שם הכותב: תאריך: 25 יוני 2013

המשך מערכת C-Report

במסך עדכון חשבונות וביקורת – כולל רשימה של כל החשבונות -> לחיצה כפולה על מספר חשבון תציג מסך עם חשבון ספציפי לביקורת -> יש שדה "הערות עבודה" בו מתעדים מה נבדק כחלק מתוכנית הביקורת. "עשינו התאמה מול הבנק" / "עשינו התאמה מול הלקוח" וכדומה. יש צורך בתיעוד מה נעשה בלבד בלי פרינט סקרין.

יש הנחיות להפיק הערות אלה (ניירות עבודה) המופיעות וניתנות לשליפה בקלות מן המערכת. כפי שמפיקים דוח כספי, ניתן להפיק דוח ניירות עבודה.

ב-6 יש מקום לצירוף מסמכים. הבנק נתן אישור יתרה ויש לצרף את אישור היתרה לתוך ניירות העבודה באמצעות "צרף מסמכים" -> אישור. יש להדפיס את ניירות העבודה.

התוצר למטלה הוא שני דוחות – דוח ניירות עבודה ודוח כספי.

לתיקון הפרש – אם כל הקניות והמכירות תקינות ויש אי התאמה אולי רשמו בסכום גדול/קטן יותר כשהזינו את השדות. אם רשמו לא נכון כנגד הבנק נתקן כנגדו ואם לא נכון כנגד המכירות נתקן כנגד המכירות.

המבחן מורכב מ-15 שאלות תיאורטיות שבאות לידי ביטוי ב-4 מבחנים אחרונים (ייתכן שיהיו שאלות שלא בחומר)

ניהול אבטחת מידע

אבטחת מידע – תחום שמאפשר לארגונים להתמודד עם סיכונים הקשורים בניהול ואחזקת מידע.

מטרות / יעדים של אבטחת מידע:

  1. סודיות Confidentialy – המידע הוא נכס. יש לשמור על המידע מפני חשיפה לגורם שאיננו מורשה. לדוגמה : רשימת ספקים, מתכון של משקה, רשימת סטודנטים, אחוזי המעבר בבחינות המועצה וכו'.
  2. שלמות Integrity – המידע חייב להיות שלם וללא חוסרים.
  3. זמינות Availability – המידע חייב להיות זמין על פי דרישה. העדר זמינות גורם לאיבוד של לקוחות והפסדים.
  4. שקיפות לבקרה Accountability– שיוך אחריות. יש לזהות את הגורם אשר אחראי על המידע. בדרך כלל מנהלי מחלקות. בודקים מי האחראי לכל מידע שמופיע במערכת.
  5. בטיחות Safety– חיי אדם מעל הכול. כלומר, כאשר נוציא לפועל אמצעי אבטחת מידע קודם כל נחשוב על חיי אדם. למשל חדר שרתים שיש בו גז למקרה של שריפה שמונע עם נורת בקרה מבני אדם להיכנס ולהסתכן. בטיחות שייכת
  6. פרטיות Privacy– על הארגונים לשמור על מידע ששייך לאנשים המהווה מידע פרטי על פי חוק הגנת הפרטיות. פרטיות היא לגבי מידע ששייך לאדם אחר, סודיות היא לגבי מידע ששייך לארגון.
  7. אותנטיות Authenticity– מקוריות. יש לזהות את מקור המידע. ההבדל בין שקיפות לאותנטיות היא ששקיפות זה הגורם האחראי שלא בהכרח הזין את הנתונים ואותנטיות זה מי שבהכרח הזין אותם.

כל המטרות שהוזכרו מהוות גם סיכונים, לדוגמה: הסיכון שהזמינות תיפגע, הסיכון שהסודיות תיפגע וכדומה.

שקופיות 4, 5,ו-6 – חשובות!

 Phishing / Spoofing – התחזות לאתר לשם קבלת נתוני מידע פרטיים.

מרכיבי אבטחת מידע

אמצעים אשר נועדו לצמצם סיכונים של אבטחת מידע :

  1. תוכנית התאוששות מאסון – ידוע גם כ"נוהלי חירום". אוסף של נהלים, הנחיות, פקודת עבודה שמנחה את הארגון כאשר מתרחש אירוע של אסון. אסון לא חייב להיות כללי או טוטאלי, הצפת מים או מחשב לא עובד יכול להוות תוכנית התאוששות מאסון.
  2. בקרות יישומיות – אמצעים הממוקמים בתוך היישום. האמצעים נועדו למנוע, לגלות ולתקן מידע שגוי (בקרה מגלה, בקרה מונעת ובקרה מתקנת).
  3. הקשחה – תהליך הגורם למחשבים ולמערכות מידע להיות עמידים יותר מפני סיכוני אבטחת מידע. מחשב במעבדה נאמר הוא מחשב מוקשח, restart יגרום למחיקת הקבצים על שולחן העבודה, יש אנטי וירוסים חזקים וכדומה.
  4. בקרות גישה– יילמדו בהמשך
  5. הצפנה– יילמדו בהמשך
  6. תרבות ארגונית– אוסף של נהלים, שיטות עבודה ואכיפה שבלעדיהם כל אמצעי האבטחה האחרים יהיו חסרי תועלת. למשל שומר בשער שלא מבצע בדיקה, סיסמאות שידועות לכולם וכדומה. אם לא תהיה אכיפה ונהלים ארגוניים, אף אמצעי אבטחה לא יהיה יעיל.

בקרות גישה – אוסף של אמצעים פיזיים ולוגיים אשר נועדו למנוע גישה ממשתמשים שאינם מורשים. בבקרות גישה לוגיות עושים הבחנה בין 3 שלבים :

א.      הזדהות – מתבצעת באמצעות שם משתמש.

ב.      אימות – מתבצע באמצעות בין היתר סיסמה.

ג.        הרשאה – הינו השלב שבו המערכת מקצה למשתמש לפי ההגדרות את ההרשאות המתאימות. למשל: הרשאה לקריאה בלבד, לעדכון, ליצירה, הרשאות מלאות וכדומה. מה שמנחה בשלב ההרשאה הינו העיסוק והצורך לדעת.

שיטות נוספות לאימות משתמשים

משהו שהמשתמש יודע ? – סיסמה

משהו שיש למשתמש ? – כרטיס עובד, כרטיס אשראי

משהו שהוא המשתמש ? – אמצעים ביומטריים: אצבע, עיניים

אמצעים ביומטריים לאימות משתמשים

יש הבחנה בין 2 שלבים –

  1. יצירת בסיס הנתונים – למשל איסוף טביעות אצבעות.
  2. האימות – הבחנה בין 2 שגיאות שונות – מתקבלים שגויים או דחויים שגויים.

מתקבלים שגויים – המערכת הייתה צריכה לחסום אך בטעות אישרה.

דחויים שגויים – המערכת הייתה צריכה לאשר אך בטעות חסמה.

ארגונים משקיעים משאבים לצמצם ככל שניתן את המתקבלים השגויים.

ככל שהמערכת יותר רגישה יהיו יותר דחויים שגויים. ככל שהמערכת פחות רגישה יהיו יותר מתקבלים שגויים. צריך למצוא את המקום ביניהם.



× 6 = שלושים שש

תואר ראשון
תואר שני
מרצים