положения трудового законодательства, которыми он тоже должен руководствоваться. Кроме того, тем, кому приходится сотрудничать с подрядчиками и поставщиками, необходимо будет включить документы AUP и правил в контракты с этими сторонними организациями.
Хоть AUP читается легко, многие находят, что разрабатывать этот документ очень сложно. В одной организации стол переговоров превратился чуть ли не в поле битвы, когда руководство, отдел кадров, управление работы с подрядчиками и юристы попытались утвердить AUP. Чтобы достигнуть консенсуса, им пришлось провести три заседания и обменяться массой сообщений по электронной почте.
Язык документа AUP
На протяжении этой книги автор использовал очень формализованный язык для примеров формулировок правил (см. "Язык документов политики безопасности" в главе 4 "Физическая безопасность"). При разработке AUP можно использовать тот же язык, который использовался при разработке документов правил безопасности организации. Поскольку AUP обычно является первым документом, с которым знакомятся, попав в организацию, автор постарался использовать в AUP понятный и достаточно информативный языковой стиль.
При выборе языкового стиля необходимо проявлять осторожность. В противном случае смысл документа может быть искажен. Если язык слишком неофициальный или не лаконичный, то AUP могут не воспринимать всерьез. Если же язык будет слишком официальным, то пользователи могут не воспринимать всерьез сами правила. Поэтому, необходимо найти золотую середину.
Документ AUP должен быть простым и четко оформленным. Когда автор помогал организациям разрабатывать документы AUP, то старался строить документ следующим образом.
Эти правила надежной работы разработаны на базе правил информационной безопасности организации. Копии документов правил информационной безопасности можно получить у заместителя начальника каждого отдела или в электронном виде во внутренней сети организации.
Эти правила могут меняться. Организация может принять решение об изменении правил без предварительного уведомления. После внесения изменений пользователи будут информированы об этом посредством электронной почты.
Пользователь согласен подчиняться предписаниям правил надежной работы и правил информационной безопасномти, начиная с даты подписания им этих правил и до тех пор, пока он будет работать в организации.