(UPDATE) ИБ. Администратор безопасности VS Лицо, ответственное за безопасность
При распределении ответственности в области ИБ необходимо как-то назвать роли, описать их функции, права, ответственность и назначить конкретным работникам. В НПА часто есть обязанности назначить работников ответственными за что-то, но это не значит, что организации должны именно так называть роли – вообще то, вы вольны выбрать любое наименование роли, лишь бы для ней были прописаны нужные функции и ответственность.
Но по моим наблюдениям, организации стараются назвать роль именно так как указано в НПА, например, “приказываю ... Иванова И.И. назначить лицом, ответственным за обеспечение безопасности объектов КИИ” или “… назначить администратором безопасности объектов КИИ” или “… назначить лицом, ответственным за обеспечение безопасности ПДн” или “… назначить администратором ИБ в системе XXX”.
Аргументы за “лицо, ответственное за безопасность”:
· Постановление правительства РФ №1119 пункт 14
· Приказ ФСТЭК России № 235, пункт 10, 11, 12, 13, 14
· Приказ ФСТЭК России № 21, мера УКФ.3
· Приказ ФСТЭК России № 17, пункт 9
· Приказ ФСБ России № 378, пункт 17
· ГОСТР 57580.1—2017, мера ЖЦ.17
· Положение ЦБ РФ № 382-П, пункт 2.2, 2.3.1, 2.14.4,
Как правило вместе с лицом, ответственным за обеспечение безопасности упоминаются функции:
· Разрабатывать предложения по совершенствованию
· Проводить анализ угроз
· Обеспечивать реализацию мероприятий, эксплуатацию СЗИ
· Разработка и контроль выполнения планов мероприятий
· Осуществлять реагирование на инциденты
· Координацию деятельности других сотрудников по вопросам ИБ
Аргументы за “администратора безопасности”:
· Приказ ФСТЭК России № 239, пункт 12.3 г), пункт 13.3
· Приказ ФСТЭК России № 17, пункт 18.1
· Методический документ ФСТЭК России “меры защиты информации в ГИС”, меры УПД.5, ОПС.1, РСБ.3, АВЗ.1, СОВ.1, АНЗ.1, ЗИС.1
Как правило вместе с администратором (или администрированием) безопасности упоминаются функции:
· Администрирование подсистемы безопасности
· Управление учетными записями
· Управление СЗИ
· Обновление ПО
· Мониторинг событий ИБ
Также в НПА встречаются упоминания частных ролей “лицо, ответственное за реагирование на инциденты”, “лицо, ответственное за использование СЗИ”, “лицо, ответственное за планирование мероприятий”, “лицо ответственное за контроль”, но они в жизни встречаются гораздо реже.
Понятно, что от смены названия, суть не меняется, но всё-таки интересно, если в вашей организации только один работник занимается ИБ, как называется его роль? Или у вас выделены все эти роли? Или может быть у вас за все ответственность подразделение ИБ?
А вот назначение ответственности, за безопасность конкретной системы, достаточно редко встречается по сравнению с ответственностью за все системы сразу. Наверное в большинстве случаев буду ориентироваться на такую общую ответственность. А персональную закладываем для каких то крупных систем в больших организациях.
Комментарии