9 Kiểm soát truy cập
10.2 Bảo mật trong hệ thống ứng dụng
Mục tiêu: Để ngăn chặn mất mát, sự sửa đổi hay sự sử dụng sai của người sử dụng dữ liệu trong những hệ thống ứng dụng.
Những sự điều khiển thích hợp và kiểm định thường xuyên hay những bản ghi sự hoạt động phải được thiết kế vào những hệ thống ứng dụng, bao gồm cả người sử dụng mà viết các ứng dụng. Những điều đó phải có sự xác thực về nhập dữ liệu, xử lý bên trong, xuất dữ liệu
Đối với những hệ thống mà xử lý hoặc có sự tác động tới giá trị nhậy cảm hoặc là những tài sản thuộc tổ chức thì cần phải có thêm sự điều khiển. Những sự điều khiển như thế cần được xách định trên những yêu cầu cơ bản về bảo mật và sự đánh giá rủi ro.
10.2.1Tính hợp lệ của dữ liệu đầu vào
Dữ liệu nhập vào hệ thống ứng dụng cần phải được xác thực để đảm bảo rằng dữ liệu đó là đúng và phù hợp. Kiểm tra phải được áp dụng vào dữ liệu đầu vào của các phiên kinh doanh, dữ liệu cá nhân (tên và địa chỉ, giới hạn của thẻ tín dụng, số thẻ của khách hàng liên quan)và các bảng thông số (bán, giá, tỷ giá hối đoái, tỉ lệ thuế). Những quy tắc sau đây cần phải được xem xét:
a) Giá trị đầu vào và kiểm tra giá trị đầu vào để phát hiện ra những lỗi như sau: 1) Các giá trị ở bên ngoài phạm vi cho phép
2) Lỗi ký tự trong trường dữ liệu
3) Thiếu hoặc dữ liệu không hoàn chỉnh 4) Vượt quá độ lớn của dữ liệu cho phép
5) Dữ liệu điều khiển bất hợp pháp hoặc là không chắc chắn
b) Cần xem xét, đánh giá các trường dữ liệu mang tính quan trọng một cách định kỳ nhằm confirm tính hợp lệ và toàn vẹn của dữ liệu.
c) Xem xét những bản hard-copy của tài liệu đầu vào khi có bất kỳ sự thay đổi trái phép nhằm nhập dữ liệu ( phải được phép khi có một thay đổi nào với tài liệu đầu vào)
d) các thủ tục xác nhận lỗi (cho việc phản hồi các lỗi xác nhận); e) các thủ tục cho việc kiểm tra sự hợp lí của dữ liệu đầu vào;
f) việc xác định những trách nhiệm của tất cả các thành viên liên quan trong quá trình nhập dữ liệu.