Документы по информационной безопасности.

3 Роли и обязанности

В следующей главе описаны конкретные организационные роли и их соответствующие обязанности. Четко определенные роли и обязанности помогают организации и ее сотрудникам работать более эффективно, определяя ответственных за выполнение определенных задач. В большой организации это поможет, гарантируя, что ни одна задача не будет упущена из виду. В небольшой, менее структурированной организации рабочая нагрузка может быть распределена более равномерно, поскольку от сотрудника может потребоваться выполнение нескольких задач. Приведенный ниже список не является исчерпывающим списком всех возможных ролей в организации. Каждая организация может определять свои собственные конкретные роли или иметь другое соглашение о названиях должностей в зависимости от своей миссии или организационной структуры. Однако основные функции остаются прежними. Для более подробного описания обязанностей, назначенных каждой роли, см. приложение D в NIST SP 800-37.

3.1 Функция управления рисками (высшее руководство)

Функция управления рисками - это отдельное лицо или группа (например, члены совета директоров, генеральный директор (CEO), ИТ-директор (CIO) в организации, ответственные за обеспечение того, чтобы: (i) связанные с рисками соображения для отдельных систем рассматривались с точки зрения всей организации с учетом общие стратегические цели организации при выполнении ее основных миссий и бизнес-функций, и (ii) управление рисками безопасности, связанными с системой, является единообразным для всей организации, отражает терпимость к рискам организации и рассматривается вместе с другими типами рисков по порядку для обеспечения успеха миссии/бизнеса. Обязанности включают, но не ограничиваются:

• Определение целостного подхода к устранению рисков во всей организации;
• Разработка стратегии управления рисками организации;
• Поддержка обмена информацией между уполномоченными должностными лицами и другими старшими руководителями внутри организации; а также
• Надзор за деятельностью, связанной с управлением рисками, в масштабах всей организации.

3.2 Главный исполнительный директор (CEO)

Главный исполнительный директор - это высшее должностное лицо или руководитель высшего звена в организации, несущее общую ответственность за обеспечение защиты информации, соизмеримой с риском и величиной ущерба (т. е. воздействия) на операционные активы организации, отдельных лиц или другие организации, которые могут возникнуть в результате несанкционированного доступа, использования, раскрытия, нарушения, модификации или уничтожения: (i) информации, собираемой и хранимой организацией или от ее имени; и (ii) системы, используемые или управляемые агентством, подрядчиком агентства или другой организацией от имени агентства. Обязанности включают, но не ограничиваются:

• Обеспечение интеграции процессов управления информационной безопасностью с процессами стратегического и операционного планирования;
• Убедиться, что информация и системы, используемые для поддержки операций организации, имеют надлежащие меры защиты информации; а также
• Подтверждение того, что обученный персонал соблюдает соответствующее законодательство, политики, директивы, инструкции, стандарты и руководящие принципы в области информационной безопасности.

3.3 Директор по информационным технологиям (CIO)

Директор по информационным технологиям - это должностное лицо организации, ответственное за: (i) назначение старшего сотрудника по информационной безопасности; (ii) разработка и поддержка политик, процедур и методов контроля безопасности для удовлетворения всех применимых требований; (iii) надзор за персоналом, несущим значительную ответственность за информационную безопасность, и обеспечение надлежащего обучения персонала; (iv) оказание помощи старшим должностным лицам организации в выполнении их обязанностей по обеспечению безопасности; и (v) в координации с другими старшими должностными лицами, ежегодные отчеты об общей эффективности программы информационной безопасности организации, в том числе о ходе корректирующих действий. Обязанности включают, но не ограничиваются:

• Выделение ресурсов, предназначенных для защиты систем, поддерживающих миссию и бизнес-функции организации;
• Обеспечение защиты систем утвержденными планами безопасности и разрешения на работу; а также
• Обеспечение эффективной реализации программы информационной безопасности в масштабах всей организации.

