Обязанности руководства
Право на информацию
Одной из самых сложных задач руководства или комитета по управлению является распределение ответственности за информационные ресурсы или средства управления ими, что также называется правом на информацию. Лицо, которому предоставлено право на информацию, становится ответственным за сохранность информационных активов согласно установленным правилам.
Для многих людей право на информацию представляет собой довольно непростую концепцию. В традиционной модели безопасности данные и средства управления ими хранятся на серверах под бдительным надзором администратора или администраторов. Администратор должен понимать, как функционирует система, и как установить средства управления доступом. Проблемы начинаются тогда, когда администратор вынужден иметь дело с набором разнотипных средств управления большим числом разнотипных серверов, баз данных, средств хранения данных или, проще говоря, "ресурсов". Чтобы поддерживать ощущение порядка, администратор следует правилам, пытаясь привести их к единому знаменателю, как-то удовлетворяющему каждой из обслуживаемых им систем.
В этом сценарии типа "безразмерная подгонка на все случаи" администратор устанавливает классификацию, степень важности и средства управления доступом к информации согласно своим представлениям о работе. Нет гарантий того, что эти атрибуты будут соответствовать правилам безопасности в отношении каждого, кто имеет доступ к информации. Могут возникнуть конфликты между пользователями, требующими доступ к информации, и администраторами, которые приняли ошибочные решения.
В качестве альтернативного метода можно было бы предоставлять право на данные и на средства управления. Ответственный за информацию отвечал бы за предоставление доступа к данным и определял бы, каким образом будет осуществляться управление данными. Для управления информационными активами ответственный за информацию работал бы с администраторами безопасности и/или системными администраторами. Он сам бы определял степень важности и классифицировал информацию вместо того, чтобы оставлять это на попечение администратора. В результате управление информационными активами соответствовало бы нуждам ответственного за информацию.
Ответственный за информацию отвечал бы за отклонения от общепринятой практики обработки информации. Если запрос на получение информации требует действий, нарушающих существующие правила, то в таком случае ответственный за информацию будет отвечать за принятые отклонения от правил и за возможные последствия. В некоторых организациях от ответственного за информацию требуют письменного запроса на отклонения от правил, а также он должен подписать заявление о полной ответственности в случае возникновения потенциальных проблем. Поскольку никто не хочет излишне рисковать карьерой из-за такой ответственности, запросы на отклонения от правил появляются нечасто.
Обратная сторона права на информацию заключается в том, что ответственный за информацию должен обеспечивать доступ к информации в соответствии с требованиями правил безопасности. Более того, некоторые ответственные за информацию считают, что несправедливо требовать от них полной ответственности и заставлять рисковать своей карьерой, поэтому они нарушают инструкции и игнорируют правила. Изначально ответственный за информацию должен осознавать ответственность за информацию, которой он или она наделен. Единственный способ решить эту проблему заключается в надлежащем обучении вопросам безопасности, в поддержке руководства и последовательном строгом контроле за соблюдением требований.
Другая проблема, связанная с правом на информацию заключается в том, что эта схема хорошо работает только в таких организациях, где данные можно распределить среди потенциальных ответственных за информацию. Автор книги не замечал, чтобы такая схема хорошо работала в маркетинговых организациях или в таких компаниях, где данные полностью интегрированы в среде. Право на информацию также может стать проблемой в небольших организациях, в которых недостаточно людей для поддержания этой концепции. Одна из компаний, с которой сотрудничал автор, сделала каждого из 20 служащих совладельцами данных. Несмотря на то, что это было сделано, в первую очередь, в целях поддержки морального состояния, такая мера также помогала поддерживать целостность данных.
Если вашу организацию не удовлетворяет предложенная концепция права на информацию, можно откорректировать правила так, чтобы они предусматривали создание ответственных комитетов. Такие небольшие комитеты выполняют ту же работу, что и ответственные за информацию, но ответственность несет не одно лицо, а группа лиц. Еще лучше, когда весь комитет является ответственной стороной. В этом случае при появлении запросов на отклонение от правил создается ситуация, требующая дополнительных проверок и согласований.