Hallo,

vielleicht noch ein paar Anmerkungen:

- Journalisierung aller Dateien sollte (bei dem EDV Budget einer Bank) kein Problem sein - rein technisch ist das keins.

- read Trigger könnten da schon eher Kapazitäten sprengen, da wäre ich vorsichtig

- ein alternativer Ansatz kann noch 4 Augen Prinzip nach Art des Tresorraumes sein, für den man zwei Schlüssel braucht. Technisch geht das kurz skizziert wie folgt:
Auditing für QSECOFR einschalten, damit protokolliert wird, wenn der Mechanismus deaktiviert wird.
Alle nicht interaktiven Schnittstellen über Exit Schnittstellen für QSECOFR zunageln.
Für die interaktive Anmeldung ein Startprogramm festlegen, dass als erstes mit einem Kennwort eines Revisors freigeschltet werden muss (da gibt es APIs für), selbiger muss dann ein entsprechendes Aktivitätsprotokoll mit dem ausführenden gemeinsam abzeichnen.

Voraussetzung ist dann weiterhin, dass die Applikation entsprechende Protokollmechanismen etc. hat, alle Zugriffsschutz Mechanismen korrekt implemetiert sind (keineswegs trivial), die Maschine und das Netz entsprechend physikalisch sicher sind.

mfg

Dieter Bender

Zitat Zitat von Starocotes
Und wenn es diese Aufzeichnungen nicht gibt weis niemand das was geändert wurde. Theoretisch kann ich doch kurz bevor eine Zahlung an die Bank geht über einen SQL Befehl mal kurz die Kontonnummer austauschen und das nachher wieder rückgängig machen, aufschreiben tue ich das natürlich nicht.


Das dem Theoretisch so ist ist klar, nur wie kann ich das sicher stellen oder im Nachhinein kontrollieren und das ist da wo SOX eigentlich ansetzt.
Es muss Kontrollen geben die sicher stellen das kein Unfug getrieben wird oder das Unfug aufgedeckt werden kann. Bei SOX gibt es zwei wichtige Prinzipien, zum Einen Teilung der Zuständigkeiten (segregation of Dutys) und zum anderen das vier Augen Prinzip.

Wir sind da mitten drin viele Dinge umzusetzen und lassen uns von externen Partnern beraten aber letztendlich ist es der Prüfer auf den es ankommt und hier liegt die Crux bei der Sache. Wenn der Prüfer ein Hardliner ist oder Angst hat dann verlangt er Kontrollen auf Alles und das kann keiner Bezahlen. Wenn er aber etwas lockerer ist sieht er das man sich Mühe gibt bestimmte Dinge zu kontrollieren und gibt sich damit zufrieden. Man weis aber vorher nicht wie der Prüfer das sieht. Nicht umsonst sind schon einige Unternehmen in den USA an SOX gescheitert.

Ich jedenfalls kann es mir nicht so einfach machen das abzuwälzen da ich ja dafür verantwortlich bin und auch wenn ein Externer das letztendlich machen soll muss ich das immer noch Koordinieren.