Обязанности руководства
Распределение прав на информацию
Первое правило при распределении прав на информацию заключается в том, чтобы заинтересовать ответственного за информацию, сделав его собственником этих данных. Другими словами, ответственным за финансовую информацию должен быть кто-то, кто подчинен финансовому директору. Такое распределение сделать непросто. Не стоит создавать массу различных подразделений, если это не согласуется с бизнес-процессом. Это также означает, что отдел информатизации не должен являться ответственным за всю информацию, разве что это необходимо для таких операций, как конфигурирование системы, идентификация пользователей, службы именования доменов и т.п.
На одном из этапов этого процесса необходимо переговорить с заинтересованными сторонами. Обсудив право на информацию с теми, кто имеет к ней непосредственное отношение, можно выяснить их соображения по этому поводу. Они могут даже предложить идеи касательно того, как распределить или систематизировать ответственность за информацию.
Права на информацию должны быть распределены на основе систематизации информационных активов верхнего уровня. Можно использовать те же результаты систематизации информации, которая была проведена во время подготовительных работ (описанных в главе 1 "Что собой представляет политика информационной безопасности"). Мы рекомендуем использовать систематизацию верхнего уровня, так как в этом случае не будет слишком много лиц, ответственных за информацию. Это может потребовать дополнительного анализа того, кто и за какую информацию должен отвечать, но ограничение числа ответственных лиц даст возможность управлять этим процессом. Таким образом, в соответствии с классификатором информации каждый важный вид информации должен иметь назначенного ответственного за этот вид информации.
Обязанности ответственных за информацию
Если организация приняла решение распределить права на информацию, необходимо рассмотреть, какие обязанности имеют ответственные за информацию лица. Инструкции, изложенные в правилах безопасности, должны определять круг ответственных за информацию лиц, кому разрешен доступ к особым средствам управления информацией. Слово "особые" подразумевает, что ответственные за информацию имеют доступ к таким средствам управления, с которыми не могут работать все остальные. Подобные формулировки правил могут быть составлены и для администрирования средств управления доступом в рамках тех функций, которые дозволены администратору.
Самая важная обязанность ответственного за информацию заключается в разрешении и отмене права доступа к информации компании. При разработке правил, которые связаны с правом доступа к информации, необходимо учитывать, что в правилах должна быть регламентирована работа и самого ответственного за информацию. Кроме того, в правилах доступа к информации необходимо оговорить возможность восстановления данных и функций управления доступом. Например, в правилах могут быть следующие формулировки.
- Если ответственное за информацию лицо будет отсутствовать, то нужно назначить кого-то, кто будет действовать от его имени.
- Пароли, используемые при управлении информацией, в свою очередь должны содержать пароль или ключ, с помощью которого можно получить доступ к этим паролям в случае, если с ответственным за информацию что-то случится.
- Должны существовать механизмы для замены ответственного за информацию.
Следует помнить, что рассматриваемые механизмы являются частью правил безопасности. Нужно избегать соблазна регламентировать последовательность действий ответственного за информацию.
Согласование планов информационной безопасности
При обсуждении обязанностей и служебного соответствия руководителей необходимо уделить внимание тому, как руководство следит за соблюдением правил, а также, как оно реагирует на нарушения правил. Эти условия касаются не только поддержки руководства. Необходимо обсудить роли, которые будет выполнять руководство на арене информационной безопасности.
При проведении обучения присутствие представителей руководства может быть эпизодическим и нерегулярным по сравнению с присутствием прочего персонала компании. Но не стоит разделять руководителей на какие-то категории, лучше посмотреть, нельзя ли объединить их в едином плане безопасности. Постарайтесь сделать руководство активным участником. Если нет необходимости контролировать системные журналы или проводить независимые проверки (хотя это могло бы быть неплохой идеей), руководство может быть привлечено к организации совещаний, а также к рассмотрению дел служащих, которые нарушили правила безопасности. Если же проблемы затрагивают правовые аспекты, члены руководящего состава должны стать активными участниками расследования.
Такой метод бывает трудно преподнести нетехническому руководящему составу. Даже в процессе автоматизации бизнес-процессов руководство, которое не понимает технологии, старается спрятаться за спины технического персонала или консультантов. Несмотря на то, что информационная безопасность на самом деле не является техническим вопросом, все выглядит именно так. Один из способов включить руководство в процесс разработки политики безопасности заключается в том, чтобы сделать руководство ответственным за эти процессы подобно наделению правом на информацию управляющих нижнего уровня. Сделав их ответственными за безопасность, можно быть уверенным, что их деятельность сразу станет плодотворной, а вопросы безопасности не будут попадать под сукно в их кабинетах или гибнуть в проволочках различных управленческих комитетов. Для этого звена руководства, чьи амбиции нуждаются в постоянной подпитке, назначение ответственности будет весьма кстати.