सूचना सुरक्षा ऑडिट(लेखापरीक्षा)
सूचना सुरक्षा ऑडिट एक संगठन में सूचना सुरक्षा के स्तर पर एक लेखा परीक्षा(ऑडिट) है। ऑडिटिंग सूचना सुरक्षा के व्यापक दायरे में कई प्रकार के ऑडिट, विभिन्न ऑडिट के लिए कई उद्देश्य आदि हैं| आमतौर पर ऑडिट किए जा रहे नियंत्रणों को तकनीकी, भौतिक और प्रशासनिक में वर्गीकृत किया जा सकता है। ऑडिटिंग सूचना सुरक्षा डेटा केंद्रों की भौतिक सुरक्षा की ऑडिटिंग से लेकर डेटाबेस की तार्किक सुरक्षा के ऑडिट तक विषयों को शामिल करती है और इन क्षेत्रों की ऑडिटिंग के लिए अलग-अलग तरीकों की तलाश के लिए प्रमुख घटकों पर प्रकाश डालती है।
जब सूचना सुरक्षा के आईटी पहलुओं पर ध्यान केंद्रित किया जाए तो इसको एक सूचना प्रौद्योगिकी लेखा परीक्षा के एक हिस्से के रूप में देखा जा सकता है। यह अक्सर तब एक सूचना प्रौद्योगिकी सुरक्षा लेखा परीक्षा या एक कंप्यूटर सुरक्षा लेखा परीक्षा के रूप में जाना जाता है। हालांकि, सूचना सुरक्षा आईटी से अधिक शामिल हैं।
ऑडिट(लेखापरीक्षा) प्रक्रिया
लेखा परीक्षा योजना और तैयारी
डेटा सेंटर की समीक्षा करने से पहले एक ऑडिटर को कंपनी और इसकी महत्वपूर्ण व्यावसायिक गतिविधियों के बारे में पर्याप्त रूप से जानकारी प्रदान की जानी चाहिए। डेटा सेंटर का लक्ष्य महत्वपूर्ण जानकारी और प्रक्रियाओं की सुरक्षा और अखंडता को बनाए रखते हुए व्यवसाय के उद्देशयों के साथ डेटा सेंटर गतिविधियों को संरेखित करना है। पर्याप्त रूप से निर्धारित करने के लिए कि क्या ग्राहक के लक्ष्य को हासिल किया जा रहा है या नहीं , लेखा परीक्षक द्वारा समीक्षा किए जाने से पहले नीचे दिए गए बिंदुयो पर ध्यान देना चाहिए:
- चिंता की समीक्षा के संभावित क्षेत्रों का निर्धारण करने के लिए आईटी प्रबंधन के साथ मिलें
- वर्तमान आईटी संगठन चार्ट की समीक्षा करें
- डेटा सेंटर के कर्मचारियों की नौकरी के विवरण की समीक्षा करें
- डेटा सेंटर के भीतर काम करने वाले सभी ऑपरेटिंग सिस्टम, सॉफ्टवेयर एप्लिकेशन और डेटा सेंटर उपकरण का अनुसंधान करें
- कंपनी की आईटी नीतियों और प्रक्रियाओं की समीक्षा करें
- कंपनी के आईटी बजट और सिस्टम प्लानिंग डॉक्यूमेंटेशन का मूल्यांकन करें
- डेटा सेंटर की आपदा वसूली योजना की समीक्षा करें
लेखापरीक्षा उद्देश्यों की स्थापना
कॉर्पोरेट डेटा सेंटर की समीक्षा करने में अगला कदम तब होता है जब ऑडिटर डेटा सेंटर के ऑडिट उद्देश्यों को रेखांकित करता है। ऑडिटर कई कारकों पर विचार करते हैं जो डेटा सेंटर प्रक्रियाओं और गतिविधियों से संबंधित हैं जो संभावित रूप से ऑपरेटिंग वातावरण में ऑडिट जोखिमों की पहचान करते हैं और उन जोखिमों को कम करने वाले स्थान पर नियंत्रण का आकलन करते हैं। पूरी तरह से परीक्षण और विश्लेषण के बाद, ऑडिटर पर्याप्त रूप से यह निर्धारित करने में सक्षम है कि क्या डेटा सेंटर उचित नियंत्रण रखता है और कुशलतापूर्वक और प्रभावी ढंग से काम कर रहा है।
