Отдельные специалисты, они будут квалифицированы и в php и в системном администрировании. Специалисты понадобятся на этапе внедрения изменений по итогам аудита1. В представленной инфраструктуре, каких технические специалисты должны делать аудит ? PHP-программист, системный администратор, или есть отдельные специалисты которые занимаются безопастностью в IT?
В общем и целом да.2. Я правильно понимаю, что выполнение задачи будет разбито на 2 этапа:
Сложно ответить, я не слежу за рынком. Смотрите по цене и объему аудита3. Как выбрать аудиторов?
Сертификация4. Как определить компетенции аудиторов в обеспечении безопасности в IT?
Все зависит от того с кем заключите договор, может работать команда. Смысла привлекать две разные команды нет. Лучше подойти со стороны:5. Имеет смысл нанимать сразу 2-х аудиторов?
Форматов несколько, от изучения документации, до попыток взломать систему. Но доступ скорее всего нужен, обычно запрашивается "только на чтение", в остальном по необходимости6. В какой формате проводятся аудиты по безопасности?
Это два разных аудита. Не стоит их мешать в одну кучу.7. Целесообразно делать аудит VPS без аудита офисного железа (компьютеры, роутеры, файловый сервак)?
Аудит делается независимыми экспертами в области информационной безопасностью.1. В представленной инфраструктуре, каких технические специалисты должны делать аудит ? PHP-программист, системный администратор, или есть отдельные специалисты которые занимаются безопастностью в IT?
Судя по всему что вы хотите обращаться стоит только к организациям, но надо понимать что данный аудит вставит вам в хоршую сумму.3. Как выбрать аудиторов?
Достаточно фрилансеров или нужно обращаться в организацию?
То есть вы изначально уже не уверены в первом аудите?Имеет смысл нанимать сразу 2-х аудиторов?
Потом реализовывать замечания обоих аудитов?
Все зависит от того, какой мининму вы будет исследовать.В какой формате проводятся аудиты по безопасности?
Нужно будет прислать специалистам доступы ко всем системам?
Как я писал выше если подходить основательно к этому, аудит делается всей инфаструктуры..Целесообразно делать аудит VPS без аудита офисного железа (компьютеры, роутеры, файловый сервак)?
Теоретически на компьютерах могут быть уязвимости к вирусам которые доступы крадут от VPS, но проверять еще компы всей организации, сильно увеличит время на аудит.
Все сервера будут иметь "открытый" выход в интернет? В идеале на "служебные" VPS "не выпускать" в интернет и подключаться через VPN
Отдельные специалисты, они будут квалифицированы и в php и в системном администрировании. Специалисты понадобятся на этапе внедрения изменений по итогам аудита
Все зависит от того с кем заключите договор, может работать команда. Смысла привлекать две разные команды нет. Лучше подойти со стороны:
Аудит => Внедрение => Аудит => Внедрение
Форматов несколько, от изучения документации, до попыток взломать систему. Но доступ скорее всего нужен, обычно запрашивается "только на чтение", в остальном по необходимости
Это два разных аудита. Не стоит их мешать в одну кучу.
Личное мое мнение, используя VPS уже как мининму это уже уязвимость)) Использовать сторонние сервера.
Тогда выбирайте крупного, например Azure, на их инфраструктуре можно настроить довольно серьезную защиту. В том числе и зашифровать диски.у хостера
Тогда выбирайте крупного, например Azure, на их инфраструктуре можно настроить довольно серьезную защиту. В том числе и зашифровать диски.
Если не имеет значение в какой стране то лучше Azure так же например reg.ruTimeweb крупный? Просто планирую там размещаться.
We use cookies and similar technologies for the following purposes:
Do you accept cookies and these technologies?
We use cookies and similar technologies for the following purposes:
Do you accept cookies and these technologies?