Роли и ответственность

Распределение ролей и ответственностей потребуется во многих документах по безопасности. Поэтому принципиальное разделение целесообразно произвести уже в концепции. Предлагаются следующие типовые роли и ответственность участников процессов обеспечения информационной безопасности.

Владелец информационного ресурса — сотрудник, несущий конечную ответственность за информационную безопасность ресурса и определяющий правила использования ресурса. Владелец ресурса организует обеспечение информационной безопасности своего ресурса в виде формализованных правил, технических политик, настроек конфигурации, организационных мероприятий и регламентов.

Пользователь ресурса — сотрудник или привлеченный работник, использующий ресурс для своих производственных задач и несущий ответственность в соответствии с корпоративными стандартами в рамках правил, определенных владельцем.

Администратор ресурса — сотрудник, ответственный за применение правил использования ресурса, определенных владельцем. Администратор обязан осуществить и поддерживать настройку среды работы ресурса для применения технических средств, обеспечивающих поддержку правил использования ресурса. Он должен сообщать контролеру и/или владельцу о нарушениях, недостатках и ошибках, выявленных при работе с ресурсом.

Контролер ресурса — сотрудник, ответственный за соответствие ресурса правилам, которые установлены владельцем. Контролер обязан имеющимися средствами мониторинга и аудита обеспечить уверенность в соблюдении пользователями и администраторами правил использования ресурса либо выявлять факты нарушения таких правил. Он обязан принять меры для прекращения и предотвращения нарушений.

Подобное распределение ролей хорошо тем, что позволяет правильно планировать процессы и обязанности отдельных субъектов. Если при разработке документа обнаруживается, что роли пересекаются, это дает повод усомниться в правильности планирования данного процесса либо распределения обязанностей его субъектов.