Security Vision NG SGRC, или Новые горизонты автоматизации процессов

Security Vision

Компания Security Vision развивает направление SGRC для автоматизации и управления процессами информационной безопасности, обеспечения комплаенса и управления соответствием различным НМД, управления рисками и моделирования угроз, управления непрерывностью бизнеса и другими процессами стратегической безопасности. Все решения, описанные в текущем обзоре, основаны и построены на единой платформе автоматизации при помощи No-code конструкторов, что позволяет представить вам не только разработки Security Vision, но и решения, созданные нашими технологическими партнёрами, например, модули управления операционными рисками или автоматизированной проверки контрагентов.

GRC направление при развитии продуктов опирается на современные требования отечественных и международных стандартов в области обеспечения информационной безопасности, например:

 -  ISO 27005:2022 Information security, cybersecurity and privacy protection — Guidance on managing information security risks;

 -  NIST Cybersecurity Framework (CSF) 2.0 – Cybersecurity concept for managing and mitigating cybersecurity risks; 

 -  ISO 22301, ГОСТ Р ИСО 22301 – Системы менеджмента непрерывности бизнеса. Общие требования;

 -  ГОСТ Р ИСО/МЭК 27005 Информационная безопасность, кибербезопасность и защита частной жизни. Руководство по управлению рисками информационной безопасности. Требования и руководства.

NG SGRC предлагает аналитику универсальную платформу для проведения оценок и позволяет анализировать информацию как самостоятельно, так и с привлечением экспертов с помощью персонализированных опросов. Например, можно собрать данные о потенциальном ущербе от бизнес-подразделений и о вероятности угроз от технических специалистов. Оценка может выполняться как вручную (через заполнение форм), так и автоматически, с учётом существующих мер защиты и данных прошлых оценок.

УПРАВЛЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ (GOVERNANCE)

Security Vision Governance позволяет комплексно подходить к управлению информационной безопасностью и последовательно выстроить процессы информационной безопасности в организации.

Приступая к развитию информационной безопасности в организации, необходимо сформировать миссию и видение ИБ, создать список ключевых ролей и назначить на них сотрудников. В продукте заложен фреймворк по принципу ролевой матрицы RASCI, с возможностью корректировать его с учетом особенностей конкретной организации и явным обозначением ролей, которые не были назначены.

Таким образом с помощью Security Vision NG SGRC формируется организационный контекст организации, состоящий в определении области действия информационной безопасности, а также заинтересованных сторон, которые бывают двух типов:

-   Внутренние (различные подразделения, лица принимающие решения);

-   Внешние (регуляторы в области информационной безопасности, партнеры, акционеры).

Требования каждой из заинтересованных сторон, а также их приоритет, впоследствии учитываются для оценки рисков информационной безопасности.

Стратегия кибербезопасности является основным документом, определяющий направление развития информационной безопасности в организации. На этом уровне выбирается фреймворк, которого организация планирует придерживаться. В продукте представлены для выбора два основных фреймворка - NIST CSF 2.0 и ISO 27001. При этом есть возможность создать собственный фреймворк либо комбинировать его  с уже имеющимися.

Также определяются основные элементы управления рисками, которые в дальнейшем будут использованы при оценке и обработке рисков информационной безопасности:

-   Бизнес-риски

-   Процесс управления рисками

-   Методика управления рисками

-   Риск-аппетит и толерантность к риску

На базе выбранного фреймворка проводится анализ текущего и целевого состояния информационной безопасности в организации, на основе которого формируется стратегический план дальнейших мероприятий. Стратегический план может быть гибко разбит на этапы в зависимости от временных рамок, и на каждом этапе создаются задачи на конкретного исполнителя. Прогресс выполнения задач и проектов удобно отслеживать на сводном дашборде.

Перечень процессов информационной безопасности автоматически формируется после выбора фреймворка. В Security Vision SGRC представлены типовые процессы описанием их этапов или необходимых действий. Также к большинству процессов привязаны частные политики информационной безопасности, которые регламентируют данные процессы, а также определяют процедуры выполнения необходимых действий в рамках конкретных процессов.

Для большинства политик, включая основную политику информационной безопасности, в продукте предоставлены шаблоны, которые помогут быстро сформировать итоговые документы.

