Автоматизируем аудиты ИБ: Протестировал Qualys Security Assessment Questionnaire

Автоматизируем аудиты ИБ: Протестировал Qualys Security Assessment Questionnaire
Несколько последних дней уходящего 2018 года посвятил пилотированию/тестированию сервиса  Qualys Security Assessment Questionnaire  (Qualys SAQ). Это один из модулей облачной платформы Qualys , которая известна, в первую очередь, своим сканером уязвимостей...

Вендор позиционирует свое решение в первую очередь как средство для оценки рисков ИБ, связанных с поставщиками ("Transformative cloud solution for automating and streamlining an organization’s vendor risk management process"), и в качестве "замены эксельки" при оценке ИБ (и своей в том числе) ("Excel at Your Security Assessments without EXCEL Spreadsheets"). По сути, решение предлагает автоматизацию работы с различными опросниками при проведении аудитов безопасности.

Зачем этот продукт мне, какие задачи мне было бы интересно им решать? 
Первоначально я прикинул для себя 3 задачи, которые мне было бы полезно автоматизировать и упростить:
  1. Внутренний аудит по ISO 27001 (и ряду других стандартов, например, Katakri).
  2. Аудит ИБ ключевых поставщиков и оценка связанных с ними рисков.
  3. Оценка знаний сотрудников компании после проведенных тренингов повышения осведомленности (awareness).
Соответственно, я протестировал именно эти кейсы и готов поделиться с вами своими наблюдениями и выводами. Заметка не рекламная, буду и хвалить и ругать. Павел Сотников, заранее прости :)))

Qualys Security Assessment Questionnaire
Сам сервис облачный, ничего устанавливать не надо, вся работа идет в браузере. Если у вас уже есть другие продукты Qualys, то этот модуль появится у в выпадающем списке, если нет, то он вполне может быть и одним. Получить стандартный 30-дневный демо-доступ можно по запросу, например, тут -  https://www.qualys.com/free-trial/#/saq .

Дизайн рабочего стола минималистичный, но удобный. На мой взгляд, все очевидно и понятно. Никаких инструкций и гайдов я не читал, разобраться с управлением очень просто.
  • Users - создаем новых пользователей, по сути, респондентов (тех, кто будет отвечать на вопросы анкет). Им будут приходить соответствующие задания.
  • Templates - шаблоны опросников, можно создавать свои, а можно использовать из имеющейся базы, но об этом чуть ниже.
  • Reports - отчеты.
  • Campaigns - компании, именно здесь мы запускаем наши опросы.
  • Dashboard - ну, тут тоже все очевидно. 
Библиотека опросников
Для меня (эксперта-методолога ИБ) эта вкладка Tempalates самая "вкусная", именно здесь мы создаем и работаем с шаблонами опросников. И именно с этого и надо начинать. 
Но сначала стоит познакомиться с Library (библиотека опросников). На данный момент в библиотеке представлено 109 очень толковых опросников по ИБ, в частности:
  • ISMS 27001 - 1
  • BSI IT (да, это известный немецкий стандарт) - 1
  • COBIT5 - 1
  • GDPR - 9
  • PCI - 29
  • CIS TOP 20 - 2
  • NIST - 39 (36 из них по 800-53 r3, есть 2 по CSF и 1 по 800-171)
  • ITIL - 3
Есть опросники по COSO и другим моделям оценки рисков, есть несколько по оценке поставщиков (Vendor Management). Аналитикам и аудиторам очень понравится эта библиотека.


Всего 1177 вопросов по ИБ, но можно, как я уже говорил, написать и свои. Хоть под КИИ, хоть под 17 приказ :)) 

Примеры опросников очень хороши, на них стоит ориентироваться, но править их и создавать свои все равно придется. Вернемся, к примеру, к моим первоначальным трем задачам.
  1. В шаблоне по ISO 27001 представлено 188 вопросов, но лишь по приложению А стандарта. Если вы проводите аудит по ISO 27001, то придется существенно расширять перечень вопросов, добавлять требования из "текстовой" части стандарта. Но на базе существующего примера сделать это будет не сложно. Примеров вопросов по редким стандартам (типа Katakri и YVL A.12), ожидаемо, нет, их тоже придется делать самостоятельно, хотя часть вопросов можно будет и "набрать" из библиотеки.
  2. В стандартном опроснике Vendor Risk Assessment представлено 288 вопросов, полагаю, что наши партнеры не сильно обрадуются, если мы им зашлем такой "краткий" опросник. Нужно будет сокращать... 
  3. Вопросников по awareness нет вообще, необходимо будет создавать свой.
Кстати, в процессе тестирования выявилась еще одна забавная особенность существующих опросников - они слишком качественно сделаны. Поясню. В опроснике можно задавать не только варианты ответов и пустые поля (об этом ниже), но и обязывать респондентов прикреплять вложения (свидетельства аудита) и оставлять обязательные комментарии. К примеру, "молодцы" аналитики по умолчанию на 188 вопросов по ISMS 27001 при ответе "Yes" ("да, все хорошо, требование выполняем") заставляют вкладывать свидетельства аудита и без этого ответ не засчитывают... Представляете себе трудозатраты отвечающих и объем передаваемой информации? В своем шаблоне убрал эту опцию из большинства вопросов...

Создание опросников
Ну, в общем, как я уже сказал, шаблоны опросников править / создавать придется.

Вопросы могут быть одного из 8 типов, стандартный и самый часто используемый вариант - single - select (выбор одного).
Как я уже говорил выше, к каждому вопросу или даже ответу можно обязать добавлять вложения (свидетельства), комментарии или связывать с активами (это не тестировал). Помимо этого можно добавлять уровень критичности для ответов и самих вопросов, это позволит считать некий интегральный уровень итогового риска, что будет полезно для оценки, например, поставщиков.
В целом, создавать свои опросники не сложно, но довольно муторно, дело это не быстрое. В частности, на то чтобы убрать галочку "вложения" из 188 вопросов шаблона ISMS 27001 у меня ушло минут 40-60 (нет возможности "применить ко всем" или "сделать по образцу", пришлось править каждый вопрос, а точнее каждый первый ответ "Yes"). А это была простая правка... Ну, т.е. на создание нормального работающего опросника под конкретную задачу, по моим оценкам, придется потратить несколько дней. Но скорее всего это будет быстрее, чем делать тоже самое в excel "с нуля"...

Итого, можно сделать очень крутые вопросники, но нужно и время и знание "лучших практик" и стандартов.

Запуск опросов
Сами опросы/проекты (Campaigns) создаются легко и просто, за пару кликов. Но до этого надо добавить респондентов в закладке User, Кстати, чем больше будет опрашиваемых - тем интереснее результаты, но дороже стоимость продукта (Qualys SAQ тарифицируется по количеству опрашиваемых).
Как я уже сказал, создавать опросы легко. Указывается название, длительность, выбирается шаблон опросника, добавляются респонденты. Каждому из них на почту придет письмо вот такого виде (его можно править):
Из забавных настроек можно делать несколько уровней согласования ответов, добавлять тех, кто будет их проверять.

Соответственно, каждому респонденту на почту придет ссылка на вход в личный кабинет, в котором он и будет заполнять опросники. 

В целом, получается довольно забавно. При наличии опросников можно очень быстро штамповать проекты и буквально "завалить" респондентов вопросами. Поэтому еще раз повторюсь, чтобы процесс был эффективным, надо вопросы и респондентов выбирать с умом...

По результатам проектов строятся красивые дашборды и отчеты, но на мой взгляд они получают не показательными. В частности, по ISMS 27001 опроснику мне система сгенерировала 88 страниц pdf со всеми ответами, что, конечно, прикольно, но не показывает мне, например, итоговый результат (например, % выполнения) или "незакрытые" контроли. По хорошему, придется отчет выгружать в другом формате и самостоятельно забирать из него данные и переформатировать. Недоавтоматизировали. Коллеги из Qualys обещают в ближайшем обновлении (начало 2019 года) новые отчеты. например, по рискам поставщиков. но посмотрим. Сейчас отчетами я не доволен. Для моих задач №1 и №2 отчеты откровенно слабы, для задачи №3 подойдет (если опросы проводить по большому числу респондентов).


Плюсы и минусы
+:
  • Отличная аналитика и подборка опросников.
  • Простой и понятный интерфейс.
  • Легко запускать и контролировать опросы.
  • Облачная платформа удобна для работы и масштабирования.
-:
  • Слабые шаблоны отчетов.
  • Большие и сложные опросники настраивать не просто.
  • Облачная платформа предполагает хранение всех данных и результатов "в облаке".

Итого
Продукт прикольный, мне понравился, но не для массового использования. Он будет интересен компаниям с высоким уровнем зрелости процессов управления рисками ИБ поставщиков и/или тем, кто проводит масштабные аудиты ИБ. В частности, становится очень удобно опрашивать территориально удаленные офисы. 
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Хакеры ненавидят этот канал!

Спойлер: мы раскрываем их любимые трюки

Расстройте их планы — подпишитесь

Andrey Prozorov

Информационная безопасность в России и мире