निम्नलिखित उद्देश्यों की एक सूची है, जिसकी ऑडिटर को समीक्षा करनी चाहिए:
- सिस्टम और क्रॉस-फ़ंक्शनल प्रशिक्षण सहित कार्मिक प्रक्रियाएँ और जिम्मेदारियाँ
- परिवर्तन प्रबंधन प्रक्रियाएँ आईटी और प्रबंधन कर्मियों द्वारा की जाती हैं|
- डाउनटाइम को कम करने और महत्वपूर्ण डेटा के नुकसान को रोकने के लिए उचित बैक-अप प्रक्रियाएं हैं|
- डेटा सेंटर में अनधिकृत पहुंच को रोकने के लिए डेटा सेंटर में पर्याप्त भौतिक सुरक्षा नियंत्रण हैं|
- पर्याप्त पर्यावरणीय नियंत्रण सुनिश्चित करने के लिए उपकरण आग और बाढ़ से सुरक्षित हैं|
समीक्षा करना
अगला कदम डेटा सेंटर ऑडिट उद्देश्यों को पूरा करने के लिए सबूत एक्रतित करना है। इसमें डेटा सेंटर स्थान पर यात्रा करना और डेटा सेंटर के भीतर प्रक्रियाओं का अवलोकन करना शामिल है। पूर्व-निर्धारित ऑडिट लक्ष्यों को पूरा करने के लिए निम्नलिखित समीक्षा प्रक्रियाएं आयोजित की जानी चाहिए:
- डेटा सेंटर कर्मी - सभी डेटा सेंटर कर्मियों को डेटा सेंटर (मुख्य कार्ड, लॉगिन आईडी, सुरक्षित पासवर्ड, आदि) तक पहुंचने के लिए अधिकृत किया जाना चाहिए। डेटा सेंटर के कर्मचारियों को डेटा सेंटर उपकरणों के बारे में पर्याप्त रूप से जानकारी दी जाती है और वे अपनी नौकरी ठीक से करते हैं। डेटा सेंटर उपकरण पर काम करते समय विक्रेता सेवा कर्मियों की निगरानी की जाती है। ऑडिटर को अपने लक्ष्यों को पूरा करने के लिए डेटा सेंटर के कर्मचारियों का निरीक्षण और साक्षात्कार करना चाहिए।
- उपकरण - ऑडिटर को यह सत्यापित करना चाहिए कि सभी डेटा सेंटर उपकरण ठीक और प्रभावी ढंग से काम कर रहे हैं। उपकरण उपयोग रिपोर्ट, क्षति और कार्यक्षमता के लिए उपकरण निरीक्षण, सिस्टम डाउनटाइम रिकॉर्ड और उपकरण प्रदर्शन माप सभी ऑडिटर को डेटा सेंटर उपकरण की स्थिति निर्धारित करने में मदद करते हैं। इसके अतिरिक्त, ऑडिटर को यह निर्धारित करने के लिए कर्मचारियों का साक्षात्कार करना चाहिए कि क्या निवारक रखरखाव नीतियां लागू हैं और प्रदर्शन किया गया है।
- नीतियां और प्रक्रियाएं - सभी डेटा सेंटर नीतियों और प्रक्रियाओं को दस्तावेज और डेटा सेंटर में स्थित होना चाहिए। महत्वपूर्ण प्रलेखित प्रक्रियाओं में शामिल हैं: डेटा सेंटर कर्मियों की नौकरी की जिम्मेदारियां, नीतियों का बैकअप, सुरक्षा नीतियां, कर्मचारी समाप्ति नीतियां, सिस्टम संचालन प्रक्रिया और ऑपरेटिंग सिस्टम का अवलोकन।
