В процессе реинжиниринга после его внедрения элементы управления не устанавливаются, поскольку реинжиниринг в основном концентрируется на новых и инновационных процессах проектирования, стремясь к заметному, драматичному и заметному увеличению производительности, эффективности и прибыли компаний., не рассчитывая на дизайн управления в процессах. Таким образом, он должен пройти анализ для осуществления основных и основных средств контроля.и с большим акцентом в области обработки данных. Невыполнение этого требования, безусловно, приведет к сбоям или отклонениям в новых процессах, и мы не сможем своевременно определить или выслушать их и избежать сбоев или ошибок. Эти руководящие принципы, разработанные однажды, должны применяться всей компанией и, в основном, персоналом, работающим в области систем.
Цель этой работы не в том, чтобы научить вас реинжинирингу или объяснить вашу методологию. Цель этой работы состоит в том, чтобы показать вам, что после реинжиниринга есть «запредельное», и это средства управления и ценные бумаги, на которых сосредоточена эта работа. Мое намерение состоит в том, чтобы показать вам точки оповещения о тех областях, которые «в основном» находятся в непосредственной опасности, и менее технический способ объяснить бизнес-администратору способы их предотвращения с помощью средств управления и защиты данных.
Важно также сообщить бизнес-администратору, что, хотя он или она не является экспертом в области компьютерных систем, он или она должен «знать», какими должны быть основные моменты, и получать подробную информацию от системного эксперта своей компании.
Наконец, если бизнес-администратор возглавляет колледж, университет, отраслевую, банковскую или коммерческую компанию, эта работа вам очень поможет, поскольку она применима к любой компании. Основное внимание уделяется обработке и смежным областям, но ее концепции могут быть распространены даже на другие области.
ГЛАВА 1: ОБЩАЯ
- Цель реинжиниринга
Много было сказано о том, что такое реинжиниринг, а что нет. Среди того, что называется реинжинирингом, мы имеем то, что это программа или методология, которые стремятся к радикальным изменениям, не стремятся к постепенным улучшениям, ни только к автоматизации, ни только к организации, ни к уменьшению размеров, ни только качество.
Процесс реинжиниринга определяется как «сбалансированный» подход, который содержит элементы более традиционных программ улучшения, хотя это и не «программа улучшения», поскольку реинжиниринг - это гораздо больше. Ищите решительного прогресса в важных мерах, которые влияют на производительность. Ищите многогранные цели, как по качеству, стоимости, скорости, гибкости, удовлетворенности клиентов, точности; все они одновременно, а не один в частности. Реинжиниринг берет «процессы» в качестве точки зрения и сосредотачивается на них, чтобы перепроектировать их, и поэтому его перспектива не является ни функциональной, ни организационной.
Для того, что было объяснено ранее, и для того, что вы уже должны знать о реинжиниринге, оно стремится выправить процесс, удалив из него серпантин. Для этого он определяет, что у процесса есть границы и что на каждой границе он имеет как минимум один элемент управления, поэтому он будет иметь как минимум два элемента управления в процессе: один для лица, выполняющего передачу, а другой для лица, получающего его, что для реинжиниринга является немыслимо. Создание элементов управления, по их мнению, ухудшает ход процесса, поскольку они включают действия, которые с точки зрения этой методологии не повышают ценность.
Определение реинжиниринга предполагает оптимизацию рабочих процессов и производительности в организации путем измерения как на основе результатов бизнеса: увеличение прибыльности, доли рынка, рентабельности инвестиций, капитала и активов. Реинжиниринг также можно измерить, сократив общую или удельную стоимость.
Процесс реинжиниринга устанавливает четкую корреляцию между бизнес-результатами (которые представляют интерес для руководителей высшего звена, которые выбирают эту программу) и результатами процесса: скорость, точность и сокращение времени процесса (что команда реинжиниринга попробуй оптимизировать).
Без установления этой преднамеренной, поддающейся количественной оценке связи между конечным результатом и средствами, то есть между результатами бизнеса и результатами процесса; Программы реинжиниринга будут обречены на провал.
Наконец, реинжиниринг реагирует на эволюцию тенденций в бизнес-среде, в которой более традиционные программы постепенных улучшений терпят неудачу. Во многих случаях только обещания реинжиниринга изменяются достаточно быстро и достаточно радикально, чтобы не отставать от меняющейся бизнес-среды.
- Цель управления
Контроль является одним из столпов, на которых основано управление. Простая концепция того, что означает контроль, заключается в том, чтобы «измерить текущие и прошлые результаты относительно ожидаемых, либо полностью, либо частично, чтобы исправить, улучшить и сформулировать новые планы». Сам контроль стремится систематически собирать данные, чтобы знать о реализации планов.
Благодаря технологическим достижениям и успеху систем связи во многих случаях можно получить «обратную связь» информации, полученной от самого элемента управления, и использовать ее так, чтобы автоматически инициировались корректирующие действия, с помощью которых, нет необходимости ждать, пока результаты будут полностью получены, чтобы привести корректирующее действие в действие: ранее установленная процедура постоянно корректирует действие, основываясь на этих результатах, без необходимости его остановки.
Управление может быть автоматическим, ручным или комбинацией обоих. Чтобы получить представление о способах представления элементов управления, у нас есть следующий пример: в конкретном месте был установлен температурный стандарт, который должен поддерживаться в диапазоне от 20 ° до 22 ° по Цельсию. В системе ручного управления необходимо визуализировать, когда термометр падает ниже 20 ° C или поднимается выше 22 ° C, чтобы отрегулировать вентиляцию в соответствии с указанными стандартами.
В системе автоматического управления, когда температура достигает менее 20 ° или более 22 ° C, она автоматически меняет нагрев, тем самым постоянно поддерживая температуру на желаемом уровне.
В административной области можно получить те же приложения, например: в запасах, которые требуют точек замены, при достижении того же самого значения автоматически создаются необходимые заказы, так что основные элементы не пропадают, пока запас расходуется. Этот пример, выполненный вручную, также требует ручного контроля уровней запасов и точек пополнения.
После этого краткого объяснения того, что такое «контроль», мы определяем, что цель контроля состоит в том, чтобы предоставить компании элемент мониторинга и обнаружения отклонений или сбоев в процессах. Они созданы для защиты таких элементов, как:
-Безопасность, своевременность и достоверность информации в соответствии с требованиями компании.
-Применение мер защиты и контроля к хранимым данным или программам, используемым в процессинговом центре, таком как микрокомпьютеры компании.
-Проектирование физических и административных ценных бумаг, которые приводят к поддержке мер контроля для процессингового центра и других лиц, которые работают с официальными данными.
- что официальные данные компании доступны специально уполномоченному персоналу и с конкретными атрибутами, путем выполнения авторизованного процесса, который отражает надежный конечный продукт, основанный на применении разработанных процессов.
Авторизованный персонал, официальные данные (официальные данные) и авторизованные процессы являются частью всей системы формальности учреждения, которая постоянно проверяется, проверяется и утверждается контрольными механизмами компании и которые периодически работают в соответствии с применяемые схемы безопасности и контроля.
-Процессы, данные и программы, которые работают в компании, всегда должны иметь тенденцию к формализации (будь то пользователи, внутренний аудит, системы, внутренний контроль, обучение и т. Д.), Когда они актуальны для компании и когда их Обработка происходит постоянно, а также ее постоянство. Это обеспечивает соблюдение всех правил, политик, процедур и средств контроля, установленных в Учреждении.
-Анализ возможных инвестиций, необходимых для соблюдения правил и процедур безопасности и контроля данных; оценка с критериями выгод, которые будут получены в результате инвестиций, и постоянное рассмотрение интересов компании, которые должны быть защищены.
ГЛАВА 2: ФИЗИЧЕСКАЯ БЕЗОПАСНОСТЬ
- Цель физической безопасности
Целью является защита систем с точки зрения аппаратного обеспечения, программного обеспечения, документации и магнитных носителей от риска потери, потери или физического повреждения. Аналогичным образом, потенциальные риски могут возникнуть при доступе несанкционированного персонала без надлежащего контроля физической безопасности; в пожарах; при отключениях электроэнергии; во время наводнений из-за утечек воды и логического контроля доступа.
- Аспекты, связанные с физической безопасностью
Физическая безопасность включает как минимум следующие аспекты:
- Контроль доступаБезопасностьЭнергетикаВоздушная установкаОбнаружение водыЗащита безопасностиСвязь
2.2.1 Контроль доступа
Хотя инвестиции в системы контроля доступа не обязательно должны быть обременительными, такими как имплантация пуленепробиваемых очков, круглосуточной вооруженной охраны или видеокамер; компаниям следует предусмотреть достаточно разумный контроль для предотвращения доступа отдельных лиц и даже «неавторизованного» персонала к центру обработки или к областям обработки данных или официальной и эксклюзивной информации.
Эти системы безопасности должны предусматривать использование ключей безопасности, которые вводятся через электронный компонент, расположенный в каждой зоне, или зашифрованную пластиковую карту. Назначение ключа должно быть дано представителем системной области и должно периодически изменяться, чтобы избежать проникновения в основной файл ключа или предоставления его между пользователями.
Следует отметить, что для этой цели должна существовать взаимосвязь между каждой областью, которая делает человека ответственным за использование ключа, и областью управления, которая назначает и контролирует ключи, выданные пользователям. Отсутствие информации об увольнении, уходе в отставку или отсутствии определенного персонала на определенное или постоянное время может привести к тому, что процесс контроля доступа будет неудачным для убытков, вызванных актами саботажа, кражи, нападений и т. Д.
Доступ также должен предоставляться исходя из минимальной потребности и в зависимости от случаев, находящихся под наблюдением руководителя систем.
Когда персонал переназначается на другие функции, в которых ему не требуется доступ, который он ранее разрешил; разрешение должно быть отозвано после того, как лицо переназначено на свои обязанности. Аналогичным образом в период отпусков персонала следует применять эту же концепцию.
Мобилизация оборудования или магнитных средств должна выполняться только уполномоченным персоналом и должна соответствовать процедуре контроля за мобилизацией оборудования. Охранник должен обеспечить, чтобы мобилизация оборудования или магнитных средств как входа, так и выхода осуществлялась с разрешения случая.
Персонал, который соответствует категории посетителей и должен перемещаться по процессинговому центру или связанному с ним лицу, должен использовать карточку, указывающую его качество как «посетителей», и должен всегда сопровождаться или контролироваться персоналом учреждения, а их вход и выход должны быть записано в блоге области.
Уборка и очистка процессингового центра и связанных с ним объектов должны проводиться в присутствии персонала учреждения. Упомянутый уборщик должен войти до идентификации перед охранником, который должен подтвердить свое имя в реестре внешнего персонала компании и разрешенные часы доступа.
Въезд персонала с чемоданами, сумками или другими предметами, кроме тех, которые составляют или служат для их чистки и уборки, должен быть запрещен.
Карты доступа в зоны ограниченного доступа, а также карты посетителей должны быть незамедлительно сообщены в случае потери персоналу службы безопасности и менеджеру системы, чтобы отменить использование этих карт.
В экстренных случаях сотрудники службы безопасности должны иметь ключи от процессингового центра и офисов. Они должны храниться в запечатанном конверте, под защитой и периодически проверяться Аудитом.
Графики въезда и выезда персонала, а также оборудования и магнитных средств должны периодически проверяться персоналом Ревизии и проверяться, чтобы перемещения оборудования проводились в соответствии с установленным контролем и что въезд и выезд персонала Это было сделано в установленное время и с соответствующими разрешениями на прибытие или отъезд в нерабочее время.
Важно, чтобы компании планировали получить политику, которая защищает убытки или ущерб от их основных средств.
- Пожарная безопасность
Обрабатывающий центр и связанные с ним должны иметь детекторы дыма, которые должны включаться автоматически во время значительного выброса дыма. Эти устройства должны регулярно проверяться для проверки их работы. В случае пожарных извещателей с автоматическим удлинением воды они должны быть расположены в местах, удаленных от оборудования и материалов, которые невозможно извлечь при контакте с водой.
Обрабатывающий центр должен иметь достаточно переносных огнетушителей, которые должны периодически проверяться, чтобы они могли работать в чрезвычайных ситуациях.
Визуальную проверку вашего давления следует выполнить, отправив огнетушитель для загрузки или разгрузки в соответствующий центр технического обслуживания.
Кроме того, область должна быть отмечена таким образом, чтобы указать области, где курение или использование горючих материалов запрещено.
Используемые огнетушители различаются в зависимости от класса возникновения пожара. Для этого у нас есть пожары типа A, B, C и D. Пожары типа A происходят в обычном твердом топливе, таком как древесина, текстиль, мусор и т. Д. Огонь такого типа раскалывает материал, создает угли, оставляет пепел и распространяется снаружи внутрь. Предпочтительно бороться с огнетушащими средствами на водной основе.
Пожары типа B происходят в легковоспламеняющихся жидкостях: бензине, маслах, красках, жирах и т. Д. Он характеризуется тем, что пожар происходит только на поверхности. Чтобы бороться с ними, мы должны предпочтительно устранить кислород, который находится в контакте и требует средств пожаротушения, которые выполняют эту цель.
Пожары типа C происходят в подключенном электрическом оборудовании, хотя этот тип пожара происходит в твердых или жидких материалах, они заслуживают специальной классификации из-за опасности электрического тока. Средства пожаротушения Используются НЕ ЭЛЕКТРОПРОВОДНИКИ.
Пожары типа D происходят на легких металлах, химических веществах, фармацевтических препаратах и т. Д. При сгорании эти материалы генерируют собственный кислород; когда на них нападают обычные средства пожаротушения, они вызывают бурные реакции, включая взрыв. С ними борются, предпочтительно, со специальными средствами пожаротушения, такими как химический порошок.
Ниже приведена пояснительная таблица типов пожаров и типов огнетушителей, которые будут использоваться в каждом из них.
| ПОЖАРНЫЙ КЛАСС | ОГНЕТУШИТЕЛЬ | |||||||
| КЛАСС | ВИД ТОПЛИВНОГО МАТЕРИАЛА | ВОДА | FOAM | СО2 | ПОРОШОК до н.э. | ABC ПОРОШОК | СПЕЦИАЛЬНЫЕ АГЕНТЫ | |
| К | Дерево, тряпки, бумага и т. Д. Твердое в целом | N | N | и | и | N | р | |
| В | Легковоспламеняющиеся жидкости или твердые вещества с низкой температурой плавления. | р | N | N | N | N | и | |
| С | Живое или подключенное электрооборудование | р | р | N | N | N | и | |
| D | Материалы, химикаты и др. | р | р | р | и | и | N | |
| n Подходит для типа / огонь | ê можно использовать | не должен использоваться в этом типе / огонь | ||||||
Обрабатывающий и связанный с ним центр должен быть оборудован оборудованием, мебелью и негорючими материалами. Неиспользование штор в процессинговом центре является предпочтительным. Электрооборудование, такое как кабели, должно быть установлено и подготовлено высококвалифицированным персоналом.
Выключатели питания должны быть разделены на секции и один, который позволяет полностью отключить источник питания в чрезвычайных ситуациях, который должен быть защищен от случайных манипуляций.
Ни в коем случае нельзя курить в зоне обработки. Любые легко сгораемые материалы, такие как листы, руководства, формы, должны быть расположены вдали от горячих областей и возможных контактов с легковоспламеняющимися элементами.
- Энергоснабжение
-Каждый компания должна иметь ИБП (U ninterruptable P Ауэр S upply / источник бесперебойного питания), чтобы защитить себя от любого приостановления или падения электрического питания.
-В дополнение к ИБП должен быть также генератор энергии для использования в чрезвычайных ситуациях, который должен периодически проверяться для обеспечения его работы.
| ЭНЕРГЕТИЧЕСКИЙ ГЕНЕРАТОР |
-Одно, согласно прогнозам, генератор и ИБП должны использовать до 70% своей нагрузки.
- Следует отметить, что ИБП работает постоянно, не только для того, чтобы выдерживать отсутствие света в течение определенного периода, но также для вспышек или электрических всплесков. Важно правильно оценить спецификации, которые должен иметь ИБП, прежде чем приобретать его, чтобы он поддерживал все оборудование процессингового центра и связанное с ним. Эта оценка должна проводиться руководителем системы.
-Оборудование должно регулярно обслуживаться.
-Энергия обрабатывающего центра и связанных с ним должна быть исключительной и не делиться с другими областями.
- В чрезвычайных ситуациях важно, чтобы персонал процессингового центра был ознакомлен с соответствующими процессами, чтобы при работе только с энергией, поступающей от ИБП, неосновное оборудование отключалось, чтобы продлить время альтернативный источник питания.
-В качестве аварийного инструмента, вы всегда должны иметь фонари на батарейках.
- Кондиционирование воздуха
-Перерабатывающий центр должен храниться при температуре 18-19 ° C и влажности 45-50%.
- Для обрабатывающего центра должны быть независимы от центральной системы кондиционирования воздуха два «специальных» кондиционера, одно из которых служит резервной для другого, когда оно не может работать правильно. Характеристика этого оборудования не является обычной для обычных кондиционеров. Это оборудование в основном автоматически регулирует температуру, влажность, контролирует поток воздуха и работает бесшумно, что позволяет избежать повреждения компьютеров и другого оборудования, составляющего обрабатывающий центр.
-При случаях непредвиденных обстоятельств, при которых работа основного кондиционера недоступна и при отсутствии резервного оборудования; Вентиляторы постамента могут оставаться доступными для охлаждения основного оборудования на время чрезвычайной ситуации.
