کنترل
اهداف یادگیری
پس از بررسی این فصل شما باشد:
- نقش ایفا شده توسط کنترل را در محصول و فقط امنیت رایانه درک نمایید.
- درک بهتری از مدیریت وتنش آن درکنترل فرابند توسعه CBIS داشته باشید.
- بدانبد که چگونه کنترل ها می توانند در طراحی سیستم ادغام شوند.
- بدانید که چگونه عملیات سیستم می تواند کنترل شود
- با وظایف وکارهای انجام شده توسط پرسنل عملیات رایانه آشنا شوید
- ضرورت طرح ریزی وانواع طرح های خاصی را درک نمایید که امکان پذیر هستند
مقدمه:
اکنون که CBIS اجرا شده است، می تواند به صورت روزانه برای ارائه منافعی استفاده شودکه توسعه آن را توجیه می نماید.سه مرحله اول چرخه،زندگیCBIS احتمالا چندین ماه یا یک سال یا بیشتر طول بکشد تا کامل شود.شرکت امیدوار است که مرحله عملیات چندین طول بکشد قبل از اینکه چرخه زندگی تکرار شود.در این فصل مابه کنترل ها در CBIS توجه می کنیم تا آن را ایمن سازیم. با این حال، مدیریت منتظر نمی ماند تا اینکه فاز عملیات کنترل را تثبیت نماید.
اهمیت کنترل:
یکی از اهداف CBIS عبارت اند از پشتیبانی مدیران می باشد هنگامی که آنها نواحی عملیاتی خودشان را کنترل می نمایند. اما حتی اگر CBIS کنترل را آسان نماید، CBIS خودش باید کنترل شود.مدیران کنترل کار تیمهای پروژه را در طی مراحل طراحی واجرا را بررسی میکنند. وقتی که CBIS عملیاتی می شود، عملکرد آن باید به دقت کنترل شود. همه ما داستانهایی درباره جنایت رایانه ای مطالعه کرده ایم
(یعنی چگونه هزاران دلار از یک بانک توسط دسترسی به پایگاه داده رایانه ای اختلاس شده است).همچنین درباره مهاجمان (هکر) رایانه ای که سازمانها ومنبع ایشان را تهدید می کنند مطالعه کرده ایم و اینکه چگونه ویروس ها را منتشر می کنند که باعث خراب شدن اطلاعات و برنامه ها می شوند. این اقدامات عمدی موجب تهدیدهایی به سازملن ومنبع اطلاعات آن می شوند، همانگونه که اقدامات غیر عمدی و بصورت تصادفی باعث بلایا و فجایع می شود.مدیریت کنترل را انجام میدهد تا از وقوع این بلا یا کاهش تأثیر آنها جلوگیری کند. فقط با توسعه یک CBIS کنترل شده مادیران میتوانند به خروجی آن اعتماد داشته باشند.
رابطه امنیت کنترل- امنیت ممکن است بصورت حفاظت منابع فیزیکی ومفهومی از آسیب های طبیعی و انسانی تعریف شود. امنیت منابع مفهومی یعنی دیتا واطلاعات مورد توجه ما می باشد اگرچه امنیت اطلاعات ودیتا شکل های مختلفی را ممکن است به خود بگیرد و همگی آنها در شش مقوله در جدول 18.1 قرار می گیرد.
جدول 18.1 شش روش برای نقض breach امنیت اطلاعات و دیتا (اطلاعات خام)
تصادفی
عمدی
تعدیل
اصلاح وتغییر
خراب کردن
خراب کردن
افشا(فاش) کردن
افشاء کردن
نقض تصادفی امنیت اطلاعات و دیتا در مقایسه با اقدامات عمدی، تهدید بیشتری
می باشند. اقدامات عمدی معمولا بیشترین طرفدار را دارند ولی اقدامات تصادفی در بیشتر مواقع رخ می دهند.
