Критерий

SECURITM Assets

Типы активов

Заявлено большое количество типов активов, но все они представляют собой одинаковые объекты с базовыми свойствами. По факту один тип активов.

Настройки карточек

Настроек карточек не предусмотрено.

Нет возможности добавить новые свойства и изменить их расположение на карточке. Нет возможности вносить стилевые изменения (шрифт, размеры, цвета).

Граф связей

Есть базовый граф связей с возможностью переходить в карточку объектов напрямую с графа. Доступен только в отдельном окне. Отсутствует возможность добавлять на него действия, нельзя добавлять направление связей и других визуальных эффектов.

Ролевая модель

Отсутствует.

Интеграция

Ограниченная интеграция без возможности создавать новую, в «коробке» есть интеграция с Active Directory и возможность импорта из MS Excel. Процесс инвентаризации отсутствует.

Автоматизация процессов

Отсутствует автоматизация. Ручное заполнение и выполнение других действий.

Жизненный цикл активов

Отсутствие жизненного цикла активов, нет возможности управлять состоянием оборудования (поломка, ремонт, вывод из эксплуатации) или ПО (установка, обновление, удаление).

Критерий

SECURITM Risks

Модель угроз

Отсутствует.

Опросные листы

Отсутствует полноценный механизм рассылки опросных листов экспертам для оценки.

Нет возможности отправить опросный лист на заполнение информации определенному сотруднику.

Функционал Опросы не работает.

Методика расчета оценка рисков

Встроено несколько упрощенных формул расчета оценки риска. Нет возможности использования своей методики.

Автоматический запуск оценки

Отсутствует возможность регулярной оценки.

Ключевые индикаторы риска

Отсутствуют.

Меры защиты

Отсутствует моделирование, позволяющее оценить изменение оценки рисков при реализации защитных мер.

Задачи на реализацию мер защиты

Только общий функционал задач c с фиксированным набором статусов.

Нет возможности устанавливать SLA, принимать/отправлять на доработку задачу, отправлять уведомление при нарушении сроков итд. Отсутствует возможность просмотра «таймлайна».

Критерий

SECURITM Compliance

Наличие коробочных стандартов

В продукт входит набор стандартов. Добавление новых внешних стандартов производится через запрос в техническую поддержку.

В КП помимо лицензии входят часы разработки, поэтому понимаем, что это доработка и разработка, а не настройка через интерфейс уже установленного решения. Подход понятен, вопрос скорости и будут ли нужные мне стандарты и требования в роадмапе компании.

Создание внутренних стандартов

Имеется возможность создавать внутренние стандарты, но нельзя это сделать на основе существующих требований, необходимо их перенабивать вручную еще раз.

Процесс оценки

Оценка производится по выбранным стандартам без привязки к конкретным объектам. Работает как ручной опросный лист.

Ролевая модель

Отсутствует.

Опросные листы

Опросные листы есть. Пользоваться сложно:

нет возможности отправить опросный лист на заполнение информации определенному сотруднику или кастомизировать форму и жизненный цикл опросника.

Функционал Опросы не работает.

Общий вид рабочего документа

Требования выводятся единым списком, нет возможности сгруппировать стандарт на уровне домена или по другому каталогу. Для обработки каждого требования необходимо раскрывать его либо «проваливаться» в карточку требования, что кратно увеличивает количество кликов. «Скученный» UX-дизайн затрудняет визуальное восприятие информации и вызывает необходимость постоянно скроллить. Отсутствует возможность корректировки визуального вида документа, добавления новых атрибутов и дополнительной информации по объекту оценки, форма жестко задана.

Ручное закрытие требований

Доступно закрытие требований вручную, через фиксированный набор вариантов ответов, без возможности добавления/удаления ответов.

Веса ответов

Отсутствует. Весовая ценность к ответам неприменима.

Закрытие требований через меры

Доступно закрытие требований через меры.

Одна мера может закрывать несколько требований, и при заполнении соответствующего документа все такие требования будут автоматически заполнены. Меры доступны из поставляемой базы мер, есть возможность создавать пользовательские меры.

Жизненный цикл мер

Доступен жизненный цикл мер, все переходы по статусам осуществляются вручную.

Статусы мер жестко заданы и не могут быть кастомизированы.

Валидация ответов

Отсутствует валидация ответов.

Задачи на корректировку

Есть функционал задач на корректировку с фиксированным жизненным циклом. Отсутствует возможность выставления SLA, эскалации, контроля выполнения и т. д. Система на одного сотрудника, сам поставил задачу и сам выполнил.

Интеграция с SD

Односторонняя интеграция с JIRA, отправка заявок без «обратной связи» по статусам.

