Глава 15. Базовая поддержка жизненного цикла данных

В рамочной структуре функций управления данными в привязке к их жизненному циклу, которая обсуждалась в главе 9 (рис. 9.4), выделено три направления деятельности по непосредственному управлению жизненным циклом данных:

1)планирование и проектирование данных;

2)обеспечение доступности и обслуживание данных;

3)практическое использование данных и расширение возможностей их применения для достижения целей организации.

Вглавах 11–14 мы рассмотрели области знаний (функции) по управлению данными, относящиеся к первым двум направлениям. Эти функции создают необходимые условия для осуществления деятельности на завершающей фазе жизненного цикла данных, включающей практическое использование данных и расширение возможностей их применения. Однако, прежде чем начать обсуждение этой фазы, следует остановиться еще на одной группе областей знаний, не менее важной для ее реализации. Как отмечалось в главе 9, в эту группу входят базовые функции, которые формируют основу для управления данными на протяжении всего их жизненного цикла. К ним относятся:

1) управление безопасностью данных;

2) управление метаданными;

3) управление качеством данных.

Вглаве 7, проводя сравнение элементов референтной модели управления цепями поставок (SCOR-модели) с цепочкой поставок данных, мы отметили, что перечисленные функции (вместе с функцией «Руководство данными») соотносятся с группой процессов «Предоставлять возможность». Поэтому, в отличие от глав 11, 12 и 14, в этой главе (как и в главе 10 «Руководство данными») нет специальных подразделов, посвященных анализу влияния обсуждаемых функций на ценность данных. Это влияние достаточно очевидно и состоит в

первую очередь в максимальном содействии увеличению эффективности остальных функций, повышающих ценность данных на отдельных этапах их жизненного цикла.

15.1. Управление безопасностью данных

Специфика обеспечения безопасности данных (например, в отношении того, какие данные необходимо защищать) различается в разных отраслях и странах. Но цель соответствующих практик одна и та же: защитить информационные активы в соответствии с требованиями регулирующих органов и организаций, договорными обязательствами и бизнес-требованиями по безопасности и конфиденциальности.

15.1.1. Определение области знаний «Безопасность данных»

Область знаний «Безопасность данных» охватывает планирование, разработку и осуществление политик и процедур, обеспечивающих надлежащую аутентификацию, авторизацию и доступ пользователей, а также аудит данных и информационных активов[492].

В различного рода регламентирующих документах, связанных с безопасностью, вместо термина «безопасность данных» гораздо чаще используется термин «информационная безопасность». Для более полного описания рассматриваемой области приведем некоторые определения из ГОСТ Р ИСО/МЭК 27000-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология».

Под информационной безопасностью (ИБ) (information security) понимается сохранение конфиденциальности, целостности и доступности информации (этот термин может включать в себя и другие дополнительные свойства, такие как подлинность, подотчетность, неотказуемость и достоверность).

Отмеченные выше виды деятельности и свойства, характеризующие ИБ, определяются следующим образом:

● аутентификация (authentication) – обеспечение гарантии того, что заявленные характеристики субъекта и объекта являются подлинными;

●аудит (audit) – систематический, независимый и задокументированный процесс, предназначенный для получения свидетельств аудита и объективной оценки аудиторами степени соблюдения критериев аудита;

●конфиденциальность (confidentiality) – недоступность для неавторизованных лиц объектов или процессов;

●целостность (integrity) – свойство сохранения правильности и полноты активов;

●доступность (availability) – свойство, определяющее возможность использования объекта авторизованным субъектом по запросу;

●подлинность (authenticity) – свойство, определяющее, что фактический субъект или объект совпадает с заявленным;

●неотказуемость (non-repudiation) – способность удостоверять имевшее место событие или действие, которые в дальнейшем не могут быть поставлены под сомнение;

●достоверность (reliability) – свойство соответствия предусмотренному поведению и результатам.

