Создание системы защиты информации любой автоматизированной системы, прежде всего, подразумевает выполнение комплекса организационно-технических мероприятий, которые в первую очередь включают в себя разработку ряда организационно-распорядительных документов (разработку политики защиты автоматизированной системы-объекта информатизации). Политика защиты объекта информатизации (ОИ) имеет свою форму и содержание.
Политика защиты ОИ - это строго нормированная и упорядоченная совокупность положений нормативных правовых актов Российской Федерации и требований НД по защите ресурсов и процессов ОИ.
Согласно требованиям нормативных документов (например, ГОСТ Р 50600-93 и других) ОКБ САПР разрабатывает и предоставляет комплекты организационно-распорядительных документов по политике защиты объектов информатизации:
а) общесистемные документы на ОИ.
ПЗ.0010-01 Общая политика безопасности фирмы (собственника ОИ);
ПЗ.0011-01 Перечень защищаемых сведений;
ПЗ.0011-02 Положение о работе с защищаемыми сведениями;
ПЗ.0011-03 Инструкция по специальному делопроизводству
ПЗ.0011-04 Инструкция по созданию и использованию информационных ресурсов на ОИ;
ПЗ.0012-05 Инструкция об учете режимных требований на ОИ и правил доступа к информационным ресурсам;
ПЗ.0012-01 Требования к информационному фонду фирмы;
ПЗ.0013-01 Положение об Экспертном совете (ПДТК) фирмы;
ПЗ.0014-01 Положение о Службе защиты ОИ;
ПЗ.0014-02 Положение о Службе безопасности фирмы;
ПЗ.0015-01 Основы политики защиты ОИ;
ПЗ.0015-02 Рекомендации по разработке и испытаниям ОИ;
ПЗ.0015-03 Обобщенные организационные меры защиты ОИ;
ПЗ.0016-01 Перечень документов, регламентирующих разработку, испытания и эксплуатацию защищенного ОИ;
ПЗ.0017-01 Термины и определения. Справочный материал;
ПЗ.0017-02 Форма и содержание документов, установленных стандартами для ОИ.
Справочный материал;
ПЗ.0018-01 О лицензировании деятельности в области связи, информатизации и технической защиты информации. Справочный материал;
б) документы по защите объектов информатизации:
КЗ.0021-01 Требования к комплексной защите ОИ;
КЗ.0021-02 Требования к физической защите зданий, помещений и контролируемой зоны объекта информатизации;
КЗ.0022-01 Требования к видам обеспечения защищенного ОИ;
КЗ.0023-01 Особенности стадий и этапов разработки ОИ. Методические рекомендации;
КЗ.0024-01 Рекомендации по защите взаимосвязи ОИ с другими объектами;
КЗ.0025-01 Порядок разработки и эксплуатации программных средств;
КЗ.0026-01 Рекомендации по выбору ЭВМ, СВТ, ПС, средств связи, средств защиты ОИ;
КЗ.0027-01 Программа испытаний ОИ с целью аттестации на соответствие положениям нормативных правовых актов РФ и требованиям НД по защите;
КЗ.0028-01 Рекомендации по поддержанию уровня защиты ОИ на этапах эксплуатации;
в) технологические Инструкции, Положения:
И-31 Инструкция по эксплуатации защищенной автономной ПЭВМ;
И-32 Инструкция по эксплуатации защищенного ОИ;
И-33 Инструкция по изготовлению, учету и выдаче паролей на ОИ;
И-34 Инструкция администратору защиты ОИ;
И-35 Инструкция пользователю защищенного ОИ;
И-36 Инструкция по классификации дефектов и нарушений на ОИ;
И-37 Инструкция на случай нештатных ситуаций на ОИ;
И-38 Инструкция по рассмотрению нештатных ситуаций на ОИ;
И-39 Инструкция о проведении работ при обнаружении заражения ПЭВМ (рабочих станций сети) компьютерными вирусами;
И-40 Инструкция о противопожарной безопасности на ОИ;
И-41 Порядок обращения со средствами криптографической защиты на ОИ;