امنیت بانک های اطلاعاتی

فهرست مطالب
مقدمه

بانك هاي اطلاعاتي ، در دسترس همگان

مركز داده

امنيت بانكهاي اطلاعاتي‌

محدوديت‌هاي جديد براي سرپرستان پايگاه‌هاي داده

مقدمه:
امروزه اهميت و كاربرد روزافزون سيستمهاي اطلاعاتي بر كسي پوشيده نيست و از آن جا كه حيات اين سيستمها وابسته به حجم انبوهي از دادهاست، نيازبه استفاده از سيستمهاي مديريت پايگاه داده انكار ناپذير مي باشد. چون داده ها از ارزش بسيار بالايي برخوردار هستند تهاجمات زيادي براي تخريب و يا دسترسي غير مجاز به آنها صورت مي گيرد و بنابراين نياز به روشهايي است كه بتواند امنيت را در پايگاههاي داده برقرار سازد. به طور كلي امنيت پايگاه داده به مجموعه سياستها و مكانيزمهايي گفته مي شودكه محرمانگي، جامعيت و دسترس پذيري را براي داده ها به وجود آورده و آنها را در برابر حملات عناصر داخلي و خارجي محافظت نمايد. هرچند كه اين موضوع در كشورهاي توسعه يافته جزو مباحث روز بوده و به پيشرفتهاي بسيار نائل شده‌اند. هنوز اين مبحث در كشورايران بسيار نوپا و جوان است .

بانك هاي اطلاعاتي ، در دسترس همگان :
يكي از ضعف هاي سايت هاي ايراني دسترسي آسان كاربران به بانك هاي اطلاعاتي آنهاست . شايد بسياري از برنامه نويسان نسبت به رفع ضعف هاي امنيتي ناشي از تزريق دستورات SQL اقدام كرده باشند . اما زماني كه بانك هاي اطلاعاتي خود را به سهولت در اختيار كاربران قرار مي دهند . آنگاه يك كاربر به سادگي مي تواند از طريق دريافت بانك اطلاعاتي نام كاربري و كلمه عبور سايت را بدست آورده و وارد مديريت سايت شود .

متاسفانه گاهي در اين بانك هاي اطلاعاتي اطلاعات گرانبهايي نيز گنجاده شده است كه ارزشمند تر از ورود به بخش مديريت آن سايت است . براي نمونه در يكي از سايتهاي اينترنتي ايراني كه اقدام به فروش online كارتهاي اينترنتي كرده است به سادگي با دريافت بانك اطلاعاتي توانستم به بيش از ۵۰۰ كلمه عبور و نام كاربري كارتهاي اينترنت و فون تو فون دسترسي پيدا كنم .

متاسفانه منشا اين مشكل و ضعف نه برنامه نويسان سايت بلكه ميزبانان سايت ها هستند . عدم ايجاد شاخه اي مختص بانك هاي اطلاعات در خارج از دايركتوري وب باعث آن مي شود كه صاحبان سايتها به ناچار بانك هاي اطلاعاتي خود را در جايي بر روي دايركتوري وب خود قرار دهند . در چنين حالتي نيز بانك اطلاعاتي قابل دريافت از طريق پروتكل http مي باشد .

چندين سايت معتبر ايراني كه شايد از نظر ارزش اطلاع رساني داراي ارزش بالايي نيز باشند جزو سايتهايي هستند كه داراي اين ضعف بزرگ مي باشند در زير نام چند سايت را كه بانك هاي اطلاعاتي آنها به سهولت در دسترس همگان است را معرفي مي كنم اما براي حفظ امنيت اين سايت ها از گفتن آدرس بانك اطلاعاتي آنها خودداري مي كنم چون بانك هاي اطلاعاتي اين سايتها داراي اهميت ويژه اي مي باشند :
– http://www.jahaneghtesad.com
– http://www.irannewsdaily.com
– http://www.kanoonparvaresh.com
– http://www.akunews.com

