SECURITM: Единая система управления безопасностью

SECURITM – это комплексная система, которая автоматизирует управление всеми процессами информационной безопасности (ИБ) в организации. С ее помощью можно эффективно управлять рисками и уязвимостями, планировать задачи, автоматизировать процессы, вести учёт активов, а также генерировать отчеты. Особое внимание уделено модулю управления соответствием требованиям, который содержит самую большую публично доступную базу скоррелированной между собой российской и зарубежной регуляторики по ИБ.

Почему контроль соответствия так важен?

Работа службы ИБ регулируется многочисленными требованиями, установленными как российскими, так и международными регуляторами. Compliance предполагает регулярный контроль того, насколько система защиты организации соответствует этим требованиям. Часто различные стандарты могут дублировать друг друга, что усложняет процесс контроля их выполнения. Поэтому, несмотря на рутинность, процесс контроля требует внимательности и глубокого погружения специалистов.

Функции модуля управления соответствием в SECURITM

SECURITM содержит самую большую публично доступную базу Российской и международной регуляторики, скореллированной между собой, которая доступна каждому сотруднику информационной безопасности в нашей стране.Модуль управления соответствием в SECURITM помогает специалистам видеть взаимосвязи и пересечения между требованиями разных стандартов. Это упрощает процесс их выполнения и позволяет быстрее понять, на что нужно обратить внимание в первую очередь. Наиболее часто встречающиеся требования касаются сетевой безопасности, журналирования и антивирусной защиты.

Как это работает на практике?

В системе SECURITM есть три способа оценки соответствия требованиям:

Варианты оценки соответствия в SECURITM:

• автоматический - привязываем защитные меры
• ручной - ставим статус “выполнено/не выполнено”, пишем обоснование и прикладываем свидетельства
• аудитаметрики - привязываем технические и организационные метрики из модуля метрик.

При автоматическом способе защитные меры в статусе “поломка” не выполняют требования. Требования можно привязать к метрике - метрика со значением попадающем в пороговые значения "Хорошо" - выполняет требования, иначе не выполняет.

Соответствие требованиям в зависимости от показателей метрик в SECURITM

Например, по приказу ФСТЭК 21 (АВЗ 1, АВЗ 2) России требуется установка антивирусной защиты для систем. В SECURITM можно назначить ответственных за выполнение этой меры, установить сроки и создать задачи для выполнения.Если защитная мера реализована и находится в пороговом значении “Хорошо” и выше, то данные значения автоматически подтягиваются в модуль требований и отражаются на значении Compliance.При этом, поломка защитной меры делает привязанное требование не выполненным и снижает процент соответствия.Таким образом, система позволяет вести контроль требований в автоматическом режиме и собирать все данные в одном месте.

Подробнее про последние обновления в модуле Compliance

Мы регулярно обновляем нашу базу регуляторики и держим руку на пульсе, чтобы у вас были всегда актуальные требования.Из последних добавленных документов - новая Методика ФСТЭК по оценке показателя состояния технической защиты информации
Сейчас в базе документов по информационной безопасности, разбитые на требования и связанные друг с другом такие документы:

Финансы

PCI DSS 4.0 (En)

PCI DSS 4.0 (Ru)

SWIFT CSCF

ГОСТ Р 57580.1

ГОСТ Р 57580.3

ГОСТ Р 57580.4

12-МР для 802-П

12-МР для 719-П

12-МР для 683-П

18-МР

8-МР для 757-П

Положение Банка России 683-П

Положение Банка России 716-П

Положение Банка России 719-П

Положение Банка России 757-П

Положение Банка России 779-П

Положение Банка России 787-П

Положение Банка России 802-П

Положение Банка России 808-П

Положение Банка России № 821-П от 17.08.23

Положение Банка России № 822-П от 30.08.23

Постановление Правительства РФ № 584

Постановление Республики Казахстан №89

Постановление Республики Казахстан №90

Постановление Республики Казахстан № 110

Приложение ПП Республики Казахстан № 110

Постановление Республики Казахстан №47

Приказ Минцифры N 453 от 12 мая 2023 г.

РС БР ИББС-2.5-2014

РС БР ИББС-2.9-2016

Стандарт Банка России СТО БР БФБО-1.8-2024

СТО БР ИББС-1.0-2014

СТО БР ИББС-1.3-2016

СТО БР ИББС-1.4-2018

Федеральный закон №161

ПДн:

RUCSF - The 18 CIS CSC

Рекомендации Роскомнадзора по обезличиванию ПДн

GDPR (ru)

Постановление Правительства РФ № 1119

Постановление Правительства РФ № 211

Постановление Правительства РФ № 687

Постановление Правительства РФ № 883

Приказ МЦРИАП РК от 12.06.23 № 179/НК

Приказ Минцифры N 453 от 12 мая 2023 г.

