С ростом объёма неструктурированных данных организации вопрос управления её информационными ресурсами (в частности, распределения прав доступа) перестаёт быть простым и становится проблемой, а за определёнными пределами – перерастает в настоящий кошмар. Кое-кто наверняка помнит, что на одноимённом уровне сложности происходило с монстрами в Doom: они плодились бесконтрольно, и вопрос для 99% игроков был не в том, сможете ли вы выжить, а в том, как долго продержитесь.
Примерно то же самое начинает происходить и с данными: со временем их объём не только не снижается – он растёт, причём независимо от штата организации. Количество сотрудников может даже уменьшиться, но… Папка с сочетанием «2002 год» в названии? Она нам нужна. Марья Ивановна уволилась три года назад? Не трогайте её профиль, там ценные документы.
А ещё мы вот тут создадим папочку. И тут. И вот здесь тоже очень нужно…
Увеличение штата специализированных подразделений – дело само по себе затратное – не выход: прибегать к такому решению постоянно (хотя бы догоняя скорость роста данных) не получится даже при всём желании. А ведь у таких подразделений есть множество других задач, зачастую более важных и также требующих огромного времени.
Придет Владелец продукта и решит все вопросы бизнеса!
Что же делать? Очевидно, нужно качественное иное решение вопроса, и цель его – куда-то переместить нагрузку, создаваемую при управлении данными. Идеально, если ресурсы для обработки такой нагрузки будут расти пропорционально её увеличению. А если помечтать – чтобы росли автоматически, без меня. Эх. … Так.
Но постойте… Ведь у нас уже есть вся база для создания такой почти самобалансирующей системы!
Концепция владельца данных
Помимо собственно владельца данных, для обозначения тех же самых людей существует много других терминов: бизнес-владельцы, ответственные пользователи, основные пользователи и т.д. Кто же все эти люди? Их характеризуют два ключевых признака.
1. Владелец данных понимает, что это за данные: их
a. суть (то есть что они могут «рассказать» способному понять их человеку) и
b. значение (что случится, если эти данные исчезнут оттуда, где они есть, и/или появятся где-то вовне, там, где они не должны быть).
2. В силу наличия упомянутых знаний о данных владелец может сказать, кто в организации должен иметь доступ к этим данным для работы, а не просто потому что большой палец его левой ноги захотел пощёлкать мышкой в чужих папках.
Классический пример – главный бухгалтер и данные в папке «Бухгалтерия» на файловом сервере.
Теперь, когда мы закончили с голой теорией, перейдём к практике.
Распределённое управление неструктурированными данными
Всё довольно просто. Каждый владелец берёт на себя кусочек бремени – по управлению теми данными, к которым относятся его знания, и камешек за камешком непослушная гора оказывается в том месте, где хотел увидеть её Магомет. Вот несколько практических задач:
• Обработка заявок на предоставление (или отзыв) прав доступа. Такие заявки поступают к владельцу, и он решает, нужно ли давать (или отзывать) доступ, разгружая подразделения ИТ и ИБ.
Фёдор Овчинников: с чего начинается бизнес (Kuji Podcast 51)
• Переаттестация прав доступа – раз в месяц или, скажем, в квартал пользователь проверяет, корректен ли список сотрудников, уполномоченных работать с его ресурсом, исключая таким образом избыточный доступ.
• Аудит – получение сводных или даже детализированных отчётов о поведении пользователей на ресурсе позволяет владельцу чувствовать, что ресурс под его контролем, и в случае проблем просить помощи у профильных подразделений.
• Первичный анализ автоматических сообщений о подозрительной активности пользователей – если срабатывание ложное, владелец просто проигнорирует его, в противном случае как человек, на которого внутренним документом организации возложена ответственность за сохранность данных, он сам постарается оповестить ИБ или ИТ.
Можно продолжать этот список в соответствии с тем количеством задач по управлению данными, которые стоят перед вами. Например, передать владельцам первичное рассмотрение сигналов по устранению некоторых технических неисправностей (пример – нарушение наследования прав в DACL).
