Разделение обязанностей (SoD)
Что такое Разделение обязанностей (SoD)?
Разделение обязанностей (SoD)Принцип контроля, при котором чувствительная операция распределена между несколькими людьми или системами, и никто не может выполнить её в одиночку.
Разделение обязанностей предотвращает мошенничество, ошибки и злоупотребления: критичные функции должны выполняться минимум двумя независимыми сторонами. Классика: разработчик пишет код, релиз-менеджер выкатывает; инициатор и согласующий платежа; запрос на привилегированный доступ и сотрудник безопасности, выдающий JIT-повышение. SoD требуется SOX, PCI DSS, ISO/IEC 27001 и NIST SP 800-53 (AC-5). Реализация — RBAC/ABAC, согласующие воркфлоу, код-ревью, многосторонняя авторизация, двойной контроль криптоопераций. В небольших командах, где полное разделение нереалистично, применяют компенсирующие меры: логирование, мониторинг, регулярные ревизии.
● Примеры
- 01
Изменение схемы продакшн-БД требует одобрения двух старших инженеров.
- 02
IAM-политики AWS запрещают одной и той же идентичности и создавать, и проверять доступ к аудит-логам.
● Частые вопросы
Что такое Разделение обязанностей (SoD)?
Принцип контроля, при котором чувствительная операция распределена между несколькими людьми или системами, и никто не может выполнить её в одиночку. Относится к категории Соответствие и стандарты в кибербезопасности.
Что означает Разделение обязанностей (SoD)?
Принцип контроля, при котором чувствительная операция распределена между несколькими людьми или системами, и никто не может выполнить её в одиночку.
Как защититься от Разделение обязанностей (SoD)?
Защита от Разделение обязанностей (SoD) обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Разделение обязанностей (SoD)?
Распространённые альтернативные названия: SoD, Сегрегация обязанностей.