вторник, 25 октября 2011 г.

Жизненный цикл (процедура) оценки соответствия политикам ИБ

Полный цикл процедуры оценки соответствия политикам информационной безопасности  состоит из следующих шагов:
  1. Создание политик информационной безопасности. На этом этапе мы определяем требования по настройке элементов ИТ-инфраструктуры. Это могут быть моменты связанные с управлением паролями, наличию определенных средств защиты (например АВЗ), наличие определенных служб и протоколов. Мы можем ориентироваться на требования по информационной безопасности, принятые в компании, или же на "лучшие мировые практики" (рекомендации NIST, CERT), стандарты (PCI DSS, ISO 27002, СТО БР ИББС) и/или требования и рекомендации (152-ФЗ и подзаконные акты). При необходимости данные требования могут быть задокументированны в компании в качестве корпоративного стандарта или требований. Затем в Qualys создатся политики проверки.
  2. Применение политик. На этом этапе элементы ИТ-инфраструктуры настраиваются в соответствии с определенными требованиями. Настройка может быть как групповой (например, через AD для Windows машин), так и по конкретным хостам. Настройка может быть произведена как в автматическом режиме, так и в ручную.
  3. Сканирование (compliance). На этом этапе мы проводим сканирование ИТ-инфраструктуры на соответствие определенным политикам информационной безопасности. P.S. Есди инвентаризация еще не была проведена, то сначала выполняется она.
  4. Подготовка и анализ отчетов. На этом этапе подготавливаются отчеты о результатах оценки соответствия.
  5. Управление несоответствиями. На этом этапе принимаются решения об устранении выявленных несоответствий. 
Более подробно о процедуре оценки соответствия будет написано в этом блоге далее.

Комментариев нет:

Отправить комментарий