Bewährte Praktiken für IT-Compliance-Audits

Was ist ein Compliance-Audit?

Ein Compliance-Audit ist eine formelle Überprüfung der Abläufe und Verfahren eines Unternehmens, um festzustellen, ob das Unternehmen und seine Produkte den gesetzlichen Anforderungen/Normen oder internen Vorgaben entsprechen.
Diese Vorschriften sind spezifisch für die Art des zu entwickelnden Produkts und die damit verbundenen Sicherheitsrisiken. Da einige dieser Risiken unter Umständen katastrophale Ausmaße annehmen können, wirken sich einige Vorschriften auf den Produktlebenszyklus auf einer sehr detaillierten Ebene aus.
Um ein Compliance-Audit zu bestehen, muss also der Nachweis erbracht werden, dass diese Vorschriften nicht nur in den Arbeitsablauf integriert, sondern auch ordnungsgemäß befolgt wurden. Der Nachweis erfolgt durch ein Auditprotokoll, das ausreichend detailliert ist, um beispielsweise zu überprüfen, ob sich Benutzer A zu einem bestimmten Zeitpunkt angemeldet hat, ob Tester Y bestimmte Tests durchgeführt hat und ob klar dokumentiert wurde, welche Tests bestanden wurden, welche fehlgeschlagen sind und welche Maßnahmen daraufhin ergriffen wurden.
Prüfpfade können auch zeigen, welche Art von Sicherheitsgruppen vorhanden ist, um zu verhindern, dass unbefugte Benutzer Daten bearbeiten oder vertrauliche Informationen einsehen. Je nach Norm oder Vorschrift kann der gesamte Arbeitsablauf auf seine Einhaltung hin überprüft werden.
Als Maßnahme der strengen Sicherheits- und Qualitätssicherung würde ein Prüpfad auch einen Nachweis über alle Änderungen (und von wem) an den Anforderungen, der Konfiguration, den Bedingungen und allen anderen Parametern liefern, die sich auf den Arbeitsablauf und damit auf das Verhalten oder die Funktionalität des Produkts auswirken können.
Infolgedessen muss bei einem Audit möglicherweise eine große Menge an Daten vorgelegt werden. Das ist der Grund, warum sich manche Unternehmen damit schwertun. Es kann sehr viel Zeit in Anspruch nehmen, die Entwicklung zu durchforsten, um die erforderlichen Daten zu sammeln. Und ohne bestimmte Sicherheitsvorkehrungen in Ihrem Prozess sind Fehler unvermeidlich.
Das Nichtbestehen eines Compliance-Audits kann zu Geldstrafen oder zur Einstellung eines Produkts führen, bis Abhilfemaßnahmen getroffen werden. Daher ist es wichtig, dass alles beim ersten Mal richtig gemacht wird.

Wie wird die Prüfung der Einhaltung von Vorschriften durchgeführt?

Es gibt eine Reihe von Regulierungsbehörden, die Normen für viele Branchen festgelegt haben. Was geprüft wird, hängt von der für das Produkt geltenden Norm ab, z.B. von ISO, DIN, IEC, 21 CFR, GDPR und vielen anderen.
Unabhängig von der Norm dient sie dem Schutz der Sicherheit der Endnutzer, sei es im physischen Bereich (Automobil, medizinische Geräte), im Informationsbereich (finanzielle oder personenbezogene Daten) oder in anderen Bereichen. Konformitätsprüfungen dienen dazu, die Unternehmen zur Einhaltung dieser Normen anzuhalten und die Qualität und Sicherheit ihrer Produkte zu gewährleisten.
Während die Audit-Protokolle von der Aufsichtsbehörde überprüft werden, die den Standard vorgibt – z.B. der FDA -, liegt der Nachweis der Einhaltung der Vorschriften in der Verantwortung des geprüften Unternehmens. Als Verantwortlicher für die Auditarbeit sind Sie in einer guten Position. Sie können interne Routine-Audits auf dieselbe Weise durchführen (unabhängig davon, ob Sie reguliert sind oder nicht), um sich selbst zur Rechenschaft zu ziehen und die Einhaltung der Vorschriften besser zu gewährleisten.
Beachten Sie: Da Software in so vielen Produkten und Dienstleistungen verwendet wird und Software mit einer Reihe von Sicherheitsrisiken behaftet ist, werden interne Audits zur Einhaltung von Softwarevorschriften unabhängig von der Einhaltung gesetzlicher Vorschriften empfohlen. Die folgenden Best Practices gelten für alle Produkt- und Software-Compliance-Audit-Standards.

Bewährte Praktiken für Konformitätsprüfungen

Da es so viele verschiedene Standards in zahlreichen Branchen gibt, ist es unmöglich, spezifische Richtlinien zu geben, die für alle Vorschriften gelten. Diese drei allgemeinen bewährten Praktiken können Ihnen jedoch dabei helfen, einen konformen Betrieb zu schaffen und aufrechtzuerhalten, und machen Audit-Protokolle zu einem Kinderspiel.

