Отговорник за СУСИ – необходим ли е?

Изискванията относно разпределянето на ролите, отговорностите и пълномощията, свързани със СУСИ са описани в т.5.3 от ISO/IEC 27001:2022.

Изисквания

Според стандарта, ръководството трябва да разпредели отговорности и пълномощия в две направления:

• за осигуряване на съответствие с изискванията на стандарт ISO/IEC 27001:2022; и
• за докладване на резултатите от действието на СУСИ пред ръководството.

Както е видно, стандартът не поставя изискване за определяне на отговорник за СУСИ. Това обаче съвсем не означава, че не е необходим такъв.

Причината да няма изискване за конкретен отговорник е разбирането, че отговорността за ефикасността на СУСИ е на ръководството. Но, това не означава, че ръководството не може да възложи отговорностите по управление и поддръжка на СУСИ на служители от организацията. Важното е, че ръководството трябва да е наясно със своята отговорност, защото независимо, че дейностите са възложени на други лица, отговорността за СУСИ си остава на ръководството.

В зависимост от размера на организацията, предмета и сложността на дейностите, ръководството може да възложи отговорностите на едно или няколко лица. Едва ли някой си представя системата да функционира сама.

Какво обикновено прави отговорника за СУСИ?

Както видяхме по-горе, стандартът не поставя конкретни изисквания за отговорник на СУСИ, така че зависи от решението на ръководството кои задължения и отговорности са най-подходящи за тази роля. Най-общо казано, отговорникът за СУСИ трябва да координира всички дейности, свързани със защитата на информацията в организацията в съответствие с изискванията на стандарта и на системата.

Примери за отговорности на отговорника за СУСИ:

• поддържане на актуална информация за контекста на организацията;
• поддържане на актуална информация за заинтересованите страни и техните потребности и очаквания;
• поддържане на непрекъснат контакт с регулаторни/надзорни органи и групите със специални интереси;
• преглед и актуализиране на документите на системата – наръчник, основни процедури, оперативни политики;
• приемане на предложения за промени в СУСИ и управление на процеса на промяната;
• координиране на процеса на оценяване на риска;
• съставяне на план за третиране на риска и наблюдение на неговото изпълнение;
• провеждане на обучения на персонала по отношение на СУСИ;
• провеждане на въвеждащо обучение по отношение на СУСИ на нови служители;
• наблюдение за спазване на правилата на СУСИ и предлагане на дициплинарни мерки срещу служители, извършили нарушения със сигурността;
• докладване на ръководството за резултатите от функционирането на СУСИ – основни рискове, изпълнение на плана за третиране на риска, резултати от наблюдението и измерването, предложения за подобрения;
• анализиране на резултатите от предприети коригиращи действия;
• планиране и организиране провеждането на вътрешни одити и прегледи от ръководството и др.

В зависимост от компетентността на отговорника за СУСИ е възможно да се възложат отговорности пряко свързани с техническата част като:

• поддържане на актуален списък на активите;
• наблюдение на изпълнението на оперативните политики;
• обсъждане на предложения за защита на активи;
• изтриване на записи;
• получаване на информация за събития и инциденти;
• анализиране на събития и инциденти и предприемане на последващи действия;
• предложения за подобрения в оперативните политики и др.

Документиране на отговорностите

Отговорностите във връзка със СУСИ са много и разнопосочни. Колкото е по-голяма една организация, толкова по-трудно е дейностите да бъдат изпълнявани от едно лице и е добър вариант да бъдат разпределени между различни служители.

Документирането на отговорностите е необходимо, за да е ясно на всички служители от организацията кои за какво отговаря. Документирането може да се извърши съгласно установения ред в организацията. Добра практика е самото възлагане да се извърши със заповед, а в оперативните политики за сигурност отговорностите да се опишат подробно, което позволява по-лесното разбиране на ролята към съответния процес. Например, какви са отговорностите на отговорника за СУСИ по отношение на физическата сигурност или управлението на човешките ресурси.

Кой трябва да бъде отговорник за СУСИ?

В по-малките организации, всички отговорности обикновено се възлагат на системния администратор в допълнение към основните му задължения и отговорности или се разпределят между няколко лица. За по-големите организации, отговорността се възлага на лице, специално назначено за тази цел или се разпределя между няколко служителя. Това лице/а, което е определено за отговорник за СУСИ трябва да е запознато с информационните технологии и с бизнес процесите в организацията. Освен това, трябва да има добри комуникативни способности, защото ще трябва обсъжда различни въпроси относно сигурността на информацията, както със служителите, така и с ръководството на организацията.

 

Източник на изображението