TS Solution
TS Solution
Click to order
Запрос на спецификацию:
Total: 
8 августа 2022

SECURITM — новая SGRC платформа для управления безопасностью

Обзор решения
На рынке появилось новое отечественное решение для управления процессами в службах информационной безопасности — Сервис управления информационной безопасностью SECURITM. Это система класса SGRC (Security Governance, Risk, Compliance), которая помогает службам информационной безопасности средних/крупных компаний автоматизировать их процессы управления безопасностью на единой платформе.

В этой статье рассмотрим функционал SECURITM и разберем какие актуальные задачи он решает.

В статье вы узнаете о:

  • Проблемах управления информационной безопасностью;
  • Ключевых возможностях SECURITM: управление рисками, соответствием, активами, задачами, техническими уязвимостями;
  • Лицензировании и Community-версии SECURITM.

SECURITM, как CRM для служб информационной безопасности

Как в компании появляется информационная безопасность?

Чаще всего это эволюционный процесс, сопровождающий рост и развитие самой компании.

Сначала задачи безопасности ложатся на плечи ИТ подразделения, со временем появляется выделенный специалист, который эволюционирует в сектор, отдел, и, если повезет, в управление/дирекцию по информационной безопасности.

На всем этом жизненном пути система информационной безопасности компании непрерывно развивается - внедряются новые защитные меры, средства защиты, процессы. В конечном счете в компании появляются сотни защитных мер и десятки средств защиты.

В результате развития Систему информационной безопасности ждет судьба любой сложной системы — деградация под собственным весом, сбои и ошибки. И проблема не в технических средствах защиты, а в организационных процессах внутри службы информационной безопасности, которые должны как клей поддерживать всю систему.

Хорошая аналогия с автоматизацией отделов продаж: если на начальном этапе развития достаточно Excel файла с базой клиентов и статусом сделок, то при увеличении штата в отделе, количества клиентов и сложности взаимодействий компания неминуемо переходит на CRM систему, как платформу для автоматизации продаж. Так вот SECURITM — это как CRM для служб информационной безопасности, тот самый клей, позволяющий связать и автоматизировать ключевые процессы, не допуская деградации системы защиты.

SECURITM состоит из модулей, каждый из который отвечает за определенный процесс:

  • Контроль соответствия внешним и внутренним требованиям;
  • Управление рисками безопасности;
  • Управление активами;
  • Управление задачами.
  • Управление техническими уязвимостями;

Каждый из модулей может использоваться автономно, но все они связаны и обогащают друг друга.
Использование SECURITM обеспечивает:

  • Повышение защищенности компании, благодаря оценке рисков безопасности и приоритезации действий службы безопасности;
  • Снижение ручного труда служб безопасности, через автоматизацию рутинных операций;
  • Обоснование затрат на безопасность, через оценку влияния защитных мер на риски безопасности и исполнение требований;
  • Отсутствие зависимости от человеческого фактора, за счет цифровизации знаний и процессов службы безопасности;
  • Подтверждение соответствия при аудитах и проверках.
В конечном счете SECURITM становится единой точкой для принятия решений в службе информационной безопасности на стратегическом, тактическом и операционном уровнях.

Давайте теперь по каждому процессу (и соответствующему модулю SECURITM) разберемся, какие сложности возникают у служб безопасности, что делает SECURITM и как это помогает службе безопасности.

Управление соответствием

Исполнение требований регуляторов, стандартов, бизнеса и контрагентов - основа информационной безопасности, но в процессе приведения компании в соответствие требованиям службы безопасности часто сталкиваются со сложностями, а именно:

  • Документов много, требования из различных документов дублируют друг друга, приходится проводить одну и ту же работу по контролю соответствия для одинаковых требований из разных документов;
  • Нет конкретики и не всегда понятно, как именно исполнять некоторые требования;
  • Не ясен смысл и причины, лежащие в основе некоторых требований, как исполнение требований повлияет на безопасность компании и снижение рисков безопасности;
  • Много рутины, ведь контролировать и подтверждать соответствие требуется регулярно, это отнимает время и силы у службы безопасности, которые можно было потратить более эффективно.
    Получи доступ к SECURITM по подписке Standard по промокоду «tssolution» на 1 месяц
    SECURITM позволяет контролировать соответствие одновременно множеству внешних и внутренних требований, а ключевыми функциями являются:

    • Готовая, разбитая на требования база нормативных документов, стандартов и лучших практик;
    • Готовая связь (маппинг) одинаковых требований из разных документов, в том числе связь требований отечественных и международных стандартов;
    • Возможность добавления собственных документов и требований (управление внутренними требованиями);
    • Возможность ручной или автоматической оценки исполнения требований;
    • Приоритезация требований через риски безопасности компании;
    • Непрерывная переоценка уровня соответствия в зависимости от текущего статуса защитных мер, принятых в компании;
    • Контрольный след и отчетность по всем операциям.
    В результате служба безопасности и компания получают автоматизированный процесс управления соответствием и требованиями ИБ, позволяющий:

    • Непрерывно контролировать соответствие множеству требований и документов;
    • Подтвердить соответствие перед внешними и внутренними аудиторами;
    • Экономить время на повторном контроле и избавиться от дублирующих операций.

