СОИБ. Проектирование. Распределение ролей по ИБ в банке

Стандарт Банка России вводит достаточно большое количество ролей в области ИБ (порядка 30) с которыми необходимо работать. Пока БР ещё не разработал РС по распределению ролей, а стандарту уже хочется соответствовать, попытаемся придумать хороший вариант выполнения положений стандарта.

Рассмотрим основные требования СТО БР ИББС–1.0–2010 связанные с ролями:
“7.2.1. В организации БС РФ должны быть выделены и документально определены роли ее работников.
Формирование ролей, связанных с выполнением деятельности по обеспечению ИБ, среди прочего, должно осуществляться на основании требований 7 и 8 разделов настоящего стандарта.
7.2.2. Роли следует персонифицировать с установлением ответственности за их выполнение. Ответственность должна быть документально зафиксирована в должностных инструкциях.”
При этом у работников могут быть роли в организации в целом и могут быть роли в определенной информационной системе (например, АБС).
Допустим у нас часть общеорганизационных ролей уже определена в должностных инструкциях, и часть ролей в информационных системах определены в «регламенте управления доступом к ИС» и «заявках на доступ к ИС».
Как организовать определение и назначение недостающих ролей и не перечеркнуть все уже разработанные на данный момент роли? Предлагаю следующий вариант.
Разрабатываем «Политику распределения ролей». В ней описываем допустимые варианты определения ролей:
· в форме паспорта роли;
· в форме раздела должностной инструкции;
· в форме раздела нормативного документа Банка;
· в форме заявки на доступ к КИС.
В ней описываем допустимые варианты персонализации ролей:
· включение ссылки на паспорт роли в должностную инструкцию работника, выпуск приказа о изменении должностной инструкции и ознакомление работника с ней;
· включение ссылки на нормативных документ с описанием роли в должностную инструкцию работника, выпуск приказа о изменении должностной инструкции и ознакомление работника с ней;
· включение описания роли непосредственно в должностную инструкцию работника, выпуск приказа о изменении должностной инструкции и ознакомление работника с ней;
· указание в тексте заявки на доступ к ИС должности и ФИО работника, ознакомление сотрудника с заявкой, включение в должностную инструкцию ссылки на заявку.
В приложении 1 к политике – будет перечень ролей.
В приложение 2 к политике – будут паспорта ролей.

Комментарии

Популярные сообщения из этого блога

СКЗИ. НПА. Некоторые вопросы применения криптографии

КИИ. ОКВЭД vs 187-ФЗ

Модель угроз безопасности клиента финансовой организации