BT Denetimi kontrol listesi [kapalı]

18

Kısa süre önce, denetime tabi olacak bir şirket için tek kişilik bir gösteri pozisyonuna girdim. Ağ, hazırlığa yakın bir yerde değil ve denetçiler tarafından sağlanmadığı ve orada çok iyi bilgi bulamadığı için genel bir denetim kontrol listesi arıyorum. Herkes bana iyi bir başlangıç ​​noktası verecek güzel bir şablon var mı? Bunun şirket için son derece özelleştirileceğini biliyorum, ancak bir başlangıç ​​noktasının ne kadar işe ihtiyaç duyulduğunu yönetime özetlemekte yardımcı olacaktır.

security 
Phlight
kaynak
3
Ne tür bir denetim? Denetlenebilecek çok sayıda şey var.
Warner
Bunu da bilmek isterim, ancak kapsam hakkında bir fikir edinmek için denetçilerden herhangi bir yanıt alamadım.
PHLiGHT
5
Mali denetim, güvenlik, süreç ve kontrol denetimi .. bazı denetimler ortalama BT tasarımı kapsamına girmez.
Warner
2
Eğer sizden dokümantasyon istemediylerse, süreçlerinizi / kontrollerinizi denetleyemezler
Jim B
3
Denetim için herhangi bir hazırlık hazırlarsanız (denetçiler tarafından talep edilen herhangi bir şeyin ötesinde), denetimin tamamen tehlikeye atıldığını belirtmeliyim. Gerçek oyun durumuna göz attığınız bir köpek ve midilli gösterisi değil, şu anda olduğu gibi ortamınızın bir değerlendirmesi olması gerekiyordu. Üzgünüm, sadece ranting;)
Chris Thorpe

Yanıtlar:

6

Denetçiler tarafından sunulmadığı için genel bir denetim kontrol listesi arıyorum

Bu hayal kırıklığı yaratıyor. Bunu birkaç yıl boyunca yaptım ve neyin değerlendirileceği ve nedeninin (metodoloji) ayrıntılı bir özetini sunmak bizim için yaygın bir uygulamadır. Toplama sürecinin (varsa) herhangi bir potansiyel etkisi de dahil olmak üzere BT personelinin veri çalışması ve toplaması için araçlar sağladık. Ayrıca ayrıntılı gündemlerle tamamlanan toplantılar da planlamamız gerekiyordu, bu da genellikle ne bekleyeceklerini biliyordu. Böyle bir inisiyatifte birini kum torbasında yapmak için hiçbir yapıcı amaç yoktur. Sorunlar genellikle bol miktarda bulunur ve BT personelinin çoğu, katılımın uygun şekilde başlatılması durumunda bunları tartışmaya açıktır.

Yani, bakarsanız dışarıda çok sayıda kontrol listesi var dedi. Ancak bu çabanın temel amacı, mümkün olduğunca çok sayıda konuyu ortaya çıkarmak, öncelik sırasına koymak ve iyileştirme için eylem planları geliştirmek olmalıdır. "Hazırlanmak" konusunda fazla endişe etmem. Son zamanlarda başladığınızdan beri, yerin bir gecede dağılmadığına dair bir anlayış olmalı.

Onayladığınız ağın iyileştirmeye ihtiyacı varsa, iyi bir rapor alırsa, bu muhtemelen şirketin parasının israfı olacaktır.

Greg Askew
kaynak
Kabul. Bu şirket çapında bir denetimdir ve diğer bölümlere benden daha fazla bilgi verilmemektedir. Kesin olarak bildiğimiz tek şey, 3 hafta sürmesi.
PHLiGHT
1
Bu bir "verimlilik" denetimi gibi geliyor.
Warner
2
Ya da şirketi almayı düşünen biri.
John Gardeniers
8

Döküntü varsayımı yapacağım ve teknolojiye, belki de bir sızma testine odaklanan bir iç güvenlik denetimine nasıl hazırlanacağınızı sorduğunuzu varsayalım.

Teknoloji tarafında güvenlik denetimine nasıl hazırlanacağınız, denetimin amacına bağlı olacaktır. Hedef, altyapınızı nasıl geliştireceğinize ilişkin spesifikasyonu tanımlamaksa, hiçbir şey yapamazsınız. Eğer amaç boşluk kalmamasını sağlamaksa, denetimden önce boşluk analizi yapılmasını ve keşfedilen boşlukların düzeltilmesini tavsiye ederim.

Temel BT en iyi uygulamaları için PCI DSS'ye başvurmanızı öneririm . Tabii ki, güvenlik açıkları için yazılımınızı yamalamak gibi yapmanız gereken bariz şeyleri içerir.

Bir güvenlik denetimini çoğaltmak için, Açık Kaynak Güvenlik Test Metodolojisi El Kitabında ayrıntılı olarak açıklanan sızma testi metodolojisini gözden geçirmekle başlayacağım . (OSSTMM)

Daha fazla ayrıntı arıyorsanız, sorunuzu daha az belirsiz olmak için tekrar yazmanızı öneririm.

