Lista kontrolna audytu IT [zamknięta]

18

Niedawno objąłem stanowisko jednoosobowego programu dla firmy, która będzie miała audyt. Sieć nie jest nigdzie przygotowana i szukałem ogólnej listy kontrolnej audytu, ponieważ nie została ona dostarczona przez audytorów i nie znalazłem tam zbyt wielu dobrych informacji. Czy ktoś ma fajny szablon, który da mi dobry punkt wyjścia. Wiem, że będzie to ściśle dostosowane do potrzeb firmy, ale punkt wyjścia będzie pomocny, aby nakreślić kierownictwu, ile pracy potrzeba.

PHLiGHT
źródło
3
Jaki rodzaj audytu? Istnieje wiele rzeczy, które można skontrolować.
Warner
Chciałbym to również wiedzieć, ale nie byłem w stanie uzyskać odpowiedzi od audytorów, aby uzyskać pojęcie o zakresie.
PHLiGHT
5
Audyt finansowy, bezpieczeństwo, kontrola procesów i kontroli .. niektóre audyty nawet nie mieszczą się w zakresie przeciętnych kompetencji IT.
Warner
2
Jeśli nie poprosili cię o dokumentację, nie mogą kontrolować twoich procesów / kontroli
Jim B
3
Wydaje mi się, że powinienem zwrócić uwagę, że jeśli wykonasz jakiekolwiek przygotowanie do audytu (ponad wszystko, czego wymagają audytorzy), wówczas audyt jest całkowicie zagrożony. To ma być ocena twojego obecnego środowiska, a nie wystawa psów i kucyków, w której zastanawiasz się nad prawdziwym stanem gry. Przepraszam, tylko gadam;)
Chris Thorpe

Odpowiedzi:

6

Szukałem ogólnej listy kontrolnej audytu, ponieważ nie została ona dostarczona przez audytorów

To jest rozczarowujące. Robiłem to przez kilka lat i powszechną praktyką było dostarczanie szczegółowego przeglądu tego, co zostanie ocenione i dlaczego (metodologia). Złożyliśmy formalne prośby o informacje, udostępniliśmy pracownikom IT narzędzia do uruchamiania i gromadzenia danych, w tym wszelkie potencjalne skutki procesu gromadzenia (jeśli takie istnieją). Musieliśmy również zaplanować spotkania wraz ze szczegółowymi programami, co zwykle oznaczało, że wiedzieli, czego się spodziewać. Nie ma konstruktywnego celu w worku z piaskiem kogoś w takiej inicjatywie. Problemy są zwykle bardzo liczne, a większość pracowników IT jest otwarta na ich omówienie, jeśli zaangażowanie zostanie odpowiednio rozpoczęte.

To powiedziawszy, istnieje wiele list kontrolnych, jeśli spojrzysz. Ale głównym celem tych wysiłków powinno być ujawnienie jak największej liczby problemów, nadanie im priorytetu i opracowanie planów działania na rzecz naprawy. Nie martwiłbym się zbytnio „przygotowaniem”. Od niedawna zaczynasz rozumieć, że miejsce nie rozpadło się z dnia na dzień.

Jeśli sieć, którą uznajesz za wymagającą poprawy, otrzyma dobry raport, prawdopodobnie byłaby to strata pieniędzy firmy.

Greg Askew
źródło
Zgoda. Jest to audyt obejmujący całą firmę, a reszta działów nie otrzymuje więcej informacji niż ja. Jedyne, co wiemy na pewno, to to, że trwa 3 tygodnie.
PHLiGHT
1
To brzmi jak audyt „wydajności”.
Warner
2
Lub ktoś myśli o zakupie firmy.
John Gardeniers,
8

Przyjmuję pochopne założenie i zakładam, że pytasz, jak przygotować się do wewnętrznego audytu bezpieczeństwa z naciskiem na technologię, a może nawet test penetracyjny.

Sposób przygotowania się do audytu bezpieczeństwa po stronie technologii będzie zależeć od celu audytu. Jeśli celem jest zdefiniowanie specyfikacji dotyczącej ulepszenia infrastruktury, możesz nic nie zrobić. Jeśli celem jest upewnienie się, że nie pozostaną żadne luki, zaleciłbym przeprowadzenie analizy luk przed audytem i skorygowanie wykrytych luk.

Aby zapoznać się z podstawowymi najlepszymi praktykami IT, polecam odniesienie do PCI DSS . Oczywiście zawiera oczywiste rzeczy, które powinieneś już robić, takie jak łatanie oprogramowania w poszukiwaniu luk w zabezpieczeniach.

Aby powielić audyt bezpieczeństwa, zacznę od przejrzenia metodologii testowania penetracji wyszczególnionej w Podręczniku metodologii testowania bezpieczeństwa Open Source . (OSSTMM)

Jeśli szukasz dalszych szczegółów, zachęcam do ponownego napisania pytania, aby było mniej dwuznaczne.