خصوصیات سیستم امنیت را آسان میکند: اگر یک سیستم اطلاعات بخواهند
محتویات اش را ایمن نگه دارد وآنگاه او باید سه خاصیت داشته باشد: یکپارچگی، قابلیت ممیزی و قابلیت کنترل
یکپارچگی:یک سیستم دارای یکپارچگی است بصورت عمدی اجرا شود.طراحان سیستم تلاش دارند که سیستمی را توسعه دهند که دارای یکپارچگی عملیاتی است وقادر به ادامه عملیات است حتی هنگامی که یک یا چند مؤلفه شکست بخورد.یک مثال خوب عبارت اند از یک شبکه پردازش توزیع یافته است که به کار خودش ادامه میدهد پس از اینکه پردازشگرها غیر عملیاتی می شوند.
قدرت ممیزی شدن: وقتی که یک سیستم دارای قدرت ممیزی باشد براحتی میتوان آن را بررسی و یا تایید کرد و عملکرد را نمایش داد. افرادی که مستقل از واحد خدمات اطلاعات هستند از قبیل ممیزهای داخلی وخارجی، ممیزی را انجام می دهند. برای اینکه یک سیستم قابل ممیزی گردد باید آزمایشاتی را طی نماید و قابلیت حسابداری داشته باشد یعنی هر رویدادی که در داخل سیستم رخ میدهد باید برای یک فرد واحد قابل ردیابی باشد همچنین مدیران سیستم باید متوجه عملکرد غیر قابل قبول سیستم باشند.
یک سیستم CBIS قابل ممیزی است هنگامی که مستند سازی افرادی را مشخص نماید که آن را توسعه دادند و برنامه ها شامل کنترل های خطای ضروری هستند.
قابلیت کنترل شدن:مدیریت میتواند یک تأثیر هدایت کننده یا محدود کننده بر روی سیستم را انجام دهد.هنگامی که از قابلیت کنترل بهره میبرد.یک روش موثر برای حصول قابلیت کنترل سیستم عبارت اند از تقسیم کردن سیستم به زیر سیستم هایی است که کراهای مجزا را کنترل مینمایند.
یک نقض یکپارچگی در یک زیر سیستم، کل سیستم را مختل مینماید. مثلا، یک سیستم فرعی در یک بانک برای گشایش حساب ها استفاده می شود و زیر سیستم دیگر برای برداشت از حساب ها استفاده می شود. اولین سیستم فرعی از زیر سیستم،دومین زیر سیستم را کنترل می کند تا مانع از بکارگیری غیر مجاز بودجه ها گردد مانند شخصی که یک حساب را تحت یک نام مفروض گشایش مینماید و بودجه ها را به صورت غیر قانونی بداخل آن، از سایر حساب ها منتقل مینماید. بنابراین مدیران، امنیت سیستم اطلاعات را با توسعه دادن سیستم هایی بدست می آورند که خصوصیات یکپارچگی، توانایی ممیزی و قابلیت کنترل را نمایش می دهند. کار کنترل CBIS کنترل CBIS تمام مراحل چرخه زندگی را در بر می گیرد.در طی چرخه زندگی، کنترل ها میتوانند به مواردی تقسیم بندی شوند که به توسعه، طراحی واجرا مطابق با طرح پیش برود. وقتی CBIS توسعه می یابد، مدیریت تضمین میکند که طراحی، احتمال خطا را به حداقل می رساند، خطاها را آشکار می کند هنگامی که آنها را بوجود می آیند، و آنها با نزم افزار وسخت افزار حاصل میشوند.
وقتی که CBIS اجرا می شود، کنترل های عملیات ویکپارچگی سیستم را حفظ میکنند. یک مثال درباره یک کنترل عملیات عبارت اند از تقسیم کردن وظایف در بین پرسنل عملیات می باشد.کنترل های عملیات بعهده مدیر عملیات رایانه است.
روش های خصول ونگهداری کنترل: مدیریت می تواند کنترل را به سه روش اساسی مطابق شکل 18.1 انجام دهد. اولا، مدیریت می تواندکنترل مستقیم را انجام دهد وپیشرفت وعملکرد را ارزیابی کند و اقدامات اصلاحی لازم را تعیین نماید، این امر مستلزم آگاهی از رایانه است.ثانیا، مدیریت CBIS را بطور غیر مستقیم بصورت تمام وقت از طریق CIO کنترل میکند. CIO مسئول توسعه یک CBIS است که نیارهای مدیران را تأمین مینماید و CBIS را عملیاتی نگه می دارد.ثالثا، مدیریت CBIS را بطور غیر مستقیم بر اساس پروژه از طریق شخص ثالث کنترل میکند از قبیل ممیزهای داخلی یا خارجی.این متخصصان یک سری اطلاعات رایانه ای را فراهم می نمایند که مدیران فاقد آن هستند. ما اکنون به ذکر سه حوزه کنترل CBIS می پردازیم یعنی توسعه، طراحی وعملیات.
