IDPS การรักษาความปลอดภัยตรวจจับการบุกรุกเทคโนโลยี
การตรวจสอบเพื่อความปลอดภัยของข้อมูล เป็นการตรวจสอบในระดับการรักษาความปลอดภัยข้อมูลในองค์กรภายในขอบเขตของการรักษาความปลอดภัยข้อมูลการตรวจสอบมีหลายประเภทของการตรวจสอบวัตถุประสงค์การตรวจสอบแตกต่างกันหลายเป็นต้นส่วนใหญ่มักถูกควบคุมตรวจสอบสามารถแบ่งการเทคนิคทางกายภาพและการบริหาร ตรวจสอบความปลอดภัยของข้อมูลครอบคลุมหัวข้อจากการตรวจสอบความปลอดภัยทางกายภาพของศูนย์ข้อมูลการตรวจสอบความปลอดภัยของฐานข้อมูลเชิงตรรกะและไฮไลท์ส่วนประกอบสำคัญในการหาและวิธีการที่แตกต่างกันสำหรับการตรวจสอบพื้นที่เหล่านี้
เมื่อศูนย์กลางด้านไอทีของความปลอดภัยของข้อมูลก็สามารถเห็นได้เป็นส่วนหนึ่งของการตรวจสอบเทคโนโลยีสารสนเทศมันมักจะอ้างแล้วว่าเทคโนโลยีสารสนเทศตรวจสอบความปลอดภัยหรือตรวจสอบความปลอดภัยคอมพิวเตอร์ อย่างไรก็ตามการรักษาความปลอดภัยข้อมูลครอบคลุมมากกว่า IT
การตรวจสอบ
การวางแผนการตรวจสอบและจัดเตรียม
ระบบตรวจสอบ
ช่องโหว่เครือข่าย
บทความหลัก : ตรวจสอบความปลอดภัยคอมพิวเตอร์
•การตัด : ข้อมูลที่จะถูกส่งผ่านเครือข่ายเป็นความเสี่ยงที่จะถูกลักลอบโดยบุคคลอื่นที่ไม่ได้ตั้งใจที่จะนำข้อมูลไปใช้ที่เป็นอันตราย
•Availability : เครือข่ายได้กลายเป็นกว้างครอบคลุม, ข้ามหลายร้อยหรือหลายพันไมล์ซึ่งหลายพึ่งพาการเข้าถึงข้อมูลของ บริษัท และสูญเสียการเชื่อมต่ออาจทำให้เกิดการหยุดชะงักทางธุรกิจ
•Access point รายการ : เครือข่ายมีความเสี่ยงที่จะเข้าที่ไม่พึงประสงค์ จุดบกพร่องในเครือข่ายสามารถทำให้ข้อมูลที่มีให้ผู้บุกรุก นอกจากนี้ยังสามารถให้จุดเข้าไวรัสและม้าโทรจัน
การควบคุม
•ควบคุมการตัด : การสกัดกั้นสามารถ deterred บางส่วนโดยการควบคุมการเข้าถึงทางกายภาพที่ศูนย์ข้อมูลและสำนักงานรวมทั้งเชื่อมโยงการสื่อสารที่ยุติและที่เดินสายเครือข่ายและกระจายอยู่ การเข้ารหัสยังช่วยรักษาความปลอดภัยเครือข่ายไร้สาย
•ควบคุม Availability : การควบคุมที่ดีที่สุดคือการมีสถาปัตยกรรมเครือข่ายที่ดีและตรวจสอบเครือข่ายควรมีเส้นทางสำรองระหว่างทรัพยากรทุกจุดเชื่อมอัตโนมัติและเปลี่ยนเส้นทางการจราจรในเส้นทางได้โดยไม่ต้องสูญเสียข้อมูลหรือเวลา
•Access / ควบคุมจุดรายการ : ส่วนควบคุมเครือข่ายที่วางที่จุดที่เครือข่ายที่เชื่อมต่อกับเครือข่ายภายนอก ควบคุมเหล่านี้ จำกัด การจราจรที่ผ่านเครือข่าย เหล่านี้รวมถึง firewalls, ระบบตรวจจับการบุกรุกและซอฟต์แวร์ป้องกันไวรัส
ตรวจสอบการเข้ารหัสและ IT
