ИТОГИ РОЗЫГРЫША!😀

До Нового года осталось всего 4 дня и мы как обещали дарим вам новогодние подарки!🎁

🎆Спасибо каждому за участие, творческий подход и такие крутые задачи на праздники, поэтому Все 7, оставивших комментарии под постом:

@Antip4ik
@osipovd109
@il86z
@dok379
@h0b0dy
@MM_Mag
@ogpupsich

становятся победителями и получают от нас или Худи или Туми Иши!👍

С Наступающим 2025!⭐️

Первый рабочий день нового года! 😀

С новым годом, друзья! Мы рады приветствовать Вас в 2025 году и надеемся, что он принесет много новых возможностей и успехов.

Но прежде чем погрузиться в новые начинания, давайте вспомним, каким был 2024 год.

🟢Не пропустите интервью Николая Казанцева с Ольгой Поздняк! В этом интервью Николай делится своими мыслями о прошедшем году и рассказывает о планах на будущее. Приятного просмотра!

👉 Смотреть интервью

Новые фичи в мерах и задачах🛡✔️

🟢При создании задач из карточек защитных мер можно указать как выполнение задачи повлияет на статус меры
🟢В реестре защитных мер автоматически сохраняются выставленные пользователем фильтры
🟢Увеличили срок на возвращение задач в работу с 3 до 7 дней
🟢Каждый пользователь может подписывать на задачи других пользователей
🟢В разделе Мои дела в виджете Задачи, назначенные мной, отображается на кого назначена задача
🟢В экспорт (xls) списков задач добавлены подзадачи
🟢В шаблоны задач добавлены чеклисты (подзадачи)

#ФичиSECURITM

💙VK 😀Сервис 📝Дзен 📺Рутуб

С чего службе ИБ начать рабочий год? Советы от CISO

🗓 21 января 11:00 Зарегистрироваться

Стартовый вебинар 2025 года - с чего начать, как построить работу службы информационной безопасности чтобы год прошел продуктивно, ✅ планы были выполнены, руководство довольно а безопасники полны сил 💪

В ходе вебинара опытные CISO в живом диалоге поделятся советами и рекомендациями по запуску продуктивного рабочего года. Обсудим прогнозы и тенденции 2025 года, которые могут повлиять на Вашу работу.

Приглашенные гости - эксперты отрасли, CISO компаний имеющие богатый опыт и собственный взгляд:
🔵Андрей Нуйкин, начальник отдела обеспечения безопасности информационных систем компании ЕВРАЗ
🔵Тимур Гараев, руководитель департамента информационной безопасности Банки.ру
🔵Григорий Ушаков, директор департамента безопасности СберРешения
🔵Николай Казанцев, CEO SECURITM, в бывшем - CISO фарм-компании

На вебинаре вы сможете задать вопросы и получить ценные советы по подготовке идеального 2025 года для вашей службы информационной безопасности.

21 января 11:00 ➡️ Зарегистрироваться

Ускоряем запуск эффективного 2025 года - не упустите!

👨‍🎓 Изменения регуляторики по ПДн

2025 год богат на изменения в регуляторике, в посте разберем основные изменения, с которыми мы столкнемся в этом году в части защиты персональных данных.
В конце 2024 года Государственная дума утвердила поправки в КоАП РФ, которые вводят штрафы за утечки персональных данных.

Штрафы за утечку персональных данных увеличены в среднем втрое, а также введена ответственность за неуведомление Роскомнадзора о намерении осуществить обработку ПДн или об утечке данных. Размер штрафа варьируется в зависимости от количества пострадавших субъектов и может достигать 15 миллионов рублей.

Поправки вступят в силу 30 мая 2025 года.

❓ Что сделать, чтобы подготовиться?
Первым шагом в обеспечении защиты ПДн является создание реестра бизнес-процессов, в рамках которых осуществляется обработка ПДн, а также реестра используемых ими информационных систем.
Это позволит получить чёткое понимание состава объектов защиты и используемого технологического стека.
SECURITM является оптимальным решением для таких целей. Он значительно упрощает управление информационными системами, обработкой ПДн и инфраструктурой оператора 👍

Всего три шага и вы получите единую карту покрытия защитными мерами, обеспечивающую соответствие требованиям законодательства:

1️⃣ Учет важных объектов сделать в 🌎 Модуле активов. Для создания единой цифровой модели рекомендуем вести учет и взаимосвязь:
🔵Бизнес процессов компании;
🔵ИСПДн;
🔵Информационных систем;
🔵Серверов и ИТ инфраструктуры;
🔵Документов по ИБ;
🔵Средств защиты;

Ведение карточек и паспортов ИСПДн позволяет структурировать сведения о имеющихся в организации персональных данных и системе, обеспечивая удобство при проверках и аудитах.

