Správa dôkazov o zhode: Zber, organizácia a uchovávanie auditných dôkazov
Problém s dôkazmi
Väčšina organizácií pristupuje k dôkazom o zhode ako k zbierke artefaktov – zhromažďujú ich z viacerých zdrojov do štruktúry priečinkov pred každým auditom. Tento prístup je krehký, časovo náročný a náchylný na chyby. Dôkazy zastarávajú, zdroje sa menia, formátovanie sa líši a pred-auditové zhony zaberajú týždne.
Nepretržité zhromažďovanie dôkazov
Alternatíva: zabudujte zhromažďovanie dôkazov do svojich prevádzkových pracovných postupov, aby sa artefakty vytvárali a organizovali ako vedľajší produkt vašej práce. Bezpečnostné testovanie automaticky vytvára správy mapované na súlad. Revízie prístupu generujú dôkazy vo vašom systéme správy identít. Riadenie zmien zachytáva záznamy o schválení vo vašom systéme lístkov. Dôkazy sú vždy aktuálne, pretože sa neustále generujú.
Konkrétne dôkazy z Penetration Testing
Pre dôkazy z pentestu potrebujete: dokumentáciu metodológie, zosúladenie rozsahu s hranicou súladu, zistenia s hodnotením závažnosti s dôkazmi o reprodukcii, nápravné opatrenia s časovými osami, dôkazy o opakovanom testovaní potvrdzujúce opravy a kompletnú správu datovanú v rámci obdobia auditu. Správy Penetrify obsahujú všetkých šesť prvkov ako štandardné výstupy – nevyžaduje sa žiadne dodatočné spracovanie.
Uchovávanie a organizácia
Uchovávajte dôkazy o súlade počas obdobia, ktoré vyžaduje váš rámec (zvyčajne 1 – 7 rokov v závislosti od rámca). Organizujte podľa kontrol rámca, nie podľa zdrojového systému. Označte dôkazy obdobím auditu, ktoré podporujú. Udržiavajte živý index dôkazov, ktorý mapuje každú kontrolu na jej podporné artefakty.
Záver
Správa dôkazov by nemala byť štvrťročným hasením požiaru. Keď testovacie platformy produkujú správy pripravené na súlad a operačné systémy nepretržite generujú dôkazy, vaša príprava na audit sa skráti z týždňov na hodiny.