حسابرسی فناوری اطلاعات

کنترل های کلیدی امنیت اطلاعات؛ پیکره بندی امن

پیکره بندی امن سخت افزارها و نرم افزارها بر روی تلفن همراه، تبلت، لپ تاپ، ایستگاه های کاری و سرورها از جمله کنترل های کلیدی امنیت اطلاعات به شمار می روند.

شرح کنترل
پیکره بندی و تنظیم اولیه سخت افزارها و نرم افزارهایی که توسط فروشندگان ارائه می شود برای استفاده ساده و آسان آنها انجام شده است. به عبارت دیگر به نحوی این سخت افزارها و نرم افزارها پیکره بندی می شوند که کاربران بتوانند به راحتی از آنها استفاده کنند. در تنظیم اولیه آنها اصول امنیتی به صورت کامل رعایت نمی شود. از این رو ضروری است تا برای رفع آسیب پذیری های احتمالی، تنظمیات به صورت ایمن مورد بازنگری و کنترل قرار گیرد.

در نظر بگیرید زمانی که سیستم عامل ویندوز نصب می شود به صورت پیش فرض برخی از پورت های آن باز است که باعث می شود نفوذگران بتوانند از طریق این پورت ها به دارایی های اطلاعاتی سازمان دسترسی داشته باشند. یا زمانی که سخت افزاری مانند روتر یا سوییچ خریداری می شود تمامی تنظمیات امنیتی آنها فعال نیستند. تنظیم امن سخت افزارها و نرم افزارها با توجه به حجم بالای دارایی های اطلاعاتی در سازمان ها و گزینه های مختلفی فنی آنها بسیار سخت و پیچیده است. از این رو باید فرآیندی منظم و منسجم برای مدیریت پیکره بندی در سازمان وجود داشته باشد.

آزمون کنترل
برخی از تنظمیاتی که به صورت پیش فرض توسط فروشندگان سخت افزار و نرم افزار تعیین شده اند، در نرم افزارها و سخت افزارهای نصب شده بررسی شده و وضعیت امنیت آنها کنترل شود.
با آزمون نفوذ، امکان نفوذ به شبکه بواسطه غیرفعالسازی تنظمیات و پورت های غیرایمن بررسی شود.
با استفاده از نرم افزارهای اسکن امنیتی، آسیب پذیری های مربوط به کنترل های پیکره بندی شناسایی شود.
مستندات و سوابق مدیریت و کنترل پیکره بندی بررسی شده و اطلاعات ثبت شده پیکره بندی با پیکره بندی واقعی تجهیزات کنترل و مقایسه شود.

چند اصطلاح کلیدی در مورد پیکره بندی
حسابرسان داخلی در حسابرسی فناوری اطلاعات بارها با مقوله ای تحت عنوان پیکره بندی و مدیریت پیکره بندی روبرو می شوند. در حسابرسی سیستم های اطلاعاتی و امنیت اطلاعات، این عنوان بسیار کاربرد دارد. در ادامه برخی از مفاهیم کلیدی مرتبط با پیکره بندی بیان شده است.

پیکره بندی چیست؟
پیکره بندی به معنای ترکیب اجزا و مولفه های یک سیستم در یک فرمت و قالب مشخص برای برآورده ساختن هدف مورد نظر است. به عنوان مثال برای اینکه کاربران بتوانند از یک سیستم مالی استفاده کنند باید سخت افزار، نرم افزار، سیستم عامل و شبکه با ترکیب و تنظیم خاصی کنار یکدیگر قرار گیرند. پیکره بندی نیازمند طراحی و تصمیم گیری در خصوص ترکیب و تنظیم مولفه ها است. اعمال تنظیمات برای مولفه ابزاری برای اعمال سیاست های فناوری اطلاعات، سیاست های امنیت اطلاعات، بهبود کارایی تجهیزات و پایش عملکرد آنها است.

قلم پیکره بندی چیست؟
هریک از مولفه های موجود در یک پیکره بندی مشخص را قلم پیکره بندی می گویند. مثلا در زمان استفاده از سیستم مالی هریک از نرم افزارها، سخت افزارها، سیستم عامل ها، شبکه ها یک قلم پیکره بندی به شمار می رود. در هر سازمان هزاران قلم پیکره بندی وجود دارند که باید تحت مدیریت قرار گیرند.

مدیریت پیکره بندی چیست؟
فرآیندی است که طی آن اقلام پیکره بندی برای دستیابی به ترکیب و تنظیم مورد نظر، شناسایی، مستندسازی، نظارت و پایش می شوند. همچنین تغییرات صورت گرفته در این اقلام و تنظیمات آنها نیز به روزرسانی می گردد. هدف فرآیند مدیریت پیکره بندی حصول اطمینان از به روز بودن آخرین وضعیت اقلام پیکره بندی و تحت کنترل بودن آنها است. با توجه به تعدد اقلام نرم افزاری و سخت افزاری سازمان، استقرار فرآیند و نظام مدیریت پیکره بندی یکی از الزامات اساسی فناوری اطلاعات در سازمان ها است.

پایگاه داده اطلاعات پیکره بندی
اطلاعات پیکره بندی هزاران قلم سخت افزاری و نرم افزاری باید در پایگاه داده ای نگهداری شوند. این اطلاعات باید به صورت مستمر به روزرسانی گردند.

حسابرسی پیکره بندی
پیکره بندی باید به صورت مستمر و منظم مورد حسابرسی قرار گیرد تا مشخص شود که آیا فرآیند مدیریت پیکره بندی به نحو موثری عمل نموده است. اطلاعاتی که در مدیریت پیکره بندی نگهداری می شوند باید به روز بوده و آخرین تغییرات را شامل شوند. در صورت ضعف این فرآیند، مدیریت اقلام پیکره بندی بسیار سخت خواهد شد چرا که مشخص نیست هریک از سخت افزارها و نرم افزارها دارای چه تنظمیاتی هستند.

نظر دهید