• Снижение рабочей нагрузки
Прочитать отложенный документ, покопаться в новом NAS, разобраться, что не так с сетью, посетить не одну, а несколько интересных конференций по информационной безопасности – от всего этого управление данными (та же раздача прав на папки) способно буквально отрывать. Особенно, если отчёт сотруднику сдавать через полчаса, а доступа у него почему-то нет.
Раздача прав на папки, становясь рутинной задачей, перестаёт быть интересной. Соответственно, снижается удовольствие от работы и продуктивность. Нужно ли это вам? Вряд ли.
Для владельцев данных при правильном подходе, напротив, задача раздачи прав становится чем-то эпизодическим, отрывающим от другой рутины, а значит – интересным.
• Более профессиональный подход к вопросу
Допустим, список бухгалтеров своей организации вы знаете и сможете сами раздать права на папку бухгалтерии. А если в эту же папку просится курьер со словами, что его просили срочно распечатать, зайти подписать и потом отвезти отчёт – вы уверены, что его действительно просили? И кто это сделал – может, он увольняется через неделю и просил не совсем тот, кто должен был? Как насчёт папки вон того проекта по бурению, которым занимаются три подразделения – кто именно из сотрудников этих подразделений должен иметь доступ? Стажёры – каков круг их обязанностей и, соответственно, папок, куда им нужно давать доступ?
Владелец, знающий суть и понимающий значение данных, способен быстро и качественно ответить на все эти вопросы. Все остальные сотрудники, в том числе специалисты ИТ и ИБ вместе взятые, в подавляющем большинстве случаев сделают это хуже. Знаете, как часто мы видим доступ Everyone или Domain Users к критически важным ресурсам, потому что так намного проще, либо это вообще единственный выход? До сих пор – более чем в половине случаев. А ведь на дворе 2015 год.
• Чёткое разграничение ответственности
Когда от сотрудников поступают заявки на доступ к ресурсу, а системный администратор или специалист ИБ их одобряет, за корректность предоставления доступа по сути не отвечает никто, так как всегда можно сказать и «ну у меня же была заявка», и «ну мою заявку же одобрили». Поиск ответственного в случае инцидента превращается в поиск крайнего, у которого меньше «политического веса» в организации, что не сказывается положительным образом ни на состоянии информационных ресурсов, ни на атмосфере в коллективе.
Чётко идентифицированный владелец данных, на которого внутренним нормативным актом правильно возложена ответственность за ресурс, будет предпринимать больше усилий, направленных на предотвращение инцидентов ИБ.
• Ценность в глазах руководства
Я имею дополнительные обязанности и выполняю их, значит, я полезен организации и не зря получаю свой доход. Качественное исполнение обязанностей по участию в управлении данными может дать владельцу дополнительный аргумент для обоснования собственной ценности в глазах руководства. То же самое, кстати, будет полагаться и вам – как специалисту, успешно выстроившему оптимизирующий работу организации процесс. Не лишний бонус в свете кризиса и увеличивающейся конкуренции на рынке труда.
• Владелец может всё сломать! А ещё может быть недобросовестным
Против очевидного возражать глупо – сотрудник, у которого есть права на изменение разрешений, может всё испортить, например, закрыв доступ администраторам. А если он скоро увольняется… Поэтому, чтобы защитить лбы, нужно дать владельцам специальное средство для молитв, своего рода кабинку с прочным ограждением, в котором есть только нужные кнопки. Такое решение позволит владельцу данных в удобном интерфейсе, не путаясь в дебрях, скажем, флагов NTFS принять ровно то решение, которое от него требуется, и сделать это ровно в тех пределах и в рамках тех процессов, которые одобрены подразделениями ИТ и ИБ. То же самое касается и получаемых владельцами отчётов.
• Расходы на внедрение
Основные ресурсы здесь, как и во многих других случаях – рабочее время сотрудников и средства, затрачиваемые на приобретение специализированного решения. Распределение управления данными – задача не одного дня, не одного месяца и даже не одного квартала. Но это те инвестиции и тот случай, когда запрягать можно длительное время, зато потом быстро и беспроблемно ехать, обгоняя тех, кто всё ещё идёт пешком по обочине, в то время как вы с удовольствием листаете свежий номер профильного журнала. «Делай сегодня то, что другие не хотят, и завтра будешь жить так, как они не могут».