Warner
kaynak
4
+1 "Sorunuzu daha az belirsiz olmak için tekrar yazmanızı öneririm." - Denetçiler sadece zorlayıcı şeyler göstermekle kalmazlar. İşletmenin belirli bir yönünü test etmek için biri tarafından kiralanırlar ; onları kimin işe aldığı ve neden işe başladığı; tanıdığım her denetçi , telefonu açıp aradığınızda çok iyi iletişim kurar .
Chris S
@Chris, açıkça karşılaştığım denetçilerle uğraşmak zorunda kalmadın. Diğer herhangi bir insan grubu gibi, iletişim kurma yeteneklerinde büyük farklılıklar gösterirler.
John Gardeniers
5

Makineler üretirken, NSA'nın güvenlik kılavuzunda pratik olduğu kadar çok noktaya çarptığınızdan emin olmalısınız (durumunuz için bazı şeyler aşırıya kaçabilir):

http://www.nsa.gov/ia/mitigation_guidance/security_configuration_guides/

Ve makineleri kurduğunuzda, bunu otomatik bir şekilde yapmalısınız, her birine başlamak için birbirlerinin bir çerez kesici. Kurulum ortamı aracılığıyla "elle" oluşturmak, işleri kaçırdığınız yerde hataya açık olabilir.

Otomatikleştirmek! Otomatikleştirmek! Otomatikleştirmek!

Herhangi bir yarı-düzenli prosedür mümkün olduğunca yazılmalıdır. Buna sistem kurulumu, yama, güvenlik açığı taramaları / denetimleri, şifre gücü testi dahildir.

Nic
kaynak
1
Harika bağlantı için +1.
nedm
2

COBIT'i okumak için biraz zaman harcamanızı öneririm, yani BT'nin Kontrol Amaçları. Aslında birçok denetim şirketi tarafından BT alanını denetlemek için kullanılır.

Ayrıca nessus (ağınızı / sunucularınızı güvenlik açıklarına karşı kontrol edecek) veya mbsa (microsoft baseline güvenlik analizörü) gibi araçları kullanmanızı öneririm, ancak yalnızca Windows donanımını kontrol eder.

Bir başlangıç ​​noktası istediğinden, bunun sana yardımcı olabileceğini düşünüyorum.

Bob Nehirleri
kaynak
1

Deneyimlerime göre, şartname olmaksızın bir denetim talep edildiğinde, genellikle bir varlık denetimi anlamına gelir. Bu en kötü tür çünkü şirketin tam olarak ne yaptığını ve belki de meşru olup olmadığını öğrenmeniz gerekiyor.

Şahsen, "denetim" teriminin genel olduğunu ve ayrıntılandırılmasını gerektirdiğini belirtmek isterim. Daha ileri ve daha net bir yön olana kadar resmen başka bir şey yapmıyorum. Gayri resmi olarak gerçekten meşgul oluyorum ve kontrolüm altındaki denetlenebilecek herhangi bir şeyin, kıçımın kapandığından emin olmak için yapabileceğim kadar iyi olduğundan emin olmaya çalışıyorum. Daha sonra, aslında neyin peşinde olduklarını öğrendiğimde, daha önce hazırladığım denetimlerle en alakalı olanları onlara veririm.

John Gardeniers
kaynak
0

Tamamen güncellendiğinden emin olmak için her makineye gitmek pratik değildir. Bu nedenle OpenVAS var (OpenVAS, Nessus'un yeni ücretsiz sürümüdür). Sorunlu alanları belirlemek için OpenVAS'a dahili ağınızdaki her makineyi taramasını söyleyebilirsiniz. Ayrıca, uzak saldırı yüzeyiniz hakkında fikir sahibi olmak için uzaktan çalıştırmanız gerekir. Güvenlik duvarı kural setlerinizde ve saldırılara karşı savunmasız makinelerde sorunlar bulacaksınız.

Kale
kaynak
Kaseya'yı satın aldım ve yakında diğer şeylerin yanı sıra müşteri yamalarını ele almak için bunu yayınlayacağım.
PHLiGHT
@PHLiGHT Dürüst olmak bir şey için para ödemek her zaman daha iyi olmaz.
Kale
0

Nasıl iş yaptığınıza dair bir açıklama yapmak isterdim. Mevcut sürecin (eğer varsa) ve ne olması / gelecekte olması gerektiği. Bir penetrasyon testi veya güvenlik tipi denetim olsaydı, bunu size söylerlerdi ve diğer departmanlara ulaşamazdı. muhtemelen, şirketinizin yönetmeliklerine bağlı olarak diğer iş birimleri için mevzuata uygunluğu nasıl destekleyebileceğiniz hakkında konuşmaya da hazırlıklı olmanız gerekir.

MikeJ
kaynak
0

İyi anladıysam, bir çeşit kontrol listesine ihtiyacınız var ve bu iyi bir başlangıç ​​noktası gibi görünüyor. Orada İnternet'i kullanarak kazmak birçok önerilen olanlar vardır, ama tercih bu bir . Denetim konularının yanı sıra, zaman içinde gerekli olacak ek konuları da bulabilirsiniz.

Ivan Stankovic
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.