اما يك سايت ديگر نيز داراي اين مشكل مي باشد اما از آنجهت كه در بانك اطلاعاتي آن مطلب مهمي را پيدا نكردم براي نمونه و آشنايي بيشتر خوانندگان آدرس كامل بانك اطلاعاتي آن را معرفي مي كنم:
– http://www.iranagahi.com/mdbdir/iranagahi.mdb
شايد عدم دقت به نكات ساده و نه نكات پيچيده سايت هاي ايراني را از اين ناامني كه از آن رنج مي برند نجات دهد كه بدون شك منجر به نجات اطلاع رساني و كمك به ارتقا سطح دانش اطلاع رساني كشور خواهد شد .
اما از سوي ديگر اين نقطه ضعف تنها در مورد بانك هاي اطلاعاتي مبتني بر فايل وجود دارد و در بانك هاي اطلاعاتي همچون MS SQL و MySql ما شاهد چنين ضعف هايي نيستيم .

پس براي بالابردن سطح ايمني سايت خود در صورتي كه با اطلاعات مهمي سر و كار داريد به شما توصيه مي كنم كه از بانك هاي اطلاعاتي مبتني بر فايل استفاده نكنيد .
اما در مورد سايتهايي كه مجبور به استفاده از چنين بانك هاي اطلاعاتي مي باشند توصيه مي كنم كه از نوشتن كلمه هاي عبور به صورت Text در بانك اطلاعاتي خودداري كنند و از اسكريپت هاي Encode كردن كلمه عبور استفاده نمايند .

الگوريتم هاي زيادي براي encode كردن كلمه هاي عبور وجود دارند اما شايد بسياري از آنها به سادگي قابل فهم باشند و تاثير چنداني بروي كار شناسايي كلمه عبور توسط نفوذگر نداشته بانشد . پس توصيه مي كنم از الگوريتم هايي استفاده كنيد كه برگشت ناپذير مي باشند تا امكان دسترسي نفوذگر به اصل كلمه عبور از مسير بازگشت در الگوريتم را از وي سلب كنيد .

برخي از دوستان با ارسال نامه و يا در سايتهايشان انتقاد كرده اند كه مسائل مطرح شده توسط من روش هاي هك نيست ! جالب است بدانيد بر طبق گزارشي تزريق توسط SQL در سال گذشته منجر به نفوذ در بيش از ۱۸۰ سايت بزرگ خارجي بوده است . نفوذگران براي ورود به سايت ها از نقاط ضعف آنها استفاده مي كنند و اين مهم نيست كه اين نقطه ضعف امكان تزريق SQL باشد يا قابليتدريافت بانك اطلاعاتي و يا وجود پورت هاي باز بر روي سرور ميزبان ! نفوذ گر به دنبال ساده ترين راهها نفوذ هست . نفوذ را هيچگاه پيچيده تصور نكنيد .

 

مركز داده
دولت امريكا به منظور ارتقاي ضريب ايمني مراكز اطلاعاتي خود بانك‌هاي اطلاعاتي و كارگزاران شبكه ( Servers ) خود را در مكان‌هاي با ا منيت بالا نگهداري مي‌كند. بعضي از اين اماكن محوطه‌هاي وسيعي در اعماق كوههاي راكي، در نقاط پنهاني از اعماق صحرا ها ي نوادا وآريزونا، در زير يخچال‌هاي آلاسكا و در اعماق اقيانوس‌ها مي‌باشند.

اين نقاط با شديدترين تدابير امنيتي حفاظت مي‌شو ند از طرف ديگر پيش‌بيني‌هاي ايمني تهديدات فيزيكي ، از جمله آتش سوزي و بلاياي طبيعي را به حداقل رسانده است. تجهيزات حفاظتي ، امكان دستبرد و يا آسيب هوشمندانه فيزيكي را كاهش داده است. در اين اماكن خطوط متعدد فيبرنوري با پهناي باند بالا بالاترين سرعت انتقال داده و اطلاعات را تأمين مي‌كنند.

