Портал №1 по управлению цифровыми
и информационными технологиями

ИБ: Владение информационным ресурсом

Дорогие друзья и коллеги!

Проект над которым я начал работать ещё в прошлом году и продолжаю работать в настоящее время связан с автоматизацией некоторых процессов информационной безопасности. В частности, автоматизации подлежит управление реестром информационных ресурсов подлежащих защите, формализация процедур по их классификации по уровням конфиденциальности, целостности, доступности и непрерывности, определение ответственных лиц, осуществляющих полномочия владения, процедуры выдачи и отзыва прав пользователей ресурса, процедуры периодического аудита журналов событий.

Основной информацией, вокруг которой исполняются все вышеуказанные процедуры, является реестр объектов, обрабатывающих чувствительную информацию: это могут быть информационные системы с их модулями, бизнес-процессами и ролями, ресурсы общего пользования.

Для каждого такого объекта определяется его владелец, обязанностью которого является защита информации хранимой или обрабатываемой в ресурсе. Мероприятия по защите информации и предоставлению доступа к ней должны удовлетворять установленным требованиям, определяемым её характером и природой.

Для монофункциональных ресурсов в виде общих файловых или почтовых папок, простых сервисов для владельца обычно не составляет существенного труда пройти через этот ряд неизбежных бюрократических процедур. 

Сложности возникают, если мы начинаем говорить о комплексных информационных системах, в которых выполняется 2-3 десятка бизнес процессов, каждый со своим набором ролей. Число пользователей таких систем обычно тоже велико (сотни человек), пользователи могут включать людей не являющимися сотрудников компании: партнеров, агентов, регуляторов, аудиторов, подрядчиков.

Владелец такого ресурса зачастую является бизнес-руководителем достаточно высокого уровня, поэтому закономерно было бы предложить использовать инструменты делегирования для решения этих вопросов.

Какие сложности при этом возникают:

  • Владельцы бизнес-процессов или модулей находятся ближе к исполнителям процессов, но не могут отвечать в полной мере за защиту чувствительной информации, т.к. она может храниться и обрабатываться в различных модулях в ходе своего жизненного цикла.
  • Если ролевая модель информационной системы предусматривает слой модулей (например по направлениям бизнеса), и выделение ролей производится исключительно внутри каждого из модулей, то может сложиться такая ситуация, когда фактическое исполнение обязанностей сотрудником будет требовать обязательного предоставления роли А в одном модуле и роли Б в другом, т.к. обе эти роли касаются обработки одного и того же информационного объекта. Но при этом возможны конфликты, так как владельцами этих модулей/ролей могут быть разные люди.
  • Если в ролевой модели роли являются сквозными, то владельцы ролей скорее всего будут иметь опосредованное отношение к обрабатываемой чувствительной информации, вменить им обязанности по обеспечению и контролю доступа к ней может быть затруднительно.
  • Даже если инструмент делегирования так или иначе "сработал", то тогда в чем заключается суть ответственности владения системой в целом? Этот руководитель может лишь формально опираться на своих делегатов, доверяя им бесконтрольно. "Владение" системой вырождается в формальность.  

Какой может быть выход из этой ситуации? Можно ввести понятие владения над хранимыми и обрабатываемыми сущностями. Владельцев чувствительных данных.

  • Владение чувствительной информацией требует построения матрицы/ описания процесса использования этой информации ролями в рамках исполнения бизнес-процессов. Необходимо по выстроенной картине ответственно определить перечень лиц, которые могут и будут авторизовать доступ к этой информации при осуществлении сотрудником рабочих обязанностей в рамках роли.
  • Мы будем вынуждены явно сформулировать критерии о соответствии информационной системы параметрам уровня защищенности, исполнение такого контроля в лице "владельца системы", как организатора в том числе, может быть именно в этом случае существенным. Владельцы обрабатываемых сущностей за всю систему целиком отвечать не в состоянии, а требования законодательства, например, заставляют нас применять их к информационным системам. 

