Если вы решили использовать Qualys для автоматизации процесса контроля соответствия/аудита (Policy Compliance), то вам следует:
- Определить область контроля (scope) и провести инвентаризацию, и, при необходимости группировку активов стандартными средствами решения Qualys.
- Определить требования, на соответствие которым будет проводится оценка. Тут возможны несколько вариантов:
- Выбрать интересующий стандарт (ISO 27002, PCI DSS, СТО БР ИББС, требования ФСТЭК к ПДн и др.), выделить из них технические контроли.
- Самостоятельно подготовить корпоративные стандарты по настройке определенных элементов ИТ-инфраструктуры (сервера, рабочие станции, активное сетевое оборудование).
- Подготовить (настроить) эталонные элементы сети, на соответствие которым будут проверяться аналогичные активы.
- Подготовить необходимую политику в Qualys PC (в зависимости от п.2 будет выбираться модель ее построения).
- Подготовить шаблоны сканирования и отчетов.
- Провести первичное сканирование.
- Проанализировать полученные результаты и выработать план устранения несоответствий.
- Документировать процедуру внутреннего контроля, в которой прописать:
- область контроля;
- периодичность;
- роли и ответственность;
- перечень проверок;
- виды отчетов;
- порядок действий по выявлению, анализу результатов и устранению несоответствий;
- ключевые метрики и KPI.
- Обучить/проинструктировать персонал.
- Запустить процедуру на регулярное выполнение. При необходимости это можно сделать соответствующим приказом и назначением ответственных.
- Регулярно собирать и анализировать контрольные метрики и KPI.
- При необходимости скорректировать процедуру.
Напоминаю, что скоро появится модуль опросников, с помощью которого можно будет проверять и нетехнические контроли...