আইটি অডিট চেকলিস্ট [বন্ধ]

18

আমি সম্প্রতি একটি অডিট করতে চলেছে এমন একটি সংস্থার জন্য একজন লোকের শোয়ের অবস্থান নিয়েছি। নেটওয়ার্কটি প্রস্তুতের কাছাকাছি কোথাও নেই এবং আমি একটি সাধারণ নিরীক্ষার চেকলিস্টটি খুঁজছি যেহেতু একটি নিরীক্ষক সরবরাহ করেন নি এবং সেখানে খুব ভাল তথ্য পাওয়া যায় নি। কারও কি এমন একটি দুর্দান্ত টেম্পলেট রয়েছে যা আমাকে একটি ভাল সূচনা পয়েন্ট দেবে। আমি জানি যে এটি সংস্থায় অত্যন্ত কাস্টমাইজ করা হবে তবে একটি প্রাথমিক পয়েন্টটি ঠিক কতটা কাজ দরকার তা পরিচালনায় রূপরেখার ক্ষেত্রে সহায়ক হবে।

security 
PHLiGHT
সূত্র
3
কি ধরণের নিরীক্ষা? এখানে প্রচুর পরিমাণে অডিট করা যেতে পারে।
ওয়ার্নার
আমি এটি জানতেও চাই তবে আমি সুযোগটি সম্পর্কে ধারণা পাওয়ার জন্য নিরীক্ষকদের কাছ থেকে কোনও প্রতিক্রিয়া পেতে সক্ষম হইনি।
PHLiGHT
5
আর্থিক নিরীক্ষা, সুরক্ষা, প্রক্রিয়া এবং নিয়ন্ত্রণ নিরীক্ষা .. কিছু অডিট এমনকি গড় আইটি পরিধির অধীনেও আসত না।
ওয়ার্নার
2
যদি তারা আপনাকে ডকুমেন্টেশনের জন্য জিজ্ঞাসা না করে তবে তারা আপনার প্রক্রিয়া / নিয়ন্ত্রণগুলি অডিট করতে পারবেন না
জিম বি
3
আমার মনে হচ্ছে আমার এটি উল্লেখ করা উচিত যে আপনি যদি নিরীক্ষণের জন্য কোনও ধরণের প্রস্তুতি (অডিটরদের অনুরোধ করা কোনও কিছু ছাড়িয়ে) করেন তবে নিরীক্ষাটি সম্পূর্ণ আপোস করা হয়। এটি বর্তমানে আপনার পরিবেশের মূল্যায়ন হওয়ার কথা বলে মনে করা হয়, এটি কুকুর-পোড়ির শো নয় যেখানে আপনি খেলার সত্যিকারের অবস্থা নিয়ে চকচকে করেন। দুঃখিত, কেবল রেটিং করছেন;)
ক্রিস থর্প

উত্তর:

6

আমি একটি সাধারণ নিরীক্ষণের চেকলিস্টটি খুঁজছি যেহেতু নিরীক্ষকরা সরবরাহ করেন নি

হতাশাজনক। আমি বেশ কয়েক বছর এটি করেছি এবং কী মূল্যায়ন করা হবে এবং কেন (পদ্ধতি) তার বিশদ ওভারভিউ সরবরাহ করা আমাদের পক্ষে প্রচলিত অভ্যাস ছিল। সংগ্রহের প্রক্রিয়াটির কোনও সম্ভাব্য প্রভাব (যদি থাকে) সহ আমরা তথ্য সরবরাহের জন্য আইটি কর্মীদের জন্য সরঞ্জাম সরবরাহ, তথ্য সরবরাহের জন্য সরঞ্জাম সরবরাহ, তথ্য সরবরাহের জন্য আমরা আনুষ্ঠানিক অনুরোধগুলি জমা দিয়েছিলাম। আমাদের বিশদ এজেন্ডাসহ পূর্ণ বৈঠকের সময়সূচিও নির্ধারণ করতে হয়েছিল, যার অর্থ সাধারণত তারা কী প্রত্যাশা করতে পারে তা জানতেন। এই জাতীয় উদ্যোগে কাউকে স্যান্ডব্যাগিংয়ের ক্ষেত্রে কোনও গঠনমূলক উদ্দেশ্য নেই। ইস্যুগুলি সাধারণত নিখুঁত হয় এবং বেশিরভাগ আইটি কর্মীরা যদি এই বাগদানটি সঠিকভাবে বন্ধ করে দেওয়া হয় তবে সেগুলি নিয়ে আলোচনা করার জন্য উন্মুক্ত।

