Лента
Форум
Файлы
О стандартах PCI
О проекте
Форумы|Пользователи|Поиск|Войти|Регистрация
Ответить
Подписаться   Версия для печати
Выполнение требований PCI DSS: Требование 10.2.Х и 10.5.3 применительно к журналам БД
Полынцев Сергей Геннадьевич

На форуме с:
01.12.2009
01.12.2009|14:13 Личное сообщение Инфо Ответить
Уважаемые господа прошу поделиться опытом или соображениями по реализации требований
10.2.1 и 10.5.3 применительно к БД. Суть следующая.
Есть требования 10.2.Х. обеспечения аудита по сыбытиям доступа к данным
держателей карт.
Приложение которое обеспечивает доступ пользователей к данным платежных карт обращается к БД ORACLE, логично, что приложения используют возможности ORACLE для аудита. Таким образом получается, что информация
по событиям доступа к данным карт, которые фиксируюися средсвами ORACLE
доступна через модуль аудит приложения. Таким обоазом требования 10.2.х выполняются.
Одновременно требование 10.5.3 требует сохранения
журналов аудита на централизованный сервер. Если выполнять это требование,
то один из вариантов, который возможен это хранение журнала аудита
ORACLE не в базе данных, а в системном файле операционной системы
(настраивается в ORACLE установкой параметра audit_trail=os), и
последующее сохранение его на сервер. Но при таком решении теряется
возможность оперативного просмотра этого журнала средствами аудита
приложения, и возможны проблемы с производительностью
системы.
Известны ли Вам каие-то способы периодического экспорта
журналов аудита из бд ORACLE, чтобы с одной стороны обеспечить
оперативный доступ к данной информации, а с другой обеспечить их
сохранение на централизованном сервере согласно требованию 10.5.3.
Буду признателен за любую информацию по данному вопросу.
Гольдштейн Анна, QSA
Информзащита

Гольдштейн Анна, QSA
На форуме с:
07.07.2009
09.12.2009|22:55 Личное сообщение Инфо Ответить
Добрый день.
Вообще, для выполнения 10.5.3 минимально достаточно на периодической основе экспортировать данные из системных таблиц, содержащих журналы аудита (SYS.AUD$ and SYS.FGA_LOG$), в файловую систему, и переносить их на носители или ресурс, не контролируемый администратором СУБД.
Если хотите именно в автоматическом режиме копировать на централизованный ресурс зарегистрированные oracle события, то подойдет oracle audit vault, а также любое решение из категории систем управления событиями информационной безопасности (SIMS-security information management system, EMS-event management system), поддерживающее в качестве источника событий журналы СУБД Oracle.
Ответить
Подписаться   Версия для печати
Сейчас на форуме человек: 1 (пользователей: 0, гостей: 1) | Форумов: 7, Тем: 34, Сообщений: 129, Участников: 125 | Рекорд посещаемости на 18.02.2010: всего человек: 547 (пользователей: 0, гостей: 547)