6 декабря, понедельник 19:45
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Как правильно провести аудит безопасности ИТ инфраструктуры?

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Как правильно провести аудит безопасности ИТ инфраструктуры?

    Как правильно провести аудит безопасности ИТ инфраструктуры?
    Какую практику выбрать?
    Что можно взять за основу что бы аудит был действительно эффективным и результативным?
    Возможно есть хороший детальный Checklist или конкретный инструмент?


    Цель – оценить уровень защищенности ИТ инфраструктуры и разработать список изменений для повышения уровня защищенности.

    Только уровень защищенности инфраструктуры и приложений, без операционной деятельности, процедур и физической безопасности.


    С одной стороны, есть много практик и инструментов, которые описывают как нужно оценивать уровень защищенности систем.
    В них много вопросов, ответив на которые, можно получить общую оценку с примитивной детализацией по разделам и пунктам.
    А с другой стороны, есть конкретные действия которые позволяют повысить уровень защищенности.

    Как мне от уровня оценки перейти на уровень конкретных действий?


    Наша организация использует сетевое оборудование Cisco, серверное оборудовании HP и инфраструктуру Microsoft со множеством служб.
    Есть такие службы, как Active Directory, Exchange, Hyper-V, FileServer, SharePoint, SQL, DNS, DHCP, NAP, VPN и другие.

    Например, Microsoft Security Assessment Tool 4.0 – инструмент (методика) верхнего уровня.
    Он определяет общие рекомендации по 200 параметрам (инфраструктура, приложения, операции, персонал).
    Windows Server 2008 R2 Domain Controller Security Complince (Microsoft Security Compliance Manager) - инструмент нижнего уровня.
    Он определяет 393 значения групповой политики, и это только уровень приложений (1 служба Windows).


    В GPO есть много параметров безопасности, о которых никогда не говорится в рекомендациях и методиках.
    А эти параметры прямым образом влияют на уровень защищенности систем, их нельзя игнорировать в оценке.

    Посоветуйте инструмент (методику) которую я могу взять за основу, что бы выполнить аудит безопасности, только информационных систем Microsoft и Сisco.
    Что бы на основе результатов аудита я мог разработать список конкретных изменений для повышения уровня защищенности.

    Буду очень благодарен за помощь! Спасибо.

  • #2
    если коротко MaxPatrol недёшево, зато умеет всё что Вам нужно, плюс есть профиль по тестированию по СТО
    [OFF]Красим белим, иногда защищаем[/OFF]

    Комментарий

    Обработка...
    X