- भौतिक सुरक्षा / पर्यावरण नियंत्रण - लेखा परीक्षक को ग्राहक के डेटा केंद्र की सुरक्षा का आकलन करना चाहिए। शारीरिक सुरक्षा में बॉडीगार्ड, लॉक किए गए पिंजरे, मैन ट्रैप, सिंगल प्रवेश द्वार, बोल्टेड उपकरण और कंप्यूटर मॉनिटरिंग सिस्टम शामिल हैं। इसके अतिरिक्त, डेटा सेंटर उपकरणों की सुरक्षा सुनिश्चित करने के लिए पर्यावरण नियंत्रण होना चाहिए। इनमें शामिल हैं: एयर कंडीशनिंग इकाइयाँ, उठी हुई मंजिलें, ह्यूमिडिफ़ायर और निर्बाध बिजली की आपूर्ति ।
- बैकअप प्रक्रिया - ऑडिटर को यह सत्यापित करना चाहिए कि सिस्टम में विफलता के मामले में क्लाइंट के पास बैकअप प्रक्रियाएँ हैं। ग्राहक एक अलग स्थान पर एक बैकअप डेटा केंद्र बनाए रख सकते हैं जो उन्हें सिस्टम विफलता की आवृत्ति में तुरंत संचालन जारी रखने की अनुमति देता है।
समीक्षा रिपोर्ट जारी करना
डेटा सेंटर की समीक्षा रिपोर्ट में ऑडिटर के निष्कर्षों का सारांश होना चाहिए और मानक समीक्षा रिपोर्ट के प्रारूप के समान होना चाहिए। समीक्षा रिपोर्ट को ऑडिटर की जांच और प्रक्रियाओं के पूरा होने के रूप में दिनांकित किया जाना चाहिए। यह बताना चाहिए कि समीक्षा में क्या हुआ और बताएं कि एक समीक्षा केवल तीसरे पक्षों को "सीमित आश्वासन" प्रदान करती है।
ऑडिट कौन करता है
आमतौर पर, कंप्यूटर सुरक्षा ऑडिट निम्न द्वारा किए जाते हैं:
- संघीय या राज्य नियामक - प्रमाणित लेखाकार, CISA। संघीय ओटीएस, ओसीसी, डीओजे, आदि।
- कॉर्पोरेट आंतरिक लेखा परीक्षक - प्रमाणित लेखाकार, CISA, प्रमाणित इंटरनेट ऑडिट प्रोफेशनल (CIAP)। [१]
- बाहरी लेखा परीक्षक - प्रौद्योगिकी लेखा परीक्षा से संबंधित क्षेत्रों में विशेषज्ञता।
- परामर्शदाता - प्रौद्योगिकी ऑडिटिंग आउटसोर्सिंग, जहां संगठन के पास विशेष कौशल सेट का अभाव है।
अंकेक्षण प्रणाली
नेटवर्क भेद्यता
- अवरोधन : डेटा जो नेटवर्क पर प्रेषित किया जा रहा है, एक अनजाने तीसरे पक्ष द्वारा बाधित होने के लिए असुरक्षित है जो डेटा को हानिकारक उपयोग में डाल सकता है।
- उपलब्धता: नेटवर्क सैकड़ों या हजारों मील की दूरी को पार करते हुए व्यापक हो गए हैं, जो कई लोग कंपनी की जानकारी तक पहुंच बनाने के लिए भरोसा करते हैं, और खोई कनेक्टिविटी व्यापार में रुकावट का कारण बन सकती है।
- प्रवेश / प्रवेश बिंदु: नेटवर्क अवांछित पहुंच के लिए असुरक्षित हैं। नेटवर्क का एक कमजोर बिंदु घुसपैठियों को वह जानकारी उपलब्ध करा सकता है। यह वायरस और ट्रोजन हॉर्स के लिए एक प्रवेश बिंदु भी प्रदान कर सकता है।
नियंत्रण
- अवरोधन नियंत्रण: अवरोधन को आंशिक रूप से डेटा केंद्रों और कार्यालयों में भौतिक अभिगम नियंत्रण द्वारा रोका जा सकता है, जिसमें संचार लिंक समाप्त हो जाते हैं और जहां नेटवर्क वायरिंग और वितरण स्थित हैं। एन्क्रिप्शन वायरलेस नेटवर्क को सुरक्षित करने में भी मदद करता है।