Приказ Роскомнадзора № 178

Приказ Роскомнадзора № 179

Приказ Роскомнадзора №180 от 28.10.2022

Приказ Роскомнадзора № 996 от 05.09.2013

Приказ ФСБ № 378

Приказ ФСТЭК № 21

Федеральный Закон № 152-ФЗ

КИИ:

Методика оценки показателя состояния ТЗИ

Постановление Правительства РФ № 127

Постановление Правительства РФ № 1478

Приказ ФСБ № 196

Приказ ФСБ № 282

Приказ ФСБ № 367

Приказ ФСБ № 77

Приказ ФСТЭК № 235

Приказ ФСТЭК № 239

Указ Президента РФ № 166

Указ Президента РФ № 250

Федеральный Закон № 187-ФЗ

СМИБ:

ГОСТР ИСО 22301— 2021

ГОСТ Р ИСО/МЭК 27001-2021 Тело стандарта

ГОСТ Р ИСО/МЭК 27001-2021 Приложение А

ГОСТ Р № ИСО/МЭК 27002-2021

ISO/IEC 27001:2022 (En) Body

ISO/IEC 27001:2022 (En) Annex A

ISO/IEC 27001:2022(E)

ISO/IEC 27001:2022 (Ru) Тело стандарта

ISO/IEC 27001:2022 (Ru) Приложение А

Общее

Методика оценки угроз ФСТЭК 2021

Постановление Правительства РФ № 1385

Постановление Правительства РФ № 1441

Постановление Правительства РФ № 258

Постановление Правительства Республики Казахстан № 832

Приказ Минцифры РФ №646

Приказ Минцифры N935

Приказ ФСТЭК № 77

Федеральный закон № 126-ФЗ

Федеральный закон № 149-ФЗ

Лучшие практики:

CIS CSC v7.1 (SANS Top 20)

CIS CSC v8.1

Guideline for a healthy information system v.2.0

NIST Cybersecurity Framework (EN)

NIST CSF (ru)

Strategies to Mitigate Cyber Security Incidents

ГОСТ Р № 59547-2021

Методика РезБез

Здравоохранение:

FDA 21 CFR part 11 (EN)

FDA 21 CFR part 11 (RU)

Приказ Минздрава № 911н

GMP Annex 11: Computerised Systems (EN)

GMP Annex 11: Computerised Systems (RU)

АСУ ТП:

FDA 21 CFR part 11 (EN)

FDA 21 CFR part 11 (RU)

RUCSF - The 18 CIS CSC

Приказ ФСТЭК № 31

СКЗИ:

Приказ ФАПСИ № 152

Приказ ФСБ № 378

Федеральный Закон № 63-ФЗ

ГИС:

Постановление Правительства РФ № 676

Приказ ФСТЭК № 17

Коммерческая тайна:

Федеральный закон № 98-ФЗ

Обновления в Модуле Compliance: Новые возможности

Поддерживаем нашу традицию постоянного развития и хотим рассказать про новые фичи. Недавними обновлениями модуля стали:

1. Расширение балльной оценки по документам

2. Введение целевого уровня соответствия

Целевой уровень - формируется по уровню всех требований, которые должны быть выполнены, за исключением тех требований, которые не требуются для выполнения или не применимы к организации

3. Модерация в опросах типа "Оценка соответствия требованиям"

Теперь возможно назначать ответственных за модерацию прямо при создании опроса.

4. Комментарии к опросам по оценке соответствия требованиям

Добавили возможность оставлять комментарии в опросах для фиксирования всех возможных данных.

5. Мини-дашборд на уровне групп документов

6. Доработка раздела комплаенса по методикам 8/12-МР

Доработали раздел, отвечающий за комплаенс по методикам 8/12-МР. Эти методики обеспечивают единство подходов, используемых при определении рисков, которые определяются в различных направлениях. В SECURITM представлены автоматические калькуляторы, которые помогают проводить комплаенс и экспортировать данные в виде отчетов нужной формы.

Внедрение Методики экспресс-оценки уровня кибербезопасности

В базу Compliance также добавлена новая Методика экспресс-оценки уровня кибербезопасности, разработанная в рамках проекта Резбез. Эта методика позволяет быстро и эффективно оценить защищенность организации, что особенно полезно в условиях ограниченного времени.

Методика не только интегрирована в Модуль требований, но и скоррелирована с другими стандартами из базы, что делает её еще более полезной для пользователей, стремящихся к комплексной оценке безопасности.

В заключении

SECURITM – это мощный инструмент для управления информационной безопасностью, который значительно упрощает процесс контроля соответствия требованиям. Вы можете попробовать бесплатную Community версию системы https://service.securitm.ru и ознакомиться там с представленными стандартами.

Источник: https://vc.ru/services/1429584-compliance-v-informacionnoi-bezopasnosti-s-securitm-obespechenie-soot...