При разработке политики информационной безопасности объектов информатизации необходимо обеспечить:

• универсальность решений и полноту требований по информационной безопасности компании для мультипротокольных реализаций действующих информационных и коммуникационных систем объектов информатизации компании в соответствии с законодательными и нормативными актами Российской Федерации;

• формирование системы взглядов, требований и решений, обеспечивающих единство, интегрированность и совместимость реализации мероприятий раздела «Система обеспечения информационной безопасности компании» («Создание и развитие удостоверяющего центра, выдающего сертификаты ключей ЭЦП», «Разработка концепции программно-аппаратного комплекса мониторинга и защиты информационных ресурсов объектов информатизации компании от внешних и внутренних угроз информационной безопасности», «Создание и развитие защищенного центра резервного хранения данных информационных ресурсов компании»);

• формирование системы взглядов, требований и решений по информационной безопасности компании, необходимых для реализации проектов в области защиты информации.

При разработке политики информационной безопасности необходимо:

• разработать требования по обеспечению безопасности информационных ресурсов и систем компании;

• обследовать проекты, защищаемые объекты информатизации;

• разработать проект Технического задания на создание единой системы информационной безопасности компании;

• определить перечень первоочередных работ по защите программными и аппаратными способами информационных ресурсов и систем компании от несанкционированного доступа, искажения или потери;

• подготовить испытательный стенд для отработки типовых решений в области защиты информации;

• разработать технико-экономическое обоснование реализации базовых технологий по обеспечению информационной безопасности в рамках проектов планируемого года;

• подготовить и выпустить комплект необходимой документации, представить ее на экспертизу.

Решения, полученные в результате разработки политики информационной безопасности объектов информатизации компании, должны обеспечивать:

• возможность создания единой системы информационной безопасности компании;

Требования к политике безопасности. Разработка политики информационной безопасности компании должна быть осуществлена с учетом:

• существующих общих проблем и тенденций обеспечения информационной безопасности информационно-коммуникационных технологий на основе мирового и отечественного опыта;

• законодательной и нормативной основы обеспечения информационной безопасности информационно-коммуникационных технологий;

В результате разработки политики информационной безопасности компании должны быть рассмотрены:

• потенциальные угрозы информационным ресурсам и системам, возможные последствия их реализации;

• требования и методы противодействия угрозам информационной безопасности;

• технологии обеспечения информационной безопасности защищаемых ресурсов и систем;

• функциональные подсистемы и организационные процедуры обеспечения информационной безопасности ресурсов и систем объектов информатизации компании;

• органы и процедуры управления деятельностью по обеспечению информационной безопасности;

В результате обследования должны быть оценены решения и разработаны типовые требования по обеспечению информационной безопасности компании.

Документирование проекта. Отчетная документация оформляется в соответствии с общими требованиями к текстовым документам по ГОСТ 2.105-79.

В процессе выполнения работ Исполнителем разрабатывается следующая документация:

• Политика информационной безопасности компании;

• Итоговый научно-технический отчет;

• Предложения по реализации Концепции информационной безопасности компании на период 2005–2007 годов (по результатам обследования);

• Проект Технического задания на создание комплексной системы информационной безопасности объектов информатизации компании;