В ГОСТ Р ИСО/МЭК 27000-2021 отмечается, что организации всех типов и размеров:

●собирают, обрабатывают, хранят и передают информацию;

●осознают, что информация и связанные с ней процессы, системы, сети и персонал являются важными активами для достижения целей, стоящих перед организацией;

●сталкиваются с рядом рисков, которые могут оказывать воздействие на функционирование активов организации;

●принимают меры в отношении предполагаемого воздействия рисков, осуществляя внедрение мер обеспечения ИБ.

Вся информация, хранящаяся и обрабатывающаяся организацией, подвержена угрозам компьютерных атак, ошибкам, стихийным бедствиям (например, наводнению или пожару), а также это объект влияния уязвимостей, присущих ее использованию. Термин «информационная безопасность» связан с информацией, которую рассматривают как актив, представляющий собой ценность и требующий соответствующей защиты, например, от потери доступности, конфиденциальности и целостности. Обеспечение

возможности санкционированного своевременного получения точной и полной информации способствует повышению эффективности бизнеса.

Защита информационных активов посредством определения, достижения, поддержания и улучшения ИБ необходима, чтобы обеспечить достижение намеченных организацией целей, а также поддерживать и повышать уровень соответствия законодательным нормам и репутацию организации. Эти скоординированные действия, направленные на внедрение соответствующих мер обеспечения информационной безопасности и обработку недопустимых рисков в области ИБ, широко известны как элементы менеджмента ИБ.

Так как риски ИБ и эффективность мер обеспечения ИБ меняются

взависимости от обстоятельств, организациям необходимо:

●контролировать и оценивать эффективность внедренных мер обеспечения ИБ и процедур;

●идентифицировать появляющиеся риски для их обработки;

●выбирать, внедрять и совершенствовать должным образом соответствующие меры обеспечения ИБ.

Чтобы установить взаимосвязи и скоординировать действия в рамках системы менеджмента информационной безопасности, каждая организация должна установить свою политику и цели для этой системы и эффективно достигать поставленных целей при ее функционировании.

15.1.2. Цели и бизнес-драйверы

Деятельность по управлению информационной безопасностью направлена на достижение следующих целей:

●обеспечение санкционированного доступа и исключение возможности несанкционированного доступа к информационным активам организации;

●обеспечение соблюдения нормативно-правовых требований и политик в отношении защиты информации о частной жизни, персональных и конфиденциальных данных;

●обеспечение соблюдения требований всех заинтересованных сторон в отношении защиты информации о частной жизни,

1.Заинтересованные стороны. Организации должны выявлять и учитывать потребности в защите информации о частной жизни, персональных данных и конфиденциальных данных всех заинтересованных сторон, к которым могут относиться (в зависимости от типа и характера организации) клиенты, пациенты, студенты, граждане, поставщики, деловые партнеры и др. Все сотрудники организации несут ответственность за соблюдение требований, касающихся безопасности данных2.

2.Нормативно-правовое регулирование. Речь идет о нормативно-правовом регулировании различных аспектов безопасности данных и интересов определенных заинтересованных сторон. Законы и правительственные постановления могут преследовать различные цели: одни ограничивают доступ к определенным данным, другие, напротив, призваны обеспечить открытость, прозрачность и подотчетность3.

3.Охрана интеллектуальной собственности и коммерческой тайны. В каждой организации имеются данные, которые можно расценивать в качестве предмета ее интеллектуальной собственности или коммерческой тайны. Такие данные нуждаются в защите. К примеру, клиентские базы данных помогают организации эффективно вести бизнес и получать преимущество перед конкурентами. В случае кражи, взлома системы хранения или уничтожения данных это преимущество будет сразу же утерян4..

4.Потребности в санкционированном доступе к данным.

Защита данных не должна ограничивать законный доступ к данным тех лиц, которые имеют на него право согласно действующему законодательству, равно как и санкционированный доступ к ним с целью использования, обслуживания, сопровождения, упорядочения и обработки в рамках бизнес-процессов5.

5.Договорные обязательства. Договорные обязательства и условия соглашений о неразглашении данных также сказываются на требованиях по обеспечению ИБ. Например, стандарт безопасности индустрии платежных карт требует от платежных систем, банковэмитентов и коммерческих предприятий строго определенных мер по

Основным драйвером работ по обеспечению ИБ выступает стремление минимизировать риски и обеспечить устойчивый рост бизнеса. Эффективное обеспечение безопасности данных снижает риски и дает дополнительные конкурентные преимущества. Безопасность данных можно рассматривать в качестве ценного актива организации.

