Куда я попал?
SECURITM это система для корпоративных служб информационной безопасности,
которая автоматизирует ключевые процессы управления:
контроль соответствия требованиям, управление рисками, учет активов, планирование работ,
задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.
Обновления
3 недели назад
Риск высокого ущерба от инцидентов безопасности из-за отсутствия навыков реагирования на инциденты безопасности в подразделении по информационной безопасности
1 месяц назад
Риск утечки информации из-за возможности записи информации на съемный носитель в компьютере
Риск нарушения требований законодательства в области КИИ из-за отсутствия требуемых законодательством форм и документов в объекте критической информационной инфраструктуры
Риск раскрытия информации об ИТ инфраструктуре из-за отсутствия механизмов контроля доступа в ОС Windows
3 месяца назад
Риск нарушения требований законодательства по персональным данным из-за отсутствия требуемых законодательством форм и документов в информационной системе персональных данных
Риск утечки персональных данных из-за отсутствия соглашений (обязательств) о конфиденциальности в персональных данных
5 месяцев назад
Риск недоступности публичных сервисов из-за приостановки услуг облачных провайдеров в облачном сервисе
6 месяцев назад
Риск заражения вредоносным программным обеспечением из-за отсутствия установленного средства антивирусной защиты в ОС Linux
7 месяцев назад
Риск высоких затрат на обеспечение информационной безопасности из-за непонимания контекста, целей и задач компании в подразделении по информационной безопасности
9 месяцев назад
Риск потери (уничтожение) данных из-за возможности физической поломки в компьютере
Риск высокого ущерба от инцидентов безопасности из-за отсутствия навыков реагирования на инциденты безопасности в подразделении по информационной безопасности
1 месяц назад
Риск утечки информации из-за возможности записи информации на съемный носитель в компьютере
Риск нарушения требований законодательства в области КИИ из-за отсутствия требуемых законодательством форм и документов в объекте критической информационной инфраструктуры
Риск раскрытия информации об ИТ инфраструктуре из-за отсутствия механизмов контроля доступа в ОС Windows
3 месяца назад
Риск нарушения требований законодательства по персональным данным из-за отсутствия требуемых законодательством форм и документов в информационной системе персональных данных
Риск утечки персональных данных из-за отсутствия соглашений (обязательств) о конфиденциальности в персональных данных
5 месяцев назад
Риск недоступности публичных сервисов из-за приостановки услуг облачных провайдеров в облачном сервисе
6 месяцев назад
Риск заражения вредоносным программным обеспечением из-за отсутствия установленного средства антивирусной защиты в ОС Linux
7 месяцев назад
Риск высоких затрат на обеспечение информационной безопасности из-за непонимания контекста, целей и задач компании в подразделении по информационной безопасности
9 месяцев назад
Риск потери (уничтожение) данных из-за возможности физической поломки в компьютере
3 недели назад
Высокий ущерб от инцидентов безопасности
Утечка коммерческой тайны
1 месяц назад
Нарушение требований законодательства в области КИИ
7 месяцев назад
Высокие затраты на обеспечение информационной безопасности
1 год назад
Недоступность облачных сервисов
Потеря доступа в Интернет
Экономические санкции
Прекращение работы средства защиты информации
Нарушение законодательства в области критической информационной инфраструктуры
Неработоспособность информационной системы
Высокий ущерб от инцидентов безопасности
Утечка коммерческой тайны
1 месяц назад
Нарушение требований законодательства в области КИИ
7 месяцев назад
Высокие затраты на обеспечение информационной безопасности
1 год назад
Недоступность облачных сервисов
Потеря доступа в Интернет
Экономические санкции
Прекращение работы средства защиты информации
Нарушение законодательства в области критической информационной инфраструктуры
Неработоспособность информационной системы
3 недели назад
Отсутствие навыков реагирования на инциденты безопасности
1 месяц назад
Возможность записи информации на съемный носитель
3 месяца назад
