На платформе Security Vision 5 вышел сервис Комплаенс

На платформе Security Vision 5 вышел сервис Комплаенс

На платформе Security Vision 5 вышел сервис Комплаенс

Security Vision сообщает о выпуске сервиса «Комплаенс» на платформе Security Vision 5, предоставляемого по подписке из облака.

Сервис предоставляет возможность автоматизации процессов оценки на соответствие требованиям либо проведения самооценки по любым направлениям деятельности компании без установки решения в инфраструктуру. Он подходит для проведения проверок в рамках проектов, требующих повышенной скорости реализации и с меньшими инфраструктурными и трудозатратами за счет отсутствия необходимости развертывания и настройки платформы.

В сервисе реализованы инструменты проверки на соответствие требованиям стандартов как организации в целом, так и отдельных ее элементов, таких как информационная система, бизнес-процесс, помещение и другие бизнес-активы предприятия. Система предоставляет гибкие возможности в выборе методики оценки на основе либо стандарта из пакета экспертиз, либо собственной методики оценки.

Пакет экспертиз обновляется методологами компании Security Vision на регулярной основе, снимая с Заказчика обременение по контролю изменений и в стандартах и руководящих документах.

Наиболее значимые возможности

Ведение реестра стандартов требований

В продукте заложены наиболее используемые стандарты, фреймворки и лучшие практики, такие как Приказы ФСТЭК № 17, 21, 31, ГОСТ 57580, ISO27001, NIST и другие. В дополнение к этому пользователь может сформировать собственные стандарты, скомпоновав их из существующих требований (других стандартов) или создав собственные. Можно формировать стандарты из интерфейса системы или импортировать их из файла. Для каждого требования можно указать собственную шкалу оценки и любое количество вариантов ответов.

Активы и меры защиты

Система позволяет загрузить ресурсно-сервисную модель предприятия, включая продукты, бизнес-процессы, информационные системы и т.д., детализируя до технических элементов, таких как сервера, помещения и оборудование. Загружаемые активы можно связать с мерами защиты, что позволит автоматически получить верхнеуровневую оценку соответствия по всей компании.

Оценка соответствия

Процесс оценки можно проводить как в ручном режиме (заполнение опросных листов), так и в автоматизированном формате: учитываются меры защиты конкретных информационных систем, а также результаты предыдущих оценок.

Процесс оценки можно проводить как по предприятию в целом, так и по конкретным системам в частности, с визуальным отображением прогресса работ.

Гибкая модель опросных листов

Один из основных механизмов уточнения и сбора информации в процессе оценки – автоматизированная генерация опросных листов. Опросные листы могут быть делегированы на разные подразделения и разных исполнителей (в зависимости от объекта оценки), контролируется их статус и прогресс заполнения. При этом аудитор будет видеть степень соответствия объекта оценки требованиям стандарта в режиме реального времени.

В результате сервис сам сведет все полученные данные в единой карточке процесса оценки и подготовит шаблон плана мероприятий по приведению объекта оценки в соответствие требованиям стандарта.

Планы мероприятий по достижению целевого уровня

Процесс оценки позволяет определить невыполненные требования (которые применимы к анализируемой информационной системе), выделить их в отдельный документ и сформировать план мероприятий по их реализации. Система позволяет автоматически сформировать задачи на реализацию соответствия нужным требованиям и мониторить их исполнение во внешних системах.

Аналитический движок визуализации степени соответствия

Одной из важных частей продукта является модуль визуализации, позволяющий «на лету» проанализировать все составляющие процесса оценки на разных этапах и в нескольких представлениях. Таким образом, контроль за проведением аудита становится прозрачным и удобным.

Весь функционал поддерживает разграничение прав доступа как по ролевой модели, так и по организационной схеме дочерних и родительских филиалов Заказчика. Облачный сервис позволяет распределить нагрузку (в том числе на эксплуатацию продукта), позволяя с меньшими затратами и большей скоростью запустить процедуры оценки соответствия.

«Кибербезопасность — обязательный фактор работы компании любого масштаба. Качественный продукт на платформе SecurityVision, закрывающий потребности направления SGRC/GRC из облака, теперь доступен всем и по доступным ценам. Считаю это действительно важным, поскольку сегмент SMB испытывает одновременно потребность в обеспечении безопасности и финансовые ограничения. Уверен, что с сервисом «Комплаенс», закрывающим полный цикл автоматизации процессов информационной безопасности на базе риск-ориентированного подхода, эта непростая задача будет решаться эффективно и доступно», — прокомментировал Руслан Рахметов, генеральный директор Security Vision.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Статический анализатор кода SASTAV включен в реестр российского ПО

Программное обеспечение «Система анализа исходного кода на уязвимости SASTAV» включено в Единый реестр российского ПО. Статический анализатор используется на ранних этапах процесса разработки и помогает обнаружить уязвимости в коде с минимальным количеством ложноположительных и ложноотрицательных срабатываний.

Решение одобрено Минцифры и может использоваться в госкорпорациях и структурах. SASTAV выполняет автоматизированный поиск уязвимостей, строит визуализацию векторов атак, определяет наиболее эффективное место для внесения исправлений и дает рекомендации по устранению ошибок в коде.

Использование AI-ассистента в работе анализатора обеспечивает минимизацию трудозатрат на триаж результатов сканирования и сокращает время, необходимое на исправление кода.

Ключевыми особенностями SASTAV являются: построение графов, указание оптимальной точки исправления, высокая скорость работы, бесшовное встраивание в цикл разработки, точные результаты сканирования, интуитивно понятный интерфейс, поддержка наиболее популярных языков.

Как отмечает совладелец группы компаний ITD Group Ксения Калемберг:

«Важным компонентом, повышающим эффективность работы статического анализатора SASTAV и снижающим трудоемкость работ по исправлению кода, является использование разработанной нашими специалистами методологии каскадной AI-валидации дефектов кода. На данный момент это единственный SAST с подобным функционалом, доступный неограниченному кругу заказчиков в России. Включение решения в «Единый реестр российских программ для электронных вычислительных машин и баз данных» позволит нам расширить круг потенциальных пользователей и получить преимущество при участии в госзакупках».

Запись о включении «Системы анализа исходного кода на уязвимости SASTAV» в реестр российского ПО внесена на основании решения экспертного совета Минцифры России от 12 августа 2024 года (№538пр). Продукт зарегистрирован в реестре 29 августа 2024 года под номером 23718.

Разработчик ПО «Система анализа исходного кода на уязвимости SASTAV» — ООО «ПАЙНАП» (бренд ShiftLeft Security). Образована в 2015 г. Входит в российскую группу компаний ITD Group.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru