Разделение обязанностей

Концепция, когда для выполнения задачи требуется более одного человека

Разделение обязанностей (SoD), также известное как сегрегация обязанностей , представляет собой концепцию, согласно которой для выполнения задачи требуется более одного человека. Это административный контроль, используемый организациями для предотвращения мошенничества , саботажа , кражи , неправомерного использования информации и других нарушений безопасности. В политической сфере это известно как разделение властей , как это можно увидеть в демократических странах , где правительство разделено на три независимые ветви: законодательную , исполнительную и судебную .

Общее описание

Разделение обязанностей является ключевой концепцией внутреннего контроля. Повышение защиты от мошенничества и ошибок должно быть сбалансировано с увеличением требуемых затрат/усилий.

По сути, SoD реализует соответствующий уровень сдержек и противовесов в отношении деятельности отдельных лиц. RA Botha и JHP Eloff в IBM Systems Journal описывают SoD следующим образом.

Разделение обязанностей, как принцип безопасности, имеет своей основной целью предотвращение мошенничества и ошибок. Эта цель достигается путем распределения задач и связанных с ними привилегий для определенного бизнес-процесса среди нескольких пользователей. Этот принцип демонстрируется в традиционном примере разделения обязанностей, который можно найти в требовании двух подписей на чеке. ^[1]

Фактические названия должностей и организационная структура могут значительно различаться в разных организациях в зависимости от размера и характера бизнеса. Соответственно, ранг или иерархия менее важны, чем навыки и возможности вовлеченных лиц. С концепцией SoD критически важные для бизнеса обязанности можно разделить на четыре типа функций: авторизация, хранение, ведение записей и сверка. В идеальной системе ни один человек не должен выполнять более одного типа функций.

Принципы

В принципе, несколько подходов могут быть жизнеспособны как частично или полностью различные парадигмы:

последовательное разделение (принцип двух подписей)
индивидуальное разделение ( принцип четырех глаз )
пространственное разделение (раздельное действие в отдельных местах)
Факторное разделение (несколько факторов способствуют завершению)

Вспомогательные узоры

Человек с несколькими функциональными ролями имеет возможность злоупотреблять этими полномочиями. Модель минимизации риска:

Начните с функции, которая необходима, но потенциально подвержена злоупотреблениям.
Разделите функцию на отдельные шаги, каждый из которых необходим для работы функции или для получения полномочий, позволяющих злоупотреблять этой функцией.
Назначьте каждый шаг отдельному человеку или организации.

Общие категории функций, подлежащих разделению:

функция авторизации
функция записи, например, подготовка исходных документов или кода или отчетов о производительности
хранение активов, будь то прямое или косвенное, например, получение чеков по почте или внесение изменений в исходный код или базу данных.
сверка или аудит
разделение одного ключа безопасности на две (более) части между ответственными лицами

В первую очередь рассматривается индивидуальное разделение как единственный выбор.

Применение в общем бизнесе и бухгалтерском учете

Термин SoD уже хорошо известен в системах финансового учета. Компании всех размеров понимают, что не следует совмещать такие роли, как получение чеков (оплата по счету) и утверждение списаний, внесение наличных и сверка банковских выписок, утверждение карточек учета рабочего времени и хранение чеков на выплату заработной платы и т. д. SoD является довольно новым для большинства отделов информационных технологий (ИТ), но большой процент проблем внутреннего аудита по закону Сарбейнса-Оксли исходит от ИТ. ^[2]

В информационных системах разделение обязанностей помогает снизить потенциальный ущерб от действий одного человека. Отдел ИС или конечного пользователя должен быть организован таким образом, чтобы достичь адекватного разделения обязанностей. Согласно матрице контроля разделения обязанностей ISACA ^[3], некоторые обязанности не следует объединять в одну должность. Эта матрица не является отраслевым стандартом, а всего лишь общим руководством, предлагающим, какие должности следует разделить, а какие требуют компенсирующих контролей при объединении.

В зависимости от размера компании функции и назначения могут различаться. Небольшие компании с отсутствием SoD обычно сталкиваются с проблемами в циклах выплат, где могут происходить несанкционированные покупки и платежи. ^[4] Когда обязанности не могут быть разделены, должны быть предусмотрены компенсирующие элементы управления. Компенсирующие элементы управления — это внутренние элементы управления, которые предназначены для снижения риска существующей или потенциальной слабости контроля. Если один человек может совершать и скрывать ошибки и/или нарушения в ходе выполнения своей повседневной деятельности, ему были назначены обязанности, несовместимые с SoD. Существует несколько механизмов управления, которые могут помочь обеспечить разделение обязанностей:

Аудиторские следы позволяют ИТ-менеджерам или аудиторам воссоздать фактический поток транзакций от точки возникновения до его существования в обновленном файле. Хорошие аудиторские следы должны быть включены для предоставления информации о том, кто инициировал транзакцию, времени дня и дате записи, типе записи, какие поля информации она содержала и какие файлы она обновила.
Согласование заявок и независимый процесс проверки в конечном итоге являются обязанностью пользователей, что может быть использовано для повышения уровня уверенности в том, что заявка была успешно запущена.
Отчеты об исключениях обрабатываются на уровне надзора, подкрепленные доказательствами того, что исключения обрабатываются надлежащим образом и своевременно. Обычно требуется подпись лица, подготовившего отчет.
Необходимо вести журналы транзакций системы или приложения, выполняемые вручную или автоматически, в которых регистрируются все обработанные системные команды или транзакции приложений.
Надзорный контроль должен осуществляться путем наблюдения и расследования.
Для компенсации ошибок или преднамеренных сбоев путем соблюдения предписанной процедуры рекомендуются независимые проверки. Такие проверки могут помочь обнаружить ошибки и нарушения.

