Развертывание ASP.NET и соответствие нормативным требованиям (SOX и др.)

Question

У меня есть клиент, который довольно жестко преследуется аудиторами SOX в отношении методов развертывания наших приложений ASP.NET. Будьте внимательны, чтобы убедиться, что вы используете соответствующую безопасность и авторизацию на уровне файлов и папок. Только те немногие, кто имеет права на развертывание, могут копировать файлы на сервер продукта (обычно это делается с использованием безопасного FTP).

Однако безопасности на уровне файлов / папок и требования безопасного FTP недостаточно для счетчиков компонентов. Им нужны системные журналы того, кто, когда, что, какую версию заменил, какую версию (и почему), и вообще множество других мелочей, разработанных, чтобы не допустить офисного разнесения (счетчики бинов, очевидно, хотят, чтобы округленные центы были для них самих).

Что вы предлагаете сделать аудиторов счастливыми? Мы не возражаем потратить на это несколько долларов (на самом деле, я думаю, что мы, вероятно, потратили бы большие доллары на достаточно хорошее решение).

Answer 1

Возможно, вы захотите взглянуть на решение для автоматического развертывания, и вам понадобится формальный процесс контроля изменений. Мы используем муравейник Pro . Он может отслеживать, какая версия и когда она была развернута.

Чтобы насытить Сокс, у нас было еженедельное собрание того, что и когда развертывалось. Он должен был быть утвержден менеджером соответствия, и в каждом развертывании должна была быть заполненная форма, объясняющая, что, почему и как что-то изменилось. Как только форма была заполнена, к участию должно было быть привлечено третье лицо (не лицо, запрашивающее или одобряющее, ни один из них не может иметь доступа к производственной среде из-за правила разделения обязанностей, которому вы должны следовать), чтобы внести изменения и изменение было основано на том, что в «документе изменения» не было внешнего сообщения от лица, сделавшего запрос. После развертывания все люди должны были подписать, что это было сделано и когда.

Answer 2

Это не должно быть слишком сложно для удовлетворения требований, это может потребовать некоторых изменений в ваших процессах разработки, но это определенно возможно.

Что вам нужно:

• Система отслеживания задач, показывающая описания работ и согласований
• Возможность связывать документы, а также пакеты с этой системой.
• Тестовая система для тестирования ваших развертываний.
• Наконец, все развертывания должны выполняться с помощью установочных пакетов и других сценариев.
• Любые изменения вручную должны быть задокументированы и одобрены.

Также включите аудит, запускайте регулярные тесты безопасности и документируйте практически все.

Все это возможно с рядом систем, самое большое изменение - это изменения ваших внутренних процессов.

Answer 3

Возможно, вы захотите взглянуть на функции аудита, предоставляемые NTFS.