Получить консультацию по Solar inRights

Современные компании все чаще используют набор практик и процессов Data Governance, уходя таким образом от решения вопросов информационной безопасности на уровне системного администратора (как это происходит у многих). В рамках этого подхода данные рассматриваются как один из основных активов компании, для управления которым требуются соответствующие решения, инструменты, действия. При внедрении Data Governance можно говорить о следующих эффектах:

  • Прозрачность любых процессов, связанных с работой с данными. Организуется контроль действий, запись истории.

  • Упорядочивание процессов обработки информации.

  • Приведение системы работы с данными в соответствие руководящим документам, стандартам.

  • Повышение ценности информации в компании, создание культуры обращения с ней, формирование у персонала понимания значимости этого важного актива.

При использовании подхода Data Governance практикуется внедрение ролей. Одна из них – владелец данных. Это – бизнес-роль (не техническая). Выполняющий ее специалист должен понимать, что успешность работы его подразделения зависит от степени защищенности критичных активов компании.

Функции владельца данных и зона его ответственности

Назначение владельца данных, как правило, происходит из числа руководителей подразделения, в котором создается/обрабатывается определенное подмножество информации. Такая роль должна быть в каждом бизнес-подразделении. Основная функция владельца – забота о данных, предотвращение инцидентов, которые могут привести к их утечкам, искажению, недоступности, а также к иным последствиям. На такого специалиста возлагается организация и сопровождение оперативного процесса управления данными, который включает поиск, мониторинг и изменение, интеграцию и организацию эффективного, безопасного использования информационных активов.

Также на владельца, ответственного за сохранность и доступ к данным, возлагается еще ряд функций.

Классификация информации

Он принимает решения по классификации данных, их разбиению по категориям для эффективного разграничения прав доступа, отвечает за полноту, качество их описания и категорирования. Классификация регулярно должна пересматриваться, т. к. информационные активы в процессе обработки могут менять степень важности и критичности для организации.

Также эта роль предполагает функции по формированию требований к качеству информации, проработку вопросов и мер по его повышению.

Внедрение мер безопасности

Владелец ресурса данных отвечает за меры по обеспечению защиты информации, обрабатываемой в его подразделении. Он оценивает показатели безопасности и принимает соответствующие меры для их поддержания в нужных пределах: составляет заявки в IT-отдел, обосновывает предложения по закупке программных, а также аппаратных средств безопасности. Важная особенность работы такого сотрудника заключается в том, что управление данными – это неразрывное сочетание функций по надзору с исполнением.

Среди мер по информационной безопасности данных, которые находятся в его зоне ответственности:

  • Правильное и эффективное разграничение прав доступа к защищаемой информации. Также требуется их регулярная ресертификация (пересмотр и переоценка).

  • Организация резервного копирования важных для компании данных.

  • Согласование любых действий: передача, разглашение важных сведений. Согласование запросов на доступ к ним.

Эта роль также может предполагать работу с другими мерами/средствами обеспечения ИБ, в зависимости от специфики компании, а также характера информации, с которой она работает.

Согласование изменений и стратегических решений

Владельцев данных (а равно руководителей подразделений) привлекают к согласованию изменений в компании, которые могут оказать влияние на состав и качество информации. Это: внедрение/удаление программных или технических средств, изменение организационной структуры и другие действия, которые могут влиять на процессы, критичные для компании.

Рабочие инструменты владельца ресурса данных

Если проанализировать функции такого специалиста, можно увидеть, что большая часть из них связана с доступом к информации (управление, разграничение прав). Опыт многих компаний показывает, что реализовать практически все эти функции можно с помощью решений класса IdM/IGA.

Такое ПО помогает при классификации информации. Оно позволит понять, к каким сведениям кому стоит ограничивать доступ, реализовать исполнение утвержденных регламентов по управлению доступом к данным, а также организовать этот процесс эффективно и быстро. IdM/IGA-решения – часть системы информационной безопасности в компании. С их помощью реализуется ролевая модель управления доступом, аудит, ресертификация прав. IdM/IGA-системы позволяют автоматизировать процессы согласования/предоставления прав доступа, отзыв, изменение полномочий, а также другие процессы, входящие в функции владельца, ответственного за доступ к данным. Опираясь на статистическую информацию, полученную из программных средств этого класса, специалисты могут обосновывать свои предложения, действия в ходе согласования и принятия стратегических решений.

Кроме того, владелец данных в своей работе может руководствоваться сведениями, полученными из других источников (напрямую или при взаимодействии с другими специалистами) – программных и иных средств, обеспечивающих информационную безопасность компании. Это могут быть SIEM- и DLP-системы, внутренние или внешние SOC.

В соответствии с подходом Data Governance, введение ролей, в том числе и владельца данных, – хорошая практика. Она позволит компании, использующей несколько информационных систем, определить и назначить владельцев ресурсов, упорядочить процессы работы с информацией, сделать их более прозрачными, результативными, повысить показатели эффективности системы безопасности. Опыт многих наших клиентов, использующих Solar InRights и другие программные продукты компании, подтверждает это.

ДРУГИЕ СТАТЬИ ПРОДУКТА

Еще больше о наших возможностях

Визуальный конструктор бизнес-логики на основе Camunda BPM

Визуальный конструктор бизнес-логики на основе Camunda BPM

Узнать больше
Результат от внедрения системы управления доступом

Результат от внедрения системы управления доступом

Узнать больше