Не стоит скрывать – на весах явно лежит достаточно трудоемкий проект, на который не у всех есть время, особенно в первом приближении. Избегая желания сделать всё в один момент, важно составить хороший план по переходу на распределённое управление данными: ограниченная область, где процесс отлаживается, участие лояльных сотрудников; далее – внутренняя нормативная документация, устанавливающая ответственного за назначение владельцев либо их перечень и порядок назначения, и обязывающая перейти на новую систему в течение, скажем, полугода; получение от владельцев отзывов об удобстве выбранного решения и т.п.
• Консервативность. Никто не захочет!
Психологическая инертность людей, не желающих принимать на себя новые обязанности, понятна. К счастью, много энергии требуется лишь для начала движения, и через некоторое время эта же консервативность начинает работать на вас: владельцы, привыкшие к удобству нового порядка и к чувству контроля (то есть некоторой дополнительной власти – на подсознательном уровне это всегда приятно), будут беспокоить вас, если вдруг им не придёт очередной отчёт о том, кто работал в их папке на неделе или вчера, а руководители тех подразделений, которые ещё не вовлечены в новый процесс согласования прав доступа, услышав о его удобстве от коллег, довольно быстро попросятся поучаствовать сами. Проверено практикой.
• Нетривиальность поиска владельцев
Не всегда просто ответить на вопрос, кого же необходимо назначить владельцем (вспомним пример проекта по бурению), то есть кто отвечает тем двум теоретическим критериям, указанным выше. К счастью, здесь тоже существует решение, позволяющее сузить круг потенциальных владельцев до обрабатываемого вручную за разумное время, предоставляя информацию о пользователях, которые действительно работают с ресурсом, и о том, как именно они работают. Список потенциальных кандидатов обычно сужается до 10-15 человек. После анализа этого списка «выйти на владельца» становится не так уж и сложно.
Если вас наняли исключительно для разгребания заявок пользователей по предоставлению прав на папки, у меня для вас плохие новости: рано или поздно это всё равно произойдёт, поскольку такой труд нерационален. Во всех остальных случаях вы, во-первых, можете посвятить себя действительно интересным, творческим задачам, которых у любого профессионала ИТ и офицера ИБ мало-мальски серьёзной организации хватает, а во-вторых, останетесь очень полезны и важны своему работодателю в качестве специалиста, квалифицированно и ответственно настраивающего потоки информации по управлению данными (например, куда должны идти запросы на ту или иную папку, к кому должны приходить отчёты об её использовании и т.п.)
Вопрос, стоит ли конкретно в вашей организации и сейчас искать и вовлекать в процесс владельцев данных, зависит от множества факторов, таких как обьем данных хранения, зрелость ИТ и ИБ, информационная зрелость сотрудников, экономическая ситуации на рынке и в конкретной компании и т.д. Вместе с этим, стоит помнить, что если сейчас ответ на этот вопрос скорее «нет» чем «да», то уже в недалеком будущем это изменится и уже сейчас стоит задуматься как заложить правильный фундамент и методологию для будущих процессов.