- उपलब्धता नियंत्रण: इसके लिए सबसे अच्छा नियंत्रण उत्कृष्ट नेटवर्क वास्तुकला और निगरानी है। नेटवर्क में हर संसाधन और एक पहुंच बिंदु और स्वचालित मार्ग के बीच अनावश्यक रास्ते होने चाहिए ताकि यातायात को डेटा या समय के नुकसान के बिना उपलब्ध मार्ग पर स्विच किया जा सके।
- प्रवेश / प्रवेश बिंदु नियंत्रण: अधिकांश नेटवर्क नियंत्रण उस बिंदु पर रखे जाते हैं जहां नेटवर्क बाहरी नेटवर्क से जुड़ता है। ये नियंत्रण नेटवर्क से गुजरने वाले यातायात को सीमित करते हैं। इनमें फायरवॉल, घुसपैठ का पता लगाने वाले सिस्टम और एंटीवायरस सॉफ्टवेयर शामिल हो सकते हैं।
ऑडिटर को नेटवर्क और उसकी कमजोरियों को बेहतर ढंग से समझने के लिए कुछ सवाल पूछे जाने चाहिए। ऑडिटर को पहले आकलन करना चाहिए कि नेटवर्क की सीमा क्या है और यह कैसे संरचित है। एक नेटवर्क आरेख इस प्रक्रिया में ऑडिटर की सहायता कर सकता है। एक ऑडिटर को अगला सवाल पूछना चाहिए कि इस नेटवर्क को कौन सी महत्वपूर्ण जानकारी सुरक्षित करनी चाहिए। एंटरप्राइज़ सिस्टम, मेल सर्वर, वेब सर्वर और ग्राहकों द्वारा एक्सेस किए गए होस्ट एप्लिकेशन जैसे चीजें आमतौर पर फोकस के क्षेत्र हैं। यह जानना भी महत्वपूर्ण है कि किसके पास और कौन से हिस्से हैं। क्या ग्राहकों और विक्रेताओं के पास नेटवर्क पर सिस्टम तक पहुंच है? क्या कर्मचारी घर से जानकारी प्राप्त कर सकते हैं? अंत में ऑडिटर को यह आकलन करना चाहिए कि नेटवर्क बाहरी नेटवर्क से कैसे जुड़ा है और यह कैसे सुरक्षित है। अधिकांश नेटवर्क कम से कम इंटरनेट से जुड़े होते हैं, जो भेद्यता का बिंदु हो सकता है। ये नेटवर्क की सुरक्षा में महत्वपूर्ण प्रश्न हैं।
एन्क्रिप्शन और आईटी ऑडिट
अपने संगठन के लिए एन्क्रिप्शन नीतियों को लागू करने के लिए और ग्राहक की आवश्यकता का आकलन करने के लिए, लेखा परीक्षक को ग्राहक के जोखिम और डेटा मूल्य का विश्लेषण करना चाहिए। कई बाहरी उपयोगकर्ताओं, ई-कॉमर्स अनुप्रयोगों और संवेदनशील ग्राहक / कर्मचारी जानकारी वाली कंपनियों को डेटा संग्रह प्रक्रिया में उचित चरण में सही डेटा एन्क्रिप्ट करने के उद्देश्य से कठोर एन्क्रिप्शन नीतियों को बनाए रखना चाहिए।
लेखा परीक्षकों को लगातार अपने ग्राहक की एन्क्रिप्शन नीतियों और प्रक्रियाओं का मूल्यांकन करना चाहिए। जो कंपनियां ई-कॉमर्स सिस्टम और वायरलेस नेटवर्क पर बहुत अधिक निर्भर हैं, वे ट्रांसमिशन में महत्वपूर्ण जानकारी की चोरी और नुकसान के लिए बेहद संवेदनशील हैं। नीतियों और प्रक्रियाओं को प्रलेखित किया जाना चाहिए और यह सुनिश्चित किया जाना चाहिए कि सभी प्रेषित डेटा संरक्षित हैं।
तार्किक सुरक्षा लेखा परीक्षा
