На платформе Security Vision 5 вышел сервис Комплаенс

На платформе Security Vision 5 вышел сервис Комплаенс

На платформе Security Vision 5 вышел сервис Комплаенс

Security Vision сообщает о выпуске сервиса «Комплаенс» на платформе Security Vision 5, предоставляемого по подписке из облака.

Сервис предоставляет возможность автоматизации процессов оценки на соответствие требованиям либо проведения самооценки по любым направлениям деятельности компании без установки решения в инфраструктуру. Он подходит для проведения проверок в рамках проектов, требующих повышенной скорости реализации и с меньшими инфраструктурными и трудозатратами за счет отсутствия необходимости развертывания и настройки платформы.

В сервисе реализованы инструменты проверки на соответствие требованиям стандартов как организации в целом, так и отдельных ее элементов, таких как информационная система, бизнес-процесс, помещение и другие бизнес-активы предприятия. Система предоставляет гибкие возможности в выборе методики оценки на основе либо стандарта из пакета экспертиз, либо собственной методики оценки.

Пакет экспертиз обновляется методологами компании Security Vision на регулярной основе, снимая с Заказчика обременение по контролю изменений и в стандартах и руководящих документах.

Наиболее значимые возможности

Ведение реестра стандартов требований

В продукте заложены наиболее используемые стандарты, фреймворки и лучшие практики, такие как Приказы ФСТЭК № 17, 21, 31, ГОСТ 57580, ISO27001, NIST и другие. В дополнение к этому пользователь может сформировать собственные стандарты, скомпоновав их из существующих требований (других стандартов) или создав собственные. Можно формировать стандарты из интерфейса системы или импортировать их из файла. Для каждого требования можно указать собственную шкалу оценки и любое количество вариантов ответов.

Активы и меры защиты

Система позволяет загрузить ресурсно-сервисную модель предприятия, включая продукты, бизнес-процессы, информационные системы и т.д., детализируя до технических элементов, таких как сервера, помещения и оборудование. Загружаемые активы можно связать с мерами защиты, что позволит автоматически получить верхнеуровневую оценку соответствия по всей компании.

Оценка соответствия

Процесс оценки можно проводить как в ручном режиме (заполнение опросных листов), так и в автоматизированном формате: учитываются меры защиты конкретных информационных систем, а также результаты предыдущих оценок.

Процесс оценки можно проводить как по предприятию в целом, так и по конкретным системам в частности, с визуальным отображением прогресса работ.

Гибкая модель опросных листов

Один из основных механизмов уточнения и сбора информации в процессе оценки – автоматизированная генерация опросных листов. Опросные листы могут быть делегированы на разные подразделения и разных исполнителей (в зависимости от объекта оценки), контролируется их статус и прогресс заполнения. При этом аудитор будет видеть степень соответствия объекта оценки требованиям стандарта в режиме реального времени.

В результате сервис сам сведет все полученные данные в единой карточке процесса оценки и подготовит шаблон плана мероприятий по приведению объекта оценки в соответствие требованиям стандарта.

Планы мероприятий по достижению целевого уровня

Процесс оценки позволяет определить невыполненные требования (которые применимы к анализируемой информационной системе), выделить их в отдельный документ и сформировать план мероприятий по их реализации. Система позволяет автоматически сформировать задачи на реализацию соответствия нужным требованиям и мониторить их исполнение во внешних системах.

Аналитический движок визуализации степени соответствия

Одной из важных частей продукта является модуль визуализации, позволяющий «на лету» проанализировать все составляющие процесса оценки на разных этапах и в нескольких представлениях. Таким образом, контроль за проведением аудита становится прозрачным и удобным.

Весь функционал поддерживает разграничение прав доступа как по ролевой модели, так и по организационной схеме дочерних и родительских филиалов Заказчика. Облачный сервис позволяет распределить нагрузку (в том числе на эксплуатацию продукта), позволяя с меньшими затратами и большей скоростью запустить процедуры оценки соответствия.

«Кибербезопасность — обязательный фактор работы компании любого масштаба. Качественный продукт на платформе SecurityVision, закрывающий потребности направления SGRC/GRC из облака, теперь доступен всем и по доступным ценам. Считаю это действительно важным, поскольку сегмент SMB испытывает одновременно потребность в обеспечении безопасности и финансовые ограничения. Уверен, что с сервисом «Комплаенс», закрывающим полный цикл автоматизации процессов информационной безопасности на базе риск-ориентированного подхода, эта непростая задача будет решаться эффективно и доступно», — прокомментировал Руслан Рахметов, генеральный директор Security Vision.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

CICADA8 запустила платформу VM для управления уязвимостями в сети

CICADA8 объявила о запуске CICADA8 VM — платформы для управления уязвимостями внутри корпоративной сети. По словам компании, решение ориентировано на крупные организации с филиальной сетью и призвано помочь с автоматическим контролем уязвимостей во внутреннем периметре.

Пара конкретных цифр, которые приводят разработчики: развёртывание в продуктивной среде занимает около 12 минут, сканирование подсети /24 — от 9 минут.

Платформа, по их данным, выдерживает одновременную проверку до 40 тысяч хостов и поддерживает мультитенантность, что должно облегчать масштабирование и снижать нагрузку на сеть заказчика.

CICADA8 VM предлагает гибкие настройки рабочего процесса: можно выстраивать собственные этапы и логику обработки уязвимостей, распределять роли в команде и тонко настраивать схемы сканирования под конкретные задачи бизнеса. Это даёт администраторам возможность адаптировать процесс под внутренние политики и риски.

Платформа интегрируется с CICADA8 ETM и формирует единую экосистему для управления внешними и внутренними рисками. Из единого интерфейса, как утверждают в компании, доступны инструменты для мониторинга уязвимостей, поиска фишинговых сайтов с упоминанием бренда, обнаружения утечек исходного кода и корпоративных данных, а также отслеживания упоминаний об инцидентах в СМИ, соцсетях и даркнете.

Руководитель продуктового портфеля CICADA8 Кирилл Селезнев отмечает, что в будущем в платформу планируют внедрять инструменты на базе искусственного интеллекта для улучшения верификации и приоритизации уязвимостей. По его словам, это должно помочь сократить объём ручной работы и повысить точность оценки рисков.

В сухом остатке — на рынке появилась ещё одна платформа для управления уязвимостями, рассчитанная на большие и распределённые инфраструктуры; насколько она пригодна в реальных условиях, покажут внедрения и независимые тесты.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru