کامپیوتر و IT و اینترنتعلوم مهندسیتجزیه و تحلیل اطلاعات

دانلود پاورپوینت امنيت سيستم های اطلاعاتی حسابداری

مقدمه باگسترش روابط انسانی وسهولت برقراری ارتباط با فن آوری های نوین ،تهدیدهای امنیتی رنگ وبوی جدیدی به خود گرفته‌اند .شنود تلفن شاید از همان آغازین روزهای رواج این فناوری بصورت تفننی توسط اپراتورهای مراکز تلفن صورت می پذیرفت .اما به مرور زمان پای سرویس های جاسوسی گروههای تروریستی واخالل گران ،به این حوزه نیز باز شد.امروزه بستره فن آوری اطالعات محیط مناسبی جهت تبادل اطالعات به ظاهر عادی است که همین اطالعات آشکار و بی ارزش سهم عمده ای از اطالعات مورد نیاز سرویس های جاسوسی را شامل می شود. تاریخچه سیستم های حسابداری در ایران تاریخ پیدایش سیستم های حسابداری بی ارتباط با تاریخ تكوین حسابداری نیست چرا كه هركجا در مورد روش ارائه اطالعات مالی و نحوه تهیه گزارشات صحبت شود، گوینده جهت انتقال نظریات خود ناچار از استفاده از مثال ها و ناگزیر از استناد به روش هایی است كه مجموعه این روش ها و سلیقه ها در حقیقت نشان دهنده سیستم خاصی از حسابداری در صنعت یا بخش اقتصادی مورد نظر است. تاریخچه سیستم های حسابداری در ایران را می توان در ادوار زیر مورد مطالعه قرار داد: • )۱ایران قبل از اسالم • )۲ایران بعد از اسالم تا دوران قاجاریه • )۳از دوران قاجاریه تا انقالب مشروطیت • )۴از انقالب مشروطیت تا اوایل دهه چهل • )۵از اوایل دهه چهل تاكنون گام‌های پیاده‌سازی سیستم‌های امنیت اطالعات ()ISS فناوری اطالعات مطالعه ،طراحی ،توسعه ،پیاده سازی و پشتیبانی یامدیریت سیستم های اطالعات مبتنی بر کامپیوتر خصوصا نرم افزارهای کاربردی وسخت افزار کامپیوتر است .سیستم اطالعاتی ،سیستمی از افراد، داده های ذخیره شده وفعالیت های است که داده و اطالعات را در یک سازمان پردازش می کند ،فرآیندهای سازمان از نوع دستی وخودکار است .سیستم های اطالعاتی توسعه و کاربرد و مدیریت سازمان با زیرساخت فناوری اطالعات است. مهمترین عامل توانایی وقدرت حفاظت از اطالعات امنیت اطالعات : امنیت اطالعات به مفهوم حفاظت و مراقبت از اطالعات و سیستم های اطالعاتی در مقابل هرگونه مخاطره وتهدید است .مخاطرات وتهدیدهای این حوزه شامل دسترسی ،کاربرد ،افشاء ،قطع ،تغییر یا انهدام غیرمجاز اطالعات است .امنیت اطالعات طبق استاندارد ISO27001حفظ محرمانگی ،جامعیت و در دسترس بودن اطالعات در مقابل مخاطرات، تهدیدها و آسیب پذیری ها تعریف شده است. برنامه استراتژیک امنیت اطالعات هدف برنامه استراتژیک امنیت اطالعات جهت دادن به پیاده سازی امنیت اطالعات است ،برنامه چارچوبی را برای اهداف در جهت الزام به محرمانگی ،جامعیت ودر دسترس بودن فراهم می آورد. برقراری مدیریت امنیت اطالعات شش هدف متصور است: گام :١توسعه ،تصویب و ترویج خط مشی امنیت اطالعات فراگیر گام :٢کارکنان بایستی آگاه از پاسخگویی درباره امنیت اطالعات باشند گام :٣ایجاد امور امنیت اطالعات هربخش گام :٤بنا نهادن فرآیندی برای گزارش گیری منظم از پیشرفت به مدیر اجرایی گام :٥پیاده نمودن کنترلهای فعال وگسترده گام :٦پیاده نمودن وارتقاء مداوم وبرنامه های ترسیم حوادث. برنامه امنیت اطالعات در یک لحظه قابل برقرای نیست ،اقدامی مداوم است که بصورت فرآیند چرخشی قابل پیاده سازی است امنيت سيستم‌های رايانه‌ای – راه‌حلهای امنيت سيستمها و شبكه‌های اطالعاتی امروزه كمتر سازمانی را مي‌يابيد كه از شبكه‌های رایانه‌ای استفاده نكند و اطالعات با ارزشی را در آن ذخیره ننماید .