किसी भी प्रणाली के ऑडिट में पहला कदम इसके घटकों और इसकी संरचना को समझना है। तार्किक सुरक्षा का ऑडिट करते समय ऑडिटर को जांच करनी चाहिए कि सुरक्षा नियंत्रण क्या हैं और वे कैसे काम करते हैं। विशेष रूप से, निम्नलिखित क्षेत्र तार्किक सुरक्षा की जाँच में महत्वपूर्ण बिंदु हैं:
- पासवर्ड : प्रत्येक कंपनी को पासवर्ड और कर्मचारियों के उपयोग के संबंध में नीतियां लिखनी चाहिए। पासवर्ड साझा नहीं किए जाने चाहिए और कर्मचारियों के लिए निर्धारित परिवर्तन अनिवार्य होने चाहिए। कर्मचारियों के पास उपयोगकर्ता अधिकार होने चाहिए जो उनके कार्य के अनुरूप हों। उन्हें उचित लॉग ऑन / लॉग ऑफ प्रक्रियाओं के बारे में भी पता होना चाहिए। सुरक्षा टोकन भी इस काम में सहायक हैं, जो कि छोटे डिवाइस जो कंप्यूटर प्रोग्राम या नेटवर्क के अधिकृत उपयोगकर्ता पहचान पुष्टिकरण में सहायता के लिए लिए जाते हैं। वे क्रिप्टोग्राफिक कुंजी और बायोमेट्रिक डेटा भी स्टोर कर सकते हैं। सबसे लोकप्रिय प्रकार का सुरक्षा टोकन (RSA का SecurID) एक संख्या प्रदर्शित करता है जो हर मिनट बदलता है। उपयोगकर्ताओं को एक व्यक्तिगत पहचान संख्या और टोकन पर संख्या दर्ज करके प्रमाणित किया जाता है।
- समाप्ति की प्रक्रिया: उचित समाप्ति प्रक्रियाएं ताकि पुराने कर्मचारी अब नेटवर्क तक नहीं पहुंच सकें। यह पासवर्ड और कोड बदलकर किया जा सकता है। इसके अलावा, सभी आईडी कार्ड और बैज जो प्रचलन में हैं, उन्हें प्रलेखित किया जाना चाहिए।
- विशेष उपयोगकर्ता खाते: विशेष उपयोगकर्ता खातों और अन्य विशेषाधिकार प्राप्त खातों की निगरानी की जानी चाहिए और उनके स्थान पर उचित नियंत्रण होना चाहिए।
- रिमोट एक्सेस: रिमोट एक्सेस अक्सर एक ऐसा बिंदु है जहां घुसपैठिए एक सिस्टम में प्रवेश कर सकते हैं। रिमोट एक्सेस के लिए उपयोग किए जाने वाले तार्किक सुरक्षा उपकरण बहुत सख्त होने चाहिए। रिमोट एक्सेस लॉग होना चाहिए।
नेटवर्क सुरक्षा में प्रयुक्त विशिष्ट उपकरण
नेटवर्क सुरक्षा फ़ायरवॉल और प्रॉक्सी सर्वर, एन्क्रिप्शन, लॉजिकल सिक्योरिटी और एक्सेस कंट्रोल, एंटी-वायरस सॉफ़्टवेयर और लॉग मैनेजमेंट जैसे ऑडिटिंग सिस्टम सहित विभिन्न उपकरणों द्वारा प्राप्त की जाती है।
फायरवॉल नेटवर्क सुरक्षा का एक बहुत ही बुनियादी हिस्सा है। उन्हें अक्सर निजी स्थानीय नेटवर्क और इंटरनेट के बीच रखा जाता है। फायरवॉल ट्रैफ़िक के लिए एक प्रवाह प्रदान करता है जिसमें इसे प्रमाणित, निगरानी, लॉग इन और रिपोर्ट किया जा सकता है। नेटवर्क लेयर फायरवॉल, स्क्रीन किए गए सबनेट फायरवॉल, पैकेट फिल्टर फायरवॉल, डायनेमिक पैकेट फ़िल्टरिंग फायरवॉल, हाइब्रिड फायरवॉल, पारदर्शी फायरवॉल और एप्लिकेशन-लेवल फायरवॉल कुछ अलग-अलग प्रकार के फायरवॉल हैं।
