在信息安全管理体系中,职责分离的过程被识别为一种信息安全控制措施。在ISO/IEC 27002:2022 《信息安全、网络安全与隐私保护——信息安全控制》标准条款5.3 中要求:职责分离是一种冲突的职责和冲突责任的领域被分离的控制,其目的是减少欺诈、差错或绕过信息安全措施的风险。
提到职责分离时,人们最先想到的是会计活动中的职责分离。作为一个会计术语时,职责分离是企业各业务部门及业务操作人员之间责任和权限的相互分离机制。其基本要求是,业务活动的核准、记录、经办及财物的保管应当尽可能做到相互独立,分别由专人负责。
在实现信息安全相关角色的职责分离时,企业往往也愿意延续从会计活动中取得的职责分离的成功经验,但继承这种经验并不容易。其一是信息安全相关的活动远比会计活动复杂,会受到企业内外部各种因素的影响。一家企业或许可以生搬硬套另一家企业的会计制度,却几乎不可能不做修改地采用另一家企业的信息安全规定或是信息系统中的安全配置。企业必须充分感知和理解其自身的业务环境,才能摸索出与其自身业务相匹配的职责分离原则。其二是随着越来越多的企业实现了信息化,职责分离从管理上的挑战转化为了一个信息系统中的技术问题。管理人员不懂系统权限,系统管理员不理解制度要求,是每个企业在其信息系统中实现职责分离时都需要克服的难题。只有同时在管理和信息系统中都实现职责分离,企业才能够满足信息安全管理体系对职责分离的要求。
很多认证组织对职责分离的理解还停留在浅层水平。这些企业意识到了需要设立分离的岗位和职责,却没有意识到职责分离的根本目的是分离那些组合授予员工后会产生高风险的权限。
这些认证组织在信息安全管理体系建立之初,做的第一件事就是重新给其下的每一个部门换一个名字,再给部门内指定的人员安上一个管理体系中需要的头衔。如果同时建立了多个管理体系,还可能会出现一个部门有许多叫法,一个人员背着多个头衔的情况。虽然看上去整个企业的组织架构更加“井然有序”了,但实际落在人员身上的职责并没有发生变化,组织内部的管理框架也没有得到提升,反而让认证组织误以为自己满足了要求,忽视了授予员工权限这件事本身所产生的风险。从结果上来说,管理体系的建立不仅没有让企业获得益处,反而让整个管理过程更加复杂和低效了。
在这些认证组织中,职责分离被简化成了“部门分工”或“岗位分工”。如此建立起来的信息安全管理体系通常会在以下方面表现出不足:
对于哪些管理或系统权限不能在同一时刻授予同一个员工,缺少明确的规定;
对于信息系系统中动态化的角色缺少权限控制能力;
缺少识别、预防和阻止其员工进行串通和共谋的管理和系统机制。
审核员在审核活动中也很少关注到这些不足。这些不足持续地留存于信息安全管理体系之中,最终对整个体系的有效性产生影响。正确的理解职责分离并将其实现,是消除这种不足的唯一方法。本文对职责分离和其从管理和信息系统两个角度的实现进行探析,并提出审核中的建议。
职责分离相关的基本概念
(一)职责
职责是职务上应尽的责任。在组织的管理活动中,我们提到职责,通常指的是某一项员工需要完成的工作。
(二)角色
需要完成的工作多种多样,职责也就多种多样。依照工作流程的不同,有些职责相似并关联在一起,有些职责之间却彼此独立;根据完成工作所需能力的不同,有些职责需要的能力接近,有些职责却需要具备特殊的专业能力。依据这些同异,职责得以被再次整理和分类。相似的、关联的、所需能力接近的职责被集中起来形成了一个合集,这个合集就叫做角色。
例如,GB/T 22080-2016/ISO/IEC 27001:2013标准正文条款5.1 领导和承诺中,描述了对最高管理层的领导和承诺的要求。最高管理层是一个角色,该角色就是信息安全管理体系中领导和承诺这两大种类职责的合集。
5.1 领导和承诺
a)确保建立了信息安全策略和信息安全目标,并与组织战略方向一致;
b)确保将信息安全管理体系要求整合到组织过程中;
c)确保信息安全管理体系所需资源可用;
d)沟通有效的信息安全管理及符合信息安全管理体系要求的重要性;
e)确保信息安全管理体系达到预期结果;
f)指导并支持相关人员为信息安全管理体系的有效性做出贡献;
g)促进持续改进;
h)支持其他相关管理角色,以证实他们的领导按角色应用于其责任范围。
静态的、具象化的角色也叫做岗位,关联着固定的业务、具体的工作范围和明确的职责。例如,总经理就是一个与最高管理层对应的岗位。具象化的最高管理层角色就是总经理,抽象化的总经理岗位就是最高管理层。
动态角色与岗位互补,有着抽象化、时限性的特点,总是随着事件的出现开始,随着事件的结束而终止。例如在某个部门的审批流程中,流程开始时,部门经理会被分配审批人的角色,在流程结束后,该角色也随之消失。
(三)权限
