تدقيق أمن المعلومات

تدقيق أمن المعلومات (بالإنجليزية: Information security audit)‏ هو لتدقيق على مستوى أمن المعلومات في المؤسسة.[1][2][3] ضمن نطاق واسع من تدقيق أمن المعلومات، هناك أنواع متعددة من عمليات التدقيق، وأهداف متعددة لمختلف عمليات التدقيق، وأهداف متعددة لعمليات التدقيق المختلفة والأكثر شيوعاً، الخ. يمكن تصنيف عناصر التحكم التي تدقق إلى عناصر التقنية والمادية والإدارية. يغطي تدقيق أمن المعلومات مواضيع تمتد من تدقيق الأمن المادي لمراكز البيانات لتدقيق الأمن المنطقي لقواعد البيانات ويسلط الضوء على المكونات الرئيسة للبحث عن وسائل لتدقيق هذه المجالات المختلفة. عندما تركز على جوانب تكنولوجيا أمن المعلومات، يمكن أن ينظر إليها كجزء من تدقيق أمان تقنية المعلومات. ثم غالباً ما يشار إليها أو تدقيق أمن الكمبيوتر. ومع ذلك، أمن المعلومات أشمل من ذلك بكثير.

إجرائية التدقيق

التخطيط للتدقيق

ينبغي أن يكون للمدقق معلومات كافيةً حول الشركة وأنشطتها التجارية الهامة قبل إجراء استعراض مركز البيانات. والهدف من مركز البيانات هو مواءمة أنشطة مركز البيانات مع أهداف الأعمال مع الحفاظ على أمن وسلامة المعلومات والعمليات الحرجة. وتحديد ما إذا كان، أو لم يكن، يجري تحقيق هدف العميل، يجب على المدقق القيام بما يأتي قبل إجراء الاستعراض: • لقاء مع إدارة تقنية المعلومات لتحديد المجالات المحتملة للقلق. • مراجعة المخطط الهيكلي الحالي لتكنولوجيا المعلومات. • مراجعة الوصف الوظيفي للعاملين في مركز البيانات. • البحث عن أنظمة التشغيل والتطبيقات والبرمجيات والبيانات والمعدات العاملة ضمن مركز مركز البيانات. • مراجعة السياسات واجراءات تقنية المعلومات في الشركة. • تقييم وثائق ميزانية تكنولوجيا المعلومات والتخطيط لأنظمة الشركة. • مراجعة خطة الطوارئ لمواجهة الكوارث لمركز البيانات.

إنشاء أهداف مراجعة الحسابات

الخطوة التالية في إجراء استعراض لمركز بيانات الشركات عند المدقق هو تحديد أهداف مراجعة مركز البيانات. على المدققين النظر في العوامل المتعددة التي تتصل ببيانات مركز الإجراءات والأنشطة التي يحتمل أن تكون مصدر المخاطر في بيئة العمل، وتقييم عناصر التحكم الموجودة في المكان. أن التخفيف من حدة تلك المخاطر. بعد اختبار دقيق وتحليل، يكون المدقق قادر على أن يحدد على نحو كاف ما إذا كان مركز البيانات يحافظ على ضوابط سليمة ويعمل بكفاءة وفعالية. في أدناه قائمة أهداف ينبغي للمدقق استعراضها:

  • إجراءات شؤون الموظفين والمسؤوليات بما في ذلك النظم والتدريب متعدد الوظائف.
  • عمليات إدارة التغيير في المكان، ويتبعه الأفراد والإدارة.
  • إجراءات النسخ الاحتياطي المناسبة وفي المكان المناسب لتقليل وقت التوقف عن العمل، ومنع فقدان البيانات الهامة.

