В соответствии с действующим законодательством по защите информации в ГИС оператор информационной системы должен принимать технические и организационные меры. Для выполнения организационных мероприятий разрабатывается комплект внутренних документов, в соответствии с которыми оператор ГИС в дальнейшем осуществляет обработку и защиту защищаемой информации.
С целью выполнения требований нормативных документов по защите информации в ГИС, а также с целью регламентации дальнейших действий оператора ГИС по защите таких данных необходимо с учетом реальных условий обработки информации разработать внутренние документы регламентирующие:
— правила и процедуры идентификации и аутентификации пользователей ГИС;
— правила разграничения доступа к ресурсам ГИС;
— правила и процедуры управления информационными потоками;
— правила и процедуры управления установкой (инсталляцией) компонентов программного обеспечения в ГИС;
— правила защиты машинных носителей информации;
— правила и процедуры контроля интерфейсов ввода-вывода;
— правила и процедуры гарантированного уничтожения информации;
— использование и контроль технологий беспроводного доступа и правила защиты беспроводных соединений;
— правила взаимодействия информационных систем с внешними информационными системами;
— правила и процедуры обеспечения доверенной загрузки средств вычислительной техники;
— правила и процедуры применения удаленного доступа к ГИС;
— правила и процедуры обнаружения (предотвращения) вторжений;
— правила и процедуры выявления, анализа и устранения уязвимостей;
— правила и процедуры контроля установки обновлений программного обеспечения;
— правила и процедуры контроля состава технических средств, программного обеспечения и средств защиты информации ГИС;
— правила и процедуры контроля целостности программного обеспечения;
— правила и процедуры резервирования технических средств, программного обеспечения, баз данных, средств защиты информации и их восстановления при возникновении нештатных ситуаций;
— правила использования электронной почты и защиты от спама;
— правила и процедуры контроля использования технологий мобильного кода;
— ролевую систему доступа к ресурсам ГИС;
— перечень лиц, должностей, служб и процессов, допущенных к работе с ресурсами ГИС;
— перечень лиц, допущенных в помещения, в которых производится обработка персональных данных;
— перечень разрешенного в ГИС программного обеспечения;
— правила реагирования на инциденты информационной безопасности;
— другие правила и процедуры.
Помимо указанных правил и процедур дополнительно должны разрабатываться инструкции пользователей ГИС, лиц ответственных а защиту информации в ГИС (администраторов безопасности), формы: актов, соглашений о неразглашении, уничтожения документов, журналов учета и т. д.
В зависимости от условий функционирования ГИС, некоторые правила и процедуры из представленного выше списка могут исключаться, а некоторые – добавляться (например, в списке нет правил и процедур защиты виртуальной инфраструктуры). Исходя из этого, разработка комплекта документов по защите информации в ГИС достаточно индивидуализирована для каждой системы.