BzBook.ru

Обеспечение информационной безопасности бизнеса

4.3.6. Управление системой ролей

Цель любой организации достигается в результате скоординированных действий участников (сотрудников) этой организации. При этом сами действия обычно заранее планируются и распределяются между сотрудниками организации в виде отдельных задач (функций, обязанностей). Состав задач и их распределение между сотрудниками могут оставаться неизменными на протяжении длительного времени, а могут изменяться в силу различных причин, таких как:

— изменение целей организации;

— оптимизация деятельности организации, например, с целью снижение издержек или уменьшения операционных рисков;

— адаптация деятельности организации под новые условия внешней среды, например, под потребности клиентов или под требования регулирующих органов;

— адаптация деятельности организации под новые условия внутренней среды, например, в связи с изменением состава сотрудников организации или в связи с внедрением специализированных средств автоматизации.


Распределение задач между сотрудниками предполагает предоставление каждому из них соответствующего объема ресурсов, необходимых для выполнения задач. Предоставленные организацией сотруднику ограниченные права, разрешения на использование определенных ресурсов организации составляют его полномочия.

При этом результативное и эффективное выполнение сотрудником его задач требует, чтобы предоставленные ему полномочия соответствовали, были достаточны для выполнения этих задач. Недостаточный объем полномочий у сотрудника организации ставит под угрозу достижение намеченных целей, что для организации недопустимо. В этой связи в большинстве компаний можно наблюдать ситуацию, когда объем предоставленных сотруднику полномочий несколько превышает объем, достаточный для выполнения его задач. Отметим, что такая ситуация в большинстве случаев неизбежна, поскольку:

— всегда существует неопределенность относительно того, какие действия потребуются от сотрудника для выполнения его задачи, и относительно того, сколько в точности ресурсов будет необходимо для выполнения задачи;

— точная регламентация всех полномочий и их применения, а тем более исполнение регламентов весьма трудоемки для большинства организации;

— наиболее значительными полномочиями обладает менеджмент организации, который по ряду причин, в том числе объективных, не склонен ограничивать собственные полномочия.


Как следует из приведенного выше определения угроз ИБ от персонала, полномочия сотрудника в значительной мере определяют исходящие от него риски ИБ для организации. В примитивной форме эту зависимость можно описать так: чем больше объем полномочий, предоставленных сотруднику, тем больше исходящий от него риск ИБ.

В простейшем случае опасность совокупности полномочий, назначенных сотруднику, может быть охарактеризована объемом потенциальных негативных последствий для организации от возможного использования этих полномочий против интересов организации. В более сложных случаях необходимо учитывать, что нападения инсайдеров различных профессий (наделенных различными типами полномочий) существенно отличаются друг от друга, в том числе по характеру и объему негативных последствий для организации [55].

Задача сравнения опасности различных полномочий (например, бухгалтера, системного администратора и начальника производственного участка), по-видимому, не может быть решена иначе, как путем обобщения мнений компетентных лиц, экспертов. Каждая организация вправе выбрать способ сравнения «под себя», заложив в него собственный опыт и представления об угрозах ИБ от персонала.

Следует отметить, что распределение полномочий между сотрудниками обычно неравномерно (в смысле опасности) в силу различных причин — характера решаемых сотрудниками задач, их навыков, возможной оперативной необходимости или даже в результате случайного стечения обстоятельств. Некоторые сотрудники получают на время или постоянно вместе с обязанностями значительный объем полномочий, существенно превосходящий (по опасности) полномочия других сотрудников организации. Такую ситуацию — наличие в организации сотрудника, нецелевое использование полномочий которого может вызвать неприемлемые для организации негативные последствия, — будем называть концентрацией полномочий. Понятно, что для организации желательно, чтобы концентрация полномочий была исключена или по крайней мере количество «опасных» в этом смысле сотрудников было минимальным. В случаях, когда исключить концентрацию полномочий невозможно, целесообразно воздействие организации на другие факторы риска из числа перечисленных в подразделе 4.2.3, например, на факторы, связанные с контролируемостью соответствующих полномочий, или на факторы, связанные с мотивационной сферой соответствующих сотрудников.

