ГОСТ Р ИСО/МЭК 27034-5-2020. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Безопасность приложений. Часть 5. Структуры данных протоколов и мер обеспечения безопасности приложений

6.6 Роли

Действующие субъекты и роли, определенные в ЭМЖЦБП, должны использоваться в качестве ориентира при описании МОБП с целью указать, какие ресурсы должны быть выделены для выполнения мероприятий или задач, связанных с МОБП.

Допустимы следующие значения ролей:

a) Приобретающая сторона

Отдельное лицо, которое приобретает или получает продукт или услугу у поставщика. Действующие субъекты, выступающие в этой роли, являются членами группы по управлению бизнесом.

b) Любая роль

Отдельное лицо, занятое в работе над приложением. Эту роль выполняют все действующие субъекты и правообладатели.

c) Администратор приложения

Отдельное лицо, ответственное за параметризацию и предоставление доступа к приложению. Действующие субъекты, выступающие в этой роли, могут быть членами группы по управлению ИТ.

d) Архитектор приложения

Отдельное лицо, ответственное за определение архитектуры приложения, в том числе ключевых технических решений, которые определяют его общую конструкцию, обеспечение сопровождения и реализацию. Действующие субъекты, выступающие в этой роли, являются членами группы разработки.

e) Оператор приложения

Отдельное лицо, ответственное за работу приложения и управление им.

Примечание - Оператор приложения может отвечать за управление правами пользователя приложения, функциональность и интерфейсы приложения.

 

Эта роль также известна как системный оператор или системный администратор.

f) Владелец приложения

Отдельное лицо, отвечающее за определение, сопровождение и утверждение порядка безопасного использования приложения. Действующие субъекты, выступающие в этой роли, являются членами группы по управлению бизнесом.

g) Соответствующее руководство, несущее ответственность

Самый высокопоставленный персонал, несущий ответственность за безопасное использование приложения в организации. Действующие субъекты, выступающие в этой роли, являются членами группы по управлению.

h) Аудитор

Отдельное лицо, которое проводит официальную, систематическую проверку безопасности приложения. Отдельное лицо, выполняющее данную роль, может быть членом внутренней (проводящей внутренний аудит) или внешней (проводящей внешний аудит) группы экспертов.

i) Главный сотрудник по вопросам (информационной) безопасности

Отдельное лицо, ответственное за определение и сопровождение средств и мер управления безопасностью в соответствующем проекте или корпоративной организации. Действующие субъекты, выступающие в этой роли, являются членами руководящего состава организации.

j) Индивидуально определяемая роль

Роль, определяемая организацией. Добавляет гибкости для адаптирования эталонной модели к особым организационным контекстам и требованиям.

k) Разработчик

Отдельное лицо, ответственное за разработку части или всего приложения, в том числе конструирование, прототипирование, реализацию, тестирование элементов и интеграцию компонентов в решение. Действующие субъекты, выступающие в этой роли, являются членами группы разработки.

l) Специалист в предметной области

Отдельное лицо, знакомое с предметной областью, которое может предоставить детальную информацию о предметной области. Действующие субъекты, выступающие в этой роли, являются членами группы внешних экспертов.

m) Архитектор ИТ-инфраструктуры

Отдельное лицо, ответственное за проектирование технологической инфраструктуры, требуемой для предоставления услуг. Действующие субъекты, выступающие в этой роли, являются членами группы по управлению ИТ.

n) Эксперт по ИТ-инфраструктуре

Отдельное лицо, ответственное за реализацию и сопровождение технологической инфраструктуры. Действующие субъекты, выступающие в этой роли, являются членами группы по управлению ИТ.

o) Эксперт в области законов и нормативных актов

Отдельное лицо, знакомое с областью законодательства и регламентирующих норм, которое может предоставить детальную информацию о предметной области. Действующие субъекты, выступающие в этой роли, являются членами группы внешних экспертов.

p) Руководитель

Отдельное лицо, ответственное за планирование и управление работой группы лиц, мониторинг их работы и принятие корректирующих мер в случае необходимости. Действующие субъекты, выступающие в этой роли, являются членами группы по управлению бизнесом.

q) Владелец

Отдельное лицо, отвечающее за определение, сопровождение и утверждение порядка безопасного использования элемента под свою ответственность, например приложения, процесса или проекта. Действующие субъекты, выступающие в этой роли, являются членами группы по управлению бизнесом.

r) Проектный менеджер

Отдельное лицо, ответственное за планирование и координацию ресурсов, необходимых для достижения целей проекта в рамках запланированной цены, сроков и показателей качества. Действующие субъекты, выступающие в этой роли, являются членами группы по управлению бизнесом.

s) Архитектор по безопасности

Отдельное лицо, ответственное за проектирование средств управления безопасностью в целях снижения уровня угроз безопасности. Действующие субъекты, выступающие в этой роли, являются членами группы разработки.

t) Поставщик

Юридическое или физическое лицо, заключающее соглашение с приобретающей стороной о поставке продукта или услуги. Действующие субъекты, выступающие в этой роли, являются членами группы внешних экспертов.

u) Тестировщик

Отдельное лицо, ответственное за внедрение и реализацию тестов в целях обеспечить соответствие развертываемых релизов и сервисов требованиям. Действующие субъекты, выступающие в этой роли, являются членами группы разработки.

v) Инструктор

Отдельное лицо, которое обучает людей. Физическое лицо, выступающее в этой роли, может быть членом внутренней или внешней группы экспертов.

w) Пользователь

Отдельное лицо, выполняющее одну или несколько задач с приложением. Действующие субъекты, выступающие в этой роли, являются членами группы пользователей.