18 Сентября, 2011

Policy Compliance (Qualys)

Andrey Prozorov
Сегодня занимался тем, что готовил политику оценки соответствия настройки элементов ИТ-инфраструктуры определенным техническим требования (Policy Compliance). Все это делал в решении QualysGuard® Policy Compliance.
В частности, готовил политику проверки соответствия требованиям PCI DSS. Скоро аналогичную подготовлю и для ISO27002. В дальнейшем на проектах (аудиты ИБ) они очень пригодятся.

Модуль PolicyCompliane в решении Qualys и аналогичных решениях других вендоров интересен тем, что позволяет в автоматическом режиме проводить оценку настроек элементов ИТ-инфраструктуры заранее определенным требованиям. Ну, например, длина пароля, его сложность, наличие средств антивирусной защиты, наличие логов работы системы и т.д. По сути это те моменты, которые обычно аудиторы проверяют методом выборки и анализа отдельных элементов ИТ-инфраструктуры. Так, если нам необходимо проверить 100 ПК, то аудитор выбирает определенный процент (например 10% от всех, это зависит от методологии аудита и "лени" аудитора) и смотрит и оценивает каждый. Это долго и не особо удобно. Использование автоматизированных средств сбора и анализа информации сильно облегчает работу.

Вкратце расскажу, что может Qualys.
1. Может работать/проверять большое число операционных систем и БД, в частности, WinOS (2000, XP, Vista, 7, 2003, 2008), Oracle, MS SQL, Ubuntu, Solaris, Linux Red Hat and Debian GNU, Cisco IOS, VMWare ESX Server и другие.
2. Имеет в наличии более 2300 контролей, которые может проверять. Есть группы контролей под основные стандарты ИБ, в частности, ISO 17799/27001, Cobit (4.0 и 4.1), NIST 800-53, 
группа стандартов CIS (группа стандартов на 24 ОС), HIPAA/HITECH и другие. Все контроли объединены по следующим группам: Access Control Requirements, Anti-virys/Malware, Database Settings, Encryption, Integrity and Availability, OS Security Settings, Services, Web Application Services, [Entire] Network Setting. Это дает возможность быстрого поиска необходимых контролей.

3.Основные "+" решения:
- Удобный интерфейс для запуска сканирования и получения отчетов. Кто, знаком с Qualys, тот уже успел получить удовольствие от нового интерфейса. Если политики контроля готовы, то запус можно произвести в пару кликов или настроить по расписанию.

- Много предустановленных контролей, которые можно изменять, при необходимости. Система фильтрации и поиска контролей, в целом, удобна. Контроли имеют дополнительное описание, содержащее ссылки на стандарты и общее пояснение о необходимости контроля.
 

- Можно контроли не настраивать, а использовать предустановленные значения параметров безопасности (например, длина пароля по умолчанию стоит 8 символов).

4. Основные "-" решения:
- Первичная настройка политик требует некоторого времени и привыкания к интерфейсу консоли создания политики, который в отличие от самой консоли управления Qualys, не такой удобный.

- Не самая удобная группировка контролей по группам и по стандартам, порой приходится тратить время на поиск нужного. Но я полагаю, к этому можно быстро привыкнуть. Да, и к тому же, как я уже говорил, политику достаточно создать один раз, в последствии ее можно тиражировать/экспортировать.

В общем, считаю инструмент (Qualys Policy Compliance) крайне полезным и удобным. Чуть позже напишу о практическом опыте использования данного модуля уже "в полях".