(UPDATE) ИБ. Администратор безопасности VS Лицо, ответственное за безопасность

декабря 07, 2018

При распределении ответственности в области ИБ необходимо как-то назвать роли, описать их функции, права, ответственность и назначить конкретным работникам. В НПА часто есть обязанности назначить работников ответственными за что-то, но это не значит, что организации должны именно так называть роли – вообще то, вы вольны выбрать любое наименование роли, лишь бы для ней были прописаны нужные функции и ответственность.

Но по моим наблюдениям, организации стараются назвать роль именно так как указано в НПА, например, “приказываю ... Иванова И.И. назначить лицом, ответственным за обеспечение безопасности объектов КИИ” или “… назначить администратором безопасности объектов КИИ” или “… назначить лицом, ответственным за обеспечение безопасности ПДн” или “… назначить администратором ИБ в системе XXX”.

Аргументы за “лицо, ответственное за безопасность”:

· Постановление правительства РФ №1119 пункт 14

· Приказ ФСТЭК России № 235, пункт 10, 11, 12, 13, 14

· Приказ ФСТЭК России № 21, мера УКФ.3

· Приказ ФСТЭК России № 17, пункт 9

· Приказ ФСБ России № 378, пункт 17

· ГОСТР 57580.1—2017, мера ЖЦ.17

· Положение ЦБ РФ № 382-П, пункт 2.2, 2.3.1, 2.14.4,

Как правило вместе с лицом, ответственным за обеспечение безопасности упоминаются функции:

· Разрабатывать предложения по совершенствованию

· Проводить анализ угроз

· Обеспечивать реализацию мероприятий, эксплуатацию СЗИ

· Разработка и контроль выполнения планов мероприятий

· Осуществлять реагирование на инциденты

· Координацию деятельности других сотрудников по вопросам ИБ

Аргументы за “администратора безопасности”:

· Приказ ФСТЭК России № 239, пункт 12.3 г), пункт 13.3

· Приказ ФСТЭК России № 17, пункт 18.1

· Методический документ ФСТЭК России “меры защиты информации в ГИС”, меры УПД.5, ОПС.1, РСБ.3, АВЗ.1, СОВ.1, АНЗ.1, ЗИС.1

Как правило вместе с администратором (или администрированием) безопасности упоминаются функции:

· Администрирование подсистемы безопасности

· Управление учетными записями

· Управление СЗИ

· Обновление ПО

· Мониторинг событий ИБ

Также в НПА встречаются упоминания частных ролей “лицо, ответственное за реагирование на инциденты”, “лицо, ответственное за использование СЗИ”, “лицо, ответственное за планирование мероприятий”, “лицо ответственное за контроль”, но они в жизни встречаются гораздо реже.

Понятно, что от смены названия, суть не меняется, но всё-таки интересно, если в вашей организации только один работник занимается ИБ, как называется его роль? Или у вас выделены все эти роли? Или может быть у вас за все ответственность подразделение ИБ?

(UPDATE) По результатам ваших ответов делаю вывод что все 3 варианта основных ролей ИБ достаточно популярны. Тут вероятно каждый раз стоит спрашивать предпочтение Организации.
Диаграмма ответов в Формах. Вопрос: Какие основные роли ИБ назначены в вашей Организации? . Количество ответов: 26 ответов.

Диаграмма ответов в Формах. Вопрос: Какие основные роли ИБ назначены в вашей Организации? . Количество ответов: 26 ответов.

А вот назначение ответственности, за безопасность конкретной системы, достаточно редко встречается по сравнению с ответственностью за все системы сразу. Наверное в большинстве случаев буду ориентироваться на такую общую ответственность. А персональную закладываем для каких то крупных систем в больших организациях.
Диаграмма ответов в Формах. Вопрос: Применяется ли в Организации определение ответственности за обеспечение безопасности отдельных систем? . Количество ответов: 26 ответов.

Диаграмма ответов в Формах. Вопрос: Применяется ли в Организации определение ответственности за обеспечение безопасности отдельных систем? . Количество ответов: 26 ответов.

Сергей сделайте пожалуйста статью, как должны распределяться права доступа между службой ИБ (2 человека) и отделом системного администрирования ДИТ (4 человека) в Банке и чем это можно регламентировать/пояснить. Дело в том, что если в ДИТ нет сотрудников, которые явно выделены для обеспечения безопасности, такие как: мониторинг, учет/контроль состава ОИИ, управление политиками безопасности, то эти роли совмещаются с системным администрирование. Кто должен рисовать схемы сети, создавать паспорта ОИИ, схемы потоков информации? Добиться от ДИТ запрошенной информации порой невозможно по причинам: "отсутствия времени", "опишите задачу точнее", "у нас нет таких журналов", "голова болит" и т.д. Поэтому, часто админстраторы ИБ находятся в отделе ИБ и имеют административные права, что вызывают постоянные конфликты между ДИТ и ОИБ - кто за что несет ответственность. Как правильнее организовать работу между подразделениями ДИТ и ОИБ, чтобы и время тратилось эффективнее(в ОИБ сотрудники в прошлом тоже из сферы ИТ, имели полные административные права) и ответственность была четко распределена и при этом ОИБ имел последнее слово за выбором средств защиты и мониторинга. Еще вопрос смежный, административные права на тестовых стендах - это административные права в инфраструктуре Банка? Чем это обосновывается? Нужен ли документ с просьбой предоставлять административные права на тестовом стенде (к которому кроме ОИБ больше нет ни у кого доступа).

21 сентября 2020 г. в 19:04