COMPUTERWORLD
Specializovan² t²denφk o v²poΦetnφ technice

Serißl
o bezpeΦnosti
a informaΦnφm soukromφ

╚ßst 20 - CW 30/97

Odd∞lenφ povinnostφ, zdvojenß kontrola

Alena H÷nigovß, Vladimφr PraΦke

Motto: P°φle₧itost d∞lß zlod∞je.

Dne 19. kv∞tna 1997 byl Martin Jank∙ krajsk²m soudem v Plzni odsouzen na p∞t a p∙l roku do v∞znice s dozorem. Byl ob₧alovßn z podvodu a soud ho shledal vinn²m v p°φpad∞ neoprßvn∞n²ch manipulacφ v poΦφtaΦovΘm systΘmu sokolovskΘ poboΦky ╚eskΘ spo°itelny (jednalo se o Φßstku ve v²Üi 35 mil. KΦ).

Zßkladnφ podmφnkou pro dosa₧enφ ·ΦinnΘ bezpeΦnosti v organizaci, tj. zajiÜt∞nφ d∙v∞rnosti, integrity a dostupnosti, je existence bezpeΦnostnφ politiky a napl≥ovßnφ zßsad v nφ vyhlßÜen²ch (viz 18. dφl naÜeho serißlu). Mezi nejd∙le₧it∞jÜφ zßsady bezpeΦnostnφ politiky pat°φ uplat≥ovßnφ principu odd∞lenφ povinnostφ -- angl. "Segregation of Duties", "Separation of Duties" nebo "Division of Duties" -- a principu zdvojenΘ kontroly -- angl. "Four Eyes (Two Person) Principle", n∞m. "Fⁿr Augen Prinzip". Smyslem t∞chto princip∙ je omezovat p°φle₧itosti k neautorizovanΘ zm∞n∞ dat nebo zneu₧itφ dat nebo slu₧eb, a to tak, ₧e se odd∞lφ n∞kterΘ sprßvnφ nebo v²konnΘ Φinnosti (Φi oblasti odpov∞dnosti).

Princip odd∞lenφ povinnostφ

Praxe a zkuÜenosti ukazujφ, ₧e je ·ΦelnΘ vyvarovat se toho, aby nßsledujφcφ funkce (p°φpadn∞ oblasti Φinnostφ) vykonßvali stejnφ zam∞stnanci: b∞₧nΘ pou₧itφ systΘmu (b∞₧n² u₧ivatel), vstup dat, zajiÜ¥ovßnφ chodu poΦφtaΦ∙, sprßva sφt∞, administrace systΘmu, v²voj a ·dr₧ba systΘm∙, °φzenφ zm∞n, bezpeΦnostnφ audit a kontrolnφ funkce obecn∞. U mnoha mal²ch firem bude asi obtφ₧nΘ t∞mto po₧adavk∙m stoprocentn∞ vyhov∞t; v takovΘm p°φpad∞ je vÜak nezbytnΘ o to vφce posφlit kontrolnφ mechanismy. U organizacφ, provozujφcφch na sv²ch poΦφtaΦφch nap°. finanΦnφ aplikace, jsou vÜak tato opat°enφ nezbytnß.

Nedodr₧enφ t∞chto zßsad bylo jednou z hlavnφch p°φΦin v²Üe zmφn∞nΘho p°φpadu podvodu v sokolovskΘ poboΦce ╚eskΘ spo°itelny: p°φstup programßtora k provozovanΘ aplikaci a absence pravidelnΘ kontroly.

P°φstup k p°φliÜ mnoha funkcφm systΘmu umo₧≥uje zam∞stnanc∙m provΘst jinak nedovolenΘ Φinnosti a skr²t stopy svΘ aktivity. V ₧ßdnΘm p°φpad∞ nesmφ vykonat vÜechny kroky citlivΘ obchodnφ transakce jeden zam∞stnanec sßm, i kdyby byl °editelem organizace.