权限是实现控制时所需的权力。这种权力可能是参与某一项活动的能力,例如只有运维人员有权力去调整内部网络或系统的配置,也可能是对某一项事务进行决策的能力,例如岗位增减的议案是由人事经理拟定的。
职责分离的意义
在《自由与权力》一书中,阿克顿说:“权力导致腐败,绝对权力绝对地导致腐败”。这一观点在信息安全管理体系中同样适用,分配给员工过多的权限会增加内部威胁分子攻击的风险。怀有恶意的员工可能会窃取客户的个人或重要数据用于营利;心怀不满的员工可能会主动地向竞争对手泄露组织的战略计划或重要数据,或受到收买故意损坏组织的信息资产。
如果所有的员工都忠诚可信,组织就不用再担心来自员工的主动、恶意的攻击,但内部的威胁依然没有消失。安全意识薄弱的员工有时会无意地违反规则,例如不安全地共享文件、不安全地使用无线网络、将信息发布到讨论板和博客、打补丁不当、忽视安全策略、通过电子邮件和即时通讯(IM)泄露公司数据等,给企业带来潜在的威胁。
为了应对这些威胁,组织需要控制授予其员工的权限,尤其是那些组合之后会使员工具有进行欺诈行为能力的组合。授予权限是为了让员工履行职责的必要条件,如果我们不希望员工取得某些权限的组合,就意味着这名员工不可能履行某些职责的组合。反过来,我们也可以利用这种权限和职责间的关系。如果我们能够主动分离某些职责的组合,我们就可以避免必须授予员工我们不希望他们获得的权限,即通过职责分离实现权限分离。
为了能够更好地表述这种分离,我们做出以下定义:
互斥权限——任意两个不相同的权限如果同时授予一个员工,使员工具有足够权力可以独立进行欺诈行为,则将这两个权限称为互斥权限。
冲突职责——对于任意两个互不相同的职责,如果其中一个职责的某一权限与另一个职责的某一权限互斥,则这两个职责称为冲突职责。
互斥角色——对于任意两个互不相同的角色,如果其中一个角色的某一职责与另一个角色的某一职责冲突,则这两个角色称为互斥角色。
职责分离在管理中的实现
在管理中实现职责分离的活动可以归纳总结为以下的步骤:
识别所有职责,这通常需要组织详尽地感知和梳理其业务过程;
识别履行每一个职责所必需授予的权限;
分析、评价不同权限组合的风险,识别不能授予同一员工的权限组合(互斥权限);
依照职责和履行职责所必需的权限的对应关系,识别需要分离的职责(冲突职责);
基于业务过程的需要,将职责组合成角色;
如果角色中包含冲突职责,则将角色分成更多的小角色,确保冲突的职责被分离;
为每一个互斥角色指派一个不同的员工。
角色的分离实现职责的分离,职责的分离实现权限的分离。角色是职责的合集,只要确保一个角色中不包含冲突职责,就可以保证将角色授予员工时,不会授予员工我们不希望他们拥有的权限组合。在这种情况下,员工仍有可能通过获得多个角色来获得分布在不同角色中的冲突职责,所以还需要通过向互斥角色指派不同的人员来对角色进行二次的分离。
管理中职责分离的审核关注点
审核员在审核管理中心的职责分离时,应确保认证组织完成了图1所示的相关活动。其中,图1步骤①~③是对职责和权限的识别,也是认证组织实现职责分离时最困难的部分。审核员在审核中宜着重关注以下方面,来判断认证组织实现相关步骤的情况:
(一)认证组织是否完整识别了所有职责和其所必需的权限
能完整地识别职责和权限是将它们分离的基础。认证组织实现精细化的管理,需要具有详尽感知和梳理其业务过程的能力。这往往不能一蹴而就,需要员工在日常活动中观察和总结,根据其工作实际需要不断修改和完善。
(二)认证组织是否正确地识别了互斥权限
互斥权限的识别水平决定了组织是否能实现职责分离的预期结果。未能识别的互斥权限往往意味着潜在的内部员工风险。可能互斥的权限总体上可以分为5类:授权权限、执行权限、记录权限、资产管理权限和监察审计权限。这5类权限两两互斥,同时授予员工两种以上的权限会显著增加权限滥用的风险,最终偏离信息安全管理体系的预期结果。例如,如果同时授予一名员工监察审计权限和执行权限,监察审计活动的输出结果就丧失了可信性。如果最高管理层采信此时的审计报告并做出决策,这种决策往往对管理不仅无益而且有害。
ISO/IEC 27002:2022 《信息安全、网络安全与隐私保护——信息安全控制》标准中给出了在进行信息安全相关的职责分离时,一些可能需要分离的活动示例:
发起、批准和执行变更;
请求、批准和实施访问的权限;
设计、实施和审查代码;
开发软件和管理生产系统;
使用和管理应用程序;
使用应用程序和管理数据库;
设计、审计和确保信息安全控制。
(三)单一职责中是否包含互斥权限
如果一个职责划分的范围过大,会出现这个职责本身就需要一组互斥权限来满足的情况,从而影响职责分离的预期效果。此时,需要对较大的职责进行拆分,将一个较大的职责细分为若干较小的职责。进行这种拆分时,可以考虑以下的拆分原则:
