System-analysis-and-design-security-audit
システムのセキュリティと監査
システム監査
運用システムのパフォーマンスを確認する調査です。 システム監査を実施する目的は次のとおりです-
- 実際のパフォーマンスと計画されたパフォーマンスを比較します。
- システムの規定された目的が現在の環境でまだ有効であることを確認するため。
- 定められた目標の達成を評価する。
- コンピューターベースの財務およびその他の情報の信頼性を確保するため。
- 処理中にすべてのレコードが含まれるようにします。
- 詐欺から保護するため。
コンピュータシステムの使用状況の監査
データ処理監査員は、コンピューターシステムを制御するために、その使用状況を監査します。 監査人は、コンピューターシステム自体によって取得される制御データを必要とします。
システム監査役
監査人の役割は、システム開発の初期段階で開始されるため、結果のシステムは安全です。 記録できるシステムの利用のアイデアを説明し、負荷計画とハードウェアとソフトウェアの仕様の決定に役立ちます。 コンピュータシステムの賢明な使用とシステムの誤用の可能性を示します。
監査トライアル
監査トライアルまたは監査ログは、誰がコンピュータシステムにアクセスしたか、および特定の期間に実行された操作で構成されるセキュリティレコードです。 監査トライアルは、システム上のデータがどのように変更されたかを詳細にトレースするために使用されます。
トランザクションが処理中に対象となるさまざまな制御技術の証拠を提供します。 監査トライアルは独立して存在しません。 これらは、失われたトランザクションを回復するためのアカウンティングの一部として実行されます。
監査方法
監査は2つの異なる方法で行うことができます-
コンピューター周辺の監査
- サンプル入力を取得し、処理ルールを手動で適用します。
- 出力をコンピューター出力と比較します。
コンピューターを介した監査
- 選択した中間結果を検査できる監査トライアルを確立します。
- 制御合計は中間チェックを提供します。
監査の考慮事項
監査の考慮事項は、ナラティブとモデルの両方を使用して分析の結果を調べ、機能の誤配置、プロセスまたは機能の分割、データフローの破損、データの欠落、冗長または不完全な処理、およびアドレス指定されていない自動化の機会に起因する問題を特定します。
このフェーズでの活動は次のとおりです-
- 現在の環境問題の特定
- 問題の原因の特定
- 代替ソリューションの特定
- 各ソリューションの評価と実現可能性分析
- 最も実用的で適切なソリューションの選択と推奨
- プロジェクト費用の見積もりと費用便益分析
セキュリティ
システムのセキュリティとは、盗難、不正なアクセスと変更、偶発的または意図しない損傷からシステムを保護することです。 コンピュータ化されたシステムでは、セキュリティには、データ、ソフトウェア、ハードウェアを含むコンピュータシステムのすべての部分の保護が含まれます。 システムのセキュリティには、システムのプライバシーとシステムの整合性が含まれます。
- *システムプライバシー*は、関係する個人の許可/知識なしに個人のシステムがアクセスおよび使用されるのを防ぐことを扱います。
- *システムの整合性*は、システム内の生データおよび処理済みデータの品質と信頼性に関係しています。
管理策
次のように広く分類することができるさまざまな制御手段があります-
バックアップ
- 時間の重要度とサイズに応じて、データベースを毎日/毎週定期的にバックアップします。
- 短い間隔で増分バックアップ。
- バックアップコピーは、災害復旧に特に必要な安全な遠隔地に保管されます。
- 重複したシステムが実行され、非常に重要なシステムであり、ディスクに保存する前に中断を許容できない場合、すべてのトランザクションがミラーリングされます。
施設への物理的アクセス管理
- 物理ロックと生体認証。 たとえば、指紋
- IDカードまたは入場券は、セキュリティスタッフによってチェックされます。
- データを読み取りまたは変更し、ファイルに記録するすべての人の識別。
論理制御またはソフトウェア制御の使用
- パスワードシステム。
- 機密データ/プログラムの暗号化。
- データのケア/処理およびセキュリティに関する従業員のトレーニング。
- インターネットに接続中のウイルス対策ソフトウェアとファイアウォール保護。
リスク分析
リスクとは、価値のあるものを失う可能性です。 リスク分析は、システムの脆弱性とその影響を特定することにより、安全なシステムを計画することから始まります。 その後、リスクを管理し、災害に対処するための計画が作成されます。 災害の可能性とそのコストにアクセスするために行われます。
リスク分析は、化学物質、ヒューマンエラー、プロセス機器などのさまざまな背景を持つ専門家のチームワークです。
リスク分析を実施しながら、次の手順に従う必要があります-
- コンピューターシステムのすべてのコンポーネントの識別。
- 各コンポーネントが直面するすべての脅威と危険の識別。
- リスクの定量化 脅威が現実となった場合の損失の評価。
リスク分析-主な手順
リスクまたは脅威が変化し、潜在的な損失も変化しているため、リスクの管理は上級管理者が定期的に実行する必要があります。
リスク管理は継続的なプロセスであり、次の手順が含まれます-
- セキュリティ対策の識別。
- セキュリティ対策の実装コストの計算。
- セキュリティ対策のコストと脅威の損失および確率の比較。
- セキュリティ対策の選択と実装。
- セキュリティ対策の実施のレビュー。