Читаем Обеспечение информационной безопасности бизнеса полностью

— функции, связанные с эксплуатацией программных средств, — Э.

Недопустимым для совмещения функции могут быть обнаружены поиском в столбцах матрицы (выделено пунктирным контуром на рис. 72).

Выявление недопустимого совмещения ролей при назначении одному сотруднику выполняется аналогичным образом. В ходе деятельности по оценке ролей организации в качестве рабочих материалов формируются две матричные модели (модель распределения функций между ролями и модель распределения ролей между сотрудниками), а также следующие перечни:

— перечень ролей, в которых выявлено недопустимое совмещение функций;

— перечень сотрудников организации, которым назначены недопустимые для совмещения роли.

Оптимизация системы ролей организации проводится путем внесения изменений по двум направлениям:

— перераспределение функций между ролями с целью устранения недопустимого совмещения функций в отдельных ролях;

— перераспределение ролей между сотрудниками организации с целью устранения недопустимого совмещения ролей сотрудниками.

Оптимизация системы ролей проводится на основе результатов оценки системы ролей в организации.

Перераспределение функций между ролями может быть выполнено путем применения необходимых сочетаний следующих операций:

— удаление функции из роли;

— перемещение функции между ролями;

— создание новых ролей для перемещения в них функции.

При перераспределении функций между ролями целесообразно использовать матричные модели, полученные в ходе оценке системы ролей (см. пример на рис. 73).

Для перераспределения ролей между сотрудниками организации (переназначение ролей) с целью устранения недопустимого совмещения ролей сотрудниками организации могут быть использованы сочетания аналогичных приемов:

— сотрудник может быть освобожден от исполнения одной из ранее назначенных ему ролей;

— сотруднику может быть назначена некоторая роль в дополнение к уже выполняемым им ролям;

— может потребоваться прием на работу нового сотрудника и назначение ему роли, которая не может быть назначена имеющимся сотрудникам из-за концентрации полномочий.

По результатам перераспределения функций внутри ролей и (или) перераспределения ролей между сотрудниками организации формируются обновленные матричные модели. На их основе может быть актуализирована правовая база организации (ролевые инструкции, регламенты, должностные инструкции, описания видов деятельности) и изменена собственно технология деятельности.

Отметим, что при различных изменениях в организации, таких как изменение состава видов деятельности или увольнение/прием на работу сотрудников, система ролей должна переоцениваться с точки зрения концентрации полномочий, а по результатам оценки должны приниматься меры по оптимизации системы ролей.

Отметим, что возможными препятствиями для деятельности по управлению системой ролями могут стать:

— невозможность собрать ту или иную информацию, необходимую для управления системой ролей (в частности, невозможность сформировать достаточно детальное описание видов деятельности, невозможность сформировать достаточно детальное описание распределения полномочий, невозможность сформировать суждения относительно опасности различных сочетаний полномочий);

— противоречие между предложениями информационной безопасности относительно необходимости перераспределения ролей и представлениями бизнеса относительно эффективной организации труда;

— инерционность организации при осуществлении оптимизации системы ролей, включая следующие:

— сопротивление персонала (в качестве мотивов вероятны борьба за сохранение концентрации полномочий, борьба за сохранение бесконтрольности, а также сопротивление изменениям как потенциальной опасности);

— необходимость модернизации технологической среды, например используемых прикладных программных средств;

— негативное влияние изменений на эффективность деятельности организации, поскольку отдельные функции перейдут к новому, возможно, недостаточно опытному в этой сфере исполнителю, в связи с чем качество их выполнения может пострадать. Новому исполнителю потребуется время на то, чтобы установить контакты, необходимые для выполнения функций.

Управление системой ролей наиболее целесообразно применять в основном в тех видах деятельности организации, где рабочий процесс является неизменным в течение достаточно продолжительного времени, что позволяет однократно уделить время грамотному выделению и распределению ролей и пользоваться его результатами продолжительное время.