Законът на Съединените щати SOx (Sarbanes-Oxley) от 2002 г. разглежда широк спектър от основни принципи за информационна сигурност за търговските предприятия, като гарантира, че техните функции са вкоренени и последователно прилагани, въз основа на концепциите на ЦРУ (Поверителност , целостта и наличността).
Постигането на тези цели изисква ангажираност от много хора, всички които трябва да са наясно; техните отговорности за поддържане на сигурното състояние на активите на предприятието, разбиране на политиките, процедурите, стандартите, насоките и възможностите за загуби, свързани с техните задължения.
CIA има за цел да гарантира, че съгласуването на бизнес стратегията, целите, мисията и целите се поддържа от контроли за сигурност, одобрени с оглед на надлежната проверка на висшето ръководство и толерантност към рискове и разходи.
Клъстери от база данни PostgreSQL
Сървърът PostgreSQL има широка колекция от функции, предлагани безплатно, което го прави една от най-популярните СУБД (системи за управление на бази данни), което позволява прилагането му в широк спектър от проекти в различни социални и икономически сфери .
Основното предимство за неговото приемане е лицензът с отворен код, който премахва опасенията относно нарушаването на авторски права в организацията, вероятно причинено от ИТ администратор, неволно надвишаващ броя на разрешените лицензи.
Внедряването на информационна сигурност за PostgreSQL (от организационен контекст) няма да бъде успешно без внимателно конструирани и еднообразно прилагани политики и процедури за сигурност, които обхващат всички аспекти на планирането на непрекъснатостта на бизнеса.
BCP (планиране на непрекъснатостта на бизнеса)
Ръководството трябва да се съгласи преди стартиране на програмата BCP, за да гарантира, че разбира очакваните резултати, както и личната си отговорност (финансова и дори криминална), ако се установи, че не са използвали дължимата грижа за адекватна защита организацията и нейните ресурси.
Очакванията на висшето ръководство се съобщават чрез политики, разработени и поддържани от служители по сигурността, отговорни за установяване на процедури и придържане към стандарти, базови линии и насоки, както и за откриване на SPoF (единични точки на неуспех), които могат компрометирайте цялата система от сигурната и надеждна работа.
Класификацията на тези потенциални разрушителни събития се извършва с помощта на BIA (анализ на въздействието върху бизнеса), който е последователен подход на; идентифициране на активите и бизнес процесите, определяне на критичността на всеки от тях, оценка на MTD (максимално допустимо време на престой) въз основа на тяхната времева чувствителност за възстановяване и накрая изчисляване на целите за възстановяване; RTO (Цел за време за възстановяване) и RPO (Цел за точка на възстановяване), като се имат предвид разходите за постигане на целта спрямо ползите.
Роли и отговорности за достъп до данни
Търговските фирми обикновено наемат външни фирми, които се специализират в проверки на миналото, за да съберат повече информация за бъдещите нови служители, подпомагайки мениджъра по наемането на работа със солидни трудови досиета, валидиране на образователни степени и сертификати, криминална история и справка проверки.
Оперативните системи са остарели и лошите или записани пароли са само няколко от многото начини, по които неоторизирани лица могат да намерят уязвимости и да атакуват информационните системи на организацията чрез мрежата или социалното инженерство.
Услугите на трети страни, наети от организацията, също могат да представляват заплаха, особено ако служителите не са обучени да използват правилни процедури за сигурност. Техните взаимодействия трябва да се основават на силни основи за сигурност, за да се предотврати разкриването на информация.
Най-малкото привилегия се отнася до предоставянето на потребителите само на достъпа, от който се нуждаят, за да вършат работата си, нищо повече. Докато някои служители (въз основа на техните длъжностни функции) имат по-висок достъп до „необходимост да знаят“. Следователно техните работни станции трябва да бъдат непрекъснато наблюдавани и актуализирани със стандартите за сигурност.
Някои ресурси, които могат да помогнат
COSO (Комитет на спонсориращите организации на комисията Treadway)
Създадена през 1985 г., за да спонсорира Националната комисия на САЩ (САЩ) за измамни финансови отчети, която изследва причинно-следствените фактори, които водят до измамни финансови отчети, и изготви препоръки за; публични компании, техните одитори, SEC (Комисия по ценните книжа), други регулатори и правоприлагащи органи.
ITIL (Библиотека за инфраструктура на информационните технологии)
Създаден от Стационарната служба на британското правителство, ITIL е рамка, съставена от набор от книги, които демонстрират най-добри практики за специфични нужди за ИТ на организация, като управление на основни оперативни процеси, инциденти и наличност, както и финансови съображения.
COBIT (Контролни цели за информационни и свързани технологии)
Публикуван от ITGI (Институт за управление на ИТ), COBIT е рамка, която осигурява цялостна структура за ИТ контрол, включително проверка на ефективността, ефективността, CIA, надеждността и съответствието, в съответствие с нуждите на бизнеса. ISACA (Асоциация за одит и контрол на информационните системи) предоставя подробни инструкции относно COBIT, както и сертификати, признати в световен мащаб, като CISA (Сертифициран одитор на информационни системи).
ISO/IEC 27002:2013 (Международна организация за стандартизация/Международна електротехническа комисия)
По-рано известен като ISO/IEC 17799:2005, ISO/IEC 27002:2013 съдържа подробни инструкции за организации, обхващащи контроли за информационна сигурност, като например; политики, съответствие, контрол на достъпа, операции и сигурност на човешките ресурси (човешки ресурси), криптография, управление на инциденти, рискове, BC (непрекъснатост на бизнеса), активи и много други. Има и предварителен преглед на документа.
VERIS (Речник за записване на събития и споделяне на инциденти)
Наличен в GitHub, VERIS е проект в непрекъснато развитие, предназначен да помогне на организациите да събират полезна информация, свързана с инциденти, и да я споделят анонимно и отговорно, разширявайки VCDB (база данни на общността VERIS). Сътрудничеството на потребителите, което води до отлична справка за управление на риска, след това се превежда в годишен отчет, VDBIR (Verizon Data Breach Investigation Report).
Насоки на ОИСР (Организация за икономическо сътрудничество и развитие)
ОИСР, в сътрудничество с партньори по целия свят, насърчава RBC (отговорно бизнес поведение) за мултинационални предприятия, като гарантира поверителността на лицата във връзка с тяхната PII (лична информация) и установява принципи за това как техните данни трябва да се съхраняват и поддържат от предприятията.
Серия NIST SP 800 (Специална публикация на Националния институт по стандарти и технологии)
Американският NIST предоставя на своя CSRC (Ресурсен център за компютърна сигурност), колекция от публикации за киберсигурност, обхващащи всички видове теми, включително бази данни. Най-важният, от гледна точка на базата данни, е SP 800-53 Ревизия 4.
Заключение
Постигането на целите на SOx е ежедневна грижа за много организации, дори и тези, които не са ограничени към счетоводни дейности. Трябва да има рамки, съдържащи инструкции за оценка на риска и вътрешен контрол за специалистите по сигурността на предприятието, както и софтуер за предотвратяване на унищожаване, промяна и разкриване на чувствителни данни.
