Law/docs/security/roles_and_responsibilities.md

Роли и ответственность по безопасности (Draft)

1. Роли

• Владелец платформы (бизнес-роль).
• Администратор системы (оператор ИСПДн).
• Юрист (пользователь бизнес-контура).
• Разработчик (backend/frontend).
• DevOps/инфраструктура.
• QA (функциональные и security-регрессы).

2. Зоны ответственности

Владелец платформы

• Утверждает политику обработки ПДн и уровень приемлемого риска.
• Принимает решения по эскалации инцидентов и коммуникации.

Администратор системы

• Управляет пользователями/ролями/доступами.
• Контролирует события в уведомлениях и аудитах.
• Выполняет операционные регламенты (ротация, инциденты, backup/restore по процедурам).

Юрист

• Обрабатывает только назначенные/доступные по роли заявки.
• Не передает ПДн вне утвержденных каналов платформы.
• Следует требованиям по работе с файлами и сообщениями.

Разработчик

• Реализует secure-by-default в коде и конфигурации.
• Обеспечивает тестовое покрытие security-кейсов.
• Устраняет уязвимости в приоритетах P0/P1/P2.

DevOps

• Поддерживает защищенный prod-контур (TLS, secrets, network policies).
• Организует безопасный деплой, ротацию секретов и наблюдаемость.
• Контролирует исправность backup и recovery процессов.

QA

• Поддерживает runbook и e2e/security матрицу.
• Проверяет role-based ограничения и негативные сценарии.
• Фиксирует регрессы и воспроизводимость инцидентных кейсов.

3. Минимальные SLA по security-операциям

• P0 инцидент: реакция <= 30 минут, containment <= 4 часа.
• Ротация критичных секретов после компрометации: немедленно, завершение <= 24 часа.
• Исправление подтвержденной P0 уязвимости: hotfix <= 24 часа.

4. Артефакты контроля

• context/11_test_runbook.md — журнал тестовых прогонов.
• context/17_pdn_incident_response_runbook.md — действия при инциденте.
• context/18_encryption_key_rotation_runbook.md — ротация ключей шифрования.
• docs/security/* — технические документы ИСПДн.