الخطوة التالية هي جمع الأدلة لتلبية أهداف التدقيق لمركز البيانات. وهذا يشمل السفر إلى موقع مركز البيانات والمراقبة للعمليات وضمن مركز البيانات. يجب إجراء إجراءات التدقيق التالية لتحقيق أهداف التدقيق المحددة مسبقًا:

  • موظفو مركز البيانات: يجب منح التصريح لجميع موظفي مركز البيانات للوصول إلى مركز البيانات (بطاقات إلكترونية، معرف تسجيل الدخول، كلمات المرور الآمنة، إلخ). يُثقف موظفو مركز البيانات بصورة كافية حول معدات مركز البيانات وأداء وظائفهم بصورة صحيحة. يُشرف على موظفي الخدمات الخاصة بالبائعين عند العمل على معدات مركز البيانات. يجب على المدقق مراقبة موظفي مركز البيانات وإجراء مقابلات معهم لتحقيق أهدافهم.
  • المعدات: يجب على المدقق التحقق من أن جميع معدات مركز البيانات تعمل بصورة صحيحة وفعالة. تساعد تقارير استخدام المعدات وفحص المعدات بحثًا عن التلف والأداء الوظيفي وسجلات تعطل النظام وقياسات أداء المعدات المدقِّقَ في تحديد حالة معدات مركز البيانات. بالإضافة إلى ذلك، يجب على المدقق مقابلة الموظفين لتحديد ما إذا كانت سياسات الصيانة الوقائية موجودة وتُنفذ.
  • السياسات والإجراءات: يجب توثيق جميع سياسات مركز البيانات وإجراءاته ووضعها في مركز البيانات. تتضمن الإجراءات الموثقة المهمة: المسؤوليات الوظيفية لموظفي مركز البيانات، وسياسات النسخ الاحتياطي، وسياسات الأمان، وسياسات الاستغناء عن الموظف، وإجراءات تشغيل النظام، ونظرة عامة على أنظمة التشغيل.
  • الأمن المادي / ضوابط الوسط المحيط: يجب على المدقق تقييم أمن مركز بيانات العميل. يشمل الأمن المادي الحراس الشخصيين، والأقفاص المقفلة، والمان ترابات (حواجز التحكم بالدخول)، والمداخل الفردية، والمعدات المثبتة، وأنظمة مراقبة الكمبيوتر. بالإضافة إلى ذلك، يجب وضع ضوابط للوسط المحيط لضمان أمن معدات مركز البيانات. وتشمل هذه الضوابط: وحدات تكييف الهواء والأرضيات المرتفعة وأجهزة الترطيب ومزودات الطاقة اللامنقطعة.
  • إجراءات النسخ الاحتياطي: يجب على المدقق التحقق من أن العميل لديه إجراءات نسخ احتياطي مطبقة في حالة فشل النظام. يمكن للعملاء الاحتفاظ بمركز بيانات احتياطي في موقع منفصل يسمح لهم بمتابعة العمليات على الفور في حالة فشل النظام.

إصدار تقرير التدقيق

يجب أن يلخص تقرير التدقيق لمركز البيانات النتائج التي توصل إليها المدقق وأن يكون مماثلًا في الصيغة لتقرير التدقيق المعياري. يجب أن يؤرخ تقرير التدقيق بتاريخ انتهاء المدقق من تحقيقه وإجراءاته. يجب أن يذكر التقرير ما يستلزمه التدقيق وأن يوضح أن التدقيق يقدم فقط «ضمانًا محدودًا» للأطراف الثالثة.

من يقوم بعمليات التدقيق

بصورة عامة، تُجرى عمليات التدقيق لأمان الحاسب من قبل:

  • المنظمين الفيدراليين أو الدوليين: هم المحاسبون المعتمدون، سي آي إس إيه. أو تي إس الفيدرالية، أو سي سي، دي أو جاي إلخ.
  • المدقق الداخلي للشركات: هم المحاسبون المعتمدون، سي آي إس إيه، محترف معتمد لتدقيق الإنترنت (سي آي إيه بّي).                             
  • المدققين الخارجيين: هم متخصصون في المجالات المتعلقة بالتدقيق التقني.
  • الاستشاريين: الاستعانة بمصادر خارجية من أجل التدقيق التقني في المجالات التي تفتقر فيها المنظمة إلى الأفراد أصحاب المهارات المتخصصة.