3.4 Владелец информации/стюард

Владелец информации/стюард - это должностное лицо организации, имеющее законодательные, управленческие или оперативные полномочия в отношении указанной информации, которое отвечает за разработку политик и процедур, регулирующих ее создание, сбор, обработку, распространение и удаление. Обязанности включают, но не ограничиваются:

• Установление правил надлежащего использования и защиты предметной информации; а также 
• Предоставление информации владельцам систем относительно требований безопасности и мер безопасности, необходимых для адекватной защиты информации о предмете.

3.5 Старший сотрудник агентства по информационной безопасности (SAISO)

Старший сотрудник по информационной безопасности агентства является должностным лицом организации, ответственным за: (i) выполнение обязанностей главного сотрудника по информационной безопасности в соответствии с FISMA; и (ii) выполнение функций основного связующего звена между главным информационным директором и уполномоченными должностными лицами организации, владельцами систем, поставщиками общих средств контроля и сотрудниками службы безопасности системы. В некоторых организациях эта роль может также быть известна как руководитель по информационной безопасности (CISO). Обязанности включают, но не ограничиваются:

• Управление и реализация общеорганизационной программы информационной безопасности; а также
• Принятие на себя роли уполномоченного официального представителя или специалиста по контролю безопасности, когда это необходимо.

3.6 Уполномоченное должностное лицо (АО)

Уполномоченное должностное лицо - это высшее должностное лицо или должностное лицо, наделенное полномочиями формально брать на себя ответственность за эксплуатацию системы с приемлемым уровнем риска для операций и активов организации, отдельных лиц и других организаций. Обязанности включают, но не ограничиваются:

• Утверждение планов безопасности, меморандумов о соглашении или взаимопонимании, планов действий и основных этапов, а также определение того, требуют ли значительные изменения в системе или рабочей среде повторной авторизации; а также
• Обеспечение того, чтобы уполномоченные официальные представители выполняли все действия и функции, связанные с авторизацией безопасности.

3.7 Уполномоченный официальный представитель

Уполномоченный официальный представитель - это должностное лицо организации, которое действует от имени уполномоченного должностного лица для координации и проведения необходимых повседневных действий, связанных с процессом авторизации безопасности. Назначенный представитель выполняет функции АО, но не может принимать на себя риск для системы. Обязанности включают, но не ограничиваются:

• Выполнение обязанностей уполномоченного должностного лица по назначению;
• Принятие решений в отношении планирования и обеспечения ресурсами процесса авторизации безопасности, утверждения плана безопасности, утверждения и мониторинга реализации планов действий и контрольных точек, а также оценки и/или определения риска; а также
• Подготовка окончательного пакета разрешений, получение подписи уполномоченного должностного лица на документе с решением о разрешении и передача пакета разрешений соответствующим должностным лицам организации.

3.8 Старшее должностное лицо агентства по вопросам конфиденциальности (SAOP)

Старшее должностное лицо агентства по вопросам конфиденциальности - это старшее должностное лицо организации, которое несет общую ответственность и подотчетность за обеспечение реализации агентством мер защиты конфиденциальности информации, включая полное соблюдение агентством федеральных законов, постановлений и политик, касающихся конфиденциальности информации, таких как закон «О неприкосновенности частной жизни». Обязанности включают, но не ограничиваются:

• Контроль, координация и содействие усилиям агентства по соблюдению конфиденциальности; 
• Изучение процедур обеспечения конфиденциальности информации агентства, чтобы убедиться, что они являются исчерпывающими и актуальными; а также
• Обеспечение, того чтобы сотрудники и подрядчики агентства прошли соответствующую подготовку и образовательные программы в отношении законов, постановлений, политик и процедур, регулирующих обращение агентства с личной информацией.

3.9 Поставщик общих элементов управления

Поставщик общих элементов управления - это лицо, группа или организация, ответственные за разработку, внедрение, оценку и мониторинг общих элементов управления (т. е. элементов управления безопасностью, унаследованных системами). Обязанности включают, но не ограничиваются:

• Документирование определенных в организации общих средств контроля в плане безопасности (или эквивалентном документе, предписанном организацией); а также
• Обеспечение того, чтобы требуемые оценки общих средств управления выполнялись квалифицированными оценщиками с соответствующим уровнем независимости, определенным организацией.

