С чего службе ИБ начать рабочий год? Советы от CISO

🗓 21 января 11:00 Зарегистрироваться

Стартовый вебинар 2025 года - с чего начать, как построить работу службы информационной безопасности чтобы год прошел продуктивно, ✅ планы были выполнены, руководство довольно а безопасники полны сил 💪

В ходе вебинара опытные CISO в живом диалоге поделятся советами и рекомендациями по запуску продуктивного рабочего года. Обсудим прогнозы и тенденции 2025 года, которые могут повлиять на Вашу работу.

Приглашенные гости - эксперты отрасли, CISO компаний имеющие богатый опыт и собственный взгляд:
🔵Андрей Нуйкин, начальник отдела обеспечения безопасности информационных систем компании ЕВРАЗ
🔵Тимур Гараев, руководитель департамента информационной безопасности Банки.ру
🔵Григорий Ушаков, директор департамента безопасности СберРешения
🔵Николай Казанцев, CEO SECURITM, в бывшем - CISO фарм-компании

На вебинаре вы сможете задать вопросы и получить ценные советы по подготовке идеального 2025 года для вашей службы информационной безопасности.

21 января 11:00 ➡️ Зарегистрироваться

Ускоряем запуск эффективного 2025 года - не упустите!

👨‍🎓 Изменения регуляторики по ПДн

2025 год богат на изменения в регуляторике, в посте разберем основные изменения, с которыми мы столкнемся в этом году в части защиты персональных данных.
В конце 2024 года Государственная дума утвердила поправки в КоАП РФ, которые вводят штрафы за утечки персональных данных.

Штрафы за утечку персональных данных увеличены в среднем втрое, а также введена ответственность за неуведомление Роскомнадзора о намерении осуществить обработку ПДн или об утечке данных. Размер штрафа варьируется в зависимости от количества пострадавших субъектов и может достигать 15 миллионов рублей.

Поправки вступят в силу 30 мая 2025 года.

❓ Что сделать, чтобы подготовиться?
Первым шагом в обеспечении защиты ПДн является создание реестра бизнес-процессов, в рамках которых осуществляется обработка ПДн, а также реестра используемых ими информационных систем.
Это позволит получить чёткое понимание состава объектов защиты и используемого технологического стека.
SECURITM является оптимальным решением для таких целей. Он значительно упрощает управление информационными системами, обработкой ПДн и инфраструктурой оператора 👍

Всего три шага и вы получите единую карту покрытия защитными мерами, обеспечивающую соответствие требованиям законодательства:

1️⃣ Учет важных объектов сделать в 🌎 Модуле активов. Для создания единой цифровой модели рекомендуем вести учет и взаимосвязь:
🔵Бизнес процессов компании;
🔵ИСПДн;
🔵Информационных систем;
🔵Серверов и ИТ инфраструктуры;
🔵Документов по ИБ;
🔵Средств защиты;

Ведение карточек и паспортов ИСПДн позволяет структурировать сведения о имеющихся в организации персональных данных и системе, обеспечивая удобство при проверках и аудитах.

2️⃣ Формирование нормативной базы по защите персональных данных которой нужно соответствовать. Сделать это можно в ✔️ Модуле требований
В данном разделе требования законодательства представлены в удобном формате и сгруппированы по направлениям. Что позволяет вам:
🔵определить перечень обязательных требований, распространяющихся на бизнес-процессы организации;
🔵выявить и определить «повторяющиеся» или схожие требования, которые являются точками пересечения различных направлений законодательства.

3️⃣Подбор защитных мер
Чтобы сформировать комплексную систему защиты персональных данных, используйте 🛡 Модуль защитных мер, в котором соберете все что реально сделала и запланировала к внедрению служба ИБ в удобной форме.

