3/5 - (2 голоса)
Напомню в прошлой статье мы рассмотрели вопросы для аудита резервного копирования. Продолжая тему вопросов для проведения ИТ аудита, мы переходим к еще более важному разделу, это безопасность ИТ. Ниже таблица вопросов для начала аудита безопасности ИТ.
| Устройство | Дополнительно | Приоритет | Вопрос | Почему мы спрашиваем? |
| Брандмауэр | Брандмауэр корпоративного уровня | Средний | Установлен ли выделенный брандмауэр корпоративного уровня? | Многие малые предприятия полагаются на ADSL-маршрутизаторы в качестве брандмауэра для защиты своей сети. К сожалению, эти устройства не являются настоящими брандмауэрами. Большинство маршрутизаторов, предоставляемых интернет-провайдером, имеют элементарный брандмауэр, который недостаточен и не имеет функций безопасности, которые требуются ИТ-сети. |
| Антивирусное программное обеспечение | Антивирусное программное обеспечение | Средний | На всех ли устройствах установлено антивирусное программное обеспечение? | На каждом устройстве необходимо установить антивирусное программное обеспечение, чтобы не допустить утечки данных, недопустимых простоев или кражи личных данных из-за вирусов и вредоносных программ. |
| Антивирусное программное обеспечение | Тип антивируса | Средний | Является ли антивирусная подписка платной? | Есть несколько популярных бесплатных антивирусных программ, доступных для использования. Они не обеспечивают уровень защиты, который требуется производственной сети. |
| Антивирусное программное обеспечение | Антивирусная подписка | Средний | Действует ли антивирусная подписка? | Если срок действия подписки на антивирусное программное обеспечение истек, ваша компания больше не защищена от новых угроз. Это делает установленное антивирусное программное обеспечение практически бесполезным. |
| Обновления Windows | Обновление сервера | Средний | Все ли серверы полностью обновдены за последние 14 дней? | Обновления для Microsoft Windows выпускаются почти еженедельно. Когда они выпущены, они должны быть быстро установлены на ваших серверах. Эти обновления защищают ваш бизнес от внешних угроз. |
| Обновления Windows | Обновление ПК | Средний | Все ПК обновлены за последние 14 дней? | Обновления для Microsoft Windows выпускаются почти еженедельно. Когда они выпущены, они должны быть установлены на ваших устройствах как можно быстрее. Эти обновления защищают ваш бизнес от внешних угроз. |
| Беспроводная безопасность | Беспроводное шифрование | Средний | Зашифрован ли весь беспроводной трафик с помощью WPA2-PSK? | Беспроводной интернет-трафик может быть легко перехвачен, если безопасность, используемая в вашей сети, недостаточно сильна (например, WEP). Мы рекомендуем использовать WPA2-PSK для обеспечения безопасности вашей сети. |
| Беспроводная безопасность | Гостевой беспроводной доступ | Средний | Является ли весь общественный / посетительский беспроводной доступ полностью отделенным от частной сети? | Общественный беспроводной доступ представляет собой серьезную угрозу безопасности. Мы не можем проверить безопасность любого устройства посетителя. Беспроводная сеть, к которой подключаются посетители, должна быть полностью отделена от вашей производственной сети. |
| Беспроводная безопасность | Беспроводные ключи | Средний | У всех беспроводных точек доступа используются сильные пароли длиной не менее 13 символов, буквенно-цифровые и символьные? | Нет способа обнаружить попытку взлома с помощью перебора паролей. В результате безопасность беспроводной сети должна опираться на шифрование с надежной парольной фразой, устойчивой к методам перебора. |
| Удаленный доступ | Управление удаленным доступом | Средний | У всех есть удаленный доступ к системам компании или список доступа ограничен? | Удаленный доступ должен предоставляться только авторизованным людям, а не всем. С появлением облачных вычислений большинство людей могут удаленно работать на любом устройстве. Это может означать, что данные могут попасть из вашего бизнеса в несанкционированные руки. |
| Безопасность электронной почты | Шифрование электронной почты | Средний | Предприятие приняло решение об использовании / не использовании шифрования электронной почты? | Электронная почта — это то, что может быть легко перехвачено. Действительно конфиденциальные данные компании (платежная ведомость, контракты и т. д.) Должны быть зашифрованы перед отправкой. Тогда только отправитель и получатель имеют ключ шифрования для разблокировки электронной почты. |
| Безопасность электронной почты | Фильтрация спама | Средний | Есть ли спам-фильтр сторонний или встроенный? | Спам может не только вызывать неудобства, но и переносить вирусы / вредоносные программы, которые могут привести к неприемлемым простоям для вашего бизнеса. Важно установить сторонний спам / вирусный фильтр, поэтому фильтруйте сообщения до того, как они попадут в ваше почтовое решение. Мы не одобряем локальные решения для этой цели. |
| Шифрование ноутбука | Centralised Solution | Средний | Принято ли решение о шифровании жестких дисков всех ноутбуков? | Когда жесткий диск ноутбука шифруется, он запрашивает у пользователя ключ шифрования (пароль), когда ноутбук включен. Когда правильный ключ введен, ноутбук загружается. Если ключ не известен, то все данные на ноутбуке не могут быть доступны. Ноутбуки являются портативными устройствами, и это защищает от потери или кражи. |
Конечно же это не все вопросы, а только начальные, общие, получая ответы на вопросы, углубляемся в процесс.
Какие бы Вы еще выделили вопросы для аудита, пишите в комментариях.