> Tech > De quel genre de liste de contrôle l’application a-t-elle besoin ?

De quel genre de liste de contrôle l’application a-t-elle besoin ?

Tech - Par iTPro - Publié le 24 juin 2010
email

Les listes de contrôle viennent souvent en un deuxième temps dans une conception d'application. L'OS/400 offre une large palette de fonctions de contrôle. Toutefois, selon l'application que vous écrivez, il pourrait être avantageux de compléter l'audit du système d'exploitation par vos propres entrées d'audit. Alors que vous pouvez configurer l'OS/400

pour qu’il envoie
une entrée d’audit chaque fois qu’un
fichier est mis à  jour ou modifié, il se
peut que l’entrée d’audit ne fournisse
pas suffisamment d’informations ou
qu’elle ne soit pas suffisamment précise
pour votre application particulière.

Si Linda, par exemple, télécharge
tout le fichier HR, vous pouvez configurer
l’OS/400 pour qu’il envoie une
entrée d’audit journalisant l’activité.
L’entrée d’audit vous indiquera le nom
du fichier et le fait que Linda l’a lu. Et
aussi le jour et l’heure de sa lecture. Si
Linda met à  jour le champ dans le fichier
HR contenant des notifications
de sécurité sociale, l’entrée d’audit
vous fournira la même information indiquant
que le fichier a été modifié
(plutôt que lu). Mais elle ne vous dira
pas ce qui a changé. La législation peut
vous ordonner de faire un enregistrement
de toute personne qui lit un
champ particulier d’un fichier, ou de
maintenir des enregistrements séparés
du contenu original d’un champ et des
contenus modifiés par la suite.

Ainsi, si John consulte un fichier
contenant des informations de patient,
en lisant tous les champs à  l’exception
de celui qui contient des résultats de
tests médicaux, aucun enregistrement
n’est nécessaire. En revanche, dès qu’il
modifie ou lit le champ contenant les
résultats de tests, un enregistrement
de cette action doit être journalisé.
L’administrateur système utilisant l’application
peut valider cette possibilité
sous OS/400 en utilisant un programme
de déclenchement, mais les choses seront beaucoup plus simples
si ce type de fonction est intégré d’emblée
dans l’application.

Pour satisfaire la plupart des réglementations,
l’enregistrement doit indiquer
la personne causant l’événement
et inclure un tampon horodateur exact
de l’événement. Pour répondre à  une
inspection, il faut pouvoir montrer que
les enregistrements d’audit n’ont pas
pu être modifiés. Les fonctions de journalisation
de l’OS/400 conviennent
parfaitement bien pour cela. Si vous
envoyez une entrée de journal avec
votre information d’application, cette
information ne peut pas être modifiée
– même pas par un responsable de la
sécurité. C’est l’OS/400 qui se charge
du tampon horodateur et de l’identification
utilisateur. Il vous suffit de fournir
des données spécifiques à  l’entrée,
c’est-à -dire des données pertinentes
vis-à -vis des données d’application
qu’il s’agit de mettre à  jour ou de lire.

Téléchargez gratuitement cette ressource

Guide Azure Virtual Desktop

Guide Azure Virtual Desktop

Comment optimiser les coûts, gagner en agilité, en sécurité et en conformité avec Azure Virtual Desktop ? Découvrez, dans ce Guide Infographique, les bénéfices clés pour les utilisateurs et les avantages de la mise en œuvre pour les équipes IT.

Tech - Par iTPro - Publié le 24 juin 2010