Приложение В (справочное). Роли и сферы ответственности в области информационной безопасности. Национальный стандарт ГОСТ Р ИСО/МЭК 27003-2012 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации системы менеджмента информационной безопасности" (утв. приказом Федерального агентства по техническому регулированию и метрологии от 15.11.2012 N 812-ст) (документ утратил силу)

Приложение В
(справочное)

Роли и сферы ответственности в области информационной безопасности

Данное приложение содержит дополнительные рекомендации по ролям и сферам ответственности в организации, связанным с информационной безопасностью. Роли сначала указаны с точки зрения организации для внедрения СМИБ. В таблице В.1 изложена эта информация и представлены общие примеры ролей и сфер ответственности.

1. Роль комитета по информационной безопасности

Комитет по информационной безопасности должен играть ведущую роль в СМИБ в организации. Комитет по информационной безопасности должен отвечать за управление информационными активами организации и обладать достаточным пониманием информационной безопасности в отношении управления, мониторинга и выполнения необходимых задач.

Далее приведены примеры возможных ролей комитета по информационной безопасности:

a) управление рисками, составление плана работы с документами по СМИБ, ответственность за определение содержания этих документов и получение одобрения руководства;

b) планирование приобретения нового оборудования и (или) принятие решений о повторном использовании существующего оборудования, которым уже располагает организация;

c) решение любых проблем при их возникновении;

d) рассмотрение усовершенствований, которые могут быть достигнуты в результате дальнейшего внедрения и измерения СМИБ;

e) стратегическое управление СМИБ (при выполнении проекта внедрения и использовании системы);

f) обеспечение связи между высшим руководством, группой по внедрению проекта и работниками, занятыми в сфере информационной безопасности.

2. Роли группы по планированию информационной безопасности

Проектная группа, ответственная за СМИБ при планировании проекта, должна получать поддержку от членов, хорошо понимающих важные информационные активы в рамках области действия СМИБ и обладающих достаточными знаниями, чтобы обсуждать, как распорядиться этой информацией. Например, при определении того, как распорядиться информационными активами, могут иметь место разные мнения среди подразделений, находящихся в области действия СМИБ, поэтому может возникнуть необходимость согласовать положительные и отрицательные последствия выполнения плана. Проектная группа должна координировать противоречия, возникающие между разными подразделениями. Для этого членам группы потребуются навыки общения, накопленные по опыту работы, и возможности координации, а также высокий уровень знаний в области безопасности.

3. Специалисты и внешние консультанты

Организации необходимо выбрать сотрудников для выполнения вышеуказанных задач (желательно сотрудников с одной исключительной ролью), прежде чем учредить СМИБ. Однако этим сотрудникам потребуются обширные знания и опыт в области информационной безопасности, например "ИТ", "управленческих решений" и "понимания организации". Лица, ответственные за выполнение данных операций в организации, могут лучше знать свои специфические сферы деятельности. Многие специалисты, являющиеся экспертами в отдельных областях в своей организации, должны привлекаться к работе над СМИБ, если она имеет отношение к использованию системы в их областях деятельности. Также важен баланс их профессиональных и обширных знаний, необходимых для того, чтобы достичь целей организации. Внешние консультанты могут давать рекомендации на основе своих макроскопических точек зрения на организацию и опыта действий в подобных случаях, даже несмотря на то, что они не обязательно обладают глубокими знаниями специфики организации и знают подробности ее работы. Термины, используемые в вышеприведенных примерах, например, "комитет по информационной безопасности" и "группа по планированию информационной безопасности", не так важны. Необходимо понимать только функцию каждой структуры.

В идеальном варианте это должны быть внутренние структуры, координирующие информационную безопасность организации, поддерживающие связь и работающие в тесном сотрудничестве с каждым техническим отделом.

4. Владельцы информационных активов

Необходимо назначить сотрудника для каждого процесса в организации и области применения специальных знаний; этот сотрудник действует в качестве так называемого "владельца информационного актива" по всем вопросам информационной безопасности, связанным с обработкой данных в рамках конкретного процесса в организации. Контактное лицо или владелец процесса отвечает, например, за постановку задач и обработку информации в рамках процессов в организации, для которых они назначены.

В случае распределения риска, предотвращения риска и удержания риска должны быть приняты необходимые действия с точки зрения безопасности организации. Если было принято решение о переносе рисков, необходимо предпринять соответствующие действия с использованием контрактов, гарантий и структуры организации, например партнерства или совместных предприятий.

На рисунке В.1 показан пример структуры организации для учреждения СМИБ. Основные роли и сферы ответственности в организации, приведенные ниже, основаны на этом примере.

