ご存知のように、システム管理者はさまざまな帽子をかぶっています。つまり、システム管理者はさまざまな仕事をしており、通常、それらすべてに究極の力を持っています。強力なrootユーザーアカウントとその高度に保護されたパスワードは、その究極の力の良い例です。国防総省(DoD)プロジェクトなど、特定の規制に該当する作業を行う場合は、米国国立標準技術研究所(NIST)800-171のガイドラインに準拠する必要があります。これには分離が含まれます。国防総省(コントロール3.1.4)。
NIST 800-171コントロール3.1.4:
共謀することなく悪意のある活動のリスクを減らすために、個人の義務を分離します。
職務の分離は、許可された特権の乱用の可能性に対処し、共謀することなく悪意のある活動のリスクを減らすのに役立ちます。職務の分離には、ミッション機能とシステムサポート機能を異なる個人または役割に分割することが含まれます。さまざまな個人とのシステムサポート機能の実施(構成管理、品質保証とテスト、システム管理、プログラミング、ネットワークセキュリティなど)。また、アクセス制御機能を管理するセキュリティ担当者が監査機能も管理しないようにします。職務の分離はシステムとアプリケーションドメインにまたがる可能性があるため、組織は職務の分離に関するポリシーを作成する際に、組織のシステムとシステムコンポーネント全体を考慮します。
問題は、「この管理下での職務の分離をどのように処理するか」です。私が従わなければならなかった企業では、ある人が変更を「申請」し、別の人が変更を承認し(通常はクォーラムによって)、別の人が変更を実装するという変更管理プロセスを設定しました。これは、グループごとに1人ですべての変更を送信できる大企業にとっては素晴らしいことですが、中小企業にとっては、この要件によってスタッフにストレスがかかる可能性があります。また、特定の変更の影響または潜在的な影響が何であるかを知らない承認者としての誰かに責任を負わせる可能性があります。確かに、重大度レベルのチェックボックスはありますが、一部の承認者は、適切な質問をしたり、テストまたは開発環境で適切に検証されていない変更を拒否したりするのに十分な「溝の中」の知識を持っていません。
[システム管理者のスキルをテストしたいですか?今日、スキル評価を受けてください。 ]
職務の分離を文書化して処理する方法は、政府との契約への継続的な関与に深刻な影響を与える可能性があります。組織でどのように処理しますか?