تمامی اين سازمانها از ارتباطات پرسرعت و كم سرعت اينترنتی بهره می‌گيرند .از طرف ديگر نفوذگران نيز مجهز به ابزارهای پرقدرت و ارزان قيمت نرم‌افزاری و سخت افزاری مشتاق به بهره‌گيری اقتصادی يا ارضای كنجكاوی خود ،آماده اخالل در اين شبكه‌ها هستند .استقرار يك سياست امنيتی موثر و پويا ،وظيفه هر سازمان برای حفاظت از اطالعات و وجهه خود است. سيستم مديريت امنيت اطالعات سه اصل مهم زير همواره بايدرعايت گردد: : Confidentiality .1محرمانه بودن اطالعات -تنها افراد مجاز ،به اطالعات دسترسی خواهند‌يافت. : Integrity .2جامعيت -كامل بودن و صحت اطالعات و روش‌های پردازش اطالعات بايد تضمين‌شود. : Availability .3در دسترس بودن -اطالعات بطور صحيح در دسترس افرادی كه حق دسترسی به آن را دارند قرار‌گيرد. يك سيستم جامع امنيتی بر سه پايه بنا می‌شود: .1سيستم‌ها و دستورالعملهای امنيتی :طرح‌ها و برنامه‌های مرتبط با نحوه محافظت از سيستم‌های اطالعاتی و داده‌های آنها در اين قسمت مورد توجه قرار می‌گيرد. .2فناوری و محصوالت امنيتی :تمام ابزارهای مورد استفاده در بخش‌های مختلف امنيتی براي اعمال دستورالعملها ،كنترل و نظارت .3عوامل اجرائی :اين عوامل از تكنولوژی و ابزارها در جهت اجرای سياستها و دستورالعملهای امنيتی استفاده می‌كنند. راه حل‌های امنيت اطالعات • شناسائی سرمايه‌های سازمانی و تخمين آسيب‌پذيری امنيتی • تدوين و پياده‌سازی سياستهای مديريت امنيت بر استانداردهای ISO 17799-BS7799 اساس • بازبينی ،طراحی و پياده‌سازی سياستهای امنيت سياستهای سازمان شبكه بر اساس • بازبينی ،طراحی و پياده‌سازی امنيت در سطح برنامه‌های كاربردی • بازبينی ،طراحی و پياده‌سازی امنيت در سطح متداول سيستم عاملهای نصب و راه‌اندازی ابزارهای امنيتی • تربيت و آموزش نيروهای متخصص در زمينه امنيت شبكه • طراحی و پياده سازی امنيت در سطح ابزارهای سرويس‌دهنده‌ها شبكه و • مشاوره در زمينه امنيت شبكه جامعه برای تامین نیازهای اطالعاتی خود به طور روزافزون به سیستم‌های اطالعاتی حسابداری وابستگی پیدا کرده است و سیستم‌های اطالعاتی حسابداری خود به طور وسیع در حال گسترش و پیچیدگی است .به موازات افزایش پیچیدگی سیستم اطالعاتی حسابداری و وابستگی جامعه بر این سیستم ،شرکت‌ها نیز با مخاطرات فزاینده‌ای در مورد سیستم‌های اطالعاتی خود روبرو می‌شوند. سیستم اطالعاتی یک شرکت غالبًا با چهار نوع تهدید روبروست: -1حوادث طبیعی و سیاسی مثل آتش‌سوزی ،طوفان، جنگ.… ، -2خطا‌ها و خرابی‌های نرم‌افزاری و سخت‌افزاری. -3بی‌دقتی و سهل‌انگاری (اقدامات غیرعمومی) مثل سهل‌انگاری و قصور افراد دراجرای صحیح روش‌ها، عدم وجود آموزش‌های مناسب ،نبودن سرپرستی صحیح. -4اقدامات عمومی (جرایم رایانه‌ای) مثل سرقت رایانه‌ای ،خرابکاری سیستم … از این رواجرای کنترل‌های کافی و ایمنی‌های مناسب بر روی منابع اطالعاتی هر بنگاه تجاری باید در اولویت مدیریت ارشد آن بنگاه تجاری باشد که بدین منظور انواع کنترل‌های داخلی مورد استفاده شرکت‌ها به منظور حصول اطمینان از صحت و درستی سیستم اطالعاتی حسابداری مورد بررسی قرار خواهد گرفت. فناوری اطالعاتی ،فرصت‌های ویژه‌ای را برای حل مسائل تجاری راهبردی و فنی ارائه می‌کند . اما دروازه فناوری اطالعات همیشه به روی تهدیدات سیستم اطالعات حسابداری باز است و بالطبع در معرض خطراتی قرار می‌گیرد که برای سیستم‌های اطالعاتی حسابداری پذیرفتنی است. ارزیابی خطر مذکور از دو جهت اهمیت دارد -1از دیدگاه مدیریت :این ارزیابی از خطر برای تصمیم‌گیری مناسب در مورد ایجاد رویه‌ها و سیستم‌های کنترل داخلی جدیدی ضروری است که برای حفاظت یکپارچه و مطمئن از سیستم‌های اطالعاتی مستقر می‌شود. -2از دیدگاه حسابرسان :ارزیابی خطرات مربوطه به تهدیدات سیستم کنترل داخلی سازمان معموًال جزیی ضروری از کار حسابرسان بوده است. به هر حال قانون ساربینز-اکسلی ( )2002مسئولیت پیاده‌سازی به نگهداری و ارزیابی سیستم کنترل‌های داخلی را به مدیریت واگذار کرده و آنها را ملزم کرده تا ارزیابی اثربخش کنترل‌های داخلی را در گزارش ساالنه سازمان مدنظر قرار دهند. تکنیکهای سوء استفاده و تقلب رایانه ای: اسب تروا: مجموعه‌ای از دستورهای رایانه‌ای غیرمجاز در یک برنامه مناسب و مجاز است .دستورهای غیرمجاز مزبور در یک زمان از قبل مشخص شده یا در شرایط از پیش تعیین شده‌ای ،اعمال غیرقانونی را انجام می‌دهند .برای مثال، برای هزاران مشترک مستقیم آمریکایی پیامهایی حاوی هدیة یک نرم‌افزار رایگان ارسال می‌شود .کاربرانی که ضمایم پیام را باز می‌کنند ناآگاهانه اسب تروا را راها می‌کنند و اسب تروا به صورت مخفی و سری نام حساب و کلمة عبور مشترک را کپی کرده و آن را برای فرستندة پیام ارسال می کند. تکنیک گردکردن به پایین: به طور مکرر توسط مؤسسات مالی پرداخت‌کننده بهره استفاده می‌شود .در برخی سناریوها ،برنامه‌نویس ،برنامة محاسبة بهره را به شکلی طراحی می‌کند که محاسبات بهره را تا دو رقم اعشار به پایین گرد می‌کند .مبالغ کمتر از یک سنت ،به دلیل گردکردن به پایین ،از محاسبات بهره کسر و به حساب برنامه‌نویس یا شخصی که مسئولیت کنترل حسابها را به عهده دارد ،واریز می‌شود .کسی متوجه این موضوع نمی‌شود زیرا ،کلیه دفاتر تراز هستند. تکنیک ساالمی : پول های خرد و ناچیز طی یک دوره زمانی اختالس می‌شود . درپشتی یا دریچه پشتی : راهی برای ورود به سیستم و دور زدن کنترلهای امنیتی سیستم است .برنامه نویسان غالبآ درهای پشتی را برای اصالح برنامه ورفع اشکاالت سیستم در حین طراحی در سیستم قرار میدهند و معموآل آنها را قبل از اجرای سیستم حذف می کنند .اگر در پشتی قبل از اجرای سیستم حذف نشود هر کسی این در را شناسائی کند می تواند وارد برنامه شود و تقلب کند. کاله‌ گذاشتن اطالعاتی: تغییر داده‌ها و اطالعات قبل ،طی یا پس از ورودبه سیستم اطالعاتی است .