مقاله کامل در مورد يادگيري (2)

اهداف يادگيري
پس از بررسي اين فصل شما باشد:
– نقش ايفا شده توسط كنترل را در محصول و فقط امنيت رايانه درك نماييد.
– درك بهتري از مديريت وتنش آن دركنترل فرابند توسعه CBIS داشته باشيد.
– بدانبد كه چگونه كنترل ها مي توانند در طراحي سيستم ادغام شوند.
– بدانيد كه چگونه عمليات سيستم مي تواند كنترل شود
– با وظايف وكارهاي انجام شده توسط پرسنل عمليات رايانه آشنا شويد
– ضرورت طرح ريزي وانواع طرح هاي خاصي را درك نماييد كه امكان پذير هستند
مقدمه:
اكنون كه CBIS اجرا شده است، مي تواند به صورت روزانه براي ارائه منافعي استفاده شودكه توسعه آن را توجيه مي نمايد.سه مرحله اول چرخه،زندگيCBIS احتمالا چندين ماه يا يك سال يا بيشتر طول بكشد تا كامل شود.شركت اميدوار است كه مرحله عمليات چندين طول بكشد قبل از اينكه چرخه زندگي تكرار شود.در اين فصل مابه كنترل ها در CBIS توجه مي كنيم تا آن را ايمن سازيم. با اين حال، مديريت منتظر نمي ماند تا اينكه فاز عمليات كنترل را تثبيت نمايد.
اهميت كنترل:
يكي از اهداف CBIS عبارت اند از پشتيباني مديران مي باشد هنگامي كه آنها نواحي عملياتي خودشان را كنترل مي نمايند. اما حتي اگر CBIS كنترل را آسان نمايد، CBIS خودش بايد كنترل
شود.مديران كنترل كار تيمهاي پروژه را در طي مراحل طراحي واجرا را بررسي ميكنند. وقتي كه CBIS عملياتي مي شود، عملكرد آن بايد به دقت كنترل شود. همه ما داستانهايي درباره جنايت رايانه اي مطالعه كرده ايم (يعني چگونه هزاران دلار از يك بانك توسط دسترسي به پايگاه داده رايانه اي اختلاس شده است).همچنين درباره مهاجمان (هكر) رايانه اي كه سازمانها ومنبع ايشان را تهديد مي كنند مطالعه كرده ايم و اينكه چگونه ويروس ها را منتشر مي كنند كه باعث خراب شدن اطلاعات و برنامه ها مي شوند. اين اقدامات عمدي موجب تهديدهايي به سازملن ومنبع اطلاعات آن مي شوند، همانگونه كه اقدامات غير عمدي و بصورت تصادفي باعث بلايا و فجايع مي شود.مديريت كنترل را انجام ميدهد تا از وقوع اين بلا يا
كاهش تأثير آنها جلوگيري كند. فقط با توسعه يك CBIS كنترل شده ماديران ميتوانند به خروجي آن اعتماد داشته باشند.
رابطه امنيت كنترل- امنيت ممكن است بصورت حفاظت منابع فيزيكي ومفهومي از آسيب هاي طبيعي و انساني تعريف شود. امنيت منابع مفهومي يعني ديتا واطلاعات مورد توجه ما مي باشد اگرچه امنيت اطلاعات وديتا شكل هاي مختلفي را ممكن است به خود بگيرد و همگي آنها در شش مقوله در جدول 18.1 قرار مي گيرد.
جدول 18.1 شش روش براي نقض breach امنيت اطلاعات و ديتا (اطلاعات خام)
نقض تصادفي امنيت اطلاعات و ديتا در مقايسه با اقدامات عمدي، تهديد بيشتري مي باشند. اقدامات عمدي معمولا بيشترين طرفدار
را دارند ولي اقدامات تصادفي در بيشتر مواقع رخ مي دهند.
خصوصيات سيستم امنيت را آسان ميكند: اگر يك سيستم اطلاعات بخواهند محتويات اش را ايمن نگه دارد وآنگاه او بايد سه خاصيت داشته باشد: يكپارچگي، قابليت مميزي و قابليت كنترل
يكپارچگي:يك سيستم داراي يكپارچگي است بصورت عمدي اجرا شود.طراحان سيستم تلاش دارند كه سيستمي را توسعه دهند كه داراي يكپارچگي عملياتي است وقادر به ادامه عمليات است حتي هنگامي كه يك يا چند مؤلفه شكست بخورد.يك مثال خوب عبارت اند از يك شبكه پردازش توزيع يافته است كه به كار خودش ادامه ميدهد پس از اينكه پردازشگرها غير عملياتي مي شوند.