Риски в области безопасности данных связаны с нормативноправовыми требованиями, ответственностью руководства и/или владельцев перед компаниями, репутацией, исполнением юридических и моральных обязательств перед сотрудниками, партнерами и клиентами в части неразглашения их личных сведений, конфиденциальных данных и прочей нежелательной для раскрытия (чувствительной – sensitive) информации. С организаций могут взыскиваться крупные штрафы за несоблюдение установленных законом норм или неустойки за нарушение договорных обязательств. Утечки данных могут повлечь непоправимый репутационный ущерб и утрату доверия клиентов.

Рост бизнеса включает формулировку и достижение целей. Проблемные вопросы безопасности, утечки данных, равно как и необоснованные ограничения доступа к ним сотрудников, могут напрямую помешать успешному решению текущих задач.

Цели минимизации рисков и роста бизнеса могут быть согласованы и взаимно дополнять друг друга, если они объединены в комплексную стратегию управления информацией и обеспечения информационной безопасности[495].

15.1.3. Серия стандартов ИСО/МЭК 27XXX

Наиболее распространенным и общепризнанным в мире сборником рекомендаций в сфере обеспечения ИБ является комплекс международных стандартов серии ИСО/МЭК 27XXX, известный как семейство стандартов системы менеджмента информационной безопасности (СМИБ).

В состав семейства стандартов СМИБ входят взаимосвязанные стандарты, которые:

● определяют требования к СМИБ и к органам, сертифицирующим такие системы;

●обеспечивают непосредственную поддержку, содержат подробные рекомендации и интерпретацию общего процесса разработки, внедрения, поддержки и совершенствования СМИБ;

●содержат руководства по СМИБ для конкретных отраслей;

●содержат указания по оценке соответствия СМИБ.

Семейство стандартов СМИБ включает несколько ключевых структурных компонентов. К числу этих компонентов относятся прежде всего стандарты, определяющие:

●требования к СМИБ (ИСО/МЭК 27001);

●требования к органам по сертификации, осуществляющим сертификацию на соответствие ИСО/МЭК 27001 (ИСО/МЭК 27006);

●дополнительные требования, связанные с внедрением СМИБ в конкретных отраслях (ИСО/МЭК 27009).

Остальные стандарты предоставляют рекомендации по различным аспектам внедрения СМИБ, в том числе по общему процессу и управлению, а также специальные руководства для конкретных отраслей.

Базовый подход к управлению информационной безопасностью определяется двумя взаимосвязанными стандартами: ИСO/МЭК 27001[496] и ИСО/МЭК 27002[497] (рис. 15.2). Основную роль здесь

играет стандарт ИСO/МЭК 27001, содержащий рекомендации по менеджменту ИБ в организации на основе широко используемого в корпоративной среде цикла управления качеством PDCA (Plan, Do, Check, Act). Стандарт ИСО/МЭК 27002 имеет скорее справочный характер, описывая набор возможных мер защиты информации, из которых организация может выбрать необходимые именно ей[498].

Стандарт ИСO/МЭК 27001 дает рекомендации по функционированию СМИБ как комплексной системы, направленной на защиту информационных активов организации от угроз и, следовательно, минимизацию рисков. С точки зрения бизнеса СМИБ представляет собой одну из множества систем организации, к которой предъявляются определенные требования и которая должна оправдать ожидания и вернуть вложенные в нее средства.

В соответствии с рекомендациями стандарта, СМИБ включает в себя полный комплекс направлений деятельности по обеспечению информационной безопасности, в том числе организацию деятельности и управление рисками, а также непосредственное применение мер

защиты информации. Выбирать те или иные способы защиты информации следует на основе оценки рисков ИБ: размера возможного ущерба от реализации угроз конфиденциальности, целостности и доступности информации. А также исходя из необходимости выполнения нормативных обязательств перед государством, партнерами и другими заинтересованными сторонами.