# Роли и ответственность по безопасности (Draft)

## 1. Роли
- Владелец платформы (бизнес-роль).
- Администратор системы (оператор ИСПДн).
- Юрист (пользователь бизнес-контура).
- Разработчик (backend/frontend).
- DevOps/инфраструктура.
- QA (функциональные и security-регрессы).

## 2. Зоны ответственности

### Владелец платформы
- Утверждает политику обработки ПДн и уровень приемлемого риска.
- Принимает решения по эскалации инцидентов и коммуникации.

### Администратор системы
- Управляет пользователями/ролями/доступами.
- Контролирует события в уведомлениях и аудитах.
- Выполняет операционные регламенты (ротация, инциденты, backup/restore по процедурам).

### Юрист
- Обрабатывает только назначенные/доступные по роли заявки.
- Не передает ПДн вне утвержденных каналов платформы.
- Следует требованиям по работе с файлами и сообщениями.

### Разработчик
- Реализует secure-by-default в коде и конфигурации.
- Обеспечивает тестовое покрытие security-кейсов.
- Устраняет уязвимости в приоритетах P0/P1/P2.

### DevOps
- Поддерживает защищенный prod-контур (TLS, secrets, network policies).
- Организует безопасный деплой, ротацию секретов и наблюдаемость.
- Контролирует исправность backup и recovery процессов.

### QA
- Поддерживает runbook и e2e/security матрицу.
- Проверяет role-based ограничения и негативные сценарии.
- Фиксирует регрессы и воспроизводимость инцидентных кейсов.

## 3. Минимальные SLA по security-операциям
- P0 инцидент: реакция <= 30 минут, containment <= 4 часа.
- Ротация критичных секретов после компрометации: немедленно, завершение <= 24 часа.
- Исправление подтвержденной P0 уязвимости: hotfix <= 24 часа.

## 4. Артефакты контроля
- `context/11_test_runbook.md` — журнал тестовых прогонов.
- `context/17_pdn_incident_response_runbook.md` — действия при инциденте.
- `context/18_encryption_key_rotation_runbook.md` — ротация ключей шифрования.
- `docs/security/*` — технические документы ИСПДн.