Очевидный способ уменьшения связанного с концентрацией полномочий риска ИБ состоит в целенаправленном контроле над распределением полномочий в организации. Будем называть деятельность, реализующую такой контроль с целью предотвращения угроз ИБ от персонала, управлением системой ролей.

Можно выделить следующие способы, обычно используемые для описания распределения полномочий между сотрудниками организации:

— слабо формализованное описание, основанное на устных договоренностях или документальных соглашениях произвольной формы;

— систематизированное описание отношений с помощью организационно-функциональных схем, положений о подразделениях и должностных инструкций;

— описание процессов деятельности организации и соответствующей системы ролей сотрудников.


Перечисленные способы не способны полностью функционально заменить друг друга, и во многих организациях такие способы применяются совместно. Кроме того, все они обычно увязывают распределяемые полномочия с задачами (функциями), для решения которых такие полномочия необходимы.

Слабо формализованное описание распределения полномочий обычно характерно для небольших организаций, деятельность которых требует высокой гибкости и (или) в которых руководитель имеет возможность и считает необходимым непосредственно отдавать распоряжения и контролировать деятельность всех сотрудников.

Организационно-функциональная схема описывает общие контуры структуры организации и связывает структурные элементы организации (подразделения и должности) с различными задачами (или видами деятельности организации). Организационно-функциональная схема обычно используется в качестве справочного материала, высокоуровневого представления, которое позволяет сразу увидеть в общих чертах устройство организации (организационную структуру, распределения между подразделениями задач и полномочий). Обратная сторона такова, что формат организационно-функциональной схемы просто не позволяет охватить многие важные детали. Отметим, например, что при чтении схемы, где на одном горизонтальном уровне показаны несколько субъектов, может сложиться ложное впечатление о сопоставимости их задач и полномочий.

Основными правовыми актами, описывающими систему распределения полномочий, в большинстве организаций являются положения о подразделениях и должностные инструкции. В положении о подразделении организации обычно определяются:

— место подразделения в организационной структуре;

— цели и задачи подразделения;

— полномочия подразделения;

— структура и численность подразделения;

— ответственность подразделения.


В должностной инструкции обычно определяются:

— название должности и соответствующего подразделения;

— перечень функций сотрудника;

— обязанности и полномочия (права);

— принципы взаимоотношения с руководством, коллегами и подчиненными.


Наиболее часто в положениях о подразделениях и должностных инструкциях встречаются следующие недостатки:

— отсутствие четких формулировок, что ведет к пересечению функций различных субъектов в организации (сотрудников и подразделений);

— потеря документом актуальности, соответствия реальным отношениям и деятельности;

— несоответствие функций, полномочий и ответственности;

— неполнота перечня функций;

— ориентация функций и полномочий на текущую деятельность при игнорировании функций, связанных с развитием и совершенствованием;

— слабая формализация «горизонтального» взаимодействия между сотрудниками и подразделениями. Реальная эффективность такого взаимодействия часто зависит от того, сложились или нет личные отношения между руководителями соответствующих подразделений.


Выделение роли, как альтернативного должности способа объединения полномочий и обязанностей сотрудника изначально возникло в связи с потребностью менеджмента в снижении сложности различных задач организационного проектирования. Более конкретно: рассмотрение (при проектировании, исследовании или реинжиниринге) некоторого вида деятельности организации, которое осуществлялось отдельно от других видов деятельности той же организации, требовало отдельного рассмотрения участников этого вида деятельности. Любой сотрудник организации при решении такой задачи был интересен только с точки зрения его участия в конкретной рассматриваемой деятельности. Иначе говоря, была интересна его роль. Если учесть, что почти любой сотрудник участвует в нескольких видах деятельности организации, то понятно, что такой сотрудник выполняет сразу несколько ролей.

Таким образом, роль может быть выделена и необходима только в связи с необходимостью выделения и отдельного рассмотрения определенного вида деятельности в организации. Роль представляет собой более мелкий (по сравнению с должностью) элемент распределения обязанностей и полномочий между сотрудниками.

