Danh sách kiểm tra kiểm toán CNTT [đã đóng]

18

Gần đây tôi đã đảm nhận vị trí một người đàn ông cho một công ty sắp có kiểm toán. Mạng không ở bất cứ nơi nào gần chuẩn bị và tôi đã tìm kiếm một danh sách kiểm tra kiểm toán chung vì một kiểm toán viên đã không được cung cấp và không tìm thấy nhiều thông tin tốt ở đó. Có ai có một mẫu đẹp sẽ cho tôi một điểm khởi đầu tốt. Tôi biết rằng điều này sẽ được tùy biến cao cho công ty nhưng một điểm khởi đầu sẽ hữu ích để phác thảo cho quản lý chỉ cần bao nhiêu công việc.

security 
PHONG CÁCH
nguồn
3
Loại kiểm toán nào? Có vô số thứ có thể được kiểm toán.
Warner
Tôi cũng rất muốn biết điều đó nhưng tôi không thể nhận được bất kỳ phản hồi nào từ các kiểm toán viên để có ý tưởng về phạm vi.
PHLiGHT
5
Kiểm toán tài chính, bảo mật, xử lý và kiểm soát kiểm toán .. một số kiểm toán thậm chí sẽ không thuộc phạm vi điều chỉnh CNTT trung bình.
Warner
2
Nếu họ không hỏi bạn về tài liệu, họ không thể kiểm tra các quy trình / kiểm soát của bạn
Jim B
3
Tôi cảm thấy như tôi nên chỉ ra rằng nếu bạn thực hiện bất kỳ loại chuẩn bị nào cho kiểm toán (ngoài bất kỳ điều gì được kiểm toán viên yêu cầu), thì kiểm toán hoàn toàn bị xâm phạm. Đây được coi là một đánh giá về môi trường của bạn vì nó hiện đang diễn ra, không phải là một chương trình chó và ngựa nơi bạn tỏa sáng trong trạng thái chơi thực sự. Xin lỗi, chỉ cần tán gẫu;)
Chris Thorpe

Câu trả lời:

6

Tôi đã tìm kiếm một danh sách kiểm tra chung vì các kiểm toán viên không được cung cấp

Điều đó thật đáng thất vọng. Tôi đã làm điều này trong một vài năm và chúng tôi đã cung cấp một cái nhìn tổng quan chi tiết về những gì sẽ được đánh giá và tại sao (phương pháp luận). Chúng tôi đã gửi yêu cầu chính thức về thông tin, cung cấp các công cụ cho nhân viên CNTT để chạy và thu thập dữ liệu, bao gồm mọi tác động tiềm năng của quy trình thu thập (nếu có). Chúng tôi cũng đã phải sắp xếp các cuộc họp hoàn chỉnh với các chương trình nghị sự chi tiết, điều này thường có nghĩa là họ biết những gì mong đợi. Không có mục đích xây dựng phục vụ trong việc bao cát cho ai đó trong một sáng kiến ​​như thế này. Các vấn đề thường rất nhiều, và hầu hết các nhân viên CNTT đều sẵn sàng thảo luận về chúng nếu sự tham gia được khởi động đúng cách.

Điều đó nói rằng, có rất nhiều danh sách kiểm tra ngoài đó nếu bạn nhìn. Nhưng mục tiêu chính của nỗ lực này là đưa ra càng nhiều vấn đề càng tốt, ưu tiên chúng và phát triển các kế hoạch hành động để khắc phục. Tôi sẽ không quá quan tâm đến việc "chuẩn bị". Vì bạn đã bắt đầu gần đây, nên có một sự hiểu biết rằng nơi này đã không sụp đổ qua đêm.

Nếu mạng mà bạn thừa nhận đang cần cải thiện nhận được một báo cáo tốt, đó có thể là một sự lãng phí tiền của công ty.

Greg Askew
nguồn
Đã đồng ý. Đây là một cuộc kiểm toán toàn công ty và các bộ phận còn lại sẽ không được cung cấp thông tin nữa so với tôi. Điều duy nhất chúng ta dường như biết chắc chắn là nó dài 3 tuần.
PHLiGHT
1
Nghe có vẻ như một cuộc kiểm toán "hiệu quả".
Warner
2
Hoặc ai đó nghĩ đến việc mua công ty.
John Gardeniers
8

Tôi sẽ đưa ra một giả định phát ban và cho rằng bạn đang hỏi về cách chuẩn bị cho một cuộc kiểm toán an ninh nội bộ với trọng tâm là công nghệ, thậm chí có thể là một bài kiểm tra thâm nhập.

Cách bạn chuẩn bị cho một cuộc kiểm toán bảo mật về phía công nghệ sẽ phụ thuộc vào mục tiêu của cuộc kiểm toán. Nếu mục tiêu là để xác định đặc điểm kỹ thuật cho cách bạn cải thiện cơ sở hạ tầng, bạn có thể không làm gì cả. Nếu mục tiêu là để đảm bảo rằng không còn khoảng trống, tôi khuyên bạn nên thực hiện phân tích lỗ hổng trước khi kiểm toán và sửa bất kỳ khoảng trống nào được phát hiện.

Đối với các hoạt động tốt nhất về CNTT cơ bản, tôi khuyên bạn nên tham khảo PCI DSS . Tất nhiên, nó bao gồm những điều rõ ràng bạn nên làm như vá phần mềm của bạn cho các lỗ hổng bảo mật.

Để sao chép kiểm toán bảo mật, tôi bắt đầu với việc xem xét phương pháp thử nghiệm thâm nhập được nêu chi tiết trong Hướng dẫn phương pháp thử nghiệm bảo mật nguồn mở . (OSSTMM)

Nếu bạn đang tìm kiếm thêm thông tin chi tiết, tôi sẽ khuyến khích bạn viết lại câu hỏi của bạn để bớt mơ hồ.

