Обзор SECURITM — новой SGRC платформы для управления безопасностью

На рынке появилось новое отечественное решение для управления процессами в службах информационной безопасности — Сервис управления информационной безопасностью SECURITM. Это система класса SGRC (Security Governance, Risk, Compliance), которая помогает службам информационной безопасности средних/крупных компаний автоматизировать их процессы управления безопасностью на единой платформе.

В этой статье рассмотрим функционал SECURITM и разберем какие актуальные задачи он решает.

В статье вы узнаете о:

• Проблемах управления информационной безопасностью;
• Ключевых возможностях SECURITM: управление рисками, соответствием, активами, задачами, техническими уязвимостями;
• Лицензировании и Community-версии SECURITM.

SECURITM как CRM для служб информационной безопасности

Как в компании появляется информационная безопасность?

Чаще всего это эволюционный процесс, сопровождающий рост и развитие самой компании.

Сначала задачи безопасности ложатся на плечи ИТ подразделения, со временем появляется выделенный специалист, который эволюционирует в сектор, отдел и, если повезет, в управление/дирекцию по информационной безопасности.

На всем этом жизненном пути система информационной безопасности компании непрерывно развивается — внедряются новые защитные меры, средства защиты, процессы. В конечном счете в компании появляются сотни защитных мер и десятки средств защиты.

В результате развития Систему информационной безопасности ждет судьба любой сложной системы: деградация под собственным весом, сбои и ошибки. И проблема не в технических средствах защиты, а в организационных процессах внутри службы информационной безопасности, которые должны как клей поддерживать всю систему.

Хорошая аналогия с автоматизацией отделов продаж: если на начальном этапе развития достаточно Excel файла с базой клиентов и статусом сделок, то при увеличении штата в отделе, количества клиентов и сложности взаимодействий компания неминуемо переходит на CRM систему, как платформу для автоматизации продаж. SECURITM — это как CRM для служб информационной безопасности, тот самый клей, позволяющий связать и автоматизировать ключевые процессы, не допуская деградации системы защиты.

SECURITM состоит из модулей, каждый из который отвечает за определенный процесс:

• Контроль соответствия внешним и внутренним требованиям;
• Управление рисками безопасности;
• Управление активами;
• Управление задачами;
• Управление техническими уязвимостями.

Каждый из модулей может использоваться автономно, но все они связаны и обогащают друг друга.

Использование SECURITM обеспечивает:

• Повышение защищенности компании, благодаря оценке рисков безопасности и приоритезации действий службы безопасности;
• Снижение ручного труда служб безопасности, через автоматизацию рутинных операций;
• Обоснование затрат на безопасность, через оценку влияния защитных мер на риски безопасности и исполнение требований;
• Отсутствие зависимости от человеческого фактора, за счет цифровизации знаний и процессов службы безопасности;
• Подтверждение соответствия при аудитах и проверках.

В конечном счете SECURITM становится единой точкой для принятия решений в службе информационной безопасности на стратегическом, тактическом и операционном уровнях.

Давайте теперь по каждому процессу (и соответствующему модулю SECURITM) разберемся, какие сложности возникают у служб безопасности, что делает SECURITM и как это помогает службе безопасности.

Управление соответствием

Исполнение требований регуляторов, стандартов, бизнеса и контрагентов — основа информационной безопасности, но в процессе приведения компании в соответствие требованиям службы безопасности часто сталкиваются со сложностями, а именно:

• Документов много, требования из различных документов дублируют друг друга, приходится проводить одну и ту же работу по контролю соответствия для одинаковых требований из разных документов;
• Нет конкретики и не всегда понятно, как именно исполнять некоторые требования;
• Не ясен смысл и причины, лежащие в основе некоторых требований, как исполнение требований повлияет на безопасность компании и снижение рисков безопасности;
• Много рутины, ведь контролировать и подтверждать соответствие требуется регулярно, это отнимает время и силы у службы безопасности, которые можно было потратить более эффективно.

SECURITM позволяет контролировать соответствие одновременно множеству внешних и внутренних требований, а ключевыми функциями являются:

• Готовая, разбитая на требования база нормативных документов, стандартов и лучших практик;
• Готовая связь (маппинг) одинаковых требований из разных документов, в том числе связь требований отечественных и международных стандартов;
• Возможность добавления собственных документов и требований (управление внутренними требованиями);
• Возможность ручной или автоматической оценки исполнения требований;
• Приоритезация требований через риски безопасности компании;
• Непрерывная переоценка уровня соответствия в зависимости от текущего статуса защитных мер, принятых в компании;
• Контрольный след и отчетность по всем операциям.

