Выпуск CheckU 1.0: обзор платформы для автоматизации внутреннего аудита ИБ

Мы выпустили первый выпуск CheckU — комплексной системы для внутреннего контроля соответствия требованиям информационной безопасности.

Подход обладает централизованной архитектурой и хранилищем данных, а равным образом предоставляет полный фича для выполнения и контроля задач аудита ИБ, в том числе аналитику данных. Об этом и других возможностях CheckU рассказываем в новости.

Управление пользователями

Для пользователей в решении предусмотрено две роли: администратор и аудитор. CheckU обладает полным функционалом для их администрирования, а также может интегрироваться с корпоративными службами каталогов, что обеспечивает импорт и синхронизацию данных пользователей.

Как это работает

• Администратор создает учетные записи пользователей, назначает им роли и закрепляет за организациями.

• Статусы учетных записей позволяют оперативно активировать и деактивировать доступ, а функции смены пароля и интеграция со службой каталогов упрощают сопровождение.

• Изменения прав и принадлежности пользователя к организациям мгновенно отражаются в доступных ему задачах и данных.

Результат

• Контролируемый доступ к системе: легко управлять добавлением и отстранением сотрудников, а равным образом их полномочиями.

• Снижение нагрузки благодаря централизованного управления пользователями и интеграции с существующей инфраструктурой.

• Соответствие внутренним регламентам и требованиям аудита по управлению доступом.

Доступ и безопасность

Для повышения удобства и безопасности реализован функционал, включающий вход по корпоративной учетной записи, ролевую модель доступа, а равным образом механизмы защиты — ограничение числа попыток входа и блокировку учетных записей.

Как это работает

• Потребитель входит в систему под своей учетной записью: либо локальной, созданной администратором в CheckU, либо корпоративной учетной записью из службы каталогов.

• Механизмы защиты от перебора паролей отслеживают неудачные попытки входа и при превышении порога временно блокируют доступ.

• Ролевая схема определяет, какие разделы и действия доступны пользователю: администраторы управляют организациями, процессами, пользователями и задачами, тогда как аудиторы работают исключительно с задачами, поставленными администраторами.

Результат

• Снижение рисков несанкционированного доступа и утечек данных за счет централизованного управления учетными записями и ролями.

• Легкий и безопасный вход в CheckU по уже существующей корпоративной учетной записи.

• Прозрачная система полномочий: доступ к функциям и данным соответствует должностным обязанностям, что упрощает контроль и аудит.

Задачи — центральная сущность системы

В CheckU реализован полный цикл управления задачами по внутреннему аудиту на соответствие требованиям ИБ: разработка → назначение→ выполнение → проверка → закрытие/доработка. Разработанный алгоритм повышает прозрачность и управляемость рабочего процесса.

Как это работает

• Администратор формирует задачу на основе шаблона опросного листа: выбирает организацию, проверяемые объекты, формулу расчёта и сроки.

• Аудитор в нижестоящей организации получает задачу, проводит проверку по требованиям, прикрепляет подтверждающие документация и отправляет итог на проверку.

• Администратор проверяет результаты, при необходимости возвращает на доработку или закрывает задачу. При этом весь жизненный цикл фиксируется в системе со статусами.

Итог

• Функция отслеживать статусы проверок, исполнителей, сроки и результаты.

• Минимизация операционных рисков за счёт прозрачному жизненному циклу задач, структурированной обратной связи и отсутствию «потерянных» проверок.

Шаблоны опросных листов

Внедрен централизованный реестр шаблонов опросных листов для выполнения аудита, обеспечивающий их полное управления: просмотр, создание, редактирование, исключение и копирование.

СheckU систематизирует хранение шаблонов, обеспечивает защиту от несанкционированных изменений, а равным образом безопасный импорт и экспорт файлов.

Как это работает

• Все шаблоны опросных листов хранятся централизованно в базе данных и редактируются только пользователями с соответствующими правами.

• Администратор создает макет, заполняя его группами требований разных уровней, указывая веса и коэффициенты, и при необходимости блокируя макет от изменений. Есть возможность скачивать готовые шаблоны (контент-паки) с методиками и наборами требований, разработанные нашими экспертами*.

• Импорт и экспорт закодированных файлов позволяют безопасно передавать шаблоны из филиалов в закрытом контуре в головной офис без потери структуры и параметров.

