Недавно я занял позицию «специалиста» для компании, которой предстоит аудит. Сеть даже близко не подготовлена, и я искал общий контрольный список аудита, поскольку аудиторы не предоставили его, и я не нашел никакой полезной информации. Есть ли у кого-нибудь хороший шаблон, который даст мне хорошую отправную точку. Я знаю, что это будет очень индивидуально для компании, но отправная точка будет полезна, чтобы обрисовать руководству, какой объем работы необходим.
Ответ 1
Я занимался этим в течение нескольких лет, и для нас было обычной практикой предоставлять подробный обзор того, что будет оцениваться и почему (методология). Мы подавали официальные запросы на информацию, предоставляли ИТ-персоналу инструменты для запуска и сбора данных, включая возможные последствия процесса сбора (если таковые были). Нам также приходилось планировать встречи с подробной повесткой дня, что обычно означало, что персонал знает, чего ожидать. Нет никакой конструктивной цели в том, чтобы подстраховывать кого-то в подобных инициативах. Проблем обычно много, и большинство ИТ-специалистов готовы обсуждать их, если взаимодействие начато должным образом.
При этом, если поискать, можно найти множество контрольных списков. Но главной целью этой работы должно быть выявление как можно большего количества проблем, определение их приоритетности и разработка планов действий по их устранению. Я бы не стал слишком беспокоиться о том, чтобы быть «подготовленным». Поскольку вы начали работу недавно, должно быть понимание того, что это место не развалилось в одночасье.
Если сеть, которая, по вашему мнению, нуждается в улучшении, получит хороший отчет, это, вероятно, будет пустой тратой денег компании.
Ответ 2
Я сделаю опрометчивое предположение и предположу, что вы спрашиваете о том, как подготовиться к внутреннему аудиту безопасности с акцентом на технологии, возможно, даже к тесту на проникновение в систему.
То, как вы подготовитесь к аудиту безопасности с технологической стороны, будет зависеть от цели аудита. Если цель состоит в том, чтобы определить спецификацию для улучшения вашей инфраструктуры, вы можете ничего не делать. Если цель состоит в том, чтобы убедиться в отсутствии пробелов, я бы рекомендовал провести анализ пробелов до начала аудита и устранить все обнаруженные пробелы.
Что касается фундаментальных передовых методов ИТ, я бы рекомендовал обратиться к PCI DSS. Конечно, в него входят очевидные вещи, которые вы уже должны делать, например, исправление уязвимостей в программном обеспечении. Чтобы воспроизвести аудит безопасности, я бы начал с изучения методологии тестирования на проникновение, подробно описанной в Open Source Security Testing Methodology Manual (OSSTMM). Если вы ищете более подробную информацию, я бы посоветовал вам переформулировать свой вопрос, чтобы он был менее двусмысленным.
Ответ 3
По моему опыту, когда аудит запрашивается без спецификаций, это обычно означает аудит активов. Это худший вид аудита, потому что вам нужно выяснить, что именно есть у компании и, возможно, законно ли это или нет. Лично мне нравится указывать на то, что термин «аудит» является общим и требует уточнения. Официально я больше ничем не занимаюсь, пока не получу дальнейшее и более четкое направление. Неофициально я очень занят и стараюсь, чтобы все, что находится под моим контролем и может быть подвергнуто аудиту, было в настолько хорошей форме, насколько я могу это сделать, просто чтобы быть уверенным, что у меня не будет проблем. Затем, когда я узнаю, что им на самом деле нужно, я передаю им наиболее актуальные из ранее подготовленных мною аудиторских проверок.
Ответ 4
Когда вы выполняете проверку машины, вы должны убедиться, что вы затронули как можно больше пунктов в руководстве по безопасности (некоторые вещи могут быть излишними для вашей ситуации).
И вы должны делать это автоматизированным способом, чтобы каждая из них была похожа на все остальные. Сборка «вручную» с помощью установочного носителя может быть чревата ошибками, когда вы что-то упускаете.
Любая полурегулярная процедура должна быть максимально заскриптована. Сюда относятся установка системы, исправления, сканирование/аудит уязвимостей, проверка надежности паролей и т. д.
Ответ 5
Непрактично подходить к каждой машине, чтобы убедиться, что она полностью обновлена. Для этого и существует OpenVAS (OpenVAS – это новая бесплатная версия Nessus). Вы можете попросить OpenVAS просканировать каждую машину в вашей внутренней сети для выявления проблемных областей. Вам также нужно запустить его удаленно, чтобы получить представление о поверхности удаленных атак. Вы найдете проблемы с наборами правил брандмауэра и машины, которые уязвимы для атак.
Ответ 6
Я бы хотел составить отчет о том, как вы ведете бизнес. Каков текущий процесс (если таковой существует) и каким он должен быть/будет в будущем. Если бы это был тест на проникновение или аудит типа безопасности, они бы сказали вам об этом, и это не распространялось бы на другие отделы. Возможно, также нужно быть готовым рассказать о том, как вы можете поддерживать нормативное соответствие для других бизнес-подразделений в зависимости от нормативных актов, под действие которых попадает ваша компания.
Security
