Иллюстрированный самоучитель по Development of safety

       

Распределение прав на информацию


Первое правило при распределении прав на информацию заключается в том, чтобы заинтересовать ответственного за информацию, сделав его собственником этих данных. Другими словами, ответственным за финансовую информацию должен быть кто-то, кто подчинен финансовому директору. Такое распределение сделать непросто. Не стоит создавать массу различных подразделений, если это не согласуется с бизнес-процессом. Это также означает, что отдел информатизации не должен являться ответственным за всю информацию, разве что это необходимо для таких операций, как конфигурирование системы, идентификация пользователей, службы именования доменов и т.п.

На одном из этапов этого процесса необходимо переговорить с заинтересованными сторонами. Обсудив право на информацию с теми, кто имеет к ней непосредственное отношение, можно выяснить их соображения по этому поводу. Они могут даже предложить идеи касательно того, как распределить или систематизировать ответственность за информацию.

Права на информацию должны быть распределены на основе систематизации информационных активов верхнего уровня. Можно использовать те же результаты систематизации информации, которая была проведена во время подготовительных работ (описанных в главе 1 "Что собой представляет политика информационной безопасности"). Мы рекомендуем использовать систематизацию верхнего уровня, так как в этом случае не будет слишком много лиц, ответственных за информацию. Это может потребовать дополнительного анализа того, кто и за какую информацию должен отвечать, но ограничение числа ответственных лиц даст возможность управлять этим процессом. Таким образом, в соответствии с классификатором информации каждый важный вид информации должен иметь назначенного ответственного за этот вид информации.



Содержание раздела