ПРД определяют, что нужно защищать.
ПРД определяют: что нужно защищать, что является наиболее важным, каковы приоритеты, и каким должен быть общий подход при решении проблем защиты.
ПРД сами по себе не определяют, КАК защищать. Это - задача СРД, которым и посвящен этот раздел. ПРД должны быть документом концептуального уровня, описывающим общую стратегию. СРД же нужны для того, чтобы детально описать, какие конкретные шаги должна предпринять организация для собственной защиты.
ПРД должны включать анализ риска угроз, которым может подвергаться организация, и последствия этих угроз (смотри ). Анализ риска должен включать общий список ценностей, которые нужно защищать (). Эта информация важна для создания наиболее эффективной СРД.
Часто возникает соблазн начать создание СРД сразу с описания механизмов: "наша организация должна зарегистрировать пользователей компьютеров, модемов и смарт-карт". Это подход может привести к тому, что некоторые области будут слишком защищены, а некоторые недостаточно. Если же вы начали с создания ПРД и описания в ней всех рисков, то можете быть уверенным, что ваша СРД обеспечит нужную степень защиты для всех ценностей.
| |