Основним робочим документом адміністратора інформаційної безпеки є політика інформаційної безпеки. Майже всі держоргани вже перейнялися її розробкою і все знаходяться в різній стадії готовності. Від постановки задачі до узгодження готового документа. Сьогодні ми в небагатьох словах розповімо про типові проблеми на цьому складному шляху.
1. Якщо немає можливості запросити досвідчених фахівців, то розробити політику можна і самим. Найпростіше почати аналізувати щоденну роботу і виникають проблеми, описувати прийняті рішення. На виході вийде набір інструкцій щодо найбільш нагальних проблем. Рекомендуємо бути обережними з готовими шаблонами з інтернету, їх потрібно сприймати саме як шаблон. Ми ж не даруємо близьким людям першу-ліпшу листівку або віршик з інтернету, якщо і беремо щось звідти, то допрацьовуємо, «налаштовуємо» під себе.
2. Зазвичай, протягом року з початку роботи набирається вже пристойна база знань в письмовому вигляді, можна узагальнювати її у вигляді документа. Краще, якщо вдасться підключити до роботи фахівця, постійно пов'язаного з розробкою документів - методиста, юриста, фахівця нормоконтролю або СМК. Разом можна буде «причесати» документ, впорядкувати розділи.
3. Спробувати узгодити і ввести в дію розроблений проект політики. Для держорганів Узбекистану ця процедура описана такими словами «Розроблений проект політики в установленому порядку спрямовується на узгодження в Міністерство з розвитку інформаційних технологій і комунікацій Республіки Узбекистан і уповноваженим органам». Не вказано (але багатьом зрозуміло), з якими саме ще, крім Мінінфокома , Уповноваженими органами узгоджується проект політики. За нашою практикою саме узгодження з уповноваженими органами займає дуже багато часу - від півроку і більше. За цей час можуть відбутися серйозні зміни в структурі організації, які відіб'ються в тексті політики, а значить, її потрібно буде погоджувати заново.
4. Щоб у весь час узгодження політики в організації був якийсь керівний документ з ІБ, ми пропонуємо затвердити політику хоча б на рівні керівництва самої організації як «тимчасову інструкцію», «тимчасовий порядок». Навіть такий проміжний статус дозволить підприємству (особливо відділу ІБ) працювати в рамках правового поля, зафіксованого документально.
5. Постійно допрацьовувати політику. Не рідше разу на рік потрібно переглядати політику, навіть якщо ніяких значних змін не відбулося. Наприклад, майже у всіх організацій з'явилися групи і канали в Telegram. Забезпечення ІБ при роботі в цьому сервісі потрібно теж включити в політику.

Що почитати ще:
1. Спільну статтю нашого фахівця з експертом Росатома «С чего начинается інформаційна безпека на підприємстві? Кадри вирішують все. »
2. Державний стандарт O'z DSt ISO / IEC 27002 до: 2016 «Інформаційна технологія. Методи забезпечення безпеки. Практичні правила управління інформаційною безпекою » цілком і його 5-й розділ особливо.
3. Методичні посібники з розробки політики інформаційної безпеки на території Республіки Узбекистан . Для держорганів цей документ обов'язковий до керівництва, для всіх інших - до відома.