Применение в информационных системах

Бухгалтерская профессия вложила значительные средства в разделение обязанностей из-за осознанных рисков, накопленных за сотни лет бухгалтерской практики.

Напротив, многие корпорации в Соединенных Штатах обнаружили, что неожиданно высокая доля их проблем внутреннего контроля Сарбейнса-Оксли исходит от ИТ. Разделение обязанностей обычно используется в крупных ИТ-организациях, так что ни один человек не может ввести мошеннический или вредоносный код или данные без обнаружения. Управление доступом на основе ролей часто используется в ИТ-системах, где требуется SoD. В последнее время, по мере увеличения количества ролей в растущей организации, гибридная модель управления доступом с управлением доступом на основе атрибутов используется для устранения ограничений ее ролевого аналога. ^[5]

Строгий контроль за изменениями программного обеспечения и данных потребует, чтобы одно и то же лицо или организация выполняли только одну из следующих ролей:

Определение требования (или запроса на изменение); например, деловое лицо
Разрешение и одобрение; например, совет или менеджер по управлению ИТ
Проектирование и разработка; например, разработчик
Рассмотрение, проверка и одобрение ; например, другим застройщиком или архитектором.
Внедрение в производство; обычно это изменение программного обеспечения или системный администратор .

Это не исчерпывающее описание жизненного цикла разработки программного обеспечения , а лишь список важнейших функций разработки, применимых к разделению обязанностей.

Для успешной реализации разделения обязанностей в информационных системах необходимо решить ряд проблем:

Процесс, используемый для обеспечения того, чтобы права доступа человека в системе соответствовали его роли в организации.
Используемый метод аутентификации , такой как знание пароля, владение объектом (ключом, жетоном) или биометрической характеристикой.
Обход прав в системе может происходить через доступ к администрированию базы данных, доступ к администрированию пользователей, инструменты, которые предоставляют доступ через бэкдор или учетные записи пользователей, установленные поставщиком. Для решения этой конкретной проблемы могут потребоваться специальные элементы управления, такие как просмотр журнала активности.

Ссылки

^ RA Botha; JHP Eloff (2001). «Разделение обязанностей по обеспечению контроля доступа в рабочих средах». IBM Systems Journal . 40 (3): 666– 682. doi :10.1147/sj.403.0666. Архивировано из оригинала 18 декабря 2001 г.
^ Элисон Бер; Кевин Коулман (3 августа 2017 г.). «Разделение обязанностей и ИТ-безопасность». csoonline.com .
^ "Матрица управления разделением обязанностей". ISACA . Архивировано из оригинала 2011-07-03 . Получено 2022-07-17 .
^ Грэмлинг, Одри; Хермансон, Дана; Хермансон, Хизер; Йе, Чжунся (2010-07-01). «Решение проблем с разделением обязанностей в небольших компаниях». Факультетские публикации .
^ Сони, Критика; Кумар, Суреш (2019-02-01). «Сравнение моделей безопасности RBAC и ABAC для частного облака». Международная конференция по машинному обучению, большим данным, облачным и параллельным вычислениям (COMITCon) 2019 года . стр. 584–587 . doi :10.1109/COMITCon.2019.8862220. ISBN 978-1-7281-0211-5. S2CID 204231677.

Внешние ссылки

Эссе Ника Сабо о разделении обязанностей в Wayback Machine (архивировано 6 марта 2016 г.)
«Определение сегрегации/разделения обязанностей», ISACA
«Разделение обязанностей для снижения рисков безопасности», Datamation
«Прозрачность, разделение, разграничение, ротация и контроль обязанностей», ISM3

[1] RA Botha; JHP Eloff (2001). «Разделение обязанностей по обеспечению контроля доступа в рабочих средах». IBM Systems Journal . 40 (3): 666– 682. doi :10.1147/sj.403.0666. Архивировано из оригинала 18 декабря 2001 г.

[2] Элисон Бер; Кевин Коулман (3 августа 2017 г.). «Разделение обязанностей и ИТ-безопасность». csoonline.com .

[3] "Матрица управления разделением обязанностей". ISACA . Архивировано из оригинала 2011-07-03 . Получено 2022-07-17 .

[4] Грэмлинг, Одри; Хермансон, Дана; Хермансон, Хизер; Йе, Чжунся (2010-07-01). «Решение проблем с разделением обязанностей в небольших компаниях». Факультетские публикации .

[5] Сони, Критика; Кумар, Суреш (2019-02-01). «Сравнение моделей безопасности RBAC и ABAC для частного облака». Международная конференция по машинному обучению, большим данным, облачным и параллельным вычислениям (COMITCon) 2019 года . стр. 584–587 . doi :10.1109/COMITCon.2019.8862220. ISBN 978-1-7281-0211-5. S2CID 204231677.