3.10 Владелец системы

Владелец системы - это должностное лицо организации, ответственное за закупку, разработку, интеграцию, модификацию, эксплуатацию, обслуживание и утилизацию системы. Обязанности включают, но не ограничиваются:

• Учет эксплуатационных интересов сообщества пользователей (т. е. пользователей, которым требуется доступ к системе для выполнения миссии, бизнеса или эксплуатационных требований);
• Обеспечение соблюдения требований информационной безопасности; а также
• Разработка и поддержание плана безопасности системы и обеспечение того, чтобы система была развернута и эксплуатировалась в соответствии с согласованными мерами безопасности.

3.11 Офицер безопасности системы (SSO)

Офицер по безопасности системы отвечает за обеспечение надлежащего состояния операционной безопасности для системы и, как таковой, работает в тесном сотрудничестве с владельцем системы. Обязанности включают, но не ограничиваются:

• Наблюдение за повседневными операциями по обеспечению безопасности системы; а также
• Помощь в разработке политик и процедур безопасности и обеспечение соблюдения этих политик и процедур.

3.12 Архитектор информационной безопасности

Архитектор информационной безопасности - это физическое лицо, группа или организация, отвечающая за обеспечение того, чтобы требования информационной безопасности, необходимые для защиты основных миссий и бизнес-процессов организации, адекватно учитывались во всех аспектах архитектуры предприятия, включая эталонные модели, модели сегментов и решений, а также итоговые системы, поддерживающие эти миссии и бизнес-процессы. Обязанности включают, но не ограничиваются:

• Служит связующим звеном между архитектором предприятия и инженером по информационной безопасности; а также
• Координация с владельцами систем, поставщиками общих средств контроля и сотрудниками службы безопасности системы по выделению средств контроля безопасности как специфичных для системы, гибридных или общих средств контроля.

3.13 Инженер по безопасности системы (SSE)

Инженер по безопасности системы - это физическое лицо, группа или организация, ответственные за выполнение работ по проектированию безопасности системы. Обязанности включают, но не ограничиваются:

• Проектирование и разработка организационных систем или обновление унаследованных систем; а также
• Координация деятельности, связанной с безопасностью, с архитекторами информационной безопасности, старшими офицерами информационной безопасности агентства, владельцами систем, поставщиками общих средств контроля и офицерами системной безопасности.

3.14 Оценщик контроля безопасности

Оценщик средств контроля безопасности - это лицо, группа или организация, ответственные за проведение всесторонней оценки управленческих, эксплуатационных и технических средств контроля безопасности и улучшений контроля, используемых в системе или унаследованных ею, для определения общей эффективности средств контроля (т. Е. степень, в которой средства управления реализованы правильно, работают по назначению и дают желаемый результат в отношении выполнения требований безопасности для системы). Обязанности включают, но не ограничиваются:

• Обеспечение оценки для выявления слабых мест или недостатков в системе и среде ее работы;
• Рекомендации корректирующих действий для устранения выявленных уязвимостей; а также
• Подготовка отчета об оценке безопасности, содержащего результаты и выводы оценки.

3.15 Системный администратор

Системный администратор - это физическое лицо, группа или организация, отвечающая за настройку и обслуживание системы или определенных компонентов системы. Обязанности включают, но не ограничиваются:

• Установка, настройка и обновление оборудования и программного обеспечения;
• Создание и управление учетными записями пользователей;
• Контроль за задачами резервного копирования и восстановления; а также
• Внедрение технических мер безопасности.

3.16 Пользователь

Пользователь - это физическое лицо, группа или организация, которым предоставлен доступ к информации организации для выполнения возложенных на него обязанностей. Обязанности включают, но не ограничиваются:

• Соблюдение политик, регулирующих допустимое использование организационных систем;
• Использование ИТ-ресурсов, предоставленных организацией, только для определенных целей; а также
• Сообщение об аномалиях или подозрительном поведении системы.