Результат

• Единые формы проверки, которые могут повторно использоваться в задачах для различных организаций.

• Функция на основе существующих шаблонов создавать похожие с внесением изменений.

• Безопасность шаблонов от внесения в них несанкционированных изменений.

* Для успешного использования потребуется индивидуальная конфигурация нашими экспертами.

Требования для проверки соответствия

Аналогично реестром шаблонов реализовано централизованное хранилище требований, которое обеспечивает полный функционал управления ими: просмотр, разработка, редактирование, удаление и копирование.

Как это работает

• Все требования хранятся централизованно в базе данных и могут использоваться в разных шаблонах.

• При добавлении в шаблон одно и то же требование может быть определено различным весовым коэффициентом, который влияет на итоговую оценку.

• К требованиям присваивается статус использования для защиты от редактирования и удаления требований, которые задействованы в шаблонах.

Результат

• Централизованное управление нормативной базой.

• Повышение качества проверок: аудиторы работают с формализованными и единообразными требованиями.

• Гибкая платформа оценки: теперь для различных проверок требование может иметь разный весовой коэффициент в зависимости от значимости этого требования для проверяемого объекта и организации.

Конструктор формул

CheckU даёт возможность разрабатывать формулы для оценки соответствия требованиям ИБ точно под конкретную проверку и без лишних трудозатрат. Созданную формулу расчета можно применить для любого нового опросного листа. Доступен цельный цикл управления: просмотр, разработка, копирование, редактирование и удаление формул.

Как это работает

• Администратор формирует формулы в конструкторе на основе функций, переменных (веса, коэффициенты, результаты соответствия требования, количество требований) и операторов.

• Формулы сохраняются в справочнике и привязываются к задачам, при расчете результатов платформа автоматически применяет нужную формулу без ручных вычислений.

Результат

• Гибкая настройка формул под стандарты компании без доработки кода.

• Снижение риска ошибок в подсчетах итогового балла.

Организации и проверяемые объекты

Для точного контроля за организациями внедрён раздел с иерархией всех подразделений компании, с помощью которого можно осуществлять контроль состояния каждой организации и филиала в контексте единого окна. Внедрен полноценный фича управления проверяемыми объектами и организациями (разработка, редактирование, удаление).

Как это работает

• В системе задается иерархия головной и дочерних организаций, к каждой из которых привязываются проверяемые объекты.

• Задачи формируются с указанием конкретной организации и списка объектов, по которым нужно выполнить проверку.

• По результатам проверок для каждой организации и объекта формируются статусы соответствия и аналитические показатели, доступные на дашборде.

Результат

• Функция проводить проверки для различных организаций и проверяемых объектов в единой системе без стороннего взаимодействия.

• Отслеживание статусов соответствия для организаций и проверяемых объектов.

Дашборд и анализ

CheckU представляет возможности аналитики для контроля рисков и принятия управленческих решений. Все данные собраны в единый сквозной дашборд с гибкой фильтрацией и доступом к историческим данным.

Как это работает

• Платформа собирает результаты всех проверок из разных организаций и задач в единую базу и автоматически агрегирует их по ключевым показателям: уровни соответствия, баллы, критичность, динамика по периодам.

• Дашборд позволяет гибко настраивать отображение данных: выбирать нужные организации, управлять виджетами и сортировать информацию по любым полям.

• Фильтры и ретроспектива за пару кликов позволяют перейти от общей картины по компании к конкретной организации, объекту, задаче или требованию и отследить динамику изменений во времени.

Итог

• Быстрая идентификация зон риска: дашборд показывает, где баллы не соответствуют заданным порогам критичности и растет число нарушений, позволяя оперативно планировать дополнительные проверки и мероприятия.

• Данные для принятия управленческих решений: ретроспективная аналитика помогает оценить эффективность принятых мер, обосновать бюджет и выстроить план повышения уровня безопасности и соответствия требованиям.

Кроме функциональных изменений в версии 1.0 значительно усовершенствован оболочку CheckU: новый дизайн, улучшенная навигация, фильтрация и сортировка данных на всех страницах сделали аудит еще комфортнее и быстрее. Решение готово к внедрению и использованию в рабочей среде.

Наши специалисты готовы ответить на любые вопросы о CheckU — свяжитесь с нами, чтобы подробно обсудить детали и сценарии использования решения.