Правильно реализованное ролевое описание полномочий лишено некоторых недостатков должностной инструкции:

— ролевое описание более гибкое, поскольку в случае изменений требуются меньшие усилия для реорганизации системы обязанностей и полномочий сотрудников;

— система ролей с меньшей вероятностью (чем система должностных инструкций) будет содержать всевозможные пересечения, противоречия и неточности, поскольку она формируется для отдельных видов деятельности, где такие недостатки проще отследить и исключить;

— ролевая система дает больше возможностей точно описать горизонтальные взаимодействия между сотрудниками.


С точки зрения минимизации концентрации полномочий для предотвращения угроз ИБ от персонала ролевое описание полномочий можно считать наиболее подходящим, поскольку оно:

— дает более детальное описание полномочий, чем другие способы;

— более четко, чем другие способы, отражает соответствие полномочий и ситуаций, в которых разрешено их применение;

— позволяет быстро формировать и оценивать различные сочетания полномочий сотрудников.


Описанная выше задача распределения полномочий с целью минимизации их концентрации наиболее эффективно решается посредством формирования и структуризации системы ролей в организации.

При распределении полномочий на основе системы ролей концентрация полномочий может возникнуть в результате двух ситуаций (см. рис. 68):

— недопустимого (опасного) совмещения функций в одной роли;

— недопустимого (опасного) совмещения функций, которые относятся к разным ролям, но роли назначены одному исполнителю.

Обеспечение информационной безопасности бизнеса 4.3.6. Управление системой ролей.

Состав функций, совмещение которых следует считать недопустимой концентрацией полномочий, должен быть определен организацией, исходя из собственных потребностей и практики. В качестве примера требований к формированию ролей и их назначению можно привести положения стандарта Банка России СТО БР ИББС-1.0-2008 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» [26] и положения Банка России № 242-П «Об организации внутреннего контроля в кредитных организациях и банковских группах» [56]. Например, в соответствии с пунктом 7.2.3 стандарта Банка России СТО БР ИББС-1.0-2008 с целью снижения рисков нарушения ИБ не рекомендуется совмещение следующих ролей одним сотрудником:

— разработки и сопровождения системы/ПО;

— разработки и эксплуатации системы/ПО;

— сопровождения и эксплуатации системы/ПО;

— администратора системы и администратора ИБ;

— выполнения операций в системе и контроля их выполнения.


В соответствии с положением Банка России № 242-П не рекомендуется назначение одному и тому же подразделению и (или) служащему функций, связанных с:

— совершением банковских операций и других сделок и осуществлением их регистрации и (или) отражением в учете;

— выдачей санкций на выплату денежных средств и осуществлением (совершением) их фактической выплаты;

— проведением операций по счетам клиентов организации и счетам, отражающим собственную финансово-хозяйственную деятельность организации;

— предоставлением консультационных и информационных услуг клиентам организации и совершением операции с теми же клиентами;

— оценкой достоверности и полноты документов, представляемых при выдаче кредита, и осуществлением мониторинга финансового состояния заемщика;

— совершением действий в любых других областях, где может возникнуть конфликт интересов.


В общем виде деятельность по управлению системой ролей в организации (в целях уменьшения рисков ИБ) состоит в последовательном решении следующих задач (см. рис. 69):

— идентификация системы ролей;

— оценка системы ролей;

— оптимизация системы ролей.

Обеспечение информационной безопасности бизнеса 4.3.6. Управление системой ролей.

При решении перечисленных задач удобно использовать матричные модели распределения полномочий. Один из возможных форматов матричной модели представлен на рис. 70.

Обеспечение информационной безопасности бизнеса 4.3.6. Управление системой ролей.

Из рис. 70 видно, что для построения матричной модели должен быть определен состав параметров модели и их значений, а также определен состав параметров отражаемых на пересечении строк и столбцов матричной модели (анализируемые параметры). При этом состав указанных параметров зависит от назначения матричной модели и от состава решаемых задач.