एन्क्रिप्शन की प्रक्रिया में सादे पाठ को सिफरटेक्स्ट के रूप में जाने वाले अपठनीय पात्रों की एक श्रृंखला में परिवर्तित करना शामिल है । यदि एन्क्रिप्ट किए गए पाठ को चोरी या पारगमन के दौरान प्राप्त किया जाता है, तो सामग्री दर्शक के लिए अपठनीय है। यह सुरक्षित ट्रांसमिशन की गारंटी देता है और महत्वपूर्ण जानकारी भेजने / प्राप्त करने वाली कंपनियों के लिए बेहद उपयोगी है। एक बार जब एन्क्रिप्टेड जानकारी अपने इच्छित प्राप्तकर्ता पर आ जाती है, तो डिक्रिप्शन प्रक्रिया को सिफ्टटेक्स को प्लेनटेक्स्ट पर वापस लाने के लिए तैनात किया जाता है।
प्रॉक्सी सर्वर क्लाइंट वर्कस्टेशन का सही पता छिपाते हैं और फ़ायरवॉल के रूप में भी कार्य कर सकते हैं। प्रमाणीकरण को लागू करने के लिए प्रॉक्सी सर्वर फायरवॉल के पास विशेष सॉफ्टवेयर है। प्रॉक्सी सर्वर फ़ायरवॉल उपयोगकर्ता के अनुरोधों के लिए एक मध्य व्यक्ति के रूप में कार्य करता है।
McAfee और Symantec सॉफ़्टवेयर जैसे एंटीवायरस सॉफ़्टवेयर प्रोग्राम दुर्भावनापूर्ण सामग्री का पता लगाते हैं और उनका निपटान करते हैं। ये वायरस सुरक्षा कार्यक्रम लाइव अपडेट चलाते हैं ताकि यह ज्ञात कंप्यूटर वायरस के बारे में नवीनतम जानकारी प्राप्त हो।
लॉजिकल सिक्योरिटी में एक संगठन के सिस्टम के लिए सॉफ्टवेयर सुरक्षा उपाय शामिल हैं, जिसमें यूजर आईडी और पासवर्ड एक्सेस, प्रमाणीकरण, एक्सेस अधिकार और प्राधिकरण स्तर शामिल हैं। ये उपाय यह सुनिश्चित करने के लिए हैं कि केवल अधिकृत उपयोगकर्ता ही किसी नेटवर्क या कार्य केंद्र में क्रिया करने या जानकारी तक पहुँचने में सक्षम हैं।
ऑडिटिंग सिस्टम, ट्रैक और रिकॉर्ड जो किसी संगठन के नेटवर्क पर होता है। लॉग प्रबंधन समाधान अक्सर विश्लेषण और फोरेंसिक के लिए विषम प्रणालियों से ऑडिट ट्रेल्स को इकट्ठा करने के लिए उपयोग किया जाता है। लॉग प्रबंधन अनधिकृत उपयोगकर्ताओं को ट्रैक करने और पहचानने के लिए उत्कृष्ट है जो नेटवर्क तक पहुंचने की कोशिश कर रहे हैं, और जो अधिकृत उपयोगकर्ता नेटवर्क में पहुंच रहे हैं और उपयोगकर्ता अधिकारियों को बदलते हैं। सॉफ्टवेयर जो विंडो सत्रों के भीतर उपयोगकर्ता गतिविधियों को रिकॉर्ड और इंडेक्स करता है जैसे कि ओबर्सिट, टर्मिनल सेवाओं, सिट्रिक्स और अन्य रिमोट एक्सेस सॉफ़्टवेयर के माध्यम से दूरस्थ रूप से कनेक्ट होने पर उपयोगकर्ता गतिविधियों की व्यापक ऑडिट ट्रेल प्रदान करता है। [२]
व्यवहार संबंधी ऑडिट
कमजोरियां अक्सर किसी संगठन की आईटी प्रणालियों में तकनीकी कमजोरी से संबंधित नहीं होती हैं, बल्कि संगठन के भीतर व्यक्तिगत व्यवहार से संबंधित होती हैं। इसका एक सरल उदाहरण यह है कि उपयोगकर्ता अपने कंप्यूटरों को खुला छोड़ देते हैं या फ़िशिंग हमलों की चपेट में आ जाते हैं। नतीजतन, एक पूरी तरह से InfoSec ऑडिट में अक्सर एक प्रवेश परीक्षा शामिल होती है, जिसमें ऑडिटर एक आम कर्मचारी के साथ-साथ एक बाहरी व्यक्ति दोनों के दृष्टिकोण से यथासंभव अधिक से अधिक सिस्टम तक पहुंच प्राप्त करने का प्रयास करते हैं। [३]