    Управление рисками

    Полноценное управление безопасностью требует риск-ориентированного подхода, но при построении процесса управления рисками службы безопасности часто сталкиваются со сложностями, а именно:

    • Нет единой методологии и инструмента, непонятно как управлять рисками;
    • Нет данных, формировать полный и объективный реестр рисков долго и сложно;
    • Нет понимания как риски информационной безопасности влияют на цели компании;
    • Много рутины, не хватает времени и сил на внедрение и последующее поддержание процесса управления рисками.

    К проблеме отсутствия единой методологии стоит отнести и большое количество различных определений что такое риск, угроза, уязвимость, актив, как они связаны друг с другом. Поможет разобраться с формулировками статья на хабре.

    SECURITM позволяет построить процесс управления рисками в компании, ключевыми функциями являются:
    • Готовая Community база рисков, которую можно взять за основу для реестра рисков компании;
    • Рекомендательная модель определения рисков на базе имеющихся в компании активов (информационной модели компании);
    • Обогащение рисков знаниями из каталогов MITRE ATT&CK и БДУ ФСТЭК;
    • Связь рисков с существующими и запланированными к внедрению защитными мерами;
    • Связь рисков с актуальными для компании требованиями регуляторики и стандартов;
    • Настраиваемые методики оценки;
    • Формирование планов обработки рисков;
    • Динамический расчет и непрерывная переоценка рисков;
    • Контрольный след и отчетность по всем операциям.

    В результате использования SECURITM служба безопасности и компания получают автоматизированный процесс управления рисками ИБ, позволяющий:

    • Быстро получить первые результаты в виде реестра и плана обработки рисков (буквально за 5 минут!);
    • Понять причины и установить приоритеты в работе службы безопасности;
    • Обосновать бюджет на информационную безопасность через снижение рисков безопасности;
    • Синхронизировать активность службы безопасности с целями бизнеса;
    • Экономить время на поддержании процесса управления рисками и отказаться от рутинных операций.

    Управление активами

    Не понимая, что защищать, невозможно построить эффективную систему защиты. Нужно понимать активы компании, но в процессе учета и управления активами службы безопасности часто сталкиваются со сложностями, а именно:

    • Активы разные: серверы, ПО, СЗИ, ЭП, люди, информация, процессы – все это активы, подлежащие учету;
    • Активы связаны между собой и без понимания этих взаимосвязей невозможно оценить значимость активов для компании;
    • Активы меняются, а ведущиеся в Excel реестры моментально устаревают;
    • Активы кому-то принадлежат и без понимания кто владелец/администратор актива невозможно ими управлять.

    SECURITM позволяет управлять активами, ключевыми функциями процесса являются:

    • Возможность учета активов любого типа, в том числе создание собственных типов активов;
    • Построение информационной модели компании за счет определения связей между активами;
    • Автоматический расчет приоритетов и поиск владельцев/администраторов через связи активов;
    • Различные поля для карточек активов в зависимости от их типа и возможность создавать собственные поля;
    • Использование активов во всех смежных процессах управления ИБ;
    • Ручной и автоматический импорт / обновление реестра активов;
    • Журналирование всех изменений с активами и ведение архива активов.

    В результате служба безопасности и компания получают автоматизированный процесс управления активами ITAM (IT Asset Management), позволяющий:

    • Учитывать в одном месте активы различного типа;
    • Контролировать жизненный цикл активов;
    • Использовать активы в процессах информационной безопасности;
    • Определять взаимное влияние активов друг на друга и влияние активов на информационную безопасность компании.

    Управление задачами

    Система информационной безопасности состоит из множества защитных мер, средств защиты, процессов и задач, требующих поддержки, и службы безопасности часто сталкиваются со сложностями, а именно:

    • Нет контроля. Задачи теряются и не исполняются, сроки срываются;
    • Нет приоритета. Непонятно влияние задач и защитных мер на безопасность компании;
    • Нет учета. Что и для чего было сделано службой безопасности;
    • Нет контекста. Отсутствует связь задач с активами компании, включая людей и информационные системы, нет связи с рисками и исполнением требований.

