4.3.1. Третий уровень документов по обеспечению ИБ составляют документы, содержащие требования к процедурам обеспечения ИБ, выполняемым работниками в рамках технологических процессов, реализующих технологии, требования ИБ к которым определены в частных политиках организации БС РФ.
4.3.2. В документах, содержащих требования ИБ к процедурам, выполняемым как структурными подразделениями организации БС РФ, так и ее работниками, рекомендуется давать детализированные описания порядка выполняемых действий и(или) вводимых ограничений, что должно позволить четко определить правила выполнения задач обеспечения ИБ на каждом рабочем месте, для каждой роли ИБ, а также установить конкретную ответственность за выполнение предписанных требований.
4.3.3. К документам, содержащим требования ИБ к процедурам, относятся, например:
- инструкции по обеспечению ИБ, в том числе и должностные;
- руководства по обеспечению ИБ, например, по классификации активов;
- методические указания по обеспечению ИБ;
- документы, содержащие требования к конфигурациям.
4.3.4. Инструкции, руководства, методические указания по обеспечению ИБ содержат свод правил, устанавливающих порядок и способ выполнения отдельных операций по обеспечению ИБ.
4.3.5. К инструкциям, руководствам, методическим указаниям по обеспечению ИБ предъявляются повышенные требования четкости и ясности изложения текста. Документы этого уровня, в отличие от документов вышестоящего уровня, описывают конкретные приемы и порядок действий сотрудников для решения определенных им (например, ролью) задач либо конкретные ограничения.
4.3.6. Рекомендуется, чтобы инструкции, руководства, методические указания по обеспечению ИБ содержали:
- определение субъекта (субъектов), деятельность которых регламентируется инструкцией, и/или наименование деятельности, которая описывается инструкцией;
- ресурсы, необходимые для выполнения деятельности;
- детальное описание выполняемых операций, включая накладываемые ограничения, и результат выполнения операций;
- обязанности субъекта (субъектов) в рамках выполнения регламентируемой деятельности;
- права и ответственность субъекта (субъектов).
4.3.7. Документы, содержащие требования к конфигурациям, определяют конкретные значения параметров систем и их компонентов, а также способы их настройки, позволяющие обеспечить требуемый уровень ИБ.
4.3.8. Документы, содержащие процедурные требования ИБ, могут быть утверждены лицами, ответственными за реализацию соответствующих видов деятельности по обеспечению ИБ.