Разработка процесса управления информационными активами компании

Делекторский А.А.
Выпускник группы MBA CSO-07
Школа ИТ-менеджмента
РАНХиГС при Призеденте РФ

Реалии современного ведения бизнеса в высокотехнологичных областях народного хозяйства ставят непростые вопросы перед руководством предприятий. С одной стороны, стремясь извлечь максимальную выгоду от использования непрерывно растущих возможностей информационных технологий (ИТ), позволяющих, например, существенно расширить географию делового влияния или увеличить скорость предоставления тех или иных услуг предприятия, тем самым повышая скорость генерации доходов за счет продаж, руководство вынуждено принимать решение о вложении все бОльших средств в данную область. С другой стороны, решение о внедрении отдельных категорий ИТ, использование которых уже стало де-факто стандартом в некоторых областях деятельности, может быть вынужденным, так как это является минимальным требованием для выхода на соответствующий рынок. Примером такого рода деятельности является современный инжиниринг, где без использования специфичных систем проектирования (CAD-системы) невозможно получение ни одного заказа на разработку. Однако вне зависимости от того, какие цели ставит перед собой в настоящее время руководство - расширение бизнеса или выход на рынок, имеет место единая тенденция роста зависимости предприятий от ИТ. Естественным следствием данной зависимости является перевод все бОльшей части активов предприятий из материальной области в нематериальную.

Следовательно, на любом предприятии рано или поздно встает вопрос об управлении такого рода нематериальными активами, то есть выполнении задач, связанных с их учетом, предоставлением доступа, обеспечением защиты и утилизацией. Нетривиальность задачи управления информационными активами (ИА), в контексте аттестационной работы представленными совокупностью баз данных, электронных документов, файлов CAD-моделей, является следствием их нематериальной природы. Так, в отличие от учета и обеспечения безопасности материальных активов предприятий, таких как здания, имущество, производственное оборудование, аналогичные задачи для ИА усложняются ввиду основных свойств информации. Учет усложняется в связи с простотой копирования и тиражируемости ИА, а также отсутствием единого методического подхода к оценке их стоимости.

Обеспечение безопасности ИА - отсутствием физических границ периметра безопасности и тем фактом, что при выборе защитных мер сложно определить справедливость неравенства «Стоимость ИА > Стоимость защиты» опять же в силу отсутствия единого подхода к оценке, а зачастую и невозможности определения стоимости актива. Решение поставленных выше вопросов видится во внедрении на корпоративном уровне процесса управления ИА. Предметом аттестационной работы является разработка процессса «Управление информационными активами компании» на примере предприятия, основными направлениями деятельности которого являются инженерный консалтинг в авиастроении, проектирование аэропортов и инфраструктур, научные исследования, сертификация в области технологий аэропортов.

Целью работы является всесторонняя проработка процесса управления ИА, охватывающая решение организационных, законодательных, методических, а также технических вопросов. Проведя декомпозицию цели, можно выделить следующие задачи, способствующие ее достижению: вовлечение руководителей всех структурных подразделений, идентификация ИА компании, выработка общего подхода к оценке ценности активов с учетом требований всех заинтересованных сторон, разработка процессной документации и технических средств, позволяющих автоматизировать основные подпроцессы.

Согласно общепринятой классификации разрабатываемый процесс является сквозным сервисным, то есть охватывающим несколько подразделений предприятия и являющимся поддерживающим по отношению к основным бизнес-процессам. Структурно данный процесс включает ряд подпроцессов, по сути составляющих полный жизненный цикл ИА - создание, инвентаризация, категорирование, классификация, организация защиты, управление доступом и утилизация. Основной акцент сделан на проработке ролевой модели процесса, описывающей обязанности и ответственность основных его участников. Так, были идентифицированы следующие роли: Владелец ИА - должностное лицо, ответственное за ежедневные операции с вверенным ему активом (создание, модификация, классификация, категорирование, запрос доступа); Начальник Отдела информационной безопасности - должностное лицо, ответственное за общее управление процессом, а также за такие операции как согласование класса, категории, уровня доступа к ИА, выбор защитных мер и способа утилизации; Начальник Службы информационных технологий - должностное лицо, ответственное за техническую реализацию всех задач, входящих в жизненный цикл ИА. Кроме этого, особое внимание уделено вопросам классификации и категорирования ИА.

Предложенные методики базируются на рекомендациях международных стандартов, национальных руководствах и законодательных требованиях в области защиты информации. Учитывая факт того, что классификация является ключевым подпроцессом в виду его важности для определения ценности ИА для предприятия, а также осознавая необходимость регулярного выполнения этой операции, получая при этом устойчивые и воспроизводимые результаты, был разработан и предложен алгоритм автоматического определения уровней трехфакторной классификации по конфиденциальности, целостности и доступности на основе данных, предоставленных Владельцами ИА.

В ходе работы на предприятии удалось достичь следующих результатов: провести инвентаризацию всех информационных активов; идентифицировать Владельцев и получить от них информацию о ценности каждого из активов; на основе полученных данных провести выбор средств защиты; благодаря внедерению технических средств управления добиться регулярного выполнения задач жизненного цикла ИА от создания до утилизации; выработать единый стандарт определения ценности ИА. В рамках задачи внедрения процесса также были разработаны высокоуровневый документ системы менеджмента качества, инструкции, шаблоны отчетов, подготовлены материалы для обучения персонала.