«RACI матрица часто рассматривается как инструмент для проектов или управления процессами, но в информационной безопасности её потенциал для структуризации ответственности за средства защиты остаётся недооцененным. Речь не только о том, кто отвечает за контроль, а о том, как чёткое разделение ролей предотвращает дублирование усилий, пробелы в контроле и делает выполнение требований регуляторов управляемым процессом.»
Что такое RACI и почему она применима к средствам защиты
RACI, это модель распределения ответственности. Расшифровка аббревиатуры задаёт четыре возможные роли для любой задачи или объекта:
- Responsible (R — Исполнитель) — лицо или команда, которые выполняют работу. Это «делающие».
- Accountable (A — Подотчётный) — тот, кто несёт окончательную ответственность за результат, утверждает работу. Это «владелец». Ключевое правило: на одну задачу должен быть только один A.
- Consulted (C — Консультант) — те, чьё мнение запрашивают перед принятием решения или действием. Это двусторонняя коммуникация.
- Informed (I — Информируемый) — те, кого ставят в известность о результатах или решениях. Это односторонняя коммуникация.
В контексте средств защиты (контролей) задача, это конкретное действие по реализации, поддержанию, проверке или отчётности по контролю. Например, не просто «антивирус», а «мониторинг и реагирование на срабатывания антивирусной защиты на серверах». RACI-матрица позволяет перевести абстрактные требования регуляторов (152-ФЗ, требования ФСТЭК) в конкретные обязанности сотрудников.
Построение матрицы для средств защиты: пошаговый подход
Создание работающей матрицы, это процесс, а не разовое действие. Он требует вовлечения как специалистов по безопасности, так и владельцев бизнес-процессов.
1. Инвентаризация средств защиты
Начните с составления исчерпывающего списка актуальных средств защиты. Не ограничивайтесь техническими. В соответствии с отечественными стандартами, контроли делятся на организационные, программно-технические, физические. Примеры:
- Организационные: Положение о порядке обработки ПДн, инструкции пользователей, программа внутреннего контроля.
- Программно-технические: межсетевые экраны, DLP-системы, СКЗИ, средства обнаружения вторжений.
- Физические: системы контроля доступа в помещения, видеонаблюдение.
Каждый контроль из списка должен быть детализирован до уровня конкретных действий. Вместо «DLP-система» запишите: «Настройка политик DLP», «Анализ инцидентов DLP», «Актуализация сигнатур DLP», «Отчётность по эффективности DLP».
2. Определение задач по каждому контролю
Для каждого действия из предыдущего шага определите полный цикл задач. Стандартный цикл включает:
| Тип задачи | Описание | Пример для контроля «Резервное копирование» |
|---|---|---|
| Разработка/Внедрение | Создание, настройка и первоначальное развёртывание контроля. | Выбор ПО, настройка расписания и политик хранения копий. |
| Эксплуатация | Повседневная поддержка и мониторинг работы контроля. | Проверка успешности выполнения заданий копирования, замена лент. |
| Мониторинг и анализ | Проверка эффективности, рассмотрение логов и инцидентов. | Анализ отчётов, проверка соответствия RTO/RPO. |
| Отчётность и аудит | Подготовка отчётов для руководства, предоставление данных аудиторам. | Формирование ежеквартального отчёта о доступности резервных копий. |
| Актуализация | Пересмотр и обновление контроля в связи с изменениями. | Корректировка расписания после изменения графика работы приложения. |
3. Идентификация ролей и ответственных лиц
Составьте список всех ролей, которые могут быть задействованы. Это не обязательно конкретные люди, а должности или команды: Руководитель службы ИБ, Администратор ИБ, Сетевой администратор, Руководитель IT-отдела, Владелец бизнес-процесса, Сотрудник отдела кадров. На этом этапе важно привлечь всех потенциальных участников, чтобы избежать ситуации «назначили, но не предупредили».
4. Заполнение матрицы
Создайте таблицу, где по вертикали — задачи из шага 2, а по горизонтали — роли из шага 3. Для каждой ячейки определите одну из букв: R, A, C, I. Задавайте ключевые вопросы:
- Кто выполняет работу? (R) — Часто это технические специалисты.