1. Automatisieren Sie den Prozess

Prüfungen zur Einhaltung der Vorschriften sind streng. Der Nachweis der Konformität ist mehr als nur die Dokumentation des Prozesses – Sie müssen nachweisen, dass die Sicherheitsbeschränkungen durchgesetzt wurden. Sie müssen nachweisen, dass keine Person in der Lage war, eigenständig Änderungen vorzunehmen oder das Produkt zum nächsten Schritt zu bringen, ohne alle erforderlichen Bedingungen zu erfüllen. Und Sie müssen wahrscheinlich nachweisen, dass Sie dies während des gesamten Produktlebenszyklus getan haben.
Wenn Sie dies manuell tun (ohne Rückverfolgbarkeit) oder wenn Sie versuchen, Workflows aus verschiedenen Tools zusammenzufügen, sind einige Dinge vorprogrammiert. Erstens: Es werden Fehler gemacht. Wir sind Menschen. Und je komplizierter ein Dokument oder ein Prozess ist, desto wahrscheinlicher ist es, dass etwas übersehen wird. Was soll einen Menschen davon abhalten, einen Schritt auszulassen, damit die Produktion im Zeitplan bleibt?
Zweitens ist die Erstellung eines manuellen Prüfpfads sehr zeitaufwändig. Ein Compliance-Manager kann Wochen damit verbringen, alles für ein Audit aufzuspüren, während ein automatisiertes Tool mit integrierter Rückverfolgbarkeit in wenigen Minuten einen Audit-Bericht liefert.
Mit einem automatisierten Tool (wie Chef Inspec [1]) können Sie am besten sicherstellen, dass Sie die Vorschriften einhalten, und gleichzeitig unnötige Schritte einsparen. Denken Sie nur daran, dass das von Ihnen verwendete Tool auch Teil des Konformitätsprozesses ist. Stellen Sie sicher, dass Ihr Anbieter eine Validierungsdokumentation für die von Ihnen gewählte Software vorlegen kann.

2. Einen definierten, wiederholbaren Prozess einführen und durchsetzen

Jede Vorschrift, die Sie erfüllen müssen, hat ihre eigenen Grenzen und Anforderungen. Sie müssen diese Grenzen definieren und innerhalb des Arbeitsablaufs so festlegen, dass die Anforderungen erfüllt sein müssen, bevor ein Schritt abgeschlossen ist. Außerdem müssen Sie Sicherheitsgruppen und Berechtigungen einrichten, um sicherzustellen, dass kein unbefugter Benutzer Änderungen vornehmen kann und dass der zuständige Manager die Arbeit genehmigt.
Darüber hinaus muss ein Genehmigungsprozess definiert werden: Wer kann eine Anforderung genehmigen oder Änderungen an einer Anforderung genehmigen? Wer kann eine Anforderung in die nächste Phase des Workflows befördern?
Erfordert Ihr Workflow elektronische Signaturen für die Einhaltung von Vorschriften, wenn Sie Elemente hinzufügen, bearbeiten oder löschen, Workflow-Ereignisse eingeben oder andere Aktionen durchführen? Für einen effizienten Compliance-Prozess sollten elektronische Signaturen im Prüfpfad des Projekts gespeichert werden, in dem nachverfolgt wird, wann und wie Daten geändert wurden.
Denken Sie daran: Dokumentieren Sie alles, angefangen bei den Anforderungen, Kommentaren und Bearbeitungen, Genehmigungen, Testfällen und -ergebnissen sowie allen anderen durchgeführten Aktionen, sollte in den Workflow eingebettet werden, damit Sie nachweisen können, was wann geschehen ist. Auch dies ist am einfachsten, wenn Sie eine automatisierte Lifecycle-Management-Lösung verwenden.
Bei der Einrichtung der Arbeitsabläufe sollten Sie darauf achten, dass sie wiederholbar sind. Es ist ineffizient, für jede Version einen neuen Workflow erstellen zu müssen. Und natürlich müssen die Arbeitsabläufe durchsetzbar sein. Durch die Verwendung von Einschränkungen und obligatorischen Feldern/Schritten stellen Sie sicher, dass die von Ihnen festgelegten Grenzen eingehalten werden und die für eine Prüfung benötigten Informationen vorhanden sind und für den von der Aufsichtsbehörde vorgeschriebenen Zeitraum gespeichert werden.

3. Baselines implementieren

Eine Baseline ist eine aufbewahrte Sammlung von Daten zu einem bestimmten Zeitpunkt. Dieser Datensatz wird mit seiner zukünftigen Version verglichen, wenn diese verfügbar ist, um die Differenz zwischen den beiden zu berechnen.
Die Informationen in einer Baseline können nicht geändert werden. Sie können zurückgehen und die Daten zu dem Zeitpunkt anzeigen, zu dem sie erfasst wurden. Dies macht sie zu einer sehr zuverlässigen Methode, um Versionen zu vergleichen und Änderungen zwischen ihnen leicht zu erkennen. Wenn Einstellungen, Anforderungen, Genehmigungen oder andere Änderungen vorgenommen wurden, muss dies in einem Prüfprotokoll festgehalten werden.
Ein weiterer Vorteil von Baselines ist, dass sie dupliziert werden können. So können Sie Ihren Prozess für die nächste Version einfach wiederholen und so Ihre Bemühungen um einen wiederholbaren Prozess unterstützen. Und vom Standpunkt der Einhaltung der Vorschriften aus gesehen, machen sie Audits viel einfacher.

Abschließende Überlegungen

Compliance-Audits müssen kein Alptraum sein. Es kann ganz einfach sein, den Nachweis zu erbringen, dass Sie jeden Schritt befolgt haben, den Ihre Aufsichtsbehörde oder Kontrollorgan verlangt. Und auch wenn dies eine Investition in ein neues Tool und einen neuen Prozeß bedeutet, sollten Sie alle Kosten bedenken, die mit der richtigen Lösung eingespart werden können. Sei es die Zeit, die ein Compliance-Manager aufwenden muss, sei es die Nacharbeit am Produkt, die mehrfache Überarbeitung von Prozessen oder die Kosten für ein nicht bestandenes Audit.

Referenz

• [1] https://docs.chef.io/inspec/