Недавно я занял позицию персонального специалиста в компании, которая собирается проводить аудит. Сеть еще далеко не готова, и я искал общий контрольный список для аудита, так как он не был предоставлен аудиторами и не нашел там много хорошей информации. Есть ли у кого-нибудь хороший шаблон, который послужит мне хорошей отправной точкой. Я знаю, что это будет сильно адаптировано для компании, но отправной точкой будет полезно указать руководству, сколько работы необходимо.
Я собираюсь сделать опрометчивое предположение и предположить, что вы спрашиваете о том, как подготовиться к внутреннему аудиту безопасности с упором на технологии, возможно, даже на тест на проникновение.
То, как вы готовитесь к аудиту безопасности на технологической стороне, будет зависеть от цели аудита. Если цель состоит в том, чтобы определить спецификацию того, как вы улучшаете свою инфраструктуру, вы можете ничего не делать. Если цель состоит в том, чтобы убедиться, что не осталось пробелов, я бы рекомендовал провести анализ пробелов перед аудитом и исправить любые обнаруженные пробелы.
Для получения наилучших основных практик в области ИТ я бы рекомендовал обратиться к PCI DSS. Конечно, он включает в себя очевидные вещи, которые вы уже должны делать, например, исправление уязвимостей в программном обеспечении.
Чтобы воспроизвести аудит безопасности, я бы начал с обзора методологии тестирования на проникновение, подробно описанной в Руководство по методологии тестирования безопасности с открытым исходным кодом. (OSSTMM)
Если вы ищете дополнительные сведения, я бы посоветовал вам переписать свой вопрос, чтобы он был менее двусмысленным.
Я искал общий контрольный список аудита, так как он не был предоставлен аудиторами
Это неутешительно. Я делал это в течение нескольких лет, и для нас было обычной практикой давать подробный обзор того, что будет оцениваться и почему (методология). Мы отправили официальные запросы на информацию, предоставили ИТ-персоналу инструменты для запуска и сбора данных, включая любые потенциальные последствия процесса сбора (если таковые имеются). Нам также приходилось планировать встречи с подробными повестками дня, что обычно означало, что они знали, чего ожидать. Нет никакой конструктивной цели в том, чтобы запугивать кого-то в подобной инициативе. Проблем обычно много, и большинство ИТ-специалистов готовы их обсудить, если взаимодействие начато должным образом.
Тем не менее, если вы посмотрите, есть много контрольных списков. Но главной целью этих усилий должно быть выявление как можно большего числа проблем, их приоритетность и разработка планов действий по их устранению. Я бы не слишком беспокоился о том, чтобы быть «подготовленным». Поскольку вы начали недавно, должно быть понимание, что это место не развалилось в одночасье.
Если сеть, которую вы признаете, нуждается в улучшении, получит хороший отчет, это, вероятно, будет пустой тратой денег компании.
Когда вы строите машины, вы должны убедиться, что вы выполнили как можно больше пунктов в руководстве по безопасности NSA (некоторые вещи могут быть излишними для вашей ситуации):
http://www.nsa.gov/ia/mitigation_guidance/security_configuration_guides/
И когда вы настраиваете машины, вы должны делать это автоматически, чтобы каждая из них была для начала похожа на другую. Сборка «вручную» с помощью установочного носителя может быть подвержена ошибкам, если вы что-то пропустите.
Автоматизируйте! Автоматизируйте! Автоматизируйте!
Любая полурегулярная процедура должна быть максимально написана сценарием. Это включает установку системы, исправление, сканирование / аудит уязвимостей, проверку надежности пароля.
Я рекомендую вам потратить некоторое время на чтение COBIT, то есть Control Objectives for IT. Фактически, он используется многими аудиторскими компаниями для аудита области ИТ.
Я также рекомендую вам использовать такие инструменты, как nessus (который проверяет вашу сеть / серверы на наличие уязвимостей) или mbsa (базовый анализатор безопасности Microsoft), но он будет проверять только оборудование Windows.
Поскольку вы спросили отправную точку, я думаю, это может вам помочь.
По моему опыту, когда аудит запрашивается без спецификаций, это обычно означает аудит активов. Это наихудший вариант, потому что тогда вам нужно точно выяснить, что есть у компании и, возможно, законно это или нет.
Лично мне нравится указывать на то, что термин «аудит» является общим и требует уточнения. Я официально больше ничего не делаю, пока не прохожу дальше и не получу более четкого направления. Неофициально я очень занят и стараюсь удостовериться, что все, что под моим контролем, что можно проверить, находится в настолько хорошей форме, насколько это возможно, просто чтобы быть уверенным, что моя задница прикрыта. Затем, когда я узнаю, что им на самом деле нужно, я вручаю им наиболее релевантные из проверок, которые я ранее подготовил по теме «Довольно».
Нецелесообразно переходить к каждой машине, чтобы убедиться, что она полностью обновлена. Вот почему OpenVAS существует (OpenVAS - это новая бесплатная версия Nessus). Вы можете указать OpenVAS сканировать каждую машину в вашей внутренней сети, чтобы определить проблемные области. Вам также необходимо запустить его удаленно, чтобы получить представление о вашей удаленной поверхности атаки. Вы обнаружите проблемы с наборами правил брандмауэра и машинами, уязвимыми для атак.
Я хотел бы составить отчет о том, как вы ведете бизнес. Каков текущий процесс (если он существует) и каким он должен / будет в будущем. Если бы это был тест на проникновение или аудит типа безопасности, они бы сказали вам об этом, и это не было бы доступно другим отделам. вероятно, также необходимо быть готовым поговорить о том, как вы можете обеспечить соблюдение нормативных требований для других бизнес-единиц в зависимости от нормативных требований, которым может подчиняться ваша компания.
Если я хорошо понял, вам нужен своего рода контрольный список, и это кажется хорошей отправной точкой. Есть много вариантов, которые вы можете найти в Интернете, но я предпочитаю вот этот. Наряду с темами аудита вы можете найти дополнительные, которые потребуются со временем.