مشخصات این فایل
عنوان: فرآیند ممیزی امنیت اطلاعات
فرمت فایل: word( قابل ویرایش)
تعداد صفحات: 18
این مقاله درمورد فرآیند ممیزی امنیت اطلاعات می باشد.
خلاصه آنچه در مقاله فرآیند ممیزی امنیت اطلاعات می خوانید :
الف) کنترل امنیت فیزیکی
- پیشگیری از سرقت: بررسی و توجه کنترل سطح دسترسی به سرور شبکهها و دستگاههای زیرساخت، تهیه تجهیزات و نسخ پشتیبان
- اثر سیاستها و روشهای ممیزی
- تولید نرمافزارهای کاربردی داخلی، اگر چه این موضوع ممکن است که نیازمند تخصص خارج از سازمان باشد و نیازمند پشتیبانی خارج از سازمان داشته باشد
- قانون کنونی و مبانی استاندارد و وضع الزامات خاصی که در سیاست حسابری و روشهای مورد درخواست سازمان اجراء شود
قانون امنیت HIPAA
- مطابق این قانون هد ممیزی روش پیادهسازی بطور مرتب میباشد. سوابق فعالیت سیستمهای اطلاعاتی به عنوان مستندات مربوط به حسابرسی شامل گزارشات دسترسی و امنیتی اتفاقات رخدادی و ریابی آنها است. بدین مفهوم که اجرای سیاستها و روشهایی است که مطابق با دسترسی واحد صادرکننده سیاستها و مجوزات، ایجاد، مستند مربوط به تغییر حق دسترسی کاربر در دستگاههای کاری، مساعدت و برنامهها و یا فرآیندهای آن.
- شناسایی و پاسخ به حوادث امنیتی یا شناخته شده و کاهش به حد عملی مقررات و اثرات حوادث امنیتی است که تحت عنوان پوشش سازمان و یا سند حوادث امنیتی و نتایج مربوط شناخته شده است
- رویه یا مکانیزم پیادهسازی نرمافزار و یا سختافزار به مکانیزمهای مربوط به ضبط و بررسی فعالیتها در سیستمهای اطلاعاتی میباشد که شامل استفاده از اطلاعات امنیتی بهداشتی محافظت شده الکترونیکی
قانون پادمان GLBA
- تشخیص، پیشگیری و پاسخ به حملات درخصوص رسوخ سیستمهای دیگر به شبکه و نرمافزارهای شرکت بمنظور جلوگیری از شکست
- طراحی و اجرای پادمانهای اطلاعاتی برای کنترل خطرات شناسایی شده از طریق ارزیابی ریسک انجام شده و .............های منظم و یا در غیر این صورت نظارت بر کارایی از طریق کنترل موارد کلیدی سیستمها مطابق با قانون پادمان
سیستم کارت پرداخت PCI- استاندارد امنیت اطلاعات
- اسناد و فاکتورهای مربوط به بررسی تمام اجزای سیستم حداقل بصورت روزانه
- ایجا و تبیین یک فرآیند و برقراری اتصال دسترسی به اجزای سیستم (خصوصاً دسترسی به اختیارات مدیریتی مانند اصلها و ...) که برای هر کاربر بصورت منحصر به فرد اجراء میشود
- پیادهسازی مسیرهای ممیزی و حسابرسی اتوماتیک/ خودکار برای بازسازی تمام اجزای سیستم پس از حوادث ایجادی
- هماهنگی بین تمام ساعات بحرانی سیستم و زمان آن
- رد حسابرسی امن بطوری که به آنها تغییر نمییابند
- ثبت و پیگیری رکورد حداقل نوشتههای حسابرسی برای تمام اجزای سیستم حسب هر رویداد
- حفظ سابقه حسابرسی حداقل برای مدت یک سال و با داشتن حداقل 3 ماه دسترسی online به آن
فرآیند حسابرسی
فرآیند حسابرسی مذکور به دنبال کمک به سازمان جهت حفاظت از خود در مقابل دادخواهی مردم، سرقت هویت، از دست دادن مالکیت معنوی و به همین ترتیب فرآیند ارزیابی و تست چگونگی عملکرد خوب جهت اجراء میباشد و این فرآیندی حرفهای که شامل بررسی سیستماتیک و تأیید امنیت و کنترل و مدیریت اطلاعاتی است که در برابر یک مجموعه تعریف شده و بدنبال معیارهای تعیین کفایت و اثربخشی از امنیت دادهها، یکپارچگی و سیاست و روش در دسترس بودن است همچنین در این حسابرسی هدف این است که برای آگاهی از موقعیتی است که انجام حسابرسی بطور منظم وضعیت فعلی خود را در پردازش دادهها در حین ایجاد اشتباه با درک از روشها میبایست مضافاً از جمله اهداف دیگر حسابرسی امنیتی این است که جهت تجزیه و تحلیل ترافیک دادهها و مقایسه آن با یک استاندارد میباشد که به بهترین شیوه اجرایی گردد و این فرآیند به هدف کمک به سازمان در درک وضعیت فعلی خود و چگونگی بهبود بخشیدن به وضعیت سازمان براساس کمبودها و نقاط ضعف شناسایی شده در فرآیند حسابرسی میباشد.