- Big Data
- данные в компании
- комментарии
- информационная безопасность
- владельцы данных
- Блог компании Varonis Systems
- Информационная безопасность
- Big Data
- Открытые данные
Источник: habr.com
Бизнес владелец информационной системы это
Владелец информационных ресурсов, информационных систем, технологий, средств их обеспечения — субъект, осуществляющий владение и пользование указанными объектами и реализующий полномочия, распоряжения в пределах, установленных законом. [c.308]
Вклад в капитал предприятия 31 Владелец информационных ресурсов, информационных систем, технологий и средств их обеспечения 31 Владение 31 [c.221]
Владелец информационных ресурсов обязан обеспечить соблюдение режима обработки и правил предоставления информации пользователю, установленных законодательством РФ или собственником этих информационных ресурсов в соответствии с законодательством. Согласно закону РФ Об информации, информатизации и защите информации документирование информации является обязательным условием ее включения в информационные ресурсы. Правовой режим информационных ресурсов определяется нормами, устанавливающими [c.148]
Помимо этого, собственник информационных ресурсов или уполномоченные им лица имеют право самостоятельно осуществлять контроль за выполнением требований по защите информации и запрещать или приостанавливать обработку информации в случае невыполнения этих требований. Собственник или владелец документированной информации вправе обращаться в соответствующие органы государственной власти для оценки правильности выполнения норм и требований по защите его информации в информационных системах. В частности, собственник документов и информационных систем может обращаться в организации, осуществляющие сертификацию средств защиты информационных систем и информационных ресурсов, для проведения анализа достаточности мер защиты его ресурсов и систем и получения консультаций. [c.52]
В первом случае владельцу информации было безразлично, как и с какой эффективностью эта информация используется, он был удовлетворен тем, что получал доходы от своих знаний, которые находили спрос. В новых условиях торговля информацией становится фактором коммерческой деятельности самого владельца информации, а плата за информацию становится платой за риск, который делит инвестор с владельцем информации. Специфической формой оплаты информации инвестором является передача им своих ресурсов владельцу информации. Происходит обмен информацией и инвестиционными ресурсами. Владелец информации получает комиссионные за информационные услуги, которые фактически являются вычетом из дохода самого владельца инвестиционных ресурсов, а последний получает гарантированный доход, хотя и уменьшенный на величину комиссионных. Однако, так как возможные доходы от инвестиций, совершенных в условиях определенности, больше, чем плата за информацию, владелец инвестиционных ресурсов соглашается разделить доход. [c.20]
Процесс регистрации нового ресурса в информационном каталоге в общем случае выглядит следующим образом владелец web-страницы заполняет соответствующую интерактивную форму, включающую в себя сведения о тематике сайта, его названии, URL и ключевых словах для поиска, после чего эта информация заносится в базу данных каталога. В ряде случаев модераторы сервера — сотрудники, призванные следить за соответствием регистрируемых ресурсов общим правилам данной интерактивной службы, — в течение нескольких дней проверяют страничку на предмет отсутствия в ней запрещенного содержания, например порнографии или призывов к насилию. Если запретные темы обнаружатся, ссылка на такой ресурс будет безжалостно удалена из базы данных сервера, о чем владелец ресурса будет уведомлен по электронной почте. [c.90]
ВЛАДЕЛЕЦ ИНФОРМАЦИОННЫХ РЕСУРСОВ, ИНФОРМАЦИОННЫХ СИСТЕМ, ТЕХНОЛОГИЙ И СРЕДСТВ ИХ ОБЕСПЕЧЕНИЯ — субъект, осуществляющий владение и пользование указанными объектами и реали- [c.51]
Смотреть страницы где упоминается термин Владелец информационных ресурсов
[c.58] [c.50] Словарь справочник руководителя предприятия Книга 4 (2000) — [ c.0 ]
Источник: economy-ru.info
Владелец данных – кто это и какую роль выполняет
Современные компании все чаще используют набор практик и процессов Data Governance, уходя таким образом от решения вопросов информационной безопасности на уровне системного администратора (как это происходит у многих). В рамках этого подхода данные рассматриваются как один из основных активов компании, для управления которым требуются соответствующие решения, инструменты, действия. При внедрении Data Governance можно говорить о следующих эффектах:
- Прозрачность любых процессов, связанных с работой с данными. Организуется контроль действий, запись истории.
- Упорядочивание процессов обработки информации.
- Приведение системы работы с данными в соответствие руководящим документам, стандартам.
- Повышение ценности информации в компании, создание культуры обращения с ней, формирование у персонала понимания значимости этого важного актива.
При использовании подхода Data Governance практикуется внедрение ролей. Одна из них – владелец данных. Это – бизнес-роль (не техническая). Выполняющий ее специалист должен понимать, что успешность работы его подразделения зависит от степени защищенности критичных активов компании.
