Контрольний список аудиту IT [закрито]


18

Нещодавно я зайняв посаду особистого шоу для компанії, яка збирається провести аудит. Мережа не є десь близькою до підготовленої, і я шукав загальний контрольний список аудиту, оскільки аудитор не надав і не знайшов там багато хорошої інформації. У когось є приємний шаблон, який дасть мені хороший вихідний пункт. Я знаю, що це буде дуже підлаштовано під компанію, але відправною точкою буде корисно окреслити, скільки керівництва потрібно для роботи.


3
Який тип аудиту? Існує безліч речей, які можна перевірити.
Warner

Я також хотів би це знати, але мені не вдалося отримати відповідей від аудиторів, щоб зрозуміти сферу застосування.
PHLiGHT

5
Фінансовий аудит, безпека, аудит процесів та контролю. Деякі ревізії навіть не підпадають під середню сферу ІТ-сфери.
Warner

2
Якщо вони не попросили у вас документації, вони не можуть перевіряти ваші процеси / органи управління
Jim B

3
Мені здається, що я маю зазначити, що якщо ви здійснюєте будь-яку підготовку до аудиту (крім будь-якого, що вимагають аудитори), то аудит повністю порушений. Це повинно бути оцінкою вашого оточення, яке воно зараз є, а не шоу з собаками та поні, де ви замовчуєте справжній стан гри. Вибачте, просто проймаю;)
Кріс Торп,

Відповіді:


6

Я шукав загальний контрольний список з аудиту, оскільки аудитор не надав його

Це невтішно. Я робив це протягом декількох років, і для нас було звичною практикою детальний огляд того, що було б оцінено та чому (методологія). Ми подали офіційні запити на інформацію, надали інструменти ІТ-персоналу для запуску та збору даних, включаючи будь-який потенційний вплив процесу збору (якщо такий є). Нам також потрібно було запланувати зустрічі в повному обсязі з детальними програмами, що зазвичай означало, що вони знають, чого чекати. Не існує жодної конструктивної мети, яка слугує для того, щоб когось переробляти в пісочниці в такій ініціативі. Питання, як правило, недостатньо, і більшість ІТ-співробітників готові обговорити їх, якщо розпочати роботу належним чином.

Але це означає, що там є чимало контрольних списків. Але першочерговою метою цих зусиль має бути висвітлення якомога більшої кількості питань, визначення їх пріоритетності та розробка планів дій щодо відновлення. Я б не надто переймався тим, що буду "готовим". Оскільки ви нещодавно розпочали роботу, має бути розуміння того, що місце не розпалося протягом ночі.

Якщо мережа, яку ви визнаєте, потребує вдосконалення, отримує хороший звіт, це, ймовірно, буде марною витратою коштів компанії.


Домовились. Це аудит на всій компанії, а решті департаментів більше не дають інформації, ніж я. Єдине, що ми, здається, знаємо напевно - це тривалість 3 тижні.
PHLiGHT

1
Це звучить як аудит "ефективності".
Уорнер

2
Або хтось думає купити компанію.
Джон Гарденєр

8

Я збираюся зробити необдумане припущення і припускаю, що ви запитуєте про те, як підготуватися до внутрішнього аудиту безпеки з акцентом на технології, можливо, навіть тест на проникнення.

Те, як ви підготуєтесь до аудиту безпеки на технологічній стороні, залежатиме від мети аудиту. Якщо мета полягає в тому, щоб він визначив специфікацію того, як вдосконалити свою інфраструктуру, ви можете нічого не робити. Якщо метою є забезпечити відсутність прогалин, я рекомендую провести аналіз розриву перед аудитом та виправити виявлені прогалини.

Для фундаментальних найкращих практик ІТ я рекомендую посилатися на PCI DSS . Звичайно, він включає очевидні речі, які ви повинні робити вже як виправлення програмного забезпечення для вразливості безпеки.

Щоб повторити аудит безпеки, я почав би з перегляду методології тестування на проникнення, детально описаної в Посібнику з методики тестування безпеки з відкритим кодом . (OSSTMM)

Якщо ви шукаєте детальнішу інформацію, я б радив вам переписати своє питання, щоб бути менш неоднозначним.


