Полная модель классификации субъектов

Владелец информации — бизнес-менеджер, который ответственен за информационные активы предприятия. Обязанности следующие:

• устанавливать первичную классификацию информации и периодически проверять, что эта классификация отвечает производственным задачам;
• определять работу механизмов безопасности в соответствии с классификацией;
• анализировать актуальность прав доступа к информационным активам;
• определение требований безопасности, резервного копирования и критериев доступа к информационным активам;
• выполнять или назначать исполнителей для следующих операций:
◦ санкционирование запросов на доступ от других бизнес-подразделений;
◦ резервное копирование;
◦ восстановление данных;
• санкционировать различные действия по фактам нарушения безопасности.

Хранитель информации — обычно специалист по информационным технологиям, основная задача которого — резервное копирование и восстановление данных. Обязанности следующие:

• производить резервное копирование в соответствии с требованиями, установленными владельцем информации;
• при необходимости восстанавливать потерянные или поврежденные данные;
• производить необходимые мероприятия по обеспечению сохранности и доступности данных из резервных копий;
• обеспечивать учет хранения в соответствии с требованиями владельца информации.

Владелец приложения — руководитель бизнес-подразделения, который полностью ответственен за выполнение производственных или иных функций, обслуживаемых приложением. Имеет следующие обязанности:

• устанавливать критерии доступа пользователей и требования к доступности для приложения;
• контролировать адекватность использования механизмов безопасности приложения (то есть, если информация, скажем, «совершенно секретная», то и механизм безопасности не может быть таким же, как для просто «секретной» информации);
• исполнять или поручать исполнение следующего:
◦ ежедневное администрирование безопасности;
◦ рассмотрение отдельных запросов на доступ;
◦ анализ случаев нарушения безопасности;
◦ рассмотрение и утверждение всех изменений к приложению до их установки на реальную систему;
◦ подтверждение актуальности прав доступа пользователей в рамках приложения.

Администратор пользователей — непосредственный руководитель сотрудников. В его полной ответственности — учетные данные пользователей и информационные ресурсы работников предприятия (то есть системы, приложения, данные и т. п.). В случаях, когда для выполнения операций привлечены не работники предприятия (контрактники, консультанты и т. д.), в его ведении находится их деятельность и информационные ресурсы, используемые ими. Администратор пользователей обычно отвечает за привлечение сторонних организаций. Его обязанности:

• информировать администратора безопасности об увольнении пользователя для удаления учетных записей пользователя, их отключения или временного блокирования;
• информировать администратора безопасности о служебных перемещениях пользователей, если это влечет изменение форм или прав доступа;
• докладывать в службу информационной безопасности обо всех происшествиях по безопасности или подозрении на такие происшествия;
• контролировать актуальность пользовательской учетной информации;
• формировать и предоставлять первичные пароли для новых пользователей;
• проводить обучение пользователей в вопросах политики безопасности, ее процедурам, стандартам и т.п.

Администратор безопасности — сотрудник предприятия, который имеет соответствующие полномочия в системе управления доступом. Он устанавливает механизмы безопасности, администрирует учетные записи пользователей и права доступа к информационным ресурсам. Он подотчетен либо бизнес-подразделению, либо службе информационной безопасности внутри подразделения информационных технологий. Имеет следующие обязанности:

• разбираться в различных средах обработки данных и в результатах предоставления доступа к ним;
• контролировать тот факт, что запросы на доступ соответствуют общей линии использования информации и правилам безопасности;
• администрировать права доступа в соответствии с критериями, установленными владельцем информации;
• создавать и удалять учетные записи пользователей, установленные администратором пользователей;
• администрировать систему в рамках своей работы и функциональных обязанностей;
• расследовать отчеты о нарушениях безопасности;
• направлять начальные пароли новых пользователей только непосредственным начальникам этих пользователей.

Аналитик безопасности — сотрудник, ответственный за определение развития безопасности данных (стратегий, процедур, правил) для обеспечения уверенности в том, что контроль и защита информации основаны на значимости информации, риске потери или компрометации и легкости восстановления. Обязанности:

• предоставлять руководства по безопасности для процедур управления информацией;
• обеспечивать понимание основных принципов работы с информацией, для того чтобы убедиться, что используются соответствующие механизмы контроля;
• обеспечивать участие, консультации и анализ в разработке систем защиты данных.

Аналитик контроля модификаций — сотрудник, ответственный за анализ запросов на модификацию инфраструктуры информационных технологий и определение влияния этих изменений на работу приложений.

Аналитик данных — этот сотрудник анализирует бизнес-требования к разработке структур данных, рекомендует определение стандартов данных и физические платформы для них. Он ответственен за применение соответствующих стандартов управления данными. Обязанности:

• разрабатывать структуру данных для соответствия потребностям бизнеса;
• разрабатывать физическую структуру баз данных;
• создавать и поддерживать логические модели данных на основе бизнес-требований;
• обеспечивать техническую поддержку владельцу информации в разработке архитектуры данных;
• записывать метаданные (сведения о хранении данных) в библиотеку данных;
• создавать, поддерживать и использовать метаданные для эффективного управления распределением данных.

Провайдер (поставщик) решений — сотрудник, участвующий в разработке решений (приложений) и процессе разворачивания бизнес-решений. В различных информационных системах называется интегратором, разработчиком приложений, провайдером информационных технологий. Обязанности:

• работать с аналитиком данных для обеспечения уверенности, что приложение и данные будут работать совместно в соответствии с бизнес-требованиями;
• передавать технические требования аналитику данных для обеспечения соответствия требований производительности и отчетности.

Конечный пользователь — любой сотрудник, контрактник или поставщик предприятия, использующий информационные системы и ресурсы в рамках своей работы. Обязанности:

• сохранять в тайне пароли на доступ;
• осознавать, что безопасность информации — это в том числе и его забота;
• использовать бизнес-активы и информационные ресурсы предприятия только для целей, определенных руководством;
• соблюдать все аспекты политики безопасности, процедур, стандартов и руководств по информационной безопасности;
• по запросу предоставлять руководству отчеты по событиям, связанным с информационной безопасностью.

Владелец процесса — сотрудник, ответственный за внедрение, управление и постоянное улучшение процесса, соответствующего определенной потребности производства. Обязанности:

• контролировать требования к данным, которые должны быть направлены на поддержку бизнес-процесса;
• понимать, как доступность и качество влияют на эффективность процесса;
• работать совместно с владельцем информации для определения и отстаивания программы качества данных внутри процесса;
• разрешать проблемы с данными в рамках приложения внутри процесса.

Администратор продукта — сотрудник, ответственный за понимание бизнес-требований и формулирование их в виде требований к продукту, за работу с поставщиком и пользователями для обеспечения соответствия продукта этим требованиям, за отслеживание новых версий и за контакты с ключевыми фигурами по вопросам приобретения новых версий. Обязанности:

• обеспечивать оценку новых версий и обновлений, планируемых для внедрения, и качественное их внедрение;
• обеспечивать соответствие программного обеспечения лицензионным соглашениям;
• отслеживать производительность продукта в соответствии с требованиями производства;
• анализировать использование, тенденции и возможности продукта для определения действий, обеспечивающих соответствие требованиям проекта по продукту.

Очевидно, что не все из перечисленных ролей и обязанностей могут быть однозначно применены, особенно на малых и средних предприятиях, однако общие принципы распределения обязанностей и ответственности сотрудников весьма полезны для осознания разделения сфер влияния и контроля в информационном пространстве с точки зрения информационной безопасности.