Язык документов политики безопасности
Язык документов политики безопасности
Очень важно, каким языком написаны правила безопасности, не менее важно, чем при написании этой книги.
Язык, особенно языковой стиль, используемый при составлении формулировок правил, может сказать много о документе, а также о том, как в организации относятся к правилам информационной безопасности.
Можно допустить и ложное толкование документа. Если язык чересчур формален или многословен, то может возникнуть мнение, что правила написаны для них как бы свысока. Если же язык чересчур неформален, то служащие могут и не воспринять эти правила серьезно.Поэтому, здесь нужно искать золотую середину.
В этой книге представлены формулировки правил, написанные простым языком, но формальным стилем. Формулировки составлены без использования модных словечек или жаргона. Формальность связана с тенденцией использовать в формулировках правил повелительные безличные наклонения (в английском варианте слова "shall" и "shall not"). Те, кто работают с федеральным правительством, отметят, что этот стиль похож на стиль, который используется в заявках на : торгах (RFP — Request For Proposals) или в рабочих предписаниях (SOW — statement of work).
Стоит отметить, что в формулировке задается размер помещения без указания конкретных размеров. Выражением "помещения должны иметь достаточные размеры" правило предписывает, чтобы эти помещения для компьютеров были подходящими. Тонкость этого момента заключается в том, что требования этих правил будут гарантировать, что при проектировании новых площадей офиса будет достаточно серьезно учтено обеспечение необходимыми помещениями информационных систем.
Одним из вопросов, которые необходимо учесть при разработке правил монтажа оборудования, является доступность к резервным источникам электропитания и доступ к ресурсам, предоставляемым предприятиями коммунального хозяйства. Под резервными источниками электропитания подразумевается все,. начиная от энергетической компании, обеспечивающей электроэнергией от отдельных энергетических систем, до источников бесперебойного питания (UPS— uninterruptible power supply), которые снабжают компьютеры электроэнергией аккумуляторов, предоставляя администратору время для отключения систем и выполнения всех подготовительных для отключения питания операций. Сложности начинаются при разработке правил, в которые включены требования по электроэнергии. Правила должны отражать физические и экономические реалии, и в то же время определять, что необходимо делать, чтобы обезопасить бизнес-процесс. Например, банк может затребовать полное резервирование электрообеспечения систем, которые обеспечивают автоматическое функционирование банкоматов, но - ограниченное резервирование для систем, которые поддерживают работу этих банкоматов только в рабочее время. Правило могло бы быть следующим:
Компьютерное оборудование нужно размещать в помещениях, в которых имеется несколько дверей и пожарных выходов с полами жесткой конструкции, и в которых предусмотрен доступ к резервным источникам электропитания.
