आईटी ऑडिट चेकलिस्ट [बंद]

मैंने हाल ही में एक कंपनी के लिए एक आदमी शो की स्थिति ली है जो एक ऑडिट करने जा रहा है। नेटवर्क कहीं भी तैयार होने के करीब नहीं है और मैं एक सामान्य ऑडिट चेकलिस्ट की तलाश कर रहा हूं क्योंकि एक ऑडिटर द्वारा प्रदान नहीं किया गया है और वहां बहुत अच्छी जानकारी नहीं मिली है। क्या किसी के पास एक अच्छा खाका है जो मुझे एक अच्छा प्रारंभिक बिंदु देगा। मुझे पता है कि यह कंपनी के लिए अत्यधिक अनुकूलित होगा लेकिन एक शुरुआती बिंदु प्रबंधन की रूपरेखा तैयार करने में मददगार साबित होगा कि काम की कितनी जरूरत है।

मैं एक सामान्य ऑडिट चेकलिस्ट की तलाश कर रहा हूं क्योंकि कोई ऑडिटर द्वारा प्रदान नहीं किया गया है

यह निराशाजनक है। मैंने इसे कुछ वर्षों के लिए किया था, और हमारे लिए यह सामान्य अभ्यास था कि क्या और क्यों (विधि) का मूल्यांकन किया जाएगा। हमने जानकारी के लिए औपचारिक अनुरोध प्रस्तुत किया, आईटी कर्मचारियों के लिए उपकरण चलाने और इकट्ठा करने के लिए उपकरण प्रदान किए, जिसमें संग्रह प्रक्रिया के किसी भी संभावित प्रभाव (यदि कोई हो) शामिल हैं। हमें विस्तृत एजेंडों के साथ बैठकों को भी पूरा करना था, जिसका आमतौर पर मतलब होता था कि वे जानते थे कि क्या करना है। इस तरह की पहल में किसी को सैंडबैग देने में कोई रचनात्मक उद्देश्य नहीं है। आम तौर पर मुद्दे गंभीर होते हैं, और अधिकांश आईटी कर्मचारी उन पर चर्चा करने के लिए खुले होते हैं अगर सगाई ठीक से बंद हो जाती है।

उस ने कहा, अगर आप देखते हैं तो बहुत सारे चेकलिस्ट हैं। लेकिन इस प्रयास का प्राथमिक लक्ष्य अधिक से अधिक मुद्दों को धरातल पर उतारना, उन्हें प्राथमिकता देना और विमुद्रीकरण की कार्ययोजना विकसित करना होना चाहिए। मैं "तैयार" होने के बारे में बहुत चिंतित नहीं होगा। चूंकि आपने हाल ही में शुरू किया है, इसलिए यह समझ होनी चाहिए कि वह जगह रात भर नहीं गिरी।

यदि आप स्वीकार करते हैं कि नेटवर्क में सुधार की आवश्यकता है, तो एक अच्छी रिपोर्ट प्राप्त होती है, जो संभवतः कंपनी के पैसे की बर्बादी होगी।

मैं एक दाने की धारणा बनाने जा रहा हूं और यह मान लेता हूं कि आप एक आंतरिक सुरक्षा ऑडिट की तैयारी के बारे में पूछ रहे हैं, जो तकनीक पर ध्यान केंद्रित कर रहा है, शायद एक प्रवेश परीक्षा भी।

आप तकनीकी पक्ष पर सुरक्षा ऑडिट की तैयारी कैसे करते हैं, यह ऑडिट के लक्ष्य पर निर्भर करता है। यदि लक्ष्य इसके लिए है कि आप अपने बुनियादी ढांचे में सुधार के लिए विनिर्देश को कैसे परिभाषित करते हैं, तो आप कुछ भी नहीं कर सकते हैं। यदि लक्ष्य यह सुनिश्चित करना है कि कोई अंतराल नहीं है, तो मैं ऑडिट से पहले एक अंतर विश्लेषण करने और खोजे गए किसी भी अंतराल को सुधारने की सलाह दूंगा।

मूल आईटी सर्वोत्तम प्रथाओं के लिए मैं PCI DSS को संदर्भित करने की सलाह दूंगा । बेशक, इसमें स्पष्ट चीजें शामिल हैं जिन्हें आपको पहले से ही करना चाहिए जैसे कि सुरक्षा कमजोरियों के लिए अपने सॉफ़्टवेयर को पैच करना।

एक सुरक्षा ऑडिट को दोहराने के लिए मैं ओपन सोर्स सिक्योरिटी टेस्टिंग मेथोलॉजी मैनुअल में विस्तृत पैठ परीक्षण पद्धति की समीक्षा करना शुरू करूंगा । (OSSTMM)

यदि आप आगे के विवरण की तलाश कर रहे हैं, तो मैं आपको कम अस्पष्ट होने के लिए आपके प्रश्न को फिर से लिखने के लिए प्रोत्साहित करूंगा।

जब आप मशीनों का निर्माण कर रहे होते हैं, तो आपको यह सुनिश्चित करना चाहिए कि आप एनएसए के सुरक्षा गाइड में कई बिंदुओं के रूप में हिट कर रहे हैं जैसा कि व्यावहारिक है (कुछ चीजें आपकी स्थिति के लिए ओवरकिल हो सकती हैं):

http://www.nsa.gov/ia/mitigation_guidance/security_configuration_guides/

और जब आप मशीनों की स्थापना करते हैं, तो आपको ऐसा करना चाहिए कि प्रत्येक स्वचालित शैली में प्रत्येक के लिए एक कुकी कटर है जिसे शुरू करना है। इंस्टॉलेशन मीडिया के माध्यम से "हाथ से" बिल्डिंग में त्रुटि हो सकती है जहां आप चीजों को याद करते हैं।

स्वचालित! स्वचालित! स्वचालित!

