Разделение обязанностей (SoD)
Что такое Разделение обязанностей (SoD)?
Разделение обязанностей (SoD)Принцип контроля, при котором чувствительная операция распределена между несколькими людьми или системами, и никто не может выполнить её в одиночку.
Разделение обязанностей предотвращает мошенничество, ошибки и злоупотребления: критичные функции должны выполняться минимум двумя независимыми сторонами. Классика: разработчик пишет код, релиз-менеджер выкатывает; инициатор и согласующий платежа; запрос на привилегированный доступ и сотрудник безопасности, выдающий JIT-повышение. SoD требуется SOX, PCI DSS, ISO/IEC 27001 и NIST SP 800-53 (AC-5). Реализация — RBAC/ABAC, согласующие воркфлоу, код-ревью, многосторонняя авторизация, двойной контроль криптоопераций. В небольших командах, где полное разделение нереалистично, применяют компенсирующие меры: логирование, мониторинг, регулярные ревизии.
● Примеры
- 01
Изменение схемы продакшн-БД требует одобрения двух старших инженеров.
- 02
IAM-политики AWS запрещают одной и той же идентичности и создавать, и проверять доступ к аудит-логам.
● Частые вопросы
Что такое Разделение обязанностей (SoD)?
Принцип контроля, при котором чувствительная операция распределена между несколькими людьми или системами, и никто не может выполнить её в одиночку. Относится к категории Соответствие и стандарты в кибербезопасности.
Что означает Разделение обязанностей (SoD)?
Принцип контроля, при котором чувствительная операция распределена между несколькими людьми или системами, и никто не может выполнить её в одиночку.
Как работает Разделение обязанностей (SoD)?
Разделение обязанностей предотвращает мошенничество, ошибки и злоупотребления: критичные функции должны выполняться минимум двумя независимыми сторонами. Классика: разработчик пишет код, релиз-менеджер выкатывает; инициатор и согласующий платежа; запрос на привилегированный доступ и сотрудник безопасности, выдающий JIT-повышение. SoD требуется SOX, PCI DSS, ISO/IEC 27001 и NIST SP 800-53 (AC-5). Реализация — RBAC/ABAC, согласующие воркфлоу, код-ревью, многосторонняя авторизация, двойной контроль криптоопераций. В небольших командах, где полное разделение нереалистично, применяют компенсирующие меры: логирование, мониторинг, регулярные ревизии.
Как защититься от Разделение обязанностей (SoD)?
Защита от Разделение обязанностей (SoD) обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Разделение обязанностей (SoD)?
Распространённые альтернативные названия: SoD, Сегрегация обязанностей.
● Связанные термины
- identity-access№ 854
Принцип наименьших привилегий
Принцип безопасности, согласно которому каждому пользователю, процессу или сервису выдаётся только тот минимум прав, который строго необходим для его задач.
- compliance№ 717
Принцип Need-to-Know
Принцип безопасности: доступ к информации получают только те, чьи обязанности этого требуют, даже если у них есть подходящий допуск.
- identity-access№ 946
Ролевая модель доступа (RBAC)
Модель авторизации, в которой права назначаются ролям, а не напрямую пользователям; пользователи получают доступ через назначение в соответствующую роль.
- identity-access№ 861
Управление привилегированным доступом (PAM)
Совокупность практик и инструментов для защиты, контроля, мониторинга и аудита доступа к учётным записям и системам с повышенными правами.
- compliance№ 968
Закон Сарбейнза-Оксли (SOX)
Федеральный закон США 2002 года, налагающий требования к корпоративному управлению, внутреннему контролю и отчётности публичных компаний для защиты инвесторов.
- compliance№ 807
PCI DSS
Международный стандарт информационной безопасности для организаций, хранящих, обрабатывающих или передающих данные платёжных карт, поддерживаемый PCI Security Standards Council.