Comp AI: Открытое решение для соответствия стандартам SOC 2, ISO 27001, HIPAA и GDPR
Прохождение аудита SOC 2 для стартапа долгое время означало месяцы ручного сбора доказательств, написания политик и бесконечных согласований с аудиторами. Растущее число платформ для соответствия требованиям автоматизирует части этого процесса, и Comp AI делает это с открытым исходным кодом, который организации могут изучать, изменять и размещать на своих серверах.
Comp AI — это платформа с открытым исходным кодом для соответствия стандартам SOC 2, ISO 27001, HIPAA и GDPR. Она автоматизирует сбор доказательств, управление политиками и внедрение контролей, позиционируя себя как прямая альтернатива устоявшимся поставщикам Vanta и Drata.
Исходный код распространяется под лицензией AGPLv3, а проект работает по так называемой модели «Открытого ядра». Основная платформа, составляющая примерно 99% кодовой базы, является открытой. Небольшая часть находится под коммерческой лицензией, покрывающей корпоративные функции.
Три ключевые функции определяют текущий продукт. Редактор политик на основе ИИ позволяет пользователям создавать и обновлять политики безопасности через интерфейс естественного языка. Пользователи описывают требуемое изменение простым текстом, а редактор предлагает полную обновлённую версию политики. Средство просмотра различий показывает, что будет добавлено или удалено, прежде чем пользователь примет правку. Рабочий процесс неразрушающий: никакие изменения не применяются, пока пользователь не подтвердит их.
Функция Автоматизированного сбора доказательств обрабатывает повторяющиеся задачи по сбору. Пользователи переходят к задаче соответствия в платформе, нажимают для создания автоматизации и вводят запрос на простом языке, описывающий, что нужно проверить. Агент платформы затем создаёт автоматизацию для сбора и хранения этих доказательств по регулярному расписанию.
Агент на устройстве — это настольное приложение, работающее в системном трее и проверяющее устройства сотрудников на соответствие четырём мерам безопасности: шифрование диска, антивирусная защита, политика паролей и тайм-аут блокировки экрана. Он выполняет проверки каждый час и отправляет результаты в портал организации. Агент поддерживает macOS 14 и новее, Windows 10 и новее, а также Ubuntu 20.04 и новее. Согласно документации, он не собирает личные данные, историю просмотров или содержимое файлов.
Для организаций, где установка агента невозможна, платформа включает руководство по ручному сбору доказательств, охватывающее те же четыре области контроля для Windows, macOS и Linux.
Платформа также предоставляет API для организаций, желающих создавать внутренние инструменты на её основе, охватывающие сбор доказательств, управление политиками и ведение записей о сотрудниках.
Облачные интеграции поддерживают подключение к AWS, GCP и Azure. В навигации документации присутствует функция "Анкета безопасности", куда опубликованные политики поступают автоматически.
Comp AI доступен на GitHub.
Обязательно к прочтению:
- 40 инструментов с открытым исходным кодом, меняющих подходы команд безопасности к защите стека
- Время и стоимость сканирования микропрограмм, а также где команды запускают EMBA
Подпишитесь на ежемесячную рассылку Help Net Security без рекламы, чтобы быть в курсе самых важных инструментов кибербезопасности с открытым исходным кодом. Подписаться можно здесь!