کنترل فرایند توسعه- هدف از کنترل توسعه عبارت اند از تخمین این امر است که یه CBIS اجرا می شود که نیازهای کاربران را تأمین میکند. شکل 18.2 هفت مثال درباره کنترل توسعه را تعیین می نماید و به موارد کاربرد آنها در چرخه زندگی اشاره دارد.
شکل 18.1 مدیر میتواند سه مسیر را برای کنترل CBIS طی کند.
1-مدیریت ارشد، کنترل پروژه را بطور کلی در طی مرحله طرح ریزی توسط تشکیل یک کمیته MS وتعریف اهداف ومحدودیت ها وایجاد یک مکانیزم کنترل پروژه را انجام میدهد.
2-مدیریت موضع کاربر در خصوص CBIS را با تعیین هویت نمودن نیازهای اطلاعاتی اولیه در مرحلع تحلیل و طراحی روشن میکند.
3-مدیریت معیارهای عملکرد را معین میکند که در ارزیابی CBIS عملیاتی استفاده خواهد شد.
4-سرویس های اطلاعات ومدیریت، طراحی CBIS و استانداردهای عملیاتی را تثبیت میکند تا بصورت خطوط راهنمایی عملکرد قابل قبولی برای سرویس های اطلاعات عمل نماید. سرویس های اطلاعات خطوط راهنما را در یک کتابچه راهنمای استاندارد بیان می نماید.
5-سرویس های اطلاعات و مدیریت با یکدیگر یک برنامه آزمایش قابل قبول را تعریف میکنند که نیازهای برای تصویب هر برنامه رایانه را مشخص میکند- تصویب لازم است قبل از اینکه یک برنام هوارد کتابخانه نرم افزار شود.
6-مدیریت یک بازنگری را انجام میدهد تا تضمین نماید که CBIS معیارهای عملکرد را تأمین می نماید.
7-سرویس های اطلاعات یک رویه را برای حفظ واصلاح CBIS ایجاد می کند واین رویه توسط مدیریت تصویب می شود.
به این ترتیب، مدیریت CBIS را کنترل می نماید هنگامی که از طریق فازهای چرخه زندگی ظاهر می گردد. مدیریت تعیین می نماید که چه چیزی لازم است و سپس موارد را دنبال مینماید تا مطمئن شودکه یک CBIS اجرا می شوذکه آن نیازها را تأمین کند.
کنترل های طراحی سیستم:در طی مرحله تحلیل وطراحی چرخه زندگی، تحلیل گر سیستم ها، DBA ومدیر شبکه ویژگیهای کنترل معین را در داخل طراحی سیستم ایجاد می کند. در طی مرحله اجرا، برنامه نویس این کنترل هل را در داخل سیستم ادغام میکند، این کنترل های طراحی بر روی عملکرد CBIS تأثیر میگذارد هنگامی که عملیاتی میگردد. بعضی از سیستم های فرعی CBIS یک میزان کنترل بالاتری را در مقایسه با سایرین تقاضا نمایند.بطور کلی، هر سیستمی که با پول سروکار دارد به کنترل شدید نیاز دارد. یک شرکت نمی تواند تاوان اشتباهات در محاسبه یک کنترل پرداخت حقوق کارمند یا یک پرداخت حقوق تولید کننده را بپردازد. از طرف دیگر، یک سیستم غیر پولی مانند یک گزارش آمار فروش هنوز مفید است حتی اگر حاوی حداقل خطاها باشد. کنترل های سیستم دارای یک هزینه مرتبط می باشند. یک کنترل نباید انجام گیرد اگر هزینه آن بیش از ارزش آن باشد.ارزش عبارت اند از مقدار کاهش خطر احتمالی و این برآورد به سختی انجام می شود. مثلا، ارزش یک کنترل چیست که خطر احتمالی تولید یک کنترل کننده بد را کاهش دهد. شماباید مقدار پولی را محاسبه کنید که شرکت از دست میدهد هنگامی که مقدار آن خیلی زیاد است ولی شما فقط می توانید کاهش مقدار آن را هنگامی برآورد نمائید که مقدار پول خیلی کم باشد.
