воскресенье, 29 января 2012 г.

Документирование процесса управления уязвимостями

При правильном подходе внедрения процесса управления уязвимостями через некоторое время возникнет необходимость в его документировании. Далее в посте рекомендуемый перечень документов и краткие комментарии к ним.






1. Политика управления уязвимостями
Это может быть или короткий документ или часть некой большой политики, например, "Политики обеспечения безопасности ИТ-инфраструктуры". В документе необходимо определить область (scope) управления уязвимостями, основные принципы и требования.

2. Процедура управления уязвимостями
Документ должен определять основные роли по управлению уязвимостями, а также их базовые функции, например:

  • инвентаризация активов;
  • категорирование активов;
  • создание правил сканирования;
  • сканирование;
  • подготовка и анализ результатов;
  • распределение задач по устранению выявленных уязвимостей;
  • устранение уязвимостей и закрытие задач;
  • контроль; 
  • оценка эффективности;
  • и т.д.

В документе важно четко прописать последовательность основных функций и перечень ответственных за их выполнение. Пример общего цикла процедуры управления уязвимостями описан тут. Желательно задать необходимые параметры по длительности определенных функций и их периодичности.
При необходимости (и соответствующей зрелости процесса) документ можно дополнить перечнем показателей эффективности процесса и функцией подсчета и анализа данных показателей.
Хорошей практикой является добавление в документ графической схемы процесса (в нотации EPC, IDEF3, BPMN или любой другой).

3. Корпоративный стандарт по настройке системы управления уязвимостями
Документ содержит информацию об основных настройках системы управления уязвимостями. Документ не является обязательным, но он очень пригодится для обучения пользователей и тиражирования решения на другие подразделения/филиалы компании.
По факту, документ может быть заменен техническим заданием/ техническим проектом на систему (конечно если они разрабатываются), однако, я считаю удобным использования именно корпоративного стандарта.
Документ должен содержать:

  • перечень модулей системы;
  • описание архитектуры системы;
  • перечень (возможно матрица) и настройки ролей доступа к системе;
  • перечень типовых групп активов и принципы их категорирования; 
  • перечень и настройки профилей сканирования;
  • настройки профилей сканирования по расписанию;
  • перечень и настройки шаблонов отчетов;
  • настройки политики управления задачами в системе.
При необходимости документ может содержать перечень настроек сетевого оборудования, необходимый для функционирования системы (например, порты и протоколы доступа).

4. Комплект инструкций 
Желательно разработать комплект инструкций под каждую роль, определенную в процедуре управления уязвимостями. Степень детализации документов должна определяться исходя из потребностей пользователей системы, однако не рекомендую переписывать официальные инструкции от производителя, лучше дать на них ссылки.
Инструкции должны содержать перечень задач роли и описание основных функции. Также желательно в документе указать:

  • ссылки на другие документы по управлению уязвимостями, принятые в компании
  • официальный сайт производителя системы;
  • ссылки на дополнительные инструкции и учебные материалы от производителя системы;
  • контакты службы технической поддержки продукта;

5. Приказ о внедрении системы управления уязвимостями
Приказ формально должен закреплять ответственность за управление системой (в первую очередь менеджера системы). Также он может вводить в действие комплект документов на систему.

6. Дополнения в должностные инструкции
Желательно дополнить должностные инструкции пользователей системы необходимыми положениями в соответствии с процедурой и инструкциями по управлению уязвимостями.

Комментариев нет:

Отправить комментарий