এটি বলেছে, আপনি যদি দেখেন তবে সেখানে প্রচুর চেকলিস্ট রয়েছে। তবে এই প্রয়াসের প্রাথমিক লক্ষ্যটি যথাসম্ভব যতগুলি সমস্যা সমাধান করা উচিত, তাদের অগ্রাধিকার দেওয়া এবং প্রতিকারের জন্য কর্ম পরিকল্পনা তৈরি করা উচিত। আমি "প্রস্তুত" হওয়ার বিষয়ে খুব বেশি উদ্বিগ্ন হব না। যেহেতু আপনি সম্প্রতি শুরু করেছেন, তাই বোঝা উচিত যে জায়গাটি রাতারাতি বিচ্ছিন্ন হয়নি।

যে নেটওয়ার্কটি আপনি স্বীকার করেছেন যে উন্নতির প্রয়োজন তা যদি কোনও ভাল প্রতিবেদন পায় তবে এটি সম্ভবত সংস্থার অর্থ নষ্ট হবে।

গ্রেগ অ্যাস্কিউ
সূত্র
একমত। এটি একটি কোম্পানির ওয়াইড অডিট এবং বাকী বিভাগগুলি আমার চেয়ে আর তথ্য দেওয়া হচ্ছে না। কেবলমাত্র আমরা নিশ্চিতভাবেই এটি জানতে পারি এটি হ'ল এটি 3 সপ্তাহ দীর্ঘ।
PHLiGHT
1
এটি "দক্ষতা" নিরীক্ষণের মতো শোনাচ্ছে।
ওয়ার্নার
2
অথবা কেউ কেনার কথা ভাবছেন।
জন গার্ডেনিয়ার্স
8

আমি একটি ফুসকুড়ি ধারণা তৈরি করতে যাচ্ছি এবং ধরে নিচ্ছি যে আপনি প্রযুক্তিতে কেন্দ্রীভূত অভ্যন্তরীণ সুরক্ষা নিরীক্ষণের জন্য কীভাবে প্রস্তুত করবেন, এমনকি এমনকি কোনও অনুপ্রবেশ পরীক্ষাও জিজ্ঞাসা করছেন।

প্রযুক্তিগত দিক থেকে সুরক্ষা নিরীক্ষণের জন্য আপনি কীভাবে প্রস্তুতি নিচ্ছেন তা নিরীক্ষণের লক্ষ্য নির্ভর করে। আপনি যদি কীভাবে আপনার পরিকাঠামো উন্নত করেন তার জন্য নির্দিষ্টকরণটি নির্দিষ্ট করার লক্ষ্য যদি এটি হয় তবে আপনি কিছুই করতে পারেন না। যদি লক্ষ্যটি নিশ্চিত করা হয় যে কোনও ফাঁক না থেকে যায়, তবে আমি নিরীক্ষণের আগে একটি ফাঁক বিশ্লেষণ করার এবং সনাক্ত করা কোনও ফাঁকগুলি সংশোধন করার পরামর্শ দেব।

মৌলিক আইটি সেরা অনুশীলনের জন্য আমি পিসিআই ডিএসএসকে উল্লেখ করার পরামর্শ দিই । অবশ্যই, এতে সুরক্ষা দুর্বলতার জন্য আপনার সফ্টওয়্যারটি প্যাচ করার মতো সুস্পষ্ট জিনিসগুলি ইতিমধ্যে করা উচিত।

সুরক্ষা নিরীক্ষণের অনুলিপি করতে আমি ওপেন সোর্স সুরক্ষা পরীক্ষা পদ্ধতি পদ্ধতি ম্যানুয়ালে বিশদে অনুপ্রবেশ পরীক্ষার পদ্ধতি পর্যালোচনা করে শুরু করব । (OSSTMM)

আপনি যদি আরও বিশদ বিবরণ খুঁজছেন, আমি আপনাকে আপনার প্রশ্নটি কম অস্পষ্ট হওয়ার জন্য পুনরায় লিখতে উত্সাহিত করব।