تهیه و مهیاسازی:
- نقد و بررسی سیاستها، استانداردها و روشهای سازمان
- دامنه و اهداف این فرآیند تقریب و توسعه منشور حسابرسی است
- شناسایی کارکنان و تعیین نقش و مسئولیت و وظایف آنها
- انجام اطلاعرسانی مورد نیاز جهت انجام فرآیند حسابرسی، بطور معمول چگونه و چه زمانی انجام خواهد شد. توضیحاً اینکه مدت زمان، فرآیندها و توابع حسابرسی توسط حسابرس تعریف شده است
جمعآوری دادهها
استفاده از ابزار مناسب برای جمعآوری دادههای خام که برای پیگیری قانونی و حسابرسی نیاز است.
درجه حسابرسی محیط (خارج از شبکه) و DMZ
- تعیین درجه آسیبپذیری در فرآیند بهرهبرداری است از این اطلاعات برای تجزیه و تحلیل شبکههای داخلی و شواهد استحصالی از فرآیند بهرهبردای است
حسابرسی داخل شبکه
نظارت بر ورود و خروج دادهها و ترافیک در نقاط کلیدی شبکه برای بدست آوردن ایده از انواع ترافیکها است که در جریان داخل و خارج از شبکه، تجزیه و تحلیل ترافیک و مقایسه پروتکلها مشاهده شده توسط کانی که مطابق سیاستها مجاز بودهاند.
TCP, wire shark و یا رو گرفت WIN ابزار بسیار خوبی برای انجام این کار است و بدنبال شواهدی از آسیبپذیریهای کشف شده است که در جریان حسابرسی مستقل مورد شناسایی قرار گرفته است.
هنگامی که ترافیکهای حسابرسی قابل درک است، نظارت بر ترافیک در نقاط شبکه که دسترسی به دادههای مهم شرکت را دارند. بگونهای با تجزیه و تحلیل ترافیک بطور مثال ارسال یک پیام خصوصی یک مهندس کامپیوتر و تجزیه و تحلیل روابط و جریان ترافیک است. فیلتر کردن روابط سالم مانند ایجاد ایستگاههای کاری در ارتباط با تلاش بریا برقراری ارتباط است.
تمرکز بر روی روابط ناسالم، نزد ایستگاههای کاری در ارتباط با سرور در داخل یا خارج از شبکه همچنین بر روی پروتکلهای غیرمعمول و یا ممنوع
نقد و بررسی ترافیک Syslog و همچنین از فایروالها، شبکه و تضخیص سطح نفوذ از طریق نفوذ مبتنی بر .............. بودن سیستم (IDS) و هچنین هرگونه کنترل در سطح دسترسی شبکه و دستگاه NAC، برای یافتن سرنخهای موجود که به تجزیه و تحلیل ترافیک شبکه مرتبط است
اسناد مربوط به بررسی شواهدی از نفوذ سازمانهای غیرمجاز از داخل یا خارج به شبکه، اعتبارسنجی دقت اسناد مربوط اقتباس شده از سیاست (AW)
تولید گزارش از دادهها و یافتهها با استفاده از شبکههای مختلف از دادههایی که جمعآوری شده و با رنگها و عکسهای روابط موجود در جریان دادهها و استفاده از ابزاری همانند VISO، اکسل یا معادل دفتر ستارهدار برای نشان دادن دادههای جمعآوری شده مذکور
تجزیه و تحلیل دادهها
درجه تولید یافتههای مثبت و منفی
اعتبارسنجی یافتههای تحصیلی، خصوصاٌ آن بخش از یافتههایی که منفی هستند که این موضوع ممکن است نیاز اضافی به تحقیق و شناسایی را ایجاد کند. این کی قدم مهم جهت حفظ و اعتبار خود به عنوان حسابرس و اعتبار یافتههای شناسایی شده او دارد.
بخشی از فهرست مطالب فرآیند ممیزی امنیت اطلاعات
مقدمه
حسابرسی امنیت کامپیوتر چیست؟
سیاست مهم
صدور مجوزه نرمافزارها
قانون امنیت HIPAA
قانون پادمان GLBA
سیستم کارت پرداخت PCI- استاندارد امنیت اطلاعات
فرآیند حسابرسی
تهیه و مهیاسازی
درجه حسابرسی محیط (خارج از شبکه) و DMZ
حسابرسی داخل شبکه
تجزیه و تحلیل دادهها
درجه تولید یافتههای مثبت و منفی
پیشنویس گزارش حسابرسی
گزارش رسمی
دانلود مقاله فرآیند ممیزی امنیت اطلاعات