Разделение обязанностей позволяет свести риск небрежного или несанкционированного использования систем к минимуму, поэтому следует уделить особое внимание разделению определенных обязанностей или зон ответственности, чтобы уменьшить вероятность несанкционированной модификации или использования данных и сервисов. В частности, рекомендуется, чтобы выполнение следующих функций не было поручено одним и тем же сотрудникам:
использование производственных систем;
ввод данных;
обеспечение функционирования компьютеров;
сетевое администрирование;
системное администрирование;
разработка и сопровождение систем;
управление процессом внесения изменений;
администрирование средств защиты;
контроль (аудит) средств защиты.

Примечание. Это средство контроля особенно важно для компьютеров, поддерживающих финансовые приложения.

Небольшие организации возможно найдут реализацию данного средства контроля труднодостижимым, однако его следует применять как можно шире.

Разделение программных средств разработки и рабочих программ


Работы, связанные с разработкой и тестированием систем, могут привести к непреднамеренному внесению изменений в программы и данные, совместно используемые в одной и той же вычислительной среде. Поэтому целесообразно провести разделение программных средств разработки и рабочих программ для уменьшения риска случайного внесения изменений или несанкционированного доступа к рабочему программному обеспечению и производственным данным. Предлагаются следующие средства контроля:

а) Программные средства разработки и рабочие программы должны по возможности запускаться на разных процессорах или в разных директориях/сегментах сети.

б) Работы по разработке и тестированию систем необходимо разнести настолько, насколько это возможно.

в) Компиляторы, редакторы и другие системные утилиты не должны храниться вместе с рабочими системами, если в этом нет необходимости.

г) Для уменьшения риска путанницы, следует использовать разные процедуры входа в рабочие и тестируемые системы. Необходимо приучать пользователей к использованию разных паролей для входа в эти системы, а система меню должна выводить на экран соответствующие идентификационные сообщения.

Следует рассмотреть следующие конкретные вопросы:

а) а. необходимость идентификации особо уязвимых или критически важных приложений, вынос которых за пределы организации нежелателен;

б) необходимость получения санкции на использование производственных приложений от их владельцев;

в) последствия для планов обеспечения бесперебойной работы организации;

г) стандарты безопасности, подлежащие определению, и процесс проверки их соблюдения;

д) обязанности и процедуры по уведомлению об инцидентах в системе безопасности и реагированию на них (Процедуры реагирования на события).