ในการประเมินความต้องการลูกค้าให้ดำเนินการตามนโยบายการเข้ารหัสสำหรับองค์กรของตน Auditor ควรดำเนินการวิเคราะห์ความเสี่ยงของลูกค้าและค่าข้อมูล งาน บริษัท กับผู้ใช้ภายนอกหลายอีคอมเมิร์ซและลูกค้าที่สำคัญข้อมูลพนักงาน / ควรรักษานโยบายเข้มงวดการเข้ารหัสเพื่อเข้ารหัสข้อมูลที่ถูกต้องในระยะที่เหมาะสมในการเก็บรวบรวมข้อมูล
ผู้สอบบัญชีอย่างต่อเนื่องควรประเมินนโยบายการเข้ารหัสของลูกค้าและวิธีการ บริษัท ที่มีมากพึ่งพาอีคอมเมิร์ซและระบบเครือข่ายไร้สายมีมากเสี่ยงต่อการถูกขโมยและการสูญเสียข้อมูลที่สำคัญในการส่ง นโยบายและกระบวนการควรเป็นเอกสารและดำเนินการเพื่อให้มั่นใจว่าข้อมูลทั้งหมดที่ส่งมีการป้องกัน บริษัท สามารถฐานนโยบายในการวัตถุประสงค์ สำหรับข้อมูลที่เกี่ยวข้อง Technology (COBIT) แนวทางการจัดตั้งขึ้นตาม IT Governance Institute (ITGI) และระบบสารสนเทศตรวจสอบและควบคุม Association (ISACA) ผู้สอบบัญชีควรทราบเพียงพอเกี่ยวกับแนวทาง COBIT
ผู้สอบบัญชีควรตรวจสอบว่าการจัดการมีการควบคุมในสถานที่มากกว่าการเข้ารหัสข้อมูลขั้นตอนการจัดการ เข้าถึงปุ่มควรต้องควบคุม dual คีย์ควรจะประกอบด้วยสองส่วนแยกและควรเก็บในคอมพิวเตอร์ที่ไม่สามารถเข้าถึงโปรแกรมเมอร์หรือผู้ใช้ภายนอก นอกจากการจัดการควรยืนยันว่านโยบายการเข้ารหัสข้อมูลให้อยู่ในระดับที่ต้องการการป้องกันและตรวจสอบว่าค่าใช้จ่ายในการเข้ารหัสข้อมูลที่ไม่เกินค่าของข้อมูลตัวที่ ข้อมูลที่จำเป็นทั้งหมดจะคงปริมาณครอบคลุมเวลาที่ควรได้รับการเข้ารหัสและการขนส่งไปยังสถานที่ห่างไกล ขั้นตอนควรอยู่ในสถานที่ที่จะรับประกันว่าการเข้ารหัสข้อมูลที่สำคัญมาถึงสถานที่และจัดเก็บอย่างถูกต้อง ในที่สุดผู้สอบบัญชีจะต้องสำเร็จการยืนยันจากการจัดการที่เป็นระบบการเข้ารหัสที่แข็งแกร่งไม่ attackable และสอดคล้องกับกฎหมายท้องถิ่นและระหว่างประเทศและระเบียบ
ตรวจสอบความปลอดภัย Logical
ขั้นตอนแรกในการตรวจสอบของระบบใด ๆ เพื่อขอให้เข้าใจองค์ประกอบและโครงสร้างของเมื่อตรวจสอบความปลอดภัยตรรกะผู้สอบบัญชีควรตรวจสอบสิ่งที่ควบคุมการรักษาความปลอดภัยอยู่ในสถานที่และวิธีการทำงาน โดยเฉพาะพื้นที่ตามจุดสำคัญในการตรวจสอบมีความปลอดภัยตรรกะ :
•รหัสผ่าน : ทุก บริษัท ควรมีนโยบายเกี่ยวกับการเขียนรหัสผ่านและใช้พนักงานของพวกเขา รหัสผ่านไม่ควรใช้ร่วมกันและพนักงานควรจะมีการเปลี่ยนแปลงกำหนดการบังคับ พนักงานควรมีสิทธิ์ผู้ใช้ที่สอดคล้องกับการทำงานงานของพวกเขา พวกเขายังควรทราบ log เหมาะสมใน / log off การ ยังเป็นประโยชน์สัญญาณรักษาความปลอดภัยอุปกรณ์ขนาดเล็กที่ผู้ใช้โปรแกรมคอมพิวเตอร์หรือเครือข่ายที่ดำเนินการเพื่อช่วยในการยืนยันตัวตน นอกจากนี้ยังสามารถเก็บกุญแจเข้ารหัสลับและ Biometric ข้อมูล ที่นิยมมากที่สุดของความปลอดภัย token (RSA ของ SecurID) แสดงหมายเลขที่เปลี่ยนแปลงทุกนาที ผู้ใช้สิทธิ์โดยการใส่หมายเลขประจำตัวบุคคลและจำนวนที่ token
•ขั้นตอนการบอกเลิกสัญญา : เหมาะสมการยกเลิกเพื่อให้พนักงานเก่าไม่สามารถเข้าถึงเครือข่ายซึ่งสามารถทำได้โดยการเปลี่ยนรหัสผ่านและรหัส นอกจากนี้ทุก cards id และป้ายที่อยู่ในการหมุนเวียนควรจะบันทึกและคิด
•พิเศษบัญชีผู้ใช้ : Special บัญชีผู้ใช้และบัญชีสิทธิพิเศษอื่น ๆ ควรจะตรวจสอบและมีการควบคุมที่เหมาะสมในสถานที่
•Remote Access : การเข้าถึงระยะไกลมักจะเป็นจุดที่ผู้บุกรุกสามารถเข้าสู่ระบบ เครื่องมือรักษาความปลอดภัยตรรกะที่ใช้ในการเข้าถึงระยะไกลควรจะเข้มงวดมาก การเข้าถึงระยะไกลควรจะเข้าสู่ระบบ
สรุป
โดยและขนาดใหญ่สองแนวคิดของการรักษาความปลอดภัยของโปรแกรมประยุกต์และแยกหน้าที่ทั้งในหลายเชื่อมต่อและพวกเขาทั้งสองมีเป้าหมายเดียวกันเพื่อป้องกันความสมบูรณ์ของข้อมูล บริษัท ที่'และการป้องกันการโกง เพื่อความปลอดภัยโปรแกรมประยุกต์ได้จะทำอย่างไรกับการป้องกันการเข้าถึงฮาร์ดแวร์และซอฟต์แวร์โดยมีมาตรการรักษาความปลอดภัยที่เหมาะสมทั้งทางกายภาพและทางอิเล็กทรอนิกส์ในสถานที่ ด้วยการแยกหน้าที่เป็นหลักพิจารณาทางกายภาพของการเข้าถึงบุคคล'ระบบและการประมวลผลและตรวจสอบว่ามีไม่มีการทับซ้อนที่อาจนำไปสู่การฉ้อโกง
ผู้สอบบัญชีควรมีการศึกษาอย่างเพียงพอเกี่ยวกับ บริษัท ฯ และกิจกรรมทางธุรกิจที่สำคัญในครั้งก่อนการตรวจสอบศูนย์ข้อมูล วัตถุประสงค์ของศูนย์ข้อมูลคือการจัดกิจกรรมศูนย์ข้อมูลกับเป้าหมายของธุรกิจในขณะที่รักษาความปลอดภัยและความสมบูรณ์ของข้อมูลที่สำคัญและกระบวนการ เพื่อพิจารณาว่าเพียงพอหรือไม่เป้าหมายของลูกค้าจะถูกความ, ผู้สอบบัญชีจะต้องดำเนินการดังต่อไปนี้ก่อนการตรวจสอบ :
•พบกับ IT การจัดการเพื่อกำหนดพื้นที่ที่เป็นไปได้ของความกังวล
•ทบทวนปัจจุบันแผนผังองค์กรไอที
•ตรวจสอบรายละเอียดการทำงานของพนักงานศูนย์ข้อมูล
•การวิจัยทุกระบบปฏิบัติการและโปรแกรมซอฟต์แวร์ข้อมูลศูนย์ปฏิบัติการอุปกรณ์ภายในศูนย์ข้อมูล
•ทบทวนนโยบายของ บริษัท ไอทีและวิธีการ
•ประเมินงบประมาณ IT ของ บริษัท และระบบการวางแผนเอกสาร
•ศูนย์ตรวจสอบข้อมูลของแผนกู้คืนระบบ
ไม่มีความคิดเห็น:
แสดงความคิดเห็น