Роли и отговорности по информационна сигурност (5.2)

В зависимост от своите нужди, организацията трябва да определи и разпредели ролите и отговорностите по отношение на сигурността на информацията.

Описание

Важно условие за успешното внедряване и управление на СУСИ е определянето на съответните роли и разбиране на тяхното значение. В тази връзка, стандартът поставя изискване за определяне на роли и отговорности по информационна сигурност в съответствие с политиките по информационна сигурност.

Атрибути

Този вид контрол е превантивен, което означава, че той е предназначен да предотврати появата на инцидент, свързан с информационната сигурност. Освен това е насочен към запазването на трите характеристики на информацията – поверителност, цялостност, наличност.

Допълнителна информация

Организацията трябва да определи роли и отговорности по отношение на:

• защита на информацията и на свързаните активи;
• изпълнението на специфични процеси, свързани със сигурността на информацията;
• управление на риска за сигурността на информацията, включително и по отношение на приемане на остатъчните рискове;
• персонала, използващ информация на организацията и свързани с нея активи.

Сигурността на информацията е отговорност на всеки служител на организацията. В тази връзка всеки трябва да е наясно какво се очаква него, за да се гарантира сигурността на информацията. Добра практика е към съответните роли и отговорности да бъдат включени допълнителни указания с цел постигане на по-голяма яснота и разбиране.

Стандартът допуска отговорните лица да възлагат отделни задачи по информационна сигурност на други служители, но с ясното разбиране, че те остават отговорни за сигурността на информацията. В този случай е задължително отговорните лица да проверят дали възложените задачи са изпълнени в съответствие с изискванията.

Всяка зона за сигурност, за която отговарят лицата, трябва да бъде дефинирана, документирана и съобщена. Нивата на разрешение трябва да бъдат определени и документирани. Добра практика е определянето на собственик на всеки актив, който в последствие да е отговорен за ежедневната му защита.

Лицата, които поемат конкретна роля в областта на информационната сигурност, трябва да са компетентни по отношение на знанията и уменията, изисквани от ролята, и трябва да бъдат подкрепяни да бъдат в крак с новостите, свързани с ролята и необходими, за да изпълняват отговорностите на ролята.

Честа практика е възлагането на отговорностите по отношение на разработването и прилагането на СУСИ на едно лице, въпреки че част от отговорностите са на други лица. За малки организации е истинско предизвикателство разпределянето на отговорностите за СУСИ, но трябва да се положат максимални услилия, за да се постигне съответствие с изискванията. В зависимост от размера и ресурсите на дадена организация, информационната сигурност може да бъде покрита от специални роли или задължения, изпълнявани в допълнение към съществуващите роли.

Примери за роли и отговорности:

• Отговорник за СУСИ, който е отговорен за цялостната стратегия за сигурността на информацията, политиката, целите и ежедневното управление на СУСИ;
• Екип по информационна сигурност – отговорен за внедряването и поддържане на механизмите за контрол;
• Системен администратор – отговорен за поддържането на сигурността на системите, мрежите, приложенията;
• Мрежов администратор – отговорен за управлението на мрежовата инфраструктура;
• Потребители – отговорни за спазване на политиките за сигурност на информацията и за докладването на инциденти;
• Отговорник за съответствието – отговорност за съответствие с изискванията на приложимите нормативни актове и др.