تجهيزات پرسرعت مانند سوپر كامپيوترها ( Main Frame ) و پردازنده‌هاي بسيار سريع و موازي بالاترين سرعت دسترسي را در اختيار مي‌گذارند. سيستم‌هاي پيشرفتة تنظيم دما و حرارت، تنظيم رطوبت و كنترل تركيبات هواي محيط بهينه‌ترين شرايط را براي كار تجهيزات مهيا مي‌ سازند و تجهيزات مانيتورينگ دقيق، لحظه به لحظه وضعيت‌هاي مختلف را كنترل و بازنگري مي‌كن ن د.

بناهاي مستحكم در اعماق زمين نه تنها توان تحمل شديدترين زلزله‌ها را دارند، بلكه در مقابل قويترين بمب‌هاي هسته‌اي موجود آسيبي نمي‌بينند. سيستم‌هاي پشتيبان، از اطلاعات در فواصل زماني مشخص بر طبق آخرين تكنيك‌هاي موجود نسخه‌هاي پشتيبان تهيه مي‌كنند. ژنراتورها و مولد هاي قوي برق( UPS )، آمادة تأمين نيروي برق لازم در صورت بروز اختلال مي‌باشند و پوشش‌هاي مخصوص، تجهيزات را از تهديد امواج مختلف از قبيل امواج ماكروويو و يا ميدان‌هاي الكترومغناطيسي خارج ي يا توليد شده از خود تجهيزات محافظت مي‌كنند.

به هر يك از اين مراكز، مركز داده‌اي ( Data Center ) گفته مي‌شود. در كنار هر مركز داده‌اي دو مــــركـــز ديـــگـــر آمـــادة انجام عمليــات مي‌باشنــــد. يــكـــي مركز بازيافت اطلاعات آسيب ديده ( Disaster Recovery center ) است كه فعاليت‌هاي آنها در قالب كلي بازيافت داده ( Data Recovery ) مي‌گنجد كه خود مقولة بسيار مهمي است كه از ضروري‌ترين نيازهاي هر ارگان و تشكل مرتبط با اطلاعات مي‌باشد.

مركز دوم مركز كنترل و فرمان است كه مديريت انساني مركز داده‌اي را به عهده دارد ، در اين مركز افرادي با تخصص بالا و با دستمزدهاي بسيار بالا كار مي‌كنند. بانك‌ها اطلاعاتي و سرورهاي مربوط به زيرساخت‌هاي اين كشور از قبيل شبكة برق، آب و نيز اطلاعات شركت‌ها ي دولتي ي ا خصوصي‌ حساس مثل شركت‌هاي اسلحه‌سازي و يا اطلاعات بانك‌ها در اين مراكز نگهداري مي‌شود.

ايدة مركز داده ( Data Center ) در سطوح پايين‌تر و با درجه حساسيت كمتر نيز پياده شده است. به طوري كه امروزه شركت‌هايي وجود دارند كه با فراهم آوردن اماكني كه بعضي از امتيازات فوق را دارند در ازاي دريافت اجاره‌بها اطلاعات فردي يا سازمان‌ها را ميزباني مي‌كنند و خدمات مورد نظر آنها را با كيفيتي بسيار بهتر در اختيار مشتريان قرار مي‌ د هند. سايت‌هاي خارجي دفتر در چبه صورت خلاصه مزاياي استفاده از مراكز داده عبارتند از:
نين محيط‌هايي قرار داده شده‌اند.

• امنيت فيزيكي بالا
• امنيت الكترونيكي بالا
• مقابله با افزونگي و تكرار اطلاعات
• ارائة بالاترين سرعت پردازش در يك مكان
• ارائة بالاترين سرعت انتقال اطلاعات
• خريد تنها يك نسخه از نرم‌افزارها

• پشتيباني متمركز
اگر از مراكز داده استفاده نشود و هر سازماني بانك اطلاعاتي خود را در شبكه داشته باشد، به تعداد سازمان‌ها نياز به تيم پشتيباني جداگانه، نرم‌افزار جداگانه، سخت‌افزار جداگانه، پهناي باند جداگانه، امنيت جداگانه و … خواهيم داشت كه سر بار هزينه‌اي بالايي دارد.
به نظر مي‌رسد ايدة Data Center به دليل تأمين كارايي و امنيت بالا و جلوگيري از افزونگي، سهولت نگهداري و مديريت و بسياري جنبه‌هاي فني ديگر ، در تحقق اهدافي همچون دولت الكترونيكي، ايده‌اي كارساز باشد.

