Портал №1 по управлению цифровыми
и информационными технологиями

ИБ: Владение информационным ресурсом

Дорогие друзья и коллеги!

Проект над которым я начал работать ещё в прошлом году и продолжаю работать в настоящее время связан с автоматизацией некоторых процессов информационной безопасности. В частности, автоматизации подлежит управление реестром информационных ресурсов подлежащих защите, формализация процедур по их классификации по уровням конфиденциальности, целостности, доступности и непрерывности, определение ответственных лиц, осуществляющих полномочия владения, процедуры выдачи и отзыва прав пользователей ресурса, процедуры периодического аудита журналов событий.

Основной информацией, вокруг которой исполняются все вышеуказанные процедуры, является реестр объектов, обрабатывающих чувствительную информацию: это могут быть информационные системы с их модулями, бизнес-процессами и ролями, ресурсы общего пользования.

Для каждого такого объекта определяется его владелец, обязанностью которого является защита информации хранимой или обрабатываемой в ресурсе. Мероприятия по защите информации и предоставлению доступа к ней должны удовлетворять установленным требованиям, определяемым её характером и природой.

Для монофункциональных ресурсов в виде общих файловых или почтовых папок, простых сервисов для владельца обычно не составляет существенного труда пройти через этот ряд неизбежных бюрократических процедур. 

Сложности возникают, если мы начинаем говорить о комплексных информационных системах, в которых выполняется 2-3 десятка бизнес процессов, каждый со своим набором ролей. Число пользователей таких систем обычно тоже велико (сотни человек), пользователи могут включать людей не являющимися сотрудников компании: партнеров, агентов, регуляторов, аудиторов, подрядчиков.

Владелец такого ресурса зачастую является бизнес-руководителем достаточно высокого уровня, поэтому закономерно было бы предложить использовать инструменты делегирования для решения этих вопросов.

Какие сложности при этом возникают:

  • Владельцы бизнес-процессов или модулей находятся ближе к исполнителям процессов, но не могут отвечать в полной мере за защиту чувствительной информации, т.к. она может храниться и обрабатываться в различных модулях в ходе своего жизненного цикла.
  • Если ролевая модель информационной системы предусматривает слой модулей (например по направлениям бизнеса), и выделение ролей производится исключительно внутри каждого из модулей, то может сложиться такая ситуация, когда фактическое исполнение обязанностей сотрудником будет требовать обязательного предоставления роли А в одном модуле и роли Б в другом, т.к. обе эти роли касаются обработки одного и того же информационного объекта. Но при этом возможны конфликты, так как владельцами этих модулей/ролей могут быть разные люди.
  • Если в ролевой модели роли являются сквозными, то владельцы ролей скорее всего будут иметь опосредованное отношение к обрабатываемой чувствительной информации, вменить им обязанности по обеспечению и контролю доступа к ней может быть затруднительно.
  • Даже если инструмент делегирования так или иначе "сработал", то тогда в чем заключается суть ответственности владения системой в целом? Этот руководитель может лишь формально опираться на своих делегатов, доверяя им бесконтрольно. "Владение" системой вырождается в формальность.  

Какой может быть выход из этой ситуации? Можно ввести понятие владения над хранимыми и обрабатываемыми сущностями. Владельцев чувствительных данных.

  • Владение чувствительной информацией требует построения матрицы/ описания процесса использования этой информации ролями в рамках исполнения бизнес-процессов. Необходимо по выстроенной картине ответственно определить перечень лиц, которые могут и будут авторизовать доступ к этой информации при осуществлении сотрудником рабочих обязанностей в рамках роли.
  • Мы будем вынуждены явно сформулировать критерии о соответствии информационной системы параметрам уровня защищенности, исполнение такого контроля в лице "владельца системы", как организатора в том числе, может быть именно в этом случае существенным. Владельцы обрабатываемых сущностей за всю систему целиком отвечать не в состоянии, а требования законодательства, например, заставляют нас применять их к информационным системам. 

