Какова история внедрения ИБ-решений при отсутствии приоритетов и ролей в компании? Могу сказать, что видел ситуации в ряде проектов, когда все регламенты разбиваются о необходимость создания отдельных допусков, решений и прочих "поблажек".
После такого разобщения унификации в информационной безопасности наступает постепенный развал, ведь все базовые процессы и документы оказываются не такими уж обязательными. Как говорят при таком методе работы руководители других подразделений: "всегда можно договориться о границах ИБ". И это ошибочный подход.
Любой нарушенный сценарий неизбежно приведет к появлению высокорисковой модели работы процессов. И каждую появляющуюся ситуацию допущения в процессах придется рассматривать, учитывать, защищать отдельно. Думаете, что хватит на все ресурсов? Только на время!
При этом, базовые регламенты и процессы важно соединить с ролевой моделью. Что это означает. Необходимо сформировать базовые роли и соответствующие права, доступы, ресурсы к этим ролям. Такой подход важен не только в сфере информационной безопасности, но здесь вопрос в самых основных, явных параметрах безопасности считаю одним из ключевых. Что и в какой степени доступно сотруднику с соответствующей ролью - это структура предоставления ИТ-услуг и это же формирование параметров безопасности по ролям для предприятия.
При таком подходе не отменяются общие правила и регламенты, формирование единой системы безопасности и ее составляющих, но процессы контроля становятся наиболее розрачными именно в форме работы по ролям. Причем роли не привязаны к структуре компании явно. Они отталкиваются от потребностей в рамках бизнес-процессов. И, например, доступ к определенным отчетам, получение данных, визирование документов эл. подписью и прочее, если не предусмотрено ролью, происходит только по согласованию и не считается допущением.
Такой подход не исключит риски в ИБ, но сократит и уточнит контролируемые процессы и вопросы доступов до вполне управляемого уровня.
Обучаю и консультирую ИТ-специалистов, которые планируют карьеру в ИТ и начинающих ИТ-руководителей по реальному развитию ИТ-сервисов, системной работе на результат и выстраиванию карьеры в ИТ, провожу ИТ-аудит компаний. Опыт и внутри компаний, и в ИТ-интеграторе более 8 лет.
© Сергей Полторак
