Que dois-je faire pour m'assurer que mes stratégies de base de données doivent réussir un audit de sécurité?

8

J'ai un audit à venir, et je me demandais quels contrôles d'accès physiques, électroniques et logiques un auditeur rechercherait lors de l'audit d'une base de données pour un système ERP. Je suis vraiment nouveau dans ce processus et tout conseil serait apprécié.

sql-server oracle security audit Robert Silvie II
la source

Réponses:

4

Je suis d'accord avec la réponse de DeCosta. Sur quelles exigences et spécifications allez-vous faire l'objet d'un audit? Mais, comme mon meilleur coup dans l'obscurité: il s'agit d'une publication de "meilleures pratiques" pour la sécurité liée à SQL 2005 qui a été publiée par Microsoft

http://download.microsoft.com/download/8/5/e/85eea4fa-b3bb-4426-97d0-7f7151b2011c/SQL2005SecBestPract.doc

Et l'article en ligne des livres:

http://msdn.microsoft.com/en-us/library/ms144228.aspx

En outre, voici une liste de choses que PricewaterhouseCoopers couvre dans ses services liés aux audits des systèmes ERP. Cela peut vous donner quelques idées. Le menu de gauche couvre de nombreux sujets qui peuvent être utiles pour déclencher des recherches.

http://www.pwc.com/be/en/systems-process-assurance/erp-security-erp-control.jhtml

RThomas
la source
Pas de problème, bonne chance avec l'audit.
RThomas
4

J'applaudis vos efforts, mais la question posée est probablement trop vague. Différentes règles s'appliquent à différentes industries et, en outre, vous avez parfois la possibilité de définir vos propres règles, il vous suffit de les suivre.

Je suggérerais de vérifier avec quelqu'un quel audit vous êtes censé réussir, puis de trouver les exigences spécifiques.

johndacostaa
la source
3
D'accord - ils ne peuvent pas très bien s'attendre à ce que vous répondiez aux attentes sans publier ce que sont ces attentes. Est-ce lié à HIPPA, Sarbanes Oxley, aux exigences légales spécifiques liées au stockage des antécédents criminels, etc.
RThomas
3

Pour ajouter aux excellents liens ci-dessus; J'ai trouvé les documents suivants comme référence utile concernant la sécurité et l'audit:

  • Livre blanc PCI Déploiement de SQL Server 2008 basé sur les normes de sécurité des données de l'industrie des cartes de paiement (PCI DSS) : Lien
  • Livre blanc HIPPA: Lien
  • Repère de sécurité Microsoft SQL Server de Center for Internet Security. Lien
  • Aussi Google pour un document appelé liste de contrôle de sécurité de la base de données Microsoft SQL Server du département américain de la Défense (non classé) -
DaniSQL
la source
2

Un point manqué par ceux ci-dessus concerne l'identification exacte de ce que vous protégez - s'il s'agit de données de carte de crédit, alors il est facile de réaliser que vous avez besoin de PCI-DSS, mais dans le cadre plus large des choses, PCI-DSS n'est pas vraiment utile sauf à titre de référence minimale. Vous devez identifier ce qui est utile à votre entreprise, que ce soit pour des raisons commerciales ou parce que le régulateur ou les actionnaires le disent, et vous assurer que votre audit en tient compte.

Je suggère également de consulter security.stackexchange.com , qui s'adresse spécifiquement aux professionnels de la sécurité et des risques, et nous sommes nombreux à avoir effectué des audits de sécurité, aidé à la préparation des audits, mené des programmes d'amélioration et de test de sécurité à grande échelle. etc.

Rory Alsop
la source