Разработка AUP
Несмотря на то, что AUP представляет собой весьма важный документ, он должен быть кратким и исчерпывающим. Одна из проблем, с которой можно столкнуться при разработке AUP, заключается в том, что в нем необходимо учесть различные аспекты деятельности различных организаций. Отдел кадров организации захочет получить гарантии, что в документе описаны правила найма на работу и положения трудового законодательства, которыми он тоже должен руководствоваться. Кроме того, тем, кому приходится сотрудничать с подрядчиками и поставщиками, необходимо будет включить документы AUP и правил в контракты с этими сторонними организациями.
Хоть AUP читается легко, многие находят, что разрабатывать этот документ очень сложно. В одной организации стол переговоров превратился чуть ли не в поле битвы, когда руководство, отдел кадров, управление работы с подрядчиками и юристы попытались утвердить AUP. Чтобы достигнуть консенсуса, им пришлось провести три заседания и обменяться массой сообщений по электронной почте.
Язык документа AUP
На протяжении этой книги автор использовал очень формализованный язык для примеров формулировок правил (см. "Язык документов политики безопасности" в главе 4 "Физическая безопасность"). При разработке AUP можно использовать тот же язык, который использовался при разработке документов правил безопасности организации. Поскольку AUP обычно является первым документом, с которым знакомятся, попав в организацию, автор постарался использовать в AUP понятный и достаточно информативный языковой стиль.
При выборе языкового стиля необходимо проявлять осторожность. В противном случае смысл документа может быть искажен. Если язык слишком неофициальный или не лаконичный, то AUP могут не воспринимать всерьез. Если же язык будет слишком официальным, то пользователи могут не воспринимать всерьез сами правила. Поэтому, необходимо найти золотую середину.
Документ AUP должен быть простым и четко оформленным. Когда автор помогал организациям разрабатывать документы AUP, то старался строить документ следующим образом.
- Введение и назначение. Документ начинается с абзаца, где разъясняется, что такое AUP, его назначение и правила, на которых он базируется. В некоторых организациях, по совету своих юристов, добавляют формулировку, в которой в общих чертах говорится о том, какие области охватывают правила.
- Одобрение "высших инстанций. AUP разрабатывается на базе уже разработанных правил. Добавляется формулировка, в которой говорится об этом, а также указывается, где пользователь может прочитать копии документов данных правил. Кроме того, пользователь должен знать, что правила могут меняться. Можно включить такую формулировку.
Эти правила надежной работы разработаны на базе правил информационной безопасности организации. Копии документов правил информационной безопасности можно получить у заместителя начальника каждого отдела или в электронном виде во внутренней сети организации.
Эти правила могут меняться. Организация может принять решение об изменении правил без предварительного уведомления. После внесения изменений пользователи будут информированы об этом посредством электронной почты.
- Срок. Автор был удивлен, узнав, что в юридические документы такого типа, как и наши правила безопасности, требуется вводить формулировку, определяющую срок их действия. Хорошая общая формулировка может выглядеть следующим образом.
Пользователь согласен подчиняться предписаниям правил надежной работы и правил информационной безопасности, начиная с даты подписания им этих правил и до тех пор, пока он будет работать в организации.
- Обязанности пользователей. Поскольку AUP представляет собой краткое изложение правил, в них следует включить те положения правил, на которых необходимо сделать ударение. Далее в главе будут обсуждаться те постановления, которые стоило бы включить в документ AUP.