Сопоставление ролей субъектов информационных систем их функциональным обязанностям.

Упрощенная модель: создатели объектов, пользователи, администраторы, контроллеры.

Полная модель:

1. Владелец информации (классификация информации, определение механизмов безопасности, определение прав доступа, контроль резервного копирования).
2. Хранитель информации (резервное копирование, восстановление, учет информации, обеспечение сохранности).
3. Владелец приложений (определение прав доступа к приложениям, обеспечение адекватности механизмов безопасности, администрирование безопасности приложения, анализ нарушений).
4. Администратор пользователей (ведение учетных записей, формирование первичных паролей, удаление/блокирование учетных записей, изменение форм и прав доступа, информирование СИБ, обучение пользователей).
5. Администратор безопасности (определение механизмов безопасности информации, определение прав доступа, контроль запросов на доступ к КИ, удаление учетных записей, нарушающих правила безопасности, расследование).
6. Аналитик безопасности (анализ случаев нарушения, консультирование администраторов по разработке системы защиты, анализ используемых механизмов контроля безопасности, участие в разработке руководств).
7. Аналитик данных (разработка структуры данных, создание логических моделей данных, ведение библиотеки данных, управление распределением данных).
8. Администратор продукта (анализ новых версий, внедрение, использование лицензионных продуктов, анализ соответствия продуктов требованиям производственного процесса).
9. Владелец процесса (отслеживает правильность работы системы).
10. Конечный пользователь (хранит в тайне пароли, использует информационные ресурсы в целях производства, правильно использует процедуры безопасности, предоставляет руководству отчеты в случае нарушения информационной безопасности).