تغییر می‌تواند با حذف ،دستکاری یا اضافه‌کردن اطالعات کلیدی به سیستم ،انجام شود. در تظاهر یا نقش‌بازی کردن: رد متقلب با بازی‌کردن نقش یک کاربر مجاز ،امکان دسترسی به سیستم را به دست می‌آورد .این روش مستلزم این است که متقلب شمارة شناسایی و کلمة عبور کاربر مجاز را بداند .فرد متقلب زمانی که وارد سیستم می‌شود از تمام مزایای یک کاربر مجاز برخوردار می‌شود. در مهندسی اجتماعی: فرد متقلب یک کارمند را برای دریافت اطالعات مورد نیاز برای ورود به سیستم فریب می‌دهد .افراد متقلب ممکن است عنوان کنند که مسئولیت انجام یک تحقیق امنیتی را به عهده دارند و کارمندان را وادار کنند تا اطالعات محرمانه را در اختیار آنها قرار دهند. بمب ساعتی سیستمی: برنامه‌ای است که تحت شرایط خاص عمل می‌کند .یا یک زمان خاصی موجب کشیدن ماشة آن می‌شود و عمل می‌کند و هنگامی که ماشه بمب کشیده شد ،انفجار بمب موجب خرابی سیستم ،آسیب‌دیدگی برنامه‌ها ،داده‌ها و اطالعات می‌شود. بیشتر بمبها توسط برنامه‌نویسان ناراضی طراحی می‌شوند که با شرکت مشکل داشته و از ناحیه آن شرکت تحت فشار هستند . نفوذ کردن یا تجاوز کردن: دسترسی غیرمجاز و استفاده از سیستم رایانه‌ای به وسیلة رایانه‌های شخصی و شبکة ارتباط از راه دور است .رخنه‌گران قصد آسیب رساندن به سیستم را ندارند .آنها بیشتر به قصد مطرح‌شدن و کنجکاوی وارد سیستم‌ها می‌شوند. رفتگری یا جستجوی زباله‌دان: دستیابی به اطالعات محرمانه از طریق جستجو در ثبتها ،اسناد و مدارک شرکت است .دامنة شیوه رفتگری از جستجوی ظروف زباله شرکت برای به دست‌آوردن گزارشهای ستاده یا نسخه‌های کپی‌شده از اطالعات محرمانه تا پویش حافظة رایانه است. شایعه‌سازی اینترنتی: استفاده از اینترنت برای انتشار اطالعات غلط یا گمراه‌کننده دربارة شرکتها است .این کار را می‌توان به چند روش انجام داد .پایمهای تحریک‌آمیز در گفتگوی همزمان بر روی اینترنت، ایجاد سایتهای وب و پخش شایعات مختلف از این دسته هستند. طبقه بندی تقلب رایانه ای ورودی: ساده‌ترین و متداول‌ترین راه ارتکاب یک تقلب تغییر ورودی‌های رایانه است .این روش مهارتهای رایانه‌ای کمی الزم دارد .فرد متقلب کافی است بداند سیستم چگونه کار می‌کند تا بتواند از خود رّدی به جای نگذارد. اطالعات: تقلب رایانه‌ای می‌تواند با تغییر یا خراب‌کردن فایلهای اطالعاتی شرکت یا کپی‌برداری ،استفاده یا بررسی بدون مجوز آنها ،انجام شود. ستاده: تقلب رایانه‌ای می‌تواند با سرقت یا استفادة ناصحیح از ستاده‌های سیستم انجام شود .ستاده‌های سیستم معموًال روی مانیتور نمایش داده می‌شوند یا روی کاغذ چاپ می شوند .