- Кто несёт конечную ответственность, кто должен подписать? (A) — Это «точка принятия решения». Для критичных контролей это часто руководитель.
- С кем нужно согласовать действие? (C) — Например, изменение правил межсетевого экрана согласуется с владельцем приложения.
- Кого просто информируют о результатах? (I) — Руководство может быть в статусе I по техническим задачам, но A — по стратегическим отчётам.
Типичные ошибки и как их избежать
Без понимания подводных камней матрица рискует стать формальным документом, который не работает.
Ошибка 1: Несколько лиц в роли A для одной задачи. Это главная ошибка, приводящая к размыванию ответственности. Если в задаче «Утверждение политики паролей» указаны A и у начальника отдела ИБ, и у IT-директора, в случае проблемы начнётся поиск виноватого. Решение: провести воркшоп и определить единственного владельца процесса, чья зона ответственности наиболее релевантна.
Ошибка 2: Пустые строки или колонки. Если для задачи не назначен R, её просто никто не выполнит. Если для роли нет ни одной R или A, стоит задуматься, нужна ли эта роль в матрице вообще. Регулярный пересмотр матрицы помогает вычищать такие артефакты.
Ошибка 3: Перегрузка роли C. Назначение слишком многих людей в консультанты по каждой задаче создаёт бюрократию и тормозит процессы. Задавайте вопрос: «Действительно ли без мнения этого человека невозможно принять корректное решение?» Если нет — возможно, его статус стоит понизить до I или вовсе исключить.
Ошибка 4: Игнорирование роли I. Кажется, что информирование, это просто «отправить письмо». Но если ключевых стейкхолдеров не информировать о статусе критичных контролей (например, об истечении срока действия сертификатов СКЗИ), это приведёт к сбоям. Внедрите формальные каналы информирования: дайджесты, оповещения в корпоративном мессенджере.
Интеграция RACI в процессы управления ИБ и отчётность
Сама по себе матрица — статичный документ. Её ценность раскрывается при встраивании в операционные процессы.
Планирование и выполнение работ. Планы работ по информационной безопасности или дорожные карты должны ссылаться не просто на контроль, а на конкретную задачу в матрице, где чётко указан исполнитель (R). Это снимает вопросы «а чья это зона?».
Внутренний аудит и проверки. Аудитор, проверяя выполнение требования регулятора, может смотреть не только на наличие артефакта (политики, отчёта), но и на матрицу. Она показывает, формализован ли процесс управления контролем, или он существует лишь на словах. Наличие единственного A для каждой критичной задачи — признак зрелости процесса.
Обучение и адаптация новых сотрудников. Матрица служит отличным ориентиром для нового сотрудника службы ИБ или IT-специалиста. Она даёт ему понимание, за что он отвечает непосредственно (R), по каким вопросам он должен консультироваться (C), и кого информировать о результатах своей работы (I).
Взаимодействие с регуляторами. При запросе от ФСТЭК или Роскомнадзора о том, как организован тот или иной контроль, вы можете предоставить не только описание процесса, но и фрагмент RACI-матрицы. Это демонстрирует системный подход к управлению и распределению ответственности, что часто оценивается положительно.
От статики к динамике: пересмотр и актуализация матрицы
IT-ландшафт и угрозы меняются, меняются и люди. Матрица, созданная год назад, почти гарантированно устарела.
Триггеры для пересмотра:
- Изменение организационной структуры (слияние отделов, появление новых должностей).
- Внедрение новой системы или значительное обновление существующей (например, переход на новую DLP).
- Изменения в регулирующих требованиях (новые приказы ФСТЭК, разъяснения).
- Результаты инцидентов или аудитов, выявившие пробелы в ответственности.
Установите формальный процесс пересмотра матрицы, например, в рамках ежегодного пересмотра политики управления средствами защиты. Назначьте ответственного (A) за актуализацию самой матрицы — обычно это руководитель направления по управлению рисками или合规.
Итоговая матрица, это не просто таблица. Это модель управления, которая делает невидимые связи ответственности видимыми и управляемыми. Она превращает разрозненные обязанности в согласованную систему, где каждый знает свою роль в обеспечении безопасности, а регуляторные требования выполняются не благодаря героизму отдельных сотрудников, а благодаря выстроенному процессу.