D∙le₧it²m aspektem jsou i p°φbuzenskΘ vztahy mezi zam∞stnanci. Obsazenφ kontrolnφ funkce p°φbuzn²m n∞koho, kdo mß b²t kontrolovßn, p°edstavuje znaΦnΘ riziko. Principißln∞ nenφ mo₧nΘ zabrßnit tomu, aby se dva lidΘ dohodli na podvodu; existence p°φbuzensk²ch vztah∙ tam, kde m∙₧e dojφt k jejich zneu₧itφ, riziko podvodu v²razn∞ zvyÜuje. ZvlßÜ¥ rizikovΘ to m∙₧e b²t v prost°edφ poΦφtaΦ∙, jak ukßzal p°φpad poΦφtaΦovΘho podvodu v KomerΦnφ bance.

Ka₧d² zam∞stnanec by m∞l p°esn∞ znßt svΘ povinnosti, odpov∞dnosti a pravomoci -- prost°ednictvφm urΦitΘ firemnφ politiky, jednotliv²ch popis∙ prßce, nßpln∞ pracovnφ Φinnosti apod. Pro organizaci nenφ snadnΘ nßsledn∞ obvinit zam∞stnance z Φinnostφ, kter²ch se m∞l zdr₧et nebo vyvarovat, jestli₧e nejsou v prvnφ °ad∞ jasn∞ definovßny jeho povinnosti. V takovΘm p°φpad∞ lze jen t∞₧ko prosazovat bezpeΦnostnφ opat°enφ typu odd∞lenφ povinnostφ, principu Φty° oΦφ (dvou osob), rotaci funkcφ, politiku klφΦov²ch zam∞stnanc∙.

Programßtor by zßsadn∞ nem∞l mφt p°φstup k provoznφmu poΦφtaΦovΘmu systΘmu, k produkΦnφm dat∙m, k provozovan²m aplikacφm. Operßto°i by nem∞li souΦasn∞ p∙sobit jako programßto°i. BezpeΦnostnφ vlastnosti systΘmu by m∞l implementovat a nastavovat n∞kdo jin² ne₧ operßtor nebo programßtor. V prost°edφ tradiΦnφch sßlov²ch poΦφtaΦ∙ bylo implementovßnφ t∞chto zßsad samoz°ejmostφ; osobnφ poΦφtaΦe naopak p°edpoklßdajφ vykonßvßnφ °ady funkcφ jedinou osobou.

V mnoha systΘmech, typicky nap°. u OS Unix, mß systΘmov² administrßtor veÜkerou kontrolu nad Φinnostφ systΘmu a jeho bezpeΦnostnφmi funkcemi. U skuteΦn∞ bezpeΦn²ch systΘm∙ nenφ takovß koncentrace pravomocφ p°φpustnß. Je celkem jasnΘ, ₧e b∞₧nΘmu u₧ivateli nem∙₧e b²t povoleno vykonßvat funkce souvisejφcφ s bezpeΦnostφ, s v²jimkou n∞kter²ch funkcφ ponechan²ch na uvß₧enφ u₧ivatele, jako nap°. ochrana u₧ivatelem vytvß°en²ch soubor∙ (nastavenφ p°φstupov²ch prßv). MΘn∞ jasnΘ u₧ je, ₧e bezpeΦnostnφ funkce by nem∞ly b²t automaticky vykonßvßny systΘmov²m administrßtorem, kter² je odpov∞dn² rovn∞₧ za jinΘ d∙le₧itΘ Φinnosti systΘmu.

