حسابرسی فناوری اطلاعات

کنترل تطبیق دسترسی به داده ها با سطوح امنیتی تعریف شده

داده های ورودی به سیستم های اطلاعاتی می توانند به صورت خودکار توسط سایر سیستم ها ثبت شده یا اینکه بواسطه کاربران در سیستم وارد گردند. در هر دو صورت باید اطمینان حاصل شود که بین مجوزها و سطوح امنیتی تعریف شده با مشخصات موجودیتی که داده را وارد می کند تطبیق وجود دارد.

به عنوان مثال یکی از سیاست های امور مالی در شرکت این است که صورتحساب هایی که بالاتر از مبلغ مشخصی باشند باید در سلسله مراتب اداری توسط مدیر امور مالی مورد تایید قرار گیرند. چنین سیاستی باید در سیستم اعمال گردد. براساس این کنترل تنها زمانی که مدیر امور مالی با دسترسی تعریف شده به سیستم وارد شود می تواند صورتحساب را ارزیابی و تایید نماید. برای چنین کنترلی باید آزمون های لازم تعریف شده تا از صحت عملکرد آن اطمینان حاصل شود.

کنترل تطبیق دسترسی به داده ها نوعاً با کنترل های دسترسی که در زمره کنترل های امنیت اطلاعات نیز می باشند به صورت مستقیم در ارتباط هستند. در نوشتار الفبای کنترل دسترسی برای حسابرسان داخلی، مفاهیم و ساز و کارهای کنترل دسترسی به صورت مبسوط شرح داده شده است.

ورودی های سیستم ممکن است داده ها را در مراحل مختلف چرخه عمرشان متاثر سازند. داده ها در ابتدا به سیستم وارد شده و ثبت می گردد، سپس ممکن است به مراتب ویرایش شده و به روزرسانی گردند در نهایت نیز ممکن است از سیستم حذف شوند. تمامی عملیاتی که طی این سه مرحله بر روی داده ها انجام می شود باید با سطوح دسترسی تعریف شده براساس سیاست های امنیتی شرکت انجام شود.

در برخی موارد ضعف ساز و کارهای کنترل دسترسی در سیستم ها باعث می شود تا امکان اعمال این کنترل به صورت دقیق وجود نداشته باشد. به عنوان مثال در برخی موارد سطوح دسترسی تنها تا سطح ماژول قابل اعمال بوده و بر روی تک تک فرم ها امکان اعمال سطوح دسترسی وجود ندارد. در این حالت تمامی کاربرانی که به یک ماژول دسترسی دارند می توانند عملیات یکسانی انجام دهند. در برخی موارد دسترسی بر روی فرم ها میسر بوده، لیکن امکان محدود نمودن دسترسی بر روی عملیات فرم از جمله ایجاد سند جدید، ویرایش یا حذف سند وجود ندارد. در موارد حساس باید حتی بتوان تا سطح ویرایش فیلدهای اطلاعاتی نیز سطوح دسترسی را تنظیم نمود تا کنترل تطبیق دسترسی به داده ها به درستی عمل نماید.

نظر دهید