SGRC SaaS

Security Governance, Risk Management and Compliance

Управление безопасностью, рисками и соответствием законодательству (специальная версия)

Комплексное управление соответствием нормативно-методическим документам, рисками кибербезопасности, непрерывностью бизнеса и активами

# Business GRC, SGRC, соответствие, аудит, комплаенс, НМД, собственные методологии, риски, моделирование угроз, ФСТЭК, опросные листы, качественная оценка, CM, BIA, DRP, МЭК/ISO 22301, ГОСТ, СНМД, ИТ активы, учётные записи, ПО, управление, инвентаризация, обновление

Обзор продукта

Security Vision SGRC SaaS (SMB) – это облачный сервис, который предоставляет организациям инструменты и решения для управления информационной безопасностью, рисками и соблюдением нормативных требований.

Продукт предназначен в первую очередь для небольших организаций и позволяет максимально быстро привести процессы обеспечение информационной безопасности на более высокий качественный уровень.

Базируется на Платформе Security Vision и включает в себя следующие наиболее востребованные экспертные функциональные модули:
• управление активами (Asset Management, AM)
управление соответствием нормативно-методическим документам (Compliance Management, CM)
• управление рисками кибербезопасности (Risk Management, RM)
• управление непрерывностью бизнеса (Business Continuity Management, BCM)

Преимущества решения:
• Быстрое начало работы и исключение затрат ресурсов на внедрение и эксплуатацию
• Регулярная поставка обновлений контента от центра экспертизы Security Vision
• Низкая стоимость подписки

Специальная лицензия

Облачный сервис

Все компоненты уже развернуты и готовы к использованию, что позволяет бизнесу сосредоточиться на профильных задачах, а не на поддержке оборудования и обновлениях. Это позволяет компаниям, особенно стартапам и малому-среднему бизнесу, избежать больших капитальных затрат и трансформировать их в операционные расходы, которые легче прогнозировать и контролировать.

Особенности лицензирования

Модуль лицензируется по формату подписки (срочные лицензии, OPEX) с включением в стоимость базовой технической поддержки на 12 месяцев.

Облегченная версия платформы

Для упрощения эксплуатации специальная лицензия базируется на облегчённой версии платформы и имеет ограничение на внесение изменений в предустановленный контент: карточки и табличные представления объектов со справочниками, рабочие процессы, коннекторы, меню и роли, шаблоны отчётов и аналитический движок, включая виджеты и интерактивные дашборды. При этом ускоряется настройка модуля, а предустановленный контент можно использовать сразу после подключения.

Основной функционал

Управление активами и инвентаризацией

Формирование реестра ИТ-активов и выстраивание ресурсно-сервисной модели с учетом их взаимосвязей и бизнес-параметров. Предназначено для агрегации и визуализации данный и последующего их использования в процессах SGRC.

Позволяет осуществлять управление жизненным циклом информационных систем, АРМ, серверов, сетевых устройств и др. объектов инфраструктуры компании.

Осуществляет автоматическое оповещение пользователей по различным ключевым операциям, которые связаны с процессами по управлению активами и автоматизированную подготовку отчетности.

Управление соответствием НМД

Обеспечение проверок активов (информационные системы, бизнес-процессы и др.) на соответствие требованиям стандартов с выбором методики оценки на основе стандартов из пакета экспертизы (Приказы ФСТЭК № 17, 21, 31, ГОСТ 57580, ISO 27001, NIST и др.) с базой знаний мер защиты (БДУ ФСТЭК).

Загрузка стандартов из файлов, автоматический сбор и анализ опросных листов и автоматизация оценки соответствия, включая создание и отправку опросных листов всем участникам аудита.

Формирование плана мероприятий по устранению нарушений и замечаний с постановкой и отслеживанием задач, управление расписанием оценок, согласований, напоминаний и оповещений пользователей.

Автоматизация процессов снижает количество рутинных операций, позволяя более эффективно собирать и обрабатывать информацию в едином окне, управлять напоминаниями и оповещениями с регулярным контролем.

Управление рисками кибербезопасности

Автоматизация процесса управления рисками информационной безопасности, в том числе с учётом общепринятых методик (ГОСТ Р ИСО 31000-2019). Продукт реализует и автоматизирует циклический процесс формирования реестра рисков, моделирования угроз, расчёта вероятности и ущерба сценариев реализации рисков, выработку и внедрение мер защиты для повышения киберустойчивости организации.

Учет, классификация и управление кибер-рисками по методологиям ФСТЭК, с включёнными качественной и количественной (FAIR) оценками с моделированием эффективности применения мер защиты.

Непрерывный и повторяющийся процесс оценки вероятности реализации угроз, эффективности мер защиты в команде с привлечением экспертов и владельцев автоматизированных систем.

Управление непрерывностью бизнеса

Выстраивание процессов обеспечения непрерывности деятельности в случае наступления чрезвычайных ситуаций и разработку планов восстановления деятельности (DRP, Disaster Recovery Plan). Поддерживаются оценка ключевых показателей эффективности согласно российским и международным стандартам, оценка критичности бизнес-процессов и объектов, планирование требований в случае нештатных ситуаций с автоматизированной обработкой результатов и GAP-анализ.

Разработка планов обеспечения непрерывности и проведение их тестирования с оценкой ключевых показателей эффективности дополнена и формированием планов мероприятий по устранению нарушений, постановкой и отслеживанием задач по устранению замечаний.

Автоматизация обработки результатов и актуализации данных объектов позволяет эффективнее устранять замечания и отслеживать статусы задач. Включает создание и отправку опросных листов всем участникам процесса (с привлечением экспертной группы или без) и автоматическую актуализацию взаимосвязей объектов (бизнес-процессы, информационные системы и др.) и их показателей (RTO, RPO, MTPD).

Продукт соответствует требованиям регуляторов

Федеральным законам № 152-ФЗ, 161-ФЗ, приказам ФСТЭК № 17, 21 и 31, СТО БР ИББС и РС БР ИББС-2.5—2014, а также международному стандарту PCI DSS. Продукт сертифицирован ФСТЭК, ФСБ и Минобороны России и входит в реестр отечественного ПО.