Lista kontrolna audytu IT [zamknięta]

Niedawno objąłem stanowisko jednoosobowego programu dla firmy, która będzie miała audyt. Sieć nie jest nigdzie przygotowana i szukałem ogólnej listy kontrolnej audytu, ponieważ nie została ona dostarczona przez audytorów i nie znalazłem tam zbyt wielu dobrych informacji. Czy ktoś ma fajny szablon, który da mi dobry punkt wyjścia. Wiem, że będzie to ściśle dostosowane do potrzeb firmy, ale punkt wyjścia będzie pomocny, aby nakreślić kierownictwu, ile pracy potrzeba.

Szukałem ogólnej listy kontrolnej audytu, ponieważ nie została ona dostarczona przez audytorów

To jest rozczarowujące. Robiłem to przez kilka lat i powszechną praktyką było dostarczanie szczegółowego przeglądu tego, co zostanie ocenione i dlaczego (metodologia). Złożyliśmy formalne prośby o informacje, udostępniliśmy pracownikom IT narzędzia do uruchamiania i gromadzenia danych, w tym wszelkie potencjalne skutki procesu gromadzenia (jeśli takie istnieją). Musieliśmy również zaplanować spotkania wraz ze szczegółowymi programami, co zwykle oznaczało, że wiedzieli, czego się spodziewać. Nie ma konstruktywnego celu w worku z piaskiem kogoś w takiej inicjatywie. Problemy są zwykle bardzo liczne, a większość pracowników IT jest otwarta na ich omówienie, jeśli zaangażowanie zostanie odpowiednio rozpoczęte.

To powiedziawszy, istnieje wiele list kontrolnych, jeśli spojrzysz. Ale głównym celem tych wysiłków powinno być ujawnienie jak największej liczby problemów, nadanie im priorytetu i opracowanie planów działania na rzecz naprawy. Nie martwiłbym się zbytnio „przygotowaniem”. Od niedawna zaczynasz rozumieć, że miejsce nie rozpadło się z dnia na dzień.

Jeśli sieć, którą uznajesz za wymagającą poprawy, otrzyma dobry raport, prawdopodobnie byłaby to strata pieniędzy firmy.

Przyjmuję pochopne założenie i zakładam, że pytasz, jak przygotować się do wewnętrznego audytu bezpieczeństwa z naciskiem na technologię, a może nawet test penetracyjny.

Sposób przygotowania się do audytu bezpieczeństwa po stronie technologii będzie zależeć od celu audytu. Jeśli celem jest zdefiniowanie specyfikacji dotyczącej ulepszenia infrastruktury, możesz nic nie zrobić. Jeśli celem jest upewnienie się, że nie pozostaną żadne luki, zaleciłbym przeprowadzenie analizy luk przed audytem i skorygowanie wykrytych luk.

Aby zapoznać się z podstawowymi najlepszymi praktykami IT, polecam odniesienie do PCI DSS . Oczywiście zawiera oczywiste rzeczy, które powinieneś już robić, takie jak łatanie oprogramowania w poszukiwaniu luk w zabezpieczeniach.

Aby powielić audyt bezpieczeństwa, zacznę od przejrzenia metodologii testowania penetracji wyszczególnionej w Podręczniku metodologii testowania bezpieczeństwa Open Source . (OSSTMM)

Jeśli szukasz dalszych szczegółów, zachęcam do ponownego napisania pytania, aby było mniej dwuznaczne.

Kiedy budujesz maszyny, upewnij się, że trafiłeś tyle punktów w przewodniku bezpieczeństwa NSA, ile jest to praktyczne (niektóre rzeczy mogą być przesadne w twojej sytuacji):

http://www.nsa.gov/ia/mitigation_guidance/security_configuration_guides/

A kiedy konfigurujesz maszyny, powinieneś to robić w sposób zautomatyzowany, aby każdy z nich był na początku obcinaczem ciastek. Budowanie „ręcznie” za pomocą nośników instalacyjnych może być podatne na błędy tam, gdzie brakuje rzeczy.

Automatyzacja! Automatyzacja! Automatyzacja!

Każda pół-regularna procedura powinna być w jak największym stopniu skryptowana. Obejmuje to instalację systemu, łatanie, skanowanie / audyty podatności, testowanie siły hasła.

Polecam poświęcić trochę czasu na czytanie COBIT, czyli Control OBjectives for IT. W rzeczywistości jest używany przez wiele firm audytorskich do audytu obszaru IT.

Polecam również korzystanie z narzędzi takich jak nessus (które sprawdzą podatność twojej sieci / serwerów) lub mbsa (bazowy analizator zabezpieczeń Microsoft), ale sprawdzi tylko sprzęt Windows.

Ponieważ poprosiłeś o punkt początkowy, myślę, że to może ci pomóc.

Z mojego doświadczenia wynika, że ​​wniosek o przeprowadzenie audytu bez specyfikacji zwykle oznacza audyt aktywów. Jest to najgorszy rodzaj, ponieważ musisz dowiedzieć się dokładnie, co firma ma i być może jest to uzasadnione.

Osobiście chciałbym podkreślić, że termin „audyt” jest ogólny i wymaga opracowania. Oficjalnie nie robię nic więcej, dopóki nie dojdę dalej i nie będę miał wyraźniejszego kierunku. Nieoficjalnie jestem bardzo zajęty i staram się upewnić, że wszystko pod moją kontrolą, które może być poddane audytowi, jest w tak dobrym stanie, jak tylko mogę, tylko po to, aby upewnić się, że mój tyłek jest przykryty. Następnie, kiedy dowiaduję się, o co właściwie chodzi, przekazuję im najistotniejszy z audytów, które wcześniej przygotowałem.

Nie jest praktyczne, aby przejść do każdej maszyny, aby upewnić się, że jest w pełni zaktualizowana. Właśnie dlatego istnieje OpenVAS (OpenVAS to nowa darmowa wersja Nessus). Możesz powiedzieć OpenVAS, aby przeskanował każdy komputer w sieci wewnętrznej w celu zidentyfikowania obszarów problemowych. Musisz także uruchomić go zdalnie, aby zorientować się, jaka jest powierzchnia ataku zdalnego. Znajdziesz problemy z zestawami reguł zapory i maszynami podatnymi na atak.

Chciałbym zebrać zestawienie tego, jak prowadzisz interesy. Jaki jest obecny proces (jeśli taki istnieje) i co powinien / będzie w przyszłości. Gdyby to był test penetracyjny lub audyt bezpieczeństwa, powiedzieliby ci o tym i nie dotarłyby do innych działów. prawdopodobnie również musisz być przygotowany do rozmowy o tym, jak możesz wspierać zgodność z przepisami dla innych jednostek biznesowych w zależności od przepisów, które mogą obowiązywać w Twojej firmie.

Jeśli dobrze rozumiem, potrzebujesz czegoś w rodzaju listy kontrolnej, która wydaje się dobrym punktem wyjścia. Istnieje wiele sugerowanych do wykopania za pomocą Internetu, ale ja wolę ten . Oprócz tematów audytu możesz znaleźć dodatkowe, które również będą potrzebne z czasem