пятница, 24 февраля 2012 г.

Пострение процедуры внутреннего контроля (аудит)

Если вы решили использовать Qualys для автоматизации процесса контроля соответствия/аудита (Policy Compliance), то вам следует:

  1. Определить область контроля (scope) и провести инвентаризацию, и, при необходимости группировку активов стандартными средствами решения Qualys.
  2. Определить требования, на соответствие которым будет проводится оценка. Тут возможны несколько вариантов:
    • Выбрать интересующий стандарт (ISO 27002, PCI DSS, СТО БР ИББС, требования ФСТЭК к ПДн и др.), выделить из них технические контроли.
    • Самостоятельно подготовить корпоративные стандарты по настройке определенных элементов ИТ-инфраструктуры (сервера, рабочие станции, активное сетевое оборудование).
    • Подготовить (настроить) эталонные элементы сети, на соответствие которым будут проверяться аналогичные активы.
  3. Подготовить необходимую политику в Qualys PC (в зависимости от п.2 будет выбираться модель ее построения).
  4. Подготовить шаблоны сканирования и отчетов.
  5. Провести первичное сканирование.
  6. Проанализировать полученные результаты и выработать план устранения несоответствий.
  7. Документировать процедуру внутреннего контроля, в которой прописать:
    • область контроля;
    • периодичность;
    • роли и ответственность;
    • перечень проверок;
    • виды отчетов;
    • порядок действий по выявлению, анализу результатов и устранению несоответствий;
    • ключевые метрики и KPI.
  8. Обучить/проинструктировать персонал.
  9. Запустить процедуру на регулярное выполнение. При необходимости это можно сделать соответствующим приказом и назначением ответственных.
  10. Регулярно собирать и анализировать контрольные метрики и KPI.
  11. При необходимости скорректировать процедуру.
Напоминаю, что скоро появится модуль опросников, с помощью которого можно будет проверять и нетехнические контроли...

Комментариев нет:

Отправить комментарий