Gesetzliche Vorschriften und Regularien in virtuellen Umgebungen einhalten
Virtualisierung macht Compliance zum Balanceakt
03.04.2009 | Autor / Redakteur: SearchDataCenter / Ulrich Roderer
Wann beeinflusst die Virtualisierung die Compliance?
Die Anzahl der Bestimmungen und vertraglichen Verpflichtungen, die eingehalten werden müssen, wachsen von Jahr zu Jahr. Aber wir sollten uns nicht auf Revisoren verlassen, egal ob sie von einer externen CPA-Firma, PCI-Prüfer oder staatlich geprüfte Sicherheitsbeauftragte sind, um festzustellen, welcher Teil der virtualisierten Umgebung in den Bereich der Compliance-Regeln fällt. Während die Anwendung von Compliance-Regeln in einer virtualisierten Umgebung keineswegs garantiert ist (wie eigentlich in jeder Umgebung), stellen wir in der Folge eine Reihe von grundlegenden Aspekten vor.
Als erstes werden die Einhaltungsziele für den Standard dokumentiert, um damit die Compliance-Risiken zu bestimmen und um zu erkennen, wie die Virtualisierung die Compliance beeinflussen kann. Die Tabelle zeigt, wie dies für einige bekannte Regulierungen und Standards erreicht wird, die von Unternehmen im Compliance-Fall eingehalten und belegt werden müssen. Es wird auch empfohlen, dass Unternehmen ihre eigenen Rechtsabteilungen und Compliance-Experten bezüglich dieser Angelegenheiten konsultieren.
Virtualisierungstechniken können zum Beispiel bei Geschäftsabläufen in der Kreditkartenverarbeitung eingesetzt werden. Es kann jedoch sein, dass ein virtualisiertes Inventarisierungssystem, das auf einer virtuellen Infrastruktur läuft, nicht im technischen Fokus der PCI-Prüfer liegt, da Kartendaten normalerweise nicht in dieser Form transferiert werden und nicht auf virtuellen Storage-Systemen gespeichert werden.
Ähnlich liegt der Fall bei den SOX-404- oder Basel-II-Bestimmungen. Wenn keine kritischen Aktivitäten in virtuellen Infrastrukturen ausgeführt werden (zum Beispiel Authorisierungsabläufe, Kernberichte oder Kalkulationen), könnte das zu einem unentdeckten Berichtsfehler führen. Ein solcher Fehler könnte auftreten, wenn zum Beispiel ein Materialwirtschaftssystem auf einer virtualisierten Infrastruktur läuft, aber alle Schlüsselberichte auf einer physikalischen Struktur generiert werden. In diesem Fall würde das Materialwirtschaftssystem außerhalb des SOX-404-Fokus fallen.
Anforderungen zur Compliance-Einhaltung
Wenn man virtualisierte IT-Umgebungen prüft, stellen Revisoren oft die folgenden Fragen, für die Unternehmen die notwendigen Dokumentationen bereitstellen sollten und im Zweifel auch angeben müssen.
- Werden alle IT-Umgebungen und -Fakten adäquat getrennt?
- Wer hat Zugang zur Virtualisierungsinfrastruktur?
- Wie stellen Sie sicher, dass alle User bevollmächtigte Personen sind?
- Wie ist die Trennung von Rollen gestaltet und wie wird sie durchgesetzt?
- Wie werden Konfigurationen dokumentiert und durchgesetzt?
- Wie werden unbefugte Änderungen erkannt und behandelt?
- Wie wird die virtualisierte IT-Umgebung gegen unbefugten Zugang überwacht?
- Wie werden technische Schwachstellen verfolgt und verwaltet?
Inhalt des Artikels:
Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2020571)