أنظمة التدقيق

نقاط ضعف الشبكة

  • الاعتراض: البيانات التي تُرسل عبر الشبكة عرضة للاعتراض من قبل طرف ثالث غير مقصود يمكنه استخدام البيانات بصورة ضارة.
  • التوافرية: أصبحت الشبكات واسعة النطاق، إذ تجتاز مئات أو آلاف الأميال ويعتمد عليها الكثير من الناس للوصول إلى معلومات الشركة، وقد يؤدي فقد الاتصال إلى انقطاع الأعمال.
  • الوصول / نقطة الدخول: الشبكات عرضة للوصول غير المرغوب فيه. يمكن أن تجعل نقطة الضعف في الشبكة معلومات الشبكة متاحة للمتسللين. قد توفر أيضًا نقطة دخول للفيروسات وأحصنة طروادة.

ضوابط

  • ضوابط الاعتراض: يمكن ردع الاعتراض جزئيًا من خلال ضوابط الوصول الفيزيائي في مراكز البيانات والمكاتب، بما في ذلك حيث تنتهي وصلات الاتصال وحيث توجد أسلاك الشبكة والتوزيع. يساعد التشفير أيضًا على تأمين الشبكات اللاسلكية.
  • ضوابط التوافرية: أفضل ضبط لذلك هو امتلاك بنية ومراقبة ممتازة للشبكة. يجب أن يكون للشبكة مسارات زائدة بين كل مورد ونقطة وصول وتوجيه تلقائي لتحويل حركة المرور إلى المسار المتاح دون فقدان البيانات أو الوقت.
  • ضوابط الوصول أو ضوابط نقطة الدخول: تُوضع معظم ضوابط الشبكة عند النقطة التي تتصل فيها الشبكة بالشبكة الخارجية. تحد هذه الضوابط حركة المرور التي تمر عبر الشبكة. يمكن أن تشمل هذه الضوابط الجدران النارية وأنظمة كشف التسلل وبرامج مكافحة الفيروسات.

يجب على المدقق طرح أسئلة معينة لفهم الشبكة ونقاط ضعفها بصورة أفضل. يجب أن يقيّم المدقق أولاً مدى اتساع الشبكة وكيف بُنيت. قد يساعد مخطط الشبكة المدقق في هذه العملية. السؤال التالي الذي يجب على المدقق طرحه هو ما هي المعلومات الهامة التي يجب أن تحميها هذه الشبكة. عادةً ما تكون أشياء مثل أنظمة المؤسسة وخوادم البريد وخوادم الويب والتطبيقات المضيفة التي يصل إليها العملاء من المجالات التي يجب التركيز على حمايتها. من المهم أيضًا معرفة من يملك صلاحية الوصول وما الأجزاء التي تملك صلاحية الوصول إليها. هل يمكن للعملاء والبائعين الوصول إلى الأنظمة الموجودة على الشبكة؟ هل يمكن للموظفين الوصول إلى المعلومات من المنزل؟ وأخيرًا، يجب على المدقق تقييم كيفية اتصال الشبكة بالشبكات الخارجية وكيفية حمايتها. معظم الشبكات متصلة بالإنترنت على الأقل، ما قد يكون نقطة ضعف. تعد هذه الأسئلة حاسمة في حماية الشبكات.

التشفير وتدقيق تكنلوجيا المعلومات (آي تي)

عند تقييم حاجة العميل إلى تطبيق سياسات التشفير لمؤسسته، يجب على المدقق إجراء تحليل لمخاطر العميل وقيمة البيانات. يجب على الشركات التي لديها العديد من المستخدمين الخارجيين، وتطبيقات التجارة الإلكترونية، ومعلومات العملاء والموظفين الحساسة الحفاظ على سياسات التشفير الصارمة التي تهدف إلى تشفير البيانات الصحيحة في المرحلة المناسبة من عملية جمع البيانات.

يجب على المراجعين تقييم سياسات التشفير الخاصة بعملائهم وإجراءاتها باستمرار. الشركات التي تعتمد بصورة كبيرة على أنظمة التجارة الإلكترونية والشبكات اللاسلكية معرضة بشدة لسرقة وفقدان المعلومات الهامة في الإرسال. يجب توثيق السياسات والإجراءات وتنفيذها لضمان حماية جميع البيانات المرسلة.