Отсутствие требуемых законодательством форм и документов
5 месяцев назад
Приостановка услуг облачных провайдеров
6 месяцев назад
Отсутствие установленного средства антивирусной защиты
7 месяцев назад
Непонимание контекста, целей и задач компании
9 месяцев назад
Возможность физической поломки
Непроставление грифа конфиденциальности на документах
1 год назад
Блокировка сайтов регуляторами
Возможность отзыва TLS-сертификата
Отсутствие навыков реагирования на инциденты безопасности
1 месяц назад
Возможность записи информации на съемный носитель
3 месяца назад
Отсутствие требуемых законодательством форм и документов
5 месяцев назад
Приостановка услуг облачных провайдеров
6 месяцев назад
Отсутствие установленного средства антивирусной защиты
7 месяцев назад
Непонимание контекста, целей и задач компании
9 месяцев назад
Возможность физической поломки
Непроставление грифа конфиденциальности на документах
1 год назад
Блокировка сайтов регуляторами
Возможность отзыва TLS-сертификата
3 недели назад
Проведение киберучений в игровой форме
3 месяца назад
Утверждение Акта оценки вреда, который может быть причинен субъектам персональных данных
Проведение периодического уничтожения персональных данных
Утверждение формы Акта об уничтожении персональных данных
Проведение анализа уязвимостей
4 месяца назад
Публикация Политики обработки персональных данных на сайте
Разработка Политики обработки персональных данных
6 месяцев назад
Разработка и актуализация должностных обязанностей
7 месяцев назад
Определение потребностей и ожиданий заинтересованных сторон
Определение контекста организации
Проведение киберучений в игровой форме
3 месяца назад
Утверждение Акта оценки вреда, который может быть причинен субъектам персональных данных
Проведение периодического уничтожения персональных данных
Утверждение формы Акта об уничтожении персональных данных
Проведение анализа уязвимостей
4 месяца назад
Публикация Политики обработки персональных данных на сайте
Разработка Политики обработки персональных данных
6 месяцев назад
Разработка и актуализация должностных обязанностей
7 месяцев назад
Определение потребностей и ожиданий заинтересованных сторон
Определение контекста организации
Новости
-
10 новых фич и доработок SECURITM под новый год
- Обновление функционала
1 Добавили новый ISO 27001-2022, переведенный на русский язык.
💪 Добавили функционал:
2 Появилась новая сущность - области (Scopes). Теперь в рамках одной команды можно применять различные требования (стандарты) к различным группам активов🔥. Меры и риски также могут действовать теперь не на всю команду а на отдельные области.
3 В карточках активов появилась возможность экспорта Паспорта актива в DOC 🤩
4 Защитные меры. Добавили экспорт реестра защитных мер в XLS/CSV
5 Добавили функцию брендирования - замену логотипа приложения, для enterprise версий
6 VM. Добавили фильтр показывающий только уязвимости в публичных (доступных из сети Интернет) активах
7 VM. Добавили к уязвимостям бэйдж "Есть эксплойт"
🔗 Интеграции:
8 При импорте активов теперь теперь можно автоматически устанавливать между активами горизонтальные связи
🏃 Сэкономили время:
9 При установке связей между риском и защитной мерой появилась возможность искать и сразу добавлять публичные проекты защитных мер
10 К большинству кнопок добавлены всплывающие подсказки2 месяца назад -
Срок жизни уязвимостей
- Обновление функционала
Теперь можно указать по прошествии какого срока уязвимости будут автоматически закрыты, если по ним не поступало данных. Параметр следует задавать при условии регулярного поступления информации от сканеров безопасности.3 месяца назад -
Граф связей для активов
- Обновление функционала
3 месяца назад -
Сколково
- Развитие сервиса
3 месяца назад -
10 новых фич и доработок SECURITM
- Обновление функционала
1 Обновили встроенную матрицу MITRE ATT@CK
2 Добавили приказы Роскомнадзора 178/179
3 Добавили положения Банка России 719-п и 802-п 🆕
4 Добавили приказ ФАПСИ 152 и приказ ФСБ России 378
💪 Функционал:
5 VM. Добавили возможность экспорта базы технических уязвимостей в xls/csv. С учетом фильтров можно провести выгрузки реестров открытых / закрытых уязвимостей, уязвимостей конкретной бизнес-системы, по хосту, CPE и т.д.
