Modèle de rapport d`audit de sécurité

En venant aux points de mon exemple de rapport d`application, voici comment il semble (je m`excuse pour les gribouillis comme il était absolument nécessaire, mais a dû être enlevé selon les normes NDA): pages: 01 mots: 55 format: Microsoft Word 2013 (. docx) langue: anglais manuel : Computer & IT catégorie: sécurité informatique et procédure de récupération après sinistre: vérification de la sécurité informatique procédure ITSD107 type: rapport mise à jour: parce que je ne pouvais pas trouver quelque chose ici sur Security.SE sur les rapports d`audit, j`ai décidé de faire de cette question un peu plus large et inclure tout type d`audit de sécurité plutôt que de simplement des applications Web. Je pense qu`il sera utile à plus de gens dans ce cas. Je construis et architecte des opéra tions de sécurité pour vivre. J`avais été traiter des rapports de sécurité des applications pour une décennie maintenant et tout à fait sûr de ce qui doit être inclus et où les avoir inclus. La présentation sera matter. Question passionnante! Trop souvent, je pense que notre industrie s`efforce de la plus récente et la plus grande manie de la sécurité. Nous allons après les derniers exploits, dépenser de l`argent sérieux sur les derniers outils et blâmer la couche 8 pour les lacunes. Je sais que c`est une généralisation grossière, mais je tenais à souligner l`importance de ce sujet–Reporting! J`ai repris plusieurs, y compris la méthodologie suivie au CERN, Ref: http://pwntoken.github.io/enterprise-web-application-security-program/. À mon grand étonnement, le plus souvent-les détails techniques qui est comme une évaluation de la sécurité est susceptible d`être plus utile pour le développeur et les opérations informatiques plutôt que les acteurs de l`entreprise. Lorsque vous essayez d`auditer une application ou un ensemble d`applications sur une interface publique, vous l`apportez à l`intervenant de l`application. Pour commencer, je voudrais aller en disant-s`il vous plaît ne confondez pas entre une évaluation et une vérification. La vérification a des pistes d`audit, une évaluation a des détails techniques graveleux.

L`original post dit qu`une vérification a été faite aux applications qui ne pouvaient pas être. Plus techniquement, il s`agissait d`évaluations. Certains des gens sur le travail sur le PTE sont fixant quelques bonnes fondations. Bien que l`accent soit mis sur les tests de pénétration, je pense que bon nombre des méthodologies, en particulier les rapports, pourraient être transposées pour un audit. Vous pouvez les consulter à http://www.pentest-standard.org/index.php/Reporting. Le gestionnaire de la sécurité des technologies de l`information devrait rencontrer les gestionnaires des technologies de l`information pour examiner le modèle de rapport d`audit de sécurité informatique et planifier de prendre des mesures correctives, si nécessaire. S`il a été décidé de prendre des mesures correctives, le gestionnaire de la sécurité des technologies de l`information devrait soumettre un plan d`action corrective, y compris des objectifs, des actions et des échéances, au chef de l`équipe d`audit. S`il a été décidé de ne pas prendre de mesures correctives, le gestionnaire de la sécurité des technologies de l`information devrait informer le chef de l`équipe d`audit de cette décision, avec explication. Le modèle de rapport d`audit de sécurité informatique devrait fournir un dossier complet, précis, clair et concis de l`audit. ITSD107-1 le rapport de vérification de la sécurité des TI doit être préparé, approuvé et distribué par l`équipe de vérification. Il doit inclure ou se référer à ce qui suit: en termes de format pour les constatations, j`ai l`habitude d`inclure les éléments suivants après un test de pénétration ou une analyse d`application hybride, le rapport qui en résulte est centré sur les résultats. Il devrait y avoir une vue d`ensemble de haut niveau qui discute des failles et de leur impact collectif sur le système.

Expliquons ce que sont ces composants dans les pointeurs clés: constatations: cette section contiendra vos résultats et énumera les vulnérabilités ou les problèmes qui devraient être re-médiés. Cette liste doit être ordonnée par des niveaux critiques, dont on l`espère défini par les politiques internes (c.-à-d. Si votre analyseur de vulnérabilités trouve une vulnérabilité critique élevée, en fonction de la façon dont cette vulnérabilité est implémentée dans votre environnement, il peut ne pas être un vrai les politiques internes devraient aider à définir les niveaux critiques) dans mon travail actuel, les choses sont faites de façon plus organisée.

Comments are closed.