Компания Security Vision представила обновленный продукт Security Vision SGRC

Компания Security Vision вывела на рынок обновленный продукт Security Vision SGRC, в который был добавлен раздел Управление информационной безопасностью (Governance). В совокупности с уже давно зарекомендовавшими себя разделами SGRC Управлением рисками (Risk Management), Управлением соответствием требованиям (Compliance Management) и Управлением непрерывностью бизнеса (Business Continuity Management) раздел Управление информационной безопасностью позволяет комплексно подходить к управлению информационной безопасности, обеспечивая следующие процессы:

 -  Формирование перечня ключевых ролей

 -  Определение организационного контекста

 -  Формирование стратегии кибербезопасности

 -  Определение процессов управления информационной безопасностью

 -  Формирование политик и процедур информационной безопасности

 -  Контроль выполнения задач и мероприятий по информационной безопасности

 -  Улучшение процессов и процедур управления информационной безопасностью

 -  Оценка текущего и целевого состояние информационной безопасности

Вступительный этап

Приступая к развитию информационной безопасности в организации, необходимо сформировать миссию и видение информационной безопасности, сформировать список ключевых ролей и назначить на них сотрудников. В продукте заложены необходимые шаблоны для этого, с возможностью корректировать с учетом особенностей конкретной организации. Также будут подсвечиваться роли, если сотрудник на них не был назначен.

Организационный контекст

Организационный контекст организации состоит в определении области действия информационной безопасности, а также заинтересованных сторон, которые бывают двух типов:

 -  Внутренние (различные подразделения, лица принимающие решения)

 -  Внешние (регуляторы в области информационной безопасности, партнеры, акционеры)

Требования каждой из заинтересованных сторон, а также их приоритет, впоследствии учитываются для оценки рисков информационной безопасности.

Стратегия кибербезопасности

Стратегия кибербезопасности является основным документом, определяющий направление развития информационной безопасности в организации. На этом уровне выбирается фреймворк, которого организация планирует придерживаться. В продукте представлены для выбора два основных фреймворка NIST CSF 2.0 и ISO 27001. При этом есть возможность создать собственный фреймворк либо комбинировать их с уже имеющимися.

Также определяются основные элементы управления рисками, которые в дальнейшем будут использованы при оценке и обработке рисков информационной безопасности:

 -  Бизнес-риски

 -  Процесс управления рисками

 -  Методика управления рисками

 -  Риск-аппетит и толерантность к риску

На базе выбранного фреймворка проводится анализ текущего и целевого состояния информационной безопасности в организации, на основе которого формируется стратегический план дальнейших мероприятий. Стратегический план может быть гибко разбит на этапы в зависимости от временных рамок, и на каждом этапе создаются задачи на конкретного исполнителя. Прогресс выполнения задач и проектов удобно отслеживать на сводном дашборде.

Процессы и политики информационной безопасности

Перечень процессов информационной безопасности автоматически формируется после выбора фреймворка. В продукте представлены типовые процессы описанием их этапов или необходимых действий. Также к большинству процессов привязаны частные политики информационной безопасности, которые регламентируют данные процессы, а также определяют процедуры выполнения необходимых действий в рамках конкретных процессов.

Для большинства политики, включая основную политику информационной безопасности, в продукте предоставлены шаблоны, которые помогут быстро сформировать итоговые документы.

Непрерывный процесс улучшения и пересмотра

Для поддержания актуального состояния информационной безопасности выработан гибкий подход, в котором можно настроить интервалы уведомлений о необходимости пересмотра, обновления или улучшения основных сущностей, на каждой из которых настроены роли причастных сотрудников по принципу матрицы RASCI.

Отчеты и дашборды

Помимо сводного дашборда, на котором удобно отслеживать текущее состояние информационной безопасности, в продукте проработаны отчеты по основным составляющим с возможностью применять пользовательские шаблоны, что особенно удобно, если в организации существуют принятые формы отчетности.