Разделение полномочий

Aug 19, 2009 13:20

Сабж является довольно популярным ныне методом защиты от внутренних угроз. А работает ли он?

Разделение полномочий основано на предположении, что сотрудники, между которыми полномочия делятся, не могут войти в заговор с целью нарушения защиты (или вероятность такого события существенно ниже, чем соблазнение отдельного уполномоченного работника). Предположение это далеко не всегда указывается в явном виде, поэтому о нём забывают. Забывая, пропускают те случаи, когда это допущение не соответствует действительности.


Сговор двух, трёх и более человек наблюдался в практике вашего покорного слуги неоднократно. Встречались и более массовые случаи (чего там далеко ходить, примеры из этого же блога: 1 и 2).

Как мы понимаем, при подобном положении дел введение технического разделения полномочий не только бесполезно, но и вредно, поскольку создаёт ложное ощущение защищённости. И это ещё не самая большая беда. Разделение полномочий порой просто не оставляет сотруднику иного выбора кроме вступления в "заговор". Аналогично тому, как в своё время борьба с пьянством на рабочем месте привела к ещё большему распространению этого порока. До указа кто хотел, тот пил, кто не хотел - не пил. После начала антиалкогольной кампании уклониться от всеобщей пьянки стало немыслимо, ведь кто не пьёт со всеми, тот стукач.

Так что автор не рекомендует внедрять техническое разделение полномочий в неподготовленных коллективах. Прежде следует добиться устранения круговой поруки, а также если не всеобщего, то хотя бы массового доносительства на нарушителей установленного порядка.

политика безопасности, защита информации, кадры, НСД

Previous post Next post
Up