Sarbanes Oxley cho Kỹ sư / Kiến trúc sư Mạng


7

Tổ chức của chúng tôi gần đây đã tái cấu trúc CNTT và đã tách các kỹ sư mạng thành các vai trò mới như kiến ​​trúc sư, kỹ sư triển khai và kỹ sư hỗ trợ vận hành.

Có những lo ngại xung quanh việc tuân thủ SOX và làm thế nào / liệu chúng tôi sẽ thực hiện các biện pháp kiểm soát phù hợp để hạn chế quyền truy cập vào môi trường sản xuất cho nhân viên cấp kiến ​​trúc sư vì vai trò chính của họ là chiến lược và lập kế hoạch. Tôi hiểu rằng các điều khiển SOX để phân tách nhiệm vụ cụ thể hơn đối với dữ liệu tài chính hoặc kế toán - và truy cập (ví dụ) một cơ sở dữ liệu sản xuất cho nhân viên chỉ dev / QA.

Yêu cầu SOX để truy cập vào thiết bị định tuyến / chuyển mạch / vận chuyển là gì? Trường hợp phân chia nhiệm vụ áp dụng cho các kỹ sư mạng?


1
Tôi nghĩ phần lớn điều này phụ thuộc vào công ty của bạn và những gì các kỹ sư mạng cụ thể chịu trách nhiệm. Đây Viện SANS SOX Tuân Tổng quan dường như có liên quan và có thể giúp đỡ. Nếu bạn tự mình khám phá câu trả lời, vui lòng thêm độ phân giải của câu hỏi của bạn dưới dạng câu trả lời bên dưới.
Mike Pennington

Tôi tò mò ... bạn có tìm thấy gì để trả lời câu hỏi của mình không?
Mike Pennington

Có câu trả lời nào giúp bạn không? nếu vậy, bạn nên chấp nhận câu trả lời để câu hỏi không xuất hiện mãi mãi, tìm kiếm câu trả lời. Ngoài ra, bạn có thể cung cấp và chấp nhận câu trả lời của riêng bạn.
Ron Maupin

Câu trả lời:


4

Sau khi trải qua quá trình này cho một vài khách hàng, tôi thường bắt đầu với việc đảm bảo rằng bạn đã thực hiện ít nhất các điều khiển sau - lưu ý rằng không có điều nào trong số này là cụ thể đối với SOX, vì tuyến đường / chuyển đổi / vận chuyển thường không chơi một vai trò trong báo cáo tài chính ngoài quan điểm sẵn có thuần túy:

  • Tất cả các thay đổi đối với mạng được thực hiện bởi các cá nhân được ủy quyền (ví dụ: tài khoản được hỗ trợ RADIUS / TACACS cho bất kỳ quyền truy cập siêu người dùng nào)
  • Tất cả các thay đổi đối với mạng được xem xét bởi các cá nhân được ủy quyền (ví dụ: có một số phương pháp quản lý thay đổi được chính thức hóa, bao gồm cả một bản kiểm toán dưới dạng vé trợ giúp, biểu mẫu thay đổi, v.v.)
  • Một dấu vết kiểm toán tồn tại để cung cấp quyền truy cập siêu người dùng và mọi thay đổi đối với nó (ví dụ: đăng nhập vào máy chủ thư mục bạn chọn hiển thị phân công người dùng / vai trò và người thực hiện nó)
  • Một dấu vết kiểm toán tồn tại cho bất kỳ thay đổi nào được thực hiện và ai đã thực hiện chúng (ví dụ: kiểm soát phiên bản cấu hình mạng, ghi nhật ký nhật ký hệ thống và các lệnh tương tác)

Để trả lời câu hỏi của bạn về tài nguyên Kiến trúc sư của bạn có quyền truy cập vào mạng sản xuất, tôi sẽ không thấy điều này bị quy định bởi các yêu cầu SOX.

Mặt khác, từ quan điểm bảo mật, Nguyên tắc tối thiểu đặc quyền có thể sẽ được áp dụng và do đó, một tài khoản chỉ đọc có thể phù hợp hơn.


Bạn có biết về bất kỳ hướng dẫn kỹ thuật nào trên các mạng kiểu Sarbanes Oxley không?
Ryan Foley

Không có gì. Xuất phát từ quan điểm mạng thuần túy, Đạo luật không thực sự đề cập đến bất cứ điều gì bên ngoài như các biện pháp kiểm soát và thậm chí những điều đó chủ yếu dành cho các ứng dụng xử lý báo cáo tài chính. (Ứng dụng) Bảo mật rõ ràng đóng một vai trò quan trọng trong việc đảm bảo rằng kết quả là chính xác / không bị giả mạo, nhưng về mặt chuyển đổi / tuyến đường thẳng, tôi không thấy kết nối. Như thường lệ, IANAL / YMMV
Benjamin Dale
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.