2️⃣ Формирование нормативной базы по защите персональных данных которой нужно соответствовать. Сделать это можно в ✔️ Модуле требований
В данном разделе требования законодательства представлены в удобном формате и сгруппированы по направлениям. Что позволяет вам:
🔵определить перечень обязательных требований, распространяющихся на бизнес-процессы организации;
🔵выявить и определить «повторяющиеся» или схожие требования, которые являются точками пересечения различных направлений законодательства.

3️⃣Подбор защитных мер
Чтобы сформировать комплексную систему защиты персональных данных, используйте 🛡 Модуль защитных мер, в котором соберете все что реально сделала и запланировала к внедрению служба ИБ в удобной форме.

😀 Преимуществом такого подхода является маппинг и взаимосвязь защитных мер с средствами защиты, защищаемыми ИСПДн и с требованиями регуляторов, включая требования основного регулирующего приказа по технической защите персональных данных – Приказа ФСТЭК России № 21

💙VK 😀Сервис 📝Дзен 📺Рутуб

▫️🆕🆕🆕 в модуле Vulnerability Management 🪲
🟢При ручном закрытии уязвимостей теперь можно добавить комментарий
🟢Добавлено автоматическое закрытие задач, если связанные с задачей уязвимости устранены
🟢Добавлен дашборд Время устранения уязвимостей 📊
🟢Добавлены новые формулы для оценки интегральной величины уязвимости и уязвимого хоста
🟢При импорте из Nmap добавили заполнение таблицы Порты в карточках активов
🟢При импорте из RedCheck добавили автоматический резолв hostname в IP (если в отчете он не указан)

В каталогах CVE/БДУ/НКЦКИ:
🔵Добавлены фильтр показывать Только обнаруженные уязвимости
🔵Добавлен мультифильтр в строку поиска - удобно анализировать наличие уязвимостей по прилетевшим от регулятора письмам.
🔵 Добавлена выгрузка в файл уязвимостей только по настроенному фильтру
🔵 В карточках уязвимостей из каталогов добавили списки и ссылки на реально существующие в инфраструктуре уязвимости, обнаруженные сканерами безопасности

#ФичиSECURITM #SECURITM_VM

💙VK 😀Сервис 📝Дзен 📺Рутуб

Начинаем вебинар: С чего службе ИБ начать рабочий год? Советы от CISO

🗓 21.01.25 11:00 👉 Зарегистрироваться

Приглашаем вас на стартовый вебинар этого года. Поговорим о том, с чего начать, как построить работу службы информационной безопасности чтобы год прошел продуктивно, ✅ планы были выполнены, руководство довольно а безопасники полны сил 💪

Запись вебинара «С чего службе ИБ начать рабочий год? Советы от CISO», который прошел 21.01.25 11:00 готова к просмотру!

Построим продуктивную работу служб информационной безопасности вместе с SECURITM ✅

Смотреть

🔥🆕🆕🆕
Реестр сертифицированных СЗИ

В SECURITM интегрирован реестр сертифицированных средств защиты информации ФСТЭК России.

Как использовать:
1. Создаете реестр активов типа Программное обеспечение \ Средство защиты информации
2. Заполняете у ваших СЗИ поле "Номер сертификата СЗИ"

Все, далее SECURITM:
🌎 Выводит подробную информацию о сертификате СЗИ в карточке актива
📊 Считает просроченные СЗИ и те, что скоро закончат срок действия

Хочется больше автоматизации? Тогда с помощью модуля RPA можно создать различные события в привязке к полям актива "Срок действия сертификата СЗИ" и "Срок поддержки сертификата СЗИ", например - создание задач, отправка уведомлений, вывод из строя защитных мер.

#ФичиSECURITM

💙VK 😀Сервис 📝Дзен 📺Рутуб

Система SECURITM состоит из модулей, которые переплетаются и обогащают друг друга.

За работу на операционном уровне отвечают:
🌎 Модуль активов;
✔️ Модуль задач;
🤖 Модуль автоматизации;
🗣 Модуль опросов и заявок;
🪲 Модуль уязвимостей.

Сегодня расскажем про модуль активов:
Модуль закрывает потребность в системах класса ITAM, AM, CMDB.
Модуль содержит более 200 готовых типов активов с различными полями и связями. Они выстроены в единую иерархическую структуру по классификации вендора. Так же встроены два дополнительных компонента ― «Аудит программ» и «Критическая информационная инфраструктура» (КИИ).

Наполнение реестра активов может осуществляться:
🟢вручную пользователем системы;
🟢вручную работниками (не являющимися пользователями SECURITM) через модуль опросов;
🟢автоматически через прямое взаимодействие с корпоративными системами и средствами защиты;
🟢через API: через файлы XLS / CSV, загруженные вручную или автоматически через общий доступ.

