21 Марта, 2012

СЗПДн. Распределение ответственности. Часть 2

Andrey Prozorov


В первой части статьи я писал про очевидную, но очень важную роль в обработке и обеспечении безопасности ПДн - ответственного за организацию обработки и обеспечение безопасности ПДн.В этой части я расскажу про свой вариант распределения ролей/областей ответственности.



name='more'> 1. Роли или должности?
При документировании системы защиты ПДн первым вопросом обычно идет: "В документах будем писать роли или должности?". Приверженцы западных систем менеджмента чаще отвечают: "конечно роли", а государственные компании: "только должности". У той и у другой системы есть свои плюсы и минусы, поэтому имеет смысл использовать обобщенную схему.



«+»
·   У одного сотрудника может быть несколько ролей, одна роль может быть у нескольких сотрудников (даже с разными должностями)
·   Легко назначать роли сотрудникам
·   Наименование ролей часто понятнее и благозвучнее названия должности
·   Привычно
·   Однозначное понимание собственных задач и области ответственности сотрудниками
«-»
·   Если много ролей (особенно, если они используются и в других системах управления (СМК, СУИБ …)), то можно запутаться. Желательно иметь матрицу соответствия ролей конкретному человеку/должности
·   Если название должности меняется, то необходимо переделывать все документы, где она встречается
·   Наименование ролей часто понятнее и благозвучнее названия должности

«Роли»
«Должности»


2. Перечень ролей и ответственности
К выбору конкретные наименования ролей/ответственных следует подойти крайне осторжно, они будут фигурировать в последующем во всех документах.
Исходя из текущего состояния нормативных документов по ПДн в РФ, а также своего опыта, я рекомендую использовать такие наименования:

  1. Ответственный за организацию обработки и обеспечение безопасности ПДн
  2. Руководитель структурного подразделения (по сути, владелец информационного ресурса, системы)
  3. Администратор ИС (информационной системы) и Администратор СЗИ (средства защиты информации), иногда можно просто обойтись одним термином - Администратор системы
  4. Аудитор (контролер) СЗПДн
  5. Пользователь (ПДн, информационной системы)
  6. Субъект ПДн

Иногда отдельно выделяют Ответственного за реагирование на запросы субъектов ПДн, хотя часто этими вопросами занимается сам Ответственный за организацию обработки и обеспечение безопасности ПДн. Смотрите сами...
При таком подходе мы не слишком "мудрим" с ролями: 1) - обязательная; 2) - не роль, а скорее описание группы лиц; 3), 4), 5) созданы для удобства написания документов, при этом 3) и 5) уже обычно используются в организации; 6) - наименование в соответствии с законом.
Это самый минимум наименований ролей/ответственных, который подойдет для большинства организаций. Да, он может быть расширен, если какие либо процессы ИТ и ИБ в организации требуют большого числа исполнителей и согласующих лиц.


3. Документирование ролей и ответственности.
Рекомендую документировать ответственность следующими способами:

  • разработать документ "Положение о распределении ответственности за обработку и обеспечение безопасности ПДн" (далее - Положение);
  • внести необходимые дополнения в должностные инструкции сотрудников, обрабатывающих ПДн, и сотрудников, ответственных за обеспечение ИТ и ИБ.
  • при необходимости разработать соответствующие ролевые инструкции и памятки.
В Положении необходимо прописать полный перечень ролей и указать за что они отвечают, какие задачи решают. Для каждой роли необходимо указать кому может назначаться данная роль. 
Для администраторов (информационных систем и средств защиты) желательно создать единый перечень с указанием наименования системы/СЗИ, ответственного лица и перечнем лиц, имеющих административный доступ к ней (некое подобие Матрицы доступа), при этом этот перечень не обязательно официально утверждать в компании, он носит скорее информационный характер для понимания системы в целом, однако следует регулярно проверять его актуальность. Назначать администраторов следует соответствующим приказом.

В должностные инструкции следует общими словами прописать те функции и задачи в области обработки и обеспечения безопасности ПДн, которые выполняет соответствующий сотрудник. 

Инструкции, как я полагаю, следует писать только в случае необходимости, причем желательно под конкретные процедуры (например, резервное копирование и восстановление информации), а не под роли (например, инструкция администратору ИБ). По возможности инструкции следует заменять краткими памятками (они удобнее для восприятия и не всегда требуют официального утверждения). 

Более подробно про документацию системы обработки и обеспечения безопасности ПДн в одном из следующих постов.