在信息安全管理體系中,職責(zé)分離的過程被識別為一種信息安全控制措施。在ISO/IEC 27002:2022 《信息安全、網(wǎng)絡(luò)安全與隱私保護(hù)——信息安全控制》標(biāo)準(zhǔn)條款5.3 中要求:職責(zé)分離是一種沖突的職責(zé)和沖突責(zé)任的領(lǐng)域被分離的控制,其目的是減少欺詐、差錯或繞過信息安全措施的風(fēng)險。
提到職責(zé)分離時,人們最先想到的是會計活動中的職責(zé)分離。作為一個會計術(shù)語時,職責(zé)分離是企業(yè)各業(yè)務(wù)部門及業(yè)務(wù)操作人員之間責(zé)任和權(quán)限的相互分離機(jī)制。其基本要求是,業(yè)務(wù)活動的核準(zhǔn)、記錄、經(jīng)辦及財物的保管應(yīng)當(dāng)盡可能做到相互獨立,分別由專人負(fù)責(zé)。
在實現(xiàn)信息安全相關(guān)角色的職責(zé)分離時,企業(yè)往往也愿意延續(xù)從會計活動中取得的職責(zé)分離的成功經(jīng)驗,但繼承這種經(jīng)驗并不容易。其一是信息安全相關(guān)的活動遠(yuǎn)比會計活動復(fù)雜,會受到企業(yè)內(nèi)外部各種因素的影響。一家企業(yè)或許可以生搬硬套另一家企業(yè)的會計制度,卻幾乎不可能不做修改地采用另一家企業(yè)的信息安全規(guī)定或是信息系統(tǒng)中的安全配置。企業(yè)必須充分感知和理解其自身的業(yè)務(wù)環(huán)境,才能摸索出與其自身業(yè)務(wù)相匹配的職責(zé)分離原則。其二是隨著越來越多的企業(yè)實現(xiàn)了信息化,職責(zé)分離從管理上的挑戰(zhàn)轉(zhuǎn)化為了一個信息系統(tǒng)中的技術(shù)問題。管理人員不懂系統(tǒng)權(quán)限,系統(tǒng)管理員不理解制度要求,是每個企業(yè)在其信息系統(tǒng)中實現(xiàn)職責(zé)分離時都需要客服的難題。只有同時在管理和信息系統(tǒng)中都實現(xiàn)職責(zé)分離,企業(yè)才能夠滿足信息安全管理體系對職責(zé)分離的要求。
很多認(rèn)證組織對職責(zé)分離的理解還停留在淺層水平。這些企業(yè)意識到了需要設(shè)立分離的崗位和職責(zé),卻沒有意識到職責(zé)分離的根本目的是分離那些組合授予員工后會產(chǎn)生高風(fēng)險的權(quán)限。
這些認(rèn)證組織在信息安全管理體系建立之初,做的第一件事就是重新給其下的每一個部門換一個名字,再給部門內(nèi)指定的人員安上一個管理體系中需要的頭銜。如果同時建立了多個管理體系,還可能會出現(xiàn)一個部門有許多叫法,一個人員背著多個頭銜的情況。雖然看上去整個企業(yè)的組織架構(gòu)更加“井然有序”了,但實際落在人員身上的職責(zé)并沒有發(fā)生變化,組織內(nèi)部的管理框架也沒有得到提升,反而讓認(rèn)證組織誤以為自己滿足了要求,忽視了授予員工權(quán)限這件事本身所產(chǎn)生的風(fēng)險。從結(jié)果上來說,管理體系的建立不僅沒有讓企業(yè)獲得益處,反而讓整個管理過程更加復(fù)雜和低效了。
在這些認(rèn)證組織中,職責(zé)分離被簡化成了“部門分工”或“崗位分工”。如此建立起來的信息安全管理體系通常會在以下方面表現(xiàn)出不足:
對于哪些管理或系統(tǒng)權(quán)限不能在同一時刻授予同一個員工,缺少明確的規(guī)定;
對于信息系系統(tǒng)中動態(tài)化的角色缺少權(quán)限控制能力;
缺少識別、預(yù)防和阻止其員工進(jìn)行串通和共謀的管理和系統(tǒng)機(jī)制。
