2008年(8065)
分类: 服务器与存储
2008-09-29 16:32:10
责任分离(SoD)原则广泛应用于金融会计系统中。各个规模大小的公司都明白角色分离的重要性,如接受分期偿还检查、审批销账、存入现金、核对银行对帐单、审批时间登记卡、保管支票等这些工作都需要由不同的人来担任。
责任分离是人们在处理与钱相关的工作时通常采用的一种机制,这样,欺诈行为至少需要双方或多方相互勾结才有可能。这大大降低了欺诈一类的犯罪行为。信息也应该通过类似的方法来处理。因此,一个组织的这种责任分离的设计很重要,这样,就不会有任何人可以单独地泄露组织的安全控制。
虽然SoD对于IT组织来说还属于一种全新的观点,但是在IT领域,SoD受到了越来越多的关注,萨班斯-奥克斯利法案(Sarbanes-Oxley Act)的内部控制问题有很大一部分都来自或依赖IT。责任分离是很多日常管制授权的基本原则,如萨班斯-奥克斯利法案和格雷姆-里奇-比利雷法法案(Gramm-Leach-Bliley Act)都是依据这种原则的。因此,现在的IT组织必须在所有功能领域中更加重视责任分离机制,特别是在安全领域。
责任分离与安全相关,主要体现在两个方面。第一,它能防止利益冲突、侵权行为、欺诈、滥用私权及错误行为。第二,它能检测到控制故障,包括安全侵犯、信息窃取、安全控制欺诈等。(安全控制措施用来保护信息系统免于外界攻击,从而保护其上的计算机系统、网络及其数据的机密性、完整性和可用性。)
责任分离严格限制了每个单独个体的权力和影响力的大小。它还要确保每个个体之间不存在责任冲突,不负责对其自身或上级汇报。
这里简单地对责任分离作了一项测试。首先,看看在没有任何检测的情况下,是否有人可以改变或毁坏你的财务数据?然后,看看是否有人可以窃取或透露敏感信息。最后,看看是否有人可以对控制设计和执行产生影响,以及是否会对这种控制的有效性的汇报产生影响。如果以上3个问题的答案都是“是”,那么你需要重点考虑一下责任分离。
负责设计和执行信息安全性的人和负责安全性测试、安全性审查或是监视和汇报安全性问题的人不应该是同一个人。因此,每个负责信息安全的人不应该向首席信息官(CIO)汇报。
以下是在信息安全领域实现责任分离5大关键选项,是基于我的经验按照可接受性程度进行划分的。
● 选项1:让每一个负责信息安全的人都向首席安全官(也即CSO,负责处理信息和物理安全的人)汇报,然后让CSO向CIO直接汇报。
● 选项2:让每一个负责信息安全的人向审查委员会主席汇报。
● 选项3:使用第三方来监视安全性,对安全检查执行突然袭击,并且做安全测试,然后,让第三方向董事会或者是审查委员会主席做汇报。
● 选项4:让每一个负责信息安全的人都向董事会做汇报。
● 选项5:让每一个负责信息安全的人向内审人员汇报,只要内审人员不向负责财务的执行者汇报。
责任分离显得越来越重要。由于CSO和首席信息安全官之间的责任不清晰不明确,导致责任的混乱。安全性和所有安全控制的开发、操作和测试的分离很重要。责任必须要按照这种方式分配给每个不同的个体,从而在系统内部建立检查和平衡机制,使非法的访问和欺诈机率降到最低。
记住,与责任分离相关的控制技术需要接受外部审查人员的检查。过去,当外审人员在判断风险高达一定程度时,其会在审查报告中列出SoD故障作为一种重要缺陷。IT安全领域执行这项责任分离技术是迟早的事,既然这样,为什么不现在就开始与外审人员一起讨论责任分离问题呢?尽早地从他们那获得对责任分离的看法和建议,可以节省你很多成本,并且降低政治冲突。