Функции каждого человека, так
или иначе связанного с конфиденциальной
информацией на предприятии, можно
классифицировать и в некотором приближении
формализовать. Подобное общее описание функций
оператора носит название роли. В зависимости от
размеров предприятия некоторые из перечисленных
ниже ролей могут отсутствовать вообще, а
некоторые могут совмещаться одним и тем же
физическим лицом.
Специалист по информационной
безопасности играет основную роль в разработке и
поддержании политики безопасности предприятия.
Он проводит расчет и перерасчет рисков,
отвественен за поиск самой свежей информации об
обнаруженных уязвимостях в используемом в фирме
программном обеспечении и в целом в стандартных
алгоритмах.
Владелец информации лицо,
непосредственно работающее с данной
информацией, (не нужно путать с оператором).
Зачастую только он в состоянии реально оценить
класс обрабатываемой информации, а иногда и
рассказать о нестандартных методах атак на нее
(узкоспецифичных для этого вида данных). Владелец
информации не должен участвовать в аудите
системы безопасности.
Поставщик аппаратного и программного
обеспечения. Обычно стороннее лицо, которое
несет ответственность перед фирмой за
поддержание должного уровня информационной
безопасности в поставляемых им продуктов.
Разработчик системы и/или
программного обеспечения играет основную роль в
уровне безопасности разрабатываемой системы. На
этапах планирования и разработки должен активно
взаимодействовать со специалистами по
информационной безопасности.
Линейный менеджер или менеджер отдела
является промежуточным звеном между операторами
и специалистами по информационной безопасности.
Его задача своевременно и качественно
инструктировать подчиненный ему персонал обо
всех требованиях службы безопасности и следить
за ее их выполнением на рабочих местах. Линейные
менеджеры должны быть осведомлены о всей
политике безопасности предприятия, но доводить
до сведения подчиненных только те ее аспекты,
которые непосредственно их касаются.
Операторы лица, отвественные только
за свои поступки. Они не принимают никаких
решений и ни за кем не наблюдают. Они должны быть
осведомлены о классе конфиденциальности
информации, с которой они работают, и о том, какой
ущерб будет нанесен фирмы при ее раскрытии.
Аудиторы внешние специалисты или
фирмы, нанимаемые предприятием для
периодической (довольно редкой) проверки
организации и функционирования всей системы
безопасности. |