Моя сегодняшняя заметка, к сожалению, явлется пока более декларацией сложностей, с которыми приходится сталкиваться, нежели подходящим для многих рецептом. Поэтому, если вам есть чем поделиться в этой части — расскажите, как решить эти вопросы правильно с предметной стороны и с наименьшим уровнем бюрократии со стороны формальной. 

Заранее спасибо!

 

«Управление проектами на основе PRINCE2»
Аккредитованный сертификационный учебный курс

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

  • Рубрики

  •  
  • Авторы

  •  
  • Самое свежее

    • Метрики потока создания ценности
      Свой первый отчёт с данными о работе процесса в ИТ я сделал где-то в самом конце 90-х годов. Я тогда работал в поддержке, мне было важно понять как быстро мы выполняем заявки,
    • Я понял только то, что ничего не понял
      На тему услуг написано довольно много самых разных статей, т.к. оказание услуг – самый распространенный вид человеческой деятельности. Банковские услуги, гостиничные услуги, юридические услуги, логистические услуги; парикмахер, курьер, айтишник – все это деятельность в сфере услуг. Моя работа тоже относится к этой же сфере, поэтому не могу не поделиться своими наблюдениями, или, как говорится, поговорить о наболевшем.
    • DevOps-путешествие American Airlines
      Несколько лет назад компания American Airlines начала путешествие, которое первоначально было направлено на преобразование DevOps в ИТ, но в дальнейшем набирало обороты и переросло в преобразование доставки продуктов, охватывающее весь бизнес.
    • Чтение признаков: Паттерны диаграммы рассеяния (Lead Time Scatterplot)
      Научившись определять общие закономерности в диаграмме рассеяния времени цикла, вы сможете заметить проблемные области до того, как они разрастутся. Сегодня мы покажем вам, как распознать наиболее распространенные модели диаграммы рассеяния и объясним, что они означают для вашего проекта.
    • Проблемные зоны цифровой трансформации
      Управление на основе гибких методологий подразумевает наличие гибкой команды, занимающейся развитием цифрового продукта. Однако, такие команды не возникают сами собой, их
    • Чтение знаков: Паттерны Канбан CFD
      Чтобы улучшить рабочие процессы, сначала нужно понять, как определить проблемные области. Метод Канбан использует визуальные методы для оценки ваших процессов. Диаграмма совокупных потоков Канбан является особенно мощным инструментом. На них фиксируется количество задач в каждом состоянии процесса через регулярные промежутки времени, как правило, ежедневно или еженедельно.
    • Краткое руководство по DevOps для не ИТ-руководителя бизнеса
      Тщательно продумайте, как выглядит успех. В цифровом мире это скорость, гибкость, контроль и оперативность, а не составление планов и следование им. Именно эти новые ИТ-практики принесут вам эти преимущества. Они уже принесли их многим другим предприятиям, которые встали на этот путь и, в некоторых случаях, разрушили отрасли.
    • 8 тенденций развития IT Service Desk в 2022 году
      Корпоративная служба поддержки ИТ в настоящее время находится в «идеальном шторме» для изменений или, точнее, в «идеальном шторме» для необходимости изменений. Случилось так
    • 6 худших вещей, которые продакт-менеджеры говорят инженерам
      Каждый хороший продакт-менеджер — полиглот. Он говорит на нескольких языках. Конечно, вы можете не говорить бегло на французском, итальянском или мандаринском. Но вы
    • На какой курс пойти, чтобы узнать про практику Х?
      Этот вопрос вы, наши слушатели, задаёте довольно часто. К тому же появились новые курсы категории VAP. Так что было бы удобно иметь под рукой справочник. Ну что же, вот оно:
  •  
  • Вход

  • DevOps
    Kanban
    ITSM
    ITIL
    PRINCE2
    Agile
    Lean
    TOGAF
    COBIT