В результате служба безопасности и компания получают автоматизированный процесс управления соответствием и требованиями ИБ, позволяющий:

• Непрерывно контролировать соответствие множеству требований и документов;
• Подтвердить соответствие перед внешними и внутренними аудиторами;
• Экономить время на повторном контроле и избавиться от дублирующих операций.

Управление рисками

Полноценное управление безопасностью требует риск-ориентированного подхода, но при построении процесса управления рисками службы безопасности часто сталкиваются со сложностями, а именно:

• Нет единой методологии и инструмента, непонятно как управлять рисками;
• Нет данных, формировать полный и объективный реестр рисков долго и сложно;
• Нет понимания, как риски информационной безопасности влияют на цели компании;
• Много рутины, не хватает времени и сил на внедрение и последующее поддержание процесса управления рисками.

К проблеме отсутствия единой методологии стоит отнести и большое количество различных определений: что такое риск, угроза, уязвимость, актив, как они связаны друг с другом. Поможет разобраться с формулировками статья на хабре.

SECURITM позволяет построить процесс управления рисками в компании, ключевыми функциями являются:

• Готовая Community база рисков, которую можно взять за основу для реестра рисков компании;
• Рекомендательная модель определения рисков на базе имеющихся в компании активов (информационной модели компании);
• Обогащение рисков знаниями из каталогов MITRE ATT&CK и БДУ ФСТЭК;
• Связь рисков с существующими и запланированными к внедрению защитными мерами;
• Связь рисков с актуальными для компании требованиями регуляторов и стандартов;
• Настраиваемые методики оценки;
• Формирование планов обработки рисков;
• Динамический расчет и непрерывная переоценка рисков;
• Контрольный след и отчетность по всем операциям.

В результате использования SECURITM служба безопасности и компания получают автоматизированный процесс управления рисками ИБ, позволяющий:

• Быстро получить первые результаты в виде реестра и плана обработки рисков (буквально за 5 минут!);
• Понять причины и установить приоритеты в работе службы безопасности;
• Обосновать бюджет на информационную безопасность через снижение рисков безопасности;
• Синхронизировать активность службы безопасности с целями бизнеса;
• Экономить время на поддержании процесса управления рисками и отказаться от рутинных операций.

Управление активами

Не понимая, что защищать, невозможно построить эффективную систему защиты. Нужно понимать активы компании, но в процессе учета и управления активами службы безопасности часто сталкиваются со сложностями, а именно:

• Активы разные: серверы, ПО, СЗИ, ЭП, люди, информация, процессы – все это активы, подлежащие учету;
• Активы связаны между собой и без понимания этих взаимосвязей невозможно оценить значимость активов для компании;
• Активы меняются, а ведущиеся в Excel реестры моментально устаревают;
• Активы кому-то принадлежат и без понимания кто владелец/администратор актива невозможно ими управлять.

SECURITM позволяет управлять активами, ключевыми функциями процесса являются:

• Возможность учета активов любого типа, в том числе создание собственных типов активов;
• Построение информационной модели компании за счет определения связей между активами;
• Автоматический расчет приоритетов и поиск владельцев/администраторов через связи активов;
• Различные поля для карточек активов в зависимости от их типа и возможность создавать собственные поля;
• Использование активов во всех смежных процессах управления ИБ;
• Ручной и автоматический импорт / обновление реестра активов;
• Журналирование всех изменений с активами и ведение архива активов.

В результате служба безопасности и компания получают автоматизированный процесс управления активами ITAM (IT Asset Management), позволяющий:

• Учитывать в одном месте активы различного типа;
• Контролировать жизненный цикл активов;
• Использовать активы в процессах информационной безопасности;
• Определять взаимное влияние активов друг на друга и влияние активов на информационную безопасность компании.

Управление задачами

Система информационной безопасности состоит из множества защитных мер, средств защиты, процессов и задач, требующих поддержки, и службы безопасности часто сталкиваются со сложностями, а именно:

• Нет контроля. Задачи теряются и не исполняются, сроки срываются;
• Нет приоритета. Непонятно влияние задач и защитных мер на безопасность компании;
• Нет учета. Что и для чего было сделано службой безопасности;
• Нет контекста. Отсутствует связь задач с активами компании, включая людей и информационные системы, нет связи с рисками и исполнением требований.

