Читать книгу Антихаос. Управление данными - - Страница 40

Введение: "Великое противостояние: замки против мостов"

Представьте средневековый город. С одной стороны – Стюарды ключей, которые хотят наглухо запереть все ворота, поднять мосты и завалить рвы. Их девиз: "Лучше ничего не выпустить, чем выпустить что-то не то". С другой стороны – городские торговцы, которые требуют открыть ворота для товаров, идей и роста. Их девиз: "Город, который не торгует, умирает".

Безопасность данных – это современное продолжение этого противостояния. Информационная безопасность (ИБ) традиционно играет роль "хранителей ключей", в то время как управление данными (УД) представляет "торговцев". Задача современного руководителя – не выбрать сторону, а построить "умный город" с продуманной системой шлюзов, пропусков и мостов, где безопасность не блокирует развитие, а делает его устойчивым.

Что такое безопасность данных в эпоху цифровых угроз?

Расширенное определение для руководителя:

Безопасность данных – это сбалансированная система организационных и технических мер, обеспечивающая защиту данных от внутренних и внешних угроз при сохранении их доступности для легитимного использования в бизнес-процессах. Это не просто "запретить всё", а научиться "разрешать правильно".

Эволюция подходов к безопасности:

• Эпоха 1.0: "Крепость" – полная изоляция, нулевое доверие

• Эпоха 2.0: "Пропускная система" – контроль доступа по правилам

• Эпоха 3.0: "Умный город" – адаптивная безопасность, учитывающая контекст

6.2.1. Базовые принципы безопасности данных: триада CIA и beyond

Фундаментальные принципы, на которых строится любая система защиты

Расширенная триада для современного бизнеса:

6.2.2. Специфика безопасности для разных видов данных

6.2.3. Управление доступом к данным: от запретов к управляемому самообслуживанию

Эволюция моделей контроля доступа:

Практическая реализация гибридной модели:

ПРАВИЛО ДОСТУПА =

РОЛЬ_ПОЛЬЗОВАТЕЛЯ (RBAC)

+ АТРИБУТЫ_ДАННЫХ (чувствительность, владелец)

+ КОНТЕКСТ (время, местоположение, устройство)

+ ЦЕЛЬ_ИСПОЛЬЗОВАНИЯ (ABAC)

Пример работы гибридной модели:

• Сценарий: Менеджер по продажам хочет получить доступ к данным о клиентах

• Роль: Менеджер по продажам (RBAC)

• Атрибуты данных: Клиенты с меткой "Конфиденциально" (ABAC)

• Контекст: Рабочее время, с корпоративного ноутбука (ABAC)

• Цель использования: Подготовка коммерческого предложения (ABAC)

• Результат: Доступ разрешен к неконфиденциальным клиентам, к конфиденциальным – только с согласия владельца данных

6.2.4. Разрешение конфликтов между ИБ и УД: модель совместного управления

6.2.5. Практические шаги по построению сбалансированной системы безопасности данных

90-дневный план перемирия между ИБ и УД:

Месяц 1: Диагностика и выработка общего языка

1. Совместный воркшоп: Картирование критичных данных и их уязвимостей

2. Создание глоссария: Единые определения для "конфиденциальности", "риска", "доступа"

3. Пилотная классификация: 3-5 наиболее конфликтных наборов данных

Месяц 2: Прототипирование процессов

4. Создание Data Security Council: Первое заседание с рассмотрением 2-3 реальных кейсов

5. Внедрение инструментов баланса: Dynamic Masking для одного отдела

6. Разработка SLA между ИБ и УД: Время реакции на запросы доступа, threshold для автоматического одобрения

Месяц 3: Масштабирование и автоматизация

7. Расширение классификации: На 80% корпоративных данных

8. Автоматизация workflow запросов доступа: Интеграция с ServiceNow/Jira

9. Совместные KPI: % успешных use cases благодаря данным – количество предотвращенных инцидентов

Инструменты мониторинга эффективности сотрудничества:

• Индекс баланса безопасности: (Количество разрешенных data-инициатив / Общее количество инициатив) × (1 – Количество инцидентов безопасности)

• Время доступа к данным: От подачи заявки до получения доступа

• Удовлетворенность бизнес-пользователей: Регулярные опросы о простоте получения нужных данных

Нормативная база-компас для обеих сторон:

• Для ИБ: 152-ФЗ, 187-ФЗ, ФСТЭК, PCI DSS, GDPR

• Для УД: Положение о данных компании, Политика управления данными, Бизнес-требования к аналитике

• Общий ориентир: Стратегия цифровой трансформации компании

Заключительная аналогия:

Построение сбалансированной системы безопасности данных – это создание "умной транспортной системы" вместо спора между "пешеходами" и "автомобилистами".

• ИБ традиционно хочет установить светофоры на каждом углу, понизить скорость до 5 км/ч и поставить заборы вдоль всех дорог.

• УД традиционно хочет автобаны без ограничений скорости и правил.

Решение: Умные светофоры, адаптирующиеся к потоку; выделенные полосы для разных типов "транспорта" (данных); эстакады для обхода "пробок" (bottlenecks); и главное – навигатор, который помогает каждому "водителю" (пользователю данных) выбрать оптимальный маршрут с учетом "пробок" (рисков) и "цели" (бизнес-потребности).

В таком "умном городе" данных безопасность становится не стеной, а системой навигации, которая помогает данным безопасно достигать своих целей и приносить максимальную ценность бизнесу.