قدرت مميزي شدن: وقتي كه يك سيستم داراي قدرت مميزي باشد براحتي ميتوان آن را بررسي و يا تاييد كرد و عملكرد را نمايش داد. افرادي كه مستقل از واحد خدمات اطلاعات هستند از قبيل مميزهاي داخلي وخارجي، مميزي را انجام مي دهند. براي اينكه يك سيستم قابل مميزي گردد بايد آزمايشاتي را طي نمايد و قابليت حسابداري داشته باشد يعني هر رويدادي كه در داخل سيستم رخ ميدهد بايد براي يك فرد واحد قابل رديابي باشد همچنين مديران سيستم بايد متوجه عملكرد غير قابل قبول سيستم باشند.
يك سيستم CBIS قابل مميزي است هنگامي كه مستند سازي افرادي را مشخص نمايد كه آن را توسعه دادند و برنامه ها شامل كنترل هاي خطاي ضروري هستند.
قابليت كنترل شدن:مديريت ميتواند يك تأثير هدايت كننده يا محدود كننده بر روي سيستم را انجام دهد.هنگامي كه از قابليت كنترل بهره ميبرد.يك روش موثر براي حصول قابليت كنترل سيستم عبارت اند از تقسيم كردن سيستم به زير سيستم هايي است كه كراهاي مجزا را كنترل مينمايند.
يك نقض يكپارچگي در يك زير سيستم، كل سيستم را مختل مينمايد. مثلا، يك سيستم فرعي در يك بانك براي گشايش حساب ها استفاده مي شود و زير سيستم ديگر براي برداشت از حساب ها استفاده مي شود. اولين سيستم فرعي از زير سيستم،دومين زير سيستم را كنترل مي كند تا مانع از بكارگيري غير مجاز بودجه ها گردد مانند شخصي كه يك حساب را تحت يك نام مفروض گشايش مينمايد و بودجه ها را به صورت غير
قانوني بداخل آن، از ساير حساب ها منتقل مينمايد. بنابراين مديران، امنيت سيستم اطلاعات را با توسعه دادن سيستم هايي بدست مي آورند كه خصوصيات يكپارچگي، توانايي مميزي و قابليت كنترل را نمايش مي دهند. كار كنترل CBIS كنترل CBIS تمام مراحل چرخه زندگي را در بر مي گيرد.در طي چرخه زندگي، كنترل ها ميتوانند به مواردي تقسيم بندي شوند كه به توسعه، طراحي واجرا مطابق با طرح پيش برود. وقتي CBIS توسعه مي يابد، مديريت تضمين ميكند كه طراحي، احتمال خطا را به حداقل مي رساند، خطاها را آشكار مي كند هنگامي كه آنها را بوجود مي آيند، و آنها با نزم افزار وسخت افزار حاصل ميشوند.
وقتي كه CBIS اجرا مي شود، كنترل هاي عمليات ويكپارچگي سيستم را حفظ ميكنند. يك مثال
درباره يك كنترل عمليات عبارت اند از تقسيم كردن وظايف در بين پرسنل عمليات مي باشد.كنترل هاي عمليات بعهده مدير عمليات رايانه است.
روش هاي خصول ونگهداري كنترل: مديريت مي تواند كنترل را به سه روش اساسي مطابق شكل 18.1 انجام دهد. اولا، مديريت مي تواندكنترل مستقيم را انجام دهد وپيشرفت وعملكرد را ارزيابي كند و اقدامات اصلاحي لازم را تعيين نمايد، اين امر مستلزم آگاهي از رايانه است.ثانيا، مديريت CBIS را بطور غير مستقيم بصورت تمام وقت از طريق CIO كنترل ميكند. CIO مسئول توسعه يك CBIS است كه نيارهاي مديران را تأمين مينمايد و CBIS را عملياتي نگه مي دارد.ثالثا، مديريت CBIS را بطور غير مستقيم بر اساس پروژه از طريق شخص ثالث كنترل ميكند
از قبيل مميزهاي داخلي يا خارجي.اين متخصصان يك سري اطلاعات رايانه اي را فراهم مي نمايند كه مديران فاقد آن هستند. ما اكنون به ذكر سه حوزه كنترل CBIS مي پردازيم يعني توسعه، طراحي وعمليات.
كنترل فرايند توسعه- هدف از كنترل توسعه عبارت اند از تخمين اين امر است كه يه CBIS اجرا مي شود كه نيازهاي كاربران را تأمين ميكند. شكل 18.2 هفت مثال درباره كنترل توسعه را تعيين مي نمايد و به موارد كاربرد آنها در چرخه زندگي اشاره دارد.
شكل 18.1 مدير ميتواند سه مسير را براي كنترل CBIS طي كند.
1-مديريت ارشد، كنترل پروژه را بطور كلي در طي مرحله طرح ريزي توسط تشكيل يك كميته MS

فایل : 54 صفحه

فرمت : Word