Форум OlegON > Разговоры на отвлеченные темы > Беседка

Вопросы для аудита ИТ-структуры (ИТ-процессов) предприятия с примерами : Беседка

22.11.2024 22:16


21.06.2018 17:19
Ко мне обратились клиенты с просьбой оценить что и как у них работает, чтобы снизить риски и задокументировать все в целом. Попробовал начать, выяснилось, что структура вообще отсутствует и в целом все ведется заплаточным методом. Более того, на большинство вопросов ответы в стиле "фрагментированные знания у отдельных сотрудников". Пришел к выводу, что пинать их самостоятельно бессмысленно, лучше составить определенный список вопросов, после ответа на которые будет понимание узких мест в ИТ-инфраструктуре и нарисуется общая картина. Прошу оценить и подсказать упущенное. Речь идет о некоем небольшом или среднем ИТ-предприятии. Подчеркну, что это не специализированный аудит безопасности, по которому методичек целое ведро и не буду привязываться к каким-то стандартам вроде того же COBIT, просто перечень вопросов для аудита ИТ-процессов с примерами, пишу на основе опыта решения проблем в бытность мою ИТ-директором, как и на основе каких-то случаев из практики. Методички, обычно, платные, как и примеры отчетов, тут же все будет бесплатно и без СМС. Думаю, что руководителям подразделений будет полезно пробежаться по списку.



Все должно быть задокументировано и поддерживаться в актуальном состоянии. Если чего-то не хватает, оно должно появиться, если не хотите двинуться по дороге к хаосу.

1. Список всех серверов предприятия с обязательным указанием: а) физического расположения сервера б) FQDN сервера в) адреса (ов) IP, которые им назначены г) операционной системы с указанием версии в максимальной разумной детализации д) назначение сервера е) установленных сервисов (или виртуальных машин) с указанием версии ж) должность сотрудника, который контролирует ресурс и который согласовывает все изменения ресурса з) администраторов и) критичность по шкале до 10 баллов
2. Список глобальных администраторов (например, администраторов AD)
3. Схема топологии сети с указанием ключевых точек (шлюзы, сегменты, сервера, места подключения пользователей и выхода в сеть), их адресов, систем фильтрации и моделей используемого сетевого оборудования.
4. Документ, определяющий порядок заведения новых учетных записей (как локальных, так и глобальных) и появление новых рабочих станций в сети.
5. Документ, определяющий ответственных за актуализацию учетных записей, в том числе взаимодействие с отделом кадров при увольнении сотрудников.
6. Перечень используемых внешних сервисов с регулярной оплатой (например, интернета, доменов, сертификатов) с указанием: а) периодичности оплаты б) наименования контрагента с указанием всех оффлайн и электронных контактов в) ответственного внутри предприятия г) способа уведомления и контроля сроков оплаты
7. Список ресурсов для резервного копирования. Должен соответствовать списку серверов предприятия и включать в себя: а) детальное перечисление того, что копируется б) указание куда копируется (резервная копия не должна находиться в том же помещении, что и источник) в) расписание резервного копирования г) срок хранения копии д) должность ответственного, контролирующего каждую копию и проверяющего журнал копий е) интервал, через который проводится проверка возможности восстановиться с помощью копии и краткое описание метода проверки
8. Документ, определяющий порядок физического доступа в серверную. В нем должны быть перечислены сами серверные, место хранения ключей, порядок получения и сдачи ключей, сотрудник, ответственный за контроль.
9. Документ, определяющий порядок удаленного доступа в сеть. В нем должны быть указаны сервера удаленного доступа, способы (программные средства) для входа в сеть, порядок вноса и выноса ноутбуков, условия доступа этих ноутбуков в сеть предприятия и должность ответственного за контроль сотрудника.
10. Документ, определяющий антивирусную политику на предприятии. Включает в себя перечисление средств противодействия вирусам и должность ответственного за контроль сотрудника.
11. Список внешних доменов и поддоменов предприятия с указанием их назначения. Входят ли вопросы SEO в компетенцию ИТ-подразделения.
12. Описание системы мониторинга, которое должно включать в себя должность ответственного сотрудника, перечень параметров для мониторинга, триггерные значения параметров, адреса и методы оповещения, методы дублирования оповещения на случай отсутствия сотрудников или неисправности средства связи, алгоритм действия сотрудника при получении оповещения, срок отклика и действия в случае невозможности среагировать своевременно.
13. Наличие штатной структуры предприятия с перечислением структурных единиц и указанием подчиненности. Должностные инструкции, подписанные каждым работающим сотрудником.

По итогам сбора информации необходимо проверить:
1. Соответствие количества серверов реально требуемому и удалить устаревшие или неиспользуемые сервисы, а также неактуальные файловые архивы, виртуальные машины и резервные копии
2. Отсутствие неиспользуемых учеток или учеток уволенных сотрудников, как на серверах, так и на рабочих станциях.
3. Необходимость копирования профилей на десктопах или терминальных станциях.
4. Наличие образов установленных систем и копий виртуальных машин.
5. Актуальность версий установленных программных продуктов, в том числе с точки зрения наличия уязвимостей.
6. Отсутствие каких-то промышленных сервисов или их частей на рабочих станциях сотрудников.
7. Недопустимость совмещения конфликтующих сервисов на одном сервере.
8. Наличие дублирования критических сервисов (баз данных, контроллера домена и т.п.), а так же соответствие свободного места для резервных копий заявленному сроку хранения.
9. Способы доступа и вероятность затопления, температуру в серверной и помещениях хранения бекапов.
10. Наличие подменного фонда комплектующих и расходников.
11. Аккуратность укладки витой пары и состояния розеток, в том числе, в серверной.
12. Сбор и анализ инцидентов по направлениям за последний год
21.06.2018 17:46
Цитата:
OlegON в) адреса (ов) IP, которые ей назначены
Описка?
По идее: в) адреса (ов) IP, которые им назначены
21.06.2018 17:55
Да, спасибо, там сначала про машину написал, но для серьезности переименовал :) Не везде.
Часовой пояс GMT +3, время: 22:16.

Форум на базе vBulletin®
Copyright © Jelsoft Enterprises Ltd.
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.