Сравнение систем SGRC (Security Governance, Risk, Compliance) 2017
Российский рынок информационной безопасности достиг определенной степени насыщения. Внедрены десятки и сотни (а в топовых корпорациях тысячи и десятки тысяч) средств защиты информации, и наступает момент, когда бизнес требует большей прозрачности и управляемости систем ИБ.
Из-за сложности и неоднородности системы безопасности сколь-нибудь крупной компании качественное управление ИБ невозможно без автоматизации процессов — для чего и предназначен класс решений Security GRC (Security Governance, Risk, Compliance). Ранее мы публиковали Обзор рынка Security GRC в России.
Security GRC вполне может быть уникально российским изобретением — внутри «большого» класса GRC Gartner выделил сперва 2, а потом 6 — но так и не вычленил собственно Security GRC. В российских организациях SGRC часто является одним из первых промышленных средств автоматизации и измерения процессов ИБ, органически накапливая знания (исподволь становясь базой знаний по безопасности организации), и сразу же помогает «просчитать» безопасность — благо, конкуренция в виде специализированных Security BI присутствует уж совсем в небольшом числе организаций. Существующие в организациях решения смежных классов (ITSM, CMDB, BPMS) обычно управляются и развиваются ИТ, что делает их менее гибкими и приспособленными для задач ИБ.
Однако выбор независимого от ИТ решения ставит новые вопросы. Чем принципиально отличаются между собой различные решения? На что ориентироваться при выборе SGRC-системы? Как выбрать наиболее подходящее решение для вашей компании? К сожалению, универсального решения, подходящего любой компании, сегодня нет. Именно поэтому важно понимать, чем один продукт отличается от другого. Данное сравнение следует рассматривать как базисное. Во всех тонкостях работы SGRC-систем зачастую трудно разобраться даже профессионалам, не говоря уже о потенциальных клиентах. Еще сложнее сравнить возможности решений между собой. Стоит понимать, что в рамках этого материала мы не сравниваем эффективность или удобство того или иного решения. Для этого необходимо проводить детальный маппинг процессной модели конкретной службы ИБ к функциональности решений — определять процент покрытия процессной модели (требований/контролей системы ИБ) функциональностью решений.
https://www.anti-malware.ru/compare/russian_sgrc_2017
- Что такое IRP, где используется и как внедряется
- Практика ИБ. Централизованный сбор логов с Windows-устройств
- Нормативные документы по ИБ. Часть 11. Защита коммерческой тайны
- Threat Intelligence (Киберразведка)
- Системы и средства защиты информации (конспект лекции)
- Управление доступом и учетными записями (конспект лекции)
- Защита критической информационной инфраструктуры (конспект лекции)
- КИИ - что это? Безопасность объектов критической информационной инфраструктуры
- Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
- Практическая защита персональных данных. Как компания должна обрабатывать и защищать персональные данные? Часть 2
- Нормативные документы по ИБ. Часть 4. Обзор российского и международного законодательства в области защиты персональных данных
- Практическая защита персональных данных. Проводим оценку эффективности принимаемых мер по обеспечению безопасности ПДн
- Защита персональных данных (конспект лекции)
- Применение стандарта ISO 31000
- Информационная безопасность: что это?
- Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
- Федеральный закон № 161-ФЗ «О национальной платежной системе»
- DDoS-атаки и защита от них
- Практика ИБ. Политики аудита безопасности Windows
- Что такое DLP системы и как они применяются
- Процессы управления ИБ (конспект лекции)
- Практическая защита персональных данных. Что такое средства защиты информации, прошедшие в установленном порядке процедуру оценки соответствия
- Активы, уязвимости (конспект лекции)
- SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
- Управление инцидентами ИБ (конспект лекции)