Пример правил администрирования
ЦЕЛЬ. Ввести правила администрирования и внедрить правила информационной безопасности.
Инструктаж пользователей
ЦЕЛЬ. Обеспечить знание и понимание всеми пользователями правил.
ПРАВИЛО. Все пользователи сетей и систем Компании должны пройти инструктаж для ознакомления с правилами безопасности, прежде чем им будет предоставлен доступ. Пользователи, которые уже работают в сети, должны пройти инструктаж в течение 30 дней после введения в действие этих правил.
Публикация и уведомление
ЦЕЛЬ. Опубликовать правила, чтобы они стали доступными для всех пользователей, и сообщить им о публикации.
ПРАВИЛО. Отдел кадров несет ответственность за публикацию во внутренней сети Компании правил информационной безопасности и всех их обновлений. Отдел кадров должен уведомить каждого пользователя о публикации документа правил, а также о том, как получить к ним доступ.
ЦЕЛЬ. Предоставить печатные копии тем, кто не имеет доступа к электронной версии документа.
ПРАВИЛО. Отдел кадров должен предоставить каждому отделу и пользователям, не имеющим права доступа во внутреннюю сеть, по одной печатной копии документа правил одновременно с публикацией электронной версии.
Обязанности руководства
ЦЕЛЬ. Предоставить право на проведение мониторинга.
ПРАВИЛО. Руководство имеет право контролировать всю деятельность в системах и сетевой трафик для обеспечения гарантий выполнения этих правил. Для этого руководство назначает соответствующих администраторов и возлагает на них обязанности по проведению мониторинга, а также другие обязанности, связанные с поддержкой безопасности.
ЦЕЛЬ. Предоставить право устанавливать средства управления доступом.
ПРАВИЛО. Руководство имеет право устанавливать средства управления доступом в соответствии с требованиями этих правил.
ЦЕЛЬ. Предоставить право тестирования средств управления доступом.
ПРАВИЛО. Руководство и назначенные администраторы несут ответственность за тестирование средств управления доступом и сети на наличие уязвимых мест. Пользователи не должны проводить тестирование на наличие уязвимых мест в сети и средств управления доступом вручную или с помощью программных средств.
ЦЕЛЬ. Исключить возможность использования уязвимых мест.
ПРАВИЛО. Когда уязвимые места становятся известны, пользователи не должны использовать их возможности вручную или с помощью программных средств.
ЦЕЛЬ. Ограничить пользование средствами обеспечения безопасности и тестирования только представителями руководства и администраторами.
ПРАВИЛО. Руководство и назначенные администраторы должны иметь доступ к средствам, которые могут помочь в управлении и тестировании системы обеспечения информационной безопасности. Пользователи не должны иметь доступ к этим средствам через сеть Компании. Пользователи не должны загружать эти средства в любую область сети или "скачивать" их оттуда.