6 VM. Расширили формирование задач на устранение уязвимостей. Теперь в тело задачи идет информация не только об уязвимости и хостах, но также о CPE и связанных бизнес-системах.
7 VM. К CPE теперь можно добавлять заметки. А в списки уязвимостей и CPE добавили тег с количеством созданных заметок.
8 Задачи. Добавили к задачам поле Приоритет.
9 Журналы. Расширили сохраняемую информацию для операций синхронизации
🔗 Интеграции:
10 Задачи. Сделали интеграцию с локальной версией Jira (Jira Server), до этого был только Jira Cloud3 месяца назад -
Изменение цен
- Развитие сервиса
И несмотря на изменения - мы остаемся самой доступной SGRC системой, с полноценной Community версией.3 месяца назад -
Common Platform Enumeration (CPE)
- Обновление функционала
Сейчас база CPE используется в модуле Vulnerability Management и дополняет информацию, полученную со сканеров безопасности о найденных уязвимостях.3 месяца назад -
10 новых фич и доработок
- Обновление функционала
1 💥 Активы. Добавили новый тип поля - связь с другими активами. Теперь можно создавать не только иерархичные связи между активами, через их расположение и содержание, но и создавать любые горизонтальные связи. Например, строить информационные потоки между системами.
2 Синхронизация Community с Командами. Добавили авто-обновление карточек приватных объектов при обновлении их оригиналов из Community базы.
3 Журналы. Добавили подробный лог об импорте/синхронизации данных.
🔗 Обновили интеграции:
4 💥 Добавлена возможность автоматического импорта активов из файлов на сетевых файловых ресурсах. Теперь можно настроить автоматическую интеграцию с данными из любых корпоративных систем которые делают экспорт данных в xls/xlsx/csv. // для on-premise
5 При импорте активов с Active Directory теперь можно настроить, как будет формироваться имя актива // для on-premise
🏃 Сэкономили время:
6 В компонентах выбора угроз/уязвимостей/типов активов/защитных мер добавлен поиск по объектам Community, с возможностью быстрого взятия их в команду. Теперь не надо отдельно искать подходящие объекты - все под рукой.
7 В карточки защитных мер добавили кнопку Создать задачу в верхнее меню. Теперь не надо прокручивать страницу и искать модуль задач.
🐞 Устранили баги:
8 При создании нового опроса при переходе в режим модерации пропадала проверка наличия электронной почты
9 В Профиле команды часть сообщений при проверке форм выводилась без перевода
10 Починили подгрузку отчетов от OpenVAS4 месяца назад -
Добавили расчет уязвимостей по новой методике ФСТЭК 🔥
- Обновление функционала
https://sudact.ru/law/metodicheskii-dokument-metodika-otsenki-urovnia-kritichnosti-uiazvimostei/
#SECURITM теперь может рассчитывать критичность уязвимостей по новой методике регулятора, с учетом всех заложенных в нее метрик, а именно:
- Icvss (CVSS 3)
- 🖥 тип компонента информационной системы, подверженного уязвимости;
- ⚖️ количество уязвимых компонентов информационной системы;
- 🌐 влияние уязвимого компонента на защищенность периметра
👉 Для перехода на новую методику пользователям SECURITM нужно поменять формулу расчета в настройках модуля VM на Методика ФСТЭК
Подробнее в Справке (https://service.securitm.ru/help/vm)4 месяца назад -
Обновления в управлении техническими уязвимостями
- Обновление функционала
➕ Добавлен фильтр и интерактивный дашборд 🔝 по администраторам активов4 месяца назад