Функции владельца данных и зона его ответственности
Назначение владельца данных, как правило, происходит из числа руководителей подразделения, в котором создается/обрабатывается определенное подмножество информации. Такая роль должна быть в каждом бизнес-подразделении. Основная функция владельца – забота о данных, предотвращение инцидентов, которые могут привести к их утечкам, искажению, недоступности, а также к иным последствиям. На такого специалиста возлагается организация и сопровождение оперативного процесса управления данными, который включает поиск, мониторинг и изменение, интеграцию и организацию эффективного, безопасного использования информационных активов.
Также на владельца, ответственного за сохранность и доступ к данным, возлагается еще ряд функций.
Классификация информации
Он принимает решения по классификации данных, их разбиению по категориям для эффективного разграничения прав доступа, отвечает за полноту, качество их описания и категорирования. Классификация регулярно должна пересматриваться, т. к. информационные активы в процессе обработки могут менять степень важности и критичности для организации.
Также эта роль предполагает функции по формированию требований к качеству информации, проработку вопросов и мер по его повышению.
Внедрение мер безопасности
Владелец ресурса данных отвечает за меры по обеспечению защиты информации, обрабатываемой в его подразделении. Он оценивает показатели безопасности и принимает соответствующие меры для их поддержания в нужных пределах: составляет заявки в IT-отдел, обосновывает предложения по закупке программных, а также аппаратных средств безопасности. Важная особенность работы такого сотрудника заключается в том, что управление данными – это неразрывное сочетание функций по надзору с исполнением.
Среди мер по информационной безопасности данных, которые находятся в его зоне ответственности:
- Правильное и эффективное разграничение прав доступа к защищаемой информации. Также требуется их регулярная ресертификация (пересмотр и переоценка).
- Организация резервного копирования важных для компании данных.
- Согласование любых действий: передача, разглашение важных сведений. Согласование запросов на доступ к ним.
Эта роль также может предполагать работу с другими мерами/средствами обеспечения ИБ, в зависимости от специфики компании, а также характера информации, с которой она работает.
Согласование изменений и стратегических решений
Владельцев данных (а равно руководителей подразделений) привлекают к согласованию изменений в компании, которые могут оказать влияние на состав и качество информации. Это: внедрение/удаление программных или технических средств, изменение организационной структуры и другие действия, которые могут влиять на процессы, критичные для компании.
Рабочие инструменты владельца ресурса данных
Если проанализировать функции такого специалиста, можно увидеть, что большая часть из них связана с доступом к информации (управление, разграничение прав). Опыт многих компаний показывает, что реализовать практически все эти функции можно с помощью решений класса IdM/IGA.
Такое ПО помогает при классификации информации. Оно позволит понять, к каким сведениям кому стоит ограничивать доступ, реализовать исполнение утвержденных регламентов по управлению доступом к данным, а также организовать этот процесс эффективно и быстро. IdM/IGA-решения – часть системы информационной безопасности в компании.
С их помощью реализуется ролевая модель управления доступом, аудит, ресертификация прав. IdM/IGA-системы позволяют автоматизировать процессы согласования/предоставления прав доступа, отзыв, изменение полномочий, а также другие процессы, входящие в функции владельца, ответственного за доступ к данным. Опираясь на статистическую информацию, полученную из программных средств этого класса, специалисты могут обосновывать свои предложения, действия в ходе согласования и принятия стратегических решений.
Кроме того, владелец данных в своей работе может руководствоваться сведениями, полученными из других источников (напрямую или при взаимодействии с другими специалистами) – программных и иных средств, обеспечивающих информационную безопасность компании. Это могут быть SIEM- и DLP-системы, внутренние или внешние SOC.
В соответствии с подходом Data Governance, введение ролей, в том числе и владельца данных, – хорошая практика. Она позволит компании, использующей несколько информационных систем, определить и назначить владельцев ресурсов, упорядочить процессы работы с информацией, сделать их более прозрачными, результативными, повысить показатели эффективности системы безопасности. Опыт многих наших клиентов, использующих Solar InRights и другие программные продукты компании, подтверждает это.
Источник: rt-solar.ru
