SECURITM — новая SGRC платформа для управления безопасностью

На рынке появилось новое отечественное решение для управления процессами в службах информационной безопасности — Сервис управления информационной безопасностью SECURITM. Это система класса SGRC (Security Governance, Risk, Compliance), которая помогает службам информационной безопасности средних/крупных компаний автоматизировать их процессы управления безопасностью на единой платформе.

В этой статье рассмотрим функционал SECURITM и разберем какие актуальные задачи он решает.

Как в компании появляется информационная безопасность?

Чаще всего это эволюционный процесс, сопровождающий рост и развитие самой компании.

Сначала задачи безопасности ложатся на плечи ИТ подразделения, со временем появляется выделенный специалист, который эволюционирует в сектор, отдел, и, если повезет, в управление/дирекцию по информационной безопасности.

На всем этом жизненном пути система информационной безопасности компании непрерывно развивается - внедряются новые защитные меры, средства защиты, процессы. В конечном счете в компании появляются сотни защитных мер и десятки средств защиты.

В результате развития Систему информационной безопасности ждет судьба любой сложной системы — деградация под собственным весом, сбои и ошибки. И проблема не в технических средствах защиты, а в организационных процессах внутри службы информационной безопасности, которые должны как клей поддерживать всю систему.

Хорошая аналогия с автоматизацией отделов продаж: если на начальном этапе развития достаточно Excel файла с базой клиентов и статусом сделок, то при увеличении штата в отделе, количества клиентов и сложности взаимодействий компания неминуемо переходит на CRM систему, как платформу для автоматизации продаж. Так вот SECURITM — это как CRM для служб информационной безопасности, тот самый клей, позволяющий связать и автоматизировать ключевые процессы, не допуская деградации системы защиты.

SECURITM состоит из модулей, каждый из который отвечает за определенный процесс:

• Контроль соответствия внешним и внутренним требованиям;
• Управление рисками безопасности;
• Управление активами;
• Управление задачами.
• Управление техническими уязвимостями;

Каждый из модулей может использоваться автономно, но все они связаны и обогащают друг друга.

Использование SECURITM обеспечивает:

• Повышение защищенности компании, благодаря оценке рисков безопасности и приоритезации действий службы безопасности;
• Снижение ручного труда служб безопасности, через автоматизацию рутинных операций;
• Обоснование затрат на безопасность, через оценку влияния защитных мер на риски безопасности и исполнение требований;
• Отсутствие зависимости от человеческого фактора, за счет цифровизации знаний и процессов службы безопасности;
• Подтверждение соответствия при аудитах и проверках.

В конечном счете SECURITM становится единой точкой для принятия решений в службе информационной безопасности на стратегическом, тактическом и операционном уровнях.

Давайте теперь по каждому процессу (и соответствующему модулю SECURITM) разберемся, какие сложности возникают у служб безопасности, что делает SECURITM и как это помогает службе безопасности.

Исполнение требований регуляторов, стандартов, бизнеса и контрагентов - основа информационной безопасности, но в процессе приведения компании в соответствие требованиям службы безопасности часто сталкиваются со сложностями, а именно:

• Документов много, требования из различных документов дублируют друг друга, приходится проводить одну и ту же работу по контролю соответствия для одинаковых требований из разных документов;
• Нет конкретики и не всегда понятно, как именно исполнять некоторые требования;
• Не ясен смысл и причины, лежащие в основе некоторых требований, как исполнение требований повлияет на безопасность компании и снижение рисков безопасности;
• Много рутины, ведь контролировать и подтверждать соответствие требуется регулярно, это отнимает время и силы у службы безопасности, которые можно было потратить более эффективно.

SECURITM позволяет контролировать соответствие одновременно множеству внешних и внутренних требований, а ключевыми функциями являются:

• Готовая, разбитая на требования база нормативных документов, стандартов и лучших практик;
• Готовая связь (маппинг) одинаковых требований из разных документов, в том числе связь требований отечественных и международных стандартов;
• Возможность добавления собственных документов и требований (управление внутренними требованиями);
• Возможность ручной или автоматической оценки исполнения требований;
• Приоритезация требований через риски безопасности компании;
• Непрерывная переоценка уровня соответствия в зависимости от текущего статуса защитных мер, принятых в компании;
• Контрольный след и отчетность по всем операциям.

