ГОСТ Р ИСО/МЭК 27003—2012
Приложение В
(справочное)
Роли и сферы ответственности в области информационной безопасности
Даннов приложение содержит дополнительные рекомендации по ролям и сферам ответственности в орга
низации. связанным с информационной безопасностью. Роли сначала указаны с точки зрения организации для
внедрения СМИБ. В таблице В.1 изложена эта информация и представлены общие примеры ролей и сфер ответ
ственности.
1. Роль комитета по информационной безопасности
Комитет по информационной безопасности должен играть ведущую роль в СМИБ в организации. Комитет
по информационной безопасности должен отвечать за управление информационными активами организации и
обладать достаточным пониманием информационной безопасности в отношении управления, мониторинга и
выполнения необходимых задач.
Далее приведены примеры возможных ролей комитета по информационной безопасности:
a) управление рисками, составление плана работы с документами по СМИБ. ответственность за определе
ние содержания этих документов и получение одобрения руководства;
b
) планирование приобретения нового оборудования и (или) принятие решений о повторном использова
нии существующего оборудования, которым уже располагает организация;
c) решение любых проблем при их возникновении;
d) рассмотрение усовершенствований, которые могут быть достигнуты в результате дальнейшего внедре
ния и измерения СМИБ;
e) стратегическое управление СМИБ (при выполнении проекта внедрения и использовании системы);
f) обеспечение связи между высшим руководством, группой по внедрению проекта и работниками, заняты
ми в сфере информационной безопасности.
2. Роли группы по планированию информационной безопасности
Проектная группа, ответственная за СМИБ при планировании проекта, должна получать поддержку от
членов, хорошо понимающих важные информационные активы в рамках области действия СМИБ и обладающих
достаточными знаниями, чтобы обсуждать, как распорядиться этой информацией. Например, при определении
того, как распорядиться информационными активами, могут иметь место разные мнения среди подразделений,
находящихся в области действия СМИБ, поэтому гложет возникнуть необходимость согласовать положительные и
отрицательные последствия выполнения плана. Проектная группа должна координировать противоречия,
возникающие между разными подразделениями. Для этого членам группы потребуются навыки общения,
накопленные по опыту работы, и возможности координации, а также высокий уровень знаний в области безо
пасности.
3. Специалисты и внешние консультанты
Организации необходимо выбрать сотрудников для выполнения вышеуказанных задач (желательно со
трудников с одной исключительной ролью), прежде чем учредить СМИБ. Однако этим сотрудникам потребуются
обширные знания и опыт в области информационной безопасности, например «ИТ», «управленческих решений» и
«понимания организации».
Л
ица, ответственные за выполнение данных операций в организации, могут лучше
знать свои специфические сферы деятельности. Многие специалисты, являющиеся экспертами в отдельных об
ластях в своей организации, должны привлекаться к работе над СМИБ. если она имеет отношение к использова
нию системы в их областях деятельности. Также важен баланс их профессиональных и обширных знаний, необхо
димых для того, чтобы достичь целей организации. Внешние консультанты могут давать рекомендации на основе
своих макроскопических точек зрения на организацию и опыта действий в подобных случаях, даже несмотря на
то. что они не обязательно обладают глубокими знаниями специфики организации и знают подробности ее
работы. Термины, используемые в вышеприведенных примерах, например, "комитет по информационной безо
пасности* и ’группа по планированию информационной безопасности", не так важны. Необходимо понимать
только функцию каждой структуры.
В идеальном варианте это должны быть внутренние структуры, координирующие информационную безо
пасность организации, поддерживающие связь и работающие в тесном сотрудничестве с каждым техническим
отделом.
4. Владельцы информационных активов
Необходимо назначить сотрудника для каждого процесса в организации и области применения специаль
ных знаний; этот сотрудник действует в качестве так называемого «владельца информационного актива» по всем
вопросам информационной безопасности, связанным с обработкой данных в рамках конкретного процесса
в организации. Контактное лицо или владелец процесса отвечает, например, за постановку задач и обработку
информации в рамках процессов в организации, для которых они назначены.
В случае распределения риска, предотвращения риска и удержания риска должны быть приняты необхо
димые действия с точки зрения безопасности организации. Если было принято решение о переносе рисков,
необходимо предпринять соответствующие действия с использованием контрактов, гарантий и структуры органи
зации. например партнерства или совместных предприятий.
40