6.3.1. В организации БС РФ рекомендуется определить роли работников, связанные с реагированием на инциденты ИБ, и назначить ответственных за их выполнение. Среди прочего, рекомендуется определить роли, связанные с выполнением деятельности на следующих стадиях:
- стадия оповещения и оценки;
- стадия сбора и фиксации информации;
- стадия закрытия инцидента ИБ;
- стадия анализа и принятие управленческих решений по результатам реагирования на инцидент ИБ.
6.3.2. Ответственных за выполнение ролей в рамках реагирования на инциденты ИБ рекомендуется включать в ГРИИБ. При необходимости ГРИИБ может дополняться внешними экспертами, привлекаемыми на временной основе.
Действия членов ГРИИБ в рамках процесса обработки инцидента ИБ рекомендуется определить соответствующими регламентами реагирования на инциденты ИБ.
6.3.3. Рекомендуется установить следующий состав ролей ГРИИБ:
1. Роль куратора ГРИИБ, который организует и курирует выполнение процессов реагирования на инциденты ИБ, работу ГРИИБ, а также обеспечивает общий контроль достаточности и своевременности выполнения деятельности в организации БС РФ по реагированию на инциденты ИБ.
Среди прочего, куратор ГРИИБ:
- инициирует принятие управленческих решений по результатам реагирования на инциденты ИБ;
- информирует руководство организации БС РФ об обнаруженных инцидентах ИБ и результатах реагирования на них;
- принимает решение о проведении расследований по фактам инцидентов ИБ, а также о необходимости взаимодействия со сторонними организациями и правоохранительными органами в рамках расследования инцидентов ИБ.
Рекомендуется назначать куратора ГРИИБ из числа руководства организации БС РФ.
2. Роль руководителя ГРИИБ, который обеспечивает оперативное руководство реагированием на инциденты ИБ.
Руководителя ГРИИБ рекомендуется наделять административными полномочиями, позволяющими обеспечивать управление и координацию участников процесса реагирования на инциденты ИБ в соответствии с установленными регламентами. В обязанности руководителя ГРИИБ входят:
- инициализация реагирования на инцидент ИБ в ГРИИБ;
- назначение ответственного исполнителя ГРИИБ для реагирования на обнаруженный и зарегистрированный инцидент ИБ;
- координирование деятельности членов ГРИИБ при реагировании на инцидент ИБ;
- привлечение необходимой компетенции в рамках ГРИИБ для реагирования на инцидент ИБ;
- контроль соблюдения требований регламентирующих документов в ходе реагирования на инцидент ИБ;
- принятие решения о возможности закрытия инцидента ИБ;
- предоставление консультаций и рекомендаций участникам процесса реагирования на инциденты ИБ.
Кроме того, к обязанностям руководителя ГРИИБ рекомендуется относить формирование предложений по совершенствованию процессов реагирования на инциденты ИБ и пересмотру соответствующих регламентов.
Руководитель ГРИИБ является основным ответственным за исполнение процесса реагирования на инцидент ИБ, а также за результат исполнения данного процесса.
Рекомендуется назначать руководителя ГРИИБ из числа руководства службы ИБ организации БС РФ.
3. Роль оператора-диспетчера ГРИИБ, который в качестве единой точки входа обеспечивает сбор информации о событиях ИБ и инцидентах ИБ, обнаруженных и (или) имевших место в организации БС РФ.
В обязанности оператора-диспетчера ГРИИБ входят: