Ziel ist es grunds\u00e4tzlich lesende und \u00e4ndernde Zugriffe auf sch\u00fctzenwerte Daten auf Datenbankebene zu protokollieren, um die Gesamtmenge der Auditdaten auf das Wesentliche zu begrenzen und damit \u00fcberhaupt ein effizientes Monitoring zu erm\u00f6glichen.<\/p>\n
Die Datenschutzinitiative sollte grunds\u00e4tzlich damit beginnen, die vorhandenen Datebankinstanzen ausfindig zu machen, da nur das gesch\u00fctzt werden kann, was auch bekannt ist. Hierbei sollten nicht nur die Netzwerksegmente, sonderen auch die Datenbankinstanzen des Recovery & Deasaster-, Test- und Staging-Umfelds betrachtet werden. Dies ist in einem gesonderten Dokument zur jeweiligen Datenbank bzw. Applikation zu beschreiben.<\/p>\n
Da nicht jede Datenbankinstanz f\u00fcr das Datenbank Activity Monitoring interessant ist, sollte in diesem Schritt pro Datenbank bzw. Applikation \u00fcberpr\u00fcft werden, ob \u00fcberhaupt sensible und sch\u00fctzenwerte Daten in der Datenbank vorhanden sind erfasst werden. Dies ist in einem gesonderten Dokument zur jeweiligen Datenbank bzw. Applikation zu beschreiben.<\/p>\n
Die Informationen zur Existenz von sensiblen Daten in der Datenbank zusammen mit Informationen zum H\u00e4rtungsstatus der Datenbank aus den Datenbank-Scans lassen nun die Ableitung eines Risikos f\u00fcr die sch\u00fctzenswerten Datenbanken zu. Ein errechneter Risikowert auf einer Skala von 1 bis 10 bietet nun einen guten \u00dcberblick dar\u00fcber, wo der gr\u00f6\u00dfte Handlungsbedarf besteht.<\/p>\n
Das Database Activity Monitoring ist erst effizient, wenn die Anzahl der \u201cfalse positives\u201d und \u201cfalse negatives\u201d sowie der Umfang der Auditdaten minimal sind. Zur Erzielung dieser Effizienz m\u00fcssen in diesem Schritt die Speicherobjekte mit sensitiven Daten identifiziert und klassifiziert werden. Eine Klassifizierung der sensiblen und sch\u00fctzenswerten Daten kann z. B. in unterschiedliche Datentypen wie Personaldaten, Finanzdaten, Kreditkarten Informationen, User Credential etc. erfolgen.<\/p>\n
Im Anschlu\u00df an die Datenklassifizierung sind zu den einzelnen Datenklassen entsprechende Regeln\/Policies zu definieren, die bei einem Zugriff auf die Daten der zugrunde liegenden Datenklasse anschlagen. Solche Policies m\u00fcssen klar und eindeutig formuliert und gleichzeitig flexibel gegen\u00fcber regelm\u00e4\u00dfigen \u00c4nderungen in den Systemen, Datenobjekten, Benutzerrollen, den Regularien und den strategischen Unternehmensrichtlinien und -zielen sein. Beispiele von m\u00f6glichen Policies sollen nachfolgend beschrieben werden:<\/p>\n
Das Database Activity Monitoring System mu\u00df hierzu in der Lage sein bei der Regeldefinition die relevanten Daten-banken, Tabellen, Objekte und Felder entsprechend zu konfigurieren. Z. B. sollte es m\u00f6glich sein eine Regel auf einer definierten Datenbank f\u00fcr eine bestimmte Tabelle f\u00fcr eine bestimmt Aktion zu erstellen.<\/p>\n
Abh\u00e4ngig von den definierten Regeln kommen u.a. nachfolgende Daten in Frage, die von einem Database Activity Monitoring System erhoben werden k\u00f6nnen:<\/p>\n
Die konkrete Implementierung der entsprechenden Regeln\/Policies ist vollst\u00e4ndig abh\u00e4ngig von der Database Activity Monitoring L\u00f6sung und ist in einem gesonderten Dokument zur L\u00f6sung zu beschreiben.<\/p>\n","protected":false},"excerpt":{"rendered":"
Ziel ist es grunds\u00e4tzlich lesende und \u00e4ndernde Zugriffe auf sch\u00fctzenwerte Daten auf Datenbankebene zu protokollieren, um die Gesamtmenge der Auditdaten auf das Wesentliche zu begrenzen und damit \u00fcberhaupt ein effizientes Monitoring zu erm\u00f6glichen. Lokalisierung von vorhandenen Datenbankinstanzen Die Datenschutzinitiative sollte grunds\u00e4tzlich damit beginnen, die vorhandenen Datebankinstanzen ausfindig zu machen, da nur das gesch\u00fctzt werden kann, … <\/p>\n