يجب على المدقق التحقق من أن الإدارة لديها ضوابط سارية على عملية إدارة تشفير البيانات. يجب أن يتطلب الوصول إلى المفاتيح تحكمًا مزدوجًا، ويجب أن تتكون المفاتيح من مكونين منفصلين ويجب صيانتها على جهاز حاسب لا يمكن للمبرمجين أو المستخدمين الخارجيين الوصول إليه. علاوةً على ذلك، يجب على الإدارة أن تشهد أن سياسات التشفير تضمن حماية البيانات عند المستوى المطلوب والتحقق من أن تكلفة تشفير البيانات لا تتجاوز قيمة المعلومات نفسها. يجب تشفير جميع البيانات المطلوب الاحتفاظ بها لفترة زمنية طويلة ونقلها إلى موقع بعيد. يجب وضع إجراءات لضمان وصول جميع المعلومات الحساسة المشفرة إلى موقعها وتخزينها بصورة صحيحة. وأخيرًا، يجب أن يحصل المدقق على تأكيد من الإدارة بأن نظام التشفير قوي وانه غير معرض للهجوم ومتوافق مع جميع القوانين واللوائح المحلية والدولية.

انظر أيضًا

مراجع

  1. ^ Compliance by design - Bridging the chasm between auditors and IT architects Computers & Security 30(6-7): 410-426 (2011) نسخة محفوظة 21 سبتمبر 2017 على موقع واي باك مشين.
  2. ^ "Record and replay secure remote access of outsource providers and remote employees". ObserveIT. مؤرشف من الأصل في 2009-07-09. اطلع عليه بتاريخ 2008-11-23.
  3. ^ "10 Pieces of Advice That Will Help You Protect Your Data". 360ict. مؤرشف من الأصل في 2017-10-12. اطلع عليه بتاريخ 2016-06-24.

 

Index: pl ar de en es fr it arz nl ja pt ceb sv uk vi war zh ru af ast az bg zh-min-nan bn be ca cs cy da et el eo eu fa gl ko hi hr id he ka la lv lt hu mk ms min no nn ce uz kk ro simple sk sl sr sh fi ta tt th tg azb tr ur zh-yue hy my ace als am an hyw ban bjn map-bms ba be-tarask bcl bpy bar bs br cv nv eml hif fo fy ga gd gu hak ha hsb io ig ilo ia ie os is jv kn ht ku ckb ky mrj lb lij li lmo mai mg ml zh-classical mr xmf mzn cdo mn nap new ne frr oc mhr or as pa pnb ps pms nds crh qu sa sah sco sq scn si sd szl su sw tl shn te bug vec vo wa wuu yi yo diq bat-smg zu lad kbd ang smn ab roa-rup frp arc gn av ay bh bi bo bxr cbk-zam co za dag ary se pdc dv dsb myv ext fur gv gag inh ki glk gan guw xal haw rw kbp pam csb kw km kv koi kg gom ks gcr lo lbe ltg lez nia ln jbo lg mt mi tw mwl mdf mnw nqo fj nah na nds-nl nrm nov om pi pag pap pfl pcd krc kaa ksh rm rue sm sat sc trv stq nso sn cu so srn kab roa-tara tet tpi to chr tum tk tyv udm ug vep fiu-vro vls wo xh zea ty ak bm ch ny ee ff got iu ik kl mad cr pih ami pwn pnt dz rmy rn sg st tn ss ti din chy ts kcg ve
Prefix: a b c d e f g h i j k l m n o p q r s t u v w x y z 0 1 2 3 4 5 6 7 8 9

Portal di Ensiklopedia Dunia

Portal : Agama
Agama
Portal : Bahasa
Bahasa
Portal : Biografi
Biografi
Portal : Budaya
Budaya
Portal : Ekonomi
Ekonomi
Portal : Elektronika
Elektronika
Portal : Film
Film
Portal : Filsafat
Filsafat
Portal : Geografi
Geografi
Portal : Indonesia
Indonesia
Portal : Ilmu
Ilmu
Portal : Lingkungan
Lingkungan
Portal : Masyarakat
Masyarakat
Portal : Matematika
Matematika
Portal : Militer
Militer
Portal : Mitologi
Mitologi
Portal : Musik
Musik
Portal : Olahraga
Olahraga
Portal : Pendidikan
Pendidikan
Portal : Politik
Politik
Portal : Sastra
Sastra
Portal : Sejarah
Sejarah
Portal : Seni
Seni
Portal : Teknologi
Teknologi