ความปลอดภัยของระบบและการตรวจสอบ
การตรวจสอบระบบ
เป็นการตรวจสอบเพื่อทบทวนประสิทธิภาพของระบบปฏิบัติการ วัตถุประสงค์ของการดำเนินการตรวจสอบระบบมีดังนี้ -
เพื่อเปรียบเทียบประสิทธิภาพจริงและตามแผน
เพื่อตรวจสอบว่าวัตถุประสงค์ของระบบยังคงถูกต้องในสภาพแวดล้อมปัจจุบัน
เพื่อประเมินความสำเร็จของวัตถุประสงค์ที่กำหนด
เพื่อให้มั่นใจในความน่าเชื่อถือของข้อมูลทางการเงินและข้อมูลอื่น ๆ บนคอมพิวเตอร์
เพื่อให้แน่ใจว่าบันทึกทั้งหมดรวมอยู่ในขณะประมวลผล
เพื่อให้แน่ใจว่าได้รับการปกป้องจากการฉ้อโกง
การตรวจสอบการใช้งานระบบคอมพิวเตอร์
ผู้ตรวจสอบการประมวลผลข้อมูลจะตรวจสอบการใช้งานระบบคอมพิวเตอร์เพื่อควบคุม ผู้สอบบัญชีต้องการข้อมูลควบคุมซึ่งได้มาจากระบบคอมพิวเตอร์เอง
ผู้ตรวจสอบระบบ
บทบาทของผู้ตรวจประเมินเริ่มต้นในขั้นตอนแรกของการพัฒนาระบบเพื่อให้ระบบที่ได้รับมีความปลอดภัย อธิบายถึงแนวคิดในการใช้ประโยชน์จากระบบที่สามารถบันทึกได้ซึ่งช่วยในการวางแผนโหลดและการตัดสินใจเกี่ยวกับข้อกำหนดฮาร์ดแวร์และซอฟต์แวร์ เป็นการบ่งชี้ถึงการใช้ระบบคอมพิวเตอร์อย่างชาญฉลาดและอาจมีการใช้ระบบในทางที่ผิด
การทดลองการตรวจสอบ
การทดลองการตรวจสอบหรือบันทึกการตรวจสอบคือบันทึกการรักษาความปลอดภัยซึ่งประกอบด้วยผู้ที่เข้าถึงระบบคอมพิวเตอร์และการดำเนินการใดที่ดำเนินการในช่วงเวลาที่กำหนด การทดลองการตรวจสอบใช้ในการติดตามโดยละเอียดว่าข้อมูลในระบบมีการเปลี่ยนแปลงอย่างไร
เป็นเอกสารหลักฐานเกี่ยวกับเทคนิคการควบคุมต่างๆที่ธุรกรรมอาจเกิดขึ้นในระหว่างการประมวลผล การทดลองการตรวจสอบไม่มีอิสระ พวกเขาจะดำเนินการเป็นส่วนหนึ่งของการบัญชีสำหรับการกู้คืนธุรกรรมที่สูญหาย
วิธีการตรวจสอบ
การตรวจสอบสามารถทำได้สองวิธี -
การตรวจสอบรอบ ๆ คอมพิวเตอร์
- รับอินพุตตัวอย่างและใช้กฎการประมวลผลด้วยตนเอง
- เปรียบเทียบเอาต์พุตกับเอาต์พุตคอมพิวเตอร์
การตรวจสอบผ่านคอมพิวเตอร์
- สร้างการทดลองการตรวจสอบซึ่งช่วยให้สามารถตรวจสอบผลลัพธ์ระดับกลางที่เลือกได้
- ผลรวมการควบคุมให้การตรวจสอบระดับกลาง
การพิจารณาการตรวจสอบ
ข้อพิจารณาในการตรวจสอบจะตรวจสอบผลลัพธ์ของการวิเคราะห์โดยใช้ทั้งเรื่องเล่าและแบบจำลองเพื่อระบุปัญหาที่เกิดจากฟังก์ชันที่ใส่ผิดตำแหน่งกระบวนการหรือฟังก์ชันที่แยกขาดโฟลว์ข้อมูลที่ขาดหายไปการประมวลผลซ้ำซ้อนหรือไม่สมบูรณ์และโอกาสในการทำงานอัตโนมัติที่ไม่ได้แก้ไข
กิจกรรมภายใต้ระยะนี้มีดังนี้ -
- การระบุปัญหาสิ่งแวดล้อมในปัจจุบัน
- การระบุสาเหตุของปัญหา
- การระบุโซลูชันทางเลือก
- การประเมินผลและการวิเคราะห์ความเป็นไปได้ของแต่ละโซลูชัน
- การเลือกและคำแนะนำวิธีการแก้ปัญหาที่เหมาะสมและเหมาะสมที่สุด
- การประมาณต้นทุนโครงการและการวิเคราะห์ต้นทุนผลประโยชน์
ความปลอดภัย
ความปลอดภัยของระบบหมายถึงการปกป้องระบบจากการโจรกรรมการเข้าถึงและการดัดแปลงโดยไม่ได้รับอนุญาตและความเสียหายจากอุบัติเหตุหรือไม่ได้ตั้งใจ ในระบบคอมพิวเตอร์การรักษาความปลอดภัยเกี่ยวข้องกับการปกป้องทุกส่วนของระบบคอมพิวเตอร์ซึ่งรวมถึงข้อมูลซอฟต์แวร์และฮาร์ดแวร์ ความปลอดภัยของระบบรวมถึงความเป็นส่วนตัวของระบบและความสมบูรณ์ของระบบ
