15.07.2009
Сегодня сложность обеспечения соответствия и строгого управления ИТ-ресурсами в организации значительно усугубляется разнообразными проблемами безопасности, которые требуют контроля и соблюдения множества внешних нормативных актов. Недавние исследования показали, что компании, которые приобретают отдельные решения для гарантии соблюдения каждого требования или стандарта, тратят на достижение ИТ-соответствия значительно больше средств, чем те, которые разрабатывают единое решение для управления множеством требований.Наиболее важным для достижения высокой степени соответствия является частая проверка ИТ-инфраструктуры и сравнение ее состояния с внутренними политиками и нормативными актами. Лидеры индустрии контролируют, оценивают и составляют отчеты по этим параметрам в среднем один раз в 21 день и проводят внутренние проверки и мониторинг ИТ-безопасности в восемь раз чаще, чем отстающие.
Symantec Control Compliance Suite (SCCS) – это интегрированный набор ключевых технологий, который позволяет достигать и поддерживать соответствие различным нормативным требованиям. Решение позволяет проверить инфраструктуру преприятия на соответствие техническим стандартам (CIS, NIST и т.д.), лучшим практикам в сфере деятельности преприятия (CobIT), внешним стандартам и нормативным актам (SOX, ISO), а также внутренним политикам информационной безопасности. Symantec Control Compliance Suite оценивает соответствие посредством проверок инфраструктуры и сопоставления их с критериями риска. Доказательства соответствия или несоответствия могут быть собраны с помощью как агентной, так и безагентной технологий путем анализа конфигураций, разрешений, патчей, уязвимостей, а также путем ручной проверки нетехнических характеристик. В конечном итоге, SCCS помогает обнаружить отклонения от общепризнанных технических и других стандартов, обеспечивая возможность оценить уровень защищенности инфраструктуры предприятия от внешних и внутренних угроз безопасности, а также предоставляет подробные рекомендации по устранению несоответствий.
Решение представляет собой открытую архитектуру, которая допускает интеграцию с бизнес-процессами и другими внешними решениями и состоит из 3-х логических элементов:
1. Policy – Модуль работы с политиками. Помогает определить политики организации и привести их в соответствие с практическими рекомендациями, системами стандартов и нормативных актов, а также выявить пересечения целей управления для исключения двойной работы по проверке. В дополнение к этому модуль автоматизирует распространение по организации письменных политик, наблюдает за ознакомлением пользователей с этими политиками и подачей заявок на внесение исключений. Модуль Policy содержит свыше 100 примеров и шаблонов политик.
2. Standards – Модуль технических проверок. Автоматизирует проверку отклонений от технических стандартов и предоставляет возможность устранять несоответствия. Модуль Standards включает пакет технических стандартов. Кроме того, модуль Standards предлагает детальные инструкции по устранению несоответствий и интегрирован с существующими системами обработки запросов, гарантируя, что все изменения вносятся только после надлежащего утверждения и при соответствующем надзоре.
3. RAM – Модуль опросных листов. Автоматизирует оценку нетехнических контролей. Модуль RAM управляет процессом ручной оценки от создания и распространения анкет до анализа собранных данных. Он обеспечивает полный обзор как административных, так и технических контролей, гарантируя охват всех политик.
Каждый модуль состоит из одного или нескольких компонентов, что позволяет строить сложные распределенные структуры с учетом пропускных возможностей каналов связи и конкретных потребностей по проверке на соответствие.
В простейшем случае возможна установка всех компонентов на один сервер, процесс работы с Symantec Control Compliance Suite цикличен и состоит из 4 этапов.
На первом этапе необходимо определить политику (политики), на соответствием которой в дальнейшем будет проверяться существующая инфраструктура и задать конкретные требования, соответствие которым должно проверяться.
Политику можно создать «с нуля» или из шаблона, кроме того, в эту политику можно включить требования из любых норматинвых документов из библиотеки продукта. Для этого существует графический инструмент, который позволяет наглядно оценить какие требования (и из каких документов) уже присутствуют в создаваемой политике и какие необходимо добавить.
После того, как политика создана и утверждена ответственными лицами, есть возможность распространить ее среди сотрудников организации и отследить, кто из сотрудников с ней ознакомился и одобрил, а кто нет. Пользователи могут прочитать политику и утвердить на встроенном web-портале.
После того, как с политикой все ознакомились и утвердили, необходимо провести фактическую проверку инфраструктуры на соответствие всем требованиям из нее. Результаты можно получить в виде диаграмм, графиков, табличных данных с иерархической структурой, которая позволяет в случае необходимости получить подробную информацию о каждой проведенной проверке и ее результате.
Есть возможность также создавать собственные технические стандарты и добавлять туда проверки из встроенной библиотеки проверок или создавать свои собственные проверки используя большое количество различных критериев.
По результатам проверок в продукте предусмотрены подробные пошаговые рекомендации по исправлению того или иного несоответствия. Эти рекомендации могут быть переданы в другие департаменты для обработки и приведения проверяемой инфраструктуры к должному уровню соответствия. Symantec Control Compliance Suite поддерживает интеграцию с системами обработки запросов (Help-Desk), что позволяет создавать заявки непосредственно после обнаружения несоответствий и повысить оперативность реагирования на них.
Однако, известно, что большая часть объектов, о которых упоминается в нормативных актах и стандартах, представляет собой административные средства управления (т.е. не могут быть проверены техническими методами). Организации часто опираются на оценки на бумаге, составление которых требует больших трудозатрат и которыми трудно управлять.
Специальный модуль RAM ориентирован на проверки таких нетехнических контролей. Он управляет процессом ручной оценки соответствия от создания и распространения анкет до анализа собранных данных. В библиотеку опросных листов продукта включены шаблоны опросов по таким документам, как CobiT, ISO, NIST, PCI, SOX и т.д.
С помощью шаблонов или без них можно составить произвольный набор вопросов по той или иной тематике и предложить той или иной группе сотрудников организации ответить на эти вопросы. Каждому вопросу и даже каждому варианту ответа на вопрос можно задать весовой коэффициент, который будет обозначать его критичность и будет влиять на итоговую отчетность о соответствии.
Распространение опросных листов по пользователям осуществляется также с помощью встроенного веб портала. При ответе на вопросы каждый пользователь может оставлять свои комментарии и прикладывать документальные доказательства.
После сбора ответов сотрудников администратор системы имеет возможность всесторонне проанализировать результаты с использованием встроенных механизмов анализа.
В конечном итоге, после окончания всех проверок есть возможность получить единый отчет об общем состоянии соответствия предприятия заданным политикам вне зависимости от того, какие требования были включены в политику (технические или нетехнические). Кроме того, по результатам работы всех модулей продукта строятся подробные отчеты, которые также присутствуют в продукте в виде шаблонов.
Помимо отчетов существуют также так называемые информационные панели, которые позволяют следить за текущим уровнем соответствия и уровнями рисков в отдельных подразделениях, офисах; по отдельным информационным системам, серверам, по отдельным политикам или глобально.
Процесс оценки и исправления повторяется до тех пор, пока не будет достигнут требуемый уровень соответствия требуемым законам или другим нормативным актам и в дальнейшем решение позволяет поддерживать соответствие на этом уровне и предоставлять отчеты и доказательства соответствия.
В заключении необходимо отметить, что продукт поддерживает проверки огромного перечня Операционных систем, включая Windows, Solaris, AIX, Linux и др., а также специализированных приложений, таких как Microsoft SQL Server, Microsoft Exchange, Oracle и др.
Источник:
Информационная служба - "Anti-Malware"
