Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Приложение В
(справочное)
Роли и сферы ответственности в области информационной безопасности
Данное приложение содержит дополнительные рекомендации по ролям и сферам ответственности в организации, связанным с информационной безопасностью. Роли сначала указаны с точки зрения организации для внедрения СМИБ. В таблице В.1 изложена эта информация и представлены общие примеры ролей и сфер ответственности.
1. Роль комитета по информационной безопасности
Комитет по информационной безопасности должен играть ведущую роль в СМИБ в организации. Комитет по информационной безопасности должен отвечать за управление информационными активами организации и обладать достаточным пониманием информационной безопасности в отношении управления, мониторинга и выполнения необходимых задач.
Далее приведены примеры возможных ролей комитета по информационной безопасности:
a) управление рисками, составление плана работы с документами по СМИБ, ответственность за определение содержания этих документов и получение одобрения руководства;
b) планирование приобретения нового оборудования и (или) принятие решений о повторном использовании существующего оборудования, которым уже располагает организация;
c) решение любых проблем при их возникновении;
d) рассмотрение усовершенствований, которые могут быть достигнуты в результате дальнейшего внедрения и измерения СМИБ;
e) стратегическое управление СМИБ (при выполнении проекта внедрения и использовании системы);
f) обеспечение связи между высшим руководством, группой по внедрению проекта и работниками, занятыми в сфере информационной безопасности.
2. Роли группы по планированию информационной безопасности
Проектная группа, ответственная за СМИБ при планировании проекта, должна получать поддержку от членов, хорошо понимающих важные информационные активы в рамках области действия СМИБ и обладающих достаточными знаниями, чтобы обсуждать, как распорядиться этой информацией. Например, при определении того, как распорядиться информационными активами, могут иметь место разные мнения среди подразделений, находящихся в области действия СМИБ, поэтому может возникнуть необходимость согласовать положительные и отрицательные последствия выполнения плана. Проектная группа должна координировать противоречия, возникающие между разными подразделениями. Для этого членам группы потребуются навыки общения, накопленные по опыту работы, и возможности координации, а также высокий уровень знаний в области безопасности.
3. Специалисты и внешние консультанты
Организации необходимо выбрать сотрудников для выполнения вышеуказанных задач (желательно сотрудников с одной исключительной ролью), прежде чем учредить СМИБ. Однако этим сотрудникам потребуются обширные знания и опыт в области информационной безопасности, например "ИТ", "управленческих решений" и "понимания организации". Лица, ответственные за выполнение данных операций в организации, могут лучше знать свои специфические сферы деятельности. Многие специалисты, являющиеся экспертами в отдельных областях в своей организации, должны привлекаться к работе над СМИБ, если она имеет отношение к использованию системы в их областях деятельности. Также важен баланс их профессиональных и обширных знаний, необходимых для того, чтобы достичь целей организации. Внешние консультанты могут давать рекомендации на основе своих макроскопических точек зрения на организацию и опыта действий в подобных случаях, даже несмотря на то, что они не обязательно обладают глубокими знаниями специфики организации и знают подробности ее работы. Термины, используемые в вышеприведенных примерах, например, "комитет по информационной безопасности" и "группа по планированию информационной безопасности", не так важны. Необходимо понимать только функцию каждой структуры.
В идеальном варианте это должны быть внутренние структуры, координирующие информационную безопасность организации, поддерживающие связь и работающие в тесном сотрудничестве с каждым техническим отделом.
4. Владельцы информационных активов
Необходимо назначить сотрудника для каждого процесса в организации и области применения специальных знаний; этот сотрудник действует в качестве так называемого "владельца информационного актива" по всем вопросам информационной безопасности, связанным с обработкой данных в рамках конкретного процесса в организации. Контактное лицо или владелец процесса отвечает, например, за постановку задач и обработку информации в рамках процессов в организации, для которых они назначены.
В случае распределения риска, предотвращения риска и удержания риска должны быть приняты необходимые действия с точки зрения безопасности организации. Если было принято решение о переносе рисков, необходимо предпринять соответствующие действия с использованием контрактов, гарантий и структуры организации, например партнерства или совместных предприятий.
На рисунке В.1 показан пример структуры организации для учреждения СМИБ. Основные роли и сферы ответственности в организации, приведенные ниже, основаны на этом примере.
Рисунок В.1 - Пример структуры организации для учреждения СМИБ
Взаимодействие в рамках организации
Все вовлеченные стороны должны изучить и очень хорошо знать существующие требования по защите активов организации. Участвовать в анализе организации должны сотрудники, обладающие хорошим знанием организации и среды, в которой она функционирует. Эти сотрудники должны быть выбраны таким образом, чтобы представлять широкий круг работников организации и должны включать:
a) высшее руководство (например, главный управляющий и финансовый директор);
b) членов комитета по информационной безопасности;
c) членов группы по планированию информационной безопасности;
d) линейных руководителей (например, руководителей подразделений организации);
e) владельцев процессов (т.е. представителей важных оперативных подразделений);
f) специалистов и внешних консультантов.
