Что мне нужно сделать, чтобы политики моей БД проходили аудит безопасности?

У меня готовится аудит, и мне было интересно, какие физические, электронные и логические средства контроля доступа будет искать аудитор при аудите базы данных для системы ERP. Я действительно новичок в этом процессе, и любые рекомендации будут оценены.

Я согласен с ответом ДеКосты. Какие требования, спецификации вы собираетесь проверять? Но, как мой лучший выстрел в темноте: это публикация «передового опыта» в области безопасности, связанной с SQL 2005, которая была опубликована Microsoft

http://download.microsoft.com/download/8/5/e/85eea4fa-b3bb-4426-97d0-7f7151b2011c/SQL2005SecBestPract.doc

И книги онлайн статьи:

http://msdn.microsoft.com/en-us/library/ms144228.aspx

Кроме того, вот список вещей, которые PricewaterhouseCoopers покрывает в своих услугах, связанных с аудитом ERP-систем. Это может дать вам некоторые идеи. Меню с левой стороны охватывает множество тем, которые могут быть полезны для поиска предметов для исследования.

http://www.pwc.com/be/en/systems-process-assurance/erp-security-erp-control.jhtml

Я приветствую ваши усилия, однако заданный вопрос, вероятно, слишком расплывчатый. Различные правила применяются к различным отраслям, и, кроме того, иногда у вас есть возможность установить свои собственные правила, вам просто нужно следовать им.

Я бы посоветовал узнать у кого-нибудь, какой аудит вы должны пройти, а затем найти конкретные требования.

Добавить к отличным ссылкам выше; Я нашел следующие документы в качестве полезной ссылки относительно безопасности и аудита:

• Технический документ PCI Развертывание SQL Server 2008 на основе отраслевых стандартов безопасности данных (PCI DSS) : ссылка
• Документ HIPPA: Ссылка
• Оценка безопасности Microsoft SQL Server от Центра интернет-безопасности. Ссылка на сайт
• Кроме того, Google для документа под названием Контрольный список безопасности базы данных Microsoft SQL Server от Министерства обороны США (без классификации) -

Упущенное выше рассмотренным моментом заключается в том, чтобы точно определить, что вы защищаете - если это данные кредитной карты, тогда легко понять, что вам нужен PCI-DSS, но в более широком плане PCI-DSS не очень полезен. кроме как минимальный базовый уровень. Вам необходимо определить, что представляет ценность для вашей компании, будь то по коммерческим причинам или потому, что регулятор или акционеры так говорят, и убедитесь, что ваш аудит учитывает их.

Я бы также посоветовал взглянуть на security.stackexchange.com , который специально предназначен для профессионалов по безопасности и рискам, и многие из нас там проводили аудиты безопасности, помогали в подготовке аудита, руководили крупномасштабными программами улучшения безопасности и тестирования и т.п.