Процедуры. Следующим уровнем документов являются процедуры. Роль процедуры – определить, как реализуются и администрируются средства безопасности. Процедуры являются своего рода «библией» для сотрудников компании, их ежедневным руководством к действию. Процедуры, в отличие от политики и стандартов, являются часто изменяющимися документами, поэтому важно иметь в компании хорошую процедуру управления изменениями документов. Каждая процедура должна быть написана в соответствии с общим шаблоном, разработанным для процедур, быть доступной сотрудникам как в электронном, так и в бумажном виде. Так как некоторые процедуры могут содержать конфиденциальную информацию, то доступ к ним может быть ограничен, что регулируется отдельным стандартом.

Рекомендуемыми элементами процедур безопасности являются:

 цель процедуры:

– для соответствия какому стандарту она разработана;

– для чего нужна процедура;

 область действия процедуры:

– к каким системам, сетям, приложениям, категориям персонала, помещениям применима процедура;

– какая роль необходима для выполнения процесса;

– что нужно знать для выполнения процесса;

 определение процесса:

– введение в процесс(описание);

– детальное описание процесса (как, когда, что, критерии успеха, виды отчетов, взаимодействие с другими процессами);

 контрольный список процесса;

2.6. Подход SANS

2.6.1. Описание политики безопасности

Организация SANS выработала свой подход в понимании политики информационной безопасности и ее составляющих. В терминологии SANS политика информационной безопасности – многоуровневый документированный план обеспечения информационной безопасности компании:

• верхний уровень – политики;

• средний уровень – стандарты и руководства;

• низший уровень – процедуры.

Далее документы разбиваются на следующие основные категории:

• утверждение руководства о поддержке политики информационной безопасности;

• основные политики компании;

• функциональные политики;

• обязательные стандарты (базовые);

• рекомендуемые руководства;