Рисунок В.1 - Пример структуры организации для учреждения СМИБ

Взаимодействие в рамках организации

Все вовлеченные стороны должны изучить и очень хорошо знать существующие требования по защите активов организации. Участвовать в анализе организации должны сотрудники, обладающие хорошим знанием организации и среды, в которой она функционирует. Эти сотрудники должны быть выбраны таким образом, чтобы представлять широкий круг работников организации и должны включать:

a) высшее руководство (например, главный управляющий и финансовый директор);

b) членов комитета по информационной безопасности;

c) членов группы по планированию информационной безопасности;

d) линейных руководителей (например, руководителей подразделений организации);

e) владельцев процессов (т.е. представителей важных оперативных подразделений);

f) специалистов и внешних консультантов.

Примеры общих ролей и сфер ответственности, связанных с информационной безопасностью

Информационная безопасность является обширной областью, влияющей на всю организацию. По существу четко определенные сферы ответственности в области информационной безопасности являются важными для успешного внедрения СМИБ. Поскольку роли и сферы ответственности, связанные с информационной безопасностью, могут различаться, понимание различных ролей является крайне важным для понимания некоторых действий, описываемых далее в настоящем стандарте. В таблице ниже изложены роли и сферы ответственности, связанные с безопасностью. Следует отметить, что эти роли являются общими, и для каждого отдельного случая внедрения СМИБ требуются конкретные описания.

Таблица В.1 - Перечень примерных ролей и сфер ответственности, связанных с информационной безопасностью

Роль	Краткое описание сферы ответственности
Высшее руководство (например, главный управляющий, исполнительный директор, директор по безопасности и финансовый директор)	Отвечает за видение СМИБ, стратегические решения и координирует действия по управлению и контролю организации
Линейные руководители	Несут высшую ответственность за функции организации
Директор по информационной безопасности	Несет полную ответственность и осуществляет руководство информационной безопасностью, обеспечивая правильное управление информационными активами
Комитет по информационной безопасности (члены)	Осуществляют управление информационными активами и играют ведущую роль в работе СМИБ в организации
Группа по планированию информационной безопасности (члены)	Работает во время операций, пока учреждается СМИБ, Группа по планированию работает со всеми подразделениями и разрешает противоречия, пока учреждается СМИБ
Заинтересованная сторона	В контексте описаний других ролей, связанных с информационной безопасностью, в данном документе заинтересованные стороны определяются, главным образом, как лица организации, не связанные с обычной работой организации - например, совет, собственники (организации-собственники, если организация является частью группы или правительственной организации и (или) непосредственные собственники, например, акционеры в частной организации). Другими примерами заинтересованных сторон могут служить дочерние компании, клиенты, поставщики или более публичные организации, такие как правительственные органы финансового контроля или соответствующие фондовые биржи, если указана организация
Системный администратор	Системный администратор отвечает за систему информационных технологий
Управляющие по информационным технологиям	Управляющий всеми информационными ресурсами (например, начальник отдела информационных технологий)
Безопасность физических объектов	Лицо, ответственное за безопасность физических объектов, например, зданий и т.д., часто называемый руководителем объекта
Управление рисками	Лицо (лица), ответственные за структуру управления рисками в организации, включая оценку, обработку и мониторинг риска
Юрисконсульт	Многие риски для информационной безопасности имеют юридические аспекты, и юрисконсульт отвечает за их учет
Кадры	Лицо (лица), несущее(ие) полную ответственность за эти разработки
Архив	Все организации имеют архивы, содержащие важную информацию, которую необходимо хранить в течение длительного времени. Информация может находиться на разных типах носителей, и необходим специальный сотрудник, отвечающий за ее хранение
Персональные данные	Если того требуют государственные законы, может быть назначен сотрудник, отвечающий за связь с органом контроля данных или аналогичной официальной организацией, осуществляющей контроль защиты персональных данных и прав собственности
Разработчик систем	Если организация разрабатывает собственные информационные системы, кто-то должен отвечать за эти разработки
Специалист/эксперт	Специалисты и эксперты, отвечающие за некоторые операции в организации, должны привлекаться к работам по СМИБ по мере возникновения проблем, относящихся к их компетенции
Внешний консультант	Внешние консультанты могут предоставлять консультации на основе их макроскопического видения организации и опыта работы в данной отрасли. Однако консультанты могут не располагать глубокими знаниями организации и ее работы
Работник/персонал/пользователь	Каждый работник несет равную ответственность за поддержание информационной безопасности на рабочем месте и в своем окружении
Аудитор	Аудитор отвечает за оценку СМИБ
Инструктор	Инструктор реализует программы обучения и информирования
Ответственный за информационные технологии или информационную безопасность на месте	В крупных организациях часто назначаются сотрудники на местах, ответственные за вопросы информационных технологий на месте, и, возможно, также за информационную безопасность
Независимый эксперт	Это по существу не ответственное лицо, но в крупных организациях может быть очень полезным на стадии внедрения системы. Желательно иметь людей, обладающих глубокими знаниями в области внедрения СМИБ, которые могут поддерживать понимание и доводы в пользу применения СМИБ. Они могут положительно влиять на мнение участников работ по внедрению СМИБ и часто называются "посредниками"