В зависимост от своите нужди, организацията трябва да определи и разпредели ролите и отговорностите по отношение на сигурността на информацията.
Описание
Важно условие за успешното внедряване и управление на СУСИ е определянето на съответните роли и разбиране на тяхното значение. В тази връзка, стандартът поставя изискване за определяне на роли и отговорности по информационна сигурност в съответствие с политиките по информационна сигурност.
Атрибути
Този вид контрол е превантивен, което означава, че той е предназначен да предотврати появата на инцидент, свързан с информационната сигурност. Освен това е насочен към запазването на трите характеристики на информацията – поверителност, цялостност, наличност.
Допълнителна информация
Организацията трябва да определи роли и отговорности по отношение на:
- защита на информацията и на свързаните активи;
- изпълнението на специфични процеси, свързани със сигурността на информацията;
- управление на риска за сигурността на информацията, включително и по отношение на приемане на остатъчните рискове;
- персонала, използващ информация на организацията и свързани с нея активи.
Сигурността на информацията е отговорност на всеки служител на организацията. В тази връзка всеки трябва да е наясно какво се очаква него, за да се гарантира сигурността на информацията. Добра практика е към съответните роли и отговорности да бъдат включени допълнителни указания с цел постигане на по-голяма яснота и разбиране.
Стандартът допуска отговорните лица да възлагат отделни задачи по информационна сигурност на други служители, но с ясното разбиране, че те остават отговорни за сигурността на информацията. В този случай е задължително отговорните лица да проверят дали възложените задачи са изпълнени в съответствие с изискванията.
Всяка зона за сигурност, за която отговарят лицата, трябва да бъде дефинирана, документирана и съобщена. Нивата на разрешение трябва да бъдат определени и документирани. Добра практика е определянето на собственик на всеки актив, който в последствие да е отговорен за ежедневната му защита.
Лицата, които поемат конкретна роля в областта на информационната сигурност, трябва да са компетентни по отношение на знанията и уменията, изисквани от ролята, и трябва да бъдат подкрепяни да бъдат в крак с новостите, свързани с ролята и необходими, за да изпълняват отговорностите на ролята.
Честа практика е възлагането на отговорностите по отношение на разработването и прилагането на СУСИ на едно лице, въпреки че част от отговорностите са на други лица. За малки организации е истинско предизвикателство разпределянето на отговорностите за СУСИ, но трябва да се положат максимални услилия, за да се постигне съответствие с изискванията. В зависимост от размера и ресурсите на дадена организация, информационната сигурност може да бъде покрита от специални роли или задължения, изпълнявани в допълнение към съществуващите роли.
Примери за роли и отговорности:
- Отговорник за СУСИ, който е отговорен за цялостната стратегия за сигурността на информацията, политиката, целите и ежедневното управление на СУСИ;
- Екип по информационна сигурност – отговорен за внедряването и поддържане на механизмите за контрол;
- Системен администратор – отговорен за поддържането на сигурността на системите, мрежите, приложенията;
- Мрежов администратор – отговорен за управлението на мрежовата инфраструктура;
- Потребители – отговорни за спазване на политиките за сигурност на информацията и за докладването на инциденти;
- Отговорник за съответствието – отговорност за съответствие с изискванията на приложимите нормативни актове и др.
0 отговори на "Роли и отговорности по информационна сигурност (5.2)"