امنيت بانكهاي اطلاعاتي‌
امروزه ادامه حيات و عملكرد موفقيت‌آميز سازمانها, بستگي كامل به داده‌ها و اطلاعاتي دارد كه‌در اختيار دارند. تصور ادامه فعاليت سازمانهاي اين عصر، بدون اطلاعاتي كه بتوانند به آن اتكا كنندغيرممكن است‌. اين ذخيره‌هاي ارزشمند در بانكهاي اطلاعاتي گوناگوني ذخيره مي‌شوند و مثل هر اندوخته گرانبهاي ديگري نيازمند مراقبت و محافظت دائمي هستند.

گرچه در حال حاضر بانكهاي تجاري با بكارگيري فن آوريهاي نوين, داراي سرويس‌هاي دائمي وشبانه روزي هستند, ولي تصور كنيد كه در شروع يك روز كاري, مسئولين مربوطه با اين پيام روبرو شوندكه اطلاعات موجود در بانكهاي اطلاعاتي را از دست داده‌اند يا دريابند كه اين مخازن اطلاعاتي حاوي‌اطلاعات نادرستي هستند, درصورت عدم برنامه ريزي دقيق و امكان بازيافت اطلاعات، ادامه كار عادي‌سازمان مختل خواهد شد. در تأمين امنيت بانكهاي اطلاعاتي و اطلاعات ارزشمند آنها مراحل مختلفي بايد در نظر گرفته شوند.

جمع آوري داده‌ها:
در اين مرحله، چگونگي جمع آوري اطلاعات و داده‌ها و نحوه كسب آنان و جلوگيري از انتشار اطلاعات, بايستي توسط مسئولين مربوطه مورد بررسي عميق قرار گيرد تا اطلاعاتي لازم, كافي, بجاوصحيح جمع‌آوري گردد.

ويرايش داده‌ها:
ويرايش كافي اطلاعات، تائيد و صحت آنها سبب مي‌شود كه بانكهاي اطلاعاتي ار طريق استفاده از داده‌هاي صحيح و مناسب تكميل شوند و اطلاعات از سازگاري و جامعيتي مناسب برخوردار گردند. در اين مرحله مي‌توان با بكارگيري روش‌هاي ويرايشي, از وارد شدن اطلاعاتي كه خارج از محدوده لازم‌هستند، جلوگيري نمود و يا حتي از وقوع برخي خرابكاريها يا دستكاريها پيش‌گيري كرد.

بهنگام نگهداشتن داده‌ها:
بانك‏هاي اطلاعاتي در صورتي قابل استفاده هستند كه حاوي اطلاعاتي بهنگام, سازگار و جامع‌باشند. مسئولين نگهداري آنها بايد تمهيدات لازم را در اين مورد بكار گيرند, در اختيار داشتن اطلاعاتي‌ناقص و قديمي, تفاوت چنداني با دراختيار نداشتن اطلاعات ندارد.

تهيه نسخه‌هاي پشتيباني:
تهيه نسخه‌هاي پشتيباني كافي و مناسب در دوره‌هاي زماني از پيش تعيين شده نقش عمده‌اي درحفاظت و ايمني بانكهاي اطلاعاتي بازي مي‌كند و در صورت فقدان اطلاعات, مدت غيرفعال شدن‌سيستم را مي‌تواند به حداقل ممكن برساند.

