Oracle电子商务日志亚美和审计:PCI,SOX,HIPAA,27001和FISMA
整合学的日志和审计框架是基于Oracle电子商务日志亚美和审计的博客系列的后续内容,它基于我们的咨询经验。我们还基于诸如支付卡行业(PCI-DSS),萨班斯-奥克斯利法案(SOX),IT安全(ISO 27001),FISMA(NIST 800-53)和HIPAA等合规性和安全性标准。
该框架的基础是一组安全事件和操作,应在所有Oracle电子商务套件实现中对其进行审核和亚美。 这些安全事件和操作源自大多数组织必须遵守的关键合规性和安全性标准,并将它们映射回去。 我们将这些安全事件和操作视为核心,大多数组织将需要扩展这些事件和操作以解决特定的合规性和安全要求,例如功能或变更管理要求。
图1-Oracle电子商务套件中Integrigy的审计和日志亚美框架
表1列出了一系列核心审计,如果实施,它们将作为更高级安全分析的基础。 实施这些审核对于满足大多数合规性和安全性标准(例如PCI要求10.2)的日志亚美和审核要求将有很长的路要走。 表1中使用的编号方案将在整个框架中引用。
|
表1 –日志亚美和安全框架的基础事件 |
|||||
|---|---|---|---|---|---|
|
安全事件 和动作 |
PCI接口 DSS 10.2 |
SOX(COBIT) |
HIPAA (NIST 800-66) |
IT安全 (ISO 27001) |
FISMA (NIST 800-53) |
|
E1-登录 |
10.2.5 |
A12.3 DS5.5 DS5.6 DS9.2 |
164.312(c)(2) |
一个10.10.1 |
AU-2 |
|
E2-注销 |
10.2.5 |
DS5.5 DS5.6 DS9.2 |
164.312(c)(2) |
一个10.10.1 |
AU-2 |
|
E3-登录失败 |
10.2.4 |
DS5.5 DS5.6 DS9.2 |
164.312(c)(2) |
一个10.10.1 A.11.5.1 |
AC-7 |
|
E4-修改身份验证机制 |
10.2.5 |
DS5.5 DS5.6 DS9.2 |
164.312(c)(2) |
一个10.10.1 |
AU-2 |
|
E5 –创建用户帐户 |
10.2.5 |
DS5.5 DS5.6 DS9.2 |
164.312(c)(2) |
一个10.10.1 |
AU-2 |
|
E6-修改用户帐户 |
10.2.5 |
DS5.5 DS5.6 DS9.2 |
164.312(c)(2) |
一个10.10.1 |
AU-2 |
|
E7-建立角色 |
10.2.5 |
DS5.5 DS5.6 DS9.2 |
164.312(c)(2) |
一个10.10.1 |
AU-2 |
|
E8-修改角色 |
10.2.5 |
DS5.5 DS5.6 DS9.2 |
164.312(c)(2) |
一个10.10.1 |
AU-2 |
|
E9-授予/撤消用户权限 |
10.2.5 |
DS5.5 DS5.6 DS9.2 |
164.312(c)(2) |
一个10.10.1 |
AU-2 |
|
E10-授予/撤消角色特权 |
10.2.5 |
DS5.5 DS5.6 DS9.2 |
164.312(c)(2) |
一个10.10.1 |
AU-2 |
|
E11-特权命令 |
10.2.2 |
DS5.5 DS5.6 DS9.2 |
164.312(c)(2) |
一个10.10.1 |
AU-2 |
|
E12-修改审核和日志亚美 |
10.2.6 |
DS5.5 DS5.6 DS9.2 |
164.312(c)(2) |
一个10.10.1 |
AU-2 AU-9 |
|
E13-物件: 建立物件 修改物件 删除物件 |
10.2.7 |
DS5.5 DS5.6 DS9.2 |
164.312(c)(2) |
一个10.10.1 |
AU-2 AU-14 |
|
E14-修改配置设置 |
10.2.2 |
DS5.5 DS5.6 DS9.2 |
164.312(c)(2) |
一个10.10.1 |
AU-2 |
我们的白皮书中完整亚美了Integrigy的Oracle电子商务套件日志和审计框架。白皮书可在下面引用的链接中下载。
如有疑问,请通过以下方式与我们联系 [email protected]
-Michael Miller,CISSP-ISSMP
