حسابرسی فناوری اطلاعات

الفبای کنترل دسترسی برای حسابرسان داخلی، بخش اول

کنترل های امنیتی در زمره یکی از مهمترین کنترل های فناوری اطلاعات به شمار می روند. از آنجا که ریسک های دسترسی غیرمجاز به منابع اطلاعاتی سازمان بسیار حائز اهمیت هستند، حسابرسان داخلی نیز باید طی ارزیابی های خود کنترل های دسترسی را مورد شناسایی و ارزیابی قرار دهند. براین اساس در نوشتار حاضر مفاهیم کنترل دسترسی و انواع کنترل های موجود در حوزه کنترل دسترسی برای حسابرسان داخلی به زبان ساده بیان خواهد شد.

قبل از پرداختن به مفهوم کنترل دسترسی، بایستی بدانیم منظور از دسترسی چیست. دسترسی، به مفهوم جریان اطلاعات بین یک عامل (Subject) و شی (Object) است.

عامل، یک موجودیت فعال است که خواستار دسترسی به یک شی یا اطلاعات درون آن است.
برخلاف آن، شی یک موجودیت منفعل است که شامل اطلاعات است.

معمولا وقتی موضوع دسترسی مطرح می شود، یک کاربر به ذهن می رسد که نیاز به دسترسی به اطلاعات شبکه دارد، این در حالی است که عامل صرفا یک فرد نیست بلکه می تواند یک برنامه یا فرآیند باشد که به شی برای انجام وظیفه خود نیاز دارد.

شی نیز همانند عامل می تواند یک کامپیوتر، پایگاه داده، فایل، برنامه کامپیوتری، دایرکتوری یا حتی یک فیلد درون یک جدول در پایگاه داده باشد. زمانی که اطلاعاتی را درون یک پایگاه داده جستجو می کنید، در واقع شما عامل هستید و پایگاه داده ، شی منفعل است.