Продолжу тему о распределении ролей, поднятую мной в предыдущей заметке .
Детально изучив требования СТО БР ИББС к мероприятия по обеспечении ИБ мы приходим к следующему перечню персональных ролей, которые необходимо определить и персонифицировать небольшом типовом Банке:
1.Ответственный за эксплуатацию СЗИ
2.Ответственный за антивирусную защиту
3.Ответственный за установку ПО
4.Ответственный за эксплуатацию СВТ
5.Администратор ИС
6.Администратор информационной безопасности
7.Ответственный за безопасность помещений
8.Ответственный за безопасность персонала
9.Ответственный за прием на работу
10.Ответственный за использование ресурсов Интернет и электронной почты
11.Ответственный за непрерывность бизнеса
12.Ответственный за обработку ПДн
13.Ответственный за обеспечение безопасности ПДн
14.Ответственный за оценку рисков ИБ
15.Ответственный за планирование обработки рисков ИБ
16.Ответственный за разработку нормативного документа
17.Ответственный за планирование обучения в области ИБ
18.Ответственный за реализацию обучения в области ИБ
19.Ответственный за контроль обучения в области ИБ
20.Ответственный за управление инцидентами ИБ
21.Ответственный за мониторинг ИБ
22.Ответственный за контроль СОИБ
23.Ответственный за проведение проверки
24.Ответственный за проведение самооценки ИБ
25.Ответственный за организацию самооценки ИБ
26.Ответственный за организацию аудита ИБ
27.Ответственный за анализ функционирования СОИБ
28.Ответственный за улучшение СОИБ
Данный перечень дополняют существующие в АБС роли, а так-же следующие групповые роли:
29.Комиссия по ИБ
30.Группа реагирования на инцидент ИБ
31.Группа восстановления после прерываний
32.Группа участвующая в самооценке ИБ
33.Группа участвующая в проверке ИБ
и уже существующие роли, присущие каждому банку:
34.Правление Банка
35.Руководитель структурного подразделения
36.Сотрудник
Ролей, связанных с СОИБ, достаточно много.
Как можно по-проще документально определить большое количество ролей?
СТО БР ИББС-1.0 дает следующее определение:
«3.19. Роль: Заранее определенная совокупность правил, устанавливающих допустимое взаимодействие между субъектом и объектом.
Примечания
1. К субъектам относятся лица из числа руководителей организации банковской системы Российской Федерации, ее персонала, клиентов или инициируемые от их имени процессы по выполнению действий над объектами.
2. Объектами могут быть аппаратное средство, программное средство, программно-аппаратное средство, информационный ресурс, услуга, процесс, система, над которыми выполняются действия.»
В соответствии с данным определением мы готовим Паспорта ролей, содержащие наименование роли (определяет субъекта), область ответственности (определяет объекты), обязанности роли (определяет правила допустимого взаимодействия между субъектом и объектом). Пример, Паспорта ролей ниже:
Наименование роли | Область ответственности | Обязанности |
Ответственный за оценку рисков ИБ | 1. Перечень информационных активов 2. Перечень рисков ИБ | В соответствии со «Стандартом управления рисками ИБ»: 1. Идентифицировать все имеющиеся информационные активы в области действия СОИБ 2. Идентифицировать множества всех возможных угроз влияющих на безопасность информационных систем 3. Оценивать тяжесть последствий угроз 4. Оценивать возможности реализаций угроз 5. Оценивать риски ИБ |
Ответственный за планирование обработки рисков ИБ | План обработки рисков ИБ | В соответствии со «Стандартом управления рисками ИБ»: 1. Определять способы обработки недопустимых рисков, в том числе требований по обеспечению ИБ 2. Определять защитные меры, реализующие требования по обеспечению ИБ и снижаются риск до допустимого уровня. |
Таким образом можно достаточно просто определить все необходимые роли в области обеспечения ИБ.
