Перечень вопросов при выборе решения по управлению уязвимостями

Подготовил перечень вопросов, на которые стоит ориентироваться Заказчику при выборе решения по управлению уязвимостями.

Перечень подготовил независимый от решения/производителя, поэтому часть вопросов будет неприменимо к QualysGuard (например, 1.2, 1.4 и др.),  вопрос про юридически ограничения больше направлен на коммерческое использование Nessus, часть вопросов (7-8) для многих простых решений по оценке уязвимостей останутся без ответа. Конечно перечень вопросов, не полный, его можно было бы расширить про поддержку языка программирования OVAL, добавить перечень поддерживаемых портов и протоколов, но это будет излишним. Для общей оценки этого достаточно, для более детальной нужно готовить более конкретную методику и программу испытаний для конкретных решений.

Итак, примеры вопросов:

1. Архитектура решения

• Из каких модулей состоит решение? Как предполагается их внедрять в ИТ-инфраструктуру?
• Какие дополнительные работы должны быть проведены в ИТ-инфраструктуре до внедрения?
• Требуется ли установка агентов на сканируемые хосты? Какие есть ограничения связанные с этим?
• Требуется ли установка и настройка базы данных? Какие требования предъявляются к базе данных?
• Каким образом система может быть масштабирована при изменении размеров и топологии сети?

2. Удобство использования

• Что собой представляет консоль управления? Графический интерфейс или командная строка?
• Какой язык интерфейса и отчетов?
• Какая шкала используется в решении для ранжирования уязвимостей?
• Какие задачи система может решать автоматически (по расписанию)?
• Какие условия технической поддержки? (доступность, способ связи, язык, время ответа)
• Каким образом проводится обучение работе с решением? Где и когда? Сколько стоит?
• С какими решениями ИТ/ИБ существует интеграция?
• Каким образом в решении описываются уязвимости и способы их устранения?
• Какие дополнительные материалы (статьи, блоги, учебные курсы) существуют по данному решению?

3. Полнота и качество результатов

• Насколько точными являются результаты поиска уязвимостей? 
• Какие рейтинги и отзывы о решении международных агентств по ИБ?
• С какими устройствами (операционными системами) работает решение?
• Какие есть ограничения на сканирование?
• Каким образом решение обновляет свою базу уязвимостей? С какими компаниями сотрудничает в этом направлении?

4. Поиск хостов (mapping)

• Является ли модуль для поиска активных хостов обязательным компонентом решения?
• Каким образом система идентифицирует хосты в ИТ-инфраструктуре?
• Какая информация содержится в отчете о поиске активных хостов? В каком виде она отображается?
• Каким образом могут добавляться новые устройства в перечень хостов?
• По каким категориям можно объединять/систематизировать выявленные хосты?

5. Сканирование

• Какие существуют основные критерии настройки решения для сканирования? Каким образом можно контролировать точность, скорость и безопасность сканирования?
• Каким образом проводятся внешнее и внутреннее сканирование ИТ-инфраструктуры?
• Поддерживает ли решение "доверенное сканирование"? Для каких операционных систем?

6. Отчетность

• Какие типы отчетов может генерировать решение?
• Существует ли возможность автоматической генерации отчетов по расписанию?
• В какие типы файлов (форматы) может производится выгрузка отчетов?
• Существует ли возможность генерации отчетов для топ-менеджмента, содержащих минимум технической информации и ориентированных на бизнес-риски компании?
• Каким образом в отчетах отображаются изменения состояния ИБ и тенденции?

7. Устранение уязвимостей

• Реализована ли в решении служба управления задачами (ServiceDesk) по устранению уязвимостями? Существует ли возможность ее интеграции с существующей службой ServiceDesk на уровне компании?
• Каким образом контролируется устранение выявленных уязвимостей?
• Предоставляет ли система рекомендации по устранению уязвимостей и ссылки на существующие патчи?

8. Модуль PolicyCompliance

• Интегрирован ли модуль PolicyCompliance (соответствие требованиям/настройкам) в систему?
• Каким образом модуль PolicyCompliance может использоваться внутренними и внешними аудиторами?
• С какими устройствами (операционными системами) работает модуль PolicyCompliance?
• Какие политики может использовать модуль PolicyCompliance? Каким образом могут создаваться дополнительные политики?
• Каким образом решение обеспечивает безопасность аудиторских отчетов?
• Является ли решение Approved Scanning Vendor (ASV) для оценки соответствия PCI DSS?

  9. Безопасность

• Как обеспечивается физическая безопасность оборудования?
• Какие данные передаются за пределы организации? Как обеспечивается их безопасность?
• Какими средствами обеспечивается контроль доступа к информации и управлению системой?
• Какой перечень ролей рекомендуется для управления системой? По каким критериям можно настроить разграничение доступа для определенных ролей?
• Каким образом обеспечивается безопасность хранения результатов сканирования?
• Какие сертификаты соответствия требованиям ИБ есть у решения и производителя решения?
• Какие существуют юридические ограничения использования решения?

10. Цена

• Из каких параметров складывается конечная цена решения? Какова цена будет для моей ИТ-инфраструктуры и задач?
• Какова стоимость техподдержки?
• Какова цена продления лицензии на следующий отчетный период?
• Какие скидки и бонусы могут быть предоставлены?
• На какую сумму мне ориентироваться, если я захочу расширить область сканирования?
• Не будет ли дешевле регулярно нанимать консультантов и/или передать задачи по управлению уязвимостями на аутсорсинг?

11.  Производитель (вендор)

• Какую историю и репутацию имеет производитель системы?
• Какое место занимает данное решение в общей продуктовой линейке производителя?
• Кто уже является пользователем данного решения?
• Кто является партнером производителя данного решения?
• Какие награды есть у производителя и у решения?
• Каким образом могу я получить demo-версию решения, провести пилотное тестирование?