پس از بررسی این فصل شما باشد:
- نقش ایفا شده توسط کنترل را در محصول و فقط امنیت رایانه درک نمایید.
- درک بهتری از مدیریت وتنش آن درکنترل فرابند توسعه CBIS داشته باشید.
- بدانبد که چگونه کنترل ها می توانند در طراحی سیستم ادغام شوند.
- بدانید که چگونه عملیات سیستم می تواند کنترل شود
- با وظایف وکارهای انجام شده توسط پرسنل عملیات رایانه آشنا شوید
- ضرورت طرح ریزی وانواع طرح های خاصی را درک نمایید که امکان پذیر هستند
مقدمه:
اکنون که CBIS اجرا شده است، می تواند به صورت روزانه برای ارائه منافعی استفاده شودکه توسعه آن را توجیه می نماید.سه مرحله اول چرخه،زندگیCBIS احتمالا چندین ماه یا یک سال یا بیشتر طول بکشد تا کامل شود.شرکت امیدوار است که مرحله عملیات چندین طول بکشد قبل از اینکه چرخه زندگی تکرار شود.در این فصل مابه کنترل ها در CBIS توجه می کنیم تا آن را ایمن سازیم. با این حال، مدیریت منتظر نمی ماند تا اینکه فاز عملیات کنترل را تثبیت نماید.
اهمیت کنترل:
یکی از اهداف CBIS عبارت اند از پشتیبانی مدیران می باشد هنگامی که آنها نواحی عملیاتی خودشان را کنترل می نمایند. اما حتی اگر CBIS کنترل را آسان نماید، CBIS خودش باید کنترل شود.مدیران کنترل کار تیمهای پروژه را در طی مراحل طراحی واجرا را بررسی میکنند. وقتی که CBIS عملیاتی می شود، عملکرد آن باید به دقت کنترل شود. همه ما داستانهایی درباره جنایت رایانه ای مطالعه کرده ایم
(یعنی چگونه هزاران دلار از یک بانک توسط دسترسی به پایگاه داده رایانه ای اختلاس شده است).همچنین درباره مهاجمان (هکر) رایانه ای که سازمانها ومنبع ایشان را تهدید می کنند مطالعه کرده ایم و اینکه چگونه ویروس ها را منتشر می کنند که باعث خراب شدن اطلاعات و برنامه ها می شوند. این اقدامات عمدی موجب تهدیدهایی به سازملن ومنبع اطلاعات آن می شوند، همانگونه که اقدامات غیر عمدی و بصورت تصادفی باعث بلایا و فجایع می شود.مدیریت کنترل را انجام میدهد تا از وقوع این بلا یا کاهش تأثیر آنها جلوگیری کند. فقط با توسعه یک CBIS کنترل شده مادیران میتوانند به خروجی آن اعتماد داشته باشند.
رابطه امنیت کنترل- امنیت ممکن است بصورت حفاظت منابع فیزیکی ومفهومی از آسیب های طبیعی و انسانی تعریف شود. امنیت منابع مفهومی یعنی دیتا واطلاعات مورد توجه ما می باشد اگرچه امنیت اطلاعات ودیتا شکل های مختلفی را ممکن است به خود بگیرد و همگی آنها در شش مقوله در جدول 18.1 قرار می گیرد.
جدول 18.1 شش روش برای نقض breach امنیت اطلاعات و دیتا (اطلاعات خام)
تصادفی
عمدی
تعدیل
اصلاح وتغییر
خراب کردن
خراب کردن
افشا(فاش) کردن
افشاء کردن
نقض تصادفی امنیت اطلاعات و دیتا در مقایسه با اقدامات عمدی، تهدید بیشتری
می باشند. اقدامات عمدی معمولا بیشترین طرفدار را دارند ولی اقدامات تصادفی در بیشتر مواقع رخ می دهند.
خصوصیات سیستم امنیت را آسان میکند: اگر یک سیستم اطلاعات بخواهند
محتویات اش را ایمن نگه دارد وآنگاه او باید سه خاصیت داشته باشد: یکپارچگی، قابلیت ممیزی و قابلیت کنترل
یکپارچگی:یک سیستم دارای یکپارچگی است بصورت عمدی اجرا شود.طراحان سیستم تلاش دارند که سیستمی را توسعه دهند که دارای یکپارچگی عملیاتی است وقادر به ادامه عملیات است حتی هنگامی که یک یا چند مؤلفه شکست بخورد.یک مثال خوب عبارت اند از یک شبکه پردازش توزیع یافته است که به کار خودش ادامه میدهد پس از اینکه پردازشگرها غیر عملیاتی می شوند.
قدرت ممیزی شدن: وقتی که یک سیستم دارای قدرت ممیزی باشد براحتی میتوان آن را بررسی و یا تایید کرد و عملکرد را نمایش داد. افرادی که مستقل از واحد خدمات اطلاعات هستند از قبیل ممیزهای داخلی وخارجی، ممیزی را انجام می دهند. برای اینکه یک سیستم قابل ممیزی گردد باید آزمایشاتی را طی نماید و قابلیت حسابداری داشته باشد یعنی هر رویدادی که در داخل سیستم رخ میدهد باید برای یک فرد واحد قابل ردیابی باشد همچنین مدیران سیستم باید متوجه عملکرد غیر قابل قبول سیستم باشند.
