הצגת ביקורת

כשביקורת מסתיימת, כלי לניהול ביקורות יוצר ומאחסן את סוגי הארטיפקטים הבאים בקטגוריות היעד של האחסון, כדי שתוכלו לצפות בהם:

• דוח סיכום ביקורת
• הדוח 'סקירה כללית של אמצעי הבקרה'
• הוכחות

לפני שמתחילים

ודאו שיש לכם את תפקידי ה-IAM הבאים:

• אחד מהתפקידים הבאים ב-Audit Manager שמוגדרים למשאב:

  • אדמין ב-Audit Manager (roles/auditmanager.admin)
  • מבקר ב-Audit Manager (roles/auditmanager.auditor)

• אחד מהתפקידים הבאים ב-Cloud Storage עבור קטגוריית האחסון שמכילה את הדוחות של כלי לניהול ביקורות:

  • אדמין באחסון (roles/storage.admin)
  • בעלים של קטגוריה באחסון מדור קודם (roles/storage.legacyBucketOwner)
  • קריאת אובייקטים באחסון מדור קודם (roles/storage.legacyObjectReader)

הצגת דוחות ב-Audit Manager

1. נכנסים לדף כלי לניהול ביקורות במסוף Google Cloud .

   מעבר אל הכלי לניהול ביקורות

2. בקטע בדיקות תאימות, לוחצים על הצגת הבדיקות.

3. בדף הצגת הערכות אפשר לראות את הסטטוס של ביקורת שנמצאת בתהליך או של ביקורת שהושלמה.

4. בהתאם לסוג המידע על הביקורת שרוצים לראות, פועלים לפי ההוראות בכרטיסייה המתאימה.

   דוח סיכום ביקורת

   1. כדי לראות את סיכום הביקורת, לוחצים על הקישור בעמודה סטטוס.

      בדף מידע בסיסי מוצג מידע על אמצעי הבקרה לתאימות שנכללים בהיקף ועל הסטטוס של התאימות האוטומטית:

      • check_circle תואם: מוצגות ההגדרות שעומדות בכל הדרישות.
      • error הפרות: הצגת טעויות בהגדרות שזוהו בהשוואה לאמצעי בקרה נתון.
      • warning נדרשת בדיקה ידנית: מוצגות ההגדרות שנדרש בהן קלט מהמשתמש כדי להוכיח תאימות ושליטה בתהליך.
      • sync דילוג: מציג את ההגדרות ש-Audit Manager דילג עליהן עבור אמצעי בקרה נתון.
   2. כדי לראות את הפרטים של סטטוס מסוים, לוחצים על הצגה.
   3. כדי לייצא את דוח סיכום הביקורת, לוחצים על ייצוא. דוח סיכום הביקורת מיוצא בפורמט ODS.

   דוח סקירה כללית של אמצעי הבקרה

   בדף מידע בסיסי אפשר לראות את דוח הסקירה הכללית של אמצעי הבקרה על סמך אמצעי בקרה או סטטוס.

   • כדי לראות את דוח הסקירה הכללית של אמצעי הבקרה על סמך אמצעי בקרה, פועלים לפי השלבים הבאים:
     1. מרחיבים את האמצעי הנדרש.
     2. כדי לראות את הערכת התאימות המפורטת לכל כלל, לוחצים על ההיפר-קישור המתאים. בדף הבקרה מוצגים האחריות, הממצאים והדרישות.
   • כדי לראות את דוח הבקרה לפי סטטוס:
     1. לוחצים על הצגה ליד הסטטוס הנדרש.
     2. ברשימת אמצעי הבקרה, לוחצים על ההיפר-קישור הנדרש. בדף הבקרה מוצגים האחריות, הממצאים והדרישות.

   כדי לייצא את דוח הסקירה הכללית של אמצעי הבקרה, לוחצים על ייצוא.בדף פרטי מאגר, לוחצים על שם אמצעי הבקרה ואז על הורדה. דוח הסקירה הכללית של אמצעי הבקרה מיוצא בפורמט ODS.

   הוכחות

   כדי לראות את הראיות לממצא, לוחצים על ההיפר-קישור המתאים בדף אמצעי הבקרה. הדף Object details עם פרטי הראיות נפתח בכרטיסייה נפרדת.

   כדי להוריד את הראיות, לוחצים על download הורדה. ההוכחה מורדת בפורמט JSON.

אפשרות נוספת היא להוריד את הדוח וההוכחות הנדרשים ישירות מקטגוריית האחסון של היעד. הוראות מפורטות זמינות במאמר הורדת אובייקט מקטגוריה.

דוח סיכום ביקורת

דוח סיכום של ביקורת הוא דוח מקיף שמספק סקירה כללית ברמה גבוהה של כל אמצעי הבקרה לתאימות, וטבלת אחריות שתעזור לכם להבין את המערכת.