تدوين برنامه‌هاي بازيابي جهت بكارگيري در هنگام وقوع حوادث و مشكلات:
مسئولين نگهداري بانكهاي اطلاعاتي بايستي آمادگي لازم را براي مقابله با مشكلات احتمالي‌داشته باشند و قبل از وقوع حوادث پيش بيني‌هاي لازم را نموده باشند, حتي بصورت آزمايشي اقدام به‌انجام مراحل مختلف بازيابي اطلاعات نمايند.

تهيه گزارشات كنترلي حفاظتي دوره‌اي:
از اطلاعات جمع آوري شده در بانكهاي اطلاعاتي بايستي بصورت دوره‌اي گزارشاتي تهيه شود تا مسئولين حفاظت و ايمني با بررسي موارد مشكوك و غيرعادي به حل مسائل بپردازند. بررسي محدوده‌قابل قبول اقلام اطلاعاتي موجود يا تغييرات بيش از حدود قابل پيش بيني, از جمله مواردي است كه‌مي‌تواند در شناسايي خرابكاريها يا دستكاري‌هاي عمدي يا خطاهاي ناشي از عملكرد غلط برنامه‌هاكمك كند.

حفاظت بانكهاي اطلاعاتي در شبكه‌هاي كامپيوتري:
كمتر بخشي از جامعه مثل بخش مالي با مسأله حفاظت اطلاعات روبروست‌. چنين بخش‌هايي بايد در مقابل سرقت و يا خطا محافظت شوند. از طرفي با جهاني شدن شبكه‌هاي اطلاع رساني وارتباطات كامپيوترها با يكديگر از طريق شبكه‌هاي جهاني، بسياري از شركتها و سازمانها با مقوله ديگري‌از حفاظت اطلاعات روبرو شده يا خواهند شد و آن مسأله حفاظت اطلاعات موجود در شبكه محلي, در قبال دسترسي‌هاي غيرمجاز خارج از شبكه مورد نظر مي‌باشد.

حفاظت داده‌هاي حساس در هنگام نقل و انتقال‌هاي الكترونيكي:
برخي از اطلاعات حساس مثل شماره‌هاي حسابهاي بانكي افراد, اطلاعات شخصي حساس,شماره‌هاي شناسايي و رمزهاي ورود، حين نقل و انتقالهاي الكترونيكي مي‌توانند مورد تجاوز قرار گيرند,بكاربردن احتياطهاي لازم در اين زمينه‌ها از اهميت بالايي برخوردار است‌.

تهيه گزارش اعمال [۱] تغييرات:
تدوين برنامه هايي براي رديابي و ثبت چگونگي اجراي برنامه‌ها و اعمال تغييرات در بانكهاي اطلاعاتي, مي‌تواند كمك مناسبي براي مسئولين حفاظت باشد.

سيستم مديريت بانك اطلاعاتي[۲]:
معرفي سيستمي جهت مديريت بانك اطلاعاتي يك اثر پايداركننده و تحكيم بخش برروي بانكهاي ‌اطلاعاتي داشته است‌. و نقطه دستيابي متمركزي به داده‌ها فراهم شده است‌. زيرا همه‌درخواست‌هاي دستيابي و اعمال تغييرات در داده‌ها بوسيله اين سيستم اجرا مي‌شود, اين درجه از كنترل, تسهيلاتي را براي مديريت داده‌ها و افزايش حفاظت آنها فراهم مي‌آورد. مدير بانك اطلاعاتي براي كنترل بانك ا طلاعاتي از روالهاي مهمي بايد استفاده‌كند كه برخي ازآنها به‌ شرح زير مي‌باشند:

• كنترل روي تعريف داده‌ها[۳] – وظيفه اين روال اطمينان از تطابق داده با تعريف آن در طول مدت‌ نگهداري آن است‌.
•كنترل دستيابي [۴] – وظيفه اين روال حفاظت داده از دستيابي توسط اشخاص غيرمجاز است‌.
•رديابي[۵] – وظيفه اين روال رديابي و بازرسي براي اطمينان از محرمانه بودن داده‌هاي‌ نگهداري ‌شده است‌. دستيابي بوسيله مكانيزم كنترل دستيابي صورت‌مي‌گيرد وحوادث مرتبط با آن‌مي‌تواند بوسيله اين روال توسط مدير بانك اطلاعاتي درصورت لزوم بررسي و پيگيري و بازبيني گردد.
•كنترل بروز بودن[۶] – اين روال اطمينان مي‌دهد كه كاربر با مجوز مناسب مقادير داده را تغيير دهد.دو سطح مجاز به اين منظور وجود دارد سطح اول اضافه كردن داده و سطح دوم اصلاح و حذف داده است‌.

