Контрольный список аудита ИТ [закрыт]

Недавно я взял на себя роль одного человека для компании, которая будет проходить аудит. Сеть еще близко не подготовлена, и я искал общий контрольный список аудита, так как он не был предоставлен аудиторами и не нашел много полезной информации. У кого-нибудь есть хороший шаблон, который даст мне хорошую отправную точку. Я знаю, что это будет сильно адаптировано к компании, но отправной точкой будет полезно указать руководству, какой объем работы необходим.

Я искал общий контрольный список аудита, так как один не был предоставлен аудиторами

Это разочаровывает. Я делал это в течение нескольких лет, и для нас было обычной практикой предоставлять подробный обзор того, что будет оцениваться и почему (методология). Мы отправили формальные запросы на информацию, предоставили инструменты для ИТ-персонала для запуска и сбора данных, включая любое потенциальное влияние процесса сбора (если таковое имеется). Мы также должны были запланировать встречи с подробными повестками дня, что обычно означало, что они знали, чего ожидать. Нет никакой конструктивной цели в том, чтобы мешать кому-то в подобной инициативе. Обычно проблем много, и большинство ИТ-специалистов открыто для их обсуждения, если вовремя начать работу.

Тем не менее, есть много контрольных списков там, если вы посмотрите. Но главная цель этих усилий должна заключаться в том, чтобы выявить как можно больше проблем, расставить приоритеты и разработать планы действий по их устранению. Я не был бы слишком обеспокоен тем, чтобы быть "подготовленным". Поскольку вы начали недавно, должно быть понимание того, что место не развалилось за одну ночь.

Если сеть, которую вы признаете нуждающейся в улучшении, получит хороший отчет, это, вероятно, будет пустой тратой денег компании.

Я собираюсь сделать опрометчивое предположение и предположить, что вы спрашиваете, как подготовиться к внутреннему аудиту безопасности с акцентом на технологии, возможно, даже на тест на проникновение.

То, как вы будете готовиться к аудиту безопасности на технологической стороне, будет зависеть от цели аудита. Если цель состоит в том, чтобы определить спецификацию улучшения вашей инфраструктуры, вы можете ничего не делать. Если цель состоит в том, чтобы гарантировать отсутствие пробелов, я бы рекомендовал выполнить анализ пробелов перед аудитом и исправить любые обнаруженные пробелы.

Для фундаментальных рекомендаций по ИТ я бы рекомендовал ссылаться на PCI DSS . Конечно, это включает в себя очевидные вещи, которые вы должны уже делать, например, исправление программного обеспечения для уязвимостей в безопасности.

Чтобы повторить аудит безопасности, я бы начал с изучения методологии тестирования на проникновение, подробно описанной в Руководстве по методологии тестирования безопасности с открытым исходным кодом . (OSSTMM)

Если вы ищете дополнительную информацию, я бы посоветовал вам переписать свой вопрос, чтобы он был менее двусмысленным.

Когда вы создаете машины, вы должны быть уверены, что набрали столько пунктов в руководстве по безопасности АНБ, сколько это практично (некоторые вещи могут быть излишними для вашей ситуации):

http://www.nsa.gov/ia/mitigation_guidance/security_configuration_guides/

И когда вы настраиваете машины, вы должны делать это в автоматическом режиме, чтобы каждый из них начинал с печенья. Сборка «вручную» через установочный носитель может привести к ошибкам, если вы что-то пропустили.

Автоматизировать! Автоматизировать! Автоматизировать!

Любая полурегулярная процедура должна быть написана в максимально возможной степени. Это включает в себя установку системы, исправления, сканирование / аудит уязвимостей, проверку надежности пароля.

Я рекомендую вам потратить некоторое время на чтение COBIT, то есть контрольных целей для ИТ. Фактически он используется многими аудиторскими компаниями для аудита ИТ-сферы.

Я также рекомендую вам использовать такие инструменты, как nessus (который будет проверять вашу сеть / серверы на наличие уязвимостей) или mbsa (анализатор безопасности Microsoft Baseline Security), но он будет проверять только оборудование Windows.

Так как вы попросили отправную точку, я думаю, что это может вам помочь.

По моему опыту, когда аудит запрашивается без спецификаций, это обычно означает аудит активов. Это наихудший вариант, потому что вам нужно выяснить, что именно компания имеет, и, возможно, законно она или нет.

Лично я хотел бы отметить, что термин «аудит» является общим и требует уточнения. Я официально больше ничего не делаю, пока не доберусь до более ясного направления. Неофициально я становлюсь очень занятым и пытаюсь убедиться, что все под моим контролем, что может быть проверено, находится в настолько хорошей форме, насколько я могу это сделать, просто чтобы быть уверенным, что моя задница покрыта. Затем, когда я узнаю, к чему они на самом деле стремятся, я передаю им наиболее релевантную ревизию, которую я ранее готовил на канале.

Не практично обращаться к каждой машине, чтобы убедиться, что она полностью обновлена. Вот почему существует OpenVAS (OpenVAS - новая бесплатная версия Nessus). Вы можете указать OpenVAS сканировать каждую машину в вашей внутренней сети для выявления проблемных областей. Вам также нужно запустить его удаленно, чтобы получить представление о вашей удаленной поверхности атаки. Вы найдете проблемы с наборами правил брандмауэра и компьютерами, которые уязвимы для атак.

Я хотел бы собрать заявление о том, как вы ведете бизнес. Каков текущий процесс (если таковой существует) и что он должен / будет в будущем. Если бы это был тест на проникновение или аудит типа безопасности, они бы сказали вам об этом, и это не охватило бы другие отделы. Вероятно, также необходимо быть готовым рассказать о том, как вы можете поддерживать соответствие нормативным требованиям для других бизнес-единиц в зависимости от правил, которыми может руководствоваться ваша компания.

Если я хорошо понял, вам нужен своего рода контрольный список, и это кажется хорошей отправной точкой. Есть много предложенных, которые вы можете найти в Интернете, но я предпочитаю этот . Наряду с темами аудита, вы можете найти дополнительные, которые также потребуются вовремя