Для поддержания актуального состояния  ИБ выработан гибкий подход, в котором можно настроить интервалы уведомлений о необходимости пересмотра, обновления или улучшения основных сущностей, на каждой из которых настроены роли причастных сотрудников.

УПРАВЛЕНИЕ СООТВЕТСТВИЕМ НМД

Security Vision Compliance Management предлагает инструменты для проверки соответствия стандартам и лучшим практикам, охватывающие как организацию в целом, так и отдельные бизнес-активы, подразделения, бизнес-процессы или другие элементы инфраструктуры. Система обеспечивает гибкость в выборе методики оценки, предоставляя возможность использовать стандарты из пакета экспертиз или применять собственные методики.

Благодаря платформе процесс оценки становится автоматизированным, что значительно сокращает количество рутинных операций и позволяет более эффективно собирать и обрабатывать информацию, объединяя все необходимые данные в одном окне для удобного доступа и анализа.

Оценка соответствия может включать проведение аудитов информационной безопасности, тестирование на проникновение, анализ политик безопасности и процедур управления доступом и предлагает пользователю наиболее используемые стандарты, фреймворки и лучшие практики, например:

  -  Приказы ФСТЭК 17, 21, 31, 239

  -  ГОСТ 57580

  -  Положение Банка России № 716-П

  -  Федеральный закон №187

  -  Федеральный закон №152

  -  Федеральный закон № 63-ФЗ

  -  PCI DSS 4.0

  -  NIST Cybersecurity Framework 2.0

  -  CIS (Critical Security Controls).

Пользователям предоставляется возможность создавать собственные стандарты или проводить процедуру самооценки, комбинируя требования из существующих или разрабатывая собственные, что обеспечивает гибкость и адаптацию к специфическим потребностям организации.

Процесс оценки соответствия информационных систем и организаций включает анализ текущего состояния и проверку на соответствие установленным стандартам безопасности данных с полным циклом управления задачами.

Ключевым элементом процесса оценки является автоматическая генерация опросных листов, которые распределяются между различными подразделениями для заполнения. Статус отслеживается автоматически в режиме реального времени, а система собирает и анализирует полученные данные, формируя единую картину состояния объекта оценки и автоматически генерируя план мероприятий по устранению выявленных несоответствий.

Система отправляет уведомления по всем переходам по статусам жизненного цикла как процессов оценки, так и опросных листов на привычные для организации каналы коммуникации: почту, Telegram и др.

По результатам опросов формируется план мероприятий, по которому система автоматически выявляет несоответствия требованиям и генерирует задачи на их устранение. Вкладка «План мероприятий» позволяет отслеживать прогресс выполнения задач и моделировать влияние внедрённых мер на общий уровень безопасности.

После создания процедуры оценки формируются опросы и назначаются ответственные лица. Для удобства управления на карточке процесса отображается список отправленных опросов. Каждый заполненный опрос проходит проверку и согласование, а при необходимости опрос возвращается на доработку.

Этот интегрированный подход не только повышает уровень защиты информационных систем, но и улучшает управляемость процесса их приведения в соответствие лучшим практикам и требованиям регуляторов, что при отсутствии систем класса SGRC довольно трудозатратно и сложно управляемо.

УПРАВЛЕНИЕ РИСКАМИ КИБЕРБЕЗОПАСНОСТИ

Security Vision Risk Management охватывает весь жизненный цикл процесса управления рисками, начиная с этапа определения среды и описания бизнес и ИТ-компонентов инфраструктуры.

Последующие этапы анализа и оценки рисков поддерживают качественный и количественный методы оценки. Сервис позволяет аналитику провести оценку полностью самостоятельно либо собрать данные от экспертов с помощью опросных листов, используя подход модуля управления соответствием. На этапе обработки рисков пользователи могут моделировать различные конфигурации внедрения мер защиты с целью выбора оптимального набора по соотношению затрат и эффективности, оценка угроз безопасности информации основана на:

  -  методике ФСТЭК от 5 февраля 2021 года

  -  качественной оценке рисков кибербезопасности

  -  количественной оценке по методике FAIR (Factor Analysis of Information Risk)

  -  моделировании рисков методом Монте-Карло.

Функционал моделирования рисков методом Монте-Карло позволяет пользователям проводить множество итераций сценариев, используя случайные величины для учёта возможных изменений и вариаций в данных. В результате пользователь сможет оценить потенциальную величину потерь и подверженность риску, а с помощью параметров распределения частоты и ущерба отследить минимум/среднее/максимум значений для дальнейшего.