सिस्टम और प्रक्रिया आश्वासन ऑडिट आईटी इन्फ्रास्ट्रक्चर और एप्लिकेशन / सूचना सुरक्षा ऑडिट से तत्वों को जोड़ते हैं और पूर्णता, सटीकता, वैधता (वी) और प्रतिबंधित पहुंच (सीएवीआर) जैसी श्रेणियों में विविध नियंत्रणों का उपयोग करते हैं। [४]
ऑडिटिंग एप्लिकेशन सुरक्षा
अनुप्रयोग सुरक्षा
तीन मुख्य कार्यों पर आवेदन सुरक्षा केंद्र:
- प्रोग्रामिंग
- प्रसंस्करण
- पहुंच
जब प्रोग्रामिंग की बात आती है, तो यह सुनिश्चित करना महत्वपूर्ण है कि महत्वपूर्ण प्रणालियों के विकास और अद्यतन के लिए सर्वर और मेनफ्रेम के आसपास उचित भौतिक और पासवर्ड सुरक्षा मौजूद है। आपके डेटा सेंटर या कार्यालय में इलेक्ट्रॉनिक बैज और बैज रीडर, सुरक्षा गार्ड, चोक पॉइंट, और सुरक्षा कैमरे पर भौतिक पहुंच सुरक्षा होना आपके अनुप्रयोगों और डेटा की सुरक्षा सुनिश्चित करने के लिए महत्वपूर्ण है। फिर आपको सिस्टम में परिवर्तन के आसपास सुरक्षा की आवश्यकता है। आम तौर पर बदलाव करने के लिए उचित सुरक्षा का उपयोग करना पड़ता है और परीक्षण के माध्यम से विकास से प्रोग्रामिंग परिवर्तनों के माध्यम से खींचने के लिए और अंत में उत्पादन में उचित प्राधिकरण प्रक्रियाएं होती हैं।
सारांश
एप्लिकेशन सुरक्षा और कर्तव्यों के अलगाव की दो अवधारणाएं दोनों कई तरीकों से जुड़ी हुई हैं और दोनों का एक ही लक्ष्य है, कंपनियों के डेटा की अखंडता की रक्षा करना और धोखाधड़ी को रोकना। आवेदन सुरक्षा के लिए इसे भौतिक और इलेक्ट्रॉनिक दोनों जगह उचित सुरक्षा उपायों के माध्यम से हार्डवेयर और सॉफ्टवेयर तक अनधिकृत पहुंच को रोकने के साथ करना है। कर्तव्यों के पृथक्करण के साथ यह मुख्य रूप से सिस्टम और प्रसंस्करण के लिए व्यक्तियों की पहुंच की एक भौतिक समीक्षा है और यह सुनिश्चित करना है कि कोई ओवरलैप नहीं हैं जो धोखाधड़ी का कारण बन सकते हैं।
यह सभी देखें
संदर्भ
- ↑ Certified Internet Audit Professional (CIAP), International Computer Auditing Education Association (ICAEA), http://www.iacae.org/English/Certification/CIAP.php स्क्रिप्ट त्रुटि: "webarchive" ऐसा कोई मॉड्यूल नहीं है।
- ↑ स्क्रिप्ट त्रुटि: "citation/CS1" ऐसा कोई मॉड्यूल नहीं है।
- ↑ स्क्रिप्ट त्रुटि: "citation/CS1" ऐसा कोई मॉड्यूल नहीं है।
- ↑ K. Julisch et al., Compliance by design - Bridging the chasm between auditors and IT architects स्क्रिप्ट त्रुटि: "webarchive" ऐसा कोई मॉड्यूल नहीं है। Computers & Security 30(6-7): 410-426 (2011)
ग्रन्थसूची
- स्क्रिप्ट त्रुटि: "citation/CS1" ऐसा कोई मॉड्यूल नहीं है।