😀 Преимуществом такого подхода является маппинг и взаимосвязь защитных мер с средствами защиты, защищаемыми ИСПДн и с требованиями регуляторов, включая требования основного регулирующего приказа по технической защите персональных данных – Приказа ФСТЭК России № 21

💙VK 😀Сервис 📝Дзен 📺Рутуб

▫️🆕🆕🆕 в модуле Vulnerability Management 🪲
🟢При ручном закрытии уязвимостей теперь можно добавить комментарий
🟢Добавлено автоматическое закрытие задач, если связанные с задачей уязвимости устранены
🟢Добавлен дашборд Время устранения уязвимостей 📊
🟢Добавлены новые формулы для оценки интегральной величины уязвимости и уязвимого хоста
🟢При импорте из Nmap добавили заполнение таблицы Порты в карточках активов
🟢При импорте из RedCheck добавили автоматический резолв hostname в IP (если в отчете он не указан)

В каталогах CVE/БДУ/НКЦКИ:
🔵Добавлены фильтр показывать Только обнаруженные уязвимости
🔵Добавлен мультифильтр в строку поиска - удобно анализировать наличие уязвимостей по прилетевшим от регулятора письмам.
🔵 Добавлена выгрузка в файл уязвимостей только по настроенному фильтру
🔵 В карточках уязвимостей из каталогов добавили списки и ссылки на реально существующие в инфраструктуре уязвимости, обнаруженные сканерами безопасности

#ФичиSECURITM #SECURITM_VM

💙VK 😀Сервис 📝Дзен 📺Рутуб

Начинаем вебинар: С чего службе ИБ начать рабочий год? Советы от CISO

🗓 21.01.25 11:00 👉 Зарегистрироваться

Приглашаем вас на стартовый вебинар этого года. Поговорим о том, с чего начать, как построить работу службы информационной безопасности чтобы год прошел продуктивно, ✅ планы были выполнены, руководство довольно а безопасники полны сил 💪

Запись вебинара «С чего службе ИБ начать рабочий год? Советы от CISO», который прошел 21.01.25 11:00 готова к просмотру!

Построим продуктивную работу служб информационной безопасности вместе с SECURITM ✅

Смотреть

🔥🆕🆕🆕
Реестр сертифицированных СЗИ

В SECURITM интегрирован реестр сертифицированных средств защиты информации ФСТЭК России.

Как использовать:
1. Создаете реестр активов типа Программное обеспечение \ Средство защиты информации
2. Заполняете у ваших СЗИ поле "Номер сертификата СЗИ"

Все, далее SECURITM:
🌎 Выводит подробную информацию о сертификате СЗИ в карточке актива
📊 Считает просроченные СЗИ и те, что скоро закончат срок действия

Хочется больше автоматизации? Тогда с помощью модуля RPA можно создать различные события в привязке к полям актива "Срок действия сертификата СЗИ" и "Срок поддержки сертификата СЗИ", например - создание задач, отправка уведомлений, вывод из строя защитных мер.

#ФичиSECURITM

💙VK 😀Сервис 📝Дзен 📺Рутуб

Система SECURITM состоит из модулей, которые переплетаются и обогащают друг друга.

За работу на операционном уровне отвечают:
🌎 Модуль активов;
✔️ Модуль задач;
🤖 Модуль автоматизации;
🗣 Модуль опросов и заявок;
🪲 Модуль уязвимостей.

Сегодня расскажем про модуль активов:
Модуль закрывает потребность в системах класса ITAM, AM, CMDB.
Модуль содержит более 200 готовых типов активов с различными полями и связями. Они выстроены в единую иерархическую структуру по классификации вендора. Так же встроены два дополнительных компонента ― «Аудит программ» и «Критическая информационная инфраструктура» (КИИ).

Наполнение реестра активов может осуществляться:
🟢вручную пользователем системы;
🟢вручную работниками (не являющимися пользователями SECURITM) через модуль опросов;
🟢автоматически через прямое взаимодействие с корпоративными системами и средствами защиты;
🟢через API: через файлы XLS / CSV, загруженные вручную или автоматически через общий доступ.

Модуль активов может использоваться как основа для большого количества процессов службы ИБ, данные из него используются во всех остальных модулях системы и влияют на соответствие требованиям, риски, метрики, управление техническими уязвимостями.

#SECURITM_AM

💙VK 😀Сервис 📝Дзен 📺Рутуб

В предыдущем посте разбирали практическое применение модуля активов, Андрей Нуйкин, начальник отдела обеспечения безопасности информационных систем компании ЕВРАЗ поделился как они используют модуль активов в SECURITM.

