Цитата:
Сообщение от
Fordewind
Откуда только такие продвинутые аудиторы берутся.
Обычные аудиторы. У них опросники есть.
Похоже компания автора вопроса проходит какую-нибудь сертификацию типа ISO9000 или что-нибудь в этом духе.
Цитата:
Сообщение от
Fordewind
Ну а продолжение то обычно одно, хотя цели разные
Не. Нормальные инструменты.
Предпосылка1:
= администратор - царь, и бог, и воинский начальник в своем домене/зоне
= если человек не должен выполнять некоторых действий, значит он не должен иметь права администратора для этих действий.
Следствие1:
= действия администратора всегда санкционированы
= отслеживать действия администратора бесполезно
= отслеживать можно и нужно только действия обычного юзверя
Предпосылка2:
= код ERP-системы имеет права администратора над данными ERP-системы (это плохо, но в Навижине так)
= см. Предпосылка1 и Следствие1: действия кода отслеживать бесполезно
Следствие2:
= любой программист, который может изменить код, автоматически получает права администратора над данными, с которыми работает этот код.
Что делает Навижин:
Отслеживает юзверей. Но даже не пытается отслеживать администраторов и код ПРОГРАММНЫМИ средствами.
Потому что администраторов и код надо отслеживать внепрограммными.