IT 감사 점검표 [닫힘]

18

나는 최근에 감사를받을 회사를 위해 한 사람의 쇼를 맡았습니다. 네트워크는 어디에도 준비되어 있지 않으며 감사자가 제공하지 않았으며 좋은 정보를 찾지 못했기 때문에 일반적인 감사 점검 목록을 찾고 있습니다. 누구나 좋은 출발점을 줄 멋진 템플릿이 있습니까? 나는 이것이 회사에 고도로 맞춤화 될 것이지만 시작점은 얼마나 많은 작업이 필요한지 경영진에 대해 설명하는 데 도움이 될 것입니다.

security

— PHLiGHT
소스

3

어떤 유형의 감사? 감사 할 수있는 많은 것들이 있습니다.

— 워너

나는 그 사실을 알고 싶지만 감사관으로부터 범위에 대한 아이디어를 얻을 수있는 답변을 얻지 못했습니다.

— PHLiGHT

5

재무 감사, 보안, 프로세스 및 제어 감사. 일부 감사는 평균 IT 조사에 미치지 못할 수도 있습니다.

— 워너

2

그들이 문서를 요구하지 않으면 프로세스 / 제어를 감사 할 수 없습니다.

— Jim B

3

감사원이 요청한 것 이외의 감사 준비를 수행하면 감사가 완전히 침해 된 것 같습니다. 실제 플레이 상태를 밝히는 개와 조랑말 쇼가 아니라 현재의 환경을 평가해야합니다. 죄송합니다, 그냥 방금;)

— Chris Thorpe 2:18에

6

감사원이 제공하지 않은 일반 감사 점검표를 찾고 있습니다.

실망 스럽습니다. 나는 이것을 몇 년 동안 해왔으며, 우리가 평가할 대상과 방법 (방법론)에 대한 자세한 개요를 제공하는 것이 일반적인 관행이었다. 수집 프로세스의 잠재적 영향을 포함하여 IT 담당자가 데이터를 실행하고 수집 할 수있는 도구를 제공하여 정보에 대한 공식 요청을 제출했습니다. 또한 세부 안건으로 완성 된 회의를 예약해야했기 때문에 대개 무엇을 기대해야하는지 알았습니다. 이와 같은 이니셔티브에서 누군가를 샌드백하는 데에는 건설적인 목적이 없습니다. 문제는 일반적으로 많으며 대부분의 IT 직원은 계약이 제대로 시작되면 문제를 논의 할 수 있습니다.

즉, 보면 체크리스트가 많이 있습니다. 그러나이 노력의 주요 목표는 가능한 많은 문제를 제기하고 우선 순위를 정하며 개선 조치 계획을 수립하는 것입니다. 나는 "준비"되는 것에 대해 너무 걱정하지 않을 것입니다. 최근에 시작 했으므로 장소가 하룻밤 사이에 떨어지지 않았다는 것을 이해해야합니다.

귀하가 인정한 네트워크가 개선이 필요한 경우, 좋은보고를 받으면 회사의 돈을 낭비하게 될 것입니다.

— 그렉 비 스케
소스

동의했다. 이것은 회사 전체의 감사이며 나머지 부서에는 더 이상 정보가 제공되지 않습니다. 우리가 확실히 알고있는 유일한 것은 그것이 3 주 길이라는 것입니다.

— PHLiGHT

1

이는 "효율성"감사처럼 들립니다.

— 워너

2

아니면 누군가 회사를 사려고 생각합니다.

— John Gardeniers

8

나는 성급한 가정을 세우고 기술, 아마도 침투 테스트에 중점을 둔 내부 보안 감사를 준비하는 방법에 대해 질문한다고 가정합니다.

기술 측면에서 보안 감사를 준비하는 방법은 감사의 목표에 달려 있습니다. 인프라 개선 방법에 대한 사양을 정의하는 것이 목표라면 아무 것도 할 수 없습니다. 간격이 남아 있지 않도록하는 것이 목표라면 감사 전에 간격 분석을 수행하고 발견 된 간격을 수정하는 것이 좋습니다.

기본적인 IT 모범 사례를 보려면 PCI DSS를 참조하는 것이 좋습니다 . 물론 여기에는 보안 취약점을 위해 소프트웨어를 패치하는 것과 같이 이미해야 할 일이 포함되어 있습니다.

보안 감사를 복제하기 위해 오픈 소스 보안 테스트 방법론 매뉴얼에 자세히 설명 된 침투 테스트 방법론을 검토합니다 . (OSSTMM)

더 자세한 내용을 찾고 있다면 모호하지 않도록 질문을 다시 작성하는 것이 좋습니다.