System privacy เกี่ยวข้องกับการปกป้องระบบบุคคลจากการเข้าถึงและใช้งานโดยไม่ได้รับอนุญาต / ความรู้จากบุคคลที่เกี่ยวข้อง
System integrity เกี่ยวข้องกับคุณภาพและความน่าเชื่อถือของข้อมูลดิบและข้อมูลที่ประมวลผลในระบบ
มาตรการควบคุม
มีมาตรการควบคุมที่หลากหลายซึ่งสามารถจำแนกได้กว้าง ๆ ดังนี้ -
การสำรองข้อมูล
การสำรองฐานข้อมูลเป็นประจำทุกวัน / สัปดาห์ขึ้นอยู่กับความสำคัญของเวลาและขนาด
สำรองข้อมูลส่วนเพิ่มในช่วงเวลาที่สั้นลง
สำเนาสำรองเก็บไว้ในสถานที่ห่างไกลที่ปลอดภัยซึ่งจำเป็นอย่างยิ่งสำหรับการกู้คืนจากภัยพิบัติ
ระบบที่ซ้ำกันทำงานและธุรกรรมทั้งหมดจะมิเรอร์หากเป็นระบบที่สำคัญมากและไม่สามารถทนต่อการหยุดชะงักใด ๆ ก่อนที่จะจัดเก็บในดิสก์
การควบคุมการเข้าถึงสิ่งอำนวยความสะดวกทางกายภาพ
- ล็อคทางกายภาพและการตรวจสอบความถูกต้องด้วยไบโอเมตริกซ์ ตัวอย่างเช่นการพิมพ์ลายนิ้วมือ
- เจ้าหน้าที่รักษาความปลอดภัยตรวจบัตรประจำตัวหรือใบผ่านเข้าออก
- การระบุบุคคลทั้งหมดที่อ่านหรือแก้ไขข้อมูลและบันทึกไว้ในไฟล์
การใช้ Logical หรือ Software Control
- ระบบรหัสผ่าน.
- การเข้ารหัสข้อมูล / โปรแกรมที่ละเอียดอ่อน
- ฝึกอบรมพนักงานเกี่ยวกับการดูแล / จัดการข้อมูลและความปลอดภัย
- ซอฟต์แวร์ป้องกันไวรัสและการป้องกันไฟร์วอลล์ขณะเชื่อมต่ออินเทอร์เน็ต
การวิเคราะห์ความเสี่ยง
ความเสี่ยงคือความเป็นไปได้ที่จะสูญเสียสิ่งมีค่า การวิเคราะห์ความเสี่ยงเริ่มต้นด้วยการวางแผนสำหรับระบบที่ปลอดภัยโดยระบุช่องโหว่ของระบบและผลกระทบของสิ่งนี้ จากนั้นจึงจัดทำแผนเพื่อจัดการความเสี่ยงและรับมือกับภัยพิบัติ ทำเพื่อเข้าถึงความน่าจะเป็นของภัยพิบัติที่อาจเกิดขึ้นและต้นทุนของมัน
การวิเคราะห์ความเสี่ยงคือการทำงานเป็นทีมของผู้เชี่ยวชาญที่มีภูมิหลังที่แตกต่างกันเช่นสารเคมีความผิดพลาดจากมนุษย์และอุปกรณ์ในกระบวนการผลิต
ให้ปฏิบัติตามขั้นตอนต่อไปนี้ขณะทำการวิเคราะห์ความเสี่ยง -
การระบุส่วนประกอบทั้งหมดของระบบคอมพิวเตอร์
การระบุภัยคุกคามและอันตรายทั้งหมดที่แต่ละองค์ประกอบเผชิญ
ประเมินความเสี่ยงเช่นการประเมินความสูญเสียในกรณีที่ภัยคุกคามกลายเป็นความจริง
การวิเคราะห์ความเสี่ยง - ขั้นตอนหลัก
ในขณะที่ความเสี่ยงหรือภัยคุกคามกำลังเปลี่ยนแปลงไปและความสูญเสียที่อาจเกิดขึ้นก็เปลี่ยนไปเช่นกันผู้จัดการอาวุโสควรดำเนินการจัดการความเสี่ยงเป็นระยะ ๆ
การบริหารความเสี่ยงเป็นกระบวนการที่ต่อเนื่องและเกี่ยวข้องกับขั้นตอนต่อไปนี้ -
การระบุมาตรการรักษาความปลอดภัย
การคำนวณต้นทุนการดำเนินการตามมาตรการรักษาความปลอดภัย
การเปรียบเทียบต้นทุนของมาตรการรักษาความปลอดภัยกับการสูญเสียและความน่าจะเป็นของภัยคุกคาม
การเลือกและการใช้มาตรการรักษาความปลอดภัย
ทบทวนการดำเนินการตามมาตรการรักษาความปลอดภัย