Разделение обязанностей

Разделение обязанностей (англ. Separation of duties, SoD), также известное как сегрегация обязанностей (англ. segregation of duties), — это концепция, согласно которой выполнение задачи требует участия более чем одного человека. Разделение обязанностей используется как административная мера контроля в организациях для предотвращения мошенничества, саботажа, краж, злоупотребления информацией и других нарушений безопасности. В политике данный принцип известен как разделение властей, например, в демократических странах, где государственная власть делится на три независимые ветви: законодательную, исполнительную и судебную.

Разделение обязанностей является ключевым элементом внутреннего контроля. Усиленная защита от мошенничества и ошибок должна сочетаться с дополнительными затратами и усилиями, необходимыми для её реализации.

По сути, разделение обязанностей создает необходимый уровень взаимного контроля за действиями отдельных лиц. R. A. Бота и J. H. P. Эллофф в журнале IBM Systems Journal описывают этот принцип следующим образом:

Основная задача принципа разделения обязанностей как средства укрепления безопасности — предотвращение мошенничества и ошибок. Она реализуется через распределение задач и связанных с ними привилегий по определённому бизнес-процессу между несколькими пользователями. Классический пример — требование двух подписей на чеке^[1].

Фактические должности и организационная структура могут значительно различаться в зависимости от размера и характера бизнеса. Соответственно, ранг или иерархия менее важны, чем навыки и компетенции вовлечённых лиц. В рамках концепции разделения обязанностей критические бизнес-функции обычно делят на четыре типа: авторизация, хранение, ведение учёта и сверка. В идеальных условиях, ни один сотрудник не должен выполнять более одной из этих функций.

Принципы

В основе разделения обязанностей лежат несколько возможных подходов, которые могут применяться как по отдельности, так и совместно:

последовательное разделение (принцип двух подписей)
индивидуальное разделение (принцип четырёх глаз)
пространственное разделение (выполнение действий в разных локациях)
факторное разделение (несколько факторов способствуют завершению действия)

Вспомогательные паттерны

Сотрудник, выполняющий несколько функциональных ролей, имеет возможность злоупотреблять своими полномочиями. Для снижения риска используют следующий подход:

Выделяется функция, которая необходима, но потенциально может быть использована для злоупотребления.
Функция разбивается на отдельные этапы, каждый из которых необходим для работы или потенциального злоупотребления полномочиями.
Каждый этап назначается отдельному человеку или организации.

Основные категории функций, которые следует разделять:

функция авторизации
функция учёта (например, подготовка первичных документов, кода или производственных отчетов)
хранение или распоряжение активами, прямое или косвенное (например, получение чеков по почте, внедрение изменений в исходный код или базе данных)
функция сверки или аудита
разделение одного ключа безопасности на две (или более) части между ответственными лицами

Прежде всего выбор делается в пользу индивидуального разделения функций.

Термин разделения обязанностей хорошо известен в системах финансового учета. Организации любого масштаба избегают совмещения ролей, таких как получение чеков (оплата по балансу) и одобрение списаний, внесение наличности и сверка банковских выписок, утверждение табелей и хранение платёжных чеков и т. д. В то время как для отделов информационных технологий (ИТ) разделение обязанностей относительно ново, высокий процент проблем внутреннего аудита по закону Сарбейнса—Оксли приходится именно на ИТ^[2].

В информационных системах разделение функций снижает потенциальный ущерб от действий одного человека. Отдел ИС или конечный пользователь должны быть организованы так, чтобы обеспечивать адекватное разделение обязанностей. По данным матрицы контроля SoD организации ISACA^[3], определённые обязанности не должны совмещаться в одной должности. Эта матрица не является отраслевым стандартом, а скорее общей рекомендацией по разделению ролей и мерам компенсационного контроля в случае их объединения.

В зависимости от размера компании функции и роли могут отличаться. Мелкие организации, в которых отсутствует разделение обязанностей, сталкиваются с рисками несанкционированных покупок и выплат^[4]. Если разделение невозможно, внедряются компенсирующие меры контроля. Это внутренние процедуры, направленные на снижение риска, связанного с существующими или потенциальными недостатками контроля. Если один сотрудник может совершать и скрывать ошибки или нарушения в процессе своей повседневной деятельности — значит, ему поручены несовместимые обязанности. Существует ряд механизмов внутреннего контроля, содействующих эффективному разделению функций:

Аудиторский след позволяет ИТ-менеджерам или аудиторам восстанавливать реальный ход операций с момента их возникновения до отражения на обновлённых записях. Корректный аудит должен фиксировать автора операции, время и дату, вид записи, изменённые поля и зафиксированные файлы.
Сверка приложений и процессы независимой проверки возлагаются на пользователей и обеспечивают дополнительную уверенность в корректности работы системы.
Отчёты об исключениях обрабатываются на уровне руководства; их выполнение подтверждается документально. Обычно требуется подпись ответственного за подготовку отчёта.
Необходимо вести ручные или автоматизированные журналы транзакций, фиксирующие все системные или прикладные операции.
Контролирующий обзор должен осуществляться путём наблюдения и опроса.
Для компенсации ошибок или намеренных нарушений предписывается независимая ревизия, что позволяет выявлять нарушения и неточности.

