U3F1ZWV6ZTI3NTkyNzc3ODczMzk4X0ZyZWUxNzQwNzkxMDI1MzczNA==

مرحباً بكم زوارنا الكرام في مدونة " تقنية للمعلوميات Informatics Technology " ...للإستفسار يمكنكم الإتصال بنا أسفل الصفحة

أمن المعلومات

تقنية للمعلوميات


تدقيق أمن المعلومات

 تدقيق أمن المعلومات هو التدقيق على مستوى أمن المعلومات أو البيانات في المؤسسة. ضمن النطاق الواسع لأمن معلومات التدقيق ، هناك أنواع متعددة من عمليات تدقيق أمن المعلومات ، وأهداف متعددة لعمليات تدقيق مختلفة 

 ويمكن تصنيف الضوابط التي يتم تدقيقها أمن المعلومات في الغالب إلى تقنية ومادية وإدارية . يغطي تدقيق أمن المعلومات موضوعات من تدقيق الأمان المادي لمراكز البيانات إلى تدقيق الأمان المنطقي لقواعد البيانات ويسلط الضوء على المكونات الرئيسية للبحث عن طرق مختلفة لتدقيق معلومات هذه المجالات.


عندما تركز على تكنولوجيا المعلومات  جوانب أمن المعلومات، فإنه يمكن أن ينظر إليه باعتباره جزءا من مراجعة تدقيق تكنولوجيا المعلومات . غالبًا ما يشار إليه على أنه تدقيق أمن تكنولوجيا المعلومات أو تدقيق أمن الكمبيوتر او تدقيق أمن المعلومات. ومع ذلك ، فإن أمن المعلومات يشمل أكثر بكثير من تدقيق تكنولوجيا المعلومات.

التحضير والتخطيط  للتدقيق الأمني للمعلومات. 

يجب أن يكون المدقق على دراية كافية بالشركة وأنشطتها التجارية الهامة قبل إجراء أي عملية مراجعة لمركز البيانات. الهدف من مركز البيانات هو مواءمة أنشطة مركز البيانات مع أهداف العمل مع الحفاظ على أمن وسرية وسلامة المعلومات والعمليات الهامةوالبيانات . لتحديد ما إذا كان قد تم تحقيق هدف العميل أم لا ، يجب على المدقق القيام بما يلي قبل إجراء أي عملية مراجعة:

قابل إدارة تكنولوجيا المعلومات لتحديد مجالات الاهتمام المحتملة لمراجعتها

راجع المخطط التنظيمي الحالي لتكنولوجيا المعلومات

مراجعة التوصيفات الوظيفية لموظفي مركز البيانات

ابحث عن أنظمة التشغيل ، التطبيقات البرمجية ومعدات مراكز بيانات التشغيل داخل مركز البيانات

مراجعة سياسات وإجراءات تكنولوجيا المعلومات الخاصة بالشركة المراد مراجعتها.

تقييم ميزانية تكنولوجيا المعلومات للشركة ووثائق تخطيط الأنظمة

راجع خطة التعافي من الكوارث الخاصة بمركز البيانات

تحديد أهداف التدقيق

تحدث الخطوة التالية في إجراء مراجعة لمركز بيانات الشركة عندما يحدد المدقق أهداف تدقيق مركز البيانات. يأخذ المدققون في الاعتبار عوامل متعددة تتعلق بإجراءات وأنشطة مركز البيانات التي من المحتمل أن تحدد مخاطر التدقيق في بيئة التشغيل وتقييم الضوابط المعمول بها والتي تخفف من تلك المخاطر. بعد الاختبار والتحليل الشامل ، يكون المدقق قادرًا على تحديد ما إذا كان مركز البيانات يحتفظ بالضوابط المناسبة ويعمل بكفاءة وفعالية.


فيما يلي قائمة بالأهداف التي يجب على المدقق مراجعتها:

إجراءات الموظفين والمسؤوليات بما في ذلك الأنظمة والتدريب متعدد الوظائف

عمليات إدارة التغيير مطبقة ويتبعها موظفو تكنولوجيا المعلومات والإدارة

توجد إجراءات نسخ احتياطي مناسبة لتقليل وقت التوقف عن العمل ومنع فقدان البيانات المهمة

يحتوي مركز البيانات على ضوابط أمان مادي كافية لمنع الوصول غير المصرح به إلى مركز البيانات

توجد ضوابط بيئية مناسبة لضمان حماية المعدات من الحريق والفيضانات

 

تدقيق أمن المعلومات

 تدقيق أمن المعلومات هو التدقيق على مستوى أمن المعلومات والبيانات في المؤسسة. ضمن النطاق الواسع لأمن معلومات التدقيق ، هناك أنواع متعددة من عمليات التدقيق ، وأهداف متعددة لعمليات تدقيق مختلفة ، وما إلى ذلك. ويمكن تصنيف الضوابط التي يتم تدقيقها في الغالب إلى تقنية ومادية وإدارية . يغطي تدقيق أمن المعلومات موضوعات من تدقيق الأمان المادي لمراكز البيانات إلى تدقيق الأمان المنطقي لقواعد البيانات ويسلط الضوء على المكونات الرئيسية للبحث عن طرق مختلفة لتدقيق هذه المجالات.


