Cosa dovrei fare per assicurarmi che i miei criteri DB debbano superare un controllo di sicurezza?


8

Ho un audit in arrivo e mi chiedevo quali controlli di accesso fisico, elettronico e logico un auditor avrebbe cercato quando controlla un database per un sistema ERP. Sono veramente nuovo in questo processo e ogni consiglio sarebbe apprezzato.

Risposte:


4

Sono d'accordo con la risposta di DeCosta. Su quali requisiti, specifiche hai intenzione di essere verificato? Ma, come il mio miglior scatto al buio: questa è una pubblicazione "best practice" per la sicurezza relativa a SQL 2005 pubblicata da Microsoft

http://download.microsoft.com/download/8/5/e/85eea4fa-b3bb-4426-97d0-7f7151b2011c/SQL2005SecBestPract.doc

E l'articolo di libri online:

http://msdn.microsoft.com/en-us/library/ms144228.aspx

Inoltre, ecco un elenco di cose che PricewaterhouseCoopers copre nei loro servizi relativi agli audit dei sistemi ERP. Potrebbe darti alcune idee. Il menu sul lato sinistro copre molti argomenti che possono essere utili per stimolare le cose alla ricerca.

http://www.pwc.com/be/en/systems-process-assurance/erp-security-erp-control.jhtml


Nessun problema, buona fortuna con l'audit.
RThomas,

4

Mi congratulo per il tuo sforzo, tuttavia la domanda posta è probabilmente troppo vaga. Regole diverse si applicano a settori diversi e inoltre, a volte hai l'opportunità di impostare le tue regole, devi solo seguirle.

Suggerirei di verificare con qualcuno quale audit dovresti superare, quindi di trovare i requisiti specifici.


3
D'accordo - non possono aspettarsi molto bene che tu soddisfi le aspettative senza pubblicare quelle che sono. È correlato a HIPPA, Sarbanes Oxley, requisiti legali specifici relativi allo stoccaggio di storie criminali ecc ...
RThomas,

3

Da aggiungere agli eccellenti link sopra; Ho trovato i seguenti documenti come riferimento utile per quanto riguarda sicurezza e controllo:

  • White paper PCI Distribuzione di SQL Server 2008 basato sugli standard di sicurezza dei dati del settore delle carte di pagamento (PCI DSS) : collegamento
  • White paper HIPPA: Link
  • Benchmark di sicurezza di Microsoft SQL Server dal Center for Internet Security. collegamento
  • Anche Google per un documento chiamato Elenco di controllo per la sicurezza del database Microsoft SQL Server dal Dipartimento della Difesa degli Stati Uniti (non classificato) -

2

Un punto mancato da quelli sopra è quello di identificare esattamente ciò che stai proteggendo: se si tratta di dati di carte di credito, è facile rendersi conto che hai bisogno di PCI-DSS, ma nel più ampio schema di cose, PCI-DSS non è poi così utile tranne che come base minima nuda. È necessario identificare ciò che ha valore per la vostra azienda, sia per motivi commerciali sia perché lo dicono il regolatore o gli azionisti, e assicurarsi che il vostro audit ne tenga conto.

Vorrei anche suggerire di guardare security.stackexchange.com , che si rivolge specificamente al professionista della sicurezza e del rischio, e ci sono molti di noi che hanno effettuato audit di sicurezza, assistito nella preparazione di audit, condotto programmi di test e miglioramento della sicurezza su larga scala eccetera.

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.