Таль Даян, эксперт по безопасности компании AlgoSec, рассказывает о секретах успешного прохождения аудитов и о том, как внедрить автоматизированное обеспечение соответствия нормативным требованиям
Стандарты соответствия бывают самых разных форм и размеров. Некоторые организации устанавливают свои собственные внутренние политики, в то время как другие подчиняются строгим глобальным рамкам, таким как PCI DSS, который защищает данные платежных карт клиентов; SOX, который защищает финансовую информацию, или HIPAA, который защищает данные о здоровье пациентов.
Независимо от того, в какой отрасли вы работаете, регулярный аудит является ключом к обеспечению того, чтобы ваш бизнес сохранял свою позицию в отношении рисков и при этом оставался соответствующим требованиям. Проблема заключается в том, что проведение ручных аудитов рисков и безопасности может быть долгим, затяжным и утомительным делом. В отчете Coalfire и Omdia за 2020 год было установлено, что для большинства организаций растущие обязательства по обеспечению соответствия требованиям в настоящее время потребляют 40 % или более бюджета на ИТ-безопасность и угрожают стать непосильной нагрузкой.
В отчете предлагается две причины для этого растущего бремени соблюдения нормативных требований. Во-первых, стандарты соблюдения нормативных требований меняются с одномоментных проверок на постоянные требования, основанные на результатах. Во-вторых, постоянная нехватка специалистов в области кибербезопасности ограничивает возможности организаций по соблюдению нормативных требований. Это означает, что компании, как правило, откладывают их выполнение до последнего момента, что приводит к спешному аудиту, который не может быть столь тщательным, как мог бы быть, и подвергает ваш бизнес повышенному риску штрафных санкций или, что еще хуже, утечки данных, которая может поставить под угрозу всю организацию.
Сам процесс аудита состоит из набора требований, которые должны быть созданы для того, чтобы организации могли оценивать себя по ним. Каждое правило должно быть вручную проанализировано и смоделировано, прежде чем оно может быть внедрено и использовано в реальных условиях. Сколько бы это не занимало времени, каждое изменение правила также должно быть тщательно зарегистрировано. Именно поэтому автоматизация играет ключевую роль в процессе аудита. Находя правильный баланс между автоматизированными и ручными процессами, ваша компания может обеспечить постоянное соблюдение нормативных требований и беспрепятственно создавать аудиторские отчеты.
Вот стратегия из шести этапов, которая может направить ваш бизнес на путь устойчивого и успешного постоянного сохранения аудита:
Шаг 1: Сбор информации
Этот шаг будет самым трудоемким, но после его завершения процесс станет гораздо проще. На этом этапе вам необходимо собрать такие данные, как политики безопасности, журналы доступа к брандмауэру, документы предыдущих аудитов и информацию о поставщиках брандмауэров – фактически все, что обычно учитывается при ручном аудите безопасности.
Шаг 2: Определите четкий процесс управления изменениями
Хороший процесс управления изменениями необходим для обеспечения отслеживаемости и подотчетности при внесении изменений в брандмауэр. Этот процесс должен подтверждать, что каждое изменение должным образом авторизовано и зарегистрировано в момент его внесения, обеспечивая обзор исторических изменений и утверждений.
Шаг 3: Аудит физической безопасности и безопасности ОС
В связи с пандемией, вызвавшей резкий рост числа удаленных работников и используемых устройств, предприятия должны уделять особое внимание проверке того, что все конечные точки защищены и обновлены соответствующими патчами безопасности. Крайне важно, чтобы брандмауэры и службы управления также были физически защищены, и доступ к ним имел только уполномоченный персонал.
Шаг 4: Очистка и упорядочивание базы правил
Как и в любом процессе, чем он более упорядочен, тем он эффективнее. Необходимо соблюдать правила документирования и соглашения об именовании, чтобы база правил была максимально упорядочена, а идентичные правила были объединены для обеспечения лаконичности.
Шаг 5: Оценка и устранение рисков
Теперь пришло время оценить каждое правило, выявить те из них, которые представляют особую опасность, и расставить их по степени серьезности. Есть ли среди них такие, которые нарушают корпоративные политики безопасности? Есть ли среди них такие, которые содержат слово «ЛЮБОЙ» и разрешающее действие? Составьте список таких правил и проанализируйте их, чтобы подготовить планы по их исправлению и обеспечению соответствия.
Шаг 6: Непрерывность и оптимизация
Теперь пришло время просто отработать первые пять шагов и сделать эти процессы максимально регулярными и оптимизированными.
Следуя вышеуказанным шагам и разработав собственный процесс, вы сможете значительно упростить повседневную работу по обеспечению соответствия и аудиту. Вы не только улучшите свой рейтинг соответствия, но и сможете поддерживать устойчивый уровень соответствия без обычных сбоев и тяжелой работы, вызванных громоздкими и дорогостоящими ручными процессами.