عندما تركز على تكنولوجيا المعلومات (IT) جوانب أمن المعلومات والبيانات ، فإنه يمكن أن ينظر إليه باعتباره جزءا من مراجعة تكنولوجيا المعلومات . غالبًا ما يشار إليه على أنه تدقيق أمن تكنولوجيا المعلومات أو تدقيق أمن الكمبيوتر. ومع ذلك ، فإن أمن المعلومات يشمل أكثر بكثير من تكنولوجيا المعلومات.


عملية التدقيق

 التحضير للتدقيق والتخطيط للتدقيق

يجب أن يكون المدقق على دراية كافية بالشركة وأنشطتها التجارية الهامة قبل إجراء مراجعة لمركز البيانات. الهدف من مركز البيانات هو مواءمة أنشطة مركز البيانات مع أهداف العمل مع الحفاظ على أمن وسلامة المعلومات والعمليات الهامة. لتحديد ما إذا كان قد تم تحقيق هدف العميل أم لا ، يجب على المدقق القيام بما يلي قبل إجراء المراجعة:


قابل إدارة تكنولوجيا المعلومات لتحديد مجالات الاهتمام المحتملة

راجع المخطط التنظيمي الحالي لتكنولوجيا المعلومات

مراجعة التوصيفات الوظيفية لموظفي مركز البيانات

بحث عن أنظمة التشغيل ، التطبيقات البرمجية ومعدات مراكز بيانات التشغيل داخل مركز البيانات

مراجعة سياسات وإجراءات تكنولوجيا المعلومات الخاصة بالشركة

تقييم ميزانية تكنولوجيا المعلومات للشركة ووثائق تخطيط الأنظمة

راجع خطة التعافي من الكوارث الخاصة بمركز البيانات

تحديد أهداف التدقيق

تحدث الخطوة التالية في إجراء مراجعة لمركز بيانات الشركة عندما يحدد المدقق أهداف تدقيق مركز البيانات. يأخذ المدققون في الاعتبار عوامل متعددة تتعلق بإجراءات وأنشطة مركز البيانات التي من المحتمل أن تحدد مخاطر التدقيق في بيئة التشغيل وتقييم الضوابط المعمول بها والتي تخفف من تلك المخاطر. بعد الاختبار والتحليل الشامل ، يكون المدقق قادرًا على تحديد ما إذا كان مركز البيانات يحتفظ بالضوابط المناسبة ويعمل بكفاءة وفعالية.


فيما يلي قائمة بالأهداف التي يجب على المدقق مراجعتها:


إجراءات الموظفين والمسؤوليات بما في ذلك الأنظمة والتدريب متعدد الوظائف

عمليات إدارة التغيير مطبقة ويتبعها موظفو تكنولوجيا المعلومات والإدارة

توجد إجراءات نسخ احتياطي مناسبة لتقليل وقت التوقف عن العمل ومنع فقدان البيانات المهمة

يحتوي مركز البيانات على ضوابط أمان مادي كافية لمنع الوصول غير المصرح به إلى مركز البيانات

توجد ضوابط بيئية مناسبة لضمان حماية المعدات من الحريق والفيضانات

إجراء المراجعة

الخطوة التالية هي جمع الأدلة لتلبية أهداف تدقيق مركز البيانات والمعلومات. يتضمن ذلك السفر إلى موقع مركز البيانات والمعلومات ومراقبة العمليات وداخل مركز البيانات. يجب عمل إجراءات المراجعة التالية لتحقيق أهداف المراجعة:

موظفو مركز البيانات - يجب أن يؤذن لجميع موظفي مركز البيانات والمعلومات بالوصول إلى مركز البيانات (بطاقات المفاتيح ومعرف تسجيل الدخولوتسجيل الخروج وكلمات المرور الآمنة وما إلى ذلك). يتم تعليم موظفي Datacenter بشكل صحيح حول معدات مركز البيانات والمعلومات ويؤدون وظائفهم باشكل الصحيح. يتم الإشراف على موظفي خدمة البائعين عند القيام بالعمل أو المهام على معدات مركز البيانات. يجب على المدقق مراقبة موظفي مركز البيانات وإجراء مقابلات معهم لتحقيق أهدافهم.

