حسابرسی فناوری اطلاعات

الفبای کنترل دسترسی برای حسابرسان داخلی، بخش دوم

کنترل دسترسی در حوزه امنیت اطلاعات مطرح می شود. بخش عمده ای از ریسک ها و کنترل های فناوری اطلاعات مربوط به امنیت اطلاعات هستند. امنیت اطلاعات بر سه موضوع اصلی در دسترس بودن، یکپارچگی و محرمانگی تاکید می کند. این سه محور به در کنار یکدیگر به عنوان مثلث امنیت نیز شناسایی می شوند.

در این بخش، کنترل دسترسی از دیدگاه این سه محور بررسی شده است.

طبق اصل در دسترس بودن، اطلاعات، سیستم ها و منابع بایستی در زمان لازم برای کسی که بدان نیاز دارد در دسترس باشد. اهمیت دسترسی زمانی مشخص می شود که امکان دسترسی به چیزی که بدان نیاز داریم وجود نداشته باشد. نکته مهم در این جا این است که کنترل دسترسی به مفهوم جلوگیری از دسترسی نیست بلکه مشخص می کند که چه عاملی به چی شی نیاز دارد و براساس آن امکان دسترس پذیری کاربران (عاملان) مجاز به اشیاء مشخص شده را در زمان لازم فراهم می نماید.

طبق اصل یکپارچگی، اطلاعات باید دقیق و کامل باشد و در برابر تغییرات غیرمجاز محافظت شود و در صورتی که کسی بخواهد تغییر غیرمجازی انجام دهد، مکانیزم های امنیتی بایستی به کاربر یا متصدی سیستم به شیوه مناسب اطلاع دهد. در یک مثال بسیار ساده، هنگام پرداخت فیش آب و برق مثلا به مبلغ ۲۴ دلار نبایستی این امکان وجود داشته باشد که بتوان عدد ۲۴۰ دلار را وارد نمود. در مثال مهم تر، هنگام ارسال پیام برای ريس جمهور آمریکا بایستی مطمئن شد که پیام به درستی انتقال داده می شود و در بین راه تغییر داده نمی شود. بنابراین کنترل دسترسی، قابلیتی امنیتی است که از داده ها و منابع در برابر تغییرات غیرمجاز محافظت می نماید.

اصل محرمانگی به حصول اطمینان از عدم افشای اطلاعات برای اشخاص، برنامه ها یا فرآیندهای غیرمجاز اشاره دارد. برخی اطلاعات از جمله اطلاعات سلامت، حساب های بانکی، جرائم و برنامه های ارتش حساس تر هستند و سطح محرمانگی بالاتری دارند. مکانیزم های کنترل دسترسی مشخص می کند که چه کسی می تواند به چه داده هایی دسترسی داشته باشد و در صورت دسترسی چه کارهایی می تواند انجام دهد.

نظر دهید