ГОСТ Р ИСО/ТО 13569-2007 Финансовые услуги. Рекомендации по информационной безопасности (с Поправкой)

     7.2 Структура организации

    7.2.1 Роли и обязанности

Назначение программы обеспечения информационной безопасности заключается в обеспечении конфиденциальности, целостности и доступности информационных активов путем комплексного решения сформированных целей и задач безопасности в программе. Соответствующее назначение и разграничение обязанностей должно быть связано с определенными ролями (функциями деятельности). Процедуры обеспечения информационной безопасности должны обеспечивать эффективное выполнение и осуществление всех важных задач.

    7.2.2 Совет директоров

Совет директоров финансовых учреждений должен иметь обязательства перед организацией и ее членами по осуществлению надзора за практическими приемами менеджмента бизнес-деятельности организации. Эффективные практические приемы обеспечения информационной безопасности должны входить в целесообразную бизнес-практику и демонстрировать заинтересованность в формировании общественного доверия. Совет директоров должен пропагандировать важность информационной безопасности и поддерживать программу обеспечения информационной безопасности.

    7.2.3 Комитет по аудиту

Комитет по аудиту в финансовом учреждении должен оказывать содействие совету директоров в осуществлении надзора и служить независимым органом проведения объективного анализа, основанного на внутренних мерах защиты и финансовой отчетности. Мониторинг и тестирование внутренних защитных мер, являющихся частью программы обеспечения информационной безопасности, входят в обязанности комитета по аудиту, обычно осуществляемые посредством внутреннего аудита организации и внешних аудиторов.

    7.2.4 Комитет по менеджменту риска

Комитет по менеджменту риска, подчиняющийся совету директоров, должен анализировать программу обеспечения безопасности и поддерживать финансирование проектов обеспечения информационной безопасности в том случае, когда эти проекты снижают операционный риск (и, следовательно, финансовый риск) организации. Комитет по менеджменту риска должен демонстрировать приверженность организации обеспечению безопасности путем финансирования и поддержки проектов, способствующих осуществлению политики информационной безопасности организации. Комитет по менеджменту риска должен определять степень воздействия на программу обеспечения информационной безопасности положений и законодательств. Этот аспект см. 5.2.

    7.2.5 Правовая функция

Организации могут полагаться на опыт своего юридического отдела в отношении некоторых аспектов менеджмента информационной безопасности. Юридическому отделу может быть вменено в обязанность осуществление мониторинга поправок в законодательстве, постановлениях и судебных делах, которые могут влиять на программу обеспечения информационной безопасности организации.

От юридического отдела может потребоваться проверка контрактов, касающихся служащих, клиентов, провайдеров услуг, подрядчиков и поставщиков с тем, чтобы гарантировать адекватное рассмотрение связанных с информационной безопасностью юридических проблем. Такие проверки могут включать в себя вопросы неприкосновенности частной жизни или техники безопасности на рабочем месте, а также процедуры увольнения и рассмотрения жалоб служащих.

При рассмотрении правовых аспектов инцидентов безопасности и их влияния на организацию могут потребоваться консультации юридического отдела. Организации могут затребовать экспертные заключения при оценке последствий процедур урегулирования инцидентов безопасности и обеспечения их соответствия правовым требованиям среды функционирования, так как в соответствии с юридическим статусом организации правовые нормы могут иметь различия. Необходимо вовлекать юридический отдел в разработку, поддержание и улучшение процедур обработки последствий инцидентов безопасности, таких как сохранение свидетельств.

    7.2.6 Должностные лица

Руководитель организации или управляющий как самое главное должностное лицо в организации несет всю полноту ответственности за ее функционирование. Руководитель организации должен санкционировать создание программы обеспечения информационной безопасности в соответствии с действующими нормативно-правовыми документами и стандартами, оказывать поддержку в ее осуществлении, следить за выполнением важных решений, связанных с оценкой риска, и участвовать в пропаганде значимости обеспечения информационной безопасности.

