Аудит данных, прав доступа и действий сотрудников

Аудит - это мониторинг и запись выбранных действий пользователя в базе данных. Он может основываться на отдельных действиях, таких как тип выполняемой инструкции SQL, или на комбинации факторов, которые могут включать имя пользователя, приложение, время и так далее. Политики безопасности могут инициировать аудит при обращении к указанным элементам в базе данных Oracle или их изменении, включая содержимое в указанном объекте.

Аудит обычно используется для:

• Включить будущую подотчетность за текущие действия, предпринятые в конкретной схеме, таблице или строке, или влияющие на определенный контент
• Удерживать пользователей (или других лиц) от ненадлежащих действий, основанных на этой подотчетности
• Расследовать подозрительную активность

Например, если какой-либо пользователь удаляет данные из таблиц, то администратор безопасности может решить провести аудит всех подключений к базе данных и всех успешных и неуспешных удалений строк из всех таблиц в базе данных.

• Уведомлять аудитора о том, что неавторизованный пользователь манипулирует или удаляет данные и что у пользователя больше привилегий, чем ожидалось, что может привести к переоценке пользовательских разрешений
• Мониторинг и сбор данных о конкретных действиях с базой данных

Например, администратор базы данных может собирать статистику о том, какие таблицы обновляются, сколько логических операций ввода-вывода выполняется или сколько одновременных пользователей подключается в пиковые периоды.

• Обнаружение проблем с реализацией авторизации или контроля доступа

Например, вы можете создать политики аудита, которые, как вы ожидаете, никогда не создадут запись аудита, поскольку данные защищены другими способами. Однако, если эти политики действительно генерируют записи аудита, то вы будете знать, что другие элементы управления безопасностью реализованы неправильно.

Преимущества аудита

Процесс аудита

Аудитор отвечает за оценку текущего уровня технологической зрелости компании на первом этапе аудита. Этот этап используется для оценки текущего состояния компании и помогает определить необходимое время, стоимость и объем аудита. Во-первых, вам необходимо определить минимальные требования к безопасности:

• Политика и стандарты безопасности
• Организационная и личная безопасность
• Коммуникация, эксплуатация и управление активами
• Физическая и экологическая безопасность
• Контроль доступа и соответствие
• Разработка и обслуживание ИТ-систем
• Управление инцидентами ИТ-безопасности
• Аварийное восстановление и управление непрерывностью бизнеса
• Управление рисками

Шаг 2: Планирование и подготовка

Аудитор должен планировать аудит компании на основе информации, найденной на предыдущем шаге. Планирование аудита помогает аудитору получить достаточные и надлежащие доказательства для конкретных обстоятельств каждой компании. Это помогает прогнозировать затраты на аудит на разумном уровне, распределять надлежащую рабочую силу и сроки и избегать недоразумений с клиентами.^[3]

Аудитор должен быть надлежащим образом осведомлен о компании и ее важнейших видах деятельности, прежде чем проводить проверку центра обработки данных. Целью центра обработки данных является приведение деятельности центра обработки данных в соответствие с целями бизнеса при сохранении безопасности и целостности критически важной информации и процессов. Чтобы адекватно определить, достигается ли цель клиента, аудитор должен выполнить следующее перед проведением проверки:

• Встретьтесь с ИТ-руководством, чтобы определить возможные проблемные области
• Просмотрите текущую организационную схему ИТ
• Просмотрите должностные инструкции сотрудников центра обработки данных
• Исследуйте все операционные системы, программные приложения и оборудование центра обработки данных, работающее в центре обработки данных
• Ознакомьтесь с ИТ-политиками и процедурами компании
• Оценка ИТ-бюджета компании и документации по системному планированию
• Ознакомьтесь с планом аварийного восстановления центра обработки данных

Шаг 3: Определение целей аудита

На следующем этапе аудитор излагает цели аудита, после чего проводится проверка корпоративного центра обработки данных. Аудиторы рассматривают множество факторов, относящихся к процедурам и деятельности центра обработки данных, которые потенциально выявляют аудиторские риски в операционной среде, и оценивают существующие средства контроля, снижающие эти риски. После тщательного тестирования и анализа аудитор способен адекватно определить, поддерживает ли центр обработки данных надлежащий контроль и работает ли он эффективно.

