Часть I. Начало работы по правилам
В главе 1 "Что собой представляет политика информационной безопасности" описывается основная идея правил информационной безопасности и насколько важна их разработка. Правила безопасности подобны плану управления проектом, в котором рассматриваются детали реализации. В главе 1 также обсуждаются обязанности руководства по определению и внедрению правил безопасности, а также обязанности по их разработке. Ко всему необходимо подходить с "должной осмотрительностью". Что же касается инцидентов, то в случае расхождения взглядов на них со стороны администрации и правоохранительных органов отсутствие тщательно задокументированных и внедренных правил может вызвать неприятное судебное разбирательство.
В главе 2 "Определение целей политики" и главе 3 "Обязанности в области информационной безопасности" вводятся основы разработки правил информационной безопасности. В главе 2 говорится о том, что разработчики правил безопасности прежде, чем приступить к их разработке, должны четко определить, что именно необходимо защищать. Кроме того, в этой главе описано, какими должны быть правила безопасности для конкретной системы. В главе 3 определяются роли и обязанности сотрудников в области безопасности организации. Акцент делается на обязанностях руководства и роли тех лиц, которые будут стоять на переднем крае проведения в жизнь политики безопасности. Определение этих групп сотрудников необходимо для успеха программы безопасности. В конце главы обсуждаются вопросы проведения инструктажа и другие меры поддержки процесса внедрения правил безопасности.
