При подготовке очередного такого многостраничного монстра применил подход, основанный на использовании ментальных карт и тегов, о котором и расскажу.
name='more'>
Описание возможностей ментальных карт смежная тема и ее затрагивать не буду.
В описываемом примере используется MindManager, но возможно есть и другие продукты, работать в которых с ментальными картами так же удобно.
В создании документа через ментальную карту есть следующие плюсы:
- За счет использования карты четко видна структура документа, можно легко переносить блоки текста между разделами.
- Не нужные в настоящий момент блоки текста можно скрывать (сворачивать).
- Между блоками текста можно устанавливать связи (Relationship).
- Можно использовать теги.
Из недостатков следует отметить необходимость перед печатью преобразовывать карту в офисный документ. Для этого можно использовать меню экспорт документа и шаблон. Вот тутможно скачать уже готовый шаблон для экспорта документов в Word (TimesNewRoman, 12 pt).
Использование тегов при подготовке документов - самая интересная из возможностей ментальных карт. Например, можно использовать такие группы тегов:
Тег Ответственность - определяет пользователя (группу пользователей) ответственных за исполнение пункта документа.
Предварительно следует нормативно распределить ответственных, например, документом Перечень уполномоченных администраторов и лиц, обеспечивающих функционирование АС. В описываемых ниже примерах распределение ролей следующее:
- Администратор прикладной системы (АПС);
- Администратор по обеспечению безопасности информации (АБИ);
- Служба информационной безопасности (СИБ);
- Служба системного администрирования (ССА);
- Служба технической поддержки (СТП);
В результате такого тегирования можно осуществлять удобное перемещение и фильтрацию по телу документа. Ответственным лицам, в свою очередь, не нужно читать весь документ, достаточно осуществить фильтрацию по тегу и получить выписку, в части себя касающейся.
Тег Мера: Техническая, Организационная - исполнение пункта достигается за счет применения технических или организационных мер. Такая классификация позволяет по каждому пункту документа определить, требуется ли что-то делать для его исполнения или пункт закрыт техническими мерами и является описанием.
Тег СЗИ/ПО - определяет программное обеспечение или техническое средство, применение которого обеспечивает реализацию технической меры. Помимо добавления полезной информационной нагрузки к пункту, появляется побочный эффект: по каждому средству защиты можно получить список мест его применения.
Тег Приказ 17 - ссылка на соответствующий раздел "Требований о защите информации, не составляющих государственную тайну, содержащихся в государственных информационных системах", утвержденных приказом Федеральной службы по техническому и экспортному контролю (ФСТЭК) № 17 от 11.02.2013 и Методического документа "Меры защиты информации в государственных информационных системах" утвержденного ФСТЭК 11.02.2014, во исполнение которого действует соответствующий пункт документа.
Рассматриваемый ниже пример документ готовился с оглядкой на 17 Приказ ФСТЭК и Методический документ к нему, но конечно перечень таких тегов может быть шире, все зависит от того, исполнение каких требований закрывается (описывается) документом: 21 приказ ФСТЭК, РД АС, ГОСТ Р ИСО/МЭК 27*, PCI DSS и т.д.Подобное тегирование позволяет обосновывать пункты документа и оперативно определять, какими мерами (пунктами документа) закрываются те или иные требования.
Пример
На следующих примерах видно, как использование тегов упрощает восприятие документа.
Один пункт документа с тегами:
Отметки об установке обновлений ПО фиксируются в электронной форме в подсистеме анализа защищенности.Ответственность: АБИ
Мера: Техническая
СЗИ/ПО: XXX
Приказ 17: АНЗ.2
Тот же пункт но без тегов:
Контроль установки обновлений программного обеспечения осуществляется путем применения технических мер - использования средства защиты информации XXX, ответственным за обеспечение данного пункта является Администратор безопасности информации, а необходимость указанных действий определена в разделе АНЗ.2 приказа ФСТЭК России № 17.
В качестве примера документа ниже привожу его часть, описывающую достаточно типовой блок вопросов по парольной защите и блокировке учетных записей.
 |
| Применение MindMaps и тегов при подготовке документов |
Буду рад, если приведенный способ подготовки и ведения нормативной документации в организации окажется полезен.
