Маршрут согласования
Узнать большеСовременные компании все чаще используют набор практик и процессов Data Governance, уходя таким образом от решения вопросов информационной безопасности на уровне системного администратора (как это происходит у многих). В рамках этого подхода данные рассматриваются как один из основных активов компании, для управления которым требуются соответствующие решения, инструменты, действия. При внедрении Data Governance можно говорить о следующих эффектах:
-
Прозрачность любых процессов, связанных с работой с данными. Организуется контроль действий, запись истории.
-
Упорядочивание процессов обработки информации.
-
Приведение системы работы с данными в соответствие руководящим документам, стандартам.
-
Повышение ценности информации в компании, создание культуры обращения с ней, формирование у персонала понимания значимости этого важного актива.
При использовании подхода Data Governance практикуется внедрение ролей. Одна из них – владелец данных. Это – бизнес-роль (не техническая). Выполняющий ее специалист должен понимать, что успешность работы его подразделения зависит от степени защищенности критичных активов компании.
Функции владельца данных и зона его ответственности
Назначение владельца данных, как правило, происходит из числа руководителей подразделения, в котором создается/обрабатывается определенное подмножество информации. Такая роль должна быть в каждом бизнес-подразделении. Основная функция владельца – забота о данных, предотвращение инцидентов, которые могут привести к их утечкам, искажению, недоступности, а также к иным последствиям. На такого специалиста возлагается организация и сопровождение оперативного процесса управления данными, который включает поиск, мониторинг и изменение, интеграцию и организацию эффективного, безопасного использования информационных активов.
Также на владельца, ответственного за сохранность и доступ к данным, возлагается еще ряд функций.
Классификация информации
Он принимает решения по классификации данных, их разбиению по категориям для эффективного разграничения прав доступа, отвечает за полноту, качество их описания и категорирования. Классификация регулярно должна пересматриваться, т. к. информационные активы в процессе обработки могут менять степень важности и критичности для организации.
Также эта роль предполагает функции по формированию требований к качеству информации, проработку вопросов и мер по его повышению.
Внедрение мер безопасности
Владелец ресурса данных отвечает за меры по обеспечению защиты информации, обрабатываемой в его подразделении. Он оценивает показатели безопасности и принимает соответствующие меры для их поддержания в нужных пределах: составляет заявки в IT-отдел, обосновывает предложения по закупке программных, а также аппаратных средств безопасности. Важная особенность работы такого сотрудника заключается в том, что управление данными – это неразрывное сочетание функций по надзору с исполнением.
Среди мер по информационной безопасности данных, которые находятся в его зоне ответственности:
-
Правильное и эффективное разграничение прав доступа к защищаемой информации. Также требуется их регулярная ресертификация (пересмотр и переоценка).
-
Организация резервного копирования важных для компании данных.
-
Согласование любых действий: передача, разглашение важных сведений. Согласование запросов на доступ к ним.
Эта роль также может предполагать работу с другими мерами/средствами обеспечения ИБ, в зависимости от специфики компании, а также характера информации, с которой она работает.
Согласование изменений и стратегических решений
Владельцев данных (а равно руководителей подразделений) привлекают к согласованию изменений в компании, которые могут оказать влияние на состав и качество информации. Это: внедрение/удаление программных или технических средств, изменение организационной структуры и другие действия, которые могут влиять на процессы, критичные для компании.
Рабочие инструменты владельца ресурса данных
Если проанализировать функции такого специалиста, можно увидеть, что большая часть из них связана с доступом к информации (управление, разграничение прав). Опыт многих компаний показывает, что реализовать практически все эти функции можно с помощью решений класса IdM/IGA.
Такое ПО помогает при классификации информации. Оно позволит понять, к каким сведениям кому стоит ограничивать доступ, реализовать исполнение утвержденных регламентов по управлению доступом к данным, а также организовать этот процесс эффективно и быстро. IdM/IGA-решения – часть системы информационной безопасности в компании. С их помощью реализуется ролевая модель управления доступом, аудит, ресертификация прав. IdM/IGA-системы позволяют автоматизировать процессы согласования/предоставления прав доступа, отзыв, изменение полномочий, а также другие процессы, входящие в функции владельца, ответственного за доступ к данным. Опираясь на статистическую информацию, полученную из программных средств этого класса, специалисты могут обосновывать свои предложения, действия в ходе согласования и принятия стратегических решений.
Кроме того, владелец данных в своей работе может руководствоваться сведениями, полученными из других источников (напрямую или при взаимодействии с другими специалистами) – программных и иных средств, обеспечивающих информационную безопасность компании. Это могут быть SIEM- и DLP-системы, внутренние или внешние SOC.
В соответствии с подходом Data Governance, введение ролей, в том числе и владельца данных, – хорошая практика. Она позволит компании, использующей несколько информационных систем, определить и назначить владельцев ресурсов, упорядочить процессы работы с информацией, сделать их более прозрачными, результативными, повысить показатели эффективности системы безопасности. Опыт многих наших клиентов, использующих Solar InRights и другие программные продукты компании, подтверждает это.