ওয়ার্নার
সূত্র
4
+1 "আমি আপনার প্রশ্নটি কম অস্পষ্ট হওয়ার জন্য আবার লিখতে উত্সাহিত করব।" - নিরীক্ষকরা কেবল জিনিস দাবি দেখায় না। ব্যবসায়ের বিশেষ দিকটি পরীক্ষা করার জন্য তারা কারও দ্বারা ভাড়া নেওয়া হয় ; কে তাদের নিয়োগ দিয়েছে এবং কেন তাদের সাথে শুরু করুন; আমি জানি প্রতিটি নিরীক্ষক খুব ভাল যোগাযোগ করেন যখন আপনি কেবল ফোনটি ধরেন এবং তাদের কল করেন
ক্রিস এস
@ ক্রিস, আপনার অবশ্যই একই অডিটরের সাথে আমার কোন সমস্যা হয়নি। অন্য যে কোনও মানবগোষ্ঠীর মতো, তাদের যোগাযোগের ক্ষমতাতে তারা ব্যাপকভাবে পরিবর্তিত হয়।
জন গার্ডেনিয়ার্স 18'10
5

আপনি যখন মেশিনগুলি তৈরি করছেন তখন আপনার অবশ্যই নিশ্চিত হওয়া উচিত যে আপনি এনএসএর সুরক্ষা গাইডটিতে যতটা পয়েন্ট ব্যবহারিক হিসাবে প্রয়োগ করেছেন (কিছু জিনিস আপনার পরিস্থিতির জন্য ওভারকিল হতে পারে):

http://www.nsa.gov/ia/mitigation_guidance/security_configuration_guides/

এবং যখন আপনি মেশিনগুলি সেট আপ করেন, আপনার প্রত্যেকটিকে একটি স্বয়ংক্রিয় ফ্যাশনে এমনটি করা উচিত যা শুরু করা একে অপরের কুকি কাটার। ইনস্টলেশন মিডিয়াটির মাধ্যমে "হাতে" তৈরি করা ত্রুটি প্রবণ হতে পারে যেখানে আপনি জিনিসগুলি মিস করেন miss

স্বয়ংক্রিয়! স্বয়ংক্রিয়! স্বয়ংক্রিয়!

যে কোনও আধা নিয়মিত প্রক্রিয়া যতটা সম্ভব স্ক্রিপ্ট করা উচিত। এর মধ্যে রয়েছে সিস্টেম ইনস্টলেশন, প্যাচিং, দুর্বলতা স্ক্যান / নিরীক্ষণ, পাসওয়ার্ড শক্তি পরীক্ষা।

নিকের
সূত্র
1
দুর্দান্ত লিঙ্কের জন্য +1।
nedm
2

আমি আপনাকে সিবিটি পড়ার জন্য কিছুটা সময় ব্যয় করার পরামর্শ দিচ্ছি, এটি আইটির নিয়ন্ত্রণ ওবিজেক্টিভস। আসলে এটি অনেক অডিটিং সংস্থাগুলি আইটি অঞ্চল অডিট করার জন্য ব্যবহার করে।

আমি আপনাকে নেসাস (যা আপনার নেটওয়ার্ক / দুর্বলতার জন্য সার্ভারগুলি পরীক্ষা করবে) বা এমবিএসএ (মাইক্রোসফ্ট বেসলাইন সুরক্ষা বিশ্লেষক) এর মতো সরঞ্জামগুলি ব্যবহার করার পরামর্শ দিচ্ছি, তবে এটি কেবল উইন্ডোজ হার্ডওয়্যার পরীক্ষা করবে।

যেহেতু আপনি একটি সূচনা পয়েন্ট চেয়েছিলেন, তাই আমি মনে করি এটি আপনাকে সহায়তা করতে পারে।

বব নদী
সূত্র
1

আমার অভিজ্ঞতায় যখন কোনও নিরীক্ষণ নির্দিষ্টকরণ ছাড়াই অনুরোধ করা হয় তখন এর অর্থ সাধারণত সম্পদ নিরীক্ষা। এটি সবচেয়ে খারাপ ধরণের কারণ আপনাকে তখন কোম্পানির কী আছে তা সম্ভবত খুঁজে বের করতে হবে এবং সম্ভবত এটি বৈধ কিনা whether