Моя сегодняшняя заметка, к сожалению, явлется пока более декларацией сложностей, с которыми приходится сталкиваться, нежели подходящим для многих рецептом. Поэтому, если вам есть чем поделиться в этой части — расскажите, как решить эти вопросы правильно с предметной стороны и с наименьшим уровнем бюрократии со стороны формальной. 

Заранее спасибо!

 

«Управление проектами на основе PRINCE2»
Аккредитованный сертификационный учебный курс

Добавить комментарий

Ваш адрес email не будет опубликован.

  • Рубрики

  •  
  • Авторы

  •  
  • Самое свежее

    • Внедрение ИИ для вашей службы поддержкиВнедрение ИИ для вашей службы поддержки
      Но что на самом деле означает внедрение ИИ для возможностей ITSM вашей организации, особенно для службы технической поддержки?
    • Бесплатная конференция IT-Entrance для тех, кто хочет стать айтишниками
        28 мая в Минске пройдет бесплатная 11-я международная конференция IT-Entrance. Это мероприятие для тех, кто хочет попасть в IT, для начинающих IT-специалистов уровня junior с
    • ITIL 4 Specialist: High-velocity IT. Что внутри?
      В дополнение к уже опубликованным обзорам курсов по направлению Managing Professional (MP) сертификационной линейки ITIL4, сегодня мы рассмотрим еще один модуль – ITIL 4 Specialist: High-velocity IT (HVIT).
    • Весення уборка в бэклоге продукта: порядок за четыре шага!
      Каждая команда, которая ведёт разработку ПО в соответствии с практиками Agile, имеет бэклог продукта или по крайней мере думает, что он у неё есть. Кажется, что это очень простой инструмент, но на практике я регулярно сталкиваюсь с неумением им пользоваться для планирования работы разработчиков. Давайте попробуем разобраться, для чего нужен бэклог продукта и как извлечь из него максимум пользы. 
    • Warranty и Utility в ITIL4
      У услуг, которыми мы управляем в рамках Service есть две основные характеристики: гарантия — Warranty и Utility — полезность. Эти характеристики нужны нам, чтобы определить, будет ли услуга способствовать достижению результатов, которые нужны пользователю, а как следствие — создавать для них ценность.
    • Шесть практик для лучшего взаимодействия бизнеса и ИТ
      Хотели бы вы, чтобы руководители предприятий и ИТ могли лучше работать вместе, совместно работать над проектами и в полной мере обмениваться информацией? Если вы похожи на большинство ИТ-руководителей, ответ — да. Преимущества эффективного сотрудничества между бизнесом и ИТ включают в себя специальные проекты, которые лучше соответствуют бизнес-целям, улучшенное управление изменениями и более активное участие в новых инициативах.
    • Используйте технологии для повышения эффективности рабочего процесса вашей ИТ-команды
      Эффективное рабочее место создает, так сказать, хорошо смазанную машину, повышая итоговую прибыль и, как следствие, успех вашего бизнеса. Дополнительное время на работе не всегда означает большее достижение. Важно то, что вы делаете с тем временем, которое у вас есть, а это все об эффективности рабочего процесса.
    • Хранение данных и «внутренний хомяк»
      Хранение информации, которая больше не пригодится, сопряжено со огромным количеством рисков. Иллюстрация этому — череда сливов персональных данных пользователей крупных сервисов, которую мы могли наблюдать с января по март. Кажется, что предприятиям нужны правила, когда и как избавляться от данных.
    • Action BiasAction Bias — известная ловушка, в которую мы всё равно постоянно попадаем
      Action Bias: склонность к реагированию и действию, даже если это не приведёт к положительным результатам. «Делать хоть что-то» создаёт иллюзию загрузки ресурсов полезной работой.
    • бэклог27 антипаттернов бэклога продукта
      Эта статья показывает 27 распространённых антипаттернов продуктового бэклога, включая процесс уточнения бэклога продукта, ограничивающих успех вашей Скрам-команды.
  •  
  • Вход

  • DevOps
    Kanban
    ITSM
    ITIL
    PRINCE2
    Agile
    Lean
    TOGAF
    COBIT