顺序拆分——将职责按照各过程的顺序拆分;
空间拆分——将职责按照活动场所拆分;
要素拆分——将职责按照成功履行的要素拆分;
权限拆分——将职责按照所需权限的不同拆分。
职责分离在信息系统中的实现
随着信息化发展的不断深入,职责分离被不断地固化入日常的办公系统之中,转化为信息系统中的一个技术问题。
在信息系统中,职责分离是信息系统访问控制的一部分。人员作为用户登入系统,并按照预先分配给他们的权限访问相应的资源。信息系统通过权限的分离,确保没有人员能够在不被发觉的情况下滥用其权力实现欺诈或实施有害的行为。不管信息系统如何实现其访问控制,信息系统中职责分离的核心都是不能将互斥权限授予同一个用户,防止用户获得更多的权力。
在信息系统中实现职责分离与在管理中实现职责分离的思路相近,但一些概念发生了变化。比如,在管理中,权限的分离是通过职责的分离实现的,职责的分离则通过角色的分离实现。但在信息系统中,权限的分离是直接通过角色的分离实现的。又如,在管理中我们使用员工的概念,并为互斥角色分配不同的员工。但在信息系统中,我们使用用户的概念替代了员工,为互斥角色分配不同的用户。为了更好地描述信息系统中的职责分离,我们使用以下的定义:
互斥权限——在信息系统中,任意两个不相同的权限如果同时授予一个用户,使用户具有足够权力可以独立进行欺诈行为,则将这两个权限视为互斥权限;
互斥用户——在信息系统中,拥有足够权限并可能合伙欺诈的两个用户称为互斥用户;
互斥角色——在信息系统中,对于任意两个互不相同的角色,如果其中一个角色的某一权限与另一个角色的某一权限互斥,则这两个角色称为互斥角色。
目前,使用最广泛的访问控制模型依然是基于角色的访问控制(RBAC)模型,如图2。
RBAC模型主要包含4个子模型,分别是RBAC0、RBAC1、RBAC2和RBAC3。这4个子模型合称RBAC96模型族,在1996年由拉维·桑德胡(Ravi Sandhu)教授在乔治梅林大学(George Mason University)任职期间提出。4个模型之间的关系如表1所示。
其中,RBAC2子模型专门用于处理RBAC中的职责分离。在该RBAC模型中,职责分离被划分为静态职责分离和动态职责分离两种。
静态职责分离是在用户和角色的指派阶段加入的分离原则,主要的约束形式有以下几种:
互斥角色——一个用户只能分配一对或一组互斥角色中的其中一个;
基数约束——一个用户可以拥有的角色数量受限;一个角色拥有的用户数量受限;一个角色拥有的权限数目受限;
先决条件角色——想要分配用户某一个角色,用户必须已经被分配了另一个角色。
动态职责分离是在系统运行过程中加入的分离原则,表现为用户可以被分配一对互斥的角色,但运行时只能激活其中一个角色。
信息系统中职责分离的审核关注点
信息系统中职责分离体现为一系列固化在系统中的授权规则。审核员在审核信息系统中的职责分离时,应关注信息系统中职责分离的实现是否与管理中策划的一致。
审核员在审核中宜关注认证组织所使用的信息系统是否满足以下方面的要求,以消除职责分离风险:
管理中识别的互斥权限不能授予同一个信息系统中用户;
管理中识别的互斥权限不能同时授予信息系统中的互斥用户;
管理中识别的互斥权限不能同时授予信息系统中的同一个角色;
信息系统中的任何(一个)用户不能同时拥有管理中识别的互斥角色;
信息系统中的互斥用户不能同时拥有管理中识别的互斥角色;
管理中识别的任何互斥角色在信息系统中均没有继承关系;
信息系统中的任何角色不能多重继承管理中识别的互斥角色;
一个信息系统中的角色如果继承了管理中识别的互斥角色的某一方,则该角色应与另一方也互斥。
职责分离的补充控制
在实践过程中,许多小型企业可能会发现职责的分离很难实现。例如,一家小型企业可能仅有能力聘用一到两位具有专业信息安全技术能力的员工。在这种情况下,为了保障内部系统持续稳定地运行,这家企业是很难避免授权一名员工从头至尾包办某一项运维活动的。
此时,组织可以考虑采用其他的控制措施来减轻潜在的风险和可能招致的损失。比如,企业可以采取“双人原则”作为对职责分离的互补,要求任何有潜在重大影响的行动必须在有两个授权人员同时在场的时候才能够进行。又比如,组织可以要求对超级权限的所有操作和活动进行记录,并审计这些操作和活动是否有异常,以确保员工不会滥用其权限。当然,这要求组织至少要实现审计方面的职责分离。
即便困难,企业仍应尽可能且切实可行地尝试去实践职责分离这一原则,小型企业尤其如此,因为它们比大中型企业更难以承受由此带来的风险。
呼和浩特 两化融合 绿色建材 知识产权 认证 咨询 高新技术 碳中和 iOS 管理体系 商标