ГОСТ Р ИСО/МЭК 19770-1-2021. Национальный стандарт Российской Федерации. Информационные технологии. Управление ИТ-активами. Часть 1. Системы управления ИТ-активами. Требования

8.8 Смешанная ответственность организации и ее персонала

 

Когда у организации и ее персонала смешанная ответственность за ИТ-активы (в охвате управления ИТ-активами) и за информацию, хранящуюся на этих активах, такая ответственность может повлиять на достижение целей организации по управлению ИТ-активами. В этом случае организация должна оценить связанные риски и обеспечить контроль таких ситуаций.

Примечания

1 Ситуации, связанные со смешанной ответственностью между организацией и ее персоналом, включают в себя использование сотрудниками собственных персональных устройств для деятельности организации (обычно называемое "Bring-Your-Own-Device" или "BYOD"), а также использование сотрудниками ИТ-активов организации в личных целях, как результат хранения личных данных или информации на ресурсах организации. Когда организация использует ИТ-инфраструктуру со смешанной ответственностью за ИТ-активы или данные или информацию между организацией и ее персоналом, организация должна оценить связанные риски. Организация должна обеспечить контроль процессов и ИТ-инфраструктуры, связанных с такой смешанной ответственностью.

2 Примером ситуации, связанной со смешанной ответственностью, является ответственность разных участников за используемые устройства конечного пользователя (корпоративные или личные или принадлежащие третьей стороне, такой как оператор мобильной связи), лицензируемое программное обеспечение (корпоративное, личное или третьей стороны), данные и информацию, которые хранятся и обрабатываются (корпоративно, лично или третьей стороной).

 

Организация должна определить и задокументировать, как эти действия будут контролироваться и интегрироваться в систему управления ИТ-активами организации. Организация должна определить:

a) процессы и виды деятельности, на которые влияет смешанная ответственность организации и персонала (включая область применения и границы затрагиваемых процессов и видов деятельности);

b) последствия смешанной ответственности (включая связанные риски и то, как смешанная ответственность может эффективно совмещаться с подотчетностью ответственных лиц);

c) обязанности и полномочия в организации по урегулированию ситуаций, связанных со смешанной ответственностью; а также

d) процессы и возможности для обмена знаниями и информацией между организацией и ее персоналом в этих ситуациях, связанных со смешанной ответственностью.

При возникновении ситуаций, связанных со смешанной ответственностью, организация должна обеспечить, чтобы:

- ресурсы со смешанной ответственностью отвечали требованиям 7.2, 7.3 и 7.6;

- эффективность деятельности со смешанной ответственностью контролировалась в соответствии с 9.1.