Warner
źródło
4
+1 „Zachęcam do ponownego napisania pytania, aby było mniej dwuznaczne”. - Audytorzy nie pokazują tylko wymagających rzeczy. Są zatrudniani przez kogoś do przetestowania konkretnego aspektu działalności; zacznij od tego, kto ich zatrudnił i dlaczego; każdy audytor, którego znam, komunikuje się bardzo dobrze, kiedy po prostu podnosi telefon i dzwoni do nich .
Chris S,
@Chris, oczywiście nie miałeś do czynienia z tymi samymi audytorami, z którymi się spotkałem. Jak każda inna grupa ludzi, różnią się znacznie pod względem zdolności komunikowania się.
John Gardeniers,
5

Kiedy budujesz maszyny, upewnij się, że trafiłeś tyle punktów w przewodniku bezpieczeństwa NSA, ile jest to praktyczne (niektóre rzeczy mogą być przesadne w twojej sytuacji):

http://www.nsa.gov/ia/mitigation_guidance/security_configuration_guides/

A kiedy konfigurujesz maszyny, powinieneś to robić w sposób zautomatyzowany, aby każdy z nich był na początku obcinaczem ciastek. Budowanie „ręcznie” za pomocą nośników instalacyjnych może być podatne na błędy tam, gdzie brakuje rzeczy.

Automatyzacja! Automatyzacja! Automatyzacja!

Każda pół-regularna procedura powinna być w jak największym stopniu skryptowana. Obejmuje to instalację systemu, łatanie, skanowanie / audyty podatności, testowanie siły hasła.

Nic
źródło
1
+1 za świetny link.
nedm
2

Polecam poświęcić trochę czasu na czytanie COBIT, czyli Control OBjectives for IT. W rzeczywistości jest używany przez wiele firm audytorskich do audytu obszaru IT.

Polecam również korzystanie z narzędzi takich jak nessus (które sprawdzą podatność twojej sieci / serwerów) lub mbsa (bazowy analizator zabezpieczeń Microsoft), ale sprawdzi tylko sprzęt Windows.

Ponieważ poprosiłeś o punkt początkowy, myślę, że to może ci pomóc.

Bob Rivers
źródło
1

Z mojego doświadczenia wynika, że ​​wniosek o przeprowadzenie audytu bez specyfikacji zwykle oznacza audyt aktywów. Jest to najgorszy rodzaj, ponieważ musisz dowiedzieć się dokładnie, co firma ma i być może jest to uzasadnione.

Osobiście chciałbym podkreślić, że termin „audyt” jest ogólny i wymaga opracowania. Oficjalnie nie robię nic więcej, dopóki nie dojdę dalej i nie będę miał wyraźniejszego kierunku. Nieoficjalnie jestem bardzo zajęty i staram się upewnić, że wszystko pod moją kontrolą, które może być poddane audytowi, jest w tak dobrym stanie, jak tylko mogę, tylko po to, aby upewnić się, że mój tyłek jest przykryty. Następnie, kiedy dowiaduję się, o co właściwie chodzi, przekazuję im najistotniejszy z audytów, które wcześniej przygotowałem.

John Gardeniers
źródło
0

Nie jest praktyczne, aby przejść do każdej maszyny, aby upewnić się, że jest w pełni zaktualizowana. Właśnie dlatego istnieje OpenVAS (OpenVAS to nowa darmowa wersja Nessus). Możesz powiedzieć OpenVAS, aby przeskanował każdy komputer w sieci wewnętrznej w celu zidentyfikowania obszarów problemowych. Musisz także uruchomić go zdalnie, aby zorientować się, jaka jest powierzchnia ataku zdalnego. Znajdziesz problemy z zestawami reguł zapory i maszynami podatnymi na atak.

Wieża
źródło
Kupiłem Kaseya i niedługo wprowadzę ten program, aby zająć się między innymi łataniem klientów.
PHLiGHT
@PHLiGHT Szczerze mówiąc, płacenie za coś nie zawsze poprawia sytuację.
Gawron
0

Chciałbym zebrać zestawienie tego, jak prowadzisz interesy. Jaki jest obecny proces (jeśli taki istnieje) i co powinien / będzie w przyszłości. Gdyby to był test penetracyjny lub audyt bezpieczeństwa, powiedzieliby ci o tym i nie dotarłyby do innych działów. prawdopodobnie również musisz być przygotowany do rozmowy o tym, jak możesz wspierać zgodność z przepisami dla innych jednostek biznesowych w zależności od przepisów, które mogą obowiązywać w Twojej firmie.

MikeJ
źródło
0

Jeśli dobrze rozumiem, potrzebujesz czegoś w rodzaju listy kontrolnej, która wydaje się dobrym punktem wyjścia. Istnieje wiele sugerowanych do wykopania za pomocą Internetu, ale ja wolę ten . Oprócz tematów audytu możesz znaleźć dodatkowe, które również będą potrzebne z czasem

Ivan Stankovic
źródło