На первом этапе, при идентификации системы ролей, за основу для построения матричной модели целесообразно принимать систему распределения задач и полномочий, описанную действующими в организации должностными инструкциями, положениями о структурных подразделениях и другими документами (регламентами, распоряжениями о предоставлении полномочий и др.). Возможный вид матричной модели показан на рис. 71.

Обеспечение информационной безопасности бизнеса 4.3.6. Управление системой ролей.

Для формирования такой матричной модели необходимо наличие хотя бы простой модели деятельности организации, в которой выделены собственно виды деятельности организации, например в виде процессов (идеи процессного представления деятельности кратко рассмотрены в главе 2), и выделены функции — структурные элементы видов деятельности (для процессного формата описания деятельности — процедуры).

Необходимые для формирования матричной модели элементы организационно-штатной структуры и связи между ними могут быть восстановлены по нормативным и организационно-распорядительным документам организации. Целесообразно также проведение опроса некоторых сотрудников организации с целью проверки актуальности восстановленных данных и их дополнения не отраженными документально отношениями.

Следующий шаг идентификации системы ролей состоит в отражении в матричной модели участия сотрудников в выполнении функций. Если сотрудник организации участвует в выполнении некоторой функции, то в соответствующей ячейке матрицы делается отметка, например «х». Состав допустимых отметок должен быть установлен, например, так:

— В — выполняет;

— К — контролирует;

— О — отвечает;

— И — информируется о результатах;

— С — согласовывает решения и (или) консультирует.


На основании заполненной матрицы осуществляется выделение ролей в соответствии с некоторыми заранее установленными правилами, например:

— роли идентифицируются отдельно для каждого вида деятельности, т. е. не должно быть ролей, входящих одновременно в более чем один вид деятельности;

— если за разными сотрудниками закреплена одна и та же группа функций в рамках одного вида деятельности, то такая группа функций идентифицируется как роль;

— если за одним или несколькими сотрудниками организации закреплена группа функций, отличающаяся от функций других сотрудников в рамках того же вида деятельности, то указанная группа функций идентифицируется как роль.


В результате описанной деятельности будет сформирован перечень ролей, а содержание ролей (обязанности и полномочия) может быть описано в терминах соответствующих видов деятельности организации.

Полученный результат не только позволит перейти к следующему этапу — оценке системы ролей с точки зрения ИБ, но и даст возможность руководству организации по-новому взглянуть на существующее в организации и закрепленное в ее нормативной базе распределение обязанностей и полномочий.

Оценка ролей в организации фактически заключается в выявлении ситуаций концентрации полномочий двух типов:

— недопустимого (опасного) совмещения функций в одной роли;

— недопустимого (опасного) совмещения функций, которые относятся к разным ролям, но роли назначены одному исполнителю.


Эти две задачи решаются сходным способом. Поэтому деятельность по оценке ролей покажем на примере решения первой задачи.

Для осуществления оценки системы ролей с целью выявления в них недопустимого совмещения функций используется матричная модель распределения функций между ролями, пример которой приведен на рис. 72.

Обеспечение информационной безопасности бизнеса 4.3.6. Управление системой ролей.

Такая матричная модель распределения функций между ролями отражает состав функций закрепленных за ними. Формирование матричной модели распределения функций между ролями осуществляется на основании перечня ролей организации, который был сформирован на предыдущем этапе — идентификации ролей.

Анализ матричной модели распределения функций между ролями выполняется с целью выявления недопустимого совмещения функций в ролях, а его результатом является перечень ролей, в которых обнаружено недопустимое совмещение функций, и перечень собственно пар совмещенных функций.

После того как определена принадлежность функции, в матричной модели рядом с отметкой «х» ставится отметка в виде условного обозначения соответствующей функций недопустимой для совмещения, как представлено на рис. 72. Для удобства заполнения матричной модели и ее дальнейшего анализа рекомендуется использовать различные условные обозначения для групп функций недопустимых для совмещения, например:

— функции, связанные с разработкой программных средств, — Р;

— функции, связанные с сопровождением программных средств, — С;

— функции, связанные с эксплуатацией программных средств, — Э.