Проведение оценки может как полностью проходить в онлайн формате, так и быть частично вынесено в офлайн за счёт функционала импорта и экспорта данных в файл (составление опросных листов, методик оценки, формирование стандартов, этап сбора информации), что полезно для работы с удалёнными локациями. Все качественные оценки переводятся в балльную систему, в рамках которой результаты оценки могут быть рассчитаны с учётом принятых в конкретной организации практик (среднее, медиана, максимум и др.). За счёт этого качественная и количественная оценка рассчитываются по единым формулам.

После того как все данные собраны и показатели риска рассчитаны, в системе применяется функционал обработки рисков, в рамках которого пользователь может смоделировать эффект от внедрения тех или иных мер защиты и сопоставить их стоимость со степенью снижения риска при их внедрении. Таким образом, в интерфейсе системы можно подобрать наиболее адекватный набор мер по соотношению «Цена и эффективность».

Из этого же окна пользователю доступно создание задач на обработку риска. Механизм задач на внедрение мер защиты предоставляет возможность отслеживать выполнения сроков взятия в работу и исполнения, переназначать ответственных, принимать/отправлять задачи на доработку. Жизненный цикл задач можно кастомизировать.

Благодаря функционалу определения ключевых индикаторов риска (КИР) сервис обеспечивает проактивное управление рисками: система непрерывно мониторит состояние безопасности, автоматически выявляя потенциальные угрозы и оповещая ответственных лиц о необходимости принятия мер. Пользователь может точно настраивать, для каких именно рисков актуален конкретный индикатор, а также задавать фильтры для автоматической выборки рисков. Такой подход обеспечивает более оперативное и точное реагирование на потенциальные угрозы, улучшая общие показатели кибербезопасности.

Сервис включает в себя справочники из Банка данных угроз безопасности информации ФСТЭК и позволяет реализовывать моделирование угроз и сценарии реализации рисков на основе уже готового и взаимосвязанного набора данных. Эти справочники состоят из следующих элементов:

  -  негативные последствия

  -  типы нарушителей

  -  угрозы

  -  компоненты воздействия

  -  способы реализации угроз

  -  меры защиты.

УПРАВЛЕНИЕ НЕПРЕРЫВНОСТЬЮ БИЗНЕСА

Security Vision Business Continuity Management – это решение для автоматизации процесса обеспечения непрерывности и восстановление деятельности (ОНиВД) после наступления чрезвычайных ситуаций. Продукт находится на стыке технологий: затрагивает как процессы ИБ, оперируя последствиями реализации угроз, связанных с отказом работоспособности информационных систем, оборудования, утраты ключевых поставщиков, персонала или помещений, так и процессы ИТ, анализируя информационную модель предприятия, обслуживающие ресурсы, метрики работоспособности активов и процедуры восстановления.

Решение обеспечивает реализацию процесса на всех стадиях его жизненного цикла:

 1) На этапе «Анализ воздействия на бизнес и оценка риска» посредством опроса владельцев ресурсов собирается информация о бизнес-процессах и их зависимости от различных ресурсов компании. Целью этого процесса является определение операционных, юридических и финансовых последствий сбоев и выявление ключевых метрик.

 2) На этапе «План обеспечения непрерывности бизнеса» продукт позволяет систематизировать планы обеспечения непрерывности конкретных бизнес-процессов по конкретным типам чрезвычайных ситуаций.

 3) На этапе «Определение и внедрение процедур непрерывности бизнеса» используется встроенная система заявок, в которой можно поставить и проконтролировать выполнение задач на приведение инфраструктуры в соответствии утверждённым планам обеспечения непрерывности.

 4) Также реализована возможность проводить регулярные тестирования планов непрерывности с оценкой достижения ключевых показателей эффективности.

Анализ воздействия на бизнес и оценка риска (BIA, Business Impact Analysis) даёт возможность сформировать область оценки процесса. При этом на графе связей отразятся объекты, по которым будут созданы опросные листы. Граф связей, в свою очередь, является интерактивным и позволяет раскрывать связи объектов для отображения их зависимостей, а также добавлять объекты к области оценки.

