Security Vision
Конструкторы, low code/no code, автоматизация любых процессов и построение ресурсно-сервисной модели с количественной моделью оценки рисков и комплаенса. Теперь это и многое другое достижимо с продуктом Security Vision SGRC.
Компания Security Vision развивает направление SGRC для автоматизации и обеспечения комплаенса и управления соответствием различным НМД, управления рисками и моделирования угроз, управления непрерывностью бизнеса и других процессов стратегической безопасности. Все решения, описанные в текущем обзоре, основаны и построены на единой платформе автоматизации при помощи no-code конструкторов, что позволяет представить вам не только разработки Security Vision, но и решения, созданные нашими технологическими партнёрами, например, модули управления операционными рисками или автоматизированной проверки контрагентов.
GRC направление при развитии продуктов опирается на современные требования отечественных и международных стандартов в области обеспечения информационной безопасности, например:
- ISO 27005:2022 Information security, cybersecurity and privacy protection — Guidance on managing information security risks;
- ISO 22301, ГОСТ Р ИСО 22301 – Системы менеджмента непрерывности бизнеса. Общие требования;
- ГОСТ Р ИСО/МЭК 27005 Информационная безопасность, кибербезопасность и защита частной жизни. Руководство по управлению рисками информационной безопасности. Требования и руководства;
SGRC предлагает аналитику универсальную платформу для проведения оценок и позволяет анализировать информацию как самостоятельно, так и с привлечением экспертов с помощью персонализированных опросов. Например, можно собрать данные о потенциальном ущербе от бизнес-подразделений и о вероятности угроз от технических специалистов. Оценка может выполняться как вручную (через заполнение форм), так и автоматически, с учётом существующих мер защиты и данных прошлых оценок.
УПРАВЛЕНИЕ СООТВЕТСТВИЕМ НМД
Security Vision Compliance Management предлагает инструменты для проверки соответствия стандартам и лучшим практикам, охватывающие как организацию в целом, так и отдельные бизнес-активы, подразделения, бизнес-процессы или другие элементы инфраструктуры. Система обеспечивает гибкость в выборе методики оценки, предоставляя возможность использовать стандарты из пакета экспертиз или применять собственные методики.
Благодаря платформе процесс оценки становится автоматизированным, что значительно сокращает количество рутинных операций и позволяет более эффективно собирать и обрабатывать информацию, объединяя все необходимые данные в одном окне для удобного доступа и анализа.
Аудит может включать проведение аудитов информационной безопасности, тестирование на проникновение, анализ политик безопасности и процедур управления доступом и предлагает пользователю наиболее используемые стандарты, фреймворки и лучшие практики, например:
- Приказы ФСТЭК 17, 21, 31, 239;
- ГОСТ 57580;
- Положение Банка России № 716-П;
- Федеральный закон №152;
- Федеральный закон № 63-ФЗ;
- PCI DSS 4.0;
- NIST Cybersecurity Framework 2.0;
- CIS (Critical Security Controls).
Пользователям предоставляется возможность создавать собственные стандарты или проводить процедуру самооценки, комбинируя требования из существующих или разрабатывая собственные, что обеспечивает гибкость и адаптацию к специфическим потребностям организации.
Процесс оценки соответствия информационных систем и организаций включает анализ текущего состояния и проверку на соответствие установленным стандартам безопасности данных с полным циклом управления задачами.
Ключевым элементом процесса оценки является автоматическая генерация опросных листов, которые распределяются между различными подразделениями для заполнения. Статус отслеживается автоматически в режиме реального времени, а система собирает и анализирует полученные данные, формируя единую картину состояния объекта оценки и автоматически генерируя план мероприятий по устранению выявленных несоответствий.
Система отправляет уведомления по всем переходам по статусам жизненного цикла как процессов оценки, так и опросных листов на привычные для организации каналы коммуникации: почта, Telegram и др.
По результатам опросов формируется план мероприятий, по которому система автоматически выявляет несоответствия требованиям и генерирует задачи на их устранение. Вкладка «План мероприятий» позволяет отслеживать прогресс выполнения задач и моделировать влияние внедрённых мер на общий уровень безопасности.