Недопустимым для совмещения функции могут быть обнаружены поиском в столбцах матрицы (выделено пунктирным контуром на рис. 72).

Выявление недопустимого совмещения ролей при назначении одному сотруднику выполняется аналогичным образом. В ходе деятельности по оценке ролей организации в качестве рабочих материалов формируются две матричные модели (модель распределения функций между ролями и модель распределения ролей между сотрудниками), а также следующие перечни:

— перечень ролей, в которых выявлено недопустимое совмещение функций;

— перечень сотрудников организации, которым назначены недопустимые для совмещения роли.


Оптимизация системы ролей организации проводится путем внесения изменений по двум направлениям:

— перераспределение функций между ролями с целью устранения недопустимого совмещения функций в отдельных ролях;

— перераспределение ролей между сотрудниками организации с целью устранения недопустимого совмещения ролей сотрудниками.


Оптимизация системы ролей проводится на основе результатов оценки системы ролей в организации.

Перераспределение функций между ролями может быть выполнено путем применения необходимых сочетаний следующих операций:

— удаление функции из роли;

— перемещение функции между ролями;

— создание новых ролей для перемещения в них функции.


При перераспределении функций между ролями целесообразно использовать матричные модели, полученные в ходе оценке системы ролей (см. пример на рис. 73).

Обеспечение информационной безопасности бизнеса 4.3.6. Управление системой ролей.

Для перераспределения ролей между сотрудниками организации (переназначение ролей) с целью устранения недопустимого совмещения ролей сотрудниками организации могут быть использованы сочетания аналогичных приемов:

— сотрудник может быть освобожден от исполнения одной из ранее назначенных ему ролей;

— сотруднику может быть назначена некоторая роль в дополнение к уже выполняемым им ролям;

— может потребоваться прием на работу нового сотрудника и назначение ему роли, которая не может быть назначена имеющимся сотрудникам из-за концентрации полномочий.


По результатам перераспределения функций внутри ролей и (или) перераспределения ролей между сотрудниками организации формируются обновленные матричные модели. На их основе может быть актуализирована правовая база организации (ролевые инструкции, регламенты, должностные инструкции, описания видов деятельности) и изменена собственно технология деятельности.

Отметим, что при различных изменениях в организации, таких как изменение состава видов деятельности или увольнение/прием на работу сотрудников, система ролей должна переоцениваться с точки зрения концентрации полномочий, а по результатам оценки должны приниматься меры по оптимизации системы ролей.

Отметим, что возможными препятствиями для деятельности по управлению системой ролями могут стать:

— невозможность собрать ту или иную информацию, необходимую для управления системой ролей (в частности, невозможность сформировать достаточно детальное описание видов деятельности, невозможность сформировать достаточно детальное описание распределения полномочий, невозможность сформировать суждения относительно опасности различных сочетаний полномочий);

— противоречие между предложениями информационной безопасности относительно необходимости перераспределения ролей и представлениями бизнеса относительно эффективной организации труда;

— инерционность организации при осуществлении оптимизации системы ролей, включая следующие:

— сопротивление персонала (в качестве мотивов вероятны борьба за сохранение концентрации полномочий, борьба за сохранение бесконтрольности, а также сопротивление изменениям как потенциальной опасности);

— необходимость модернизации технологической среды, например используемых прикладных программных средств;

— негативное влияние изменений на эффективность деятельности организации, поскольку отдельные функции перейдут к новому, возможно, недостаточно опытному в этой сфере исполнителю, в связи с чем качество их выполнения может пострадать. Новому исполнителю потребуется время на то, чтобы установить контакты, необходимые для выполнения функций.


Управление системой ролей наиболее целесообразно применять в основном в тех видах деятельности организации, где рабочий процесс является неизменным в течение достаточно продолжительного времени, что позволяет однократно уделить время грамотному выделению и распределению ролей и пользоваться его результатами продолжительное время.