私はCISSP試験の勉強をしていますが、ビデオ講義のポイントの1つが私にはまったく意味がありませんでした。インストラクターは、アクセス制御管理領域について話し合っていて、特定のものを「予防的」と「探偵的」に分類し始めました。たとえば、データ暗号化:予防的...データ整合性チェック:探偵...バックアップ電源システム:予防的...ユーザートレーニング:予防的および探偵...
トピックが監査に来たとき、彼はそれらを「探偵」とラベル付けしました。ある程度、これがこのようになる理由を理解しています。脆弱性を探しているので、見つけた場合は...検出しています。
同時に、監査は本質的に予防策と見なすこともできるのではないかと思います。後で悪用されるのを防ぐために、事前に脆弱性を探しているからです。
あなたの考えは何ですか?おそらく私はこれを考えすぎていますか?
再帰と同じように、監査を適切に理解するには、最初に監査の範囲と使用法を理解する必要があります。監査は、ベンチマークに対するコンプライアンスを判断するために使用されます。上記のベンチマークがなければ、監査人は測定するものが何もありません。場合によっては、ベンチマークは、プログラミングの実践やオペレーティングシステムの構成を説明する非常に技術的なドキュメントである可能性があります。その他の場合、ベンチマークは「$ RANDOM_DEPTによって決定されたベストプラクティスに従う」のように緩い場合があります。
この観点から考えて、ラベルを使用して、監査は厳密に「探偵」として分類する必要があります。つまり、これは「予防的」対策がベンチマーク/基準/ポリシー/その他であることを意味します。
次のことを考慮してください。
元従業員による不正アクセスを回避するために、分離時にすべてのアカウントが無効になります。
このシナリオでは、アカウントを無効にするポリシーが予防策です。監査の過程で、監査人はポリシーが守られているかどうかを判断しようとします。
監査は通常、検出、つまり問題の検出に使用されます。コントロールは通常、侵入を防ぐという予防策を提供します。
ただし、侵入を検出するだけでなく、監査を使用することもできます。監査を使用して、コントロールの問題や欠点を検出したり(コンプライアンス監査、ネットワーク構成監査など)、脆弱性を検出したりすることもできます(ペンテスト、ソースコードレビューなど)。
したがって、監査は、制御とシステム防御を改善するのに役立ちます。監査は、展開した保護と制御を改善するために使用するフィードバックループの一部にすることができます。したがって、監査は、コントロールが一貫して適切に実装されているかどうか、コントロールが効果的に機能しているかどうかを判断し、そうでない場合は問題がどこにあるかを示して考案できるため、将来の侵入を防ぐ能力を向上させるのに役立ちます。コントロールを改善する方法。別の言い方をすれば、監査は管理を改善するのに役立ち、問題を防ぐ能力を向上させます。
それはあなたが求めていることですか?