Was muss ich tun, um sicherzustellen, dass meine DB-Richtlinien eine Sicherheitsüberprüfung bestehen müssen?

8

Ich habe ein Audit vor mir und habe mich gefragt, nach welchen physischen, elektronischen und logischen Zugriffskontrollen ein Auditor suchen würde, wenn er eine Datenbank für ein ERP-System prüft. Ich bin wirklich neu in diesem Prozess und jede Anleitung wäre dankbar.

sql-server oracle security audit Robert Silvie II
quelle

Antworten:

4

Ich stimme der Antwort von DeCosta zu. Auf welche Anforderungen und Spezifikationen werden Sie geprüft? Aber als mein bester Schuss im Dunkeln: Dies ist eine "Best Practice" -Publikation für Sicherheit im Zusammenhang mit SQL 2005, die von Microsoft veröffentlicht wurde

http://download.microsoft.com/download/8/5/e/85eea4fa-b3bb-4426-97d0-7f7151b2011c/SQL2005SecBestPract.doc

Und der Online-Artikel der Bücher:

http://msdn.microsoft.com/en-us/library/ms144228.aspx

Außerdem finden Sie hier eine Liste der Dinge, die PricewaterhouseCoopers in seinen Dienstleistungen im Zusammenhang mit Audits von ERP-Systemen abdeckt. Es kann Ihnen einige Ideen geben. Das Menü auf der linken Seite behandelt viele Themen, die hilfreich sein können, um Forschungsergebnisse zu ermöglichen.

http://www.pwc.com/be/en/systems-process-assurance/erp-security-erp-control.jhtml

RThomas
quelle
Kein Problem, viel Glück beim Audit.
RThomas
4

Ich begrüße Ihre Bemühungen, aber die gestellte Frage ist wahrscheinlich zu vage. Für verschiedene Branchen gelten unterschiedliche Regeln. Außerdem haben Sie manchmal die Möglichkeit, eigene Regeln festzulegen. Sie müssen diese nur befolgen.

Ich würde vorschlagen, mit jemandem zu klären, welches Audit Sie voraussichtlich bestehen werden, und dann die spezifischen Anforderungen zu ermitteln.

Johndacostaa
quelle
3
Einverstanden - sie können nicht sehr gut erwarten, dass Sie die Erwartungen erfüllen, ohne zu veröffentlichen, was diese Erwartungen sind. Bezieht es sich auf HIPPA, Sarbanes Oxley, spezifische gesetzliche Anforderungen in Bezug auf die Speicherung von Kriminalgeschichten usw.
RThomas
3

Zu den ausgezeichneten Links oben hinzufügen; Ich fand die folgenden Dokumente als hilfreiche Referenz in Bezug auf Sicherheit und Prüfung:

  • PCI- Whitepaper Bereitstellen von SQL Server 2008 basierend auf PCI DSS (Payment Card Industry Data Security Standards) : Link
  • HIPPA-Whitepaper: Link
  • Microsoft SQL Server-Sicherheitsbenchmark vom Center for Internet Security. Verknüpfung
  • Google auch für ein Dokument namens Microsoft SQL Server-Datenbank-Sicherheitscheckliste vom US-Verteidigungsministerium (nicht klassifiziert) -
DaniSQL
quelle
2

Ein Punkt, den die oben genannten übersehen haben, besteht darin, genau zu identifizieren, was Sie schützen. Wenn es sich um Kreditkartendaten handelt, ist es leicht zu erkennen, dass Sie PCI-DSS benötigen, aber im weiteren Sinne ist PCI-DSS nicht wirklich nützlich außer als bloße Mindestgrundlinie. Sie müssen herausfinden, was für Ihr Unternehmen von Wert ist, sei es aus kommerziellen Gründen oder weil die Aufsichtsbehörde oder die Aktionäre dies sagen, und sicherstellen, dass Ihre Prüfung dies berücksichtigt.

Ich würde auch vorschlagen, sich security.stackexchange.com anzuschauen, das sich speziell an Sicherheits- und Risikoprofis richtet, und es gibt viele von uns, die Sicherheitsaudits durchgeführt, bei der Prüfungsvorbereitung unterstützt, umfangreiche Sicherheitsverbesserungs- und Testprogramme durchgeführt haben usw.

Rory Alsop
quelle