После создания процедуры оценки формируются опросы и назначаются ответственные лица. Для удобства управления на карточке процесса отображается список отправленных опросов. Каждый заполненный опрос проходит проверку и согласование, а при необходимости опрос возвращается на доработку.
Этот интегрированный подход не только повышает уровень защиты информационных систем, но и улучшает управляемость процесса их приведения в соответствие лучшим практикам и требованиям регуляторов, что при отсутствии систем класса SGRC довольно трудозатратно и сложно управляемо.
УПРАВЛЕНИЕ СООТВЕТСВИЕМ 187 ФЗ
Security Vision КИИ – это отдельное решение для управления соответствием, предназначенное для исполнения требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других связанных с ним нормативных документов. Весь процесс можно описать четырьмя этапами:
1) В модуль включаются новые активы, такие как информационные системы и критические бизнес-процессы, для последующей классификации как объектов критической информационной инфраструктуры (ОКИИ) и оценки рисков.
2) Далее проводится процедура классификации информационных систем как объектов критической информационной инфраструктуры. Для этого создаются специальные формы и задания, направленные на устранение несоответствий и уточнение данных.
3) Для информационных систем, классифицированных как ОКИИ, проводится моделирование потенциальных угроз с целью оценки их уязвимости и разработки мер защиты.
4) В финале создаётся визуальное представление потенциальных угроз, позволяющее оценить степень риска и разработать эффективные меры защиты. Этот отчёт может быть сохранен для последующего использования.
Процесс категорирования объектов КИИ, инициируемый специалистом, ставит целью процесса определение соответствия объектов критериям значимости, установленным законодательством РФ, таким как социальная, политическая и экономическая значимость. В ходе категорирования проверяется соответствие объектов требованиям безопасности КИИ, установленным нормативными документами. Процесс состоит из:
- управления различными справочниками и редактирования «коробочных» при необходимости;
- добавления активов, которое проводится вручную или автоматически путём интеграции с модулем управления активами и инвентаризацией Security Vision или любым другим сторонним источником (не только посредством встроенных коннекторов, но и загрузкой из файла);
- процесса категорирования и заполнения критериев значимости
- моделирования угроз с определением нарушителей и последствий;
- определения мер защиты и уточнения их наборов;
- внедрения мер защиты, включающих работу с опросными листами.
После завершения первичного процесса запускаются процедура формирования плана контрольных мероприятий и работа с задачами по устранению замечаний. Для подтверждения выполнения задачи по устранению замечаний по мерам защиты ответственный сотрудник нажимает специальную кнопку в системе. Если после проверки выполненных работ выявляются дополнительные замечания, ответственный может вернуть задачу на доработку, также нажав соответствующую кнопку в карточке задачи.
Включённый в модуль функционал моделирования угроз позволяет создавать сценарии их реализации в автоматическом и ручном режимах:
- В автоматическом режиме по объектам воздействия и угрозам по нажатию на кнопку будут созданы соответствующие сценарии. Данный режим является максимальным по своему покрытию. На базе информации о рассматриваемых угрозах и связанных активах формируется перечень сценариев. Далее выполняется соотнесение объекта воздействия и категории нарушителя. Схемы, по которым были автоматически созданы сценарии, приводятся на вкладке;
- В ручном режиме по нажатию на кнопку «Создать сценарии по схемам» откроется модальное окно, в котором следует указать схему и исполнителя. Схема выбирается из преднастроенных, а исполнитель автоматически предзаполняется текущим пользователем – поэтому и в данном случае предустановлены базовые автоматические действия.
В Модуле предусмотрена возможность ведения запросов регулятора и связанных с ними задач. При получении запроса регулятора на выполнение каких-либо задач (например, предоставить какие-либо данные об эксплуатируемой автоматизированной системе) формируются задачи, которые прикрепляются к соответствующему запросу.
При необходимости можно удалить или отредактировать карточку существующего запроса регулятора или задачи при условии, что она не находится в терминальном статусе. Каждые созданные запрос регулятора и задача проходят по определённым рабочим процессам, преднастроенным в Модуле. Таким образом осуществляется управление запросами регулятора и связанными с ними задачами.
УПРАВЛЕНИЕ РИСКАМИ КИБЕРБЕЗОПАСНОСТИ
Security Vision Risk Management охватывает весь жизненный цикл процесса управления рисками, начиная с этапа определения среды и описания бизнес и ИТ-компонентов инфраструктуры.