یک سیستم CBIS قابل ممیزی است هنگامی که مستند سازی افرادی را مشخص نماید که آن را توسعه دادند و برنامه ها شامل کنترل های خطای ضروری هستند.
قابلیت کنترل شدن:مدیریت میتواند یک تأثیر هدایت کننده یا محدود کننده بر روی سیستم را انجام دهد.هنگامی که از قابلیت کنترل بهره میبرد.یک روش موثر برای حصول قابلیت کنترل سیستم عبارت اند از تقسیم کردن سیستم به زیر سیستم هایی است که کراهای مجزا را کنترل مینمایند.
یک نقض یکپارچگی در یک زیر سیستم، کل سیستم را مختل مینماید. مثلا، یک سیستم فرعی در یک بانک برای گشایش حساب ها استفاده می شود و زیر سیستم دیگر برای برداشت از حساب ها استفاده می شود. اولین سیستم فرعی از زیر سیستم،دومین زیر سیستم را کنترل می کند تا مانع از بکارگیری غیر مجاز بودجه ها گردد مانند شخصی که یک حساب را تحت یک نام مفروض گشایش مینماید و بودجه ها را به صورت غیر قانونی بداخل آن، از سایر حساب ها منتقل مینماید. بنابراین مدیران، امنیت سیستم اطلاعات را با توسعه دادن سیستم هایی بدست می آورند که خصوصیات یکپارچگی، توانایی ممیزی و قابلیت کنترل را نمایش می دهند. کار کنترل CBIS کنترل CBIS تمام مراحل چرخه زندگی را در بر می گیرد.در طی چرخه زندگی، کنترل ها میتوانند به مواردی تقسیم بندی شوند که به توسعه، طراحی واجرا مطابق با طرح پیش برود. وقتی CBIS توسعه می یابد، مدیریت تضمین میکند که طراحی، احتمال خطا را به حداقل می رساند، خطاها را آشکار می کند هنگامی که آنها را بوجود می آیند، و آنها با نزم افزار وسخت افزار حاصل میشوند.
وقتی که CBIS اجرا می شود، کنترل های عملیات ویکپارچگی سیستم را حفظ میکنند. یک مثال درباره یک کنترل عملیات عبارت اند از تقسیم کردن وظایف در بین پرسنل عملیات می باشد.کنترل های عملیات بعهده مدیر عملیات رایانه است.
روش های خصول ونگهداری کنترل: مدیریت می تواند کنترل را به سه روش اساسی مطابق شکل 18.1 انجام دهد. اولا، مدیریت می تواندکنترل مستقیم را انجام دهد وپیشرفت وعملکرد را ارزیابی کند و اقدامات اصلاحی لازم را تعیین نماید، این امر مستلزم آگاهی از رایانه است.ثانیا، مدیریت CBIS را بطور غیر مستقیم بصورت تمام وقت از طریق CIO کنترل میکند. CIO مسئول توسعه یک CBIS است که نیارهای مدیران را تأمین مینماید و CBIS را عملیاتی نگه می دارد.ثالثا، مدیریت CBIS را بطور غیر مستقیم بر اساس پروژه از طریق شخص ثالث کنترل میکند از قبیل ممیزهای داخلی یا خارجی.این متخصصان یک سری اطلاعات رایانه ای را فراهم می نمایند که مدیران فاقد آن هستند. ما اکنون به ذکر سه حوزه کنترل CBIS می پردازیم یعنی توسعه، طراحی وعملیات.
کنترل فرایند توسعه- هدف از کنترل توسعه عبارت اند از تخمین این امر است که یه CBIS اجرا می شود که نیازهای کاربران را تأمین میکند. شکل 18.2 هفت مثال درباره کنترل توسعه را تعیین می نماید و به موارد کاربرد آنها در چرخه زندگی اشاره دارد.
شکل 18.1 مدیر میتواند سه مسیر را برای کنترل CBIS طی کند.
1-مدیریت ارشد، کنترل پروژه را بطور کلی در طی مرحله طرح ریزی توسط تشکیل یک کمیته MS وتعریف اهداف ومحدودیت ها وایجاد یک مکانیزم کنترل پروژه را انجام میدهد.
2-مدیریت موضع کاربر در خصوص CBIS را با تعیین هویت نمودن نیازهای اطلاعاتی اولیه در مرحلع تحلیل و طراحی روشن میکند.
3-مدیریت معیارهای عملکرد را معین میکند که در ارزیابی CBIS عملیاتی استفاده خواهد شد.
4-سرویس های اطلاعات ومدیریت، طراحی CBIS و استانداردهای عملیاتی را تثبیت میکند تا بصورت خطوط راهنمایی عملکرد قابل قبولی برای سرویس های اطلاعات عمل نماید. سرویس های اطلاعات خطوط راهنما را در یک کتابچه راهنمای استاندارد بیان می نماید.
5-سرویس های اطلاعات و مدیریت با یکدیگر یک برنامه آزمایش قابل قبول را تعریف میکنند که نیازهای برای تصویب هر برنامه رایانه را مشخص میکند- تصویب لازم است قبل از اینکه یک برنام هوارد کتابخانه نرم افزار شود.