Sarbanes Oxley für Netzwerkingenieure / Architekten


7

Unsere Organisation hat kürzlich die IT umstrukturiert und Netzwerktechniker in neue Rollen wie Architekt, Implementierungsingenieur und Betriebsunterstützungsingenieur unterteilt.

Es gibt Bedenken hinsichtlich der SOX-Konformität und wie / ob wir geeignete Kontrollen implementieren würden, um den Zugriff auf das Produktionsumfeld für Mitarbeiter auf Architektenebene zu beschränken, da deren Hauptaufgabe Strategie und Planung sind. Meines Wissens nach sind SOX-Kontrollen für die Aufgabentrennung spezifischer für Finanz- oder Buchhaltungsdaten - und der Zugriff auf (zum Beispiel) eine Produktionsdatenbank nur für Entwickler / QS-Mitarbeiter.

Was sind SOX-Anforderungen für den Zugang zu Routen- / Weichen- / Transportgeräten? Wo würde eine Aufgabentrennung für Netzwerktechniker gelten?


1
Ich denke, viel davon hängt von Ihrem Unternehmen ab und davon, wofür speziell Netzwerktechniker verantwortlich sind. Diese Übersicht über die SOX-Konformität des SANS Institute scheint relevant zu sein und kann hilfreich sein. Wenn Sie die Antwort selbst finden, fügen Sie bitte die Auflösung Ihrer Frage als Antwort unten hinzu.
Mike Pennington

Ich bin neugierig ... haben Sie etwas gefunden, um Ihre Frage zu beantworten?
Mike Pennington

Hat dir eine Antwort geholfen? Wenn ja, sollten Sie die Antwort akzeptieren, damit die Frage nicht für immer auftaucht und nach einer Antwort sucht. Alternativ können Sie Ihre eigene Antwort bereitstellen und akzeptieren.
Ron Maupin

Antworten:


4

Nachdem ich diesen Prozess für einige Clients durchlaufen habe, würde ich im Allgemeinen zunächst sicherstellen, dass Sie mindestens die folgenden Steuerelemente implementiert haben. Beachten Sie, dass keines davon für SOX spezifisch ist, da Route / Switch / Transport im Allgemeinen nicht abgespielt wird eine Rolle in der Finanzberichterstattung neben einem reinen Verfügbarkeitsstandpunkt:

  • Alle Änderungen am Netzwerk werden von autorisierten Personen durchgeführt (z. B. von RADIUS / TACACS unterstützte Konten für jeden Superuser-Zugriff).
  • Alle Änderungen am Netzwerk werden von autorisierten Personen überprüft (z. B. gibt es eine formalisierte Methode für das Änderungsmanagement, einschließlich eines Prüfpfads in Form von Helpdesk-Tickets, Änderungsformularen usw.).
  • Es gibt einen Prüfpfad für die Bereitstellung des Superuserzugriffs und für Änderungen daran (z. B. Anmeldung an einem Verzeichnisserver Ihrer Wahl, der die Benutzer- / Rollenzuweisung anzeigt und wer ihn ausgeführt hat).
  • Es gibt einen Prüfpfad für alle Änderungen, die vorgenommen wurden und wer sie vorgenommen hat (z. B. Versionskontrolle von Netzwerkkonfigurationen, Syslog-Aufzeichnung von Anmeldungen und interaktive Befehle).

Um Ihre Frage zu beantworten, ob Ihre Architect-Ressource Zugriff auf das Produktionsnetzwerk hat, würde ich dies nicht als von den SOX-Anforderungen diktiert ansehen.

Andererseits würde unter Sicherheitsgesichtspunkten wahrscheinlich das Prinzip der geringsten Berechtigung gelten, und daher ist ein schreibgeschütztes Konto möglicherweise angemessener.


Kennen Sie technische Anleitungen zu Netzwerken im Sarbanes Oxley-Stil?
Ryan Foley

Überhaupt keine. Unter dem Gesichtspunkt der reinen Vernetzung erwähnt das Gesetz nichts anderes als die oben genannten als Kontrollen, und selbst diese sind hauptsächlich für Anwendungen bestimmt, die die Finanzberichterstattung abwickeln. (Anwendung) Sicherheit spielt offensichtlich eine wichtige Rolle bei der Sicherstellung, dass die Ergebnisse korrekt sind / nicht manipuliert werden, aber in Bezug auf den direkten Wechsel / die Route sehe ich den Zusammenhang nicht. Wie üblich, IANAL / YMMV
Benjamin Dale
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.