Последующие этапы анализа и оценки рисков поддерживают качественный и количественный методы оценки. Сервис позволяет аналитику провести оценку полностью самостоятельно либо собрать данные от экспертов с помощью опросных листов, используя подход модуля управления соответствием. На этапе обработки рисков пользователи могут моделировать различные конфигурации внедрения мер защиты с целью выбора оптимального набора по соотношению затрат и эффективности, оценка угроз безопасности информации основана на:
- методике ФСТЭК от 5 февраля 2021 года;
- качественной оценке рисков кибербезопасности;
- количественной оценке по методике FAIR (Factor Analysis of Information Risk);
- моделировании рисков методом Монте-Карло.
Функционал моделирования рисков методом Монте-Карло позволяет пользователям проводить множество итераций сценариев, используя случайные величины для учёта возможных изменений и вариаций в данных. В результате пользователь сможет оценить потенциальную величину потерь и подверженность риску, а с помощью параметров распределения частоты и ущерба отследить минимум/среднее/максимум значений для дальнейшего.
Проведение оценки может как полностью проходить в онлайн формате, так и быть частично вынесено в офлайн за счёт функционала импорта и экспорта данных в файл (составление опросных листов, методик оценки, формирование стандартов, этап сбора информации), что полезно для работы с удалёнными локациями. Все качественные оценки переводятся в балльную систему, в рамках которой результаты оценки могут быть рассчитаны с учётом принятых в конкретной организации практик (среднее, медиана, максимум и др.). За счёт этого качественная и количественная оценка рассчитываются по единым формулам.
После того как все данные собраны и показатели риска рассчитаны, в системе применяется функционал обработки рисков, в рамках которого пользователь может смоделировать эффект от внедрения тех или иных мер защиты и сопоставить их стоимость со степенью снижения риска при их внедрении. Таким образом, в интерфейсе системы можно подобрать наиболее адекватный набор мер по соотношению «Цена и эффективность».
Из этого же окна пользователю доступно создание задач на обработку риска. Механизм задач на внедрение мер защиты предоставляет возможность отслеживать выполнения сроков взятия в работу и исполнения, переназначать ответственных, принимать/отправлять задачи на доработку. Жизненный цикл задач можно кастомизировать.
Сервис включает в себя справочники из Банка данных угроз безопасности информации ФСТЭК и позволяет реализовывать моделирование угроз и сценарии реализации рисков на основе уже готового и взаимосвязанного набора данных. Эти справочники состоят из следующих элементов:
- негативные последствия;
- типы нарушителей;
- угрозы;
- компоненты воздействия;
- способы реализации угроз;
- меры защиты.
УПРАВЛЕНИЕ НЕПРЕРЫВНОСТЬЮ БИЗНЕСА
Security Vision Business Continuity Management – это решение автоматизации процесса обеспечения непрерывности и восстановление деятельности (ОНиВД) после наступления чрезвычайных ситуаций. Продукт находится на стыке технологий: затрагивает как процессы ИБ, оперируя последствиями реализации угроз, связанных с отказом работоспособности информационных систем, оборудования, утраты ключевых поставщиков, персонала или помещений, так и процессы ИТ, анализируя информационную модель предприятия, обслуживающие ресурсы, метрики работоспособности активов и процедуры восстановления.
Решение обеспечивает реализацию процесса на всех стадиях его жизненного цикла:
1) На этапе «Анализ воздействия на бизнес и оценка риска» посредством опроса владельцев ресурсов собирается информация о бизнес-процессах и их зависимости от различных ресурсов компании. Целью этого процесса было определение операционных, юридических и финансовых последствий сбоев и выявление ключевых метрик.
2) На этапе «План обеспечения непрерывности бизнеса» продукт позволяет систематизировать планы обеспечения непрерывности конкретных бизнес-процессов по конкретным типам чрезвычайных ситуаций.
3) На этапе «Определение и внедрение процедур непрерывности бизнеса» используется встроенная система заявок, в которой можно поставить и проконтролировать выполнение задач на приведение инфраструктуры в соответствии утверждённым планам обеспечения непрерывности.
4) Также реализована возможность проводить регулярные тестирования планов непрерывности с оценкой достижения ключевых показателей эффективности.