किसी भी अर्ध-नियमित प्रक्रिया को जितना संभव हो उतना स्क्रिप्ट किया जाना चाहिए। इसमें सिस्टम इंस्टॉलेशन, पैचिंग, भेद्यता स्कैन / ऑडिट, पासवर्ड शक्ति परीक्षण शामिल हैं।

मैं आपको COBIT पढ़ने के लिए कुछ समय बिताने की सलाह देता हूँ, जो कि IT के लिए नियंत्रण OBjectives है। वास्तव में इसका उपयोग कई ऑडिटिंग कंपनियों द्वारा आईटी क्षेत्र के ऑडिट के लिए किया जाता है।

मैं आपको नेसस (जो कमजोरियों के लिए आपके नेटवर्क / सर्वरों की जांच करूँगा) या mbsa (Microsoft आधारभूत सुरक्षा विश्लेषक) जैसे उपकरणों का उपयोग करने की सलाह देता हूं, लेकिन यह केवल विंडोज़ हार्डवेयर की जांच करेगा।

चूंकि आपने शुरुआती बिंदु मांगा था, इसलिए मुझे लगता है कि यह आपकी मदद कर सकता है।

मेरे अनुभव में जब विनिर्देशों के बिना एक ऑडिट का अनुरोध किया जाता है, तो इसका मतलब आमतौर पर एक परिसंपत्ति ऑडिट होता है। यह सबसे खराब प्रकार है क्योंकि आपको तब यह पता लगाना होगा कि कंपनी के पास क्या है और शायद यह वैध है या नहीं।

व्यक्तिगत रूप से, मैं यह बताना चाहता हूं कि "ऑडिट" शब्द सामान्य है और इसमें विस्तार की आवश्यकता है। मैं आधिकारिक तौर पर तब तक और कुछ नहीं करता जब तक मैं आगे और स्पष्ट दिशा नहीं पा लेता। अनौपचारिक रूप से मैं वास्तविक व्यस्त हो जाता हूं और यह सुनिश्चित करने की कोशिश करता हूं कि मेरे नियंत्रण में कुछ भी हो सकता है जिसे ऑडिट किया जा सके, यह उतना ही अच्छा है जितना कि मैं इसे बना सकता हूं, बस यह सुनिश्चित करने के लिए कि मेरा बट कवर है। फिर, जब मुझे पता चलता है कि वे वास्तव में उसके बाद क्या हैं, तो मैंने उन्हें उन ऑडिट का सबसे अधिक प्रासंगिक सौंप दिया जो मैंने पहले काफी तैयार किया था।

यह सुनिश्चित करने के लिए प्रत्येक मशीन पर जाने के लिए व्यावहारिक नहीं है कि यह पूरी तरह से अपडेट हो। यही कारण है कि OpenVAS मौजूद है (OpenVAS नेस्स का नया मुक्त संस्करण है)। आप समस्या क्षेत्रों की पहचान करने के लिए OpenVAS को अपने आंतरिक नेटवर्क पर प्रत्येक मशीन को स्कैन करने के लिए कह सकते हैं। आपको अपने रिमोट अटैक की सतह का अंदाजा लगाने के लिए इसे दूर से चलाने की भी जरूरत है। आप अपने फ़ायरवॉल नियम सेट और मशीनों के साथ समस्या पाएंगे जो हमला करने के लिए असुरक्षित हैं।

मैं एक बयान देना चाहूंगा कि आप कैसे व्यापार करते हैं। क्या वर्तमान प्रक्रिया (यदि कोई मौजूद है) और भविष्य में क्या होना चाहिए / क्या होगा। यदि यह एक प्रवेश परीक्षा या सुरक्षा प्रकार का ऑडिट होता तो वे आपको बता देते और यह अन्य विभागों में पहुँच जाता। शायद इस बात के लिए भी तैयार रहने की जरूरत है कि आप अपनी कंपनी के नियमों के आधार पर अन्य व्यावसायिक इकाइयों के लिए नियामक अनुपालन का समर्थन कैसे कर सकते हैं।

अगर मुझे अच्छी तरह से समझ में आया है, तो आपको एक तरह की चेक लिस्ट चाहिए और यह एक अच्छी शुरुआत की तरह लगती है। वहाँ कई सुझाई गई हैं जिन्हें आप इंटरनेट का उपयोग करने की खुदाई कर सकते हैं, लेकिन मैं पसंद करते हैं यह एक । ऑडिटिंग विषयों के साथ, आप अतिरिक्त लोगों को पा सकते हैं जो समय में भी आवश्यक होंगे