بدون حفاظت صحیح، ستاده‌های چاپ‌شده یا نمایش‌داده شده به راحتی با چشم قابل مطالعه بوده و امکان کپی‌برداری غیرمجاز از آنها وجود دارد. شیوه‌های کاهش احتمال وقوع تقلب -1استفاده از رویه‌ها و مقررات مناسب برای استخدام و اخراج: یکی از مهمترین مسئولیتهای یک مدیر استخدام ،نگهداری و به کارگیری کارکنان با صالحیت و درستکار است. -2آموزش روشهای ایمنی سیستم و روشهای پیشگیری از تقلب به کارکنان. بسیاری از مدیران ارشد اجرایی معتقدند که آموزش و سطح علمی کارکنا ن مهمترین عنصر در هر برنامة امنیتی است. -3الزامی کردن امضای قراردادهای محرمانه: کلیه کارکنان ،فروشندگان و پیمانکاران باید قرارداد محرمانه نگهداشتن اطالعات شرکت را امضا کره و به مفاد این قرارداد متعهد باقی بمانند. آموزش وتعاليم موردنيازكاركنان يك شركت الف)اقدامات امنیتی: کارکنان باید در زمینه اقدامات امنیتی به خوبی آموزش داده شوند ،اهمیت اقدامات امنیتی را بدانند و برای اجرای جدی آنها تشویق شوند. ب)افشای تلفنی: باید به کارکنان آموزش داده شود و بدانند که نباید بدون آگاهی و اطمینان از ایمن‌بودن خطوط تلفن ،اطالعات محرمانه را ازطریق تلفن ارسال کنند. پ)آگاهی از تقلب: کارکنان باید از تقلب آگاه شوند ،تقلبهای رایج و متداول و خطرات آنها را بشناسند. ت)رعایت آیین رفتار حرفه‌ای: شرکت باید استانداردهای آیین رفتار حرفه‌ای را در فعالیتها و دستورالعمل‌های شرکت از قبیل اطالعیه‌های پرسنلی مطرح و ترویج کند. ث)مجازات رفتارهای آیین رفتار حرفه‌ای: کارکنان باید از نتایج و عواقب (توبیخ ،پیگرد قانونی، اخراج و غیره) رفتارهای خالف آیین رفتار حرفه‌ای آگاه شوند. روشهاي امنيتي سيستم ها ۱ـ امنیت فیزیکی : دارایی ها عنصری است که در هر سیستم حسابداری وجود دارد .رایانه ها و اطالعات و برنامه ها موجود در این رایانه ها در حقیقت دارایی ها و اطالعات و برنامه های موجود در این رایانه ها در حقیقت دارایی های با ارزش هر سازمان هستند. امنیت فیزیکی می تواند با اعمال کنترل های زیر به دست آید: -۱در صورت داشتن امکانات مالی استفاده از سیستم امنیتی هشدار دهند و دوربین مدار بسته. -۲نگهداری و حفاظت و انبار کردن ابزارهای حاوی اطالعات مثل دیسک ها و نوارها-، -۳استفاده از وسایل حفاظتی در برابر آتش سوزی برای حفاظت اطالعات و تجهیزات. -۴تعیین تنها یک یا دو در ورودی به اتاق رایانه ها،درهای ورودی باید به دقت بوسیله افراد حراست و سیستم خای تلویزیونی مداربسته محافظت شوند. -۵استقرار تجهیزات رایانه ای در اتاق های قفل شده و محدود کردن دسترسی به افراد مجاز. -۶نصب قفل های الزم بر روی رایانه های شخصی و دیگر تجهیزات رایانه ای شرکت. -۲امنیت دسترسی : دسترسی محدود و منطقی به داده ها و برنامه ها از طریق رایانه و وسایل ارتباطی ،سطح بعدی امنیت است و اهمیت آن با وجود سهولت دستیابی از راه دور به اطالعات رایانه ای از طریق مودم ها رو به افزایش است. رمز عبور -۱کارکنان باید نسبت به اهمیت حفاظت و نگهداری رمز عبورشان آگاهی داشته باشند و سیستم را بعد از استفاده حتما" غیر فعال سازند. -۲اگر شخصی پس از سه بار نتوانست شماره شناسایی و رمز عبور خود را وارد سیستم کند سیستم باید برای این فرد قطع و غیر فعال شود . -۳در زمان انتقال کاربران به بخش های دیگر شرکت،باید دسترسی آنان به سیستم فورا محدود شود. -۴شناسه و رمز عبور کارمند اخراج شده ،باید غیر فعال و باطل شود. -۳امنیت داده ها و اطالعات : روش امنیتی دیگر ،ایجاد امنیت داده ها و اطالعات بوسیله فراهم کردن برنامه جامع امنیتی است .