Vysoce bezpeΦnΘ systΘmy obvykle vy₧adujφ a₧ t°i rozdφlnΘ, navzßjem se dopl≥ujφcφ administrativnφ funkce (nebo role): systΘmov² administrßtor, bezpeΦnostnφ administrßtor a operßtor. Funkce systΘmovΘho administrßtora typicky zahrnujφ instalovßnφ systΘmovΘho SW, spouÜt∞nφ a vypφnßnφ systΘmu, zavßd∞nφ a ruÜenφ u₧ivatel∙, zßlohovßnφ a obnovu dat, manipulaci s disky, pßskami a tiskßrnami. Rutinnφ povinnosti systΘmovΘho administrßtora jako manipulaci s mΘdii, zßlohovßnφ, °φzenφ tisku apod. v∞tÜinou vykonßvß operßtor. Funkce bezpeΦnostnφho administrßtora typicky zahrnujφ nastavenφ bezpeΦnostnφch oprßvn∞nφ, poΦßteΦnφho hesla a dalÜφch bezpeΦnostnφch charakteristik nov²ch u₧ivatel∙, zm∞ny bezpeΦnostnφch profil∙ existujφcφch u₧ivatel∙, nastavenφ nebo zm∞nu bezpeΦnostnφho nßv∞Ütφ souboru, nastavenφ bezpeΦnostnφch charakteristik za°φzenφ a komunikaΦnφch kanßl∙, vyhodnocovßnφ auditnφch zßznam∙.

Tyto funkce nemusφ nutn∞ vykonßvat r∙znφ pracovnφci, ale musejφ b²t jasn∞ odd∞leny jejich jednotlivΘ role. Chce-li nap°. systΘmov² administrßtor vykonat urΦitou bezpeΦnostnφ funkci (spustit auditnφ program), musφ zm∞nit urΦit²m zp∙sobem, kter² je definovßn systΘmem, svou identitu v systΘmu (aby byl schopen spustit auditnφ program). Aktivity administrßtora v obou rolφch systΘm umo₧≥uje monitorovat a zajistit tak jednoznaΦnou odpov∞dnost.

Vnit°nφ audit musφ b²t nezßvisl² na kontrolovan²ch subjektech a musφ mφt pravomoce prov∞°ovat systΘmy kontrol a kvalitu Φinnostφ. Konflikt zßjm∙ m∙₧e ovÜem nastat v situacφch, kdy audit ve svΘ v²slednΘ zprßv∞ kritizuje urΦitß °eÜenφ bezpeΦnosti, kterß nap°. implementoval ·tvar pod°φzen² stejnΘmu °editeli.

Princip Φty° oΦφ

Dßvno p°ed zavedenφm poΦφtaΦ∙ jsme si zvykli na to, ₧e kontrolu d∙le₧it²ch doklad∙ v platebnφm styku v₧dy provßdφ druhß osoba a ₧e nap°. Üek na urΦitou Φßstku musφ b²t opat°en dv∞ma podpisy. Smyslem tohoto principu je omezit p°φle₧itosti k naruÜenφ bezpeΦnosti. Odpov∞dnosti a povinnosti, kterΘ by vedly k neomezenΘmu p°φstupu k systΘmu, by nem∞ly b²t vykonßvßny jedinou osobou, stejn∞ jako klφΦovΘ kontrolnφ Φinnosti. Nap°φklad velkΘ zßpadnφ banky v praxi realizujφ opat°enφ, kdy do mφstnostφ s centrßlnφmi poΦφtaΦi nesmφ vstoupit nikdo sßm -- musφ zde b²t v₧dy p°φtomny nejmΘn∞ dv∞ osoby.

Rotace funkcφ

Zam∞stnanci by nem∞li z∙stßvat p°φliÜ dlouho v jednΘ funkci, zvlßÜt∞ je-li spojena s urΦitou odpov∞dnostφ za bezpeΦnost nebo s p°φle₧itostφ k neΦestnΘmu jednßnφ. Rotace m∙₧e takΘ p°isp∞t k odstran∞nφ chyb plynoucφch z urΦitΘho znud∞nφ stejnou pracφ a vytvo°enφ p°φliÜ familißrnφch vztah∙. ╚asov∞ omezuje p°φpadnΘ podvodnΘ Φinnosti. Obdobn² smysl mß povinnost vybrat si ka₧d² rok minimßln∞ dva po sob∞ nßsledujφcφ t²dny dovolenΘ; b∞hem nep°φtomnosti pracovnφka m∙₧e b²t odhalena jeho p°φpadnß podvodnß Φinnost, kterou jinak m∙₧e neustßle zakr²vat.

