Обеспечение информационной безопасности бизнеса
Шрифт:
— дает более детальное описание полномочий, чем другие способы;
— более четко, чем другие способы, отражает соответствие полномочий и ситуаций, в которых разрешено их применение;
— позволяет быстро формировать и оценивать различные сочетания полномочий сотрудников.
Описанная выше задача распределения полномочий с целью минимизации их концентрации наиболее эффективно решается посредством формирования и структуризации системы ролей в организации.
При распределении полномочий на основе системы ролей концентрация полномочий может возникнуть в результате двух ситуаций (см. рис. 68):
— недопустимого (опасного) совмещения функций в одной роли;
— недопустимого (опасного) совмещения функций, которые относятся к разным ролям, но роли назначены одному исполнителю.
Состав функций, совмещение которых следует считать недопустимой концентрацией полномочий, должен быть определен организацией, исходя из собственных потребностей и практики. В качестве примера требований к формированию ролей и их назначению можно привести положения стандарта Банка России СТО БР ИББС-1.0-2008 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» [26] и положения Банка России № 242-П «Об организации внутреннего контроля в кредитных организациях и банковских группах» [56]. Например, в соответствии с пунктом 7.2.3 стандарта Банка России СТО БР ИББС-1.0-2008 с целью снижения рисков нарушения ИБ не рекомендуется совмещение следующих ролей одним сотрудником:
— разработки и сопровождения системы/ПО;
— разработки и эксплуатации системы/ПО;
— сопровождения и эксплуатации системы/ПО;
— администратора системы и администратора ИБ;
— выполнения операций в системе и контроля их выполнения.
В соответствии с положением Банка России № 242-П не рекомендуется назначение одному и тому же подразделению и (или) служащему функций, связанных с:
— совершением банковских операций и других сделок и осуществлением их регистрации и (или) отражением в учете;
— выдачей санкций на выплату денежных средств и осуществлением (совершением) их фактической выплаты;
— проведением операций по счетам клиентов организации и счетам, отражающим собственную финансово-хозяйственную деятельность организации;
— предоставлением консультационных и информационных услуг клиентам организации и совершением операции с теми же клиентами;
— оценкой достоверности и полноты документов, представляемых при выдаче кредита, и осуществлением мониторинга финансового состояния заемщика;
— совершением действий в любых других областях, где может возникнуть конфликт интересов.
В общем виде деятельность по управлению системой ролей в организации (в целях уменьшения рисков ИБ) состоит в последовательном решении следующих задач (см. рис. 69):
— идентификация системы ролей;
— оценка системы ролей;
— оптимизация системы ролей.
При решении перечисленных задач удобно использовать матричные модели распределения полномочий. Один из возможных форматов матричной модели представлен на рис. 70.
Из рис. 70 видно, что для построения матричной модели должен быть определен состав параметров модели и их значений, а также определен состав параметров отражаемых на пересечении строк и столбцов матричной модели (анализируемые параметры). При этом состав указанных параметров зависит от назначения матричной модели и от состава решаемых задач.
На первом этапе, при идентификации системы ролей, за основу для построения матричной модели целесообразно принимать систему распределения задач и полномочий, описанную действующими в организации должностными инструкциями, положениями о структурных подразделениях и другими документами (регламентами, распоряжениями о предоставлении полномочий и др.). Возможный вид матричной модели показан на рис. 71.
Для формирования такой матричной модели необходимо наличие хотя бы простой модели деятельности организации, в которой выделены собственно виды деятельности организации, например в виде процессов (идеи процессного представления деятельности кратко рассмотрены в главе 2), и выделены функции — структурные элементы видов деятельности (для процессного формата описания деятельности — процедуры).
Необходимые для формирования матричной модели элементы организационно-штатной структуры и связи между ними могут быть восстановлены по нормативным и организационно-распорядительным документам организации. Целесообразно также проведение опроса некоторых сотрудников организации с целью проверки актуальности восстановленных данных и их дополнения не отраженными документально отношениями.
Следующий шаг идентификации системы ролей состоит в отражении в матричной модели участия сотрудников в выполнении функций. Если сотрудник организации участвует в выполнении некоторой функции, то в соответствующей ячейке матрицы делается отметка, например «х». Состав допустимых отметок должен быть установлен, например, так:
— В — выполняет;
— К — контролирует;
— О — отвечает;
— И — информируется о результатах;
— С — согласовывает решения и (или) консультирует.
На основании заполненной матрицы осуществляется выделение ролей в соответствии с некоторыми заранее установленными правилами, например:
— роли идентифицируются отдельно для каждого вида деятельности, т. е. не должно быть ролей, входящих одновременно в более чем один вид деятельности;
— если за разными сотрудниками закреплена одна и та же группа функций в рамках одного вида деятельности, то такая группа функций идентифицируется как роль;
— если за одним или несколькими сотрудниками организации закреплена группа функций, отличающаяся от функций других сотрудников в рамках того же вида деятельности, то указанная группа функций идентифицируется как роль.
В результате описанной деятельности будет сформирован перечень ролей, а содержание ролей (обязанности и полномочия) может быть описано в терминах соответствующих видов деятельности организации.
Полученный результат не только позволит перейти к следующему этапу — оценке системы ролей с точки зрения ИБ, но и даст возможность руководству организации по-новому взглянуть на существующее в организации и закрепленное в ее нормативной базе распределение обязанностей и полномочий.
Оценка ролей в организации фактически заключается в выявлении ситуаций концентрации полномочий двух типов:
— недопустимого (опасного) совмещения функций в одной роли;
— недопустимого (опасного) совмещения функций, которые относятся к разным ролям, но роли назначены одному исполнителю.
Эти две задачи решаются сходным способом. Поэтому деятельность по оценке ролей покажем на примере решения первой задачи.
Для осуществления оценки системы ролей с целью выявления в них недопустимого совмещения функций используется матричная модель распределения функций между ролями, пример которой приведен на рис. 72.