Бухгалтерская профессия уделяет большое внимание разделению обязанностей, исходя из накопленного за столетия опыта управления рисками.

В то же время многие корпорации в США обнаружили, что большой процент проблем внутреннего контроля по закону Сарбейнса—Оксли связан с ИТ-процессами. В больших ИТ-организациях разделение обязанностей применяется с целью не допустить внесения мошеннического или вредоносного кода или данных без последующего выявления. Для обеспечения этого часто реализуют ролевой контроль доступа (RBAC). По мере увеличения количества ролей и масштабирования организации может использоваться гибридная модель с контролем доступа на основе атрибутов (ABAC), которая позволяет устранить недостатки ролевого подхода^[5].

Жёсткий контроль изменений программного обеспечения и данных требует, чтобы один человек или организация выполняли только одну из следующих ролей:

Идентификация требования (или запроса на изменение), например, бизнес-пользователь
Авторизация и утверждение, например, управляющий совет или менеджер
Проектирование и разработка, например, разработчик
Ревью, инспекция и утверждение, например, другой разработчик или архитектор
Внедрение в промышленную эксплуатацию, обычно системный администратор или инженер по сопровождению

Это не полный список этапов жизненного цикла разработки, а перечень ключевых функций, к которым применяется принцип разделения обязанностей.

Для успешного внедрения в информационных системах необходимо учесть ряд аспектов:

Процедура назначения прав доступа должна соответствовать роли пользователя в организации.
Метод аутентификации — знание пароля, обладание объектом (ключ, токен) или биометрический параметр.
Обход прав доступа возможен посредством административного доступа к базе данных, инструментов для обхода контроля или сторонних учётных записей; адресовать данный риск помогают процедуры анализа журналов активности.

↑ R. A. Botha; J. H. P. Eloff (2001). “Separation of Duties for Access Control Enforcement in Workflow Environments”. IBM Systems Journal [англ.]. 40 (3): 666—682. DOI:10.1147/sj.403.0666. Архивировано из оригинала 18 декабря 2001.
↑ Alyson Behr. Separation of Duties and IT Security (англ.). csoonline.com (3 августа 2017). Дата обращения: 21 июня 2024.
↑ Segregation of Duties Control matrix (англ.). ISACA. Дата обращения: 17 июля 2022. Архивировано 3 июля 2011 года.
↑ Gramling, Audrey; Hermanson, Dana; Hermanson, Heather; Ye, Zhongxia (1 июля 2010). “Addressing Problems with the Segregation of Duties in Smaller Companies”. Faculty Publications [англ.].
↑ Soni, Kritika. Comparison of RBAC and ABAC Security Models for Private Cloud // 2019 International Conference on Machine Learning, Big Data, Cloud and Parallel Computing (COMITCon) : [англ.] / Kritika Soni, Suresh Kumar. — 1 февраля 2019. — P. 584–587. — ISBN 978-1-7281-0211-5. — doi:10.1109/COMITCon.2019.8862220.

Эссе Ника Сабо — Separation of Duties (англ.). szabo.best.vwh.net. Дата обращения: 21 июня 2024. Архивировано 6 марта 2016 года.
Определение разделения/сегрегации обязанностей, ISACA
«Разделяйте обязанности для уменьшения рисков безопасности», Datamation
«Прозрачность, разделение, ротация и надзор за функциями и обязанностями», ISM3

[1] R. A. Botha; J. H. P. Eloff (2001). “Separation of Duties for Access Control Enforcement in Workflow Environments”. IBM Systems Journal [англ.]. 40 (3): 666—682. DOI:10.1147/sj.403.0666. Архивировано из оригинала 18 декабря 2001.

[2] Alyson Behr. Separation of Duties and IT Security (англ.). csoonline.com (3 августа 2017). Дата обращения: 21 июня 2024.

[3] Segregation of Duties Control matrix (англ.). ISACA. Дата обращения: 17 июля 2022. Архивировано 3 июля 2011 года.

[4] Gramling, Audrey; Hermanson, Dana; Hermanson, Heather; Ye, Zhongxia (1 июля 2010). “Addressing Problems with the Segregation of Duties in Smaller Companies”. Faculty Publications [англ.].

[5] Soni, Kritika. Comparison of RBAC and ABAC Security Models for Private Cloud // 2019 International Conference on Machine Learning, Big Data, Cloud and Parallel Computing (COMITCon) : [англ.] / Kritika Soni, Suresh Kumar. — 1 февраля 2019. — P. 584–587. — ISBN 978-1-7281-0211-5. — doi:10.1109/COMITCon.2019.8862220.

[1]

[2]

[3]

[4]

[5]

Разделение обязанностей

Общее описание

Принципы

Вспомогательные паттерны

Применение в бизнесе и бухгалтерии

Применение в информационных системах

Примечания

Ссылки

Категории