пятница, 24 февраля 2012 г.

Пострение процедуры внутреннего контроля (аудит)

Если вы решили использовать Qualys для автоматизации процесса контроля соответствия/аудита (Policy Compliance), то вам следует:

  1. Определить область контроля (scope) и провести инвентаризацию, и, при необходимости группировку активов стандартными средствами решения Qualys.
  2. Определить требования, на соответствие которым будет проводится оценка. Тут возможны несколько вариантов:
    • Выбрать интересующий стандарт (ISO 27002, PCI DSS, СТО БР ИББС, требования ФСТЭК к ПДн и др.), выделить из них технические контроли.
    • Самостоятельно подготовить корпоративные стандарты по настройке определенных элементов ИТ-инфраструктуры (сервера, рабочие станции, активное сетевое оборудование).
    • Подготовить (настроить) эталонные элементы сети, на соответствие которым будут проверяться аналогичные активы.
  3. Подготовить необходимую политику в Qualys PC (в зависимости от п.2 будет выбираться модель ее построения).
  4. Подготовить шаблоны сканирования и отчетов.
  5. Провести первичное сканирование.
  6. Проанализировать полученные результаты и выработать план устранения несоответствий.
  7. Документировать процедуру внутреннего контроля, в которой прописать:
    • область контроля;
    • периодичность;
    • роли и ответственность;
    • перечень проверок;
    • виды отчетов;
    • порядок действий по выявлению, анализу результатов и устранению несоответствий;
    • ключевые метрики и KPI.
  8. Обучить/проинструктировать персонал.
  9. Запустить процедуру на регулярное выполнение. При необходимости это можно сделать соответствующим приказом и назначением ответственных.
  10. Регулярно собирать и анализировать контрольные метрики и KPI.
  11. При необходимости скорректировать процедуру.
Напоминаю, что скоро появится модуль опросников, с помощью которого можно будет проверять и нетехнические контроли...

четверг, 23 февраля 2012 г.

А может аутсорсинг?

Управление уязвимостями важный, но не очень простой процесс. По сути он состоит из 2х важных блоков каждый из которых бесполезен без другого. Эти блоки:

  1. Обнаружение и оценка уязвимостей
  2. Устранение уязвимостей
Как мы понимаем, устранение уязвимостей практически невозможна без персонала, отвечающего за поддержку ИТ-инфраструктуры, в то время как обнаружение уязвимостей можно полностью переложить на ИБ-подразделение и/или передать 3й стороне на аутсорсинг. 

суббота, 18 февраля 2012 г.

Qualys и управление рисками

Наверное многие даже и не знают, что в стандартном модуле Qualys VM встроена возможность проведения оценки рисков, а также управления ими.
Расскажу поподробнее...