Избавьте будни от рутины, начните работу в SECURITM или оставьте запрос на демонстрацию возможностей😀

#SECURITM_AM #КейсыSECURITM

💙VK 😀Сервис 📝Дзен 📺Рутуб

⁉️ За что могут и будут штрафовать, согласно изменениям регуляторики по ПДн, которые принесли компаниям увеличение штрафов за утечки персональных данных

РКН выделяет типовые нарушения в сфере защиты персональных данных в 2024 году:

1️⃣ Обработка персональных данных в случаях непредусмотренных законодательством.
2️⃣ Несоблюдение требований по обеспечению возможности выражения волеизъявления субъектом ПДн при осуществлении Оператором сбора ПДн в сети «Интернет».
3️⃣ Несоответствие документа, определяющего политику в отношении обработки ПДн требованиям ФЗ-152. Несоблюдение требований по опубликованию или обеспечению неограниченного доступа к политике, в том числе на страницах сайта.
4️⃣ Обработка персональных данных в отсутствие указания сроков обработки ПДн.

Размер штрафа варьируется в зависимости от количества пострадавших субъектов и может достигать 15 миллионов рублей.

⁉️Что сделать чтобы избежать штрафов

💡 Правовые основания обработки должны однозначно соответствовать целям обработки. Объем данных не должен превышать определенный в законодательстве, а цели обработки, заявленные в согласиях, должны однозначно соответствовать объему обрабатываемых ПДн.
Пример, обработка в рамках ТК РФ не предусматривает обработку данных соискателей вакантных должностей, этот процесс требует отдельного согласия.

💡 Для каждой цели должен быть определен свой состав ПДн. Рекомендуется формировать согласие под каждую отдельную цель обработки, либо использовать модульную структуру согласий.
Пример: рамках ТР РФ нельзя обрабатывать полную дату рождения близких родственников. Форма Т-2 предполагает сбор только ФИО, степени родства и года рождения, для иных данных требуется отдельное согласие. Сбор полной даты рождения является частой ошибкой.

💡 При осуществлении сбора ПДн через информационные ресурсы в сети «Интернет» - веб-сайты, оператор обязан получить однозначное и сознательное согласие. Бездействие субъекта не может являться согласием.
Пример, является недопустимым заполнять чек-бокс согласия за субъекта ПДн. Также чек-бокс должен содержать ссылку на согласие субъекта ПДн. Не допускается объединение чек-бокса согласия на обработку ПДн с иными согласиями, либо подтверждениями ознакомления.

💡 Политика, размещённая на сайте оператора ПДн, должна быть доступна на всех страницах, на которых осуществляется сбор ПДн. При формировании политики следует использовать типовые формы, разработанные Роскомнадзором. Требования к формированию политики – тема для отдельного поста, так что к этому вопросу мы еще вернемся.

💡 В теле согласий на обработку ПДн рекомендуется фиксировать сроки обработки ПДн и условия, при которых оператор может продолжать обрабатывать ПДн без согласия. Соответствующие сведения должны быть закреплены в ОРД оператора.
Бессрочная обработка ПДн недопустима. Оператор должен прекратить обработку, а ПДн уничтожить, по достижению целей обработки, либо при отзыве согласия субъекта, если иное не предусмотрено законодательством. Это же касается и автоматизированной обработки ПДн и удалению данных из систем.

💙VK 😀Сервис 📝Дзен 📺Рутуб

😀SECURITM на Инфофоруме 2025!

Уже идет полным ходом Инфофорум 2025 — это один из ключевых форумов в сфере информационной безопасности начиная с 2001 года, где собираются ведущие эксперты, чтобы обсудить актуальные и новые темы этого года:

🗣Киберинциденты-2024/25 и Защита критической информационной инфраструктуры: новые решения
🗣Перспективные технологии обеспечения информационной безопасности
🗣Российские системы управления информацией о безопасности и управления событиями безопасности

Завтра 06.02 в 10:00 Николай Казанцев будет выступать с докладом «Управление рисками и соответствием как основа обеспечения ИБ в промышленности» - Малый зал здания Цифрового Делового Пространства

Приходите на форум или присоединяйтесь к трансляции.

#КонференцииSECURITM

▫️🆕🆕 Новый калькулятор цен: прозрачность и гибкость для вашего бюджета!

Мы всегда стремимся к открытости и удобству для наших клиентов, поэтому представляем вам новый калькулятор цены SECURITM. Лицензионная политика и ценообразование изменены - теперь вы можете самостоятельно выбирать из чего будет состоять ваша система, внедрять только те модули, которые нужны вашей компании сегодня.

Базовая версия включает 🛡 Модуль защитных мер и ✔️ Модуль задач. Остальные модули, а также дополнительные опции, вы добавляете по своему усмотрению.

