Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
Статья 9. Владельцы системы
Статья 9
Владельцы системы
1. Владелец системы является ответственным за информационную безопасность CIS и за представление отчетов руководителю департамента Европейской Комиссии.
2. В отношении информационной безопасности владелец системы должен:
(a) обеспечивать соответствие CIS политике информационной безопасности;
(b) обеспечивать точную запись CIS в соответствующей инвентарной описи;
(c) оценивать риски информационной безопасности и определять потребности информационной безопасности для каждой CIS в сотрудничестве с владельцами данных, а также консультируясь с Генеральным директоратом по информатике;
(d) подготовить план обеспечения безопасности, в том числе при необходимости подробную информацию об оцененных рисках и любых необходимых дополнительных мерах безопасности;
(e) реализовывать соответствующие меры в области информационной безопасности, пропорциональные указанным рискам информационной безопасности, и следовать рекомендациям, одобренным ISSB;
(f) определять какие-либо зависимости от других CISs или разделяемых IT-сервисов и при необходимости реализовывать меры безопасности на основе уровней безопасности, предлагаемых данными CISs или разделяемыми IT-сервисами;
(g) управлять рисками информационной безопасности и осуществлять их мониторинг;
(h) регулярно отчитываться перед руководителем департамента Европейской Комиссии о профилях рисков информационной безопасности их CIS, а также отчитываться перед Генеральным директоратом по информатике о соответствующих рисках, деятельности по управлению рисками и принятых мерах безопасности;
(i) консультировать LISO соответствующего(их) департамента(ов) Европейской Комиссии об аспектах информационной безопасности;
(j) выпускать инструкции для пользователей об использовании CIS и связанных с ними данных, а также об обязанностях пользователей, имеющих отношение к CIS;
(k) запрашивать авторизацию Генерального директората по кадровой работе и безопасности, действующего в качестве Органа криптозащиты, для любой CIS, использующей технологию шифрования.
(l) предварительно консультироваться с Управлением безопасности Европейской Комиссии в отношении любой системы, обрабатывающей конфиденциальную информацию ЕС;
(m) обеспечивать хранение резервных копий любых ключей дешифрации в учетной записи. Восстановление зашифрованных данных должно осуществляться только в том случае, если оно разрешено в соответствии с рамками, определенными Генеральным директоратом по кадровой работе и безопасности;
(n) соблюдать любые инструкции от соответствующего(их) контролера(ов) данных по защите персональных данных и применении правил защиты данных в целях обеспечения безопасности их обработки;
(o) уведомлять Генеральный директорат по информатике о любых исключениях из политики Европейской Комиссии в области информационной безопасности, включая соответствующие обоснования;
(p) докладывать о любых неразрешимых разногласиях между владельцем данных и владельцем системы руководителю департамента Европейской Комиссии, сообщать об инцидентах информационной безопасности соответствующим заинтересованным сторонам своевременно, в зависимости от их тяжести, как указано в Статье 15;
(q) для систем, находящихся на аутсорсинге, обеспечивать, чтобы соответствующие положения об информационной безопасности были включены в договоры об аутсорсинге и чтобы об инцидентах, связанных с информационной безопасностью, происходящих в CIS, находящейся на аутсорсинге, докладывалось в соответствии со Статьей 15;
(r) для CIS, предоставляющей разделяемые IT-сервисы, обеспечивать, чтобы был предоставлен определенный уровень безопасности и были четко задокументированы и реализованы меры безопасности для данной CIS с целью достижения определенного уровня безопасности.
3. Владельцы системы могут официально делегировать некоторые или все свои задачи в области информационной безопасности, но они по-прежнему несут ответственность за информационную безопасность своих CISs.
Процессы, связанные с данными обязанностями и действиями, должны быть дополнительно уточнены в правилах имплементации.