Вопросы аудита. Безопасность
5 (100%) 1 vote[s]

Напомню в прошлой статье мы рассмотрели вопросы для аудита резервного копирования. Продолжая тему вопросов для проведения ИТ аудита, мы переходим к еще более важному разделу, это безопасность ИТ. Ниже таблица вопросов для начала аудита безопасности ИТ.

Устройство Дополнительно Приоритет Вопрос Почему мы спрашиваем?
Брандмауэр Брандмауэр корпоративного уровня Средний Установлен ли выделенный брандмауэр корпоративного уровня? Многие малые предприятия полагаются на ADSL-маршрутизаторы в качестве брандмауэра для защиты своей сети. К сожалению, эти устройства не являются настоящими брандмауэрами. Большинство маршрутизаторов, предоставляемых интернет-провайдером, имеют элементарный брандмауэр, который недостаточен и не имеет функций безопасности, которые требуются ИТ-сети.
Антивирусное программное обеспечение Антивирусное программное обеспечение Средний На всех ли устройствах установлено антивирусное программное обеспечение? На каждом устройстве необходимо установить антивирусное программное обеспечение, чтобы не допустить утечки данных, недопустимых простоев или кражи личных данных из-за вирусов и вредоносных программ.
Антивирусное программное обеспечение Тип антивируса Средний Является ли антивирусная подписка платной? Есть несколько популярных бесплатных антивирусных программ, доступных для использования. Они не обеспечивают уровень защиты, который требуется производственной сети.
Антивирусное программное обеспечение Антивирусная подписка Средний Действует ли антивирусная подписка? Если срок действия подписки на антивирусное программное обеспечение истек, ваша компания больше не защищена от новых угроз. Это делает установленное антивирусное программное обеспечение практически бесполезным.
Обновления Windows Обновление сервера Средний Все ли серверы полностью обновдены за последние 14 дней? Обновления для Microsoft Windows выпускаются почти еженедельно. Когда они выпущены, они должны быть быстро установлены на ваших серверах. Эти обновления защищают ваш бизнес от внешних угроз.
Обновления Windows Обновление ПК Средний Все ПК обновлены за последние 14 дней? Обновления для Microsoft Windows выпускаются почти еженедельно. Когда они выпущены, они должны быть установлены на ваших устройствах как можно быстрее. Эти обновления защищают ваш бизнес от внешних угроз.
Беспроводная безопасность Беспроводное шифрование Средний Зашифрован ли весь беспроводной трафик с помощью WPA2-PSK? Беспроводной интернет-трафик может быть легко перехвачен, если безопасность, используемая в вашей сети, недостаточно сильна (например, WEP). Мы рекомендуем использовать WPA2-PSK для обеспечения безопасности вашей сети.
Беспроводная безопасность Гостевой беспроводной доступ Средний Является ли весь общественный / посетительский беспроводной доступ полностью отделенным от частной сети? Общественный беспроводной доступ представляет собой серьезную угрозу безопасности. Мы не можем проверить безопасность любого устройства посетителя. Беспроводная сеть, к которой подключаются посетители, должна быть полностью отделена от вашей производственной сети.
Беспроводная безопасность Беспроводные ключи Средний У всех беспроводных точек доступа используются сильные пароли длиной не менее 13 символов, буквенно-цифровые и символьные? Нет способа обнаружить попытку взлома с помощью перебора паролей. В результате безопасность беспроводной сети должна опираться на шифрование с надежной парольной фразой, устойчивой к методам перебора.
Удаленный доступ Управление удаленным доступом Средний У всех есть удаленный доступ к системам компании или список доступа ограничен? Удаленный доступ должен предоставляться только авторизованным людям, а не всем. С появлением облачных вычислений большинство людей могут удаленно работать на любом устройстве. Это может означать, что данные могут попасть из вашего бизнеса в несанкционированные руки.
Безопасность электронной почты Шифрование электронной почты Средний Предприятие приняло решение об использовании / не использовании шифрования электронной почты? Электронная почта — это то, что может быть легко перехвачено. Действительно конфиденциальные данные компании (платежная ведомость, контракты и т. д.) Должны быть зашифрованы перед отправкой. Тогда только отправитель и получатель имеют ключ шифрования для разблокировки электронной почты.
Безопасность электронной почты Фильтрация спама Средний Есть ли спам-фильтр сторонний или встроенный? Спам может не только вызывать неудобства, но и переносить вирусы / вредоносные программы, которые могут привести к неприемлемым простоям для вашего бизнеса. Важно установить сторонний спам / вирусный фильтр, поэтому фильтруйте сообщения до того, как они попадут в ваше почтовое решение. Мы не одобряем локальные решения для этой цели.
Шифрование ноутбука Centralised Solution Средний Принято ли решение о шифровании жестких дисков всех ноутбуков? Когда жесткий диск ноутбука шифруется, он запрашивает у пользователя ключ шифрования (пароль), когда ноутбук включен. Когда правильный ключ введен, ноутбук загружается. Если ключ не известен, то все данные на ноутбуке не могут быть доступны. Ноутбуки являются портативными устройствами, и это защищает от потери или кражи.

Конечно же это не все вопросы, а только начальные, общие, получая ответы на вопросы, углубляемся в процесс.
Какие бы Вы еще выделили вопросы для аудита, пишите в комментариях.