• كنترل همزماني[۷] اين روال بوسيله كنترل برنامه‌هاي همزمان ‌كه عمل به روز رساني را اجرا مي‌كنند، تماميت و درستي بانك اطلاعاتي را فراهم مي‌سازد.
مخاطرات بانك اطلاعاتي[۸] :
فن آوري بانك اطلاعاتي, فعاليتهاي جديدي را در سازمان معرفي مي‌كند. اين فعاليتها شامل وظايف مدير بانك اطلاعاتي نيز مي‌‌شود‌. تغيير فعاليتها و وظايف, به معني پذيرفتن بعضي از مخاطرات است‌. همراه‌با مزاياي فراوان اين فن‌آوري, مخاطرات استفاده از آن نيز مطرح مي‌شود كه از آنجمله مي‌توان به موارد زير اشاره نمود:

• ورود داده‌هاي ناصحيح يا ناقص به بانك اطلاعاتي
•عدم ورود داده‌ها طبق زمانبندي و توالي مربوطه
•عدم تشخيص خطاهاي مرتبط با يكپارچگي بانك اطلاعاتي
•اجراي نادرست برنامه تغييرات در بانك اطلاعاتي
•وجود مشكلات و خرابي‌هاي ناشناخته در بانك اطلاعاتي
•قطع زنجيرها[۹] يا نشانه‌گرهاي[۱۰] اطلاعاتي
•از دست دادن بخشي از بانك اطلاعاتي در هنگام سازماندهي مجدد آن

ارزش ركوردها[۱۱]:
شناسايي اطلاعات حياتي هر سازمان براي بقاي آن ضروري است. اين اطلاعات فقط شامل ركوردهاي اطلاعات مديريتي, حسابداري و مالي نمي‌‌باشد, بلكه شامل اطلاعات محرمانه تجاري نيز هست. به منظور تعيين اين اطلاعات حياتي پاسخ به اين سئوال مي‌تواند راهگشا باشد:

” اگر سوابق اطلاعاتي غير قابل دسترس يا استفاده شوند، آيا سازمان/ اداره/ واحد قادر به ادامه فعاليت خود خواهد بود ؟”
به همين منظور [۱۲] NFPA ، ركوردها را به چهار دسته زير تقسيم كرده است:
• ركـوردهاي حياتي ( كلاس I ): اين ركوردها در عمليات نقش كليدي دارند, غيرقابل‌ جايگزيني‌ هستند يا بلافاصله بعد از هر حادثه‌اي مورد نياز مي‌باشند, و نمي‌توان آنهارا بسرعت‌بازيابي‌نمود.

• ركـوردهاي مهم (كلاس II) : اين ركوردها در عمليات نقش كليدي دارند, اما مي‌توان آنها را درزمان لازم بازيابي نمود.
• ركوردهاي مفيد (كلاس III) : از دست دادن اين ركوردها موجب گرفتاري و دردسر است, اما از دست دادن آنها از عمليات جلوگيري نمي‌نمايد و قابل بازيابي مي‌باشند.
• ركوردهاي غيرلازم (كلاس : ( IVنيازي به بازيابي آنها درصورت ازدست‌دادنشان نمي‌باشد.

فهرست كنترل مديريت ركوردها و امنيت بانك اطلاعاتي :

(جدول ۱) فهرست كنترل مديريت ركوردها و امنيت بانكهاي اطلاعاتي را ارائه مي‌نمايد.