- Обнаружение воды
Компания очень редко использует детекторы воды в своих обрабатывающих центрах не из-за их неэффективности, а из-за недостатка знаний о существовании этих типов оборудования. Эти устройства очень важны для защиты обрабатывающего центра от утечек воды, в основном в слабых местах, например, вблизи оборудования для кондиционирования воздуха.
| ДАТЧИК ВОДЫ И ВЛАЖНОСТИ | Детектор звуковой воды |
-Эти устройства могут быть звуковыми или чувствительными к воде детекторами. Они могут быть использованы индивидуально в соответствии с потребностями каждой компании, или они могут быть объединены, то есть; Датчики воды и влажности (места, где находится оборудование для кондиционирования воздуха) могут использоваться в определенных ключевых секторах, а в других могут использоваться звуковые датчики (рядом с кранами или водопроводными трубами).
- Сигналы тревоги должны регулярно обслуживаться и проверяться для обеспечения их работы.
-В дополнение к автоматическим системам, можно визуально обнаружить утечки или выделения воды в фальшполах, лежащих или стенах.
Охранники
-Охранники должны обеспечивать постоянное наблюдение за офисами и главным образом за процессинговым центром и т.п. Посторонние лица не могут входить в процессинговый центр без соответствующего разрешения.
-Они также должны удостовериться, что обслуживающий персонал находится на полу и с человеком, которого посетили. Аналогичным образом, отправление посетителей должно быть зарегистрировано и должно контролироваться с помощью визитных карточек, а также подписи и времени отъезда посетителя.
-В зависимости от размера компании и чувствительности информации, которую они обрабатывают, камеры безопасности обычно устанавливаются по этажам или секторам, которые контролируются группой охранников на контрольных участках, предназначенных для этой цели.
- телекоммуникация
Коммуникация определяется как искусство и наука "Общение". Эта простая концепция распространяется на телекоммуникации, которые состоят из «связи» на некотором расстоянии с использованием электронных, электрических, оптических, кабельных, оптоволоконных или электромагнитных средств. Телекоммуникации - это просто средства передачи, приема и обмена сигналами.
- Среди мер предосторожности, которые должны соблюдаться в области телекоммуникаций, являются кабели связи, а электрические кабели должны храниться защищенным образом, чтобы обеспечить их правильное функционирование.
-Коммуникационное оборудование, такое как модемы, узлы, контроллеры, серверы и т. Д. они должны быть защищены в физическом месте, где они находятся, и в окружающей среде в соответствии с техническими спецификациями, предоставленными производителем и / или поставщиком оборудования.
- Во всей компании и главным образом в обрабатывающем центре электрические кабели должны быть внутри желобов или пластиковых труб, которые являются непроводящим материалом электрической энергии. В случае сетевых кабелей (передатчик голоса и данных обычно используются металлические трубы).
-Кабели, независимо от того, электрические они или нет, должны быть в местах, специально обозначенных для этой цели, и заказаны с использованием имеющихся на рынке элементов для их защиты от замыканий или повреждений, вызванных небрежностью, водой, грызунами и т. Д.
-В настоящее время компании, занимающиеся проектированием сред, предоставляют подвижные стены, в которые встроены обшивки, водосточные желоба. Важно подчеркнуть, что этот тип обшивки следует использовать вне зоны обработки, поскольку материал, который их покрывает, обычно представляет собой ткань, поэтому его легко сжигать.
Хотя бизнес-администратор будет доверять руководителю систем вашей компании выполнение или установку электрических или структурированных кабелей (для сетей), не менее верно то, что вы должны знать об аспектах, которые должны быть рассмотрены в этом типе Услуги:
-Электромонтаж: проектирование и выполнение строительных работ, прокладка воздуховодов (пластик), прокладка кабелей. Предоставление и монтаж: розеток, щитов, ограничителей перенапряжений (стабилизаторы напряжения-ИБП) и др.
-Структурированная электропроводка: проектирование и выполнение строительных работ, прокладка воздуховодов (металлических или пластиковых), прокладка водосточных желобов, прокладка голосовых и информационных кабелей. Предоставление и установка: шкафов, разъемов, патчей, концентраторов, маршрутизаторов и т. Д. предоставление и установка компьютерной техники и соответствующего программного обеспечения.
-Сервисное обслуживание сети: может включать в себя все компьютерное оборудование (серверы, персональные компьютеры, принтеры и т. Д.), А также проверку и исправление проблем при прокладке сети и ее активных компонентов. На уже существующих объектах предлагается услуга сетевой сертификации.
ГЛАВА 3: ОРГАНЫ УПРАВЛЕНИЯ, СВЯЗАННЫЕ С СИСТЕМАМИ
- Логический контроль доступа
Нужна для контроля
Контроль логического доступа имеет жизненно важное значение, поскольку он позволяет защищать такие ресурсы, как программы, файлы, транзакции, команды, утилиты и т. Д.
Мы определим руководящие принципы для реализации механизмов контроля над логическим доступом, как локальным, так и удаленным, к ресурсам центра обработки данных и связанных с ним.
- На общем уровне права доступа должны основываться на потребности пользователя знать информацию. Это подразумевает, что разрешения должны поддерживаться и обосновываться в соответствии с ролью пользователя.
- В экстренных случаях, когда ресурсы, как правило, не защищены, и в которых требуется, чтобы кто-то, кроме уполномоченного лица, делал логический доступ, это всегда должно выполняться под надлежащим наблюдением. После чрезвычайной ситуации этот пользователь и пароль должны быть отписаны или заменены новым паролем для безопасности.
-Логические системы контроля доступа должны предусматривать нарушения. Ведение истории всех обращений, включая неудачные попытки или нарушения вашей безопасности, должно происходить автоматически.
-Коды доступа должны храниться в правильно запечатанных конвертах и храниться в сейфе. В экстренных случаях лицо, ответственное за сейф, с разрешения руководителя системы может передать последнему ключ, который защищен. Необходимо вести учет доступа к этим поддерживаемым ключам и соответствующих разрешений.
-Пользователи несут ответственность за назначенные им ключи. Ни при каких обстоятельствах пароли не должны раскрываться или передаваться другим пользователям. Любой результат несоблюдения этого пункта будет исключительно под ответственностью соответствующего пользователя.
Компания должна создать организацию, которая отвечает за управление ценными бумагами, пользователями и паролями. Назначенные функции будут состоять в том, чтобы контролировать и обновлять список пользователей и паролей, назначенных различным ресурсам, и устанавливать политики периодических изменений во избежание отклонений в безопасности ресурсов.
- Идентификация пользователя
-Пользователи никогда не должны делиться своими идентификаторами пользователя и паролями или паролями. Каждый новый пользователь должен быть запрошен и обоснован руководителю системы, а после утверждения должен быть направлен через Администратора по ценным бумагам для его соответствующего назначения и контроля.
- Важно, чтобы диспетчер систем проинформировал как заявителя, так и администратора безопасности, какие типы доступа будут иметь новый пользователь, а также какие нет доступа, которые могут даже охватывать ограничения уровня терминала.
Ни один пользователь не может быть создан без соответствующего ключа или пароля (пароля), поскольку это является единственным средством контроля безопасности.
-Клавиши должны состоять минимум из 6 буквенно-цифровых символов (цифр и букв), которые будут выбраны пользователем. В других случаях и в зависимости от ресурсов, к которым у вас будет доступ, ключи назначаются непосредственно администратором ценных бумаг и сообщаются пользователю, например: пользователи сети и сетевые ключи.
- Важно, чтобы в своих записях Диспетчер пользователей не использовал тот же пароль для других пользователей. В этом случае пароль должен быть немедленно изменен, и соответствующий пользователь должен быть проинформирован о новом пароле. Также следует учитывать следующие факторы в этом случае:
* Не должно быть ключей разных пользователей с одинаковыми символами в одинаковых позициях, например: 123SRRG и 123LRRG.
* Необходимо указать количество цифровых символов в пароле.
* Максимальное количество символов должно быть оговорено.
Ключи должны быть изменены по крайней мере каждые 30 дней. В случае высокочувствительных пользовательских кодов следует оценить более длительное время изменения.
- Неудачных попыток должно быть максимум три с неправильным паролем. После трех неудачных попыток пользователь должен быть заблокирован. Эти попытки должны быть зарегистрированы в системе для последующего контроля.
-Клавиши не должны отображаться. Ваше хранилище должно быть в зашифрованном (зашифрованном) виде.
-Каждый доступ к каждому ресурсу должен содержать определенный ключ и не повторяться.
-Если пользователь рассматривает изменение своего пароля из-за потери конфиденциальности, он должен немедленно попросить Администратора безопасности назначить новый пароль.
Есть программы, которые содержат имя пользователя и пароль по умолчанию (по умолчанию), чтобы облегчить его установку. Это должно быть изменено после установки программы.
-Клавиши должны быть сохранены в конвертах безопасности, и должны быть проведены случайные тесты для проверки их подлинности и валюты.
- Приостановка разрешений
Разрешения должны быть приостановлены по следующим причинам:
- Когда сотрудники отсутствуют из-за каникул.
-Если ваше имя пользователя и пароль не использовались в течение 30 дней.
-Оценка Администратора Ценных бумаг и Главы Систем для доступа в выходные и праздничные дни.
-Когда вы превысите максимальное количество попыток неудачного доступа к назначенным ресурсам или нет.
В любом из этих случаев причины должны быть проанализированы и исследованы, и для реабилитации пользователя необходимо запросить разрешения снова, в зависимости от типа примененного приостановления. В случае приостановки неактивности системы, последний должен запросить повторный ввод пароля еще раз.
- Доступ к данным
-Данные будут храниться на магнитных носителях, таких как дискеты, картриджи или ленты. Эти данные могут быть доступны только авторизованному персоналу.
-Печатная информация должна быть классифицирована в соответствии с вашей безопасностью.
-В случае неудачного доступа к данным, система должна подробно хранить такую информацию, включая имя пользователя, дату, приложение, файлы и т. Д. которые были предназначены для доступа, а также количество попыток.
-Так же, система должна следить за успешными попытками после нескольких неудачных попыток. Им можно управлять с помощью журналов безопасности (файлов хронологической активности), которые должны периодически проверяться администратором безопасности.
Предприятия должны разработать процедуру, которая позволяет им успешно обеспечивать контроль безопасности доступа к данным.
- Доступ к программам и утилитам
Доступ к программам и утилитам должен быть сегментирован в соответствии с профилем пользователя. Общая классификация:
- Пользователи системы Разработчики системы и производственный персонал.
В пользователях систем являются те, которые могут генерировать реальные сделки, или использовать возможности производственной системы. Они также смогут получить доступ к файлам, сгенерированным системой в результате транзакций.
В Программисты должны иметь доступ только к среде тестирования или разработки. Они не должны иметь доступа к фактическим транзакциям или доступа к системным функциям в производстве.
-Производственный персонал должен обеспечить доступ только к информации, определенной для каждого пользователя. Вы сможете выполнять задачи, определенные для рабочей области, но предотвращая доступ к данным, используя любой тип инструмента программирования или прикладные программы.
- Библиотеки программ и утилит должны быть разделены как для разработки, так и для производства.
- Важно, чтобы разрабатываемые программы также поддерживались на уровне версии с указанием даты, времени и пользовательских данных, которые ее разработали. Крайне важно сохранить хотя бы последнее и предпоследнее обновление, поэтому в случае возврата вы можете перейти к любой из двух последних версий.
- При необходимости можно разрешить доступ к библиотекам в среде разработки как для пользователя системы, так и для производственного персонала.
-Перед вводом системы в эксплуатацию необходимо оценить уровень безопасности, обеспечиваемый этой программой или утилитой. Важно, чтобы системный аудитор и начальник внутреннего контроля проверили, чтобы определить, соответствует ли система техническим спецификациям и содержит ли соответствующие меры предосторожности и средства контроля.
-Изменения, внесенные после производственных программ, должны быть выполнены в соответствии с контролем изменений.
- Контроль приложений
Элементы управления приложениями - это элементы управления пользователями и системы управления. Пользователь контролирует входные данные, фиксированные данные, отклоненные или ожидающие элементы, выходные данные. Системы управления сосредоточены на вводе данных, ожидающих элементах и обработке.
Пользовательский контроль относится к ответственности, которую пользователь должен нести при подготовке и утверждении транзакций (входные данные); в изменении фиксированных данных в основных файлах и системных таблицах, отвечая за их целостность и точность (фиксированные данные); в контроле отклоненных или приостановленных транзакций, которые должны быть немедленно исправлены в соответствии с их отчетной датой (отклоненные и приостановленные позиции) и, наконец, отвечает за ошибки или отклонения, представленные и обнаруженные в выходных данных.
Средства управления системами - это те, которые обеспечивают и гарантируют, что введенные данные полностью оцифрованы (входные данные); что отклоненные и ожидающие рассмотрения объекты правильно определены и остаются в ожидании решения (отклоненные и ожидающие рассмотрения элементы); и наконец, что система имеет механизмы контроля для обработки, чтобы гарантировать, что информация была обработана с правильными файлами данных, а также обеспечивает, на различных этапах обработки, мониторинг транзакции, который позволяет поддерживать адекватные аудиторские доказательства (про обработку).
Среди различных элементов управления системами мы можем упомянуть элементы ввода данных, которые предоставляются путем создания элементов управления для транзакций, элементов управления для итогов, элементов управления для последовательности, элементов управления для размера записи, проверки ключа и т. Д. Эти элементы управления не должны быть выбраны, а скорее все применяются, так как они имеют определенную функцию на протяжении всего пути операции ввода.
- С помощью Transaction Controls утверждение того же самого устанавливается перед обработкой, это происходит в автоматических утверждениях. Для ручных утверждений предпочтительно, чтобы это давалось в конце обработки или когда транзакция уже завершена :Когда в системе закупок сделана запись о покупке, и до ее входа в систему производится подтверждение ее оплаты путем подписания документа; Вы не будете уверены, что депозит был внесен правильно с указанием количества, поставщика и других данных исходной транзакции. Чтобы избежать мошенничества, важно в этом случае одобрить или подписать после завершения транзакции, то есть в конце. Существуют другие типы элементов управления, которые направлены на поддержание информации, касающейся изменений товара, цен, количества, и т. д. С помощью Total Controls создается реестр, который гарантирует, что все введенные транзакции суммируются.Элементы управления по последовательности - это те, которые автоматически или вручную генерируют последовательность записи либо на уровне предварительно пронумерованных форм, либо с помощью последовательности, автоматически генерируемой введенным документом. Размер элемента управления записью подтверждает, что длина сообщения он регистрируется в соответствии с установленными техническими параметрами, и передача информации, не предусмотренной в транзакции, исключается. В некоторых случаях может также оцениваться необходимость передачи информации в зашифрованном виде, что усложнит расшифровку информации. Последний широко используется, когда информация очень конфиденциальна.Контроль приложений должен в любом случае гарантировать, что пользователи получают доступ или влияют только на то, что разрешено и определено для каждого из них.Системный программист контролирует активность.
Действия системного программиста должны гарантировать, что разработанная программа соответствует требуемым требованиям, безопасности и неприкосновенности дела. Диспетчер систем будет отвечать за проверку перед запуском программы, за то, что программист должным образом задокументировал программу или изменения, что процедуры проверки и проверки были выполнены и что системные тесты были завершены, Важно, чтобы проверки ввода и вывода данных выполнялись для всех регистров и чтобы невозможно было манипулировать каким-либо конкретным регистром, например: программисты банковских приложений (чековые или сберегательные счета) могли программировать дебеты или кредиты для учетные записи без их обнаружения невооруженным глазом. Крайне важно, чтобы был реализован механизм контроля и проверки для подтверждения того, что рассматриваемая программа соответствует требуемым требованиям и гарантиям по делу.
3.1.7.1 Реальные случаи несанкционированного доступа к компьютерным системам и мошенничества - Пентагон, Ситибанк, Лондонский банк Barings, Университет Спринг-Арбор в Мичигане и Proinco-Эквадор
Случай 1: Доступ к системе Пентагона.
Из-за политических и стратегических последствий, которые Соединенные Штаты испытали в кризисе с ИРАК, новость была немедленно раскрыта. Заместитель министра обороны Джон Хамре поспешил отрицать, что доступ хакера к Пентагону был открыт для его секретных систем. Он указал, что если были записи, но они шли в несекретной информационной сети. Он также пытался визуализировать атаку как «игру» в соответствии с их выражениями, чтобы убрать драматизм ситуации.
Через несколько дней после нападения молодой человек, подозреваемый в незаконном проникновении в компьютеры Пентагона, был наконец арестован. Пират, кажется, был 18-летним израильтянином по имени Эдхуд Тенебаум, у которого вымышленное имя (ник) - «аналитик» и который вошел в систему с компьютеров и сети своей школы, чтобы не оставлять личных следов своего виртуального путешествия по военным объектам. Американский.
В дополнение к Пентагону, молодой человек мог взломать различные другие агентства в Израиле и многие другие в Соединенных Штатах. Контрастная информация, собранная этими двумя странами, в конечном итоге привела бы к раскрытию личности молодого человека.
В дополнение к «аналитику» была также задержана группа молодых людей, которые якобы участвовали в их вступлении в систему Пентагона. После того, как эта запись была обнаружена, ответственные за нее поместили в общей сложности 47 агентов ФБР на след хакера.
Но в результате этого случая в первые месяцы 1998 года на канале «Дискавери» появился очень подробный документальный фильм, свидетельствующий о том, что тот же департамент обороны уже подвергся нападению хакера в 1994 году, но по соображениям безопасности в В то время проблема была плохо раскрыта.
Как и в этом случае, многие другие были представлены широкой публике о компьютерном мошенничестве финансовым организациям, когда хакеры получают доступ к своим центральным компьютерам, манипулируя балансами банковских счетов в свою пользу посредством не очень сложный метод, но с большой группой людей, специализирующихся на этом типе мошенничества. Поэтому удобно, чтобы вместе с технологическими достижениями компании подготавливали и подготавливали свои системы, инвестируя в передовые технологии, которые снижают риски и во многих случаях полностью их устраняют.
Дело 2: Мошенничество в Ситибанке
Этот случай является единственным, документированным в истории ограблений банков через их системы. Ограбление совершил хакер по имени Владимир Левин, гражданин России, который в 1994 году разработал и спроектировал самое известное в истории ограбление на сумму 10 миллионов долларов от банка Ситибанк.
Этот случай широко освещался как в Соединенных Штатах, так и в Европе. Способ работы этого хакера (хакера) заключался в доступе к системе Ситибанка и выделении миллионов долларов с различных клиентских счетов в разных офисах Ситибанка по всему миру, на счета его сообщников, расположенных в: Калифорнии, Израиле, Финляндии Германия, Нидерланды и Швейцария. Все это он делал из Санкт-Петербурга в России и не покидая своей клавиатуры. Он был арестован Интерполом в 1995 году.
Этот случай необычен не только из-за суммы денег, которая была украдена или использованного метода, но и из-за ажиотажа, который он вызвал в финансовом сообществе и индустрии интернет-безопасности.
В этом случае были возобновлены вопросы о том, как преобладает компьютерная преступность и почему финансовый и коммерческий сектор не в состоянии сообщать о них.
В связи с этим в то время поступили комментарии как от финансового сектора, так и от прокуроров и следователей по делу. Со своей стороны, банковский сектор через своих представителей указал, что инцидент в Ситибанке был совпадением и что в соответствии с законом финансовый сектор должен сообщать о потерях, понесенных в этих случаях, и что, предполагая, что они скрывают информацию, это ошибка.С другой стороны, прокуроры и следователи выступают против этих заявлений, указывая на то, что дело не было простым совпадением и что, исходя из опыта работы с финансовым и коммерческим сектором, случается так, что когда они видят проблемы, они отрицают их и прикрывают все доказательства что произошло, чтобы не потерять доверие общественных мест в отрасли, а также избежать проблем с начальством.
В настоящее время нью-йоркские ФБР со времени дела Ситибанка показывают, что им удалось проникнуть в частный сектор примерно в 500 компаниях, и хотя они не получили большого отклика, они знают, что путь, которым они следуют, является правильным для защиты компаний.
Преступления, совершаемые с помощью компьютеров, распространяются не только на кражу наличных денег или кредитных карт. Они также очень распространяются на кражу коммерческой тайны и корпоративных стратегий.
Наконец, Ситибанк выразил через Эми Дейтс, пресс-секретарь Банка; что, несмотря на этот инцидент, они не потеряли ни одного клиента, и что они рады, что восприняли событие очень серьезно и что
они будут энергично работать с системой правосудия, чтобы определить ответственных за эти действия.
Случай 3: Мошенничество в Barings Bank of London
В феврале 1995 года старейший банк Лондона, Barings Bank, развалился с убытками более одного миллиарда долларов. Скандал потряс международный банковский мир, поскольку он был вызван 28-летним сотрудником Банка по имени Николас (Ник) Уильямом Лисоном, который служил трейдером Банка (трейдером) и которого обвиняли в великой катастрофе. В настоящее время и после нахождения в тюрьмах Германии он был экстрадирован в Сингапур, где процесс продолжается. Лисон был единственным, кто участвовал в крахе банка Берингс, хотя следователи говорят, что руководители банка также были виновны.
Случай был проанализирован политиками, следователями и людьми из международных банков, и все согласны с тем, что ошибка была в одном и том же банке, что позволило Уроку начать и завершить операцию без какого-либо контроля или надзора за его деятельностью. Он был директором обеих приемных, то есть отвечал за операции; а также бэк-офис, то есть ежедневная оценка принятых обязательств, то есть уровень приобретенных рисков. Другими словами, один и тот же человек должен был принимать решения и контролировать эти решения, чтобы избежать слишком большого риска.
В конечном итоге падение британского банка было связано с накопленными потерями из-за плохих переговоров Лисона. Исследование двух официальных следователей показало, что крах банка Barings действительно был вызван «некомпетентностью» в администрации и отсутствием бдительности в трех важных областях, где были допущены серьезные ошибки: системы, надзор и внутренний контроль.
Во всех трех областях важность контроля полностью игнорировалась. И «важность контроля» указывается, так как в Barings Bank были внутренние аудиторы, но отчеты, представленные этими аудиторами, не получили значения. Было очевидно, что его должностные лица не обладали знаниями и навыками, необходимыми для охвата каждой части бизнеса. Банк Barings располагал информацией, но не использовался по неосторожности.
И все это кажется правдой, поскольку лондонское руководство Barings было проинформировано об операциях, которые осуществлял Лисон, поскольку он перечислил крупные суммы в течение двух месяцев до падения банка (400 млн. Фунтов стерлингов, предоставленных примерно двадцатью японскими банками), Возможно, Ник Лисон солгал о реальных причинах, по которым он запрашивал эти переводы, однако странным кажется отсутствие любопытства у директоров по поводу назначения больших сумм денег.
На самом деле катастрофу Бэрингса можно было избежать. В отчетах о внутренней ревизии Банка в 1994 году (за год до мероприятия) упоминалась необходимость изменений в деятельности Банка. Если бы в этом отчете говорилось о важности дела, об этом было бы предупреждено и предотвращено, поскольку с тех пор аудиторы четко указали в своем отчете опасность того, что Ник Лисон имеет как обязанности по ведению переговоров, так и его способность нарушать банковская система. Администраторы Банка, стремящиеся получить легкие деньги в результате переговоров, не последовали этим рекомендациям, и последствия были драматичными.
Случай 4: Мошенничество в (Кристианском) университете Спринг-Арбор в Мичигане.
В мае 1995 года разразился очередной мошеннический скандал. На этот раз настала очередь университета Спринг-Арбор, расположенного в Мичигане. Ответчик: Джон Беннетт, 57 лет, христианин-евангелист, который пользовался безупречной репутацией в альтруистических кругах в Филадельфии.
Беннетт действовал так, чтобы применить классическую систему пирамид Понци, которая позволила Чарльзу Понци лишить нескольких людей из Бостона их денег, которые потеряли все свои сбережения. Понзи убедил людей сдать свои деньги в обмен на то, что через три месяца они получили 50% дохода. С помощью средств тех, кого поощряли инвестировать, Понци рассчитался по счетам с наступающим сроком погашения, но большинство первых «бенефициаров» реинвестировали свои доходы. Как и ожидалось, гигантская пирамида в конечном итоге рухнула, и тысячи людей были обмануты.
Следовательно, система Беннетта была пирамидой, которую открыл Альберт Мейер, профессор бухгалтерского учета в университете Спринг-Арбор, а также бухгалтер. Мейер видел в выписках по счету в университете высокие денежные переводы на банковский счет, принадлежащий фонду под названием «Наследование ценных бумаг». Расследуя дело, Мейер был проинформирован о том, что Эренсия де Валорес была фондом, который служил посредником между Университетом и Фондом Новой Эры (базирующимся в Пенсильвании), директором которого был Беннетт. Беннетт указал арестованным учреждениям, что он распределяет деньги от анонимных благотворителей. Так что, если некоммерческое учреждение собрало определенную сумму в виде пожертвований, таких как Университет Спринг Арбор,«Благотворители» обещали внести равную сумму.
Когда Мейер знал эту информацию, его сомнения относительно того, была ли это пирамида Понци, были сняты. Потратив время, в течение которого он продолжал исследовать предмет и беседуя с несколькими должностными лицами Спринг-Арбор, она получила свои деньги с предложенным доходом. В этих обстоятельствах университет не мог быть подозрительным, когда они получали свои выросшие деньги вовремя, они просто воспринимали их как необеспеченный кредит, который всегда погашался вовремя.
Затем Мейер обострил свои расследования и даже отправился в высшую администрацию университета, чтобы выразить свою обеспокоенность, но в ответ он получил, что «было трудно вырастить средства и что они не нуждались в их вмешательстве». Несмотря на это, Мейер запросил копии налоговых деклараций у Службы сбора налогов. Здесь он заметил, что Беннетт, несмотря на получение инвестиций в полном объеме, их не было.