В ходе оценки аналитик обладает широкими возможностями для управления опросами: корректировать сроки заполнения, назначать новых ответственных, отзывать устаревшие опросные листы и создавать новые. Это особенно полезно при обнаружении новых объектов оценки, не учтённых на начальном этапе. В системе справочников можно создать любое количество дополнительных вопросов с любым количеством ответов, а предустановленные вопросы настроены в зависимости от релевантных для конкретной организации значений параметров, например:

  -  периоды прерывания деятельности;

  -  типы последствий;

  -  категории последствий;

  -  стратегии действий в случае недоступности ресурса.

Промежуточные итоги заполнения опросных листов всегда доступны аналитику BCM на краткой и полной карточке процесса оценки в удобном для анализа виде. Информация о выявленных расхождениях ключевых метрик или внесении изменений в свойства объекта отображается в форме всплывающих подсказок на соответствующих опросных листах.

Результатом данного этапа становится и автоматизированный расчёт значений ключевых параметров, таких как:

  -  максимально допустимый период прерывания деятельности (MTPD);

  -  целевая продолжительность восстановления (RTO);

  -  целевая точка восстановления (RPO).

План обеспечения непрерывности бизнеса (BCP, Business Continuity Plan) представляет собой сущность, которая аккумулирует в себе актуальную информацию по бизнес-процессам данного подразделения в разрезе критичности и ключевых метрик и включает в себя:

  -  конкретные шаги по устранению сбоев;

  -  условия активации и деактивации плана;

  -  роли и обязанности, ключевые контакты;

  -  описание методов и средств коммуникации.

План восстановления (DRP, Disaster Recovery Plan) содержит в себе набор сценариев чрезвычайных ситуаций и перечень действий для каждого из них. Действия разбиваются на три этапа, которые могут быть как последовательными, так и параллельными:

  -  немедленные меры в случае ЧС (эвакуация персонала, вызов пожарной бригады);

  -  меры по поддержанию функционирования подразделения (перевод на удаленную работу, переезд на альтернативную площадку);

  -  меры по восстановлению нормального функционирования подразделения (восстановление ИТ-инфраструктуры).

Для каждого действия указываются ответственный за него и максимально допустимый срок исполнения. Также указываются заранее выработанные критерии возврата к нормальному функционированию бизнеса. Таким образом, при активации плана непрерывности будет реализован тот план действий, который отвечает за произошедшую нештатную ситуацию.

Эффективное взаимодействие участников процесса обеспечивается встроенной матрицей коммуникации, в которую входят контакты и роли ответственных за исполнение плана, а также внешние и внутренние экстренные контакты организации, а за поддержание актуальности плана непрерывности отвечает отдельный объект «План тестирования». По результатам проведённого тестирования составляется и прикладывается отчёт о его успешности, а в случае выявления не прошедших тестирование этапов – создаётся задача на внесение корректировок в соответствующий план непрерывности.

Тестирование проводится на регулярной основе, и система автоматически рассылает ответственным лицам уведомления о необходимости провести то или иное тестирование в зависимости от заданного расписания и графика.

УПРАВЛЕНИЕ АКТИВАМИ И ИНВЕНТАРИЗАЦИЕЙ

Ядром NG SGRC служит ресурсно-сервисная модель, которая позволяет детально воссоздать информационную структуру предприятия и охватывает все уровни организации, от фундаментальных бизнес-процессов до технических активов, обеспечивая целостное представление о деятельности компании. Анализ может проводиться как для всей организации, так и для отдельных информационных систем как на высоком уровне для совокупностей объектов, так и детально для конкретного рабочего места, принтера или телефона.

Данная модель данных позволяет описать все необходимые объекты, начиная с фундаментальных сущностей, которыми оперирует бизнес, и заканчивая техническими активами, которые являются необходимыми ресурсами для реализации бизнес-активов. Ключевыми бизнес-объектами в ресурсно-сервисной модели являются:

  -  бизнес-процесс;

  -  продукт;

  -  поставщик;

  -  помещение;

  -  технологическое оборудование.

Для каждого объекта есть свой набор атрибутов с возможностью редактирования и настройкой взаимосвязей с другими объектами в организации. В целом, объекты связаны между собой иерархичным образом в соответствии с разработанной моделью данных. Таким образом, учитывается принцип зависимости одной сущности от другой (например, бизнес-процесс может полностью зависеть от функционирования определённой информационной системы). Благодаря наличию визуального представления в виде графа можно отследить взаимосвязи между объектами до уровня необходимой детализации.