Ниже приведен список целей, которые аудитор должен рассмотреть:

• Процедуры и обязанности персонала, включая системы и межфункциональное обучение
• Процессы управления изменениями внедрены и за ними следит ИТ-персонал и управленческий персонал
• Для минимизации времени простоя и предотвращения потери важных данных применяются соответствующие процедуры резервного копирования
• Центр обработки данных имеет адекватные средства контроля физической безопасности для предотвращения несанкционированного доступа к центру обработки данных
• Для обеспечения защиты оборудования от пожара и затопления применяются надлежащие меры экологического контроля

Шаг 4: Выполнение проверки

Следующим шагом является сбор доказательств для достижения целей аудита центра обработки данных. Это включает в себя поездку в центр обработки данных и наблюдение за процессами внутри центра обработки данных. Для достижения заранее определенных целей аудита должны быть проведены следующие процедуры проверки:

• Персонал центра обработки данных – Весь персонал центра обработки данных должен быть авторизован для доступа к центру обработки данных (карточки-ключи, идентификационные данные для входа, безопасные пароли и т.д.). Сотрудники центра обработки данных должным образом осведомлены об оборудовании центра обработки данных и должным образом выполняют свою работу. При выполнении работ с оборудованием центра обработки данных обслуживающий персонал поставщика находится под наблюдением. Аудитор должен наблюдать и опрашивать сотрудников центра обработки данных, чтобы соответствовать их целям.
• Оборудование – Аудитор должен убедиться, что все оборудование центра обработки данных работает должным образом и эффективно. Отчеты об использовании оборудования, проверка оборудования на предмет повреждений и функциональности, записи о простоях системы и измерения производительности оборудования - все это помогает аудитору определить состояние оборудования центра обработки данных. Кроме того, аудитор должен опросить сотрудников, чтобы определить, действуют ли политики профилактического обслуживания.
• Политики и процедуры – Все политики и процедуры центра обработки данных должны быть задокументированы и находиться в центре обработки данных. Важные документированные процедуры включают должностные обязанности персонала центра обработки данных, политики резервного копирования, политики безопасности, политики увольнения сотрудников, системные операционные процедуры и обзор операционных систем.
• Физическая безопасность / контроль окружающей среды – Аудитор должен оценить безопасность центра обработки данных клиента. Физическая безопасность включает телохранителей, запертые клетки, ловушки для людей, отдельные входы, закрепленное оборудование и компьютерные системы мониторинга. Кроме того, должны быть предусмотрены меры контроля окружающей среды для обеспечения безопасности оборудования центра обработки данных. К ним относятся кондиционеры, фальшполы, увлажнители воздуха и источник бесперебойного питания.
• Процедуры резервного копирования – Аудитор должен убедиться, что у клиента есть процедуры резервного копирования на случай сбоя системы. Клиенты могут поддерживать резервный центр обработки данных в отдельном месте, что позволяет им мгновенно продолжить операции в случае сбоя системы

Шаг 5: Подготовка отчета по аудиту

После завершения аудиторской проверки результаты аудита и предложения по корректирующим действиям могут быть доведены до сведения ответственных заинтересованных сторон на официальном собрании. Это обеспечивает лучшее понимание и поддержку рекомендаций аудита. Это также дает проверяемой организации возможность высказать свое мнение по поднятым вопросам.

Составление отчета после такой встречи и описание того, где были достигнуты соглашения по всем вопросам аудита, может значительно повысить эффективность аудита. Выездные конференции также помогают доработать рекомендации, которые являются практичными и осуществимыми^.

Шаг 6: Подготовка отчета о проверке

Отчет о проверке центра обработки данных должен обобщать выводы аудитора и быть похож по формату на стандартный отчет о проверке. Отчет о проверке должен быть датирован датой завершения аудиторского запроса и процедур. В нем должно быть указано, что повлекла за собой проверка, и объяснено, что проверка предоставляет третьим сторонам лишь "ограниченную уверенность".

Как правило, отчет о проверке центра обработки данных объединяет весь аудит. Он также предлагает рекомендации, касающиеся надлежащего внедрения физических мер безопасности, и консультирует клиента по соответствующим ролям и обязанностям его персонала. Его содержание может включать:

• Процедуры и выводы аудиторов
• Рекомендации аудиторов
• Цель, объем и методологии
• Обзор /выводы

Отчет может по желанию включать ранжирование уязвимостей системы безопасности, выявленных в ходе выполнения аудита, и срочность задач, необходимых для их устранения. Такие рейтинги, как “высокий”, “низкий" и “средний", могут использоваться для описания срочности задач.