Politika klφΦov²ch pracovnφk∙ ("Key Man")

Organizace by se m∞la vyhnout situacφm, kdy se n∞kter² z jejφch pracovnφk∙ stane t∞₧ko nahraditeln²m. Je v²hodnΘ identifikovat oblasti Φinnostφ, kde by k tomu mohlo dojφt, a pokusit se najφt vhodnΘ nßhrady za tyto klφΦovΘ pracovnφky. Je-li to nemo₧nΘ, urΦit²m °eÜenφm m∙₧e b²t pojiÜt∞nφ p°φpadn²ch ztrßt zp∙soben²ch nap°. ·mrtφm pracovnφka.

Tato politika se t²kß i skupin klφΦov²ch pracovnφk∙ uvnit° organizace; nap°. celΘ vedenφ firmy by nem∞lo cestovat spoleΦn∞ jednφm letadlem -- v p°φpad∞ havßrie letadla by se firma ocitla nepochybn∞ ve znaΦn²ch nesnßzφch.

Na rozdφl od jin²ch sofistikovan²ch bezpeΦnostnφch mechanism∙ a technik jsou v²Üe uvedenΘ principy Φasto mΘn∞ nßkladnΘ. Zdßnlivß trivißlnost t∞chto princip∙ vÜak m∙₧e vΘst k jejich podcen∞nφ a zanedbßnφ.


Vß₧enφ Φtenß°i,

d∞kujeme vßm za vaÜi p°φze≥ naÜemu serißlu. Podle dosavadnφch v²sledk∙ pr∙zkumu i podle p°φmΘ odezvy se zdß, ₧e vßs serißl zaujal. A to nßs velice t∞Üφ.

Nemßme bohu₧el dostatek sil na to, abychom splnili ka₧dΘ vaÜe p°ßnφ nebo realizovali ka₧d² vßÜ nßvrh. V p°φpad∞ dotaz∙ se sna₧φme vyhov∞t vaÜim pot°ebßm a doufßme, ₧e k vaÜφ spokojenosti. Serißl o bezpeΦnosti a informaΦnφm soukromφ vznikl spφÜe z fandovstvφ a jako urΦitß slu₧ba obecnΘ poΦφtaΦovΘ ve°ejnosti. Chceme, aby se tento obor u nßs vyvφjel na zßklad∞ zdrav²ch ko°en∙ a ne jen prost°ednictvφm "rßdobyodborn²ch" prodejnφch akcφ. Prßci na serißlu sice m∙₧eme v∞novat jen omezenΘ ·silφ a Φas, ale p°esto bychom rßdi serißl "doladili" podle vaÜich pot°eb a p°edstav.

Myslφte, ₧e je serißl psßn p°φliÜ obecn∞ nebo naopak °eÜφ p°φliÜ Φasto problΘmy, se kter²mi se ve vaÜφ praxi nikdy nesetkßte? KterΘ dφly se vßm lφbily a kterΘ ne? KterΘ dφly byste rßdi vid∞li v podrobn∞jÜφm zpracovßnφ do vφce Φßstφ? Mß smysl vydat specißlnφ p°φlohu se seznamem literatury a internetov²ch zdroj∙?

Pokud se vßm bude jen trochu chtφt, zaÜlete mail na <matyas@fi.muni.cz>.

S dφky za autorsk² kolektiv
Vßclav MatyßÜ


| COMPUTERWORLD - serißl o bezpeΦnosti | COMPUTERWORLD | IDG CZ homepage |