Полный цикл процедуры оценки соответствия политикам информационной безопасности состоит из следующих шагов:
- Создание политик информационной безопасности. На этом этапе мы определяем требования по настройке элементов ИТ-инфраструктуры. Это могут быть моменты связанные с управлением паролями, наличию определенных средств защиты (например АВЗ), наличие определенных служб и протоколов. Мы можем ориентироваться на требования по информационной безопасности, принятые в компании, или же на "лучшие мировые практики" (рекомендации NIST, CERT), стандарты (PCI DSS, ISO 27002, СТО БР ИББС) и/или требования и рекомендации (152-ФЗ и подзаконные акты). При необходимости данные требования могут быть задокументированны в компании в качестве корпоративного стандарта или требований. Затем в Qualys создатся политики проверки.
- Применение политик. На этом этапе элементы ИТ-инфраструктуры настраиваются в соответствии с определенными требованиями. Настройка может быть как групповой (например, через AD для Windows машин), так и по конкретным хостам. Настройка может быть произведена как в автматическом режиме, так и в ручную.
- Сканирование (compliance). На этом этапе мы проводим сканирование ИТ-инфраструктуры на соответствие определенным политикам информационной безопасности. P.S. Есди инвентаризация еще не была проведена, то сначала выполняется она.
- Подготовка и анализ отчетов. На этом этапе подготавливаются отчеты о результатах оценки соответствия.
- Управление несоответствиями. На этом этапе принимаются решения об устранении выявленных несоответствий.
Комментариев нет:
Отправить комментарий