В то время как во многих организациях имеются должности руководителя организации, финансовой службы организации, технического отдела и административной службы, многие организации стали вводить также дополнительные должности руководителя по информационным технологиям и руководителя службы обеспечения информационной безопасности на верхнем уровне структуры организации. Хотя руководитель технического отдела, руководитель по информационным технологиям и службы обеспечения информационной безопасности выполняют много взаимозаменяемых функций, каждое финансовое учреждение должно также иметь руководителя службы обеспечения информационной безопасности, который, в конечном счете, должен быть подотчетен руководителю технического отдела или руководителю по информационным технологиям.

    7.2.7 Управляющие делами

Управляющие делами в частности и управляющие всей организации в целом должны осуществлять надзор и мониторинг деятельности организации и ее работников, что делает их ключевыми участниками программ обеспечения информационной безопасности. Каждый управляющий должен понимать и поддерживать политику, практические приемы и процедуры организации, следовать им, а также обеспечивать соответствующее поведение служащих, поставщиков и подрядчиков. Управляющие делами должны создавать в организации атмосферу, поощряющую служащих, поставщиков и подрядчиков сообщать о проблемах, связанных с информационной безопасностью.

    7.2.8 Сотрудники

Требования программы обеспечения безопасности должны быть включены в контракты о найме служащих. Весь персонал должен быть осведомлен о последствиях своих действий и действий окружающих в отношении безопасности. Служащие должны незамедлительно сообщать обо всех подозрительных событиях, связанных с информационной безопасностью.

    7.2.9 Сотрудники (персонал), не относящиеся к организации

Требования программы обеспечения безопасности должны быть включены в соглашения с подрядчиками и поставщиками услуг. Подрядчики и поставщики услуг должны быть осведомлены о практических приемах и процедурах обеспечения информационной безопасности организации и ее подразделений и оказывать им поддержку. Они обязаны соблюдать политику информационной безопасности организации. Так как по экономическим или иным причинам организации могут предпочесть привлечение внешних ресурсов для выполнения определенных банковских функций, менеджмент риска не может быть передан сторонним организациям и должен оставаться под ответственностью организации.

    7.2.10 Должности, связанные с безопасностью

7.2.10.1 Введение

В настоящем пункте определяются три связанные с безопасностью должности в рамках программы обеспечения информационной безопасности, которые наделяются разными уровнями обязанностей и функциями, необходимыми для выполнения программы обеспечения информационной безопасности. Данные должности функционально определены, хотя способы административного управления персоналом организации могут различаться.

В некоторых организациях отвечающий за информационную безопасность персонал может представлять собой отдельную структурную единицу, а в других организациях персоналу функциональных структур (отделов, служб) могут быть поручены обязанности, связанные с обеспечением информационной безопасности в дополнение к собственным. Возможно также совмещение двух обязанностей.

Какую бы структуру не имела программа обеспечения информационной безопасности, должностные лица и управляющие должны оказывать данной программе поддержку для повышения ее эффективности. В больших организациях может быть полезно создать дополнительные должности для эффективного выполнения специализированных функций, например, разработчик архитектуры безопасности. В более мелких организациях персоналу, вероятно, придется выполнять несколько обязанностей одновременно.

7.2.10.2 Руководитель службы обеспечения информационной безопасности

Руководитель службы обеспечения информационной безопасности отвечает за проектирование, внедрение программы обеспечения информационной безопасности и управлению ею. Под управлением руководителя службы обеспечения информационной безопасности персонал на других уровнях выполняет обязанности по осуществлению политики и практических приемов программы обеспечения информационной безопасности. Руководитель службы обеспечения информационной безопасности может иметь специальный штат и осуществлять административное управление персоналом, отвечающим за информационную безопасность. Также руководитель службы обеспечения информационной безопасности может осуществлять ограниченный оперативный контроль за персоналом, выполняющим обязанности, связанные с информационной безопасностью, в дополнение к своим основным обязанностям. Независимо от величины организации или стиля руководства, руководитель службы обеспечения информационной безопасности является лицом, несущим всю ответственность перед советом директоров и управляющими за выполнение программы обеспечения информационной безопасности.