Система уведомлений

Нет системы нотификаций. Что в текущих реалиях удаленки и невозможности постоянного нахождения перед монитором невозможно к использованию.

Автоматический аудит

Отсутствует возможность автоматизации процесса в разрезе автоматического запуска регулярного аудита по расписанию.

Auto-compliance

Нет. Что заполнили, то и будет в системе.

Визуализация

Включено несколько преднастроенных виджетов. Кастомизировать или создавать виджеты нельзя. Полноценные кликабельные дашборды отсутствуют и нет возможности создания своих.

Отчеты

Доступно два отчета для выгрузки.

Нет регуляторных отчетов, отчетов по требуемым формам. Создание пользовательских отчетов не предусмотрено.

Критерий

SECURITM VM

Управление уязвимостями

Основная задача модуля Управление техническими уязвимостями - обработка отчетов от сканеров уязвимостей для последующего:

·       связывания активов и выявленных уязвимостей;

·       создания задач на их устранение;

Дополнительно есть возможность расчета интегральной оценки уязвимости на основании информации об уязвимости и сведений о хосте (таких как наличие доступа из интернет, количества уязвимых хостов, информация о группе хоста).

Карточка уязвимости

Ограниченный набор полей без возможности кастомизации.

Обогащение уязвимостей

Не предусмотрен механизм автоматического обогащения как уязвимости, так и хоста. Нет интеграции с внешними базами уязвимостей. Таким образом, уязвимость в системе будет точно такой же, как в отчете сканера уязвимостей, и, если аналитику нужно дополнительная информация, ему придется все искать самому в сторонних системах.

Проверка уязвимости

Нет механизмов верификации наличия уязвимости.

Нет инструментария, который мог бы обратиться к уязвимому хосту и подтвердить факт наличия уязвимого ПО конкретной версии.

Автоматический запуск регулярного сканирования

Нет возможности.

Обновление ПО

Нет способов запуска обновления программного обеспечения из самой системы.

Интеграция с бюллетенями

Отсутствует.

Политика управления уязвимостями

Отсутствует.

Сканер уязвимостей (свой)

Отсутствует.

Задачи на устранения уязвимостей

Только общий функционал задач c фиксированным набором статусов. Нет возможности устанавливать SLA, возможности делегировать группе ответственных и т.д.

Критерий

SECURITM

Настройка разделов меню

Нельзя настроить меню решения «под себя», изменить вложенность вкладок или переименовать отдельные разделы.

Ролевая модель

Ролевая модель представляет собой 4 фиксированные роли без возможности настраивать их «под себя». Нельзя добавлять новые роли.

Отображение объектов

Объекты отображаются в представлениях без возможности их кастомизации. Нельзя сохранять фильтры, отсутствует иерархичное отображение, нет быстрых переходов между связанными наборами объектов.

Изменения в объектах

Изменения вносятся вручную, отсутствуют массовые действия.

Работа с данными

Отсутствуют валидация значений, автозаполнение полей и удаление дубликатов карточек.

Общий вид объектов

Карточки объектов представляют собой ограниченный набор базовых свойств. Настроек карточек не предусмотрено. Нет возможности добавить новые свойства и изменить их расположение на карточке. Нет возможности вносить стилевые изменения.

Граф связей

Есть базовый граф связей (в модуле активов), но без возможности добавлять на него действия, нельзя добавлять направление связей и других визуальных эффектов. Можно переходить в карточку объектов напрямую с графа. Доступен только в отдельном окне. Ручной граф, что делает его бесполезным.

Рабочие процессы

Нет функционала рабочих процессов.

Преднастроенные переходы между встроенными состояниями без возможности внесения изменений.

Опросные листы

Опросные листы есть. Пользоваться сложно.

Нет возможность отправить опросный лист на заполнение информации определенному сотруднику.

Функционал Опросы не работает.

Интеграции

Несколько интеграций «из коробки» (Active Directory, Kaspersky, Excel, сканеры уязвимостей, JIRA).

Нет возможности самостоятельно кастомизировать существующие интеграции или добавить новые.

Уведомления и напоминания

Нет встроенных уведомлений или интеграций с почтовым сервером.

Виджеты и дашборды

Встроено некоторое количество виджетов (в каждом модуле), но библиотеки виджетов для формирования пользовательских дашбордов нет.

Отсутствуют возможности создавать собственные виджеты и группировать их в дашборды (для общей фильтрации и анализа).

Отчеты

Есть небольшое количество встроенных отчетов.

Нет библиотеки отчетов, также нет возможности создавать свои отчеты. Нет автоматической генерации отчетов. Нет регуляторных отчетов, отсутствуют отчеты по требуемым формам.

Внешний вид

Нет «темной» или другой темы.

Мультиязычность

Не поддерживается английский интерфейс, или другие языки.