Точка 5.3 от Annex A на ISO/IEC 27001:2022 поставя изискването организацията да раздели конфликтните задължения и противоречивите области на отговорност по отношение на сигурността на информацията.
Описание
Разделянето на задълженията и областите на отговорност има за цел да раздели противоречивите задължения между различни лица, за да попречи на едно лице да изпълнява потенциално противоречиви задължения самостоятелно. Дейностите включват разбиване на ключови задачи на подзадачи и възлагането им на различни хора. Така се предотвратява възможността едно лице да извърши, прикрие и оправдае неправомерни действия, с което се намалява риска от измами, грешки и заобикаляне на механизмите за контрол. Освен това не позволява на едно лице да отмени приети механизми за контрол.
Ако един служител има всички права, необходими за конкретна задача, тогава съществува висок риск от измама или грешки, тъй като един човек може да направи всичко без никакви проверки и одобрения. Когато нито един служител няма всички права, тогава се намалява риска служителят да причини значителна вреда или загуби за организацията.
Атрибути
Този механизъм за контрол е превантивен, което означава, че той е предназначен да предотврати появата на инцидент, свързан с информационната сигурност. Освен това е насочен към запазването на трите характеристики на информацията – поверителност, цялостност, наличност.
Допълнителна информация
Организацията трябва да определи кои задължения и области на отговорност е необходимо да бъдат разделени. Примери за дейности, които подлежат на разделяне са:
- иницииране, одобряване и изпълнение на промяна;
- искане, одобряване и прилагане на права за достъп;
- проектиране, внедряване и преглед на код;
- разработване на софтуер и администриране на производствени системи;
- използване и администриране на приложения;
- използване на приложения и администриране на бази данни;
- проектиране, одитиране и осигуряване на контрол за сигурност на информацията.
При разделяне на отговорностите се препоръчва да се вземе предвид възможността за тайно споразумение.
Разделянето на отговорностите представлява сериозно предизвикателство за по-малките организации. Когато е трудно разделянето на определени отговорности, стандарт ISO/IEC 27002 препоръчва да се помисли за прилагането на алтернативни механизми за контрол като наблюдение на дейностите, провеждането на одити, надзор на управлението чрез които да се управлява риска.
Стандартът обръща внимание на проблемите при използване на системи за контрол на достъпа базирани на роли. В този случай е важно да се гарантира, че на лицата не се предоставят конфликтни роли. Когато има голям брой роли, организацията трябва да обмисли използването на автоматизирани инструменти за идентифициране на конфликти и улесняване на тяхното отстраняване. Ролите трябва да бъдат внимателно дефинирани и предоставени, за да се сведат до минимум проблемите с достъпа, ако дадена роля бъде премахната или променена.
0 отговори на "Разделяне на задълженията (5.3)"