Sistem Güvenliği ve Denetimi

Sistem Denetimi

Operasyonel bir sistemin performansını gözden geçirmek için yapılan bir araştırmadır. Bir sistem denetimi yapmanın amaçları aşağıdaki gibidir -

  • Gerçek ve planlanan performansı karşılaştırmak için.

  • Sistemin belirtilen hedeflerinin mevcut ortamda hala geçerli olduğunu doğrulamak için.

  • Belirtilen hedeflere ulaşılmasını değerlendirmek.

  • Bilgisayar tabanlı finansal ve diğer bilgilerin güvenilirliğini sağlamak.

  • İşlem sırasında tüm kayıtların dahil edilmesini sağlamak.

  • Dolandırıcılıklardan korunmak için.

Bilgisayar Sistemi Kullanımının Denetimi

Bilgi işlem denetçileri, bilgisayar sistemini kontrol etmek için kullanımını denetler. Denetçi, bilgisayar sistemi tarafından elde edilen kontrol verilerine ihtiyaç duyar.

Sistem Denetçisi

Denetçinin rolü, sistem geliştirmenin ilk aşamasında başlar, böylece ortaya çıkan sistem güvenli olur. Yük planlamasına ve donanım ve yazılım özelliklerine karar vermeye yardımcı olan kaydedilebilen bir sistem kullanımı fikrini açıklar. Bilgisayar sisteminin akıllıca kullanımı ve sistemin olası kötüye kullanımı hakkında bir gösterge sağlar.

Denetim Denemesi

Bir denetim denemesi veya denetim günlüğü, bir bilgisayar sistemine kimin eriştiğini ve belirli bir süre boyunca hangi işlemlerin gerçekleştirildiğini içeren bir güvenlik kaydıdır. Denetim denemeleri, sistemdeki verilerin nasıl değiştiğine dair ayrıntılı izleme yapmak için kullanılır.

Bir işlemin işlenmesi sırasında tabi olduğu çeşitli kontrol tekniklerinin belgeli kanıtını sağlar. Denetim denemeleri bağımsız olarak mevcut değildir. Kayıp işlemlerin geri kazanılması için muhasebenin bir parçası olarak gerçekleştirilirler.

Denetim Yöntemleri

Denetim iki farklı şekilde yapılabilir -

Bilgisayar çevresinde denetim

  • Örnek girdiler alın ve işleme kurallarını manuel olarak uygulayın.
  • Çıktıları bilgisayar çıktılarıyla karşılaştırın.

Bilgisayar Üzerinden Denetim

  • Seçilen ara sonuçların incelenmesine izin veren denetim denemesi oluşturun.
  • Kontrol toplamları ara kontroller sağlar.

Denetim Hususları

Denetim değerlendirmeleri, yanlış yerleştirilmiş işlevler, bölünmüş süreçler veya işlevler, bozuk veri akışları, eksik veriler, fazlalık veya eksik işleme ve adreslenmemiş otomasyon fırsatlarından kaynaklanan sorunları belirlemek için hem anlatıları hem de modelleri kullanarak analiz sonuçlarını inceler.

Bu aşamadaki faaliyetler aşağıdaki gibidir -

  • Mevcut çevre sorunlarının belirlenmesi
  • Sorun nedenlerinin belirlenmesi
  • Alternatif çözümlerin belirlenmesi
  • Her çözümün değerlendirilmesi ve fizibilite analizi
  • En pratik ve uygun çözümün seçimi ve önerisi
  • Proje maliyet tahmini ve maliyet fayda analizi

Güvenlik

Sistem güvenliği, sistemi hırsızlığa, yetkisiz erişime ve değişikliklere ve kazara veya kasıtsız hasarlara karşı korumayı ifade eder. Bilgisayarlı sistemlerde güvenlik, veri, yazılım ve donanım dahil olmak üzere bilgisayar sisteminin tüm parçalarının korunmasını içerir. Sistem güvenliği, sistem gizliliğini ve sistem bütünlüğünü içerir.

  • System privacy Bireylerin sistemlerine, ilgili kişilerin izni / bilgisi olmadan erişilmesini ve kullanılmasını önlemeyi amaçlar.

  • System integrity sistemdeki işlenmemiş verilerin yanı sıra işlenmiş verilerin kalitesi ve güvenilirliği ile ilgilenir.

Kontrol önlemleri

Genel olarak aşağıdaki şekilde sınıflandırılabilecek çeşitli kontrol önlemleri vardır:

Destek olmak

  • Zaman kritikliğine ve boyutuna bağlı olarak veritabanlarının günlük / haftalık düzenli yedeklemesi.

  • Daha kısa aralıklarla artımlı yedekleme.

  • Yedek kopyalar, özellikle olağanüstü durum kurtarma için gerekli olan güvenli uzak konumda tutulur.

  • Çok kritik bir sistemse ve diskte depolamadan önce herhangi bir kesintiye tahammül edemiyorsa, yinelenen sistemler çalışır ve tüm işlemler yansıtılır.

Tesislere Fiziksel Erişim Kontrolü

  • Fiziksel kilitler ve Biyometrik kimlik doğrulama. Örneğin parmak izi
  • Kimlik kartları veya giriş kartları güvenlik personeli tarafından kontrol ediliyor.
  • Verileri okuyan veya değiştiren tüm kişilerin tanımlanması ve bir dosyaya kaydedilmesi.

Mantıksal veya Yazılım Kontrolünü Kullanma

  • Şifre sistemi.
  • Hassas verileri / programları şifreleme.
  • Çalışanları veri bakımı / yönetimi ve güvenliği konusunda eğitmek.
  • İnternete bağlıyken antivirüs yazılımı ve Güvenlik duvarı koruması.

Risk analizi

Risk, değerli bir şeyi kaybetme olasılığıdır. Risk analizi, sistemin zafiyetini ve bunun etkisini belirleyerek güvenli sistem planlamasıyla başlar. Plan daha sonra riski yönetmek ve felaketle başa çıkmak için yapılır. Olası afet olasılığına ve maliyetlerine ulaşmak için yapılır.

Risk analizi, kimyasallar, insan hatası ve proses ekipmanı gibi farklı geçmişlere sahip uzmanlardan oluşan bir ekip çalışmasıdır.

Risk analizi yapılırken aşağıdaki adımlar izlenmelidir -

  • Bilgisayar sisteminin tüm bileşenlerinin tanımlanması.

  • Her bir bileşenin karşılaştığı tüm tehdit ve tehlikelerin tanımlanması.

  • Riskleri ölçün, yani tehditlerin gerçeğe dönüşmesi durumunda zararın değerlendirilmesi.

Risk Analizi - Ana Adımlar

Riskler veya tehditler değiştiğinden ve olası kayıplar da değiştiğinden, risk yönetimi periyodik olarak üst düzey yöneticiler tarafından yapılmalıdır.

Risk yönetimi sürekli bir süreçtir ve aşağıdaki adımları içerir -

  • Güvenlik önlemlerinin tanımlanması.

  • Güvenlik önlemlerinin uygulanma maliyetinin hesaplanması.

  • Güvenlik önlemlerinin maliyetinin tehditlerin kaybı ve olasılığı ile karşılaştırılması.

  • Güvenlik önlemlerinin seçimi ve uygulanması.

  • Güvenlik önlemlerinin uygulanmasının gözden geçirilmesi.