審核員在審核活動中也很少關(guān)注到這些不足。這些不足持續(xù)地留存于信息安全管理體系之中,最終對整個體系的有效性產(chǎn)生影響。正確的理解職責(zé)分離并將其實現(xiàn),是消除這種不足的唯一方法。本文對職責(zé)分離和其從管理和信息系統(tǒng)兩個角度的實現(xiàn)進(jìn)行探析,并提出審核中的建議。
職責(zé)分離相關(guān)的基本概念
(一)職責(zé)
職責(zé)是職務(wù)上應(yīng)盡的責(zé)任。在組織的管理活動中,我們提到職責(zé),通常指的是某一項員工需要完成的工作。
(二)角色
需要完成的工作多種多樣,職責(zé)也就多種多樣。依照工作流程的不同,有些職責(zé)相似并關(guān)聯(lián)在一起,有些職責(zé)之間卻彼此獨立;根據(jù)完成工作所需能力的不同,有些職責(zé)需要的能力接近,有些職責(zé)卻需要具備特殊的專業(yè)能力。依據(jù)這些同異,職責(zé)得以被再次整理和分類。相似的、關(guān)聯(lián)的、所需能力接近的職責(zé)被集中起來形成了一個合集,這個合集就叫做角色。
例如,GB/T 22080-2016/ISO/IEC 27001:2013標(biāo)準(zhǔn)正文條款5.1 領(lǐng)導(dǎo)和承諾中,描述了對最高管理層的領(lǐng)導(dǎo)和承諾的要求。最高管理層是一個角色,該角色就是信息安全管理體系中領(lǐng)導(dǎo)和承諾這兩大種類職責(zé)的合集。
5.1 領(lǐng)導(dǎo)和承諾
a)確保建立了信息安全策略和信息安全目標(biāo),并與組織戰(zhàn)略方向一致;
b)確保將信息安全管理體系要求整合到組織過程中;
c)確保信息安全管理體系所需資源可用;
d)溝通有效的信息安全管理及符合信息安全管理體系要求的重要性;
e)確保信息安全管理體系達(dá)到預(yù)期結(jié)果;
f)指導(dǎo)并支持相關(guān)人員為信息安全管理體系的有效性做出貢獻(xiàn);
g)促進(jìn)持續(xù)改進(jìn);
h)支持其他相關(guān)管理角色,以證實他們的領(lǐng)導(dǎo)按角色應(yīng)用于其責(zé)任范圍。
靜態(tài)的、具象化的角色也叫做崗位,關(guān)聯(lián)著固定的業(yè)務(wù)、具體的工作范圍和明確的職責(zé)。例如,總經(jīng)理就是一個與最高管理層對應(yīng)的崗位。具象化的最高管理層角色就是總經(jīng)理,抽象化的總經(jīng)理崗位就是最高管理層。
動態(tài)角色與崗位互補,有著抽象化、時限性的特點,總是隨著事件的出現(xiàn)開始,隨著事件的結(jié)束而終止。例如在某個部門的審批流程中,流程開始時,部門經(jīng)理會被分配審批人的角色,在流程結(jié)束后,該角色也隨之消失。
(三)權(quán)限
權(quán)限是實現(xiàn)控制時所需的權(quán)力。這種權(quán)力可能是參與某一項活動的能力,例如只有運維人員有權(quán)力去調(diào)整內(nèi)部網(wǎng)絡(luò)或系統(tǒng)的配置,也可能是對某一項事務(wù)進(jìn)行決策的能力,例如崗位增減的議案是由人事經(jīng)理擬定的。
職責(zé)分離的意義
在《自由與權(quán)力》一書中,阿克頓說:“權(quán)力導(dǎo)致腐敗,絕對權(quán)力絕對地導(dǎo)致腐敗”。這一觀點在信息安全管理體系中同樣適用,分配給員工過多的權(quán)限會增加內(nèi)部威脅分子攻擊的風(fēng)險。懷有惡意的員工可能會竊取客戶的個人或重要數(shù)據(jù)用于營利;心懷不滿的員工可能會主動地向競爭對手泄露組織的戰(zhàn)略計劃或重要數(shù)據(jù),或受到收買故意損壞組織的信息資產(chǎn)。
如果所有的員工都忠誠可信,組織就不用再擔(dān)心來自員工的主動、惡意的攻擊,但內(nèi)部的威脅依然沒有消失。安全意識薄弱的員工有時會無意地違反規(guī)則,例如不安全地共享文件、不安全地使用無線網(wǎng)絡(luò)、將信息發(fā)布到討論板和博客、打補丁不當(dāng)、忽視安全策略、通過電子郵件和即時通訊(IM)泄露公司數(shù)據(jù)等,給企業(yè)帶來潛在的威脅。
為了應(yīng)對這些威脅,組織需要控制授予其員工的權(quán)限,尤其是那些組合之后會使員工具有進(jìn)行欺詐行為能力的組合。授予權(quán)限是為了讓員工履行職責(zé)的必要條件,如果我們不希望員工取得某些權(quán)限的組合,就意味著這名員工不可能履行某些職責(zé)的組合。反過來,我們也可以利用這種權(quán)限和職責(zé)間的關(guān)系。如果我們能夠主動分離某些職責(zé)的組合,我們就可以避免必須授予員工我們不希望他們獲得的權(quán)限,即通過職責(zé)分離實現(xiàn)權(quán)限分離。
為了能夠更好地表述這種分離,我們做出以下定義:
互斥權(quán)限——任意兩個不相同的權(quán)限如果同時授予一個員工,使員工具有足夠權(quán)力可以獨立進(jìn)行欺詐行為,則將這兩個權(quán)限稱為互斥權(quán)限。
沖突職責(zé)——對于任意兩個互不相同的職責(zé),如果其中一個職責(zé)的某一權(quán)限與另一個職責(zé)的某一權(quán)限互斥,則這兩個職責(zé)稱為沖突職責(zé)。
互斥角色——對于任意兩個互不相同的角色,如果其中一個角色的某一職責(zé)與另一個角色的某一職責(zé)沖突,則這兩個角色稱為互斥角色。
職責(zé)分離在管理中的實現(xiàn)
在管理中實現(xiàn)職責(zé)分離的活動可以歸納總結(jié)為以下的步驟:
識別所有職責(zé),這通常需要組織詳盡地感知和梳理其業(yè)務(wù)過程;
識別履行每一個職責(zé)所必需授予的權(quán)限;
分析、評價不同權(quán)限組合的風(fēng)險,識別不能授予同一員工的權(quán)限組合(互斥權(quán)限);
依照職責(zé)和履行職責(zé)所必需的權(quán)限的對應(yīng)關(guān)系,識別需要分離的職責(zé)(沖突職責(zé));
基于業(yè)務(wù)過程的需要,將職責(zé)組合成角色;
如果角色中包含沖突職責(zé),則將角色分成更多的小角色,確保沖突的職責(zé)被分離;
為每一個互斥角色指派一個不同的員工。
角色的分離實現(xiàn)職責(zé)的分離,職責(zé)的分離實現(xiàn)權(quán)限的分離。角色是職責(zé)的合集,只要確保一個角色中不包含沖突職責(zé),就可以保證將角色授予員工時,不會授予員工我們不希望他們擁有的權(quán)限組合。在這種情況下,員工仍有可能通過獲得多個角色來獲得分布在不同角色中的沖突職責(zé),所以還需要通過向互斥角色指派不同的人員來對角色進(jìn)行二次的分離。
管理中職責(zé)分離的審核關(guān)注點
審核員在審核管理中心的職責(zé)分離時,應(yīng)確保認(rèn)證組織完成了圖1所示的相關(guān)活動。其中,圖1步驟①~③是對職責(zé)和權(quán)限的識別,也是認(rèn)證組織實現(xiàn)職責(zé)分離時最困難的部分。審核員在審核中宜著重關(guān)注以下方面,來判斷認(rèn)證組織實現(xiàn)相關(guān)步驟的情況:
(一)認(rèn)證組織是否完整識別了所有職責(zé)和其所必需的權(quán)限
能完整地識別職責(zé)和權(quán)限是將它們分離的基礎(chǔ)。認(rèn)證組織實現(xiàn)精細(xì)化的管理,需要具有詳盡感知和梳理其業(yè)務(wù)過程的能力。這往往不能一蹴而就,需要員工在日常活動中觀察和總結(jié),根據(jù)其工作實際需要不斷修改和完善。
(二)認(rèn)證組織是否正確地識別了互斥權(quán)限
互斥權(quán)限的識別水平?jīng)Q定了組織是否能實現(xiàn)職責(zé)分離的預(yù)期結(jié)果。未能識別的互斥權(quán)限往往意味著潛在的內(nèi)部員工風(fēng)險。可能互斥的權(quán)限總體上可以分為5類:授權(quán)權(quán)限、執(zhí)行權(quán)限、記錄權(quán)限、資產(chǎn)管理權(quán)限和監(jiān)察審計權(quán)限。這5類權(quán)限兩兩互斥,同時授予員工兩種以上的權(quán)限會顯著增加權(quán)限濫用的風(fēng)險,最終偏離信息安全管理體系的預(yù)期結(jié)果。例如,如果同時授予一名員工監(jiān)察審計權(quán)限和執(zhí)行權(quán)限,監(jiān)察審計活動的輸出結(jié)果就喪失了可信性。如果最高管理層采信此時的審計報告并做出決策,這種決策往往對管理不僅無益而且有害。
ISO/IEC 27002:2022 《信息安全、網(wǎng)絡(luò)安全與隱私保護(hù)——信息安全控制》標(biāo)準(zhǔn)中給出了在進(jìn)行信息安全相關(guān)的職責(zé)分離時,一些可能需要分離的活動示例:
發(fā)起、批準(zhǔn)和執(zhí)行變更;
請求、批準(zhǔn)和實施訪問的權(quán)限;
設(shè)計、實施和審查代碼;
開發(fā)軟件和管理生產(chǎn)系統(tǒng);
使用和管理應(yīng)用程序;
使用應(yīng)用程序和管理數(shù)據(jù)庫;
設(shè)計、審計和確保信息安全控制。
(三)單一職責(zé)中是否包含互斥權(quán)限
如果一個職責(zé)劃分的范圍過大,會出現(xiàn)這個職責(zé)本身就需要一組互斥權(quán)限來滿足的情況,從而影響職責(zé)分離的預(yù)期效果。此時,需要對較大的職責(zé)進(jìn)行拆分,將一個較大的職責(zé)細(xì)分為若干較小的職責(zé)。進(jìn)行這種拆分時,可以考慮以下的拆分原則:
順序拆分——將職責(zé)按照各過程的順序拆分;
空間拆分——將職責(zé)按照活動場所拆分;
要素拆分——將職責(zé)按照成功履行的要素拆分;
權(quán)限拆分——將職責(zé)按照所需權(quán)限的不同拆分。
職責(zé)分離在信息系統(tǒng)中的實現(xiàn)
隨著信息化發(fā)展的不斷深入,職責(zé)分離被不斷地固化入日常的辦公系統(tǒng)之中,轉(zhuǎn)化為信息系統(tǒng)中的一個技術(shù)問題。
在信息系統(tǒng)中,職責(zé)分離是信息系統(tǒng)訪問控制的一部分。人員作為用戶登入系統(tǒng),并按照預(yù)先分配給他們的權(quán)限訪問相應(yīng)的資源。信息系統(tǒng)通過權(quán)限的分離,確保沒有人員能夠在不被發(fā)覺的情況下濫用其權(quán)力實現(xiàn)欺詐或?qū)嵤┯泻Φ男袨椤2还苄畔⑾到y(tǒng)如何實現(xiàn)其訪問控制,信息系統(tǒng)中職責(zé)分離的核心都是不能將互斥權(quán)限授予同一個用戶,防止用戶獲得更多的權(quán)力。
