Для
эффективного выполнения целей организации и
задач по управлению активами должны быть
выделены и определены соответствующие роли
персонала организации.Требования при определении ролей и обеспечении доверия к персоналу
Для
эффективного выполнения целей организации и
задач по управлению активами должны быть
выделены и определены соответствующие роли персонала организации.
Формирование
ролей, как правило, должно осуществляться на
основании бизнес-процессов.
Роли следует
персонифицировать с установлением
ответственности за их исполнение.
Ответственность
должна быть зафиксирована в должностных
инструкциях.
(Стандарт Банка России СТО БР ИББС-1.0-2006 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения", п.8.2.2.1) (принят и введен в действие распоряжением Банка России от 26.01.2006. N Р-27)
При
определении ролей для сотрудников
организации БС РФ необходимо учитывать цели
организации, имеющиеся ресурсы,
функциональные и процедурные требования,
критерии оценки эффективности выполнения правил
для данной роли.
Не
рекомендуется, чтобы одна персональная роль
целиком отражала цель, например, включала все
правила, требуемые для реализации
бизнес-процесса.
Совокупность правил, составляющих роли,
не должна быть критичной для
организации с точки зрения последствий
успешного нападения на ее исполнителя.
Не следует совмещать в одном лице (в
любой комбинации) роли разработки,
сопровождения, исполнения, администрирования
или контроля, например, исполнителя и
администратора, администратора и контролера или
других комбинаций.
Роль должна быть обеспечена ресурсами, необходимыми
и достаточными для ее выполнения.
Роли должны
группироваться и взаимодействовать так,
чтобы организационная структура
соответствовала целям организации.
Роль одного из руководителей организации
(уполномоченного менеджера, высшего менеджера и
т.п.) должна включать задачу координации
своевременности и качества выполнения ролей
сотрудников для достижения целей организации.
Ненадлежащее
выполнение правил назначения и распределения
ролей создает уязвимости.
Для контроля за
качеством выполнения требований ИБ в
организации должны быть выделены и определены
роли по обеспечению ИБ.
(Стандарт Банка России СТО БР
ИББС-1.0-2006"Обеспечение информационной
безопасности организаций банковской системы
Российской Федерации. Общие положения"п.8.2.2.2)(принят и введен в
действие распоряжением ЦБР от 26 января 2006 г.
N Р-27)
Обозначения и сокращения
АИСС БКБ, www.orioncom.ru, tel (495) 783-5510