Lumension Risk Manager следит за соблюдением нормативов

Насколько ваша организация подвержена риску? Если у вас нет центра, отслеживающего ИТ-активы и создаваемые ими риски для бизнеса, вы, возможно, более уязвимы, чем вам кажется.

Lumension Risk Manager 4.1 может оказаться весьма эффективным инструментом в руках ИТ-администраторов, которые отвечают за формирование потоков работ и управление ими с учетом рисков и соблюдения нормативных требований.

При правильном использовании (и при наличии достаточного времени для его настройки) Risk Manager может точно отслеживать, как именно и насколько успешно корпорация предотвращает потенциальные риски при осуществлении своей деятельности. Однако готовность использовать его должна стать обязательным элементом работы организации, а сотрудники должны заполнять анкеты и принимать участие в мониторинге своих действий.

Сердцевину Risk Manager образует Unified Compliance Framework. Это модель, разработанная компанией Network Frontiers и юридической фирмой Latham & Watkins. Сейчас она используется самыми различными организациями (в том числе корпорацией Microsoft в ее System Center Service Manager) для отслеживания свыше 400 показателей на соответствие нормативным требованиям.

Данная модель применяется для управления конфликтующими или взаимно перекрещивающимися нормами и является ядром алгоритмов оценки Risk Manager. Модель позволяет составить целостное, без дубликатов представление обо всех нормативных актах, таких как закон Сарбейнса — Оксли, закон о защите информации о состоянии здоровья пациентов (Health Insurance Portability and Accountability Act, HIPAA), стандарты PCI (Payment Card Industry) и др., влияющие на политику и процедуры в области ИТ.

Risk Manager может работать на умеренно мощном компьютере под управлением Windows Server 2003 или более поздней версии. В качестве репозитория данных используется СУБД SQL Server 2005 или более поздняя версия. Интерфейс пользователя создан на базе веб-браузера. Поддерживаются самые различные браузеры.

Я проводил тестирование с уже имевшейся базой данных, используя Internet Explorer 7. Продукт поддерживает также Firefox 3 и Safari 3 или их более поздние версии.

Цена Risk Manager 4.1 колеблется в зависимости от числа объектов мониторинга, которым присваивается уникальный IP-адрес. Она начинается с 40 долл. за объект. При большом количестве объектов предоставляются скидки.

Панель отображения рисков

Основное меню представляет собой приборную панель, которая позволяет отслеживать различные показатели и сообщения, в том числе ваши уведомления и напоминания, которые ПО посылает вам по электронной почте, аннотации нормативных актов, а также оценки различных групп внутри организации, составленные на основе ключевых показателей производительности, таких как процент выполнения проверки подрядчиков в фоновом режиме или применения шифрования жестких дисков ноутбуков.

Как это часто делается при использовании приборных панелей, каждому пункту соответствуют страницы с более подробными сведениями. Пользователь может щелкнуть по интересующей его теме и получить расширенную информацию. Например, если мне захотелось увидеть, соблюдает ли моя организация стандарты PCI, я выберу соответствующий пункт и получу краткий отчет, показывающий, по каким темам проверка пройдена, а по каким нет. Кроме того, можно будет ознакомиться с оценками, полученными подразделениями за соблюдение выбранного набора нормативных требований. Я могу углубиться в изучение вопроса и проверить конкретные подразделения на предмет соблюдения норм.

Освоение терминологии

Приступив к созданию тестовых бизнес-процессов и соответствующих средств контроля, я пришел к выводу, что самое трудное при использовании Risk Manager — изучение применяемого в данном продукте жаргона и его настроек.

Тем не менее прилагаемая к Risk Manager документация содержала все необходимые сведения, позволяющие разобраться в различных метриках, из которых складывается система защиты, и оценках соответствия нормативным требования по каждому фактору риска. К последним относятся, в частности, безопасность физического периметра и включение персональных данных пользователей в сообщения электронной почты. Каждый контрольный пункт (например, предназначенный для оценки физической защиты настольных ПК) содержит несколько вопросов, которые направляются отвечающим за определенный участок сотрудникам.

По получении от них ответов рассчитывается общий индекс безопасности. Он выводится на экран, где показываются также тенденции развития, конкретные нормы, использованные при расчетах, и подразделения, отвечающие за их соблюдение.

Когда вы все это изучите, вам предстоит еще многое освоить, прежде чем вы сможете создавать полезные отчеты и видеть ситуацию с соблюдением нормативных требований. Risk Manager должен служить всеобъемлющей системой, охватывающей различные направления деятельности корпорации. Однако, чтобы собрать воедино продуманные, эффективные политики, ИТ-менеджерам придется затратить немало времени на глубокое изучение своих организаций и их бизнес-процессов.

Вы можете также воспользоваться оценками, предназначенными для проверки соблюдения отдельных требований (например, HIPAA) или правил для ваших веб-приложений, предназначенных для внешних пользователей. У вас есть возможность проследить, кто и когда запускал проверку и каков процент ее выполнения в данный момент.

Вы в силах формулировать весьма сложные критерии для оценки отдельных пользователей, сетей и других объектов, которые компания Lumension именует предметами. Так, можно ограничиться изучением лишь тех рекомендаций PCI, которые относятся только к провайдерам внешних беспроводных сетей.

Как вы, наверное, и предполагали, столь сложный продукт нуждается в хорошем поисковом механизме, чтобы пользователи могли быстро находить ответы на интересующие их вопросы. Поиск можно запустить с любого экрана, щелкнув по маленькой иконке в правом верхнем углу.

Например, я нашел все пункты, в описании которых значилось “настройки, заданные производителем по умолчанию”, а затем выбрал из них нужный.

Новое в версии 4.1

В версию 4.1 компания Lumension добавила несколько новых функций. Прежде всего следует упомянуть о более точном формулировании проектов по устранению недочетов. Стало легче присваивать оценку проекту. Достаточно щелкнуть по нему правой кнопкой мыши и добавить к проекту оценку. Вы можете также вести поиск пользователей, чтобы увидеть, какие проекты за ними закреплены, или найти пользователей в Active Directory и распределить между ними задания.

После завершения проекта Risk Manager автоматически производит оценку и направляет ее по электронной почте специалистам по безопасности для проверки. Это упрощает манипулирование проектами, избавляя от необходимости перемещаться по пунктам меню.

Сообщения электронной почты тоже усовершенствованы. Они более тесно связаны с событиями и конкретными потоками работ. Кроме того, вы можете осуществлять мониторинг отдельных приложений и определять, когда оценка оказывается ниже определенного уровня и как часто вы хотите получать уведомления по электронной почте.

Наконец, Lumension продолжает работу с производителями средств сканирования уязвимостей и установки исправлений ПО и использует различные инструменты (включая программу для выявления уязвимостей Nessus), чтобы непосредственно интегрировать полученные с их помощью результаты в Risk Manager.