Подготовка отчета по результатам проведения оценки (анализа) информационной безопасности (советы)

В шпаргалке представлены рекомендации по созданию «хорошего» отчета по результатам проведения оценки/анализа информационной безопасности.
Общий подход к созданию отчетов

  1. Проанализируйте данные, собранные в ходе проведения оценки безопасности для выявления соответствующих вопросов/проблем.
  2. Приоритезируйте ваши риски и наблюдения; сформулируйте шаги по обработке рисков.
  3. Включите в отчет раздел с подробным описанием методологии и области проведения оценки.
  4. Включите в отчет раздел с описанием наблюдений и рекомендаций.
  5. Добавьте в основную часть отчета соответствующие цифры, графики, диаграммы и исходные данные.
  6. Создайте резюме, чтобы выделить основные выводы и рекомендации.
  7. Тщательно вычитайте и отредактируйте документ.
  8. Рассмотрите вопрос о представлении проекта отчета, чтобы отсеять ложные наблюдения и подтвердить ожидания.
  9. Представьте окончательный отчет в соответствии с утвержденным списком получателей с использованием согласованных механизмов безопасной передачи.
  10. Обсудите содержание отчета с получателем по телефону или лично.

Анализ данных по результатам оценки безопасности

  • Ваш анализ должен представлять добавочную ценность по отношению к существующим наблюдениям.
  • Группируйте первоначальные наблюдения на основании на пострадавших ресурсов, рисков, категорий проблем, и т.д. для поиска паттернов.
  • Определите тенденции, которые подчеркивают существование основных проблем, влияющих на безопасность.
  • Если используются отчеты по результатам проведения сканирования уязвимостей, рассмотрите возможность анализа данных с помощью различных сводных таблиц.
  • Заполните пробелы в вашем понимании оцениваемого объекта при помощи повторных сканирований, запросов о предоставлении документов и / или интервью.
  • Для анализа наблюдений, связанных со специфическими областями, привлекайте специалистов в данных областях.

Документирование методологии проведения оценки

  • Документируйте методики, используемые для выполнения оценки, анализа данных и приоритезации выводов.
  • Описание данной методологии должно продемонстрировать системный и хорошо мотивированный подход к оценке.
  • Уточните тип проводимой оценки: тест на проникновение, оценка уязвимостей и т.д.
  • Если возможно, объясните, какие инструменты оценки были использованы и как они были настроены.
  • Если возможно, опишите, каким подходом вы руководствовались для формулирования вопросов заданных во время интервью.
  • Опишите критерии, которые использовались для назначения уровня серьезности или критичности наблюдениям.
  • Ссылайтесь на соответствующие стандарты (руководства), которые использовались для проведения оценки (PCI DSS, ISO 27001 и др.).

Область проведения оценки безопасности

  • Укажите, какие системы, сети и / или приложения были рассмотрены в ходе проведения оценки безопасности.
  • Укажите, какие документы были рассмотрены (если применимо).
  • Перечислите людей, с которыми проводилось интервью (если применимо).
  • Уточните основные цели проекта по оценке безопасности.
  • Обсудите, какие договорные обязательства или нормативные требования должны быть учтены при проведении оценки.
  • Документируйте любые объекты, которые были специально исключены из области оценки и поясните, почему.

Документирование выводов

  • Включите как отрицательные, так и положительные результаты.
  • Учитывайте отраслевые рекомендации и требования соответствия.
  • Придерживайтесь методологии и области проведения оценки.
  • Приоритезируйте наблюдения на основании величины риска.
  • Представьте практические рекомендации, с учетом сильных и слабых сторон организации.

Характеристики хорошего отчета по результатам оценки

  • Начинается с сильного резюме, понятного читателям, не владеющим техническими вопросами
  • Представлен содержательный анализ, а не просто отчеты полученные при помощи инструментов оценки
  • Используется графическое представление результатов в виде графиков, диаграмм, схем
  • Представлена методология и область проведения оценки
  • Отсутствуют опечатки и используется стандартизированная терминология
  • Предложены рекомендации по устранению проблем, а не просто указаны обнаруженные недостатки.
  • Состоит из логических связанных разделов

Дополнительные советы по составлению отчета

  • Создавайте шаблоны на основе предыдущих отчетов, чтобы вам не приходилось писать каждый документ с нуля.
  • Защищайте (шифруйте) отчет при хранении и отправке, так как его содержание, вероятно, имеет конфиденциальный характер.
  • Используйте конкретные заявления, избегайте неопределенностей.
  • Объясняйте значительные недостатки в контексте современных угроз и событий.
  • Приложите усилия, чтобы сделать отчет как можно более кратким, не упуская важных и актуальных моментов.

Скачать в формате pdf.

Дополнительные ссылки:

  • Tips for Creating an Information Security Assessment Report Cheat Sheet:
    • http://zeltser.com/security-assessments/security-assessment-report-cheat-sheet.html
  • Книга «Аудит системы менеджмента информационной безопасности. Руководство»:
    • http://itsec.by/kniga-audit-smib-iso-27001-pdf/
  • BackTrack. Методология тестирования безопасности:
    • http://itsec.by/backtrack-metodologiya-testirovaniya-bezopasnosti/
  • Процедуры сканирования уязвимостей:
    • http://itsec.by/procedury-skanirovaniya-uyazvimostej-pci-security-scanning-procedures-chast-1/
    • http://itsec.by/procedury-skanirovaniya-uyazvimostej-pci-security-scanning-procedures-chast-2/
    • http://itsec.by/procedury-skanirovaniya-uyazvimostej-pci-security-scanning-procedures-chast-3/