Прежде чем приступить к разработке документов, оп­ределяющих порядок ЗИ, нужно провести оценку уг­роз, определить информационные ресурсы, которые целесообразно защищать в первую очередь, и подумать, что необходимо для обеспечения их безопасности.
Целесообразно обратить внимание на следующие воп­росы:

• принадлежность информации; об информации обя­зан заботиться тот, кому она принадлежит;
• определение важности информации; пока не опре­делена значимость информации, не следует ожидать проявлений должного отношения к ней;
• значение секретности; как пользователи хотели бы защищать секретность информации? Нужна ли она им вообще?

Нормативно-методическая документация должна содержать следующие вопросы защиты информации:

• какие информационные ресурсы защищаются;
• какие программы можно использовать на служеб­ных компьютерах;
• что происходит при обнаружении нелегальных про­грамм или данных;
• дисциплинарные взыскания и общие указания о проведении служебных расследований;
• на кого распространяются правила;
• кто разрабатывает общие указания;
• кто имеет право изменять указания;
• точное описание полномочий и привилегий долж­ностных лиц;
• кто может предоставлять полномочия и привиле­гии;
• порядок предоставления и лишения привилегий в области безопасности;
• полнота и порядок отчетности о нарушениях безо­пасности и преступной деятельности;
• особые обязанности руководства и служащих по обеспечению безопасности;
• объяснение важности правил (пользователи, осозна­ющие необходимость соблюдения правил, точнее их
  выполняют);
• даты ввода в действие и пересмотра;
• кто и каким образом ввел в действие эти правила.

Некоторые нормативно-методические документы, необходимые для организации защиты информации
Для организации и обеспечения эффективного функ­ционирования СЗИ должны быть разработаны доку­менты, определяющие порядок и правила обеспечения безопасности информации при ее обработке в ИС, а также документы, определяющие права и обязанности пользователей при работе с электронными документа­ми юридического характера (договор об организации обмена электронными документами).
План защиты информации может содержать сле­дующие сведения:

• назначение ИС;
• перечень решаемых ею задач;
• конфигурация;
• характеристики и размещение технических средств и программного обеспечения;
• перечень категорий информации (пакетов, файлов, наборов и баз данных, в которых они содержатся), подлежащих защите в ИС;
• требования по обеспечению доступности, конфи­денциальности, целостности различных категорий ин­формации;
• список пользователей и их полномочий по доступу к ресурсам системы;
• цель защиты системы и пути обеспечения безопас­ности ИС и циркулирующей в ней информации;
• перечень угроз безопасности ИС, от которых тре­буется защита, и наиболее вероятных путей нанесения ущерба;
• основные требования к организации процесса функционирования ИС и мерам обеспечения безопаснос­ти обрабатываемой информации;
• требования к условиям применения и определение ответственности, установленных в системе технических средств защиты от НСД;
• основные правила, регламентирующие деятельность персонала по вопросам обеспечения безопасности ИС (особые обязанности должностных лиц ИС);
• цель обеспечения непрерывности процесса функци­онирования ИС, своевременность восстановления ее работоспособности и пути ее достижения;
• перечень и классификация возможных кризисных ситуаций;
• требования, меры и средства обеспечения непре­рывной работы и восстановления процесса обработки информации (порядок создания, хранения и исполь­зования резервных копий информации и дублирующих ресурсов и т.п.);
• обязанности и порядок действий различных катего­рий персонала системы в кризисных ситуациях по лик­видации их последствий, минимизации наносимого ущерба и восстановлению нормального процесса фун­кционирования системы;
• разграничение ответственности субъектов, участвую­щих в процессах обмена электронными документами;
• определение порядка подготовки, оформления, пе­редачи, приема, проверки подлинности и целостности электронных документов;
• определение порядка генерации, сертификации и распространения ключевой информации (ключей, па­ролей и т.п.);
• определение порядка разрешения споров в случае возникновения конфликтов.