Новости
Куда я попал?
Новая интеграция с Endpoint Detection and Response платформой Bi.Zone EDR.
- Интеграция обогащает SECURITM сведениями о функционировании на рабочих станциях и серверах EDR агентов, обнаруженных проблемах безопасности, сетевых интерфейсах, пользователях которые входили в систему и т.д.
Новые функции в 2 модулях:
● В настройки модуля добавлена новая опция: "Не импортировать уязвимости со средним уровнем severity". Это позволяет исключать уязвимости средней критичности при импорте данных.
● В блоке "Системы" добавлены новые кнопки для удобства работы с активами:
- Переход в карточку актива;
- Редактирование актива;
- Просмотр описания актива.
●Добавлен новый вариант классификации требований — "Уровни зрелости". Он позволяет более гибко оценивать и систематизировать требования в зависимости от их степени проработки и готовности.
● Добавлены новые опции "Действует с" и "Действует до" для документов. Они помогают лучше контролировать актуальность документов.
Эти обновления направлены на повышение удобства работы, расширение функциональности и автоматизацию рутинных задач в каждом из модулей
Система SECURITM состоит из разных модулей, которые дополняют друг друга. Ранее мы рассказали о модуле активов, сейчас переходим к модулю контроля соответствия требованиям.
Система модуля способна проводить анализ и оценку соответствия в разрезе всей компании, групп областей, отдельных областей (скоупов), направлений (ПДн, ГИС, КИИ и т. д.), отдельных активов, документов.
∙ Кроме того, мы в SECURITM предусмотрели возможность привлекать к оценке внешних участников, которые не являются пользователями системы. Запуск таких кампаний по аудиту осуществляется через модуль опросов. Система позволяет настраивать балльную оценку и самостоятельно проводить градацию требований по уровню значимости.
В модуле доступны два способа оценки соответствия требованиям:
1. Вручную — выбор статуса (выполнено, не выполнено, частично, неприменимо) с приложением обоснований и свидетельств аудита.
2. Автоматически — настройка через защитные меры, метрики безопасности или технические уязвимости с созданием связи с соответствующими модулями.
2. Автоматически — настройка через защитные меры, метрики безопасности или технические уязвимости с созданием связи с соответствующими модулями.
Документы разбиты на требования, а похожие предписания из различных документов связаны между собой, что позволяет через рекомендательную модель ускорить процесс, проводя оценку соответствия сразу по нескольким стандартам.
∙ Модуль требований может помочь и в простых сценариях, и в сложных — например, когда нужно оценить соответствие одному или нескольким документам регуляторов, либо создать собственные наборы требований.
В SECURITM представлено 12 модулей, которые мы ежедневно улучшаем и дорабатываем. Сегодня мы расскажем о новых функциях в модуле Задач:
1. Создание подзадач, как отдельных задач.
Раньше подзадачи были представлены в виде строки с чек-боксом. Теперь добавлена возможность создавать подзадачи, как отдельные задачи с привязкой к родительской задаче.
2. Подразделения в выпадающих списках для работников.
Теперь в выпадающем списке отображается не только имя сотрудника, но и его подразделение.
- Было: актив - ФИО, тип актива - Работник
- Стало: актив - ФИО, тип актива - Работник (Отдел Безопасности)
3. Метки для шаблонов регулярных задач.
Добавлена возможность присваивать метки шаблонам регулярных задач. Это упрощает сортировку, поиск и управление задачами.
4. Отображение задач подчиненных для руководителей.
Для руководителей и владельцев добавлена функция отображения задач, которые находятся у их подчиненных. Это работает при включенной опции «Показывать только задачи, созданные пользователем или назначенные на него».
5. Подписка на задачу при смене ответственного.
Теперь, если пользователь меняет ответственного по задаче с себя на другого сотрудника, он автоматически подписывается на эту задачу. Раньше в такой ситуации пользователь терял доступ к задаче и она исчезала из его списка.
