Главная » Блоги Экспертов И ИТ-Компаний » ИБ. Администратор безопасности VS Лицо, ответственное за безопасность

ИБ. Администратор безопасности VS Лицо, ответственное за безопасность

VS.png
При распределении ответственности в области ИБ необходимо как-то назвать роли, описать их функции, права, ответственность и назначить конкретным работникам. В НПА часто есть обязанности назначить работников ответственными за что-то, но это не значит, что организации должны именно так называть роли – вообще то, вы вольны выбрать любое наименование роли, лишь бы для ней были прописаны нужные функции и ответственность.  
Но по моим наблюдениям, организации стараются назвать роль именно так как указано в НПА, например, “приказываю ... Иванова И.И. назначить лицом, ответственным за обеспечение безопасности объектов КИИ” или “… назначить администратором безопасности объектов КИИ” или “… назначить лицом, ответственным за обеспечение безопасности ПДн” или “… назначить администратором ИБ в системе XXX”.
Аргументы за “лицо, ответственное за безопасность”:
·         Постановление правительства РФ №1119 пункт 14
·         Приказ ФСТЭК России № 235, пункт 10, 11, 12, 13, 14
·         Приказ ФСТЭК России № 21, мера УКФ.3
·         Приказ ФСТЭК России № 17, пункт 9
·         Приказ ФСБ России № 378, пункт 17
·         ГОСТР 57580.1—2017, мера ЖЦ.17
·         Положение ЦБ РФ № 382-П, пункт 2.2, 2.3.1, 2.14.4,
Как правило вместе с лицом, ответственным за обеспечение безопасности упоминаются функции:
·         Разрабатывать предложения по совершенствованию
·         Проводить анализ угроз
·         Обеспечивать реализацию мероприятий, эксплуатацию СЗИ
·         Разработка и контроль выполнения планов мероприятий
·         Осуществлять реагирование на инциденты
·         Координацию деятельности других сотрудников по вопросам ИБ
Аргументы за “администратора безопасности”:
·         Приказ ФСТЭК России № 239, пункт 12.3 г), пункт 13.3
·         Приказ ФСТЭК России № 17, пункт 18.1
·         Методический документ ФСТЭК России “меры защиты информации в ГИС”, меры УПД.5, ОПС.1, РСБ.3, АВЗ.1, СОВ.1, АНЗ.1, ЗИС.1
Как правило вместе с администратором (или администрированием) безопасности упоминаются функции:
·         Администрирование подсистемы безопасности
·         Управление учетными записями
·         Управление СЗИ
·         Обновление ПО
·         Мониторинг событий ИБ
Также в НПА встречаются упоминания частных ролей “лицо, ответственное за реагирование на инциденты”, “лицо, ответственное за использование СЗИ”, “лицо, ответственное за планирование мероприятий”, “лицо ответственное за контроль”, но они в жизни встречаются гораздо реже.
Понятно, что от смены названия, суть не меняется, но всё-таки интересно, если в вашей организации только один работник занимается ИБ, как называется его роль? Или у вас выделены все эти роли? Или может быть у вас за все ответственность подразделение ИБ? 


Источник: http://sborisov.blogspot.com/2018/12/vs.html


Данный материал является частной записью члена сообщества Club.CNews.
Редакция CNews не несет ответственности за его содержание.
3 месяца назад | тэги: ИБ, ответственные
Комментарии
Другие публикации
RU, Краснодар
https://docshell.ru/, https://docshell.ru/
Информационные технологии



Забыл пароль?
Авторизоваться через
Зарегистрируйся сейчас!
Присоединяйся к нашему обществу для того чтобы познакомиться с новыми людьми, создать собственный блог, публиковать анонсы событий и объявления, а также участвовать в обсуждении публикаций CNews. Мы создали единое пространство для общения специалистов рынка информационных технологий и всех, кто интересуется современными технологиями. Регистрация =>