Рассмотрим более сложную западную модель, предложенную в книге «Handbook of Information Security Management» («Руководство по управлению информационной безопасности»).
Владелец информации — бизнес-менеджер, который ответственен за информационные активы предприятия. Обязанности следующие: • устанавливать первичную классификацию информации и периодически проверять, что эта классификация отвечает производственным задачам; Хранитель информации — обычно специалист по информационным технологиям, основная задача которого — резервное копирование и восстановление данных. Обязанности следующие: • производить резервное копирование в соответствии с требованиями, установленными владельцем информации; Владелец приложения — руководитель бизнес-подразделения, который полностью ответственен за выполнение производственных или иных функций, обслуживаемых приложением. Имеет следующие обязанности: • устанавливать критерии доступа пользователей и требования к доступности для приложения; Администратор пользователей — непосредственный руководитель сотрудников. В его полной ответственности — учетные данные пользователей и информационные ресурсы работников предприятия (то есть системы, приложения, данные и т. п.). В случаях, когда для выполнения операций привлечены не работники предприятия (контрактники, консультанты и т. д.), в его ведении находится их деятельность и информационные ресурсы, используемые ими. Администратор пользователей обычно отвечает за привлечение сторонних организаций. Его обязанности: • информировать администратора безопасности об увольнении пользователя для удаления учетных записей пользователя, их отключения или временного блокирования; Администратор безопасности — сотрудник предприятия, который имеет соответствующие полномочия в системе управления доступом. Он устанавливает механизмы безопасности, администрирует учетные записи пользователей и права доступа к информационным ресурсам. Он подотчетен либо бизнес-подразделению, либо службе информационной безопасности внутри подразделения информационных технологий. Имеет следующие обязанности: • разбираться в различных средах обработки данных и в результатах предоставления доступа к ним; Аналитик безопасности — сотрудник, ответственный за определение развития безопасности данных (стратегий, процедур, правил) для обеспечения уверенности в том, что контроль и защита информации основаны на значимости информации, риске потери или компрометации и легкости восстановления. Обязанности: • предоставлять руководства по безопасности для процедур управления информацией; Аналитик контроля модификаций — сотрудник, ответственный за анализ запросов на модификацию инфраструктуры информационных технологий и определение влияния этих изменений на работу приложений. Аналитик данных — этот сотрудник анализирует бизнес-требования к разработке структур данных, рекомендует определение стандартов данных и физические платформы для них. Он ответственен за применение соответствующих стандартов управления данными. Обязанности: • разрабатывать структуру данных для соответствия потребностям бизнеса; Провайдер (поставщик) решений — сотрудник, участвующий в разработке решений (приложений) и процессе разворачивания бизнес-решений. В различных информационных системах называется интегратором, разработчиком приложений, провайдером информационных технологий. Обязанности: • работать с аналитиком данных для обеспечения уверенности, что приложение и данные будут работать совместно в соответствии с бизнес-требованиями; Конечный пользователь — любой сотрудник, контрактник или поставщик предприятия, использующий информационные системы и ресурсы в рамках своей работы. Обязанности: • сохранять в тайне пароли на доступ; Владелец процесса — сотрудник, ответственный за внедрение, управление и постоянное улучшение процесса, соответствующего определенной потребности производства. Обязанности: • контролировать требования к данным, которые должны быть направлены на поддержку бизнес-процесса; Администратор продукта — сотрудник, ответственный за понимание бизнес-требований и формулирование их в виде требований к продукту, за работу с поставщиком и пользователями для обеспечения соответствия продукта этим требованиям, за отслеживание новых версий и за контакты с ключевыми фигурами по вопросам приобретения новых версий. Обязанности: • обеспечивать оценку новых версий и обновлений, планируемых для внедрения, и качественное их внедрение; Очевидно, что не все из перечисленных ролей и обязанностей могут быть однозначно применены, особенно на малых и средних предприятиях, однако общие принципы распределения обязанностей и ответственности сотрудников весьма полезны для осознания разделения сфер влияния и контроля в информационном пространстве с точки зрения информационной безопасности. |