Согласно базовым стандартам в области информационной безопасности (13, 14, 21, 22), для полноценной реализации всех этапов и ступеней жизненного цикла ПолИБ и адекватного распределения ответственности за их реализацию организация создает соответствующую инфраструктуру, обеспечивающую правильное понимание и постоянную реализацию политики, устанавливающую иерархические взаимосвязи взаимоподдерживающих друг друга уровней и эффективно адаптирующуюся к частым изменениям технологического и организационного характера.
Обязательно выявляются специалисты, непосредственно участвующие в управленческой деятельности ИБ и тем самым реализующие основные принципы ПолИБ — например, обучающие сотрудников, разрабатывающие критерии оценки эффективности, планирующие мероприятия по управлению ИБ и т.д. Обычно создается рабочая группа по управлению ИБ, в которую, как правило, входят руководители различных подразделений организации. В обязанности группы входит утверждение документов по ИБ, разработка и утверждение стратегии управления рисками ИБ, мониторинг выполнения процедур СУИБ, оценка эффективности СУИБ и др.
Также определяются роли, назначаемые сотрудникам, связанным со всеми этапами жизненного цикла ПолИБ. Под ролью обычно понимают заранее определенный набор правил, устанавливающих приемлемое взаимодействие между субъектом и объектом. Субъектами могут быть сотрудники, клиенты, партнеры и другие лица, инициирующие процессы от их имени для осуществления действий на объектах. Объектами, в свою очередь, могут быть программно-технические средства, информационные ресурсы, сервисы, процессы, системы, над которыми выполняются действия.
При этом следует учитывать следующее:
- бизнес-цели организации и цели ОИБ,а также необходимые и достаточные ресурсы для достижения этих целей;
- функциональные и процедурные требования;
- разделение бизнес-процесса на подпроцессы для назначения ролей и руководствуясь принципом «один процесс-несколько ролей”;
- возможность группировать и взаимодействовать роли;
- наличие контроля за своевременностью и качеством выполнения ролей, для которых ОИБ определяет дополнительные роли и критерии оценки эффективности правил для каждой роли, в противном случае может возникнуть новая уязвимость;
- установление ответственности за каждую роль.
Распределение ролей хорошо тем, что позволяет правильно планировать процессы и обязанности отдельных субъектов. Если в ходе разработки ПолИБ обнаруживается, что роли перекрываются, это дает повод усомниться в правильности планирования этого процесса или распределения обязанностей его субъектов.
Ответственность за внедрение ПолИБ напрямую связана с управлением ИБ в организации. Все вопросы, так или иначе связанные с человеческим фактором, наиболее эффективно решаются при участии отдела кадров центрального аппарата или соответствующего подразделения в филиале организации.
Ответственность, связанная с непосредственным выполнением процедур ОИБ, существенно зависит от технического аспекта и, следовательно, определяется совместно с представителями подразделений, сопровождающих эксплуатацию программно-технических средств.
Эти процедуры часто выполняются децентрализованно (в разное время, “на местах”, в географически удаленных офисах одной и той же организации), но они должны быть скоординированы с общим корпоративным ПолИБ и должны быть проверены, чтобы определить, могут ли они быть выполнены во время оценки политики.