在信息系統(tǒng)中實現(xiàn)職責(zé)分離與在管理中實現(xiàn)職責(zé)分離的思路相近,但一些概念發(fā)生了變化。比如,在管理中,權(quán)限的分離是通過職責(zé)的分離實現(xiàn)的,職責(zé)的分離則通過角色的分離實現(xiàn)。但在信息系統(tǒng)中,權(quán)限的分離是直接通過角色的分離實現(xiàn)的。又如,在管理中我們使用員工的概念,并為互斥角色分配不同的員工。但在信息系統(tǒng)中,我們使用用戶的概念替代了員工,為互斥角色分配不同的用戶。為了更好地描述信息系統(tǒng)中的職責(zé)分離,我們使用以下的定義:
互斥權(quán)限——在信息系統(tǒng)中,任意兩個不相同的權(quán)限如果同時授予一個用戶,使用戶具有足夠權(quán)力可以獨立進(jìn)行欺詐行為,則將這兩個權(quán)限視為互斥權(quán)限;
互斥用戶——在信息系統(tǒng)中,擁有足夠權(quán)限并可能合伙欺詐的兩個用戶稱為互斥用戶;
互斥角色——在信息系統(tǒng)中,對于任意兩個互不相同的角色,如果其中一個角色的某一權(quán)限與另一個角色的某一權(quán)限互斥,則這兩個角色稱為互斥角色。
目前,使用最廣泛的訪問控制模型依然是基于角色的訪問控制(RBAC)模型,如圖2.
RBAC模型主要包含4個子模型,分別是RBAC0、RBAC1、RBAC2和RBAC3.這4個子模型合稱RBAC96模型族,在1996年由拉維·桑德胡(Ravi Sandhu)教授在喬治梅林大學(xué)(George Mason University)任職期間提出。4個模型之間的關(guān)系如表1所示。
其中,RBAC2子模型專門用于處理RBAC中的職責(zé)分離。在該RBAC模型中,職責(zé)分離被劃分為靜態(tài)職責(zé)分離和動態(tài)職責(zé)分離兩種。
靜態(tài)職責(zé)分離是在用戶和角色的指派階段加入的分離原則,主要的約束形式有以下幾種:
互斥角色——一個用戶只能分配一對或一組互斥角色中的其中一個;
基數(shù)約束——一個用戶可以擁有的角色數(shù)量受限;一個角色擁有的用戶數(shù)量受限;一個角色擁有的權(quán)限數(shù)目受限;
先決條件角色——想要分配用戶某一個角色,用戶必須已經(jīng)被分配了另一個角色。
動態(tài)職責(zé)分離是在系統(tǒng)運行過程中加入的分離原則,表現(xiàn)為用戶可以被分配一對互斥的角色,但運行時只能激活其中一個角色。
信息系統(tǒng)中職責(zé)分離的審核關(guān)注點
信息系統(tǒng)中職責(zé)分離體現(xiàn)為一系列固化在系統(tǒng)中的授權(quán)規(guī)則。審核員在審核信息系統(tǒng)中的職責(zé)分離時,應(yīng)關(guān)注信息系統(tǒng)中職責(zé)分離的實現(xiàn)是否與管理中策劃的一致。
審核員在審核中宜關(guān)注認(rèn)證組織所使用的信息系統(tǒng)是否滿足以下方面的要求,以消除職責(zé)分離風(fēng)險:
管理中識別的互斥權(quán)限不能授予同一個信息系統(tǒng)中用戶;
管理中識別的互斥權(quán)限不能同時授予信息系統(tǒng)中的互斥用戶;
管理中識別的互斥權(quán)限不能同時授予信息系統(tǒng)中的同一個角色;
信息系統(tǒng)中的任何(一個)用戶不能同時擁有管理中識別的互斥角色;
信息系統(tǒng)中的互斥用戶不能同時擁有管理中識別的互斥角色;
管理中識別的任何互斥角色在信息系統(tǒng)中均沒有繼承關(guān)系;
信息系統(tǒng)中的任何角色不能多重繼承管理中識別的互斥角色;
一個信息系統(tǒng)中的角色如果繼承了管理中識別的互斥角色的某一方,則該角色應(yīng)與另一方也互斥。
