понедельник, 16 января 2012 г.

Перечень вопросов при выборе решения по управлению уязвимостями

Подготовил перечень вопросов, на которые стоит ориентироваться Заказчику при выборе решения по управлению уязвимостями.

Перечень подготовил независимый от решения/производителя, поэтому часть вопросов будет неприменимо к QualysGuard (например, 1.2, 1.4 и др.),  вопрос про юридически ограничения больше направлен на коммерческое использование Nessus, часть вопросов (7-8) для многих простых решений по оценке уязвимостей останутся без ответа. Конечно перечень вопросов, не полный, его можно было бы расширить про поддержку языка программирования OVAL, добавить перечень поддерживаемых портов и протоколов, но это будет излишним. Для общей оценки этого достаточно, для более детальной нужно готовить более конкретную методику и программу испытаний для конкретных решений.

Итак, примеры вопросов:


1. Архитектура решения

  • Из каких модулей состоит решение? Как предполагается их внедрять в ИТ-инфраструктуру?
  • Какие дополнительные работы должны быть проведены в ИТ-инфраструктуре до внедрения?
  • Требуется ли установка агентов на сканируемые хосты? Какие есть ограничения связанные с этим?
  • Требуется ли установка и настройка базы данных? Какие требования предъявляются к базе данных?
  • Каким образом система может быть масштабирована при изменении размеров и топологии сети?
2. Удобство использования

  • Что собой представляет консоль управления? Графический интерфейс или командная строка?
  • Какой язык интерфейса и отчетов?
  • Какая шкала используется в решении для ранжирования уязвимостей?
  • Какие задачи система может решать автоматически (по расписанию)?
  • Какие условия технической поддержки? (доступность, способ связи, язык, время ответа)
  • Каким образом проводится обучение работе с решением? Где и когда? Сколько стоит?
  • С какими решениями ИТ/ИБ существует интеграция?
  • Каким образом в решении описываются уязвимости и способы их устранения?
  • Какие дополнительные материалы (статьи, блоги, учебные курсы) существуют по данному решению?


3. Полнота и качество результатов

  • Насколько точными являются результаты поиска уязвимостей? 
  • Какие рейтинги и отзывы о решении международных агентств по ИБ?
  • С какими устройствами (операционными системами) работает решение?
  • Какие есть ограничения на сканирование?
  • Каким образом решение обновляет свою базу уязвимостей? С какими компаниями сотрудничает в этом направлении?


4. Поиск хостов (mapping)

  • Является ли модуль для поиска активных хостов обязательным компонентом решения?
  • Каким образом система идентифицирует хосты в ИТ-инфраструктуре?
  • Какая информация содержится в отчете о поиске активных хостов? В каком виде она отображается?
  • Каким образом могут добавляться новые устройства в перечень хостов?
  • По каким категориям можно объединять/систематизировать выявленные хосты?

5. Сканирование

  • Какие существуют основные критерии настройки решения для сканирования? Каким образом можно контролировать точность, скорость и безопасность сканирования?
  • Каким образом проводятся внешнее и внутреннее сканирование ИТ-инфраструктуры?
  • Поддерживает ли решение "доверенное сканирование"? Для каких операционных систем?

6. Отчетность

  • Какие типы отчетов может генерировать решение?
  • Существует ли возможность автоматической генерации отчетов по расписанию?
  • В какие типы файлов (форматы) может производится выгрузка отчетов?
  • Существует ли возможность генерации отчетов для топ-менеджмента, содержащих минимум технической информации и ориентированных на бизнес-риски компании?
  • Каким образом в отчетах отображаются изменения состояния ИБ и тенденции?

7. Устранение уязвимостей

  • Реализована ли в решении служба управления задачами (ServiceDesk) по устранению уязвимостями? Существует ли возможность ее интеграции с существующей службой ServiceDesk на уровне компании?
  • Каким образом контролируется устранение выявленных уязвимостей?
  • Предоставляет ли система рекомендации по устранению уязвимостей и ссылки на существующие патчи?

8. Модуль PolicyCompliance

  • Интегрирован ли модуль PolicyCompliance (соответствие требованиям/настройкам) в систему?
  • Каким образом модуль PolicyCompliance может использоваться внутренними и внешними аудиторами?
  • С какими устройствами (операционными системами) работает модуль PolicyCompliance?
  • Какие политики может использовать модуль PolicyCompliance? Каким образом могут создаваться дополнительные политики?
  • Каким образом решение обеспечивает безопасность аудиторских отчетов?
  • Является ли решение Approved Scanning Vendor (ASV) для оценки соответствия PCI DSS?

  9. Безопасность

  • Как обеспечивается физическая безопасность оборудования?
  • Какие данные передаются за пределы организации? Как обеспечивается их безопасность?
  • Какими средствами обеспечивается контроль доступа к информации и управлению системой?
  • Какой перечень ролей рекомендуется для управления системой? По каким критериям можно настроить разграничение доступа для определенных ролей?
  • Каким образом обеспечивается безопасность хранения результатов сканирования?
  • Какие сертификаты соответствия требованиям ИБ есть у решения и производителя решения?
  • Какие существуют юридические ограничения использования решения?

10. Цена

  • Из каких параметров складывается конечная цена решения? Какова цена будет для моей ИТ-инфраструктуры и задач?
  • Какова стоимость техподдержки?
  • Какова цена продления лицензии на следующий отчетный период?
  • Какие скидки и бонусы могут быть предоставлены?
  • На какую сумму мне ориентироваться, если я захочу расширить область сканирования?
  • Не будет ли дешевле регулярно нанимать консультантов и/или передать задачи по управлению уязвимостями на аутсорсинг?

11.  Производитель (вендор)

  • Какую историю и репутацию имеет производитель системы?
  • Какое место занимает данное решение в общей продуктовой линейке производителя?
  • Кто уже является пользователем данного решения?
  • Кто является партнером производителя данного решения?
  • Какие награды есть у производителя и у решения?
  • Каким образом могу я получить demo-версию решения, провести пилотное тестирование?


Комментариев нет:

Отправить комментарий