sql >> Databasteknik >  >> RDS >> PostgreSQL

En checklista för efterlevnad av SOx för PostgreSQL

USA:s SOx (Sarbanes-Oxley) Act, 2002, tar upp ett brett spektrum av grundläggande informationssäkerhetsprinciper för kommersiella företag, och säkerställer att deras funktioner är rotade och konsekvent tillämpas, baserat på CIA:s koncept (Konfidentialitet) , Integritet och Tillgänglighet).

Att uppnå dessa mål kräver engagemang från många individer, som alla måste vara medvetna om; deras ansvar att upprätthålla det säkra tillståndet för företagets tillgångar, förstå policyer, procedurer, standarder, riktlinjer och möjligheterna till förluster i samband med deras uppgifter.

CIA strävar efter att säkerställa att anpassningen av affärsstrategin, målen, uppdraget och målen stöds av säkerhetskontroller, godkända med hänsyn till ledande befattningshavares due diligence och tolerans för risker och kostnader.

PostgreSQL-databaskluster

PostgreSQL-servern har en bred samling av funktioner som erbjuds gratis, vilket gör den till ett av de mest populära DBMS (Databas Management Systems), vilket gör det möjligt att använda den på ett brett utbud av projekt inom olika sociala och ekonomiska sfärer .

Den största fördelen med dess antagande är licensen för öppen källkod, som tar bort farhågor kring upphovsrättsintrång inom en organisation, möjligen orsakade av en IT-administratör, som oavsiktligt överskrider antalet tillåtna licenser.

Implementeringen av informationssäkerhet för PostgreSQL (från en organisatorisk kontext) kommer inte att bli framgångsrik utan noggrant konstruerade och enhetligt tillämpade säkerhetspolicyer och -procedurer som täcker alla aspekter av affärskontinuitetsplanering.

BCP (Business Continuity Planning)

Ledarskapet måste godkänna innan de startar BCP-programmet för att säkerställa att de förstår de förväntade resultaten, såväl som sitt personliga ansvar (finansiellt och till och med kriminellt) om det fastställs att de inte använde vederbörlig försiktighet för att skydda organisationen och dess resurser.

Den högsta ledningens förväntningar kommuniceras genom policyer, utvecklade och underhållna av säkerhetsansvariga, ansvariga för att upprätta rutiner och följa standarder, baslinjer och riktlinjer, och för att upptäcka SPoFs (Single Points of Failure) som kan äventyra ett helt system från att fungera säkert och tillförlitligt.

Klassificeringen av dessa potentiella störande händelser görs med hjälp av BIA (Business Impact Analysis), som är en sekventiell metod för; identifiera tillgångarna och affärsprocesserna, fastställa kriticiteten hos var och en, uppskatta MTD (Maximum Tolerable Downtime) baserat på deras tidskänslighet för återhämtning, och slutligen, beräkna återhämtningsmålen; RTO (Recovery Time Objective) och RPO (Recovery Point Objective), med tanke på kostnaden för att uppnå målet, kontra fördelen.

Dataåtkomstroller och ansvarsområden

Kommersiella företag anställer vanligtvis externa företag som är specialiserade på bakgrundskontroller för att samla in mer information om potentiella nya anställda, hjälpa rekryteringschefen med solida arbetsuppgifter, validera utbildningsexamina och certifieringar, kriminell historia och referens kontroller.

Operativa system håller på att bli föråldrade och dåliga eller nedskrivna lösenord är bara ett par av många sätt som obehöriga kan hitta sårbarheter och attackera en organisations informationssystem, via nätverket eller social ingenjörskonst.

Tredjepartstjänster, anlitade av organisationen, kan också utgöra ett hot, särskilt om anställda inte är utbildade i att använda korrekta säkerhetsprocedurer. Deras interaktioner måste vara förankrade i starka säkerhetsfundament för att förhindra informationsröjande.

Minst privilegium avser att ge användare endast den åtkomst de behöver för att utföra sina jobb, inget mer. Medan vissa anställda (baserat på deras jobbfunktioner) har en högre "behöver-att-veta"-åtkomst. Följaktligen måste deras arbetsstationer övervakas kontinuerligt och uppdateras med säkerhetsstandarder.

Några resurser som kan hjälpa

COSO (Committee of Sponsoring Organizations of the Treadway Commission)

Bildades 1985 för att sponsra USA:s (USA) National Commission on Fraudulent Financial Reporting, som studerade orsaksfaktorer som leder till bedräglig finansiell rapportering, och tog fram rekommendationer för; offentliga företag, deras revisorer, SEC (Securities Exchange Commission), andra tillsynsmyndigheter och brottsbekämpande organ.

ITIL (Information Technology Infrastructure Library)

Byggt av den brittiska regeringens stationära kontor, ITIL är ett ramverk som består av en uppsättning böcker, som visar bästa praxis för specifika behov för IT i en organisation, såsom hantering av kärnoperativa processer, incidenter och tillgänglighet, och ekonomiska överväganden.

COBIT (kontrollmål för information och relaterad teknologi)

COBIT, publicerat av ITGI (IT Governance Institute), är ett ramverk som tillhandahåller en övergripande struktur för IT-kontroller, inklusive granskning av effektivitet, effektivitet, CIA, tillförlitlighet och efterlevnad, i linje med affärsbehoven. ISACA (Information Systems Audit and Control Association) tillhandahåller djupgående instruktioner om COBIT, såväl som certifieringar som erkänns globalt, såsom CISA (Certified Information Systems Auditor).

ISO/IEC 27002:2013 (International Organization for Standardization/International Electrotechnical Commission)

Tidigare känd som ISO/IEC 17799:2005, innehåller ISO/IEC 27002:2013 detaljerade instruktioner för organisationer som täcker informationssäkerhetskontroller, såsom; policyer, efterlevnad, åtkomstkontroller, drift och HR-säkerhet (Human Resources), kryptografi, hantering av incidenter, risker, BC (Business Continuity), tillgångar och många fler. Det finns också en förhandsgranskning av dokumentet.

VERIS (Vocabulary of Event Recording and Incident Sharing)

Tillgängligt på GitHub, VERIS är ett projekt i kontinuerlig utveckling, avsett att hjälpa organisationer att samla in användbar incidentrelaterad information och dela den anonymt och ansvarsfullt, utöka VCDB (VERIS Community Database). Användarnas samarbete, vilket resulterar i en utmärkt referens för riskhantering, översätts sedan till en årlig rapport, VDBIR (Verizon Data Breach Investigation Report).

OECD:s riktlinjer (Organisationen för ekonomiskt samarbete och utveckling)

OECD, i samarbete med partners runt om i världen, främjar RBCs (Responsible Business Conduct) för multinationella företag, säkerställer privatlivet till individer på deras PII (Personally Identificable Information), och fastställer principer för hur deras data måste behållas och underhållas av företag.

NIST SP 800-serien (Särskild publikation från National Institute of Standards and Technology)

US NIST tillhandahåller på sitt CSRC (Computer Security Resource Center), en samling publikationer för cybersäkerhet, som täcker alla typer av ämnen, inklusive databaser. Den viktigaste, ur ett databasperspektiv, är SP 800-53 Revision 4.

Slutsats

Att uppnå SOx-mål är en daglig angelägenhet för många organisationer, även de som inte är begränsade till redovisningsverksamhet. Ramar som innehåller instruktioner för riskbedömning och interna kontroller måste finnas på plats för företagets säkerhetsutövare, såväl som programvara för att förhindra förstörelse, ändring och avslöjande av känslig information.


  1. Hämta kolumnnamn och typer av en lagrad procedur?

  2. Vad heter rör?

  3. Postgres-fråga för att kontrollera en sträng är ett nummer

  4. Vad gör 'COLLATE SQL_Latin1_General_CP1_CI_AS'?