Обеспечение информационной безопасности бизнеса
Шрифт:
— всегда существует неопределенность относительно того, какие действия потребуются от сотрудника для выполнения его задачи, и относительно того, сколько в точности ресурсов будет необходимо для выполнения задачи;
— точная регламентация всех полномочий и их применения, а тем более исполнение регламентов весьма трудоемки для большинства организации;
— наиболее значительными полномочиями обладает менеджмент организации, который по ряду причин, в том числе объективных, не склонен ограничивать собственные полномочия.
Как следует из приведенного выше определения угроз ИБ от персонала, полномочия сотрудника в значительной мере определяют исходящие от него риски ИБ для организации. В примитивной форме эту зависимость можно описать так: чем больше объем полномочий, предоставленных сотруднику, тем больше исходящий от него риск ИБ.
В простейшем случае опасность совокупности полномочий, назначенных сотруднику, может быть охарактеризована объемом потенциальных негативных последствий для организации от возможного использования этих полномочий против интересов организации. В более сложных случаях необходимо учитывать, что нападения инсайдеров различных профессий (наделенных различными типами полномочий) существенно отличаются друг от друга, в том числе по характеру и объему негативных последствий для организации [55].
Задача сравнения опасности различных полномочий (например, бухгалтера, системного администратора и начальника производственного участка), по-видимому, не может быть решена иначе, как путем обобщения мнений компетентных лиц, экспертов. Каждая организация вправе выбрать способ сравнения «под себя», заложив в него собственный опыт и представления об угрозах ИБ от персонала.
Следует отметить, что распределение полномочий между сотрудниками обычно неравномерно (в смысле опасности) в силу различных причин — характера решаемых сотрудниками задач, их навыков, возможной оперативной необходимости или даже в результате случайного стечения обстоятельств. Некоторые сотрудники получают на время или постоянно вместе с обязанностями значительный объем полномочий, существенно превосходящий (по опасности) полномочия других сотрудников организации. Такую ситуацию — наличие в организации сотрудника, нецелевое использование полномочий которого может вызвать неприемлемые для организации негативные последствия, — будем называть концентрацией полномочий. Понятно, что для организации желательно, чтобы концентрация полномочий была исключена или по крайней мере количество «опасных» в этом смысле сотрудников было минимальным. В случаях, когда исключить концентрацию полномочий невозможно, целесообразно воздействие организации на другие факторы риска из числа перечисленных в подразделе 4.2.3, например, на факторы, связанные с контролируемостью соответствующих полномочий, или на факторы, связанные с мотивационной сферой соответствующих сотрудников.
Очевидный способ уменьшения связанного с концентрацией полномочий риска ИБ состоит в целенаправленном контроле над распределением полномочий в организации. Будем называть деятельность, реализующую такой контроль с целью предотвращения угроз ИБ от персонала, управлением системой ролей.
Можно выделить следующие способы, обычно используемые для описания распределения полномочий между сотрудниками организации:
— слабо формализованное описание, основанное на устных договоренностях или документальных соглашениях произвольной формы;
— систематизированное описание отношений с помощью организационно-функциональных схем, положений о подразделениях и должностных инструкций;
— описание процессов деятельности организации и соответствующей системы ролей сотрудников.
Перечисленные способы не способны полностью функционально заменить друг друга, и во многих организациях такие способы применяются совместно. Кроме того, все они обычно увязывают распределяемые полномочия с задачами (функциями), для решения которых такие полномочия необходимы.
Слабо формализованное описание распределения полномочий обычно характерно для небольших организаций, деятельность которых требует высокой гибкости и (или) в которых руководитель имеет возможность и считает необходимым непосредственно отдавать распоряжения и контролировать деятельность всех сотрудников.
Организационно-функциональная схема описывает общие контуры структуры организации и связывает структурные элементы организации (подразделения и должности) с различными задачами (или видами деятельности организации). Организационно-функциональная схема обычно используется в качестве справочного материала, высокоуровневого представления, которое позволяет сразу увидеть в общих чертах устройство организации (организационную структуру, распределения между подразделениями задач и полномочий). Обратная сторона такова, что формат организационно-функциональной схемы просто не позволяет охватить многие важные детали. Отметим, например, что при чтении схемы, где на одном горизонтальном уровне показаны несколько субъектов, может сложиться ложное впечатление о сопоставимости их задач и полномочий.
Основными правовыми актами, описывающими систему распределения полномочий, в большинстве организаций являются положения о подразделениях и должностные инструкции. В положении о подразделении организации обычно определяются:
— место подразделения в организационной структуре;
— цели и задачи подразделения;
— полномочия подразделения;
— структура и численность подразделения;
— ответственность подразделения.
В должностной инструкции обычно определяются:
— название должности и соответствующего подразделения;
— перечень функций сотрудника;
— обязанности и полномочия (права);
— принципы взаимоотношения с руководством, коллегами и подчиненными.
Наиболее часто в положениях о подразделениях и должностных инструкциях встречаются следующие недостатки:
— отсутствие четких формулировок, что ведет к пересечению функций различных субъектов в организации (сотрудников и подразделений);
— потеря документом актуальности, соответствия реальным отношениям и деятельности;
— несоответствие функций, полномочий и ответственности;
— неполнота перечня функций;
— ориентация функций и полномочий на текущую деятельность при игнорировании функций, связанных с развитием и совершенствованием;
— слабая формализация «горизонтального» взаимодействия между сотрудниками и подразделениями. Реальная эффективность такого взаимодействия часто зависит от того, сложились или нет личные отношения между руководителями соответствующих подразделений.
Выделение роли, как альтернативного должности способа объединения полномочий и обязанностей сотрудника изначально возникло в связи с потребностью менеджмента в снижении сложности различных задач организационного проектирования. Более конкретно: рассмотрение (при проектировании, исследовании или реинжиниринге) некоторого вида деятельности организации, которое осуществлялось отдельно от других видов деятельности той же организации, требовало отдельного рассмотрения участников этого вида деятельности. Любой сотрудник организации при решении такой задачи был интересен только с точки зрения его участия в конкретной рассматриваемой деятельности. Иначе говоря, была интересна его роль. Если учесть, что почти любой сотрудник участвует в нескольких видах деятельности организации, то понятно, что такой сотрудник выполняет сразу несколько ролей.
Таким образом, роль может быть выделена и необходима только в связи с необходимостью выделения и отдельного рассмотрения определенного вида деятельности в организации. Роль представляет собой более мелкий (по сравнению с должностью) элемент распределения обязанностей и полномочий между сотрудниками.
Правильно реализованное ролевое описание полномочий лишено некоторых недостатков должностной инструкции:
— ролевое описание более гибкое, поскольку в случае изменений требуются меньшие усилия для реорганизации системы обязанностей и полномочий сотрудников;
— система ролей с меньшей вероятностью (чем система должностных инструкций) будет содержать всевозможные пересечения, противоречия и неточности, поскольку она формируется для отдельных видов деятельности, где такие недостатки проще отследить и исключить;
— ролевая система дает больше возможностей точно описать горизонтальные взаимодействия между сотрудниками.
С точки зрения минимизации концентрации полномочий для предотвращения угроз ИБ от персонала ролевое описание полномочий можно считать наиболее подходящим, поскольку оно: