19 сентября, среда 23:34
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

документ "политика ролей"

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • документ "политика ролей"

    Добрый день Коллеги!!!
    подскажите пожалуйста как правельно разработать документ "политика ролей"?????

  • #2
    В данный момент сам думаю над этим...получается винегрет честно говоря..
    Роль сотрудника в бизнес-процессах Банка у меня определяет руководитель подразделения на основании его должностной инструкции. А вот права доступа к информационному ресурсу дает Владелец актива, но тут затык если под активом в том числе понимать АБС, а это в принципе верно, то эта АБС не всегда предназначена для одного бизнес-процесса...получается для каждого бизнес-процесса должен быть свой владелец...
    Вообще нужно определиться для чего вам роли и какую выгоду от их ввода получите.
    Мне роли нужны чтобы обязанность по определению уровня доступа к АБС возложить на бизнес..с моим участием конечно, но один я просто не потяну. Облегчить этому же бизнесу допуск новеньких к информационным активам. И избавиться от зоопарка на машинках..т.е. паспорт рабочего места сделать...кстати вот тоже вопрос стоит с ними связываться или нет...бумажной волокиты много, а вот есть ли толк...

    Комментарий


    • #3
      документ "политика ролей" что -то я не припомню - а где есть требование разработки данного документа?
      Мы продолжаем делать то, что мы уже много наделали

      Комментарий


      • #4
        Сообщение от George-on-Don Посмотреть сообщение
        документ "политика ролей" что -то я не припомню - а где есть требование разработки данного документа?
        требований нет...рекомендации только
        Стандарт Банка России
        8.2.2. Общие требования по обеспечению информационной безопасности при назначении и распределении ролей и обеспечении доверия к персоналу

        Комментарий


        • #5
          у меня задача стоит примерно такая же как у вас Snip!! но скажем все щас замкнулось на меня!!! вот с чего мне посоветовали начать писать этот документ:
          примерное содержание документа:

          ====================
          1. Назначение
          2. Область применения
          3. Нормативные ссылки
          4. Термины и определения
          5. Основные принципы (требования) выделения/распределения ролей
          6. Порядок пересмотра политики и внесения изменений
          7. Ответственность
          ====================


          "Основные принципы (требования) выделения/распределения ролей"
          Например:

          § Все роли закреплены за определенными (ответственными) лицами, т.е. все роли являются персонифицированными. Закрепление ролей может осуществляться:
          1. фиксацией функций в должностных инструкциях;
          2. приказом по Банку;
          3. в заявке на доступ к информационным ресурсам.

          § Все роли по обеспечению информационной безопасности соответствуют всем принятым в организации функциям, связанным с информационной безопасностью.
          § За каждым информационным активом/ресурсом, который является критичным для бизнеса, по решению его владельца может быть закреплен сотрудник,
          исполняющий роль администратора безопасности и взаимодействующий с администратором безопасности Банка. В функции администратора безопасности входит
          подтверждение/контроль прав и полномочий пользователей, заведенных в системе ее администратором.

          вот что то в таком духе!!!!

          Комментарий


          • #6
            6. Порядок пересмотра политики и внесения изменений
            Вот это бы я выделил в отдельный документ.

            3. в заявке на доступ к информационным ресурсам.
            я пока рассматриваю именно этот способ, представляете каково озадачить руководителей подразделений переписыванием должностных? ;-)

            Все роли по обеспечению информационной безопасности соответствуют всем принятым в организации функциям, связанным с информационной безопасностью.
            вот этого не понял, а чем роль специалиста ИБ отличается от прочих, что ее так выделяют?

            За каждым информационным активом/ресурсом, который является критичным для бизнеса, по решению его владельца может быть закреплен сотрудник, исполняющий роль администратора безопасности...
            Логично, только у меня не по решению владельца актива, а в обязательном порядке и еще администратор ИА тоже должен быть..

            А вообще затык в основном следующий...я грешным делом считаю, что все бизнес-процессы в организации должны быть описаны...но понятно, что бизнес не горит желанием чего то там описывать и определять роли а я в свою очередь не могу этого сделать и из за отсутствия квалификации и из за того что левое подразделение..
            короче я веду к тому, что нужно почетную обязанность по описанию бизнес процессов возложить на бизнес, а определение ролей на бизнес ИБ и ИТ...

            Комментарий


            • #7
              я вот так и подошел к вопросу по идентификации основных ресурсов,бизнес у меня сам будет описывать свои процесы, а я паралельно начинал работу по ролевой политике

              Комментарий


              • #8
                Сообщение от Snip Посмотреть сообщение
                ... паспорт рабочего места сделать...кстати вот тоже вопрос стоит с ними связываться или нет...бумажной волокиты много, а вот есть ли толк...
                Пример одного из толков - актуализация моделей угроз: если на компе нет чего-то, то и защищать это чего-то на нем можно, но как-то странно.

                Комментарий


                • #9
                  Сообщение от Идущий Посмотреть сообщение
                  Пример одного из толков - актуализация моделей угроз: если на компе нет чего-то, то и защищать это чего-то на нем можно, но как-то странно.
                  Раскопали вы тему
                  Все таки решил однозначно делать и уже даже документ утвердил.

                  Комментарий


                  • #10
                    Snip как у вас подвигается дело с этим документом????есть ли какие нибудь результаты???

                    Комментарий


                    • #11
                      Смотрю тема достаточно старая и всеми давным давно заброшенная! И все таки, хочется верить, что кто то этим вопросом еще занимается и сможет здесь примерное описать и поделиться тем, что уже проделал у себя, а возможно и поделиться какими то набросками документов! Всем заранее спасибо за ответы, если таковы будут иметься!

                      Комментарий

                      Пользователи, просматривающие эту тему

                      Свернуть

                      Присутствует 1. Участников: 0, гостей: 1.

                      Обработка...
                      X