1

Тема: Как правильно провести аудит безопасности ИТ инфраструктуры?

Какую практику выбрать?
Что можно взять за основу что бы аудит был действительно эффективным и результативным?
Возможно есть хороший детальный Checklist или конкретный инструмент?


Цель – оценить уровень защищенности ИТ инфраструктуры и разработать список изменений для повышения уровня защищенности.

Только уровень защищенности инфраструктуры и приложений, без операционной деятельности, процедур и физической безопасности.


С одной стороны, есть много практик и инструментов, которые описывают как нужно оценивать уровень защищенности систем.
В них много вопросов, ответив на которые, можно получить общую оценку с примитивной детализацией по разделам и пунктам.
А с другой стороны, есть конкретные действия которые позволяют повысить уровень защищенности.

Как мне от уровня оценки перейти на уровень конкретных действий?


Наша организация использует сетевое оборудование Cisco, серверное оборудовании HP и инфраструктуру Microsoft со множеством служб.
Есть такие службы, как Active Directory, Exchange, Hyper-V, FileServer, SharePoint, SQL, DNS, DHCP, NAP, VPN и другие.

Например, Microsoft Security Assessment Tool 4.0 – инструмент (методика) верхнего уровня.
Он определяет общие рекомендации по 200 параметрам (инфраструктура, приложения, операции, персонал).
Windows Server 2008 R2 Domain Controller Security Complince (Microsoft Security Compliance Manager) - инструмент нижнего уровня.
Он определяет 393 значения групповой политики, и это только уровень приложений (1 служба Windows).


В GPO есть много параметров безопасности, о которых никогда не говорится в рекомендациях и методиках.
А эти параметры прямым образом влияют на уровень защищенности систем, их нельзя игнорировать в оценке.

Посоветуйте инструмент (методику) которую я могу взять за основу, что бы выполнить аудит безопасности, только информационных систем Microsoft и Сisco.
Что бы на основе результатов аудита я мог разработать список конкретных изменений для повышения уровня защищенности.

Буду очень благодарен за помощь! Спасибо.

2

Re: Как правильно провести аудит безопасности ИТ инфраструктуры?

Оценивать уровень защищенности инфраструктуры и приложений, без операционной деятельности, процедур и физической безопасности глупо.
Если хочется только конкретную инфраструктуру посмотреть  - смотрите рекомендации производителей (мелких и Cisco), но во всех рекомендациях будет комплексных подход, да и не нужно никому уже лоскутное одеяло.
Хочешь конкретики - модель нарушителя, модель угроз, модель атак, меры защиты, компенсирующие меры, план перехода.