Аналогичную ресурсно-сервисную модель получают пользователи последних версий on-premise продуктов Security Vision, направленных на автоматизацию управления инцидентами и уязвимостями, управление непрерывностью бизнеса и, конечно же, управление активами и инвентаризацией.

Сформировать модель активов можно двумя методами:

1)  автоматическая загрузка посредством API из модуля управления активами и инвентаризацией, расположенного в инфраструктуре заказчика;

2)  автоматизированно, путём передачи файлов с последующим парсингом.

РОЛЕВАЯ МОДЕЛЬ

NG SGRC включает в себя возможность гибкого управления доступом, позволяющую адаптировать процесс оценки под любую организацию: система поддерживает создание ролей с индивидуальными настройками прав доступа к данным, отчётам и функционалу. Пользователь может совмещать несколько ролей, расширяя свои полномочия. Конструктор ролей позволяет легко настраивать систему под конкретные требования бизнеса.

Аналитика

Финальную в текущем обзоре немаловажную часть сервиса обеспечивает аналитический движок – визуальный конструктор виджетов и дашбордов, отчётов и объектов.

Сервис предлагает «из коробки» набор различных дашбордов для интерактивной аналитики по различным срезам данных, например:

Аналитический, для глубокого анализа исторических данных:

  -   выбор произвольного периода для анализа;

  -   сравнение показателей за разные периоды;

  -   трендовые графики для выявления динамики изменений;

  -   свёртка данных по различным срезам (например, по типам процессов, отделам, регионам);

  -   количество проведённых оценок;

  -   динамика изменения показателей соответствия.

Стратегический, для оценки общего состояния системы менеджмента и выявление областей для улучшения.

  -   установка пользовательских пороговых значений.

  -   визуализация достижений стратегических целей.

  -   сравнение показателей с плановыми значениями.

  -   идентификация «узких мест», рисков и особо важных активов;

  -   общий процент соответствия требованиям;

  -   эффективность корректирующих действий.

Операционный, для мониторинга текущего состояния процессов оценки:

  -   отслеживание статуса каждой оценки в реальном времени;

  -   идентификация задержек и проблемных процессов;

  -   определение приоритетов для действий;

  -   процент завершённых оценок.

Для географически распределённых организаций полезной будет аналитика на карте:

  -   отображение географического расположения подразделений;

  -   цветная кодировка для индикации уровня соответствия;

  -   возможность фильтрации по различным параметрам (например, типу оценки, региону);

  -   средний показатель соответствия и количество отклонений по регионам.

SECURITY VISION SGRC ДЛЯ СМБ

Недавно компания вывела на рынок решение Security Vision SGRC Basic, предназначенное для среднего и малого бизнеса (СМБ). Продукт обеспечивает управление ключевыми процессами информационной безопасности на базе риск-ориентированного подхода и позволяет максимально быстро привести процессы обеспечения информационной безопасности на более высокий уровень. SGRC Basic также доступен в виде облачного сервиса (SaaS).

Ключевые особенности Security Vision SGRC для СМБ:

 ·  Быстрое начало работы и исключение затрат ресурсов на внедрение и эксплуатацию:

Security Vision SGRC Basic - все компоненты устанавливаются в рамках одного виртуального или физического сервера (на одну операционную систему), ускоряя процессы внедрения и поддержки, что важно для компаний малого и среднего размеров.

Security Vision SGRC Saas - все компоненты уже развернуты и готовы к использованию, что позволяет бизнесу сосредоточиться на профильных задачах, а не на поддержке оборудования и обновлениях. Это позволяет компаниям, особенно СМБ, избежать капитальных затрат и трансформировать их в операционные расходы, которые легче прогнозировать и контролировать:

 ·  Регулярная поставка обновлений контента от центра экспертизы Security Vision.

 ·  Бюджетная стоимость подписки.

Более подробная информация о Security Vision SGRC Basic и Security Vision SGRC Saas доступна в разделах https://www.securityvision.ru/products/sgrc-basic/ и https://www.securityvision.ru/products/sgrc-saas/, а также у официального дистрибьютора Security Vision по линейке Basic – OCS Distribution.

Видео о продукте

Документация