این برنامه مشخص می سازد چه کسی ممکن است به داده ها و برنامه ها دسترسی داشته باشند؟ چه اطالعاتی نیاز دارد؟ چه موقع به این اطالعات نیاز دارد؟ و این اطالعات در کدامیک از این سیستم ها وجود دارد؟ مدیر ارشد باید مسئولیت طراحی ،سرپرستی و اجرای برنامه امنیتی را بر عهده بگیرد . .شرکت ها برای کاهش خطر عدم موفقیت در انتقال اطالعات باید بر شبکه اطالعاتی خود نظارت کرده و نقاط ضعف آنرا شناسایی کند .پرونده پشتیبان را نگهداری کرده و شبکه اطالعاتی را به نحوی طراحی کنند که توانایی پردازش اطالعات در اوج فعالیت شرکت را داشته باشد .خطای انتقال اطالعات با رمز گذاری داده ها و پشتیبانی اطالعات به حداقل ممکن کاهش می یابد. نقش یک «اساس‌نامه امنیتی» در سازمان در اغلب موارد ،تشکیالت اقتصادی همچون شبکه‌های کامپیوتری در برابر تغییرات فشرده و ناگهانی با ضعف و شکست مواجهه می‌شدند .یک پروژه ابتدایی امنیتی نیز از این مقوله مستثنا نیست. قبل از پیاده‌سازی هرچیزی ،ابتدا باید طرح و برنامه داشته باشید و سپس ابزار الزم را مهیا سازید. دلیل اینکه بیشتر تشکیالت اقتصادی با شکست مواجه می‌شوند به این دلیل است که آنها هدف اصلی از این تشکیالت را برای خود مشخص نمی‌کنند. هدف اساس‌نامه امنیتی به طور کلی ،اساس‌نامه امنیتی برای این وجود دارد که هر کسی به طور دقیق و از قبل تعریف شده بداند که در کار با منابع سازمان و تشکیالت چه کار انجام دهد و روی آنها نیز تعهد الزم را داشته باشد .اساس‌نامه امنیتی نیاز دارد که مشخص کند شما دارای چه استانداردهای امنیتی هستید .سیاست‌های امنیتی شماست که حکم می‌دهد آیا باید این اتفاق بیفتد یا خیر .اساس‌نامه امنیتی شما باید مشخص کند که اهداف امنیتی شما چه هستند. نتیجه گیری: در دنیای سیستمهای اطالعاتی حسابداری در محیطهای رایانه ای که هر لحظه در حال تغییر و تحول است و هر روز به تبع پیشرفت تکنولوژی در حال تکامل است ,و متاسفانه به همان میزان ,و حتی بیشتر ,تهدیدات در این حوزه به شدت ,هم به لحاظ کیفی و هم به لحاظ کمی در حال افزایش است. در نتیجه بهتر است موارد زیر در جهت به حداقل رساندن تهدیدات امنیتی در سازمانها اجرا شود: -1بررسی کنترلهای داخلی سازمان بطور ادواری به منظور اطمینان از موثر بودن آنها در پیشگیری از وقوع تقلب . -2به منظور کشف تقلب باید کنترلهای جدیدی طراحی و مستقر شود. -3باید به کارکنان درباره مباحث اخالقی امنیتی و تقلب اموزشهای ,الزم داده شود. -4مشاوره با مهندسین و طراحان سیستم ها به گونه ای که همزمان با پیشرفت تکنولوژی ارزیابیهای پیشرفته ای هم به عمل اید. -5اموزش مدیریت امنیت سیستم چرا که مدیریت رده باال ستاده های سیستم را به کار می گیرد و نمی تواند از امنیت روزانه سیستم اگاهی پیدا کند. -6با ذخیره سازی مرتب اطالعات از طریق نوارهای مغناطیسی و ابزارهای الکترونیکی و همچنین افزایش سطح امنیت مکانهائی که در انها سرورها قرار دارند و ...میتوان خطرات فیزیکی و طبیعی را به حد اقل رساند. -7با ایجاد و تهیه یک اساسنامه امنیتی در سازمان میتوان راهبرد امنیتی را هدفمند و خسارات امنیتی را به حداقل رساند.

55,000 تومان