В результате служба безопасности и компания получают автоматизированный процесс управления соответствием и требованиями ИБ, позволяющий:

• Непрерывно контролировать соответствие множеству требований и документов;
• Подтвердить соответствие перед внешними и внутренними аудиторами;
• Экономить время на повторном контроле и избавиться от дублирующих операций.

Полноценное управление безопасностью требует риск-ориентированного подхода, но при построении процесса управления рисками службы безопасности часто сталкиваются со сложностями, а именно:

• Нет единой методологии и инструмента, непонятно как управлять рисками;
• Нет данных, формировать полный и объективный реестр рисков долго и сложно;
• Нет понимания как риски информационной безопасности влияют на цели компании;
• Много рутины, не хватает времени и сил на внедрение и последующее поддержание процесса управления рисками.

К проблеме отсутствия единой методологии стоит отнести и большое количество различных определений что такое риск, угроза, уязвимость, актив, как они связаны друг с другом. Поможет разобраться с формулировками статья на хабре.

SECURITM позволяет построить процесс управления рисками в компании, ключевыми функциями являются:

• Готовая Community база рисков, которую можно взять за основу для реестра рисков компании;
• Рекомендательная модель определения рисков на базе имеющихся в компании активов (информационной модели компании);
• Обогащение рисков знаниями из каталогов MITRE ATT&CK и БДУ ФСТЭК;
• Связь рисков с существующими и запланированными к внедрению защитными мерами;
• Связь рисков с актуальными для компании требованиями регуляторики и стандартов;
• Настраиваемые методики оценки;
• Формирование планов обработки рисков;
• Динамический расчет и непрерывная переоценка рисков;
• Контрольный след и отчетность по всем операциям.

В результате использования SECURITM служба безопасности и компания получают автоматизированный процесс управления рисками ИБ, позволяющий:

• Быстро получить первые результаты в виде реестра и плана обработки рисков (буквально за 5 минут!);
• Понять причины и установить приоритеты в работе службы безопасности;
• Обосновать бюджет на информационную безопасность через снижение рисков безопасности;
• Синхронизировать активность службы безопасности с целями бизнеса;
• Экономить время на поддержании процесса управления рисками и отказаться от рутинных операций.

Не понимая, что защищать, невозможно построить эффективную систему защиты. Нужно понимать активы компании, но в процессе учета и управления активами службы безопасности часто сталкиваются со сложностями, а именно:

• Активы разные: серверы, ПО, СЗИ, ЭП, люди, информация, процессы – все это активы, подлежащие учету;
• Активы связаны между собой и без понимания этих взаимосвязей невозможно оценить значимость активов для компании;
• Активы меняются, а ведущиеся в Excel реестры моментально устаревают;
• Активы кому-то принадлежат и без понимания кто владелец/администратор актива невозможно ими управлять.

SECURITM позволяет управлять активами, ключевыми функциями процесса являются:

• Возможность учета активов любого типа, в том числе создание собственных типов активов;
• Построение информационной модели компании за счет определения связей между активами;
• Автоматический расчет приоритетов и поиск владельцев/администраторов через связи активов;
• Различные поля для карточек активов в зависимости от их типа и возможность создавать собственные поля;
• Использование активов во всех смежных процессах управления ИБ;
• Ручной и автоматический импорт / обновление реестра активов;
• Журналирование всех изменений с активами и ведение архива активов.

В результате служба безопасности и компания получают автоматизированный процесс управления активами ITAM (IT Asset Management), позволяющий:

• Учитывать в одном месте активы различного типа;
• Контролировать жизненный цикл активов;
• Использовать активы в процессах информационной безопасности;
• Определять взаимное влияние активов друг на друга и влияние активов на информационную безопасность компании.

Система информационной безопасности состоит из множества защитных мер, средств защиты, процессов и задач, требующих поддержки, и службы безопасности часто сталкиваются со сложностями, а именно:

• Нет контроля. Задачи теряются и не исполняются, сроки срываются;
• Нет приоритета. Непонятно влияние задач и защитных мер на безопасность компании;
• Нет учета. Что и для чего было сделано службой безопасности;
• Нет контекста. Отсутствует связь задач с активами компании, включая людей и информационные системы, нет связи с рисками и исполнением требований.