    SECURITM позволяет управлять любыми задачами и процессами службы безопасности, ключевыми функциями являются:

    • Учет защитных мер на всем их жизненном цикле, от планирования до реализации и вывода из эксплуатации;
    • Готовая база защитных мер, связанная с рисками безопасности и исполнением требований регуляторики;
    • Формирование планов работ и отчетов;
    • Таск-менеджер с привязкой к активам, защитным мерам, рискам, требованиям, техническим уязвимостям;
    • Создание регулярных задач по шаблону;
    • Уведомления и дайджесты по электронной почте, Telegram и MS Teams;
    • Интеграция с системами Service Desk;
    • Контрольный след по всем операциям.

    В результате служба безопасности и компания получают автоматизацию операционных процессов, позволяющую:

    • Контролировать все процессы и задачи;
    • Оценивать нагрузку на ответственных лиц;
    • Оптимизировать затраты на поддержание защитных мер;
    • Экономить время работников.

    Управление техническими уязвимостями

    Для поиска технических уязвимостей внедряются сканеры безопасности, но одного только сканирования инфраструктуры недостаточно, для построения процесса управления техническими уязвимостями (VM, Vulnerability Management) требуется комплекс:

    Строя процесс VM службы безопасности часто сталкиваются со сложностями, а именно:

    • Нет приоритета. Как оценить уязвимости основываясь на целях бизнеса и критичности активов?
    • Много мусора. Сотни страниц отчетов, тысячи уязвимостей.
    • Нет контроля устранения уязвимостей. Задачи ставятся и не исполняются, как связать таск-менеджмент с результатами работы сканеров безопасности?

    SECURITM не является сканером безопасности, но позволяет построить процесс управления техническими уязвимостями, обрабатывая результаты работы сканеров. Ключевыми функциями являются:
    • Возможность интеграции с несколькими сканерами безопасности одновременно;
    • Механизм принятия рисков (настройки исключений) для уязвимостей, в том числе временных исключений;
    • Приоритезация уязвимостей с учетом множества факторов:
    o базовые показатели уязвимости (Severity, CVSS, CVSS3);
    o распространенность уязвимости в инфраструктуре;
    o наличие публичных эксплоитов;
    o наличие публичного доступа к уязвимым активам;
    o значимость уязвимых активов, а также систем и процессов, с которыми они связаны.

    • Автоматическое формирование задач на устранение уязвимостей, с напоминаниями и контролем исполнения, привязкой к конкретным уязвимостям, группам уязвимостей, активам. Задачи формируются в встроенном таск-трекере и могут синхронизироваться с Service Desk системами (например, с Jira);
    • Создание заметок в приязке к типам уязвимостей и активам, для ведения базы знаний;
    • Формирование метрик и отчетов по процессу;
    • Контрольный след по всем операциям.

    В результате служба безопасности получает автоматизацию процесса управления техническими уязвимостями, позволяющую:
    • Сосредоточиться на устранении уязвимостей, наносящих максимальный урон компании;
    • Экономить время при анализе результатов сканирований;
    • Контролировать устранение уязвимостей;
    • Оценить и подтвердить эффективность процесса VM.

    Лицензирование

    SECURITM это и облачный сервис (SaaS) и ПО для установки в инфраструктуре (on-premise), есть несколько вариантов использования:

    • Годовая подписка на облачный сервис;
    • Выделенный облачный сервер;
    • Лицензия на ПО для установки в инфраструктуре.

    У SECURITM прозрачное ценообразование, цена зависит от варианта использования и приобретаемых модулей, на сайте разработчика есть калькулятор стоимости.

    Фактически, теперь для начала работы с SGRC системой достаточно иметь в бюджете всего 60 тысяч рублей.

    Кроме того, в SECURITM открыта бесплатная регистрация, можно попробовать весь функционал самостоятельно. А для активных участников ИБ сообщества, вузов, исследователей, SECURITM предоставляет бесплатную Community-подписку.

    SECURITM входит в Реестр отечественного ПО, продается без НДС и может продаваться напрямую от производителя.

    Заключение

    Как не представить зрелого отдела продаж без CRM системы, так и не представить зрелой службы информационной безопасности без специализированных инструментов управления своими процессами.

    SGRC системы для управления процессами в службах безопасности долгое время были доступны лишь единицам компаний с огромным бюджетом, ведь средняя стоимость таких систем начиналась от 10 млн. рублей.

    Из-за этого в большинстве служб безопасности использовались таблицы Excel, разрозненные системы управления задачами, бумажные планы работ, что не способствовало эффективности работы.

    SECURITM поменял ситуацию на рынке, дав каждой службе информационной безопасности доступный и простой инструмент для управления процессами безопасности.

    Получи доступ к SECURITM по подписке Standard по промокоду «tssolution» на 1 месяц
    Следить за новостями можно в телеграмм-канале SECURITM.

    Узнайте больше на сайте SECURITM.

    Автор статьи: Николай Казанцев, CEO SECURITM.