4
+1 "Я б закликав вас переписати своє запитання, щоб бути менш неоднозначним". - Аудитори не просто показують вимогливі речі. Хтось їх наймає для тестування певної сторони бізнесу; почніть з того, хто їх найняв і чому; кожен аудитор, якого я знаю, дуже добре спілкується, коли ви просто забираєте телефон і дзвоните їм .
Кріс S

@Chris, тобі, очевидно, не доводилося мати справу з тими ж ревізорами, на які я натрапив. Як і будь-яка інша група людей, вони сильно відрізняються за своєю здатністю до спілкування.
Джон Гарденєр

5

Коли ви будуєте машини, ви повинні переконатися, що ви потрапили на стільки пунктів у керівництві з безпеки НСА, як це практично (деякі речі можуть бути надмірними для вашої ситуації):

http://www.nsa.gov/ia/mitigation_guidance/security_configuration_guides/

І коли ви налаштовуєте машини, ви повинні робити це в автоматизованому порядку, кожен з них - це виріз печива кожного іншого. Будівництво "вручну" через інсталяційний носій може бути схильним до помилок, де ви пропускаєте речі.

Автоматизуйте! Автоматизуйте! Автоматизуйте!

Будь-яка напіврегулярна процедура повинна бути максимально написана. Сюди входить установка системи, виправлення, перевірка / аудит на вразливість, перевірка надійності пароля.


1
+1 за чудове посилання.
нед

2

Я рекомендую вам витратити деякий час на читання COBIT, тобто Управління об'єктами для ІТ. Насправді його використовують багато аудиторських компаній для аудиту ІТ-області.

Я також рекомендую вам використовувати такі інструменти, як nessus (який перевірятиме вашу мережу / сервери на наявність уразливих місць) або mbsa (аналізатор безпеки базової лінії microsoft), але він перевірятиме лише апаратне забезпечення Windows.

Оскільки ви попросили відправного пункту, я думаю, що це може вам допомогти.


1

На мій досвід, коли аудит вимагається без специфікацій, це, як правило, означає аудит активів. Це найгірший вид, тому що тоді потрібно з’ясувати, що саме має компанія, і, можливо, це законно чи ні.

Особисто я хотів би зазначити, що термін "аудит" є загальним і потребує розробки. Я офіційно більше нічого не роблю, поки не отримаю далі і чіткішого напрямку. Неофіційно я по-справжньому зайнятий і намагаюся переконатись, що все, що знаходиться під моїм контролем, може бути перевірене в такій хорошій формі, як я можу це зробити, просто щоб бути впевненим, що мій зад. Потім, коли я дізнаюся, що вони насправді проводять, я передаю їм найбільш відповідні з аудитів, які я раніше готував.


0

Немає практичного відвідування кожної машини, щоб переконатися, що вона повністю оновлена. Ось чому OpenVAS існує (OpenVAS - нова безкоштовна версія Nessus). Ви можете сказати OpenVAS просканувати кожну машину вашої внутрішньої мережі, щоб виявити проблемні області. Вам також потрібно запустити його віддалено, щоб отримати уявлення про вашу віддалену атаку. Ви знайдете проблеми з наборами правил брандмауера та машинами, уразливими для атаки.


Я придбав Kaseya і незабаром прокачу це рішення для виправлення клієнтського виправлення серед іншого.
PHLiGHT

@PHLiGHT Якщо чесно платити гроші за щось, це не завжди покращує його.
Грак

0

Я б хотів скласти заяву про те, як ви ведете бізнес. Який поточний процес (якщо такий існує) і який він повинен / буде майбутній. Якби це був тест на проникнення або аудит типу безпеки, вони б вам сказали, що він би охопив і інші відділи. ймовірно, також потрібно бути готовим поговорити про те, як ви можете підтримувати відповідність нормативно-правовим актам для інших підрозділів, залежно від регламентів, якими може бути ваша компанія.


0

Якщо я добре зрозумів, вам потрібен такий собі контрольний список, і це здається непоганим початковим пунктом. Є багато пропозицій, які можна викопати за допомогою Інтернету, але я віддаю перевагу цьому . Поряд з темами аудиту, ви можете знайти додаткові, які також знадобляться в часі

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.