После ряда расследований и расследований Мейера Мошенничество было полностью раскрыто. Беннет был обвинен в финансовом мошенничестве и ненадлежащем переводе более 4,2 млн. Долл. США со счетов фонда на счета своих предприятий. Предполагаемые убытки составляют более 100 миллионов долларов.
Дело 5: Proinco Sociedad Financiera SA (Эквадор)
В июне 1999 года субъект Proinco Sociedad Financiera SA обнаружил потерю в размере более пяти миллионов сукресов, который незаконно использовал газовую карту mastercard # 550141007500776. Хотя это и не значило много денег, этот случай был примером как это эквадорское юридическое лицо было обмануто с использованием карты, которая не была отменена по ошибке.
Этот случай не единственный и не будет последним из многих видов мошенничества с пластиковыми деньгами, которые происходят во всем мире и в которых наша страна не является исключением. Существуют специализированные механизмы для мошенничества с пластиковыми деньгами, начиная от установки поддельных банкоматов, клонирования карт и заканчивая покупкой тихих номеров счетов для кражи денег без возможности их обнаружения. Эти группы регулярно работают с персоналом, включенным в те же учреждения, которые занимаются мошенничеством.
Эти аномалии обычно выявляются только тогда, когда клиент подает заявку в финансовое учреждение, однако многие из этих случаев не раскрываются из-за отсутствия контроля над процессами. Обычно тот же человек, который совершает мошенничество, - это тот, кто получает претензию или кто ее обрабатывает, что затрудняет выявление мошенничества.
3.2 Обменный контроль
- Причины установить контроль изменений
Очень важно определить механизмы для контроля за изменениями, внесенными в любой элемент производственной среды, такой как программы, оборудование, утилиты и т. Д. При этом администрация изменений получает формальную структуру, чтобы они технически оценивались на уровне компании или бизнеса и чтобы изменения вносились в согласованном порядке с соответствующими полномочиями руководителя систем.
Аналогичным образом, контроль изменений завершается анализом воздействия на конечного пользователя, который должен быть полностью осведомлен о них. Эти риски должны быть оценены и проанализированы заранее.
Управление изменениями - это основной инструмент, позволяющий вести хронологический учет событий, происходящих в нашей компьютерной системе или ее устройствах. Это не только средство информации, которое позволяет обновлять техническую документацию, но также позволяет принимать решения относительно устранения сбоев или несоответствий, представленных после внесения таких изменений.
В качестве примера приведен простой случай в области выставления счетов компании, которая не предусматривает валютного контроля. В связи с последствиями налогового законодательства, компания решает исключить удержание у источника из выставления счета. Это изменение запрашивается Административным менеджером для Системного менеджера. Изменение внесено, и в следующем биллинге сумма удержания в источнике больше не записывается, но определяется, что промежуточный итог плюс налог на добавленную стоимость не соответствуют итоговой сумме счета.
Административный менеджер сообщает системному менеджеру отдельное лицо, и последний ищет программиста, который внес изменение, чтобы выявить проблему. Программиста здесь нет, он в отпуске. Что вы считаете результатом этого дела? Многие из них, потеря времени, отсутствие документации, невозможность передать работу другому программисту из-за недостатка информации, задержек в выставлении счетов, затрат на несоблюдение правил выставления счетов, влияния на движение денежных средств и многих других проблем. Теперь решение проблемы было действительно простым, если у вас была информация об Изменениях, которые были сделаны программистом, чья работа была запущена в производство без надзора и должного одобрения. Проблема заключалась в том, что когда программист структурировал новый алгоритм для поля Total invoice,это только заняло поле Итого и удалило удерживающее поле и, к сожалению, поле НДС также. Эти проблемы могли быть решены с помощью контроля изменений.
- Порядок валютного контроля
В случае изменений в программах или утилитах, будет следовать следующая процедура.
-Получение запроса авторизованным пользователем.
- Оценка воздействия, которое будет вызвано изменением.
- Пользователь одобряет риски и влияние, вызванное изменением.
- Выполнение изменений в среде разработки.
- Определение доказательств запрошенного изменения.
- Подтверждение изменений персоналом разработчиков в среде разработки.
- Системный аудит до внесения изменений.
- Внутренний контроль внесения изменений.
- отладка изменений после внутреннего аудита и контроля.
- Подтверждение изменений пользователями в среде разработки.
Официальное одобрение Пользователя в реестре контроля изменений.
- Официальное утверждение руководителя системы в реестре контроля изменений.
-Определение письменных инструкций и критериев, необходимых для правильного переноса в производственную среду и его обращения в случае необходимости его выполнения.
-Определение места, даты, времени, физических и человеческих ресурсов, необходимых для реализации изменений в производственной среде.
В случае изменений в оборудовании (аппаратном обеспечении), будет следовать следующая процедура.
-Получение запроса авторизованным пользователем.
-Оценка воздействия, которое будет вызвано изменением
- Пользовательское одобрение рисков и воздействия, вызванного изменением.
-Определение доказательства запрошенного изменения
Определение письменных инструкций и критериев, необходимых для правильной смены оборудования.
-Определение места, даты, времени, физических и человеческих ресурсов, необходимых для реализации изменений в производственной среде.
-Оформление изменений.
Официальное одобрение Пользователя в реестре контроля изменений.
Обучение пользователей
-Обновление инвентаря оборудования
-Обновление инвентаря конфигурации оборудования и планов компьютерного зала.
-Проверка договоров на техническое обслуживание и гарантий на оборудование, с тем чтобы обеспечить необходимую поддержку для выполнения конфигурации.
- Модель формата для контроля изменений производства и операций
Критерии, которые должны применяться в контроле производства и эксплуатации
Критерии приведены в действии надежных, последовательных, надежных и безопасных стандартов, которые позволяют предоставлять услуги с наивысшим качеством.
Эти критерии будут применяться к организационным аспектам, планированию, производственному мониторингу, носителям, документации и аспектам управления проблемами.
- Процедуры производственной функции и
В случае организации производственно-производственной зоны будут рассмотрены следующие вопросы:
- Эксплуатирующий персонал не должен играть никакой роли в создании или модификации программ, приложений или систем.
- Вы не должны нести ответственность за обновление операционной системы.
- Вы не должны иметь доступ как пользователь к определенным приложениям.
-Они должны иметь должностную инструкцию и конкретные функции и должны быть надлежащим образом обучены для выполнения своих обязанностей.
Вы должны иметь надлежащий контроль, чтобы обеспечить надлежащее выполнение ваших обязанностей.
В случае планирования и мониторинга производства будет учитываться следующее:
-Только авторизованные задачи будут обрабатываться с производственными данными, таким образом сводя к минимуму риск упущения и с предсказуемым заказом и планированием.
- Желательно, чтобы операции по планированию нагрузки, выполнению и мониторингу процессов были максимально автоматизированы.
-В случаях, когда вмешательство оператора неизбежно, должны быть предоставлены точные инструкции для выполняемых действий, которые должны быть записаны и впоследствии проанализированы.
-В случае непредвиденных результатов должны быть предусмотрены непредвиденные процедуры для реагирования на указанные результаты.
-Планирование процесса должно учитывать его приоритет среди различных приложений.
- Должны быть реализованы средства управления для предотвращения или обнаружения выполнения задач, не разрешенных при планировании производства.
-Для тех случаев, когда пользователям требуются задачи, не установленные или не включенные в планирование производства, должна быть установлена процедура исключения, должным образом контролируется и с соответствующими полномочиями.
-Производственная среда и рабочие процедуры должны обеспечивать использование правильной версии программ и соответствующих файлов.
В случае защиты носителей, будет рассмотрено следующее:
-Операции, несет ответственность за данные, хранящиеся на магнитных носителях, надлежащим образом защищены, контролируются и проверяются.
-Для контроля физической безопасности носителей, таких как ленты, картриджи и дискеты, они должны храниться в защищенной области с записью местоположения всех магнитных носителей, используемых в системной области.
-Они должны записать все входы и выходы магнитных носителей установки.
- Хранящиеся магнитные носители должны быть надлежащим образом маркированы с указанием их содержания, дат и хронологического порядка.
В случае документации будет рассмотрено следующее:
Ежедневное планирование или учебник, шаг за шагом к нормальной деятельности оператора.
Ежедневное планирование или учебник для начинающих с началом и окончанием каждой операции.
Процедуры на случай непредвиденных обстоятельств для процессов
-Процедуры на случай аппаратных, программных и телекоммуникационных сбоев.
-Инструкции по работе с магнитными носителями и учетные записи тех, кто входит или удаляется из комнаты.
-Запись проблем района работ
Реестр доступов в компьютерную комнату.
- Лицо, ответственное за системную область, должно обеспечить, чтобы вся документация, необходимая для операций, была полной, правильной и актуальной.