SECURITM — это современный подход к управлению информационной безопасностью. Мы постоянно развиваемся, улучшаем наш продукт, чтобы сделать безопасность доступной для всех — независимо от бюджета, размера компании или уровня зрелости службы безопасности.

Попробуйте новый калькулятор цен и подберите идеальную конфигурацию SGRC именно для ваших задач, вашей инфраструктуры.

💙VK 😀Сервис 📝Дзен 📺Рутуб

🔥🆕🆕🆕
Сегодня день новостей от SECURITM.
Делимся с вами новыми фичами в Модуле требований ✔️

1️⃣ Появился новый способ автоматической оценки соответствия - через Модуль VM. Теперь, появление в инфраструктуре технических уязвимостей или мисконфигураций может влиять на соответствие требованиям стандартов.

2️⃣ В карточки активов добавили блок Связанные требования. Теперь если актив (например, СЗИ) является инструментом для защитных мер, которые в свою очередь помогают исполнить требования регуляторики - мы увидим эти требования в карточке актива.

3️⃣ При создании собственных стандартов (наборов) требований теперь можно добавлять файлы к требованиям.

4️⃣ При ручной оценке соответствия теперь сохраняется автор и дата последнего изменения оценки.

5️⃣ Добавлена специализированная оценка 12-МР для 821-П.

6️⃣ Добавлен экспорт отчета по оценке соответствия из карточек активов.

7️⃣ Добавлена группа документов Безопасная разработка.

#ФичиSECURITM #SECURITM_CM

💙VK 😀Сервис 📝Дзен 📺Рутуб

😀Команда SECURITM уже на ТБ Форуме!

Миссия ТБ Форума заключается в разработке подходов и мер, направленных на опережающее развитие в сфере безопасности и цифровой трансформации.

На 30-м юбилейном форуме будут обсуждаться актуальные темы, например, такие как:
🟢Подходы и инструменты для управления процессом РБПО;
🟢Доверенные цифровые решения и платформы для госсектора и ключевых отраслей;

13 февраля в 13:30 мы выступим с докладом на тему «Интеграция РБПО в управление информационной безопасностью компании».

Мы расскажем, почему важно объединять корпоративную информационную безопасность и РБПО в единую систему управления, а также покажем, как это можно реализовать с помощью современных систем управления процессами. Ждем вас в зале 3 на площадке Крокус Экспо.

Обязательно подходите к нашему стенду — будем рады пообщаться и ответить на ваши вопросы! 👥

И не забудьте следить за обновлениями в нашем канале: мы готовим для вас кое-что интересное!

#КонференцииSECURITM

💙VK 😀Сервис 📝Дзен 📺Рутуб

🎁 Объявляем розыгрыш!

Дарим худи и настольную игру «Туми Иши»

Чтобы принять участие, нужно:

🟢Подписаться на нашу группу ВК.
🟢Написать комментарий с символом «+» под постом с розыгрышем в ВК, чтобы мы могли вас найти.

Уже сегодня в 17:00 в прямом эфире выберем победителя.

Подписывайтесь и участвуйте — удача может улыбнуться именно вам! 😀

💙VK 😀Сервис 📝Дзен 📺Рутуб

💬 Продолжаем говорить про обновления в модуле требований, мы добавили новые стандарты для оценки соответствия:

🟢OWASP DSOMM
🟢PCI Secure Software Lifecycle v1.1
🟢ГОСТ Р 56939-2024 "Защита информации. Разработка безопасного программного обеспечения. Общие требования"
🟢OWASP Top Ten
🟢CIS Kubernetes Benchmark v1.9.0
🟢CIS Docker Benchmark v1.7.0
🟢OWASP BSIMM 15
🟢OWASP SAMM 2.0

#ФичиSECURITM #SECURITM_CM

💙VK 😀Сервис 📝Дзен 📺Рутуб

😀 SECURITM получил награду от ТБ Форума!

Мы удостоены награды за вклад в развитие технологий безопасности и инновационные решения в области защиты данных!

Это признание наших усилий и стремления к созданию безопасного цифрового будущего. 👥 Спасибо нашим клиентам и команде за доверие и поддержку!

Вместе мы делаем мир безопаснее! 👍

#ТБФорум #НаградыSECURITM

💙VK 😀Сервис 📝Дзен 📺Рутуб