— 워너
소스

4

+1 "모호하지 않게 질문을 다시 작성해 보시기 바랍니다." -감사관은 단지 까다로운 것을 보여주지 않습니다. 그들은 비즈니스의 특정 측면을 테스트하기 위해 누군가 가 고용합니다 . 누가 그들을 고용했는지, 왜 시작하는지; 내가 아는 모든 감사관은 단순히 전화를 들고 전화를 걸 때 아주 잘 의사 소통 합니다 .

— Chris S

@Chris, 당신은 분명히 내가 겪었던 동일한 감사원을 다룰 필요가 없었습니다. 다른 그룹의 사람들과 마찬가지로 의사 소통 능력이 크게 다릅니다.

— John Gardeniers

5

머신을 구축 할 때 NSA 보안 가이드에서 가능한 한 많은 점수를 얻었는지 확인해야합니다 (일부는 상황에 따라 과도 할 수 있습니다).

http://www.nsa.gov/ia/mitigation_guidance/security_configuration_guides/

그리고 기계를 설치할 때, 자동으로 자동으로 설정해야합니다. 설치 미디어를 통해 "수동으로"구축하면 오류가 발생하기 쉽습니다.

자동화! 자동화! 자동화!

모든 반 정규 절차는 가능한 한 많이 스크립팅해야합니다. 여기에는 시스템 설치, 패치, 취약성 검색 / 감청, 비밀번호 강도 테스트가 포함됩니다.

— 닉
소스

1

훌륭한 연결을 위해 +1.

— nedm

2

COBIT (IT의 제어 목표)를 읽는 데 시간을 할애하는 것이 좋습니다. 실제로 많은 감사 회사에서 IT 영역을 감사하는 데 사용합니다.

또한 네트워크 / 서버의 취약점을 검사하는 nessus 또는 mbsa (Microsoft baseline security analyser)와 같은 도구를 사용하는 것이 좋지만 Windows 하드웨어 만 검사합니다.

시작점을 요청했기 때문에 이것이 도움이 될 것 같습니다.

— 밥 리버스
소스

1

사양없이 감사를 요청한 경험에서 일반적으로 자산 감사를 의미합니다. 이것은 회사가 가지고있는 것과 정확히 합법적인지 아닌지를 정확히 알아야하기 때문에 최악의 종류입니다.

개인적으로 저는 "감사"라는 용어가 일반적이며 정교함이 필요하다는 점을 지적하고 싶습니다. 나는 더 나아가 더 분명한 방향을 얻을 때까지 공식적으로 더 이상 아무것도하지 않습니다. 비공식적으로 나는 정말 바빠서 감사 할 수있는 통제하에있는 물건이 내가 할 수있는 한 좋은 모양을 유지하려고 노력한다. 그런 다음 그들이 실제로 무엇을했는지 알아낼 때, 나는 그들에게 내가 이전에 준비했던 감사의 가장 관련성이 높은 감사를 건네줍니다.

— 존 가든 리 어스
소스

0

완전히 업데이트하기 위해 각 컴퓨터로 이동하는 것은 실용적이지 않습니다. 이것이 OpenVAS 가 존재하는 이유입니다 (OpenVAS는 Nessus의 새로운 무료 버전입니다). OpenVAS에 내부 네트워크의 모든 시스템을 스캔하여 문제 영역을 식별하도록 지시 할 수 있습니다. 또한 원격 공격 표면에 대한 아이디어를 얻으려면 원격으로 실행해야합니다. 방화벽 규칙 세트 및 공격에 취약한 시스템에 문제가 있습니다.

— 사기꾼
소스

나는 Kaseya를 구입했으며 클라이언트 패치를 해결하기 위해 곧 출시 할 예정입니다.

— PHLiGHT

@PHLiGHT 정직하게 돈을 지불한다고해서 항상 더 좋아지는 것은 아닙니다.

— Rook

0

나는 당신이 사업을 어떻게하는지에 대한 성명서를 작성하려고합니다. 현재 프로세스 (있는 경우) 및 향후 계획 및 향후 계획 침투 테스트 또는 보안 유형 감사 인 경우 다른 부서에서는 도달하지 않았을 것입니다. 회사의 규정에 따라 다른 사업부의 규정 준수를 지원할 수있는 방법에 대해서도 이야기 할 준비가되어 있어야합니다.

— MikeJ
소스

0

잘 이해한다면 일종의 점검 목록이 필요하며 좋은 출발점처럼 보입니다. 인터넷을 사용하여 파낼 수있는 제안 된 것들이 많이 있지만, 나는 이것을 선호 합니다 . 감사 주제와 함께 시간에 필요한 추가 주제도 찾을 수 있습니다.

— 이반 스탄코비치
소스