ASP.NET-Bereitstellung und Einhaltung gesetzlicher Vorschriften (SOX, et al)

Question

Ich habe einen Kunden, der von SOX-Auditoren in Bezug auf die Bereitstellungspraktiken unserer ASP.NET-Anwendungen ziemlich hart verfolgt wird. Es wird darauf geachtet, dass die Sicherheit und Autorisierung auf Datei- und Ordnerebene angemessen ist. Nur die wenigen mit den Bereitstellungsberechtigungen können eine Kopie auf den Produktserver kopieren (normalerweise über sicheres FTP).

Die Sicherheit auf Datei-/Ordnerebene und die Anforderung von sicherem FTP reichen jedoch nicht für die Bean-Zähler aus. Sie wollen Systemprotokolle darüber, wer wann was eingesetzt hat, welche Version welche Version (und warum) ersetzt hat, und generell viele andere Details, die das Geschäft davon abhalten sollen, Office Spaced zu sein (die Bean Counters wollen die runden Cents ganz für sich).

Was sind Ihre Vorschläge, um die Auditoren glücklich zu machen? Es macht uns nichts aus, ein paar Dollar dafür zu werfen (in der Tat, ich denke, wir würden wahrscheinlich große Dollar auf eine gute Lösung werfen).

Answer 1

Sie können sich die von NTFS bereitgestellten Überwachungsfunktionen ansehen.

Answer 2

Sie möchten sich wahrscheinlich eine automatisierte Bereitstellungslösung ansehen, und Sie werden einen formellen Änderungskontrollprozess benötigen. Wir verwenden anthill pro. Es kann verfolgen, welche Version und wann es bereitgestellt wurde.

Um sox zu sättigen, hatten wir eine wöchentliche Besprechung dessen, was wann eingesetzt wurde. Es musste vom Compliance-Manager genehmigt werden, und für jede Bereitstellung musste ein Formular ausgefüllt werden, in dem erläutert wurde, was, warum und wie etwas geändert wurde. Sobald das Formular ausgefüllt wurde, musste eine dritte Person involviert werden (nicht die Person, die anfragt oder genehmigt, keiner von ihnen kann Zugang zur Produktionsumgebung haben, wegen der Trennung der Pflichten, der Sie folgen müssen), um die Änderung vorzunehmen und die Die Änderung beruhte auf dem, was im "Änderungsdokument" keine Außenkommunikation von der Person gab, die die Anfrage stellte. Nach dem Einsatz mussten alle Leute abzeichnen, dass es fertig war und wann.

Answer 3

Es sollte nicht zu schwierig sein, die Anforderungen zu erfüllen, es könnte einige Änderungen an Ihren Entwicklungsprozessen erfordern, aber es ist definitiv möglich.

Was Sie brauchen, ist:

• Ein Task-Tracking-System, Beschreibungen der Arbeit zeigt, und Zulassungen
• Die Möglichkeit, Dokumente zu verknüpfen, sowie Pakete zu diesem System.
• Ein Testsystem zum Testen Ihrer Bereitstellungen auf.
• Schließlich müssen alle Bereitstellungen über Installationspakete und andere Skript-Mittel erfolgen.
• Alle manuellen Änderungen müssen ebenfalls dokumentiert und genehmigt werden.

Aktivieren Sie auch die Überwachung, führen Sie regelmäßige Sicherheitstests durch und dokumentieren Sie fast alles.

All dies ist mit einer Reihe von Systemen möglich, die größte Änderung sind die Änderungen an Ihren internen Prozessen.