جدول ۱- مديريت ركوردها و امنيت بانك اطلاعاتي
شماره مورد پاسخ
بلي خير دردسترس نيست توضيحات
۱ آيا ركوردهاي زير مط ابق با دسته‌‌بندي NFPA طبقه‌‌بندي شده‌‌اند:
الف – ركوردهاي ورودي؟ – – –
ب – مستندات منبع؟ – – –
ج – مستندات كنترل؟ – – –
د – فايل‌‌ها؟ – – –
و – داده‌‌هاي خارجي؟ – – –
۲ آيا آسيب‌‌ها و تهديد‌‌هاي زير قابل آشكارسازي هستند:
الف – خطاهاي داده‌‌هاي ورودي؟ – – –
ب – خطاهاي انتقال داده‌‌ها؟ – – –
ج – معايب مكانيكي؟ – – –
د – خطاهاي برنامه‌‌اي؟ – – –
و – خطاهاي اپراتور رايانه؟ – – –
ز – از دست دادن فايلها؟ – – –
ح – محيط مغناطيسي صدمه ديده؟ – – –
ط – سرقت ركوردها؟ – – –
ي – فعاليتهاي محرمانه؟ – – –
ك – از دست دادن، بدلايل حوادث طبيعي؟ – – –
۳ آيا نسخه‌‌هاي ديگري از همه ركوردهاي حياتي نگهداري مي‌‌شود؟ – – –
۴

آيا فهرستي از فايلهاي حياتي نگهداري مي‌‌شود؟ – – –
۵ آيا قابليت بازسازي از فايلهاي كاغذي و مغناطيسي وجود دارد؟ – – –
۶ آيا استفاده روزانه فايل و تراكنش مربوطه ثبت مي‌‌شود؟ – – –
۷ وقتي از فايلهاي مغناطيسي نسخه‌‌برداري مي‌‌شود آيا بررسي‌‌هاي زير صورت مي‌‌گيرد:
الف – قابليت اطمينان؟ – – –
ب – دقت؟ – – –
۸ آيا قفسه‌‌هاي نگهداري محيطهاي مغناطيسي قابليت‌‌هاي زير را دارند:
الف – ضد آتش؟ – – –
ب – ضد دود؟ – – –
ج – ضد آب؟ – – –
د – قابل حمل و نقل در صورت وقوع حوادث؟ – – –
هـ – امن؟ – – –
و – مناسب براي استفاده؟ – – –

۹ آيا از ركوردهاي حساس، پشتيبان نگهداري شده است؟ – – –
۱۰ آيا روالهاي خاصي براي خارج كردن ركوردهاي حياتي در زمان اضطراري وجود دارد؟ – – –
۱۱ آيا دستيابي به اطلاعات بانكهاي اطلاعاتي كنترل شده است؟ – – –
۱۲ آيا روشهايي براي تشخيص اينكه نسخه درستي از فايل بانك اطلاعاتي استفاده مي‌‌شود، وجود دارد؟ – – –
۱۳ آيا دستگاههاي پاك كننده مغناطيسي در محل امني قرار داده شده‌‌اند؟ – – –
۱۴ آيا براي محيط‌‌هاي ذخيره مغناطيسي موارد زير كنترل شده‌‌اند:
الف – محيط بدور از گرد و غبار؟ – – –
ب – محيط بدور از آتش، دود و آب؟ – – –
ج – قابليت قفل شدن در صورت لزوم؟ – – –
د – دستيابي كنترل شده؟ – – –

هـ – ايجاد نسخه‌‌هاي پشتيبان؟



و – نگهداري جداگانه و كنترل شده فايلهاي اطلاعات حساس؟ – – –
ز – برچسب گذاري مناسب؟ – – –
ح – وجود فهرست‌‌هاي دوره‌‌اي از محيط‌‌ها؟ – – –
ط – كنترلهاي محيطي، سطوح امن براي رطوبت و حرارت؟ – – –
ي – محيط دور از پنجره و دستگاههاي مغناطيسي؟ – – –