Разделение обязанностей (SoD; также известное как разделение обязанностей) - это концепция, когда для выполнения задачи требуется более одного человека. В бизнесе разделение более чем одного человека на одну задачу является внутренним контролем, предназначенным для предотвращения мошенничества и ошибки. Эту концепцию можно также назвать разделением обязанностей или, в политической сфере, разделением властей. В демократиях отделение законодательства от администрации служит той же цели. Эта концепция рассматривается в технических системах и в информационных технологиях эквивалентно и обычно рассматривается как избыточность.
Разделение обязанностей является ключевым понятие внутреннего контроля. Повышенная защита от мошенничества и ошибок должна быть сбалансирована с увеличением требуемых затрат / усилий.
По сути, SoD обеспечивает соответствующий уровень сдержек и противовесов в отношении деятельности отдельных лиц. Р. А. Бота и Дж. Х. П. Элофф в IBM Systems Journal описывают SoD следующим образом.
Разделение обязанностей как принцип безопасности имеет своей основной целью предотвращение мошенничества и ошибок. Эта цель достигается путем распространения задач и связанных с ними привилегий для конкретного бизнес-процесса среди множества пользователей. Этот принцип демонстрируется на традиционном примере разделения обязанностей, обнаруженном в требовании наличия двух подписей на чеке.
Фактические названия должностей и организационная структура могут сильно различаться от одной организации к другой, в зависимости от размера и характера бизнеса. Соответственно, ранг или иерархия менее важны, чем набор навыков и способности вовлеченных лиц. С помощью концепции SoD критически важные для бизнеса обязанности можно разделить на четыре типа функций: авторизация, хранение, ведение записей и согласование. В идеальной системе никто не должен выполнять более одного типа функций.
В принципе несколько подходов факультативно жизнеспособны как частично или полностью разные парадигмы:
Человек с несколькими функциональными ролями имеет возможность злоупотреблять Эти полномочия. Схема минимизации риска:
Общие категории функций, которые необходимо разделить:
В первую очередь индивидуальное разделение рассматривается как единственный выбор.
Термин SoD уже хорошо известен в системах финансового учета. Компании любого размера понимают, что нельзя совмещать такие роли, как получение чеков (оплата по счету) и утверждение списаний, внесение наличных и сверка банковских выписок, утверждение временных карт и хранение зарплатных чеков и т. Д. SoD довольно нова для большинства информационных систем. Отделы технологий (ИТ), но высокий процент вопросов внутреннего аудита Сарбейнса-Оксли исходит от ИТ.
В информационных системах разделение обязанностей помогает снизить потенциальный ущерб от действий одного человек. ИБ или отдел конечных пользователей должны быть организованы таким образом, чтобы обеспечить адекватное разделение обязанностей. Согласно матрице контроля разделения обязанностей ISACA, некоторые обязанности не следует объединять в одну позицию. Эта матрица не является отраслевым стандартом, а просто общим руководством, предлагающим, какие позиции следует разделять, а какие требуют компенсирующих элементов управления при объединении.
В зависимости от размера компании функции и обозначения могут отличаться. Когда обязанности не могут быть разделены, следует применять компенсирующие меры. Компенсирующий контроль - это внутренний контроль, предназначенный для снижения риска существующей или потенциальной слабости контроля. Если один человек может выполнять и скрывать ошибки и / или нарушения в ходе выполнения своей повседневной деятельности, на него возлагаются несовместимые с SoD обязанности. Существует несколько механизмов контроля, которые могут помочь в обеспечении разделения обязанностей:
Бухгалтеры вложили значительные средства в разделение обязанностей из-за осознанных рисков, накопленных за сотни лет бухгалтерской практики.
Напротив, многие корпорации в Соединенных Штатах обнаружили, что неожиданно высокая доля их проблем с внутренним контролем Сарбейнса-Оксли связана с ИТ. Разделение обязанностей обычно используется в крупных ИТ-организациях, поэтому ни один человек не может ввести мошеннический или вредоносный код или данные без обнаружения. Управление доступом на основе ролей часто используется в ИТ-системах, где требуется SoD. Для строгого контроля программного обеспечения и изменений данных потребуется, чтобы одно и то же лицо или организация выполняли только одну из следующих ролей:
. Это не исчерпывающая презентация жизненного цикла разработки программного обеспечения, а список важнейших функций разработки, применимых к разделению обязанностей.
Для успешной реализации разделения обязанностей в информационных системах необходимо решить ряд проблем: