مقدمه باگسترش روابط انسانی وسهولت برقراری ارتباط با فن آوری های نوین ،تهدیدهای امنیتی رنگ وبوی جدیدی به خود گرفتهاند .شنود تلفن شاید از همان آغازین روزهای رواج این فناوری بصورت تفننی توسط اپراتورهای مراکز تلفن صورت می پذیرفت .اما به مرور زمان پای سرویس های جاسوسی گروههای تروریستی واخالل گران ،به این حوزه نیز باز شد.امروزه بستره فن آوری اطالعات محیط مناسبی جهت تبادل اطالعات به ظاهر عادی است که همین اطالعات آشکار و بی ارزش سهم عمده ای از اطالعات مورد نیاز سرویس های جاسوسی را شامل می شود. تاریخچه سیستم های حسابداری در ایران تاریخ پیدایش سیستم های حسابداری بی ارتباط با تاریخ تكوین حسابداری نیست چرا كه هركجا در مورد روش ارائه اطالعات مالی و نحوه تهیه گزارشات صحبت شود، گوینده جهت انتقال نظریات خود ناچار از استفاده از مثال ها و ناگزیر از استناد به روش هایی است كه مجموعه این روش ها و سلیقه ها در حقیقت نشان دهنده سیستم خاصی از حسابداری در صنعت یا بخش اقتصادی مورد نظر است. تاریخچه سیستم های حسابداری در ایران را می توان در ادوار زیر مورد مطالعه قرار داد: • )۱ایران قبل از اسالم • )۲ایران بعد از اسالم تا دوران قاجاریه • )۳از دوران قاجاریه تا انقالب مشروطیت • )۴از انقالب مشروطیت تا اوایل دهه چهل • )۵از اوایل دهه چهل تاكنون گامهای پیادهسازی سیستمهای امنیت اطالعات ()ISS فناوری اطالعات مطالعه ،طراحی ،توسعه ،پیاده سازی و پشتیبانی یامدیریت سیستم های اطالعات مبتنی بر کامپیوتر خصوصا نرم افزارهای کاربردی وسخت افزار کامپیوتر است .سیستم اطالعاتی ،سیستمی از افراد، داده های ذخیره شده وفعالیت های است که داده و اطالعات را در یک سازمان پردازش می کند ،فرآیندهای سازمان از نوع دستی وخودکار است .سیستم های اطالعاتی توسعه و کاربرد و مدیریت سازمان با زیرساخت فناوری اطالعات است. مهمترین عامل توانایی وقدرت حفاظت از اطالعات امنیت اطالعات : امنیت اطالعات به مفهوم حفاظت و مراقبت از اطالعات و سیستم های اطالعاتی در مقابل هرگونه مخاطره وتهدید است .مخاطرات وتهدیدهای این حوزه شامل دسترسی ،کاربرد ،افشاء ،قطع ،تغییر یا انهدام غیرمجاز اطالعات است .امنیت اطالعات طبق استاندارد ISO27001حفظ محرمانگی ،جامعیت و در دسترس بودن اطالعات در مقابل مخاطرات، تهدیدها و آسیب پذیری ها تعریف شده است. برنامه استراتژیک امنیت اطالعات هدف برنامه استراتژیک امنیت اطالعات جهت دادن به پیاده سازی امنیت اطالعات است ،برنامه چارچوبی را برای اهداف در جهت الزام به محرمانگی ،جامعیت ودر دسترس بودن فراهم می آورد. برقراری مدیریت امنیت اطالعات شش هدف متصور است: گام :١توسعه ،تصویب و ترویج خط مشی امنیت اطالعات فراگیر گام :٢کارکنان بایستی آگاه از پاسخگویی درباره امنیت اطالعات باشند گام :٣ایجاد امور امنیت اطالعات هربخش گام :٤بنا نهادن فرآیندی برای گزارش گیری منظم از پیشرفت به مدیر اجرایی گام :٥پیاده نمودن کنترلهای فعال وگسترده گام :٦پیاده نمودن وارتقاء مداوم وبرنامه های ترسیم حوادث. برنامه امنیت اطالعات در یک لحظه قابل برقرای نیست ،اقدامی مداوم است که بصورت فرآیند چرخشی قابل پیاده سازی است امنيت سيستمهای رايانهای – راهحلهای امنيت سيستمها و شبكههای اطالعاتی امروزه كمتر سازمانی را مييابيد كه از شبكههای رایانهای استفاده نكند و اطالعات با ارزشی را در آن ذخیره ننماید .تمامی اين سازمانها از ارتباطات پرسرعت و كم سرعت اينترنتی بهره میگيرند .از طرف ديگر نفوذگران نيز مجهز به ابزارهای پرقدرت و ارزان قيمت نرمافزاری و سخت افزاری مشتاق به بهرهگيری اقتصادی يا ارضای كنجكاوی خود ،آماده اخالل در اين شبكهها هستند .استقرار يك سياست امنيتی موثر و پويا ،وظيفه هر سازمان برای حفاظت از اطالعات و وجهه خود است. سيستم مديريت امنيت اطالعات سه اصل مهم زير همواره بايدرعايت گردد: : Confidentiality .1محرمانه بودن اطالعات -تنها افراد مجاز ،به اطالعات دسترسی خواهنديافت. : Integrity .2جامعيت -كامل بودن و صحت اطالعات و روشهای پردازش اطالعات بايد تضمينشود. : Availability .3در دسترس بودن -اطالعات بطور صحيح در دسترس افرادی كه حق دسترسی به آن را دارند قرارگيرد. يك سيستم جامع امنيتی بر سه پايه بنا میشود: .1سيستمها و دستورالعملهای امنيتی :طرحها و برنامههای مرتبط با نحوه محافظت از سيستمهای اطالعاتی و دادههای آنها در اين قسمت مورد توجه قرار میگيرد. .2فناوری و محصوالت امنيتی :تمام ابزارهای مورد استفاده در بخشهای مختلف امنيتی براي اعمال دستورالعملها ،كنترل و نظارت .3عوامل اجرائی :اين عوامل از تكنولوژی و ابزارها در جهت اجرای سياستها و دستورالعملهای امنيتی استفاده میكنند. راه حلهای امنيت اطالعات • شناسائی سرمايههای سازمانی و تخمين آسيبپذيری امنيتی • تدوين و پيادهسازی سياستهای مديريت امنيت بر استانداردهای ISO 17799-BS7799 اساس • بازبينی ،طراحی و پيادهسازی سياستهای امنيت سياستهای سازمان شبكه بر اساس • بازبينی ،طراحی و پيادهسازی امنيت در سطح برنامههای كاربردی • بازبينی ،طراحی و پيادهسازی امنيت در سطح متداول سيستم عاملهای نصب و راهاندازی ابزارهای امنيتی • تربيت و آموزش نيروهای متخصص در زمينه امنيت شبكه • طراحی و پياده سازی امنيت در سطح ابزارهای سرويسدهندهها شبكه و • مشاوره در زمينه امنيت شبكه جامعه برای تامین نیازهای اطالعاتی خود به طور روزافزون به سیستمهای اطالعاتی حسابداری وابستگی پیدا کرده است و سیستمهای اطالعاتی حسابداری خود به طور وسیع در حال گسترش و پیچیدگی است .به موازات افزایش پیچیدگی سیستم اطالعاتی حسابداری و وابستگی جامعه بر این سیستم ،شرکتها نیز با مخاطرات فزایندهای در مورد سیستمهای اطالعاتی خود روبرو میشوند. سیستم اطالعاتی یک شرکت غالبًا با چهار نوع تهدید روبروست: -1حوادث طبیعی و سیاسی مثل آتشسوزی ،طوفان، جنگ.… ، -2خطاها و خرابیهای نرمافزاری و سختافزاری. -3بیدقتی و سهلانگاری (اقدامات غیرعمومی) مثل سهلانگاری و قصور افراد دراجرای صحیح روشها، عدم وجود آموزشهای مناسب ،نبودن سرپرستی صحیح. -4اقدامات عمومی (جرایم رایانهای) مثل سرقت رایانهای ،خرابکاری سیستم … از این رواجرای کنترلهای کافی و ایمنیهای مناسب بر روی منابع اطالعاتی هر بنگاه تجاری باید در اولویت مدیریت ارشد آن بنگاه تجاری باشد که بدین منظور انواع کنترلهای داخلی مورد استفاده شرکتها به منظور حصول اطمینان از صحت و درستی سیستم اطالعاتی حسابداری مورد بررسی قرار خواهد گرفت. فناوری اطالعاتی ،فرصتهای ویژهای را برای حل مسائل تجاری راهبردی و فنی ارائه میکند . اما دروازه فناوری اطالعات همیشه به روی تهدیدات سیستم اطالعات حسابداری باز است و بالطبع در معرض خطراتی قرار میگیرد که برای سیستمهای اطالعاتی حسابداری پذیرفتنی است. ارزیابی خطر مذکور از دو جهت اهمیت دارد -1از دیدگاه مدیریت :این ارزیابی از خطر برای تصمیمگیری مناسب در مورد ایجاد رویهها و سیستمهای کنترل داخلی جدیدی ضروری است که برای حفاظت یکپارچه و مطمئن از سیستمهای اطالعاتی مستقر میشود. -2از دیدگاه حسابرسان :ارزیابی خطرات مربوطه به تهدیدات سیستم کنترل داخلی سازمان معموًال جزیی ضروری از کار حسابرسان بوده است. به هر حال قانون ساربینز-اکسلی ( )2002مسئولیت پیادهسازی به نگهداری و ارزیابی سیستم کنترلهای داخلی را به مدیریت واگذار کرده و آنها را ملزم کرده تا ارزیابی اثربخش کنترلهای داخلی را در گزارش ساالنه سازمان مدنظر قرار دهند. تکنیکهای سوء استفاده و تقلب رایانه ای: اسب تروا: مجموعهای از دستورهای رایانهای غیرمجاز در یک برنامه مناسب و مجاز است .دستورهای غیرمجاز مزبور در یک زمان از قبل مشخص شده یا در شرایط از پیش تعیین شدهای ،اعمال غیرقانونی را انجام میدهند .برای مثال، برای هزاران مشترک مستقیم آمریکایی پیامهایی حاوی هدیة یک نرمافزار رایگان ارسال میشود .کاربرانی که ضمایم پیام را باز میکنند ناآگاهانه اسب تروا را راها میکنند و اسب تروا به صورت مخفی و سری نام حساب و کلمة عبور مشترک را کپی کرده و آن را برای فرستندة پیام ارسال می کند. تکنیک گردکردن به پایین: به طور مکرر توسط مؤسسات مالی پرداختکننده بهره استفاده میشود .در برخی سناریوها ،برنامهنویس ،برنامة محاسبة بهره را به شکلی طراحی میکند که محاسبات بهره را تا دو رقم اعشار به پایین گرد میکند .مبالغ کمتر از یک سنت ،به دلیل گردکردن به پایین ،از محاسبات بهره کسر و به حساب برنامهنویس یا شخصی که مسئولیت کنترل حسابها را به عهده دارد ،واریز میشود .کسی متوجه این موضوع نمیشود زیرا ،کلیه دفاتر تراز هستند. تکنیک ساالمی : پول های خرد و ناچیز طی یک دوره زمانی اختالس میشود . درپشتی یا دریچه پشتی : راهی برای ورود به سیستم و دور زدن کنترلهای امنیتی سیستم است .برنامه نویسان غالبآ درهای پشتی را برای اصالح برنامه ورفع اشکاالت سیستم در حین طراحی در سیستم قرار میدهند و معموآل آنها را قبل از اجرای سیستم حذف می کنند .اگر در پشتی قبل از اجرای سیستم حذف نشود هر کسی این در را شناسائی کند می تواند وارد برنامه شود و تقلب کند. کاله گذاشتن اطالعاتی: تغییر دادهها و اطالعات قبل ،طی یا پس از ورودبه سیستم اطالعاتی است .تغییر میتواند با حذف ،دستکاری یا اضافهکردن اطالعات کلیدی به سیستم ،انجام شود. در تظاهر یا نقشبازی کردن: رد متقلب با بازیکردن نقش یک کاربر مجاز ،امکان دسترسی به سیستم را به دست میآورد .این روش مستلزم این است که متقلب شمارة شناسایی و کلمة عبور کاربر مجاز را بداند .فرد متقلب زمانی که وارد سیستم میشود از تمام مزایای یک کاربر مجاز برخوردار میشود. در مهندسی اجتماعی: فرد متقلب یک کارمند را برای دریافت اطالعات مورد نیاز برای ورود به سیستم فریب میدهد .افراد متقلب ممکن است عنوان کنند که مسئولیت انجام یک تحقیق امنیتی را به عهده دارند و کارمندان را وادار کنند تا اطالعات محرمانه را در اختیار آنها قرار دهند. بمب ساعتی سیستمی: برنامهای است که تحت شرایط خاص عمل میکند .یا یک زمان خاصی موجب کشیدن ماشة آن میشود و عمل میکند و هنگامی که ماشه بمب کشیده شد ،انفجار بمب موجب خرابی سیستم ،آسیبدیدگی برنامهها ،دادهها و اطالعات میشود. بیشتر بمبها توسط برنامهنویسان ناراضی طراحی میشوند که با شرکت مشکل داشته و از ناحیه آن شرکت تحت فشار هستند . نفوذ کردن یا تجاوز کردن: دسترسی غیرمجاز و استفاده از سیستم رایانهای به وسیلة رایانههای شخصی و شبکة ارتباط از راه دور است .رخنهگران قصد آسیب رساندن به سیستم را ندارند .آنها بیشتر به قصد مطرحشدن و کنجکاوی وارد سیستمها میشوند. رفتگری یا جستجوی زبالهدان: دستیابی به اطالعات محرمانه از طریق جستجو در ثبتها ،اسناد و مدارک شرکت است .دامنة شیوه رفتگری از جستجوی ظروف زباله شرکت برای به دستآوردن گزارشهای ستاده یا نسخههای کپیشده از اطالعات محرمانه تا پویش حافظة رایانه است. شایعهسازی اینترنتی: استفاده از اینترنت برای انتشار اطالعات غلط یا گمراهکننده دربارة شرکتها است .این کار را میتوان به چند روش انجام داد .پایمهای تحریکآمیز در گفتگوی همزمان بر روی اینترنت، ایجاد سایتهای وب و پخش شایعات مختلف از این دسته هستند. طبقه بندی تقلب رایانه ای ورودی: سادهترین و متداولترین راه ارتکاب یک تقلب تغییر ورودیهای رایانه است .این روش مهارتهای رایانهای کمی الزم دارد .فرد متقلب کافی است بداند سیستم چگونه کار میکند تا بتواند از خود رّدی به جای نگذارد. اطالعات: تقلب رایانهای میتواند با تغییر یا خرابکردن فایلهای اطالعاتی شرکت یا کپیبرداری ،استفاده یا بررسی بدون مجوز آنها ،انجام شود. ستاده: تقلب رایانهای میتواند با سرقت یا استفادة ناصحیح از ستادههای سیستم انجام شود .ستادههای سیستم معموًال روی مانیتور نمایش داده میشوند یا روی کاغذ چاپ می شوند .بدون حفاظت صحیح، ستادههای چاپشده یا نمایشداده شده به راحتی با چشم قابل مطالعه بوده و امکان کپیبرداری غیرمجاز از آنها وجود دارد. شیوههای کاهش احتمال وقوع تقلب -1استفاده از رویهها و مقررات مناسب برای استخدام و اخراج: یکی از مهمترین مسئولیتهای یک مدیر استخدام ،نگهداری و به کارگیری کارکنان با صالحیت و درستکار است. -2آموزش روشهای ایمنی سیستم و روشهای پیشگیری از تقلب به کارکنان. بسیاری از مدیران ارشد اجرایی معتقدند که آموزش و سطح علمی کارکنا ن مهمترین عنصر در هر برنامة امنیتی است. -3الزامی کردن امضای قراردادهای محرمانه: کلیه کارکنان ،فروشندگان و پیمانکاران باید قرارداد محرمانه نگهداشتن اطالعات شرکت را امضا کره و به مفاد این قرارداد متعهد باقی بمانند. آموزش وتعاليم موردنيازكاركنان يك شركت الف)اقدامات امنیتی: کارکنان باید در زمینه اقدامات امنیتی به خوبی آموزش داده شوند ،اهمیت اقدامات امنیتی را بدانند و برای اجرای جدی آنها تشویق شوند. ب)افشای تلفنی: باید به کارکنان آموزش داده شود و بدانند که نباید بدون آگاهی و اطمینان از ایمنبودن خطوط تلفن ،اطالعات محرمانه را ازطریق تلفن ارسال کنند. پ)آگاهی از تقلب: کارکنان باید از تقلب آگاه شوند ،تقلبهای رایج و متداول و خطرات آنها را بشناسند. ت)رعایت آیین رفتار حرفهای: شرکت باید استانداردهای آیین رفتار حرفهای را در فعالیتها و دستورالعملهای شرکت از قبیل اطالعیههای پرسنلی مطرح و ترویج کند. ث)مجازات رفتارهای آیین رفتار حرفهای: کارکنان باید از نتایج و عواقب (توبیخ ،پیگرد قانونی، اخراج و غیره) رفتارهای خالف آیین رفتار حرفهای آگاه شوند. روشهاي امنيتي سيستم ها ۱ـ امنیت فیزیکی : دارایی ها عنصری است که در هر سیستم حسابداری وجود دارد .رایانه ها و اطالعات و برنامه ها موجود در این رایانه ها در حقیقت دارایی ها و اطالعات و برنامه های موجود در این رایانه ها در حقیقت دارایی های با ارزش هر سازمان هستند. امنیت فیزیکی می تواند با اعمال کنترل های زیر به دست آید: -۱در صورت داشتن امکانات مالی استفاده از سیستم امنیتی هشدار دهند و دوربین مدار بسته. -۲نگهداری و حفاظت و انبار کردن ابزارهای حاوی اطالعات مثل دیسک ها و نوارها-، -۳استفاده از وسایل حفاظتی در برابر آتش سوزی برای حفاظت اطالعات و تجهیزات. -۴تعیین تنها یک یا دو در ورودی به اتاق رایانه ها،درهای ورودی باید به دقت بوسیله افراد حراست و سیستم خای تلویزیونی مداربسته محافظت شوند. -۵استقرار تجهیزات رایانه ای در اتاق های قفل شده و محدود کردن دسترسی به افراد مجاز. -۶نصب قفل های الزم بر روی رایانه های شخصی و دیگر تجهیزات رایانه ای شرکت. -۲امنیت دسترسی : دسترسی محدود و منطقی به داده ها و برنامه ها از طریق رایانه و وسایل ارتباطی ،سطح بعدی امنیت است و اهمیت آن با وجود سهولت دستیابی از راه دور به اطالعات رایانه ای از طریق مودم ها رو به افزایش است. رمز عبور -۱کارکنان باید نسبت به اهمیت حفاظت و نگهداری رمز عبورشان آگاهی داشته باشند و سیستم را بعد از استفاده حتما" غیر فعال سازند. -۲اگر شخصی پس از سه بار نتوانست شماره شناسایی و رمز عبور خود را وارد سیستم کند سیستم باید برای این فرد قطع و غیر فعال شود . -۳در زمان انتقال کاربران به بخش های دیگر شرکت،باید دسترسی آنان به سیستم فورا محدود شود. -۴شناسه و رمز عبور کارمند اخراج شده ،باید غیر فعال و باطل شود. -۳امنیت داده ها و اطالعات : روش امنیتی دیگر ،ایجاد امنیت داده ها و اطالعات بوسیله فراهم کردن برنامه جامع امنیتی است .این برنامه مشخص می سازد چه کسی ممکن است به داده ها و برنامه ها دسترسی داشته باشند؟ چه اطالعاتی نیاز دارد؟ چه موقع به این اطالعات نیاز دارد؟ و این اطالعات در کدامیک از این سیستم ها وجود دارد؟ مدیر ارشد باید مسئولیت طراحی ،سرپرستی و اجرای برنامه امنیتی را بر عهده بگیرد . .شرکت ها برای کاهش خطر عدم موفقیت در انتقال اطالعات باید بر شبکه اطالعاتی خود نظارت کرده و نقاط ضعف آنرا شناسایی کند .پرونده پشتیبان را نگهداری کرده و شبکه اطالعاتی را به نحوی طراحی کنند که توانایی پردازش اطالعات در اوج فعالیت شرکت را داشته باشد .خطای انتقال اطالعات با رمز گذاری داده ها و پشتیبانی اطالعات به حداقل ممکن کاهش می یابد. نقش یک «اساسنامه امنیتی» در سازمان در اغلب موارد ،تشکیالت اقتصادی همچون شبکههای کامپیوتری در برابر تغییرات فشرده و ناگهانی با ضعف و شکست مواجهه میشدند .یک پروژه ابتدایی امنیتی نیز از این مقوله مستثنا نیست. قبل از پیادهسازی هرچیزی ،ابتدا باید طرح و برنامه داشته باشید و سپس ابزار الزم را مهیا سازید. دلیل اینکه بیشتر تشکیالت اقتصادی با شکست مواجه میشوند به این دلیل است که آنها هدف اصلی از این تشکیالت را برای خود مشخص نمیکنند. هدف اساسنامه امنیتی به طور کلی ،اساسنامه امنیتی برای این وجود دارد که هر کسی به طور دقیق و از قبل تعریف شده بداند که در کار با منابع سازمان و تشکیالت چه کار انجام دهد و روی آنها نیز تعهد الزم را داشته باشد .اساسنامه امنیتی نیاز دارد که مشخص کند شما دارای چه استانداردهای امنیتی هستید .سیاستهای امنیتی شماست که حکم میدهد آیا باید این اتفاق بیفتد یا خیر .اساسنامه امنیتی شما باید مشخص کند که اهداف امنیتی شما چه هستند. نتیجه گیری: در دنیای سیستمهای اطالعاتی حسابداری در محیطهای رایانه ای که هر لحظه در حال تغییر و تحول است و هر روز به تبع پیشرفت تکنولوژی در حال تکامل است ,و متاسفانه به همان میزان ,و حتی بیشتر ,تهدیدات در این حوزه به شدت ,هم به لحاظ کیفی و هم به لحاظ کمی در حال افزایش است. در نتیجه بهتر است موارد زیر در جهت به حداقل رساندن تهدیدات امنیتی در سازمانها اجرا شود: -1بررسی کنترلهای داخلی سازمان بطور ادواری به منظور اطمینان از موثر بودن آنها در پیشگیری از وقوع تقلب . -2به منظور کشف تقلب باید کنترلهای جدیدی طراحی و مستقر شود. -3باید به کارکنان درباره مباحث اخالقی امنیتی و تقلب اموزشهای ,الزم داده شود. -4مشاوره با مهندسین و طراحان سیستم ها به گونه ای که همزمان با پیشرفت تکنولوژی ارزیابیهای پیشرفته ای هم به عمل اید. -5اموزش مدیریت امنیت سیستم چرا که مدیریت رده باال ستاده های سیستم را به کار می گیرد و نمی تواند از امنیت روزانه سیستم اگاهی پیدا کند. -6با ذخیره سازی مرتب اطالعات از طریق نوارهای مغناطیسی و ابزارهای الکترونیکی و همچنین افزایش سطح امنیت مکانهائی که در انها سرورها قرار دارند و ...میتوان خطرات فیزیکی و طبیعی را به حد اقل رساند. -7با ایجاد و تهیه یک اساسنامه امنیتی در سازمان میتوان راهبرد امنیتی را هدفمند و خسارات امنیتی را به حداقل رساند.
کامپیوتر و IT و اینترنت • علوم مهندسی • تجزیه و تحلیل اطلاعات
دانلود پاورپوینت امنيت سيستم های اطلاعاتی حسابداری
55,000 تومان