birmaga.ru
добавить свой файл

  1 2 3 ... 17 18

Введение

В любой стране мира организациям приходится обеспечивать соответствие требованиям различных нормативов. Кроме того, им приходится совершенствовать управление своими ИТ-системами для поддержания необходимого уровня безопасности и эффективности их эксплуатации. Клиенты часто обращаются к Майкрософт за советами и технологиями, которые могли бы помочь организациям в этом. Технический документ «Руководство по обеспечению соответствия требованиям в SQL Server 2008» специально предназначен в помощь компаниям и лицам, которые хотели бы научиться использовать программные компоненты баз данных Microsoft® SQL Server® 2008 для решения своих задач по обеспечению соответствия требованиям. Этот документ служит дополнением к пакету средств разработки программного обеспечения (SDK) по обеспечению соответствия требованиям SQL Server 2008, который содержит образцы кода и основные сведения о компонентах SQL Server 2008 по обеспечению соответствия требованиям и их применению при разработке решений.

Как пользоваться этим документом


Этот документ содержит руководство по обеспечению соответствия требованиям на различных уровнях. В его первой части описаны основные понятия о соответствии требованиям, где для сведения рисков к минимуму могут использоваться средства управления ИТ, а также технологии, которые могут быть для этого применены. Вторая часть посвящена конкретным сценариям обеспечения соответствия требованиям, в частности защите платформы и данных. Третья часть документа содержит образцы кода, примеры и советы, которые могут быть использованы для повышения темпов создания специализированных решений на основе SQL Server 2008. При создании средств управления ИТ также может быть использован сам по себе пакет SDK. В этом вам поможет поставляемый вместе с ним файл Readme.

Основные вопросы

Основная цель этого документа — дать общие навыки применения SQL Server 2008 для целей обеспечения соответствия требованиям. Он также содержит руководство верхнего уровня от Solution Accelerator Team, подразделения Майкрософт, и руководство по обеспечению безопасности операционной системы Windows Server®.

Предварительные требования


Для понимания основных понятий, представленных в этом документе, требуется знание основных сведений о работе SQL Server. Практическая работа с пакетом SDK поможет получить основные сведения о компонентах SQL Server 2008, связанных с обеспечением соответствия требованиям.

Основные сведения о соответствии требованиям


Соответствие требованиям — это задача, которую решают предприятия любых размеров. Основную нагрузку по обеспечению соответствия требованиям создают разнообразные нормативы, такие как Sarbanes-Oxley и PCI-DSS. Но даже тем компаниям, которым не требуется сертификация по каким-либо нормативам, все равно приходится заботиться о соответствии собственным организационным политикам. Часто с проблемой сталкиваются компании, начинающие работу над программой обеспечения соответствия требованиям. Как правило, они не знают, с чего начать работу и как автоматизировать программу с использованием различных технологий, в частности SQL Server.

Обеспечение соответствия требованиям — это последний из трех этапов процесса под названием GRC (governance, risk management, compliance — руководство, управление рисками, соответствие требованиям). Организации, начинающей разработку программы GRC, лучше обратиться за помощью к консультанту по обеспечению соответствия требованиям. В этом может оказаться полезным отчет по компаниям, предоставляющим консалтинговые услуги по GRC, подготовленный компанией Forrester, которая занимается отраслевым мониторингом GRC. В следующем разделе обсуждается понятие GRC и способы интеграции SQL Server в программу GRC.


Сущность программы GRC


Программа GRC помогает компаниям выявить риски, снизить связанные с ними угрозы и убедиться в том, что это сокращение сохранится в долгосрочной перспективе. На иллюстрации Error: Reference source not found приведены общие сведения о каждом из этих положений.

Рис. . Сущность программы GRC


Управление рисками


Управление рисками — это программа, направленная на снижение или устранение рисков. Ее выполнение начинается с выявления источников и оценки рисков в каждой из областей деятельности организации. Каждый отдел — безопасности, эксплуатации, продаж и разработок — может выполнить собственную оценку рисков. Для начала компания должна выполнить оценку своих рисков с участием аудитора соответствия требованиям. После того как все риски выявлены, им необходимо присвоить приоритеты и исходя из этого разработать план действий. В плане должен быть определен метод устранения каждого из рисков — пропустить его, снизить или устранить?

Пути решения для риска, связанного с хранением данных кредитных карт



  • Пропустить — не заниматься усилением защиты данных о кредитных картах.

  • Снизить — улучшить защиту данных о кредитных картах.

  • Устранить — не хранить данные о кредитных картах.

Рискам, которые предполагается снизить, должен быть назначен приоритет, и для снижения каждого из этих рисков должен быть разработан план. Поскольку каждый отдел выявляет свои риски и назначает им приоритеты, необходимо убедиться в том, чтобы они не противоречили рискам всей организации в целом. Приоритеты отдела не должны противоречить приоритетам компании.

Руководство

Руководство представляет действия, предпринимаемые для снижения рисков, выявленных на этапе оценки. На этом этапе применяются политики, средства управления ИТ, рекомендации системы и учебные программы, ведущие к снижению рисков. Средства снижения рисков, обсуждаемые ниже, могут использоваться в тех случаях, когда нельзя полностью избавиться от рисков или применять жесткие правила. Например, SQL Server не может запретить просматривать конфиденциальные данные пользователю sysadmin. Однако саму учетную запись sysadmin можно либо отключить, либо отслеживать любой выполняемый ею доступ, чтобы запретить несанкционированный доступ к конфиденциальным данным.

Способы применения руководства к защищаемым конфиденциальным данным


  • Создание политик, которые описывают надлежащую обработку конфиденциальных данных.

  • Обучение сотрудников правилам работы с данными.

  • Применение политик к системам, в которых хранятся конфиденциальные данные.

  • Мониторинг и ведение журнала выполнения политик при обработке конфиденциальных данных.

Соответствие требованиям


Соответствие требованиям — это проверка снижения выявленных рисков. Следующие примеры показывают, как можно проверить риски. Во-первых, для каждого ли выявленного риска имеется политика по его снижению или устранению? Во-вторых, поставлены ли соответствующие сотрудники в известность об этих политиках? В-третьих, развернуты ли эти политики на все процессы, программы и средства управления ИТ? В-четвертых, отслеживаются ли политики на соответствие требованиям и насколько быстро устраняются вновь обнаруженные дефекты защиты? Чтобы достичь истинного соответствия требованиям, каждый этап должен быть проверен аудитором. Здесь могут помочь отчеты аудита, журналы событий, видеозаписи и история версий.

Способы проверки соответствия требованиям



  • Показать, что разработаны политики для устранения выявленных рисков.

  • Показать, что эти политики развернуты в нужных местах.

  • Доказать, что политики разработаны и выполняются в течение периода их применения.

Обеспечение соответствия требованиям организации и нормативам обычно выполняется группой внутреннего аудита и профессиональным аудитором. Подготовьте системы к проверке соответствия требованиям, которую будут проводить аудиторы. Централизация систем аудита способствует повышению эффективности аудита соответствия. При этом снижается стоимость аудита и сводится к минимуму нарушение текущего обслуживания.



<< предыдущая страница   следующая страница >>