Warner
nguồn
4
+1 "Tôi sẽ khuyến khích bạn viết lại câu hỏi của bạn để bớt mơ hồ hơn." - Kiểm toán viên không chỉ hiển thị những thứ đòi hỏi. Họ được ai đó thuê để kiểm tra một khía cạnh cụ thể của doanh nghiệp; bắt đầu với những người đã thuê họ và tại sao; mọi kiểm toán viên mà tôi biết đều giao tiếp rất tốt khi bạn chỉ cần nhấc điện thoại và gọi cho họ .
Chris S
@Chris, rõ ràng là bạn chưa phải đối phó với những kiểm toán viên mà tôi đã gặp. Giống như bất kỳ nhóm người nào khác, họ rất khác nhau về khả năng giao tiếp.
John Gardeniers
5

Khi bạn xây dựng máy móc, bạn nên đảm bảo rằng bạn đạt được càng nhiều điểm trong hướng dẫn bảo mật của NSA là thực tế (một số điều có thể quá mức cho tình huống của bạn):

http://www.nsa.gov/ia/mitlation_guidance/security_configuration_guides/

Và khi bạn thiết lập máy móc, bạn nên làm như vậy một cách tự động để mỗi máy là một công cụ cắt cookie của nhau để bắt đầu. Xây dựng "bằng tay" thông qua phương tiện cài đặt có thể dễ bị lỗi khi bạn bỏ lỡ mọi thứ.

Tự động hóa! Tự động hóa! Tự động hóa!

Bất kỳ thủ tục bán thường xuyên nên được viết kịch bản càng nhiều càng tốt. Điều này bao gồm cài đặt hệ thống, vá lỗi, quét / kiểm tra lỗ hổng, kiểm tra độ mạnh của mật khẩu.

Nic
nguồn
1
+1 cho liên kết tuyệt vời.
nedm
2

Tôi khuyên bạn nên dành một chút thời gian để đọc COBIT, đó là Điều khiển đối tượng cho CNTT. Trong thực tế, nó được sử dụng bởi nhiều công ty kiểm toán để kiểm toán khu vực CNTT.

Tôi cũng khuyên bạn nên sử dụng các công cụ như nessus (sẽ kiểm tra lỗ hổng mạng / máy chủ của bạn) hoặc mbsa (bộ phân tích bảo mật cơ sở microsoft), nhưng nó sẽ chỉ kiểm tra phần cứng của windows.

Vì bạn đã yêu cầu một điểm khởi đầu, tôi nghĩ rằng điều này có thể giúp bạn.

Sông Bob
nguồn
1

Theo kinh nghiệm của tôi khi kiểm toán được yêu cầu mà không có thông số kỹ thuật, nó thường có nghĩa là kiểm toán tài sản. Đây là loại tồi tệ nhất vì sau đó bạn cần tìm hiểu chính xác những gì công ty có và có lẽ nó hợp pháp hay không.

Cá nhân, tôi muốn chỉ ra rằng thuật ngữ "kiểm toán" là chung chung và đòi hỏi sự công phu. Tôi chính thức không làm gì thêm cho đến khi tôi tiến xa hơn và một hướng đi rõ ràng hơn. Không chính thức tôi rất bận rộn và cố gắng đảm bảo mọi thứ trong tầm kiểm soát của tôi có thể được kiểm tra đều có hình dạng tốt như tôi có thể làm được, chỉ để chắc chắn rằng mông của tôi được che kín. Sau đó, khi tôi tìm ra những gì họ thực sự sau đó, tôi đưa cho họ những kiểm toán phù hợp nhất mà tôi đã chuẩn bị trước đó.

John Gardeniers
nguồn
0

Việc đi đến từng máy để đảm bảo cập nhật đầy đủ là không thực tế. Đây là lý do OpenVAS tồn tại (OpenVAS là phiên bản miễn phí mới của Nessus). Bạn có thể yêu cầu OpenVAS quét mọi máy trên mạng nội bộ của bạn để xác định các khu vực có vấn đề. Bạn cũng cần chạy nó từ xa để có ý tưởng về bề mặt tấn công từ xa của bạn. Bạn sẽ tìm thấy các vấn đề với bộ quy tắc tường lửa và máy dễ bị tấn công.

Tân binh
nguồn
Tôi đã mua Kaseya và sẽ sớm triển khai để giải quyết vấn đề vá máy khách trong số những thứ khác.
PHLiGHT
@PHLiGHT Thành thật trả tiền cho một cái gì đó không phải lúc nào cũng làm cho nó tốt hơn.
Rook
0

Tôi sẽ tìm cách đưa ra một tuyên bố về cách bạn làm kinh doanh. Quá trình hiện tại là gì (nếu có tồn tại) và những gì nó nên / sẽ là tương lai. Nếu đó là một bài kiểm tra thâm nhập hoặc kiểm toán loại bảo mật, họ sẽ nói với bạn điều đó và nó sẽ không đến được với các bộ phận khác. có lẽ cũng cần chuẩn bị để nói về cách bạn có thể hỗ trợ tuân thủ quy định cho các đơn vị kinh doanh khác tùy thuộc vào các quy định mà công ty của bạn có thể tuân theo.

MikeJ
nguồn
0

Nếu tôi hiểu rõ, bạn cần một loại danh sách kiểm tra và đó có vẻ là một điểm khởi đầu tốt. Có nhiều gợi ý bạn có thể khai thác bằng Internet, nhưng tôi thích cái này hơn . Cùng với các chủ đề kiểm toán, bạn cũng có thể tìm thấy những chủ đề bổ sung sẽ được yêu cầu

Ivan Stankovic
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.