Exigences politiques de Sarbanes-Oxley (SOX)
J'espère que cette question sera appropriée pour ce site. Les personnes Serverfault ne pensaient pas qu'elle s'appliquait aux administrateurs système. Je pense certainement que cela peut être répondu à une perspective de sécurité, si rien d'autre.
Depuis le passage de Sarbanes-Oxley (SOX), les services informatiques des États-Unis ont utilisé "la conformité de SOX" comme une raison extrêmement large de la mise en œuvre de toutes sortes de politiques.
Comme je le comprends, le truc est, comme je le comprends, il n'y en a pas une seule mention dans la loi SOX.
J'ai eu des départements informatiques me disent qu'ils ne sont pas incapables d'expédier un ordinateur portable de remplacement à mon adresse à domicile, car il n'est pas autorisé par SOX. On m'a dit que je ne peux pas avoir accès root sur un serveur UNIX à cause de SOX. On m'a dit qu'une entreprise était incapable d'utiliser Git ou MySQL à cause de SOX et devait utiliser ClearCase et Oracle.
Quelqu'un a-t-il vécu cela? Plus important encore, quelqu'un a-t-il des informations définitives sur les restrictions que SOX imposerait? Je sais que cela nécessite des rapports financiers véridiques, précis et rapides par des dirigeants d'entreprise, mais au-delà des contrôles étroits des systèmes financiers, je ne vois pas pourquoi il devrait s'appliquer aux serveurs généraux, aux référentiels de code ou aux ordinateurs portables.
Quelles sont les politiques SOX raisonnables?
Toute pensée appréciée.
Voir Le (j-) SOX interdit l'utilisation de logiciels open source? . Extrait de ma réponse là-bas:
Le fait est que je lance des exigences extrêmement inutiles sur vous-même et de prétendre que les réglementations ne vous gagnent pas de points brownie, cela vous coûte plus cher.
La surestimation des limites de SOX est courante et incorrecte . Maintenant, il peut être en quelque sorte le cas que votre code est matériel dans les états financiers annuels de la société et qu'ils ne veulent pas ajouter un autre système au domaine de l'audit, mais ce n'est probablement pas le cas.
SOX signifie que la racine de la machine qui abrite les entreprises financières de la société est étroitement gardée, mais elle n'a généralement aucun lien avec la plupart des postes de travail des gens. La raison pour laquelle il y a tellement de folie entourant Sox est parce que la loi n'élimine pas. La SEC fournit des "conseils", mais l'interprétation a été assez dispersée.
SEC Guidage de 2007 est un bon pointeur et rappelle que si ce dont vous parlez ne concerne pas les contrôles internes sur les rapports financiers, il n'est pas pertinent pour SOX. Ainsi, la modification des mots de passe tous les 90 jours peut tomber sous SOX (par exemple, les comptables authentifient au système de grand livre à l'aide de comptes de domaine), mais expédiez un ordinateur portable de remplacement à la maison par opposition à vous être entré et enlevez-le de votre bureau Peu importe .
En outre, la SEC encourage les entreprises à examiner les contrôles en fonction des risques
Les orientations d'interprétation réitèrent la position de la Commission selon laquelle la direction devrait apporter sa propre expérience et un jugement éclairé pour supporter afin de concevoir un processus d'évaluation répondant aux besoins de sa société et qui fournit une base raisonnable pour son évaluation annuelle de savoir si la CIPR est efficace. Cela permet une flexibilité suffisante et appropriée pour concevoir un tel processus d'évaluation. Les petites entreprises publiques, qui ont généralement des systèmes de contrôle interne moins complexes que des entreprises publiques plus grandes, peuvent utiliser ces conseils pour faire échelle et adapter leurs méthodes d'évaluation et leurs procédures pour adapter leurs propres faits et circonstances. Nous encourageons les petites entreprises publiques à tirer parti de la flexibilité et de l'évolutivité pour mener une évaluation de la CIFR à la fois efficace et efficiente pour identifier les faiblesses matérielles.
Pensez donc à l'impact que votre demande pourrait avoir sur l'information financière de la société. Pas la croissance financière, le profit ou toute autre chose - juste le rapport. Si ce n'est pas lié (un test facile est "ne traite-t-il jamais de dollars et de cents?"), Alors quelqu'un dirige quelqu'un d'autre égaré. Peut-être que vous pouvez le signaler cela, ou peut-être Quelqu'un est couché parce qu'il leur permet de vous dire que vous voulez dire qu'ils veulent dire et qu'il ne peut rien faire à ce sujet.
Le message principal à l'article 404 de la loi Sarbanes-Oxley est:
Les émetteurs sont tenus de publier des informations dans leurs rapports annuels concernant la portée et l'adéquation de la structure de contrôle interne et des procédures de rapport financier. Cette déclaration évalue également l'efficacité de ces contrôles et procédures internes.
Dans le même rapport, le cabinet de comptabilité enregistré atteste de l'évaluation sur l'efficacité de la structure de contrôle interne et des procédures de rapport financier.
En tant que toutes les sociétés inscrites SEC (et presque toutes les entreprises dans le monde) en s'appuyant sur leurs services financiers, vous pouvez voir pourquoi les serveurs, les réseaux et il est essentiel.
Vous êtes correct dans cette interprétation de certaines exigences SOX peut être variable, mais certaines contrôles, telles que permettant uniquement à l'accès privilégié aux systèmes (accès root) à ces administrateurs qui le nécessitent, ont un sens dans de nombreux environnements.
Les sociétés à problèmes sont que l'exigence provient du régulateur qui peut empêcher efficacement la négociation de la société si les exigences ne sont pas respectées, à moins que la société ait une équipe expérimentée avec suffisamment de temps/ressource pour aller en profondeur sur les exigences peut simplement placer des règles de couverture juste au cas où .
J'espère que cette question sera appropriée pour ce site. Les personnes Serverfault ne pensaient pas qu'elle s'appliquait aux administrateurs système. Je pense certainement que cela peut être répondu à une perspective de sécurité, si rien d'autre.
Depuis le passage de Sarbanes-Oxley (SOX), les services informatiques des États-Unis ont utilisé "la conformité de SOX" comme une raison extrêmement large de la mise en œuvre de toutes sortes de politiques.
Comme je le comprends, le truc est, comme je le comprends, il n'y en a pas une seule mention dans la loi SOX.
Spécifiquement pour résoudre vos points:
- Aucun envoi d'un ordinateur portable de remplacement à votre adresse personnelle - Cela aide à éviter le vol en transit, l'expédition à la mauvaise adresse ou la mauvaise fraude (de votre part indiquant que vous ne l'avez jamais reçu, etc.)
- Accès racine sur un serveur UNIX - une forte ségrégation des tâches protège les entreprises de fraude
- Le problème GIT/MYSQL Je ne peux pas vraiment épingler sur une exigence SOX. Il semble plus probable que la politique sur les applications dans cette société nécessitait un certain niveau de soutien.
Les politiques typiques de Fortune 100 entreprises qui couvrent SOX sont beaucoup plus longues que nous pourrions ajouter ici. J'ai aidé les organisations avec plus de 80 politiques, chacune ayant plus de 20 pages ayant des éléments de contrôles liés au SOX. Vous pouvez obtenir des génériques d'un certain nombre de places en ligne, mais pour obtenir de la valeur à partir d'eux, vous devez les adapter aux besoins spécifiques de votre entreprise.