В случае управления проблемами будет рассмотрено следующее:
-Все сбои в работе и ненормальные инциденты должны быть записаны в отчете о проблемах с подробным описанием времени, типа проблемы, симптомов и предпринятых начальных действий. Каждый отчет должен быть однозначно идентифицирован, а ответственность за его расследование и решение должна быть назначена как можно быстрее.
-Вести учет проблем, которые должны периодически проверяться Системным менеджером.
-Все звонки, которые требуют поддержки поставщиков или системного персонала, должны быть записаны с информацией о времени ответа на такие звонки и предпринятых действиях для последующего анализа.
Должна быть регулярная процедура проверки, которая включает анализ тенденций проблем и гарантирует, что все они решены.
- Необходимо учитывать доказательства, зарегистрированные в системе управления проблемами, чтобы принимать решения относительно возможности регулярного технического обслуживания и замены оборудования.
-Все решения, определенные как изменения, которые должны быть включены в производственную среду, должны быть зарегистрированы, отслеживаться и управляться процедурами контроля изменений. Кроме того, происхождение решения должно быть записано с указанием проблемы или сбоя.
-Информировать всех пользователей, пострадавших от воздействия выявленных проблем и прогресса, достигнутого в решении проблемы.
ГЛАВА 4: ПОДДЕРЖКА И ВОССТАНОВЛЕНИЕ ПРОГРАММ
- Процедура резервного копирования и восстановления программы
- Резервные копии должны быть сделаны в соответствии с периодичностью в зависимости от их содержания. Важно, чтобы ежедневные, еженедельные, двухнедельные и ежемесячные резервные копии очень конфиденциальной информации поддерживались. Для анализа периодичности резервного копирования необходимо учитывать объем информации, потерянной в случае непредвиденных обстоятельств, и дату последнего резервного копирования. Например, если резервное копирование выполняется ежедневно, а в среду возникает непредвиденная ситуация, неподтвержденная информация, эквивалентная одному дню, будет потеряна из-за наличия ежедневного резервного копирования во вторник.
- Работающие системы и программы в целом должны быть сохранены в их первоначальной версии и той версии, которая используется в производстве.
-В случае изменений всегда должны поддерживаться исходные версии, версия до изменения и версия продукта изменения, напоминающая схему поколений деда, отца и сына.
- Процедура хранения магнитных носителей
-Чувствительные программы и резервные копии данных всегда должны храниться во внешних, пожаробезопасных хранилищах. Будут выбраны предпочтительные сайты: один в городе, где компания работает, но удалена от нее, а другой за городом. Копия файлов ключей может храниться на территории компании с необходимой защитой, чтобы их можно было использовать в процессах восстановления.
-Дополнительно, средства контроля, связанные с транспортировкой указанных спинок должны быть рассмотрены. Эти меры контроля могут быть предоставлены с использованием запертых сумок, записей движения спинки в / из охранных хранилищ или сейфов и использования транспортных средств безопасности в случае необходимости.
-Магнитные носители должны быть соответствующим образом помечены таким образом, чтобы они могли быть получены и легко идентифицировать и восстановить необходимые файлы.
-Нормально резервные копии, которые требуются и которые будут рассматриваться как очень конфиденциальная информация:
* Программы, подготовленные самой компанией
* Программы, приобретенные по лицензии и постоянно подлежащие обновлениям и / или настройкам.
* Файлы данных: бухгалтерская, финансовая, административная, закупочная и производственная информация и другие, которые компания считает конфиденциальными.
-Процедуры резервного копирования должны постоянно проверяться таким образом, чтобы их эффективность проверялась путем их восстановления и проверки.
-Также следует периодически проверять сайты резервного копирования, их легкость доступа и процедуры контроля доступа к хранимым магнитным носителям.
- По крайней мере, ежегодно следует проверять ленты, кассеты и дискеты, которые длительное время хранятся в хранилищах безопасности. Они должны быть проверены, чтобы проверить их работу.
-Кроме того, должны быть установлены все требования, необходимые для реализации основных средств контроля при восстановлении программ или данных. Это будет ответственность аналитика, который разработал программу, или пользователя в случае восстановления данных. Важно, чтобы администратор защиты данных консультировал по этим требованиям.
- Наряду с магнитным хранилищем программ следует рассмотреть хранение документации, которая соответствует процедурам операций для выполнения резервного копирования, процедурам восстановления после незначительных сбоев с использованием резервных копий установки, процедурам восстановления от серьезных сбоев с использованием внешних резервных копий. Процедуры резервного копирования после восстановления для мелких и крупных сбоев (возврат к нормальному состоянию).
- Модели управления резервным копированием, восстановления и хранения.
| ПРИМЕР ФОРМЫ РЕЗЕРВНОГО ХРАНЕНИЯ И КОНТРОЛЯ | ||||
| Получение поддержки (место и дата) | ||||
| Час | ||||
| Резервная идентификация | ||||
| Деталь-контент | ||||
| Ответственный за получение поддержки | ||||
| Фирма | ||||
| Резервный носитель и количество | ||||
| Подпись ответственного руководителя района | ||||
| получение резервной копии | ||||
| ПОДТВЕРЖДЕНИЕ ПОЛУЧЕНИЯ ОТВЕТСТВЕННОЙ ЗА РЕЗЕРВНОЙ БЕЗОПАСНОСТИ | ||||
| Доставка резервной копии сайта 1 (дата) | ||||
| Начальник приемной | ||||
| Время приема | ||||
| Фирма | ||||
| Доставка резервной копии сайта 2 (дата) | ||||
| Начальник приемной | ||||
| Время приема | ||||
| Фирма | ||||
| Site3 Доставка резервной копии (Дата) | ||||
| Начальник приемной | ||||
| Время приема | ||||
| Фирма | ||||
| ПОДТВЕРЖДЕНИЕ ПОЛУЧЕНИЯ ОТВЕТСТВЕННОЙ ЗА РЕЗЕРВНОЙ БЕЗОПАСНОСТИ | ||||
| Доставка резервной копии сайта 1 (дата) | ||||
| Начальник приемной | ||||
| Время приема | ||||
| Фирма | ||||
| Доставка резервной копии сайта 2 (дата) | ||||
| Ответственный за прием | ||||
| Время приема | ||||
| Фирма | ||||
| Site3 Доставка резервной копии (Дата) | ||||
| Начальник приемной | ||||
| Время приема | ||||
| Фирма | ||||
| Site1 = на месте | Site2 = Локальный внешний сайт | Site3 = Внешний сайт другого города | ||
| Пример формы восстановления резервной копии | |||
| Запрошено для:
Обновление Восстановление |
Место и время: | ||
| Резервная копия получена из | Место: | Дата: | Час: |
| Резервная идентификация | |||
| Деталь-контент | |||
| Резервная среда | |||
| Расположение спинки: | |||
| Сайт1, Сайт2, Сайт3 | |||
| Запрошенный | Фирма: | ||
| Запрошенный А | Фирма: | ||
| Хранитель, который доставляет (Имя) | Фирма: |
ГЛАВА 5
ОРГАНЫ УПРАВЛЕНИЯ, ПРИМЕНЯЕМЫЕ В АДМИНИСТРАЦИИ ПЕРСОНАЛА.
Управление персоналом является областью, где сходятся различные дисциплины; Она включает в себя понятия промышленной и организационной психологии, промышленной инженерии, трудового права, техники безопасности, медицины труда, системной инженерии и т. Д. Темы разнообразны, и дисциплины, упомянутые выше, разнообразны. Следовательно, Управление персоналом относится как к внутренним аспектам организации, так и к внешним или экологическим аспектам.
Затем мы можем определить, что Администрирование персонала состоит из независимых подсистем, как указано в таблице ниже:
| Подсистемы управления персоналом. | Крытые главы |
| Отдел кадров | · Планирование человеческих ресурсов.
· Подбор персонала · Подбор персонала |
| HR-приложение | · Описание и анализ расходов
· Оценка человеческой деятельности |
| Обслуживание персонала | · Компенсация
· Социальные льготы · Гигиена и безопасность · Трудовые отношения |
| Развитие персонала | · Обучение и развитие персонала
· Организационное развитие |
| Управление персоналом | · База данных и информационные системы.
· Кадровый аудит |
Эти подсистемы тесно взаимосвязаны и взаимозависимы, но, несмотря на это, не существует уникального способа их установления, поскольку это соответствует компании и зависит от различных факторов, таких как организационные, человеческие и технологические факторы.
Для этой цели создаются политики или правила для управления функциями и обеспечения их выполнения в соответствии с желаемыми целями.
Некоторые из этих правил созданы для установления «административного контроля», предназначенного для того, чтобы препятствовать сотрудникам выполнять функции, которые им не принадлежат, или ставить под угрозу успех определенных функций.
Средства управления, применяемые к администрированию персонала, фокусируются на всех подсистемах и главным образом на темах, которые будут обсуждаться в этой главе.
