Проблема: один сотрудник одновременно имеет полномочия на оплату и выписку накладных — риск мошенничества и ошибок. Конкретные меры и процедуры:
1) Политика и матрица разграничения прав
- Ввести политику "разделения обязанностей" (SoD) и обязать ее исполнение.
- Составить матрицу ролей (пример правил): $Creator\ne Approver$, $Approver\ne Payer$, $Payer\ne InvoiceIssuer$. Одновременно допускать не более $2$ ролей, исключая критичные сочетания.
2) Технические настройки системы
- Внедрить RBAC (ролевая модель) с минимальными правами (least privilege).
- Настроить автоматический workflow: инициатор → проверка → утверждение → исполнение платежа; система не позволяет тому же пользователю проходить несколько этапов.
- Включить MFA для всех пользователей с правами платежей/выдачи накладных.
- Использовать решение Privileged Access Management (PAM) для временных эскалаций ("break-glass").
3) Процедуры для операций (платежи и выписка накладных)
- Процедура выдачи накладной (шаги):
1) Инициирование заказчиком/менеджером;
2) Подготовка накладной оператором (role: Creator);
3) Независимая верификация соответствия документов (role: Verifier);
4) Утверждение руководителем (role: Approver) при сумме > порога;
5) Выписку выполняет отдельный пользователь (role: InvoiceIssuer).
- Процедура платежа (шаги):
1) Инициирование платежа (Creator);
2) Документы сверяются (Verifier);
3) Утверждение платежа (Approver);
4) Исполнение платежа (Payer) — обязательно лицо, не делающее накладные.
- Ввести требование: для сумм > $100000$ проводить дополнительное устное/электронное подтверждение от менеджера.
4) Контроль доступа и ревью
- Ежеквартальный пересмотр прав доступа — периодicity: каждые $90$ дней.
- Моментальная блокировка прав при смене должности/увольнении — исполнение в течение $24$ часов.
- Вести журнал изменений прав с записью кто, когда и почему изменил доступ.
5) Логи, мониторинг и аудит
- Включить детальные аудит-логи для операций: создание/изменение/подписание накладных и платежей. Логи хранить минимум $1$ год.
- Настроить оповещения на аномалии (один и тот же пользователь инициирует оплату и подписывает накладные; массовые исправления и т.п.).
- Проводить выборочные аудиты и сверки операций как минимум раз в квартал.
6) Компенсирующие меры до полного внедрения
- Договориться о ручной двухуровневой проверке (печати/подписи) для критичных транзакций;
- Использовать ограничение лимитов в системе и требование второго подписи для сумм > порога.
7) Внедрение и сроки (примерный план)
- Анализ текущих прав и проект матрицы — $2$ недели.
- Настройка RBAC и workflow + тесты — $4$–$6$ недель.
- Обучение пользователей и запуск в эксплуатацию — $1$ неделя.
- Постпусковой мониторинг и корректировки — $4$ недели.
8) KPI и контроль эффективности
- Доля учетных записей с избыточными прав — целевой показатель < $5\%$.
- Выполнение ревью прав — $100\%$ каждые $90$ дней.
- Время реакции на инцидент прав доступа — < $24$ часов.
9) Документация и обучение
- Описать процедуры в регламентах, подготовить чек-листы для каждого шага.
- Провести короткие тренинги для ответственных ролей и тестовые сценарии мошенничества/ошибок.
Короткий чек-лист для начала:
- Ввести SoD-политику и матрицу ролей.
- Настроить RBAC и автоматический workflow.
- Включить MFA и PAM.
- Назначить periodic access review ($90$ дней) и хранение логов $1$ год.
- Ввести пороговые правила (например, > $100000$ — дополнительное подтверждение).
Если нужно, могу прислать пример матрицы ролей в виде таблицы и шаблон регламента процедур.