TFL Vsebine / Revija SIR*IUS

Database auditing

Opredeliti skušamo nekaj vidikov revidiranja podatkovnih baz, vendar pa pričujoči članek ni neposredno namenjen pripravi revizijskega plana, ampak poudarja nekaj posebnosti področja. Pri revidiranju podatkovnih baz je treba upoštevati pomembnost upravljanja podatkov in tehnično zahtevnost sistema za upravljanje podatkovnih baz. To pomeni tako ustrezno ovrednotenje (klasifikacijo) podatkov oz. informacij kot tudi tehnično podkovanost revizorja informacijskih sistemov (v nadaljnjem besedilu: IS) za preverjanje upravljanja podatkovne baze (tehnične značilnosti, orodja …). Revizor IS mora pridobiti zagotovila, da strategija informacijske tehnologije (v nadaljnjem besedilu: IT) in arhitektura podatkovne baze ustrezata strategiji podjetja in delovanju poslovnih funkcij. Precejšnjo pozornost je treba posvetiti varnosti in ustreznosti varnostnih politik podatkovne baze, vključno z uporabniškimi pooblastili in revizijskimi sledmi. Z operativnimi postopki in nastavitvami skušamo preveriti in izboljšati razpoložljivost in odzivnost podatkovne baze, uporabo različnih orodij za dostop in učinkovitost nadzora. Upravljanje sprememb podatkovne baze je podvrženo temeljitemu testiranju, s katerim zagotavljamo ustrezno celovitost, zaupnost in razpoložljivost informacij. Postopki neprekinjenosti zagotavljajo delovanje oz. obnovitev podatkovne baze ob katastrofi in/ali izpadu posameznih komponent. V članku so opredeljeni tudi vidiki revidiranja podatkovne baze v oblaku. Različne oblike implementacije oblačnih storitev in podatkovne baze zahtevajo tudi različne revizorske pristope, predvsem z vidika razmejitev odgovornosti ponudnika oblačnih storitev na eni in uporabnika/naročnika na drugi strani.

In the article we are covering the area of database auditing, not in the sense of creating an exact auditing plan, but more to stress out certain interesting points and specifics of that area. Information system (herainafter: IS) auditor must be able to evaluate the governance of the corporate data on one hand and possess certain technical skills on the other hand. In practice this means - for example - evaluating the data classification scheme on one hand and technical possibilities of the database and database tools usage on the other hand. IS auditor must ensure that IT strategy and database architecture follow the corporate strategic goals and generate appropriate business value. Database security and user privileges always require IS auditors special attention. Through evaluation of operational procedures and database settings auditor can ensure adequate availability and performance of the database. Also proper usage of database tools for database access and administration should be checked during the audit to achieve adequate monitoring and control of the database. Database (settings) changes must be properly tested and proper disaster recovery and business continuity procedures must be established to ensure confidentialitiy, integrity and availability of the database. In the article we arek also talking about the specifics of IS auditing the database in the cloud. Different implementations of cloud services require also different IS auditor approach.