Oracle电子商务日志记录和亚美:PCI,SOX,HIPAA,27001和FISMA
继续这一博客系列Oracle电子商务日志记录和亚美,积分的日志和亚美框架是根据我们的咨询经验。我们还基于合规性和安全标准,如支付卡行业(PCI-DSS),Sarbanes-Oxley(Sox),IT安全(ISO 27001),Fisma(NIST 800-53)和HIPAA。
框架的基础是应审核的安全事件和操作集所有Oracle E-Business Suite实现。 这些安全事件和操作源自且映射回键合规性和安全标准,大多数组织必须遵守。 我们将这些安全事件和操作视为核心集,大多数组织需要扩展这些事件和操作以解决特定的合规性和安全要求,例如功能或更改管理要求。
图1 - Intactigy审核和登录Oracle E-Business套件的框架
表1显示了核心审核集,如果实施,将作为更高级的安全分析的基础。 实施这些亚美将在PCI要求10.2等大多数合规性和安全标准满足日志记录和亚美要求的情况下进行很长的路要走。 将在整个框架中引用表1中使用的编号方案。
|
表1 - 用于日志记录和安全框架的基础事件 |
|||||
|---|---|---|---|---|---|
|
安全事件 和行动 |
PCI. DSS 10.2 |
SOX(COBIT) |
HIPAA (NIST. 800-66) |
IT安全 (ISO 27001) |
佛罗斯卡 (NIST. 800-53) |
|
E1 - 登录 |
10.2.5 |
A12.3 DS5.5 DS5.6 DS9.2 |
164.312(c)(2) |
10.10.1. |
AU-2 |
|
E2 - Logoff. |
10.2.5 |
DS5.5 DS5.6 DS9.2 |
164.312(c)(2) |
10.10.1. |
AU-2 |
|
E3 - 登录不成功 |
10.2.4 |
DS5.5 DS5.6 DS9.2 |
164.312(c)(2) |
10.10.1. A.11.5.1. |
AC-7 |
|
E4 - 修改身份验证机制 |
10.2.5 |
DS5.5 DS5.6 DS9.2 |
164.312(c)(2) |
10.10.1. |
AU-2 |
|
E5 - 创建用户帐户 |
10.2.5 |
DS5.5 DS5.6 DS9.2 |
164.312(c)(2) |
10.10.1. |
AU-2 |
|
E6 - 修改用户帐户 |
10.2.5 |
DS5.5 DS5.6 DS9.2 |
164.312(c)(2) |
10.10.1. |
AU-2 |
|
E7 - 创建角色 |
10.2.5 |
DS5.5 DS5.6 DS9.2 |
164.312(c)(2) |
10.10.1. |
AU-2 |
|
E8 - 修改角色 |
10.2.5 |
DS5.5 DS5.6 DS9.2 |
164.312(c)(2) |
10.10.1. |
AU-2 |
|
E9 - 授予/撤消用户权限 |
10.2.5 |
DS5.5 DS5.6 DS9.2 |
164.312(c)(2) |
10.10.1. |
AU-2 |
|
e10 - 授予/撤消角色权限 |
10.2.5 |
DS5.5 DS5.6 DS9.2 |
164.312(c)(2) |
10.10.1. |
AU-2 |
|
E11 - 特权命令 |
10.2.2 |
DS5.5 DS5.6 DS9.2 |
164.312(c)(2) |
10.10.1. |
AU-2 |
|
E12 - 修改亚美和日志记录 |
10.2.6 |
DS5.5 DS5.6 DS9.2 |
164.312(c)(2) |
10.10.1. |
AU-2 AU-9 |
|
E13 - 对象: 创建对象 修改对象 删除对象 |
10.2.7 |
DS5.5 DS5.6 DS9.2 |
164.312(c)(2) |
10.10.1. |
AU-2 AU-14 |
|
E14 - 修改配置设置 |
10.2.2 |
DS5.5 DS5.6 DS9.2 |
164.312(c)(2) |
10.10.1. |
AU-2 |
Entifigy为Oracle E-Business Suite Logging和Auditing的框架完全记录在我们的白皮书中。 WhitePaper可用于下面参考的链接中下载。
如果您有疑问,请联系我们 [email protected]
-Michael Miller,CISSP-ISSMP
