“Слово «владелец данных» часто вызывает удивление. Казалось бы, чего проще: тот, кто владеет данными, и отвечает. Но российская регуляторика больше не позволяет владельцу быть просто титульным «хозяином» — его роль трансформируется из абстрактного ответственного лица в активного стратега, инженера по защите и партнёра по бизнес-решениям. Это фундаментальный сдвиг, который до сих пор ускользает от многих.”
Несколько лет назад роль владельца информационных ресурсов в терминах регулятора сводилась преимущественно к подписи на документах и формальной ответственности. Сегодня вектор сменился. ФСТЭК и 152-ФЗ, особенно с развитием концепций защиты критической информационной инфраструктуры (КИИ) и сквозных требований к безопасности, сформировали для владельца данных набор обязанностей, выходящий за рамки чисто бюрократических процедур.
Стратегическое планирование, а не просто контроль
Первая новая роль — архитектор защиты. Раньше владелец мог делегировать все вопросы безопасности выделенному специалисту или отделу, ограничившись утверждением политик. Теперь от него ожидают понимания архитектурных принципов построения системы защиты, основанных на модели угроз. Это не означает, что владелец должен лично проектировать межсетевые экраны, но он обязан определять, какие данные являются критически важными активами, как они циркулируют в информационной системе и где находятся точки приложения защитных мер.
На практике это выглядит так: владелец участвует в сессиях по категорированию информационных систем, утверждает перечень защищаемой информации, задаёт требования к её жизненному циклу (сбор, хранение, передача, уничтожение) и выделяет ресурсы на реализацию этих требований. Его решение напрямую влияет на выбор технических средств защиты и настройку правил доступа.
Менеджер непрерывности, а не сторонний наблюдатель
Защита данных больше не рассматривается как статичное состояние, достигнутое один раз при аттестации. Это непрерывный процесс, требующий постоянного управления. Владелец становится ответственным за организацию мониторинга эффективности применяемых мер защиты, анализ инцидентов и обеспечение восстановления после сбоев или атак.
Здесь появляется понятие «жизненный цикл защиты информации». Владелец должен обеспечить, чтобы:
- Политика и меры защиты регулярно пересматривались и актуализировались в соответствии с изменениями в инфраструктуре и новых угроз.
- Проводилось периодическое тестирование защитных механизмов, например, анализ защищённости или контрольные проверки.
- Существовали утверждённые и протестированные планы реагирования на инциденты информационной безопасности.
По сути, владелец управляет не данными как таковыми, а рисками, связанными с этими данными, на постоянной основе.
Связующее звено между безопасностью и бизнесом
Одна из ключевых проблем в российской ИТ-среде — разрыв между командой безопасности и бизнес-подразделениями. Технические специалисты говорят на языке угроз и уязвимостей, бизнес — на языке прибыли, клиентов и сроков. Владелец данных, находясь на стыке, берёт на себя роль переводчика и интегратора.
Он должен уметь обосновать необходимость затрат на средства защиты, связав их с потенциальными бизнес-потерями от утечки, блокировки системы или репутационного ущерба. Например, внедрение системы DLP — не просто «требование регулятора», а инвестиция в сохранение коммерческой тайны и клиентской базы. Владелец аргументирует это перед руководством, согласует бюджеты и сроки.
Изменение подхода к классификации данных
Раньше классификация часто проводилась формально, «под копирку». Сейчас владельцу необходимо глубоко вникнуть в содержание данных. Он определяет не просто гриф «коммерческая тайна», а уровни конфиденциальности в привязке к конкретным бизнес-процессам. Например, чертежи новой продукции — высший уровень, а внутренние отчёты о производительности — средний. Это влияет на то, какие именно меры из приказов ФСТЭК будут применяться к разным массивам информации, что позволяет оптимизировать затраты.
Вовлечённость в инцидент-менеджмент
В случае инцидента информационной безопасности владелец перестаёт быть лицом, которого просто информируют постфактум. Его роль прописана в регламентах. Он участвует в оценке ущерба, принимает ключевые операционные решения (например, об остановке сервиса), уполномочен взаимодействовать с регулятором (ФСТЭК, Роскомнадзор) и правоохранительными органами при необходимости.
Его решения в первые часы после обнаружения инцидента напрямую влияют на масштаб последствий. Это требует от владельца не только понимания процедур, но и стрессоустойчивости, а также наличия заранее подготовленных «дорожных карт» действий.
Ответственность за цепочку поставок (аутсорсинг)
Современная ИТ-инфраструктура редко существует изолированно. Облачные сервисы, хостинг, разработка на аутсорсе — всё это включает передачу данных третьим лицам. Владелец данных теперь несёт ответственность не только за свои системы, но и за то, как защищают информацию его контрагенты.
Это вынуждает его:
- Включать в договоры с поставщиками IT-услуг жёсткие требования по информационной безопасности, соответствующие приказам ФСТЭК.
- Организовывать проверки выполнения этих требований (аудиты безопасности поставщиков).
- Обеспечивать юридическое и техническое сопровождение передачи данных, включая использование шифрования.
зона ответственности владельца расширяется далеко за периметр его собственной организации.
Роль в условиях импортозамещения
Текущая геополитическая ситуация добавила владельцам данных ещё одну сложную задачу — управление миграцией с зарубежных платформ и средств защиты на российские аналоги. Это не просто техническая замена «один к одному». Владелец должен оценивать:
- Соответствие отечественных решений заявленным требованиям по защите (наличие сертификатов ФСТЭК, ФСБ).
- Риски снижения функциональности для бизнес-процессов.
- Вопросы совместимости с существующей инфраструктурой.
- Построение новых процессов техподдержки и обучения персонала.
Его решение напрямую влияет на устойчивость и легальность работы с данными в долгосрочной перспективе.
Что это значит на практике? Таблица новых компетенций владельца данных
| Старая роль (формальная) | Новая роль (активная) | Необходимые компетенции |
|---|---|---|
| Утверждение документов по безопасности | Стратегическое планирование защиты на основе модели угроз | Понимание принципов категорирования ИС, анализа рисков |
| Делегирование вопросов ИБ техническим специалистам | Управление жизненным циклом защиты и непрерывностью | Основы инцидент-менеджмента, мониторинга эффективности СЗИ |
| Изолированность от бизнес-процессов | Интеграция требований безопасности в бизнес-процессы | Навыки коммуникации, расчёта ROI от мер защиты |
| Ответственность только за свой периметр | Контроль безопасности по всей цепочке поставок (аутсорсинг) | Знание основ договорного права в сфере ИБ, навыки проведения аудита поставщиков |
| Работа в стабильной технологической среде | Управление переходом на отечественное ПО и оборудование | Понимание рынка российских СЗИ, оценка рисков миграции |
Эволюция роли владельца данных в России, это ответ на усложнение цифровой среды и ужесточение регуляторного давления. Из пассивного держателя титула он превращается в ключевую фигуру, от решений которой зависит не только соответствие закону, но и устойчивость всего бизнеса к современным угрозам. Успех теперь определяется не тем, подписаны ли все бумаги, а тем, насколько глубоко владелец вовлечён в построение целостной и живой системы защиты информации.