"Должность ‘владелец данных’ в реестре сотрудников не превращает человека в настоящего владельца бизнес-актива. Это лишь первая точка в юридической и технической цепочке ответственности, которую регулятор намеренно выдвигает вперёд. Реальность, это постоянный компромисс между тем, что написано в положении, и тем, что требует бизнес-процесс."

Какие новые роли возлагаются на владельцев данных?

Вокруг понятия «владелец данных» сложился своего рода миф. В корпоративных регламентах и проектах по защите информации его представляют как единую точку контроля, «бизнес-владельца», который определяет судьбу данных — от классификации до уничтожения. Но в условиях действия 152-ФЗ, ФСТЭК и реальных бизнес-процессов эта роль оказалась гораздо более многослойной и противоречивой. Фактически владелец данных, это не один человек, а набор ролей, которые часто распределены между несколькими сотрудниками или целыми подразделениями.

Бизнес-спонсор: ролевая модель, а не исполнитель

Первая и основная роль, это бизнес-спонсор. Именно этот человек из бизнес-подразделения формально назначается в документах. Его задача — декларировать ценность данных для бизнеса, утверждать сроки их хранения, определять состав пользователей и общие правила работы. Он даёт мандат на существование набора данных, но редко погружается в детали.

Ключевая проблема здесь — разрыв между формальной ответственностью и реальной компетенцией. Бизнес-спонсор может утвердить, что данные о клиентах являются конфиденциальными и хранятся 5 лет. Но он не всегда понимает технические следствия этого решения: нужны ли для их хранения криптографические средства, сертифицированные ФСТЭК, как организовать журналирование доступа или как уничтожать данные по истечении срока. Эта роль отвечает на вопрос «зачем?», но не «как?».

Системный куратор: переводчик с бизнес-языка на технический

Поскольку бизнес-спонсор оперирует общими категориями, возникает потребность в системном кураторе. Эта роль, как правило, ложится на специалистов того же бизнес-подразделения, но более технически подкованных — например, на руководителя аналитического отдела или старшего эксперта. Куратор выступает связующим звеном.

Он интерпретирует требования спонсора в конкретные атрибуты для IT-систем. Например, определяет, какие именно поля в клиентской базе (ФИО, паспортные данные, история заказов) попадают под ту или иную категорию конфиденциальности. Он составляет детальные матрицы доступа, прописывает бизнес-процессы изменения и миграции данных. По сути, куратор превращает политику в инструкцию. Эта роль часто остаётся «в тени» и не всегда формализована, хотя без неё выполнение требований регулятора становится невозможным.

Ответственный за жизненный цикл: от создания до уничтожения

Третья роль — операционный управляющий жизненным циклом данных. Если куратор определяет правила, то этот участник обеспечивает их ежедневное исполнение. В его зону ответственности входит:

• Контроль создания новых записей и их соответствия классификации.
• Организация процедур регулярного пересмотра и актуализации данных.
• Управление доступом: обработка заявок на предоставление прав, своевременное отзывление доступа у уволившихся сотрудников или сменивших должность.
• Инициация и контроль процедуры безопасного уничтожения данных по истечении установленного срока хранения.

На практике эта роль может быть распределена между несколькими должностями: администратором бизнес-приложения, специалистом по информационной безопасности, сотрудником кадровой службы (для персональных данных сотрудников). Отсутствие единого операционного владельца — частая причина, когда процессы деградируют: доступы не отзываются годами, устаревшие данные копятся, а журналы безопасности никто не проверяет.

Владелец vs. Администратор: зона постоянного конфликта

Классическое противоречие возникает на границе с IT-подразделением. По букве закона и политик, владелец данных определяет, кто и как может с ними работать. Однако физический контроль над инфраструктурой, учётными записями, системами резервного копирования и журналирования остаётся у системных администраторов и администраторов баз данных.

Это приводит к скрытому конфликту полномочий. Владелец требует немедленно отозвать доступ, но процедура проходит через тикет-систему IT-отдела, где запрос может «висеть» часами или днями. Владелец настаивает на использовании определённого криптосредства, но техническая реализация оказывается несовместимой с архитектурой приложения. Реальная роль владельца данных в таких условиях — не командир, а переговорщик, который должен выстраивать рабочие процессы совместно с IT и службой ИБ.

Роль в инцидентах: лицо, принимающее ключевые решения

Ещё одна малоочевидная, но критическая роль владельца данных проявляется при инцидентах, связанных с утечкой или компрометацией. В этот момент именно он, а не технический специалист, должен дать оценку бизнес-последствий: насколько серьёзен ущерб репутации, каковы потенциальные финансовые потери, нужно ли уведомлять регулятора и субъектов данных.

От владельца требуется понимание не только ценности данных, но и контекста их использования. Утечка старых архивных данных может быть менее критична, чем компрометация текущих расчётных ведомостей. Его решения напрямую влияют на стратегию реагирования: изолировать систему полностью или частично, начинать уведомительные процедуры или попытаться локализовать инцидент. Эта роль превращает владельца из пассивного «утверждателя политик» в активного участника кризисного управления.

Эволюция роли: от бумажного реестра к автоматизированному контролю

Традиционно роль владельца была документо-ориентированной: подписать положение, утвердить реестр, согласовать акт уничтожения. Новые реалии, особенно требования к трансграничной передаче данных и автоматизированному контролю доступа, меняют эту парадигму.

Появляется потребность во владельце как в архитекторе правил для систем Data Loss Prevention (DLP), классификаторов и систем управления правами доступа. Он должен уметь формулировать политики на языке, понятном не только людям, но и машинам: «Данные с меткой ‘Коммерческая тайна’ не могут быть отправлены на внешние почтовые ящики или скопированы на USB-носители без сопутствующего журнала действий с подписью ЭП». Это требует нового уровня понимания как бизнеса, так и технологических возможностей и ограничений.

Подводя итог: новая реальность владения данными

Владелец данных сегодня, это уже не просто графа в организационно-распорядительном документе. Это динамическая совокупность ролей, балансирующая между стратегией бизнеса, требованиями регулятора и техническими реализациями. Успех в этой роли определяется не формальным назначением, а способностью:

1. Выстраивать рабочие процессы, где чётко распределены обязанности между бизнес-спонсором, куратором и операционным управляющим.
2. Находить компромиссы между безопасностью и потребностями бизнес-процессов.
3. Эффективно взаимодействовать с IT-департаментом и службой ИБ на языке конкретных требований и понимания ограничений.
4. Принимать взвешенные решения в условиях неопределённости, особенно при инцидентах.

Таким образом, новые роли возлагают на владельца данных обязанность быть не столько контролёром, сколько интегратором и архитектором процессов в среде, где данные стали ключевым активом, требующим комплексной защиты на всех этапах жизненного цикла.