ব্যক্তিগতভাবে, আমি এটি উল্লেখ করতে চাই যে "অডিট" শব্দটি জেনেরিক এবং এর বিস্তৃতি প্রয়োজন requires আমি আরও কিছু না করি যতক্ষণ না আমি আরও সুস্পষ্ট দিকনির্দেশ না পাই। আনুষ্ঠানিকভাবে আমি আসল ব্যস্ত হয়ে পড়েছি এবং আমার নিয়ন্ত্রণের অধীনে যে কোনও কিছু যা নিরীক্ষণ করা যেতে পারে তা যথাযথ আকারে এটি তৈরি করতে পারে তা নিশ্চিত করার চেষ্টা করি, কেবল আমার পাছাটি coveredাকা রয়েছে তা নিশ্চিত হওয়ার জন্য। তারপরে, যখন আমি জানতে পারি যে তারা আসলে কী পরে, আমি তাদের বেশিরভাগ প্রাসঙ্গিকভাবে নিরীক্ষণ করি যা আমি আগে প্রস্তুত করেছি।

জন গার্ডেনিয়ার্স
সূত্র
0

প্রতিটি মেশিনের সম্পূর্ণ আপডেট হয়েছে তা নিশ্চিত করার জন্য এটি ব্যবহারিক নয় practical এ কারণেই ওপেনওয়াস বিদ্যমান (ওপেনওয়াস হ'ল নেসাসের নতুন ফ্রি সংস্করণ)। সমস্যার ক্ষেত্রগুলি সনাক্ত করতে আপনি ওপেনওয়াসকে আপনার অভ্যন্তরীণ নেটওয়ার্কের প্রতিটি মেশিন স্ক্যান করতে বলতে পারেন। আপনার দূরবর্তী আক্রমণ পৃষ্ঠের ধারণা পেতে আপনাকে এটিকে দূর থেকে চালানো দরকার। আপনি আপনার ফায়ারওয়াল নিয়ম সেট এবং আক্রমণগুলির পক্ষে ঝুঁকিপূর্ণ এমন মেশিনগুলির সাথে সমস্যাগুলি পেয়ে যাবেন।

দাড়কাক
সূত্র
আমি ক্যাসিয়াকে কিনেছি এবং শীঘ্রই ক্লায়েন্টের প্যাচিংকে অন্য জিনিসের সাথে সম্বোধন করার জন্য তা শীঘ্রই ঘূর্ণায়মান হব।
PHLiGHT
@ পিএইচএলজিএইচটি কোনও কিছুর জন্য অর্থ প্রদান করা সর্বদা ভাল হয় না।
রুক
0

আপনি কীভাবে ব্যবসা করেন তার বিবৃতি আমি একত্রিত করতে চাইছি। বর্তমান প্রক্রিয়াটি কী (যদি কোনও বিদ্যমান থাকে) এবং এটি ভবিষ্যতে কী হবে। এটি যদি কোনও অনুপ্রবেশ পরীক্ষা বা সুরক্ষা প্রকারের নিরীক্ষণ হয় তবে তারা আপনাকে তা জানাতে পারত এবং এটি অন্যান্য বিভাগেও পৌঁছতে পারত না। আপনার সংস্থার অধীনে থাকা বিধিবিধানের উপর নির্ভর করে আপনি কীভাবে অন্যান্য ব্যবসায়িক ইউনিটগুলির জন্য নিয়ন্ত্রক সম্মতি সমর্থন করতে পারেন সে সম্পর্কেও কথা বলতে প্রস্তুত হতে হবে be

MikeJ
সূত্র
0

যদি আমি ভালভাবে বুঝতে পারি তবে আপনার এক ধরণের চেক তালিকার প্রয়োজন এবং এটি একটি ভাল সূচনা পয়েন্টের মতো বলে মনে হচ্ছে। এমন অনেকগুলি প্রস্তাবিত রয়েছে যা আপনি ইন্টারনেট ব্যবহার করে খনন করতে পারেন, তবে আমি এটিকে পছন্দ করি । নিরীক্ষণের বিষয়গুলির সাথে সাথে, আপনি অতিরিক্ত সময়েও প্রয়োজনীয় প্রয়োজনগুলি সন্ধান করতে পারেন

ইভান স্টানকোভিচ
সূত্র
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.