SECURITM позволяет управлять любыми задачами и процессами службы безопасности, ключевыми функциями являются:

• Учет защитных мер на всем их жизненном цикле, от планирования до реализации и вывода из эксплуатации;
• Готовая база защитных мер, связанная с рисками безопасности и исполнением требований регуляторики;
• Формирование планов работ и отчетов;
• Таск-менеджер с привязкой к активам, защитным мерам, рискам, требованиям, техническим уязвимостям;
• Создание регулярных задач по шаблону;
• Уведомления и дайджесты по электронной почте, Telegram и MS Teams;
• Интеграция с системами Service Desk;
• Контрольный след по всем операциям.

В результате служба безопасности и компания получают автоматизацию операционных процессов, позволяющую:

• Контролировать все процессы и задачи;
• Оценивать нагрузку на ответственных лиц;
• Оптимизировать затраты на поддержание защитных мер;
• Экономить время работников.

Для поиска технических уязвимостей внедряются сканеры безопасности, но одного только сканирования инфраструктуры недостаточно, для построения процесса управления техническими уязвимостями (VM, Vulnerability Management) требуется комплекс:

Строя процесс VM службы безопасности часто сталкиваются со сложностями, а именно:

• Нет приоритета. Как оценить уязвимости основываясь на целях бизнеса и критичности активов?
• Много мусора. Сотни страниц отчетов, тысячи уязвимостей.
• Нет контроля устранения уязвимостей. Задачи ставятся и не исполняются, как связать таск-менеджмент с результатами работы сканеров безопасности?

SECURITM не является сканером безопасности, но позволяет построить процесс управления техническими уязвимостями, обрабатывая результаты работы сканеров. Ключевыми функциями являются:

• Возможность интеграции с несколькими сканерами безопасности одновременно;
• Механизм принятия рисков (настройки исключений) для уязвимостей, в том числе временных исключений;
• Приоритезация уязвимостей с учетом множества факторов:

o базовые показатели уязвимости (Severity, CVSS, CVSS3);
o распространенность уязвимости в инфраструктуре;
o наличие публичных эксплоитов;
o наличие публичного доступа к уязвимым активам;
o значимость уязвимых активов, а также систем и процессов, с которыми они связаны.

• Автоматическое формирование задач на устранение уязвимостей, с напоминаниями и контролем исполнения, привязкой к конкретным уязвимостям, группам уязвимостей, активам. Задачи формируются в встроенном таск-трекере и могут синхронизироваться с Service Desk системами (например, с Jira);
• Создание заметок в приязке к типам уязвимостей и активам, для ведения базы знаний;
• Формирование метрик и отчетов по процессу;
• Контрольный след по всем операциям.

В результате служба безопасности получает автоматизацию процесса управления техническими уязвимостями, позволяющую:

• Сосредоточиться на устранении уязвимостей, наносящих максимальный урон компании;
• Экономить время при анализе результатов сканирований;
• Контролировать устранение уязвимостей;
• Оценить и подтвердить эффективность процесса VM.

SECURITM это и облачный сервис (SaaS) и ПО для установки в инфраструктуре (on-premise), есть несколько вариантов использования:

• Годовая подписка на облачный сервис;
• Выделенный облачный сервер;
• Лицензия на ПО для установки в инфраструктуре.

У SECURITM прозрачное ценообразование, цена зависит от варианта использования и приобретаемых модулей, на сайте разработчика есть калькулятор стоимости.

Фактически, теперь для начала работы с SGRC системой достаточно иметь в бюджете всего 60 тысяч рублей.

Кроме того, в SECURITM открыта бесплатная регистрация, можно попробовать весь функционал самостоятельно. А для активных участников ИБ сообщества, вузов, исследователей, SECURITM предоставляет бесплатную Community-подписку.

SECURITM входит в Реестр отечественного ПО, продается без НДС и может продаваться напрямую от производителя.

Как не представить зрелого отдела продаж без CRM системы, так и не представить зрелой службы информационной безопасности без специализированных инструментов управления своими процессами.

SGRC системы для управления процессами в службах безопасности долгое время были доступны лишь единицам компаний с огромным бюджетом, ведь средняя стоимость таких систем начиналась от 10 млн. рублей.

Из-за этого в большинстве служб безопасности использовались таблицы Excel, разрозненные системы управления задачами, бумажные планы работ, что не способствовало эффективности работы.

SECURITM поменял ситуацию на рынке, дав каждой службе информационной безопасности доступный и простой инструмент для управления процессами безопасности.

Следить за новостями можно в телеграмм-канале SECURITM.

Узнайте больше на сайте SECURITM.

Автор статьи: Николай Казанцев, CEO SECURITM.