کنترل دسترسی:/پایان نامه درباره مديريت امنيت اطلاعات

دانلود پایان نامه

کنترل دسترسی  [1]

2-3-11-1- سیاست گذاری و نیازهای سازمانی

لازم است نیازهای سازمانی در زمینه کنترل دسترسی تعریف شده و ثبت گردد. قواعد دسترسی و حقوق هر یک یا هر گروه از کاربران را باید به دقت و به صراحت بیان نمود و در سند روش اعطای حق دسترسی ثبت کرد.

لازم است کاربران و ارائه دهندگان سرویس به سیستم به روشنی در جریان نیازها و روشهای کنترل دسترسی قرارگیرند. لازم است موارد زیر در تعیین روشهای کنترل دسترسی مورد توجه قرارگیرد:

الف) نیازهای امنیتی برنامه های کاربردی مختلف سازمان که به صورت مجزا اجرا می شوند.

ب) شناسائی کلیه اطلاعات مربوط به برنامه های کاربردی .

پ) سیاست های اتخاذ شده برای انتشار اطلاعات و مجوزدهی مثلاً آگاهی از اصول و سطوح امنیتی و نحوه طبقه بندی اطلاعات

ت) ارتباط مناسب بین روشهای کنترل دسترسی و روشهای طبقه بندی اطلاعات سیستم ها و شبکه های مختلف.

ث) قوانین مرتبط و هر یک از نکات قراردادی که بر قواعد حفاظتی و دسترسی به داده ها و خدمات تاثیر گذار است.

ج) تعریف فایلهای پیکربندی دسترسی استاندارد برای کاربرانی که در بخش های مشابه به کار مشغولند.

چ) مدیریت حقوق دسترسی در محیط های شبکه گسترده که قابلیت شناسایی کلیه ارتباط های مختلف را داشته باشد.

 

2-3-11-2- قواعد کنترل دسترسی

در تعیین قواعد کنترل دسترسی توجه به نکات زیر ضروری است:

الف) تفاوت گذاری بین قواعدی که لازم است همیشه رعایت شوند و قواعدی که به صورت انتخابی یا شرطی مورد مراجعه قرار خواهند گرفت.

ب) تعریف قواعد پایه ای سلبی به عنوان مثال “چه چیزی کلاً ممنوع است مگر این که اجازه دسترسی صادر شود”. به جای این که “همه چیز کلاً مجاز است مگر اینکه مشخصاً ممنوع شود.”

ت) تغییرات در برچسب های حفاظتی که به صورت خودکار توسط تجهیزات پردازش اطلاعات تولید می شود و یا به صورت احتیاطی توسط یک کاربر تعیین می شود.

ث) تغییرات در میزان دسترسی مجاز یک کاربر که به صورت خودکار توسط سیستم اطلاعاتی انجام می شود و یا توسط مدیر سیستم تغییر می یابد.

ج) قواعدی که لازم است قبل از اعمال توسط مدیر سیستم اجازه اعمال آن صادر شود و قواعدی که نیاز به این موضوع ندارند.

 

2-3-12- نکات قابل توجه در ممیزی سیستم

هدف: بیشینه سازی اثر بخشی و کارایی و کمینه سازی تداخل و تعارض در عملیات ممیزی سیستم.

لازم است مکانیزم های کنترلی مناسب برای حفظ سیستم های عملیاتی و ابزار ممیزی طی دوره زمانی ممیزی سیستم به کار گرفته شود.همچنین در مورد حفظ جامعیت ابزارهای ممیزی و جلوگیری از سوء استفاده از این ابزار نیز باید حفاظت کامل را به عمل آورد.

 

2-3-12-1- مکانیزم های کنترلی ممیزی سیستم

لازم است نیازهای ممیزی و فعالیت های مربوط به آن از قبیل بازرسی سیستم های عملیاتی به صورتی طراحی شده و انجام پذیرد که کمترین ریسک وقفه در عملیات سازمانی را ایجاد کند. بنابراین توجه به نکات زیر ضروری است:

الف) لازم است نیازهای ممیزی در توافق با مدیریت مربوطه تعریف شوند.

ب) گستره بازرسی باید مورد موافقت قرار گرفته و تحت کنترل باشد.

پ) بازرسی ها باید محدود به دسترسی های فقط- خواندن (Read-Only) به نرم افزارها و داده ها باشد.

ت) دسترسی های به غیر از فقط- خواندن باید فقط برای نسخه های ایزوله شده از فایل های سیستم به کار گرفته شود و پس از تکمیل عملیات ممیزی فایل های مورد مراجعه پاک گردند.

ث) منابع IT مورد استفاده در بازرسی ها باید صریحاً شناسایی شده و در دسترس قرار داشته باشند.

ج) مواد مورد نیاز پردازش های خاص یا پردازش های اضافی باید تشریح شده و مورد موافقت قرار گیرد.

چ) کلیه دسترسی ها باید آشکارسازی شده و برای مراجعات بعدی ثبت شوند.

ح) کلیه رویه ها، نیازها و مسئولیت ها باید به طور مستند ثبت شوند.

 

[1]Access Control

دانلود پایان نامه