المعدات - يجب على المدقق التحقق من أن جميع معدات مركز البيانات تعمل بشكل صحيح وفعال. تساعد تقارير استخدام المعدات ، وفحص المعدات للأضرار والوظائف ، وسجلات تعطل النظام وقياسات أداء المعدات ، المراجع على تحديد حالة معدات مركز البيانات. بالإضافة إلى ذلك ، يجب على المدقق مقابلة الموظفين لتحديد ما إذا كانت سياسات الصيانة الوقائية مطبقة ومنفذة.

السياسات والإجراءات - يجب توثيق جميع سياسات وإجراءات مركز البيانات ووضعها في مركز البيانات. تشمل الإجراءات الموثقة المهمة المسؤوليات الوظيفية لموظفي مركز البيانات ، وسياسات النسخ الاحتياطي ، وسياسات الأمان ، وسياسات إنهاء الموظف ، وإجراءات تشغيل النظام ونظرة عامة على أنظمة التشغيل.

الأمن المادي / الضوابط البيئية - يجب على المدقق تقييم أمن مركز بيانات العميل. يشمل الأمن المادي الحراس الشخصيين ، والأقفاص المغلقة ، والفخاخ ، والمداخل الفردية ، والمعدات المثبتة بمسامير ، وأنظمة مراقبة الكمبيوتر. بالإضافة إلى ذلك ، يجب وضع ضوابط بيئية لضمان أمن معدات مركز البيانات. وتشمل هذه وحدات تكييف الهواء والأرضيات المرتفعة وأجهزة الترطيب وإمدادات الطاقة غير المنقطعة .

إجراءات النسخ الاحتياطي - يجب على المدقق التحقق من أن العميل لديه إجراءات احتياطية مطبقة في حالة فشل النظام. قد يحتفظ العملاء بمركز بيانات احتياطي في موقع منفصل يسمح لهم بمواصلة العمليات على الفور في حالة فشل النظام.


إصدار تقرير حول المراجعة والتدقيق الأمني للبيانات

يجب أن يلخص تقرير مراجعة مركز البيانات والمعلومات نتائج المراجع وأن يكون مماثلاً في الشكل لتقرير المراجعة القياسي. يجب أن يكون تقرير المراجعة مؤرخًا اعتبارًا من اكتمال استفسار المدقق وإجراءاته. يجب أن يذكر ما استلزمه الاستعراض وأن يشرح أن المراجعة توفر فقط "تأكيدًا محدودًا" للأطراف الثالثة.


من يقوم بعمليات تدقيق البيانات

بشكل عام ، يتم إجراء عمليات تدقيق أمان الكمبيوتر او أمن المعلومات للكمبيوتر من خلال:

المنظمون الفيدراليون أو المنظمون التابعون للولاية - محاسبون معتمدون ، CISA. OTS الفيدرالية ، OCC ، DOJ ، إلخ.

المدققون الداخليون للشركات - محاسبون معتمدون ، CISA ، محترف معتمد في تدقيق الإنترنت (CIAP). [1]

المدققون الخارجيون - متخصصون في المجالات المتعلقة بمراجعة التكنولوجيا.

المستشارون - الاستعانة بمصادر خارجية للتدقيق التكنولوجي حيث تفتقر المنظمة إلى مجموعة المهارات المتخصصة.

الأنظمة المدققة

تلخص نقاط ضعف الشبكة بالاتي

اعتراض :المعلومات او البيانات التي يتم نقلها عبر أو من خلاال لشبكة عرضة للاعتراض أو القرصنه من قبل طرف ثالث غير مقصود يمكن أن يضع البيانات في الاستخدام الضار.

التوفر: أصبحت الشبكات واسعة النطاق ، حيث قطعت مئات أو آلاف الأميال التي يعتمد الكثيرون عليها للوصول إلى معلومات الشركة ، وقد يتسبب فقدان الاتصال في انقطاع الأعمال.

نقطة الوصول / الدخول: الشبكات عرضة للوصول غير المرغوب فيه أو عرضة للقرصنه. يمكن لنقطة ضعف في الشبكة أن تجعل هذه المعلومات متاحة للمتطفلين. يمكنه أيضًا توفير نقطة دخول للفيروسات وأحصنة طروادة. [2]

ضوابط

ضوابط الاعتراض: يمكن ردع الاعتراض جزئيًا عن طريق ضوابط الوصول المادي في مراكز البيانات والمكاتب ، بما في ذلك حيث تنتهي روابط الاتصال وحيث توجد أسلاك الشبكة والتوزيعات. يساعد التشفير أيضًا في تأمين الشبكات اللاسلكية.

