Политика в области информационной безопасности Системы Центров общественного доступа должна быть сформирована путем разработки комплекса документированных управленческих решений, направленных на противодействие соответствующим угрозам. Политика безопасности определяет стратегию Системы Центров общественного доступа в области информационной безопасности, а также минимально необходимое количество ресурсов для решения задач.
Политика безопасности должна включать в себя комплексные решения, охватывающие все аспекты использования информационно-коммуникационных технологий. В документ, характеризующий политику безопасности Системы, должны быть включены следующие разделы:
- вводный, определяющий роль и место обеспечения информационной безопасности в Системе Центров общественного доступа;
- организационный, содержащий описание структурных подразделений, комиссий, групп и т.д., отвечающих за работы в области обеспечения информационной безопасности;
- классификационный, описывающий имеющиеся в организации материальные и информационные ресурсы и необходимый уровень их защиты;
- штатный, характеризующий меры безопасности, применяемые к персоналу (описание должностей с точки зрения информационной безопасности, организацию обучения и переподготовки персонала, порядок реагирования на нарушения режима безопасности и т.п.);
- раздел, освещающий вопросы физической защиты оборудования;
- управляющий раздел, описывающий подход к управлению техническими средствами;
- раздел, описывающий правила разграничения доступа к информационным ресурсам;
- раздел, характеризующий порядок разработки и сопровождения автоматизированных информационных систем;
- раздел, описывающий мероприятия по обеспечению непрерывной работы аппаратно-программных комплексов, а также по формированию систем резервирования ресурсов и резервного копирования информации;
- юридический раздел, подтверждающий соответствие политики безопасности действующему законодательству и внутренней нормативно-распорядительной документации.
Весь упомянутый комплекс документов должен пересматриваться, корректироваться и перерабатываться с учетом развития информационно-коммуникационных технологий, а также по мере появления новых угроз информационной безопасности.