Анализ воздействия на бизнес и оценка риска (BIA, Business Impact Analysis) даёт возможность сформировать область оценки процесса. При этом на графе связей отразятся объекты, по которым будут созданы опросные листы. Граф связей, в свою очередь, является интерактивным и позволяет раскрывать связи объектов для отображения их зависимостей, а также добавлять объекты к области оценки.
В ходе оценки аналитик обладает широкими возможностями для управления опросами: корректировать сроки заполнения, назначать новых ответственных, отзывать устаревшие опросные листы и создавать новые. Это особенно полезно при обнаружении новых объектов оценки, не учтённых на начальном этапе. В системе справочников можно создать любое количество дополнительных вопросов с любым количеством ответов, а предустановленные вопросы настроены в зависимости от релевантных для конкретной организации значений параметров, например:
- периоды прерывания деятельности;
- типы последствий;
- категории последствий;
- стратегии действий в случае недоступности ресурса.
Промежуточные итоги заполнения опросных листов всегда доступны аналитику BCM на краткой и полной карточке процесса оценки в удобном для анализа виде. Информация о выявленных расхождениях ключевых метрик или внесении изменений в свойства объекта отображается в форме всплывающих подсказок на соответствующих опросных листах.
Результатом данного этапа становится и автоматизированный расчёт значений ключевых параметров, таких как:
- максимально допустимый период прерывания деятельности (MTPD);
- целевая продолжительность восстановления (RTO);
- целевая точка восстановления (RPO).
План обеспечения непрерывности бизнеса (BCP, Business Continuity Plan) представляет собой сущность, которая аккумулирует в себе актуальную информацию по бизнес-процессам данного подразделения в разрезе критичности и ключевых метрик и включает в себя:
- конкретные шаги по устранению сбоев;
- условия активации и деактивации плана;
- роли и обязанности, ключевые контакты;
- описание методов и средств коммуникации.
План восстановления (DRP, Disaster Recovery Plan) содержит в себе набор сценариев чрезвычайных ситуаций и перечень действий для каждого из них. Действия разбиваются на три этапа, которые могут быть как последовательными, так и параллельными:
- немедленные меры в случае ЧС (эвакуация персонала, вызов пожарной бригады);
- меры по поддержанию функционирования подразделения (перевод на удаленную работу, переезд на альтернативную площадку);
- меры по восстановлению нормального функционирования подразделения (восстановление ИТ-инфраструктуры).
Для каждого действия указываются ответственный за него и максимально допустимый срок исполнения. Также указываются заранее выработанные критерии возврата к нормальному функционированию бизнеса. Таким образом, при активации плана непрерывности будет реализован тот план действий, который отвечает за произошедшую нештатную ситуацию.
Эффективное взаимодействие участников процесса обеспечивается встроенной матрицей коммуникации, в которую входят контакты и роли ответственных за исполнение плана, а также внешние и внутренние экстренные контакты организации, а за поддержание актуальности плана непрерывности отвечает отдельный объект «План тестирования». По результатам проведённого тестирования составляется и прикладывается отчёт о его успешности, а в случае выявления не прошедших тестирование этапов – создаётся задача на внесение корректировок в соответствующий план непрерывности.
Тестирование проводится на регулярной основе, и система автоматически рассылает ответственным лицам уведомления о необходимости провести то или иное тестирование в зависимости от заданного расписания и графика.
УПРАВЛЕНИЕ АКТИВАМИ И ИНВЕНТАРИЗАЦИЕЙ
Ядром SGRC служит ресурсно-сервисная модель, которая позволяет детально воссоздать информационную структуру предприятия и охватывает все уровни организации, от фундаментальных бизнес-процессов до технических активов, обеспечивая целостное представление о деятельности компании. Анализ может проводиться как для всей организации, так и для отдельных информационных систем как на высоком уровне для совокупностей объектов, так и детально для конкретного рабочего места, принтера или телефона.
Данная модель данных позволяет описать все необходимые объекты, начиная с фундаментальных сущностей, которыми оперирует бизнес, и заканчивая техническими активами, которые являются необходимыми ресурсами для реализации бизнес-активов. Ключевыми бизнес-объектами в ресурсно-сервисной модели являются:
- бизнес-процесс;
- продукт;
- поставщик;
- помещение;
- технологическое оборудование.