SECURITM позволяет управлять любыми задачами и процессами службы безопасности, ключевыми функциями являются:

• Учет защитных мер на всем их жизненном цикле, от планирования до реализации и вывода из эксплуатации;
• Готовая база защитных мер, связанная с рисками безопасности и исполнением требований регуляторики;
• Формирование планов работ и отчетов;
• Таск-менеджер с привязкой к активам, защитным мерам, рискам, требованиям, техническим уязвимостям;
• Создание регулярных задач по шаблону;
• Уведомления и дайджесты по электронной почте, Telegram и MS Teams;
• Интеграция с системами Service Desk;
• Контрольный след по всем операциям.

В результате служба безопасности и компания получают автоматизацию операционных процессов, позволяющую:

• Контролировать все процессы и задачи;
• Оценивать нагрузку на ответственных лиц;
• Оптимизировать затраты на поддержание защитных мер;
• Экономить время работников.

Управление техническими уязвимостями

Для поиска технических уязвимостей внедряются сканеры безопасности, но одного только сканирования инфраструктуры недостаточно, для построения процесса управления техническими уязвимостями (VM, Vulnerability Management) требуется комплекс.

Строя процесс VM службы безопасности часто сталкиваются со сложностями, а именно:

• Нет приоритета. Как оценить уязвимости основываясь на целях бизнеса и критичности активов?
• Много мусора. Сотни страниц отчетов, тысячи уязвимостей.
• Нет контроля устранения уязвимостей. Задачи ставятся и не исполняются, как связать таск-менеджмент с результатами работы сканеров безопасности?

SECURITM не является сканером безопасности, но позволяет построить процесс управления техническими уязвимостями, обрабатывая результаты работы сканеров. Ключевыми функциями являются:

• Возможность интеграции с несколькими сканерами безопасности одновременно;
• Механизм принятия рисков (настройки исключений) для уязвимостей, в том числе временных исключений;
• Приоритезация уязвимостей с учетом множества факторов:

o базовые показатели уязвимости (Severity, CVSS, CVSS3);
o распространенность уязвимости в инфраструктуре;
o наличие публичных эксплоитов;
o наличие публичного доступа к уязвимым активам;
o значимость уязвимых активов, а также систем и процессов, с которыми они связаны.

• Автоматическое формирование задач на устранение уязвимостей, с напоминаниями и контролем исполнения, привязкой к конкретным уязвимостям, группам уязвимостей, активам. Задачи формируются в встроенном таск-трекере и могут синхронизироваться с Service Desk системами (например, с Jira);
• Создание заметок в привязке к типам уязвимостей и активам, для ведения базы знаний;
• Формирование метрик и отчетов по процессу;
• Контрольный след по всем операциям.

В результате служба безопасности получает автоматизацию процесса управления техническими уязвимостями, позволяющую:

• Сосредоточиться на устранении уязвимостей, наносящих максимальный урон компании;
• Экономить время при анализе результатов сканирований;
• Контролировать устранение уязвимостей;
• Оценить и подтвердить эффективность процесса VM.

Лицензирование

SECURITM это и облачный сервис (SaaS) и ПО для установки в инфраструктуре (on-premise), есть несколько вариантов использования:

• Годовая подписка на облачный сервис;
• Выделенный облачный сервер;
• Лицензия на ПО для установки в инфраструктуре.

У SECURITM прозрачное ценообразование, цена зависит от варианта использования и приобретаемых модулей, на сайте разработчика есть калькулятор стоимости.

Фактически, теперь для начала работы с SGRC системой достаточно иметь в бюджете всего 60 тысяч рублей.

Кроме того, в SECURITM открыта бесплатная регистрация, можно попробовать весь функционал самостоятельно. А для активных участников ИБ сообщества, вузов, исследователей, SECURITM предоставляет бесплатную Community-подписку.

SECURITM входит в Реестр отечественного ПО, продается без НДС и может продаваться напрямую от производителя.

Заключение

Как не представить зрелого отдела продаж без CRM системы, так и не представить зрелой службы информационной безопасности без специализированных инструментов управления своими процессами.

SGRC системы для управления процессами в службах безопасности долгое время были доступны лишь единицам компаний с огромным бюджетом, ведь средняя стоимость таких систем начиналась от 10 млн. рублей.

Из-за этого в большинстве служб безопасности использовались таблицы Excel, разрозненные системы управления задачами, бумажные планы работ, что не способствовало эффективности работы.

SECURITM поменял ситуацию на рынке, дав каждой службе информационной безопасности доступный и простой инструмент для управления процессами безопасности.

Следить за новостями можно в телеграмм-канале SECURITM.

Узнайте больше на cайте SECURITM.

Автор статьи: Николай Казанцев, CEO SECURITM.

🎁 Получи доступ к SECURITM по подписке Standard по промокоду «tssolution» на 1 месяц

#информационныетехнологии #информационнаябезопасность #it-технологии