ضوابط التوفر: أفضل تحكم لذلك هو أن يكون لديك بنية شبكة ممتازة ومراقبتها. يجب أن تحتوي الشبكة على مسارات زائدة عن الحاجة بين كل مورد ونقطة وصول وتوجيه تلقائي لتحويل حركة المرور إلى المسار المتاح دون فقدان البيانات أو الوقت.

عناصر التحكم في الوصول / نقطة الدخول: يتم وضع معظم عناصر التحكم في الشبكة في النقطة التي تتصل فيها الشبكة بشبكة خارجية. هذه الضوابط تحد من حركة المرور التي تمر عبر الشبكة. يمكن أن يشمل ذلك جدران الحماية وأنظمة كشف التسلل وبرامج مكافحة الفيروسات.

يجب على المدقق طرح أسئلة معينة لفهم الشبكة ونقاط ضعفها بشكل أفضل. يجب على المدقق أولاً تقييم مدى انتشار الشبكة وكيف يتم هيكلتها. يمكن أن يساعد مخطط الشبكة المدقق في هذه العملية. السؤال التالي الذي يجب على المدقق طرحه هو ما هي المعلومات الهامة التي يجب أن تحميها هذه الشبكة. عادةً ما تكون أشياء مثل أنظمة المؤسسات وخوادم البريد وخوادم الويب والتطبيقات المضيفة التي يمكن للعملاء الوصول إليها من مجالات التركيز. من المهم أيضًا معرفة من يمكنه الوصول وإلى أي أجزاء. هل يمكن للعملاء والبائعين الوصول إلى الأنظمة الموجودة على الشبكة؟ هل يمكن للموظفين الوصول إلى المعلومات من المنزل؟ أخيرًا ، يجب على المدقق تقييم كيفية اتصال الشبكة بالشبكات الخارجية وكيفية حمايتها. معظم الشبكات متصلة على الأقل بالإنترنت ، والتي قد تكون نقطة ضعف. هذه أسئلة مهمة في حماية الشبكات

ما هو تدقيق أمن المعلومات او أمن البيانات؟

 سنحاول توضيح او تحديد المفاهيم الأساسية  ، ووصفها بأبسط اللغات (في الناس يمكن أن يطلق عليها تدقيق "الدمى").اسم هذه المجموعة من التدابير يتحدث عن نفسه لنفسك تدقيق أمن المعلومات هو فحص مستقل أو تقييم خبير لأمن نظام المعلومات (IS) لمؤسسة أو مؤسسة أو على أساس معايير ومؤشرات مطورة .

بعبارة ثانية  ، التدقيق يتم تخفيض أمن المعلومات المصرف لتقييم مستوى حماية قواعد بيانات العملاء ، وإجراء العمليات المصرفية ، والحفاظ على الأموال الإلكترونية ، والحفاظ على السرية  ، وما إلى ذلك في حالة التدخل في أنشطة المؤسسة من قبل الغرباء باستخدام وسائل إلكترونية خارجية ومرافق الكمبيوتر.

الاتجاهات الرئيسية لمراجعة أمن وتدقيق المعلومات

أما فيما يتعلق بنطاق هذه المراجعة  ، فهي تتميز بالعديد من:

تحقق كامل من الكائنات المشاركة في العمليات المعلوماتية (الحاسوب الآلي، النظام، وسائل الاتصال، وتلقي ونقل البيانات ، معالجة البيانات والمعلومات والمرافق والتسهيلات للاجتماعات الخاصة، وأنظمة امن  المراقبة.......الخ)؛

التحقق من موثوقية حماية المعلومات والبيانات السريةالمعلومات ذات الوصول المحدود (تحديد قنوات التسريب المحتملة اوالثغرات الأمنية المحتملة التي تسمح بالوصول أو التتبع إليها من الخارج باستخدام أساليب معينه وقياسية وغير قياسية) ؛

تحقق من جميع أنظمة الكمبيوتر والأجهزة الإلكترونية المحلية عن التعرض للإشعاع الكهرومغناطيسي والتدخل، أو التشويش والسماح لهم لإيقاف أو تحقيق في حالة سيئة.

جزء من المشروع ، والذي يتضمن العمل على خلق مفهوم الأمن وتطبيقه في التنفيذ العملي (حماية أنظمة الكمبيوتر والمرافق والاتصالات ووسائل التواصل وغيرها).

تعليقات
ليست هناك تعليقات
إرسال تعليق

إرسال تعليق

الاسمبريد إلكترونيرسالة