یک روش مخرب برای انتقال این اطلاعات، یک ماتریس خطر احتمالی (ریسک) مانند آن چیزی است که در شکل 18.3 دیده می شود.، ریسک ها در بالا فهرست شده اند ومؤلفه های سیستم در پایین ذکر میشوند. شکل از سیستم ورودی مرتب بصورت یک مثال استفاده مینماید و ریسک ها بصورت اطلاعات ناقص، اطلاعات غیر دقیق و معاملات غیر مجاز دسته بندی شده اند.مثال درباره ریسک ها، همانگونه که آنها برای هر سیستم فرعی بکار می روند در سلول ها وارد می شوند، یک ماتریس دیگرموسوم به یک ماتریس کنترل کننده میتواند برای انطباق کنترل های طراحی با ریسک ها استفاده شود. شکل 18.4 مثالی از یک ماتریس کنترل برای ورودی ترتیب است.
تحلیل گر سیستم از ماتریس کنترل برای اثبات بصری استفاده می کند که هر کدام ار ریسک های تعریف شده ذکر شده است.
نواحی کنترل های طراحی سیستم : هر سیستم فرعی CBIS به نوعی منحصر به فرد بوده است.با این حال، امکان ارائه ونمایش هر سیستم فرعی بر حسب عناصر پایه آن مطابق شکل 18.5 وجوددارد.
کنترل ها می توانند برای هر عنصر در نظر گرفته شوند.اولین عنصر به تعیین منشاء معامله تخصیص داده میشود. سند ممکن است یک فرم سفارش فروش یا یک کارت زمان بازپرداخت باشد. این تعیین وضعیت برای تجهیزات رایانه ای حالت خارجی دارد وقبل از هر نوع پردازش رایانه قرار می گیرد. سپس transfaction بصورت یک فرم قابل خواندن توسط رایانه تبدیل میشود که این فرایند موسوم به ورود معامله است.دستگاه ورودی می تواند online باشد مانند یک جعبه کلید میکرو یا یک پایانه رایانه اصلی و یا دستگاه میتواند offline باشد مانند یک واحد اتصال کلید به نوار یا کلید به دیسک.
بعضی از سیستم ها شامل یک عنصر ارتباطات می باشند. در سایر سیستم ها، اطلاعات ورودی پردازش مستقیما برای پردازش وارد رایانه می شوند. وقتی که دیتا در ذخیره رایانه است، توسط برنامه ها در کتابخانه نرم افزار پردازش می شود.این پردازش رایانه ممکن است شامل اطلاعات افزودنی یا بدست آمده از پایگاه داده باشد. وقتی که پردازش کامل می شود، خروجی رایانه به شکل اطلاعات یا دیتا تولید می شود
بخش های زیر شامل مثال هایی درباره کنترل ها برای هر عنصراست که به شما
ایده ای درباره انواع روشهای موجود ارائه مینماید.
منشاء معامله:شکل 18.6 یک سری مراحل را نشان میدهد. هر کدام از پنج عنصر نشان داده شده یک نامزد برای کنترل ها است.تعداد و انواع کنترل های ایجاد شده در داخل هرعنصر بستگی به ریسک هایی دارد که کاهش داده می شوند وبه هزینه های کنترل نیز بستگی دارد.
منشاء سند منبع:کنترل ها در جایی آغاز می شوند که سند منبع آغاز میشود.این
کنترل ها با رویه هایی برای (1)طراحی اسناد منبع (2) تحصیل اسناد و(3) تضمین امنیت اسناد سروکار دارند قبل از آنکه آنها استفاده شوند.
تعیین اقتدار:کنترل های تعیین اقتدار شرح میدهند که چگونه ورودیهای اطلاعات برای اسناد صورت می گیرند وتوسط چه کسی این کارها انجام می گیرد. چنین کنترلی توسط روش های مکتوب انجام میشود که شامل افراد مختلف در آماده سازی هر سند می باشد که حدود گردش کار(پردازش) معین را تصویب میکند ومستلزم تاییدهای مختلف است.