Портал №1 по управлению цифровыми
и информационными технологиями

ИБ: Владение информационным ресурсом

Дорогие друзья и коллеги!

Проект над которым я начал работать ещё в прошлом году и продолжаю работать в настоящее время связан с автоматизацией некоторых процессов информационной безопасности. В частности, автоматизации подлежит управление реестром информационных ресурсов подлежащих защите, формализация процедур по их классификации по уровням конфиденциальности, целостности, доступности и непрерывности, определение ответственных лиц, осуществляющих полномочия владения, процедуры выдачи и отзыва прав пользователей ресурса, процедуры периодического аудита журналов событий.

Основной информацией, вокруг которой исполняются все вышеуказанные процедуры, является реестр объектов, обрабатывающих чувствительную информацию: это могут быть информационные системы с их модулями, бизнес-процессами и ролями, ресурсы общего пользования.

Для каждого такого объекта определяется его владелец, обязанностью которого является защита информации хранимой или обрабатываемой в ресурсе. Мероприятия по защите информации и предоставлению доступа к ней должны удовлетворять установленным требованиям, определяемым её характером и природой.

Для монофункциональных ресурсов в виде общих файловых или почтовых папок, простых сервисов для владельца обычно не составляет существенного труда пройти через этот ряд неизбежных бюрократических процедур. 

Сложности возникают, если мы начинаем говорить о комплексных информационных системах, в которых выполняется 2-3 десятка бизнес процессов, каждый со своим набором ролей. Число пользователей таких систем обычно тоже велико (сотни человек), пользователи могут включать людей не являющимися сотрудников компании: партнеров, агентов, регуляторов, аудиторов, подрядчиков.

Владелец такого ресурса зачастую является бизнес-руководителем достаточно высокого уровня, поэтому закономерно было бы предложить использовать инструменты делегирования для решения этих вопросов.

Какие сложности при этом возникают:

  • Владельцы бизнес-процессов или модулей находятся ближе к исполнителям процессов, но не могут отвечать в полной мере за защиту чувствительной информации, т.к. она может храниться и обрабатываться в различных модулях в ходе своего жизненного цикла.
  • Если ролевая модель информационной системы предусматривает слой модулей (например по направлениям бизнеса), и выделение ролей производится исключительно внутри каждого из модулей, то может сложиться такая ситуация, когда фактическое исполнение обязанностей сотрудником будет требовать обязательного предоставления роли А в одном модуле и роли Б в другом, т.к. обе эти роли касаются обработки одного и того же информационного объекта. Но при этом возможны конфликты, так как владельцами этих модулей/ролей могут быть разные люди.
  • Если в ролевой модели роли являются сквозными, то владельцы ролей скорее всего будут иметь опосредованное отношение к обрабатываемой чувствительной информации, вменить им обязанности по обеспечению и контролю доступа к ней может быть затруднительно.
  • Даже если инструмент делегирования так или иначе "сработал", то тогда в чем заключается суть ответственности владения системой в целом? Этот руководитель может лишь формально опираться на своих делегатов, доверяя им бесконтрольно. "Владение" системой вырождается в формальность.  

Какой может быть выход из этой ситуации? Можно ввести понятие владения над хранимыми и обрабатываемыми сущностями. Владельцев чувствительных данных.

  • Владение чувствительной информацией требует построения матрицы/ описания процесса использования этой информации ролями в рамках исполнения бизнес-процессов. Необходимо по выстроенной картине ответственно определить перечень лиц, которые могут и будут авторизовать доступ к этой информации при осуществлении сотрудником рабочих обязанностей в рамках роли.
  • Мы будем вынуждены явно сформулировать критерии о соответствии информационной системы параметрам уровня защищенности, исполнение такого контроля в лице "владельца системы", как организатора в том числе, может быть именно в этом случае существенным. Владельцы обрабатываемых сущностей за всю систему целиком отвечать не в состоянии, а требования законодательства, например, заставляют нас применять их к информационным системам. 

Моя сегодняшняя заметка, к сожалению, явлется пока более декларацией сложностей, с которыми приходится сталкиваться, нежели подходящим для многих рецептом. Поэтому, если вам есть чем поделиться в этой части – расскажите, как решить эти вопросы правильно с предметной стороны и с наименьшим уровнем бюрократии со стороны формальной. 

Заранее спасибо!

 

«Управление проектами на основе PRINCE2»
Трёхдневный аккредитованный учебный курс

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

DevOps
Kanban
ITSM
ITIL
PRINCE2
Agile
Lean
TOGAF
ITAM