職責(zé)分離的補充控制
在實踐過程中,許多小型企業(yè)可能會發(fā)現(xiàn)職責(zé)的分離很難實現(xiàn)。例如,一家小型企業(yè)可能僅有能力聘用一到兩位具有專業(yè)信息安全技術(shù)能力的員工。在這種情況下,為了保障內(nèi)部系統(tǒng)持續(xù)穩(wěn)定地運行,這家企業(yè)是很難避免授權(quán)一名員工從頭至尾包辦某一項運維活動的。
此時,組織可以考慮采用其他的控制措施來減輕潛在的風(fēng)險和可能招致的損失。比如,企業(yè)可以采取“雙人原則”作為對職責(zé)分離的互補,要求任何有潛在重大影響的行動必須在有兩個授權(quán)人員同時在場的時候才能夠進(jìn)行。又比如,組織可以要求對超級權(quán)限的所有操作和活動進(jìn)行記錄,并審計這些操作和活動是否有異常,以確保員工不會濫用其權(quán)限。當(dāng)然,這要求組織至少要實現(xiàn)審計方面的職責(zé)分離。
即便困難,企業(yè)仍應(yīng)盡可能且切實可行地嘗試去實踐職責(zé)分離這一原則,小型企業(yè)尤其如此,因為它們比大中型企業(yè)更難以承受由此帶來的風(fēng)險。
中企檢測認(rèn)證網(wǎng)提供iso體系認(rèn)證機(jī)構(gòu)查詢,檢驗檢測、認(rèn)證認(rèn)可、資質(zhì)資格、計量校準(zhǔn)、知識產(chǎn)權(quán)貫標(biāo)一站式行業(yè)企業(yè)服務(wù)平臺。中企檢測認(rèn)證網(wǎng)為檢測行業(yè)相關(guān)檢驗、檢測、認(rèn)證、計量、校準(zhǔn)機(jī)構(gòu),儀器設(shè)備、耗材、配件、試劑、標(biāo)準(zhǔn)品供應(yīng)商,法規(guī)咨詢、標(biāo)準(zhǔn)服務(wù)、實驗室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個問題就給大家解答到這里了,如還需要了解更多專業(yè)性問題可以撥打中企檢測認(rèn)證網(wǎng)在線客服13550333441。為您提供全面檢測、認(rèn)證、商標(biāo)、專利、知識產(chǎn)權(quán)、版權(quán)法律法規(guī)知識資訊,包括商標(biāo)注冊、食品檢測、第三方檢測機(jī)構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測、環(huán)境檢測、管理體系認(rèn)證、服務(wù)體系認(rèn)證、產(chǎn)品認(rèn)證、版權(quán)登記、專利申請、知識產(chǎn)權(quán)、檢測法、認(rèn)證標(biāo)準(zhǔn)等信息,中企檢測認(rèn)證網(wǎng)為檢測認(rèn)證商標(biāo)專利從業(yè)者提供多種檢測、認(rèn)證、知識產(chǎn)權(quán)、版權(quán)、商標(biāo)、專利的轉(zhuǎn)讓代理查詢法律法規(guī),咨詢輔導(dǎo)等知識。
本文內(nèi)容整合網(wǎng)站:百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認(rèn)證認(rèn)可監(jiān)督管理委員會、質(zhì)量認(rèn)證中心
免責(zé)聲明:本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理,文章版權(quán)歸原作者所有。向原作者致敬!發(fā)布旨在積善利他,如涉及作品內(nèi)容、版權(quán)和其它問題,請跟我們聯(lián)系刪除并致歉!