Для каждого объекта есть свой набор атрибутов с возможностью редактирования и настройкой взаимосвязей с другими объектами в организации. В целом, объекты связаны между собой иерархичным образом в соответствии с разработанной моделью данных. Таким образом, учитывается принцип зависимости одной сущности от другой (например, бизнес-процесс может полностью зависеть от функционирования определённой информационной системы). Благодаря наличию визуального представления в виде графа можно отследить взаимосвязи между объектами до уровня необходимой детализации.
Аналогичную ресурсно-сервисную модель получают пользователи последних версий on-premise продуктов Security Vision, направленных на автоматизацию управления инцидентами и уязвимостями, управление непрерывностью бизнеса и, конечно же, управление активами и инвентаризацией.
Сформировать модель активов можно двумя методами:
1) автоматическая загрузка посредством API из модуля управления активами и инвентаризацией, расположенного в инфраструктуре заказчика;
2) автоматизированно, путём передачи файлов с последующим парсингом.
РОЛЕВАЯ МОДЕЛЬ
SGRC включает в себя возможность гибкого управления доступом, позволяющую адаптировать процесс оценки под любую организацию: система поддерживает создание ролей с индивидуальными настройками прав доступа к данным, отчётам и функционалу. Пользователь может совмещать несколько ролей, расширяя свои полномочия. Конструктор ролей позволяет легко настраивать систему под конкретные требования бизнеса.
Финальную в текущем обзоре немаловажную часть сервиса обеспечивает аналитический движок – визуальный конструктор виджетов и дашбордов, отчётов и объектов.
Результаты опросов являются основой для формирования плана мероприятий, направленного на устранение выявленных недостатков и повышение уровня ИБ. Регулярная оценка и корректировка плана позволяют поддерживать систему безопасности в актуальном состоянии. Благодаря функционалу определения ключевых индикаторов риска (КИР) сервис обеспечивает проактивное управление рисками: система непрерывно мониторит состояние безопасности, автоматически выявляя потенциальные угрозы и оповещая ответственных лиц о необходимости принятия мер. Пользователь может точно настраивать, для каких именно рисков актуален конкретный индикатор, а также задавать фильтры для автоматической выборки рисков. Такой подход обеспечивает более оперативное и точное реагирование на потенциальные угрозы, улучшая общие показатели кибербезопасности.
Сервис предлагает «из коробки» набор различных дашбордов для интерактивной аналитики по различным срезам данных, например:
Аналитический, для глубокого анализа исторических данных:
- выбор произвольного периода для анализа;
- сравнение показателей за разные периоды;
- трендовые графики для выявления динамики изменений;
- свёртка данных по различным срезам (например, по типам процессов, отделам, регионам);
- количество проведённых оценок;
- динамика изменения показателей соответствия.
Стратегический, для оценки общего состояния системы менеджмента и выявление областей для улучшения.
- установка пользовательских пороговых значений.
- визуализация достижений стратегических целей.
- сравнение показателей с плановыми значениями.
- идентификация «узких мест», рисков и особо важных активов;
- общий процент соответствия требованиям;
- эффективность корректирующих действий.
Операционный, для мониторинга текущего состояния процессов оценки:
- отслеживание статуса каждой оценки в реальном времени;
- идентификация задержек и проблемных процессов;
- определение приоритетов для действий;
- процент завершённых оценок.
Для географически распределённых организаций полезной будет аналитика на карте:
- отображение географического расположения подразделений;
- цветная кодировка для индикации уровня соответствия;
- возможность фильтрации по различным параметрам (например, типу оценки, региону);
- средний показатель соответствия и количество отклонений по регионам.
Кибербезопасность является необходимым элементом работы любой компании, независимо от её размера. Теперь платформа Security Vision, предоставляющая решения для SGRC, доступна по привлекательным ценам и может закрыть все потребности в этой области. Это особенно важно для малого и среднего бизнеса, который сталкивается с вызовом обеспечения безопасности при ограниченном бюджете. Благодаря синергии сервисов «Комплаенс» и «Риски» с единой моделью данных, угроз и различными базами знаний задача будет решаться эффективно и экономично.