Основная роль управления информацией и документами для информационной безопасности заключается в том, чтобы предоставить согласованную и известную информационную среду, с тем, чтобы процессы проектирования безопасности могли быть эффективными.
Вторая, возможно, даже более важная роль заключается в поддержании согласованной и известной информационной среды, с тем, чтобы спроектированные меры безопасности оставались эффективными.
Мой комментарий: С моей точки зрения, глубоко мною уважаемый Карл Мелроуз в данном случае, увы, «не приметил слона». Как специалисты, организующие не только собственную работу, но и работу других сотрудников организации с ключевой, юридически значимой информацией и документами, мы самым непосредственным образом участвуем в обеспечении информационной безопасности (конечно, в сотрудничестве с представителями других информационных профессий) – посредством учёта и систематизации материалов, их защищённого хранения, своевременного законного уничтожения и надлежащего управления доступом, что позволяет сохранять целостность и аутентичность, пригодность к использованию и конфиденциальность, юридическую и доказательную силу документов и информации. Ну а при работе с бумажными документами, которые пока что никуда не исчезли, мы обычно вообще единственные, кто решает вопросы информационной безопасности этих материалов!
Безопасность, как и всё остальное, включает в себя элемент дизайна / проектирования. Хороший дизайн возможен лишь тогда, когда условия проектирования известны и последовательны.
Любая конструкция сломается при воздействии факторов, на которые она не была рассчитана.
Таким образом, если Ваш архитектор мер безопасности (security architect) спроектировал Ваши системы для защиты контента с низким уровнем риска, - а у Вас имеется контент с высоким уровнем риском там, где это не ожидалось (потому что Ваша информация в беспорядке), - то Ваши меры безопасности не смогут адекватным образом защитить эту информацию, система защиты «сломается».
Всё, что архитекторам мер безопасности нужно от специалистов по управлению документами и информацией, - это согласованная и известная информационная среда.
Мой комментарий: Под «согласованной и известной информационной средой» Мелроуз, вероятно, понимает детальные сведения об информационных активах, о связанных с ними рисках, об их юридической и деловой ценности и конфиденциальности, о порядке доступа к ним и т.д.
Также замечу, что архитекторы мер безопасности занимаются проектированием меры защиты. Очень хорошо – но ведь затем кто-то внедряет и впоследствии применяет эти меры (в сочетании с иными, нетехническими мерами) на практике, выполняя работу «в поле»… И кто бы это мог быть? :)
Заметка сильно выиграла бы, если бы её автор явным образом говорил в ней о роли управления документами и информацией для разработки и проектирования мер информационной безопасности, а не для информационной безопасности «вообще».
Карл Мелроуз (Karl Melrose)
Источник: блог Meta-IRM
https://metairm.substack.com/p/the-role-of-records-and-information
Комментариев нет:
Отправить комментарий