6. Добавлен уникальный номер задачи.
Теперь каждая задача во всех командах имеет свой номер, по которому можно быстро выполнять поиск.
7. Реализованы новые фильтры для отображения задач:
- Фильтрация по автору задачи.
- Фильтрация по ответственному за задачу.
- Возможность мультивыбора до 5 значений в каждом фильтре.
Эти обновления делают модуль Задач более функциональным и удобным для пользователей.
Учет, контроль и управление активами, будь то серверы, системы, люди или заявки, — это важная составляющая работы службы информационной безопасности.
Модуль активов SECURITM позволяет удобно и в единой точке управлять всеми сущностями, имеющими ценность.
Новые фичи модуля:
- Переработан дизайн реестров активов. Теперь карточка с описанием типа актива свернута по умолчанию и появился навигационный блок с списком дочерних типов активов и их количеством.
- В графах связей добавлены стрелки направлений.
- В настройках Модуля активов появилась опция Отключение функционала автоматического маппинга хостов и сетей.
- Добавлены 2 новых типа поля - многостроковый текст, дата и время.
- Для всех типов полей появился параметр Значение по умолчанию.
- Для полей типа Набор значений добавлена опция Отключить добавление новых значений.
- В Таблицах данных количество столбцов увеличено до 12.
- На странице Мои дела переработан виджет Инвентаризация активов. В него добавлены ответственный/администратор, приоритет, дата обновления.
- При импорте активов (из файлов или по API) к событиям в журналах добавлено название шаблона, по которому был проведен импорт и изменение актива.
- При настройке ролевой модели для пользователей добавлена настройка Показывать только активы заданных типов.
Продолжаем говорить про обновления в модуле требований, мы добавили новые стандарты для оценки соответствия:
- OWASP DSOMM
- PCI Secure Software Lifecycle v1.1
- ГОСТ Р 56939-2024 "Защита информации. Разработка безопасного программного обеспечения. Общие требования"
- OWASP Top Ten
- CIS Kubernetes Benchmark v1.9.0
- CIS Docker Benchmark v1.7.0
- OWASP BSIMM 15
- OWASP SAMM 2.0
Сегодня день новостей от SECURITM.
Делимся с вами новыми фичами в Модуле требований
1. Появился новый способ автоматической оценки соответствия - через Модуль VM. Теперь, появление в инфраструктуре технических уязвимостей или мисконфигураций может влиять на соответствие требованиям стандартов.
2. В карточки активов добавили блок Связанные требования. Теперь если актив (например, СЗИ) является инструментом для защитных мер, которые в свою очередь помогают исполнить требования регуляторики - мы увидим эти требования в карточке актива.
3. При создании собственных стандартов (наборов) требований теперь можно добавлять файлы к требованиям.
4. При ручной оценке соответствия теперь сохраняется автор и дата последнего изменения оценки.
5. Добавлена специализированная оценка 12-МР для 821-П.
6. Добавлен экспорт отчета по оценке соответствия из карточек активов.
7. Добавлена группа документов Безопасная разработка.
Новый калькулятор цен: прозрачность и гибкость для вашего бюджета!
Мы всегда стремимся к открытости и удобству для наших клиентов, поэтому представляем вам новый калькулятор цены SECURITM. Лицензионная политика и ценообразование изменены - теперь вы можете самостоятельно выбирать из чего будет состоять ваша система, внедрять только те модули, которые нужны вашей компании сегодня.
Базовая версия включает 🛡 Модуль защитных мер и ✔️ Модуль задач. Остальные модули, а также дополнительные опции, вы добавляете по своему усмотрению.
SECURITM — это современный подход к управлению информационной безопасностью. Мы постоянно развиваемся, улучшаем наш продукт, чтобы сделать безопасность доступной для всех — независимо от бюджета, размера компании или уровня зрелости службы безопасности.
