Соответствие требованиям

Куда я попал?

Вы попали в сервис, который помогает корпоративным службам безопасности строить свои рабочие процессы: управление рисками, контроль соответствия требованиям, учет активов, планирование и сопровождение защитных мер на всем их жизненном цикле, распределение задач и т.д.
Еще SECURITM является платформой для обмена опытом и наработками между участниками сообщества служб безопасности.

Подробнее

CIS Critical Security Controls v7.1 (SANS Top 20)

Framework

CSC 20.6

Для проведения оценки соответствия по документу войдите в систему.

Показывать только требования

CSC 20.6 Use Vulnerability Scanning and Penetration Testing Tools in Concert
Use vulnerability scanning and penetration testing tools in concert. The results of vulnerability scanning assessments should be used as a starting point to guide and focus penetration testing efforts.

Обязательно для implementation Group 2 3

Связанные защитные меры

	Название	Дата	Влияние
Community 1 26 / 34	Сканирование внешнего сетевого периметра на наличие уязвимостей Еженедельно Автоматически Техническая Детективная 11.02.2022	11.02.2022	1 26 / 34
Цель: управление техническими уязвимостями Регулярное сканирование всех публичных IP адресов компании сканером уязвимостей. Сканирование проводится из Интернета (из вне инфраструктуры). Варианты реализации Купить соответствующую услугу у компании, занимающейся информационной безопасностью Развернуть собственный экземпляр сканера уязвимостей (или его агент) на внешних, облачных серверах Купить подписку на облачный сканер уязвимостей Воспользоваться бесплатными инструментами Например: Сканер уязвимостей Qualys Community Edition позволяет проводить регулярное полноценное сканирование ограниченного количества публичных IP адресов Результаты сканирования могут загружаться в SECURITM (модуль VM) и обрабатываться в рамках процесса управления техническими уязвимостями. *Рекомендации к заполнению карточки:* Указать название сканера, область и периодичность сканирования. Сканер (актив) привязать к карточке как инструмент Если ведётся реестр публичных адресов - привязать адреса к карточке как инструмент. Если сканирование запускается вручную - создать в карточке шаблон задачи на проведение регулярного сканирования
Community 9 / 32	Проведение тестирования на проникновение Ежеквартально Вручную Техническая Детективная 02.06.2021	02.06.2021	9 / 32
Цель: определение возможностей злоумышленника по компрометации инфраструктуры организации. Тестирование на проникновение (пентест, pentest). Способы проведения: white box, gray box, black box Области тестирования: Внешний пентест (тестирование внешнего периметра) Внутренний пентест (тестирование локальной сети) Тестирование сетей WiFi Тестирование методами социальной инженерии Тестирование web приложений Пентесты проводятся преимущественно внешними подрядчиками, которых рекомендуется менять на регулярной основе для исключения эффекта замыливания. *Рекомендации к заполнению карточки:* Создать шаблон регулярной задачи по проведению тестирования на проникновение (периодичность ежеквартально или ежегодно); В отчете о выполнении задачи приводить краткие результаты тестирования или ссылку на отчет;

CIS Critical Security Controls v7.1 (SANS Top 20)

Framework

CSC 20.6

Похожие требования

Связанные защитные меры