- Цель административного контроля
В этой главе рассматриваются средства контроля, которые должны быть установлены в чувствительных точках административной области и на которых будет сосредоточен предмет, таких как персонал, найм, отпуск, среди прочего.
- Заключение договоров и расторжение договоров
Процесс найма и найма персонала, а также внешних служб должен быть полностью оценен. Контракты должны содержать интегрированные в их положения политики и стандарты безопасности данных, которые выполняет компания.
Внешний обслуживающий персонал должен оцениваться в соответствии с теми же критериями безопасности, которые применяются к постоянному персоналу компании.
Когда внутренний или внешний сотрудник перестает предоставлять услуги, полномочия, связанные с логическим и физическим доступом к средствам, системам или данным, должны быть приостановлены. В соответствии с политикой, установленной компанией, ответственный за район, к которому принадлежал работник, несет ответственность за постоянное отсутствие работника.
Со своей стороны, Административный отдел должен отозвать все разрешения на доступ, которые имел сотрудник, а также получить магнитные карты доступа и учетные данные компании и отключить их. Возврат всей конфиденциальной документации, которая была обработана сотрудником, должна быть проверена.
- Административная политика Праздники
Персонал, который должен уйти в отпуск и в основном из системного подразделения компании, будет делать это в соответствии с внутренними правилами. Предполагается, что указанные сотрудники не прекратили отпуск в течение двух лет. Некоторые компьютерные мошенничества, как правило, обнаруживаются, когда те, кто сообщает о них, отдыхают; время, когда они не имеют доступа к системе или заменены во время отпуска. Администратору бизнеса следует указать, что это базовая точка безопасности, которую необходимо тщательно учитывать в рамках административного контроля.
5.3.2 Обучение
Персонал систем должен придерживаться плана обучения, который есть у компании, в соответствии со стандартами и процедурами безопасности данных и конкретными аспектами безопасности на их рабочем месте.
5.3.2 Использование вычислительных ресурсов
Использование вычислительных ресурсов для личных дел должно быть запрещено.
Программное обеспечение, которое использует каждый пользователь, должно быть назначено в соответствии с его использованием и которое должно иметь соответствующие лицензии.
Сотрудники должны быть знакомы с хранением конфиденциальных или конфиденциальных данных.
Следует отметить, что каждый пользователь несет ответственность за назначенное оборудование, используемое программное обеспечение, содержащиеся в нем данные и используемые им коммунальные услуги.
Компания должна установить четкие политики и правила, касающиеся использования нелегального (нелицензионного) программного обеспечения и тех, которые не соответствуют стандартам компании. Таким же образом, компания должна установить четко установленное использование и право собственности на программы, разработанные или разработанные внутренним персоналом, что обычно регулируется в рамках трудовых договоров.
- ВЫВОДЫ
- Все процессы компании должны содержать меры контроля и безопасности. Любой процесс компании с приложением Reengineering или без него не может оставаться без контроля и заверений как в своих данных, так и в его компонентах.
- Отсутствие средств управления ВСЕГДА представлено в переработанном процессе и ПОЧТИ ВСЕГДА в процессах без какого-либо применения инструментов для повышения эффективности и производительности. Реинжиниринг является отличным методологическим инструментом, жизнеспособным и с отличными результатами и существенными улучшениями, но не менее верно то, что он оставляет процессы хрупкими и слабыми, поскольку в своем стремлении исключить деятельность, которая не добавляет ценности; они создают процесс, которому не хватает удовлетворительного и, следовательно, необходимого контроля. Аналогичным образом, процессы, которые не прошли реинжиниринг, могут представлять отсутствие контроля, если они не были рассмотрены стратегически.
- Моделирование поведения человека недостаточно для обеспечения удовлетворительных уровней контроля и безопасности. Существует много предшественников новых методов и методологий, нацеленных на моделирование поведения человека, в отличие от обычных средств управления и ценных бумаг. Человеческое моделирование не является «достаточным», чтобы не допустить ошибок или мошенничества в процессе. Человеческое моделирование применяется к вопросам маркетинга, стратегических и человеческих отношений, в которых они очень полезны, но они не применимы с точки зрения эксплуатации и безопасности.
- Наконец, преимущества наличия системы безопасности никогда не могут быть полностью измерены, потому что большинство компаний не будут знать, «когда» кто-то попытается взломать их ценные бумаги. Тем не менее, можно легко объективно определить, что выгоды будут велики, потому что это позволит избежать затрат. Именно тогда, в этих обстоятельствах, системы безопасности являются «бесценными. Единственные преимущества и недостатки, которые вы можете найти в системах безопасности, приведены в альтернативебезопасности, которую вы выбираете и внедряете, что обеспечит более или менее безопасность ваших процессов. Другой альтернативой, которая может быть предложена, является просто отсутствие какой-либо системы безопасности; что было бы абсолютно небрежно.
- РЕКОМЕНДАЦИИБизнес-администратор должен помнить, что ручные или автоматические процессы должны адекватно и в достаточной степени контролироваться, не допуская небрежности или излишеств. Здесь, в этой работе, был предоставлен инструмент, который позволяет вам по крайней мере подготовить список слабых мест в вашей компании и знать, что вы должны их контролировать. Считаете ли вы, что все в вашей компании идет хорошо, и вам не нужно абсолютно ничего предложенного в этой работе? Если ваш ответ - да, я рекомендую вам прочитать статью еще раз, если вы уже прочитали ее; затем встретитесь с руководителем вашей системы, который больше всего занимается внедрением средств управления и защиты данных, и попросите их подробно рассказать, что делает каждая область системного отдела. Уверяю,что вы будете удивлены, узнав, что вы можете применить каждый элемент в вашем списке и что вы сможете войти в этот сказочный мир; это было ранее неизвестно и непонятно для вас. Бизнес-администратор должен изучить все альтернативы и, если он выберет реинжиниринг; должен знать, что переработан новый процессдолженсбалансировать его с осуществлением достаточного и удовлетворительного контроля и заверений. Возможно, не удастся сделать это с тем же персоналом реинжиниринга, так как концепции реинжиниринга и контроля не имеют большого значения. Поэтому я рекомендую администратору проконсультироваться со своим руководителем Systems и его руководителем Reengineering, чтобы достичь соглашения с точки зрения производительности и эффективности процесса, а также его безопасности. Бизнес-администратор должен более активно участвовать во всех процессах своей компании., как административные, операционные и системы. Только тогда у вас будет полное представление о том, как связаны все звенья в цепочке процессов вашей компании. Независимо от того, сколько вы инвестируете в безопасность системы, чтобы защитить свои сети, компоненты или данные, никогда не думайте, что это будет количество.«Достаточно», поскольку технологические достижения всегда требуют большего, чтобы не пускать злоумышленников. При этом вы приобретете безопасность не как расходы, а как инвестиции.
БИБЛИОГРАФИЯ
-Data Security, Методология Прайс Уотерхаус Куперс 1992
План действий в чрезвычайных ситуациях, методология Price Waterhouse Coopers 1997
-Как реинжиниринг, Раймонд Л. Манганелли и Марк М. Кляйн
Управление людских ресурсов, Идальберто Кьявенато, 1994
- Управление бизнесом (теория и практика, вторая часть), Агустин Рейес Понсе, 1994.
-Magazine «Mundo Informático», издание, апрель 1998 г.
-Journal «Выборы» Издание июнь 1996
-Журнал "Вселенная" События Раздел "Июль-5-1999
Интернет-сайты для запросов:
| Детекторы воды | http://www.cam.surf1.com |
| Огнетушители | http://www.pp.okstate.edu/ehs/modules/apw.htm |
| Кондиционеры | http://www.liebert.com/products |
| Источники бесперебойного питания (ИБП) | http://www.exide.com |
| Прокладка кабеля | http://www.wit-sa.com.ar
www.sidicom.net |
| Системы безопасности | http://protectiontech.com/ |
| Дело мошенничества Ситибанка | http://www.infowar.com
www.discovery-channel.com/area/technology/hackers/levin.html |
| Дело о мошенничестве в Baring Bank в Лондоне. | http://www.imd.ch/pub/pfm_9601.html
www.fsa.ulaval.ca/personnel/vernag/PUB/Barings.E%20.html |
| Дело о мошенничестве в университете Спринг-Арбор в Мичигане. | http://cgi.pathfinder.com/time/magazine/archive/1995/950529/950529.scandal.html |
| Система мошенничества с пирамидами. | http://cnet.bigpond.com/Briefs/Guidebook/Crime/ss03a.html |
ДАННЫЕ АВТОРА
| название | Сонния Росадо Гарсия |
| Возраст | 28 лет |
| Высшее образование | Коммерческий инженер (бизнес-администратор) |
| Эл. адрес | [email protected] |
| Страна город | ЭКВАДОР / Гуаякиль |
|
Опыт реинжиниринга, общего качества, планов действий в чрезвычайных ситуациях и процессов физической безопасности. |
