Generelle betragtninger
Sæt sikkerheden nedefra og op.
Det vil sige, at jeg tilstræber kun at give de nødvendige adgange og rettigheder.
Adgang gives til AD grupper, og rettigheder implementeres i database roller.
Hvis der er modsætninger i to roller, som egentlig skal bruges af samme database rolle, bør der oprettes en seperat database rolle i stedes for at benytte DENY.
Undgå at database rolle er medlem af en anden database rolle. Opret i stedet flere database roller.
Det kan umiddelbart se ud som om den administrative opgave bliver voldsom, men der er stadig en chance for at beholde et minimum at overblik og gennemskuelighed.
Der er forskellige måder at få adgang til en SQL Server instans.
Rettigheder kan gives på flere niveauer og struktureres på forskellige måder.
Politik
Organisationens SQL Server sikkerhedspolitik skal formelt være i overensstemmelse med øvrige gældende sikkerhedspolitikker, for eksempel den formelle ved lovgivning og bekendtgørelser samt de interne for hele organisationen.
Sikkerhedspolitikken er grundlaget for tildiling af adgange og rettigheder i praksis, så den skal være på plads og opdateret!
Chinese Walls
En „Kinesisk Mur“ er en adskillelse af to eller flere grupper. Adskillelsen kan være fysisk eller med politikker.
Begrebet er meget anvendt i større og specielt financielle organisationer.
Hvis du skal administrerer en database til et system, der skal benyttes af flere grupper, skal du være opmærksom på hvordan adskillelsen af disse grupper er foretaget, og vurderer hvor effektiv adskillelsen reelt er!
Der findes uddybende beskrivelser på internettet, for eksempel Wikipedia.
Referencer
Find ud af efter hvilke retningslinjer, der bliver revideret efter i din organisation.
På Datatilsynets hjemmeside (www.datatilsynet.dk) er der meget interessant materiale, som du bør betragte som obligatorisk viden.
Specielt skal du kende Persondataloven og Bogføringsloven. Begge er der pjecer til på Datatilsyents hjemmeside, men jeg kan kun anbefale, at du læser selve lovteksten. Teksten er ikke lang, så opgaven er overskuelig.
Dansk Standard (DS – www.DS.dk) har lavet en stribe standarder for informationssikkerhed.
Mest interessant er DS 484 „Standard for informationssikkerhed“, som godt nok koster penge, men som du alligevel bør indkøbe til den organisation, som du arbejder for.
Når du alligevel har gang i indkøb fra DS, kan du overveje DS/ISO/IEC 17799 „Regelsæt for styring af informationssikkerhed“.
Fra International Organization for Standadization (ISO – www.ISO.org) er der udgivet en samling standarder for Information Security Management System (ISMS).
Igen skal der betales for materialerne, men hvis emnet er superhot i organisationen, kan du overveje en egentlig certificering.
En financiel organisation i Europe skal tage hensyn til Basel I og Basel II.
Se på Wikipedia, der også har gode links til diskussioner og kildemateriale.
I Danmark har vi Finanstilsynet (www.Finanstilsynet.dk), som eksempel på hvad der internationalt kaldes Financial Services Authority (FSA).
Den britiske FSA (www.FSA.gov.uk) har stor indflydelse, og også lidt strengere regler på nogle områder.
Hvis organisationen opererer på det amerikanske (US) marked, skal du kaste et blik på Sarbanes-Oxley Act (SOX).
Start eventuelt med Wikipedia, hvor der også er en samling links til fortolkninger og det originale materiale.
C2 sikkerhed er en standard fra det amerikanske forsvaresministerium (DoD — U.S. Department of Defence), med det oficielle navn „Trusted Computer System Evaluation Criteria“ (DoD 5200.28).
Mere konkret for den vakse database administrator er „Database Security Technical Implementation Guide“ (STIG), som er fremstillet af Defence Informaion Systems Agency (DISA) for det amerikanske forsvarsministrerium ( Department of Defence — DoD).
Dokumentet beskriver generel database sikkerhed for databasesystemer til flere samtidige brugere.
Brug din foretrukne internet søgemaskine til at finde seneste version.