Роли, выделяемые в рамках процесса классификации объектов защиты
В связи с тем, что процесс классификации объектов защиты является обширной, непрерывной деятельностью в рамках всего предприятия, всех лиц, участвующих в данном процессе можно подразделить на 2 группы:
лица, осуществляющие деятельность по классификации объектов защиты (группа классификации объектов защиты);
лица, принимающие участие в классификации объектов защиты.
Среди лиц, осуществляющих деятельность по классификации объектов защиты, целесообразно выделить следующие функциональные роли:
руководитель процесса классификации объектов защиты (далее – руководитель процесса) – организует деятельность по классификации объектов защиты, несет ответственность за внедрение, реализацию, анализ эффективности и модернизацию процесса классификации объектов защиты;
комиссия по классификации объектов защиты (далее – Комиссия) – определяет правила и принципы классификации объектов защиты, осуществляет оценку уровней критичности информационных активов, несет ответственность за выбор критериев классификации объектов защиты; Председателем Комиссии назначается один из руководителей компании; помощь в организации деятельности Комиссии Председателю оказывает секретарь Комиссии;
специалисты по классификации объектов защиты – осуществляют работы по классификации объектов защиты, в том числе – идентификацию объектов защиты, выявление взаимосвязей между ними, расчет уровня критичности объектов защиты и учет объектов защиты;
администраторы ИС – осуществляют идентификацию объектов защиты в составе ИС предприятия; взаимодействуют с руководителем процесса классификации объектов защиты через руководителя подразделения ИТ.
В реализации процесса классификации объектов защиты участие также принимают:
руководство компании – назначает сотрудников, ответственных за реализацию процесса классификации объектов защиты, принимает и утверждает документы, формируемые в рамках процесса классификации объектов защиты;
руководители бизнес-подразделений – организуют опрос работников подразделения с целью идентификации объектов защиты;
работники бизнес-подразделений (пользователи объектов защиты) – идентифицируют информационные активы компании.
Изобразим схему подчинения лиц в рамках процесса классификации объектов защиты (Рисунок 2.1):
Рис. 2.1. Схема подчинения лиц в рамках процесса классификации объектов защиты.
Конкретный список сотрудников, ответственных за реализацию тех или иных функциональных ролей, определяется для каждого предприятия индивидуально исходя из специфики бизнеса компании, при этом можно сформулировать следующие рекомендации:
в качестве руководителя процесса классификации объектов защиты назначить руководителя подразделения информационной безопасности;
в состав Комиссии включить руководителей ключевых бизнес-подразделений, подразделений информационной безопасности, информационных технологий, маркетинга, а также юристов, специалиста по работе с персоналом и других ключевых для компании сотрудников;
в качестве специалистов по классификации объектов защиты назначить работников подразделения информационной безопасности;
в качестве администраторов ИС назначить работников подразделения информационных технологий.