Примеры общих ролей и сфер ответственности, связанных с информационной безопасностью
Информационная безопасность является обширной областью, влияющей на всю организацию. По существу четко определенные сферы ответственности в области информационной безопасности являются важными для успешного внедрения СМИБ. Поскольку роли и сферы ответственности, связанные с информационной безопасностью, могут различаться, понимание различных ролей является крайне важным для понимания некоторых действий, описываемых далее в настоящем стандарте. В таблице ниже изложены роли и сферы ответственности, связанные с безопасностью. Следует отметить, что эти роли являются общими, и для каждого отдельного случая внедрения СМИБ требуются конкретные описания.
Таблица В.1 - Перечень примерных ролей и сфер ответственности, связанных с информационной безопасностью
Роль |
Краткое описание сферы ответственности |
Высшее руководство (например, главный управляющий, исполнительный директор, директор по безопасности и финансовый директор) |
Отвечает за видение СМИБ, стратегические решения и координирует действия по управлению и контролю организации |
Линейные руководители |
Несут высшую ответственность за функции организации |
Директор по информационной безопасности |
Несет полную ответственность и осуществляет руководство информационной безопасностью, обеспечивая правильное управление информационными активами |
Комитет по информационной безопасности (члены) |
Осуществляют управление информационными активами и играют ведущую роль в работе СМИБ в организации |
Группа по планированию информационной безопасности (члены) |
Работает во время операций, пока учреждается СМИБ, Группа по планированию работает со всеми подразделениями и разрешает противоречия, пока учреждается СМИБ |
Заинтересованная сторона |
В контексте описаний других ролей, связанных с информационной безопасностью, в данном документе заинтересованные стороны определяются, главным образом, как лица организации, не связанные с обычной работой организации - например, совет, собственники (организации-собственники, если организация является частью группы или правительственной организации и (или) непосредственные собственники, например, акционеры в частной организации). Другими примерами заинтересованных сторон могут служить дочерние компании, клиенты, поставщики или более публичные организации, такие как правительственные органы финансового контроля или соответствующие фондовые биржи, если указана организация |
Системный администратор |
Системный администратор отвечает за систему информационных технологий |
Управляющие по информационным технологиям |
Управляющий всеми информационными ресурсами (например, начальник отдела информационных технологий) |
Безопасность физических объектов |
Лицо, ответственное за безопасность физических объектов, например, зданий и т.д., часто называемый руководителем объекта |
Управление рисками |
Лицо (лица), ответственные за структуру управления рисками в организации, включая оценку, обработку и мониторинг риска |
Юрисконсульт |
Многие риски для информационной безопасности имеют юридические аспекты, и юрисконсульт отвечает за их учет |
Кадры |
Лицо (лица), несущее(ие) полную ответственность за эти разработки |
Архив |
Все организации имеют архивы, содержащие важную информацию, которую необходимо хранить в течение длительного времени. Информация может находиться на разных типах носителей, и необходим специальный сотрудник, отвечающий за ее хранение |
Персональные данные |
Если того требуют государственные законы, может быть назначен сотрудник, отвечающий за связь с органом контроля данных или аналогичной официальной организацией, осуществляющей контроль защиты персональных данных и прав собственности |
Разработчик систем |
Если организация разрабатывает собственные информационные системы, кто-то должен отвечать за эти разработки |
Специалист/эксперт |
Специалисты и эксперты, отвечающие за некоторые операции в организации, должны привлекаться к работам по СМИБ по мере возникновения проблем, относящихся к их компетенции |
Внешний консультант |
Внешние консультанты могут предоставлять консультации на основе их макроскопического видения организации и опыта работы в данной отрасли. Однако консультанты могут не располагать глубокими знаниями организации и ее работы |
Работник/персонал/пользователь |
Каждый работник несет равную ответственность за поддержание информационной безопасности на рабочем месте и в своем окружении |
Аудитор |
Аудитор отвечает за оценку СМИБ |
Инструктор |
Инструктор реализует программы обучения и информирования |
Ответственный за информационные технологии или информационную безопасность на месте |
В крупных организациях часто назначаются сотрудники на местах, ответственные за вопросы информационных технологий на месте, и, возможно, также за информационную безопасность |
Независимый эксперт |
Это по существу не ответственное лицо, но в крупных организациях может быть очень полезным на стадии внедрения системы. Желательно иметь людей, обладающих глубокими знаниями в области внедрения СМИБ, которые могут поддерживать понимание и доводы в пользу применения СМИБ. Они могут положительно влиять на мнение участников работ по внедрению СМИБ и часто называются "посредниками" |
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.