Попробуйте новый калькулятор цен и подберите идеальную конфигурацию SGRC именно для ваших задач, вашей инфраструктуры.
⁉️ За что могут и будут штрафовать, согласно изменениям регуляторики по ПДн, которые принесли компаниям увеличение штрафов за утечки персональных данных
РКН выделяет типовые нарушения в сфере защиты персональных данных в 2024 году:
1. Обработка персональных данных в случаях непредусмотренных законодательством.
2. Несоблюдение требований по обеспечению возможности выражения волеизъявления субъектом ПДн при осуществлении Оператором сбора ПДн в сети «Интернет».
3. Несоответствие документа, определяющего политику в отношении обработки ПДн требованиям ФЗ-152. Несоблюдение требований по опубликованию или обеспечению неограниченного доступа к политике, в том числе на страницах сайта.
4. Обработка персональных данных в отсутствие указания сроков обработки ПДн.
Размер штрафа варьируется в зависимости от количества пострадавших субъектов и может достигать 15 миллионов рублей.
⁉️Что сделать чтобы избежать штрафов
💡 Правовые основания обработки должны однозначно соответствовать целям обработки. Объем данных не должен превышать определенный в законодательстве, а цели обработки, заявленные в согласиях, должны однозначно соответствовать объему обрабатываемых ПДн.
Пример, обработка в рамках ТК РФ не предусматривает обработку данных соискателей вакантных должностей, этот процесс требует отдельного согласия.
💡 Для каждой цели должен быть определен свой состав ПДн. Рекомендуется формировать согласие под каждую отдельную цель обработки, либо использовать модульную структуру согласий.
Пример: рамках ТР РФ нельзя обрабатывать полную дату рождения близких родственников. Форма Т-2 предполагает сбор только ФИО, степени родства и года рождения, для иных данных требуется отдельное согласие. Сбор полной даты рождения является частой ошибкой.
💡 При осуществлении сбора ПДн через информационные ресурсы в сети «Интернет» - веб-сайты, оператор обязан получить однозначное и сознательное согласие. Бездействие субъекта не может являться согласием.
Пример, является недопустимым заполнять чек-бокс согласия за субъекта ПДн. Также чек-бокс должен содержать ссылку на согласие субъекта ПДн. Не допускается объединение чек-бокса согласия на обработку ПДн с иными согласиями, либо подтверждениями ознакомления.
💡 Политика, размещённая на сайте оператора ПДн, должна быть доступна на всех страницах, на которых осуществляется сбор ПДн. При формировании политики следует использовать типовые формы, разработанные Роскомнадзором. Требования к формированию политики – тема для отдельного поста, так что к этому вопросу мы еще вернемся.
💡 В теле согласий на обработку ПДн рекомендуется фиксировать сроки обработки ПДн и условия, при которых оператор может продолжать обрабатывать ПДн без согласия. Соответствующие сведения должны быть закреплены в ОРД оператора.
Бессрочная обработка ПДн недопустима. Оператор должен прекратить обработку, а ПДн уничтожить, по достижению целей обработки, либо при отзыве согласия субъекта, если иное не предусмотрено законодательством. Это же касается и автоматизированной обработки ПДн и удалению данных из систем.
В SECURITM интегрирован реестр сертифицированных средств защиты информации ФСТЭК России.
Как использовать:
1. Создаете реестр активов типа Программное обеспечение \ Средство защиты информации
2. Заполняете у ваших СЗИ поле "Номер сертификата СЗИ"
Все, далее SECURITM:
Выводит подробную информацию о сертификате СЗИ в карточке актива
Считает просроченные СЗИ и те, что скоро закончат срок действия
Хочется больше автоматизации? Тогда с помощью модуля RPA можно создать различные события в привязке к полям актива "Срок действия сертификата СЗИ" и "Срок поддержки сертификата СЗИ", например - создание задач, отправка уведомлений, вывод из строя защитных мер.
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.