Категорирование субъектов информационной системы

Категорирование субъектов ИС необходимо для организации контроля доступа к объектам ИС и к средствам работы с информацией и может производиться с различной степенью детализации. В работе [9] рассматриваются упрощенная и полная модель категорирования.

Под субъектом информационной системы в [9] понимаются люди, процессы или средства работы с информацией, выполняющие в информационной системе некие активные действия в отношении её объектов. Процессы и средства как безличные сущности могут выполнять свои действия:

· либо от имени пользователей, управляющих ими в данный момент времени, — в этом случае они будут рассматриваться неотделим, от человека и его профиля прав и ответственности;

· либо как независимые субъекты системы с собственными профилями прав доступа.

Упрощенная (обобщенная) модель классификации субъектов в соответствии с [9] предполагает, что в информационной системе предприятия существуют следующие субъекты:

· создающие объекты;

· использующие объекты;

· администрирующие объекты (то есть обеспечивающие среду работы с объектами других субъектов);

· контролирующие использование объектов субъектами.

Каждый конкретный субъект может совмещать в себе несколько или все указанные классификационные сущности.

Определим следующие группы по способам работы с информацией.

· Группа А. Один субъект владеет информацией, самостоятельно обрабатывает ее без передачи другим субъектам. В этом случае он сам контролирует все способы работы и классификацию информации.

· Группа Б. Один субъект владеет информацией и передает ее для использования другому субъекту или группе субъектов. При этом он должен произвести классификацию информации, определить правила ее использования и ознакомить с ними пользователей, либо уполномочить другого субъекта (или нескольких субъектов) на выполнение этих действий.

· Группа В. Группа субъектов использует один и тот же информационный объект (в целом или различные его части) или совокупность объектов без явно выраженного права владения одним субъектом. В этом случае необходимо произвести разделение субъектов на пользователей, администраторов и контролеров.

· Группа Г. Субъект или группа субъектов использует информацию, владелец которой находится вне организации. В этом случае субъекты следуют правилам использования информации, определенной владельцем в рамках законодательного пространства.

· Группа Д. Группа субъектов использует информационные объекты широкого или неопределенного доступа. В этом случае работа с объектами производится без ограничений, в рамках законодательного пространства.

Наибольший интерес для нас представляет группа В. В соответствии с описанными группами различаются следующие обязанности субъектов по жизненным стадиям информации.

Субъекты-администраторы (далее просто администраторы) должны обеспечить наличие условий для создания, использования, передачи и хранения объектов в соответствии с задачами, определяемыми уполномоченными субъектами-пользователями (далее пользователями), а также создать условия для осуществления контроля со стороны субъектов-контролеров (далее контролеров) за действиями как пользователей, так и администраторов. В своей работе администраторы должны следовать разработанным правилам. Контролеры должны разработать (и при необходимости дорабатывать) правила, по которым пользователи будут работать с объектами. Кроме того, они должны произвести классификацию информационных объектов, обеспечить ознакомление пользователей с правилами и классификацией, а также контролировать соблюдение этих правил. Пользователи должны работать с объектами в соответствии с бизнес-задачей в рамках разработанных правил.

Полная модель категорирования субъектов ИС опирается на западную модель, предложенную в [15]. Эта модель строится в предположении, что субъекты ИС выполняют следующие роли:

1) Владелец информации – бизнес-менеджер, который несет ответственность за объекты ИС (информационные активы предприятия).

2) Хранитель информации – обычно специалист по ИТ, основная задача которого – резервное копирование и восстановление данных.

3) Владелец приложения (вычислительной программы) – руководитель бизнес-подразделения, который полностью несет ответственность за выполнение производственных или иных функций, обслуживаемых приложением.

4) Администратор пользователей – непосредственный руководитель работой сотрудников в ИС. В его полной ответственности – персональные данные пользователей (в том числе и привлеченных работников сторонних организаций) и их информационные ресурсы.

5) Администратор безопасности – сотрудник предприятия, который имеет соответствующие полномочия в системе управления доступом. Он устанавливает механизмы безопасности, администрирует учетные записи пользователей и права доступа к объектам ИС.

6) Аналитик безопасности – сотрудник, ответственный за определение развития безопасности данных (стратегий, процедур, правил) для обеспечения уверенности в том, что контроль и защита информации основаны на значимости информации, риске потери или компрометации и легкости восстановления.

7) Аналитик контроля модификаций— сотрудник, ответственный за анализ запросов на модификацию инфраструктуры информационных технологий и определение влияния этих изменений на работу приложений.

8) Аналитик данных — этот сотрудник анализирует бизнес-требования к разработке структур данных, рекомендует определение стандартов данных и физические платформы для них. Он ответственен за применение соответствующих стандартов управления данными.

9) Провайдер (поставщик) решений — сотрудник, участвующий в разработке решений (приложений) и процессе разворачивания бизнес-решений. В различных информационных системах называется интегратором, разработчиком приложений, провайдером информационных технологий.

10) Конечный пользователь — любой сотрудник, контрактник или поставщик предприятия, использующий ресурсы ИС в рамках своей работы.

11) Владелец процесса — сотрудник, ответственный за внедрение, управление и постоянное улучшение процесса, соответствующего определенной потребности производства.

12) Администратор продукта (средства работы с информацией) — сотрудник, ответственный за понимание бизнес-требований и формулирование их в виде требований к продукту, за работу с поставщиком и пользователями для обеспечения соответствия продукта этим требованиям, за отслеживание новых версий и за контакты с ключевыми фигурами по вопросам приобретения новых версий.