Systémoví správci, jak víte, nosí mnoho různých klobouků – což znamená, že správci systému vykonávají mnoho různých prací a obvykle mají ve všech nejvyšší moc. Všemocný uživatelský účet root a jeho vysoce chráněné heslo jsou dobrými příklady této maximální síly. Pro ty z vás, kteří vykonávají práci, která spadá pod určité předpisy, jako jsou ty v rámci projektu ministerstva obrany (DoD), možná budete muset dodržovat pokyny Národního institutu pro standardy a technologie (NIST) 800-171, které zahrnují oddělení povinností (Kontrola 3.1.4).
NIST 800-171 Control 3.1.4:
Oddělte povinnosti jednotlivců, abyste snížili riziko zlovolné činnosti bez tajných dohod.
Oddělení povinností řeší potenciál zneužití autorizovaných výsad a pomáhá snižovat riziko zlovolné činnosti bez tajných dohod. Oddělení povinností zahrnuje rozdělení funkcí mise a funkcí systémové podpory mezi různé jednotlivce nebo role; provádění funkcí systémové podpory s různými jednotlivci (např. správa konfigurace, zajištění a testování kvality, správa systému, programování a zabezpečení sítě); a zajištění, aby bezpečnostní pracovníci spravující funkce řízení přístupu nespravovali také funkce auditu. Protože oddělení porušení povinností může zahrnovat systémy a aplikační domény, organizace při vypracovávání zásad oddělení povinností berou v úvahu všechny organizační systémy a systémové komponenty.
Otázka zní:"Jak zvládnete oddělení povinností pod touto kontrolou?" Ve firmách, kde jsem se musel řídit, jsme procesy řízení změn nastavili tak, že jeden člověk o změnu „požádal“, druhý změnu schválil (většinou usnášeníschopnou) a další změnu implementoval. To je skvělé pro větší společnost, kde můžete nechat jednu osobu z každé skupiny předložit všechny změny, což jsme měli my, ale u menších společností může tento požadavek zatížit zaměstnance. Může také uložit odpovědnost na někoho jako schvalovatele, který nemá ponětí, jaký může mít dopad nebo potenciální dopad určitých změn. Jistě, existuje zaškrtávací políčko pro úroveň závažnosti, ale někteří schvalovatelé nemají dostatek znalostí „v zákopech“, aby mohli klást správné otázky nebo odmítnout změnu, která nebyla řádně prověřena v testovacím nebo vývojovém prostředí.
[ Chcete si vyzkoušet své schopnosti správce systému? Proveďte hodnocení dovedností ještě dnes. ]
Způsob, jakým dokumentujete a řešíte oddělení povinností, může mít vážné dopady na vaše pokračující zapojení do vládních zakázek. Jak to řešíte pro vaši organizaci?