בדלי האחסון של היעד, דוח סיכום הביקורת משתמש במוסכמת השמות הבאה:

audit-reports/audit_CONTROL_PACKAGE_NAME_TIMESTAMP/UNIQUE_ID/overall_report.ods

הסבר על הערכים הזמניים לשמירת מקום (placeholders):

• ‫CONTROL_PACKAGE_NAME: השם של חבילת הבקרה, למשל SOC2 2017.
• ‫TIMESTAMP: חותמת זמן שבה הדוח נוצר.
• ‫UNIQUE_ID: מזהה ייחודי של הדוח.

השדות הבאים מאוכלסים בדוח סיכום הביקורת לכל סוג בקרה רלוונטי:

סוג הבקרה	תיאור
פרטי הבקרה	תיאור ודרישה לגבי אמצעי הבקרה.
האחריות של Google	Google Cloud אחריות ופרטי הטמעה.
באחריות הלקוח	באחריות הלקוח ופרטי ההטמעה.
סטטוס ההערכה	סטטוס התאימות של אמצעי הבקרה. הסטטוס יכול להיות אחד מהסוגים הבאים: לא עומד בדרישות: זוהה שינוי שמשפיע על העמידה בדרישות עומד בדרישות: המערכת עומדת בדרישות נדרשת בדיקה ידנית: נוצרו ארטיפקטים, אבל נדרש קלט של משתמשים כדי להסיק לגבי סטטוס התאימות דילוג: הגדרה ידנית, אין אוטומציה
קישור לדוח בקרה	קישור לדוח הסקירה הכללית של אמצעי הבקרה.

דוח סקירה כללית של אמצעי הבקרה

דוח סקירה כללית של אמצעי בקרה מכיל תיאור מפורט של הערכת התאימות של אמצעי בקרה יחיד. הוא כולל פרטי הערכה לכל בדיקת תאימות, עם הערות וערכים צפויים.

בדוח הסקירה הכללית של הבקרה, בקטגוריית האחסון של היעד, נעשה שימוש במוסכמת השמות הבאה:

audit-reports/audit_CONTROL_PACKAGE_NAME_TIMESTAMP/UNIQUE_ID/CONTROL_ID.ods

הסבר על הערכים הזמניים לשמירת מקום (placeholders):

• ‫CONTROL_PACKAGE_NAME: השם של חבילת הבקרה, למשל CIS_CONTROLS_V8.
• ‫TIMESTAMP: חותמת זמן שבה הדוח נוצר.
• ‫UNIQUE_ID: מזהה ייחודי של הדוח.
• ‫CONTROL_ID: המזהה של אמצעי הבקרה.

דוגמה לדוח סקירה כללית של אמצעי בקרה:

בקרה ID: בהתאם
שם השירות	מספר המשאבים	סטטוס	Resource Evaluation Details
			מזהה משאב	שדה נמדד	ערך נוכחי	הערך הצפוי	סטטוס	URI של משאב הוכחות	חותמת זמן של הוכחה	הוכחות לפרויקט או לתיקייה	קישור להוכחה
סך כל השירותים שנכללים בהיקף של אמצעי הבקרה הזה	סך כל המשאבים בהיקף הביקורת	סטטוס התאימות	מזהה משאבים	ההגדרה שתיבדק בביקורת	ערכים שנצפו	ערכים שעומדים בדרישות	סטטוס התאימות של האדם		חותמת זמן של מועד איסוף הראיות
product1.googleapis.com	2	עמידה בדרישות	מקור מידע 1	abc	10	‫‎>=10	עמידה בדרישות	מקור מידע 1	12/05/2023 12:55:16	פרויקט 1	קישור 1
				def	15	‎=15	עמידה בדרישות	מקור מידע 4	12/05/2023 13:55:16	פרויקט 1	קישור 4
			מקור מידע 2	xyz	20	=20	עמידה בדרישות	מקור מידע 2	12/05/2023 14:55:16	פרויקט 1	קישור 2
product2.googleapis.com	1	עמידה בדרישות	מקור מידע 3	def	5	‫5 ומעלה	עמידה בדרישות	מקור מידע 3	12/05/2023 15:55:16	פרויקט 1	קישור 3

הוכחות

ההוכחות כוללות את כל המשאבים שנבדקו עבור כל אמצעי בקרה, כולל פריקת נתונים גולמית של נתוני נכסים יחד עם הפקודה שהופעלה כדי ליצור את הפלט.

בקטגוריית האחסון של היעד, השמות של הראיות נבנים לפי המוסכמה הבאה:

audit-reports/audit_CONTROL_PACKAGE_NAME_TIMESTAMP/UNIQUE_ID/evidences/evidenceEVIDENCE_ID.json

הסבר על הערכים הזמניים לשמירת מקום (placeholders):

• ‫CONTROL_PACKAGE_NAME: השם של חבילת הבקרה, למשל CIS_CONTROLS_V8.
• ‫TIMESTAMP: חותמת זמן שבה הדוח נוצר.
• ‫UNIQUE_ID: מזהה ייחודי של הדוח.
• ‫EVIDENCE_ID: מזהה ייחודי של הראיה.