Практический смысл согласования прав доступа

В компаниях, стремящихся построить мало-мальски эффективную систему управления информационной безопасностью (СУИБ), неизбежно внедрение такого неприятного бюрократического процесса, как оформление и согласование заявок на предоставление прав доступа. Заявку нужно заполнить (опционально - распечатать), согласовать у

• бизнес-владельца информации, доступ к которой предоставляется;
• всяческих начальников отделов типа ИБ и ИТ;
• и, наконец, передать на выполнение администратору безопасности соответствующей ИТ-системы, будь то БД, почтовый сервер, Интернет-прокси или что там еще в компании используется.

Эта громоздкая (и на первый взгляд совсем ненужная) процедура на самом деле очень важна для компании в контексте зрелости ее СУИБ. Это не только удобно и практично для определения зон ответственности менеджеров и владельцев информации, но и чрезвычайно эффективно для определения степени необходимости предоставления прав доступа для выполнения сотрудником его служебных обязанностей. По второй причине возникает куча корпоративных анекдотов, один из которых я наблюдал сегодня в переписке.

Руководитель проекта: - Здравствуйте. Моим подчиненным нужен доступ к ресурсу httpd://bank.tld, на нем размещена необходимая для работы проекта информация. (Прим.: Проекту уже года 4, как они до этого работали без этого сайта - загадка.)

Зам. начальника ИТ: - Нет проблем, нужно согласовать этот доступ у директора Вашего департамента, нашего начальника ИТ, нашего начальника ИБ и его коллеги в Банке. А также у аккаунт-менеджера Банка -- у этого в первую очередь.

Руководитель проекта: - Спасибо, доступ уже не нужен.

То есть, очевидно, перспектива участия в бюрократическом процессе сама по себе наталкивает на вопрос "А нужно ли это нам настолько, чтобы терпеть все эти унижения?"Спасибо всяческим стандартам и регуляциям, требующим от нас соблюдения цепочки согласования -- в итоге ненужной работы выполняется чуть-чуть меньше.