Модуль активов может использоваться как основа для большого количества процессов службы ИБ, данные из него используются во всех остальных модулях системы и влияют на соответствие требованиям, риски, метрики, управление техническими уязвимостями.

#SECURITM_AM

💙VK 😀Сервис 📝Дзен 📺Рутуб

В предыдущем посте разбирали практическое применение модуля активов, Андрей Нуйкин, начальник отдела обеспечения безопасности информационных систем компании ЕВРАЗ поделился как они используют модуль активов в SECURITM.

Избавьте будни от рутины, начните работу в SECURITM или оставьте запрос на демонстрацию возможностей😀

#SECURITM_AM #КейсыSECURITM

💙VK 😀Сервис 📝Дзен 📺Рутуб

⁉️ За что могут и будут штрафовать, согласно изменениям регуляторики по ПДн, которые принесли компаниям увеличение штрафов за утечки персональных данных

РКН выделяет типовые нарушения в сфере защиты персональных данных в 2024 году:

1️⃣ Обработка персональных данных в случаях непредусмотренных законодательством.
2️⃣ Несоблюдение требований по обеспечению возможности выражения волеизъявления субъектом ПДн при осуществлении Оператором сбора ПДн в сети «Интернет».
3️⃣ Несоответствие документа, определяющего политику в отношении обработки ПДн требованиям ФЗ-152. Несоблюдение требований по опубликованию или обеспечению неограниченного доступа к политике, в том числе на страницах сайта.
4️⃣ Обработка персональных данных в отсутствие указания сроков обработки ПДн.

Размер штрафа варьируется в зависимости от количества пострадавших субъектов и может достигать 15 миллионов рублей.

⁉️Что сделать чтобы избежать штрафов

💡 Правовые основания обработки должны однозначно соответствовать целям обработки. Объем данных не должен превышать определенный в законодательстве, а цели обработки, заявленные в согласиях, должны однозначно соответствовать объему обрабатываемых ПДн.
Пример, обработка в рамках ТК РФ не предусматривает обработку данных соискателей вакантных должностей, этот процесс требует отдельного согласия.

💡 Для каждой цели должен быть определен свой состав ПДн. Рекомендуется формировать согласие под каждую отдельную цель обработки, либо использовать модульную структуру согласий.
Пример: рамках ТР РФ нельзя обрабатывать полную дату рождения близких родственников. Форма Т-2 предполагает сбор только ФИО, степени родства и года рождения, для иных данных требуется отдельное согласие. Сбор полной даты рождения является частой ошибкой.

💡 При осуществлении сбора ПДн через информационные ресурсы в сети «Интернет» - веб-сайты, оператор обязан получить однозначное и сознательное согласие. Бездействие субъекта не может являться согласием.
Пример, является недопустимым заполнять чек-бокс согласия за субъекта ПДн. Также чек-бокс должен содержать ссылку на согласие субъекта ПДн. Не допускается объединение чек-бокса согласия на обработку ПДн с иными согласиями, либо подтверждениями ознакомления.

💡 Политика, размещённая на сайте оператора ПДн, должна быть доступна на всех страницах, на которых осуществляется сбор ПДн. При формировании политики следует использовать типовые формы, разработанные Роскомнадзором. Требования к формированию политики – тема для отдельного поста, так что к этому вопросу мы еще вернемся.

💡 В теле согласий на обработку ПДн рекомендуется фиксировать сроки обработки ПДн и условия, при которых оператор может продолжать обрабатывать ПДн без согласия. Соответствующие сведения должны быть закреплены в ОРД оператора.
Бессрочная обработка ПДн недопустима. Оператор должен прекратить обработку, а ПДн уничтожить, по достижению целей обработки, либо при отзыве согласия субъекта, если иное не предусмотрено законодательством. Это же касается и автоматизированной обработки ПДн и удалению данных из систем.

💙VK 😀Сервис 📝Дзен 📺Рутуб

😀SECURITM на Инфофоруме 2025!

Уже идет полным ходом Инфофорум 2025 — это один из ключевых форумов в сфере информационной безопасности начиная с 2001 года, где собираются ведущие эксперты, чтобы обсудить актуальные и новые темы этого года:

🗣Киберинциденты-2024/25 и Защита критической информационной инфраструктуры: новые решения
🗣Перспективные технологии обеспечения информационной безопасности
🗣Российские системы управления информацией о безопасности и управления событиями безопасности

Завтра 06.02 в 10:00 Николай Казанцев будет выступать с докладом «Управление рисками и соответствием как основа обеспечения ИБ в промышленности» - Малый зал здания Цифрового Делового Пространства

Приходите на форум или присоединяйтесь к трансляции.

#КонференцииSECURITM