Security Vision Security Governance, Risk Management and Compliance (SGRC / a-SGRC)

Программный продукт для автоматизации построения комплексной системы управления информационной безопасностью (СУИБ) в организации с оцифрованными данными, позволяющими принимать управленческие решения оперативно, основываясь на объективных данных, консолидированных из множества систем. Комплектация включает продукт Cyber Risk System, программный продукт для автоматизации процессов управления рисками кибербезопасности. Программный продукт автоматизирует такие процессы как управление рисками, управление аудитами, управление соответствием (СТО БР ИББС, PCI-DSS, ISO 27ххх, ФЗ-152 и др.), управление документами и стандартами ИБ и управление уязвимостями.

Результаты использования

на 100%

актуальная картина состояния соответствия системы требованиям обеспечения кибербезопасности.

до 70%

повышение осведомленности при принятии решений по вопросам кибербезопасности в стратегических инициативах компании

до 60%

сокращение времени проведения оценки рисков кибербезопасности

до 70 %

автоматизация оценки соответствия требованиям в вопросах кибербезопасности

до 80%

повышение эффекта коллаборации и уменьшения дублируемых требований за счет обмена информацией и обогащения смежных систем кибербезопасности

до 90 %

обработка риска кибербезопасности в автоматическом режиме (при использовании совместно с Security Vision [IRP])


Системы класса Security Governance, Risk Management and Compliance: применение и основные функции


Термин SGRC является аббревиатурой от Security Governance, Risk Management and Compliance или, в переводе, Управления безопасностью, рисками и соответствием законодательству. То есть, фактически, SGRC - это система для автоматизации построения комплексной системы управления информационной безопасностью (СУИБ). Системы SGRC включают в себя три основных подхода к построению СУИБ:

Governance, т.е. управление процессами обеспечения информационной безопасности как одной из важных стратегических бизнес-потребностей организации (Governance). Системы класса SGRC аккумулируют в едином информационном пространстве данные, собранные из множества имеющихся в организации ИТ-источников и СЗИ: например, информацию о состоянии ИТ и ИБ инфраструктуры, о процессах обеспечения ИБ, о соответствии корпоративным и законодательным требованиям и др. Опираясь на эту информацию, топ-менеджмент организации приобретает Situational Awareness и возможность принимать верные и обоснованные решения не только при управлении информационной безопасностью, но и при решении бизнес-задач.

Безусловно, чем больше ИТ-систем организации подключены к SGRC, тем более точные данные будут предоставляться в ее отчетности, поэтому с точки зрения корректного выстраивания системы управления информационной безопасностью к SGRC необходимо подключить максимальное количество источников.

Risk Management, т.е. защита информационных активов с риск-ориентированным подходом. Он предполагает выбор и применение тех мер обеспечения информационной безопасности, которые были рассчитаны и оценены, и обеспечивает баланс между затратами на обеспечение ИБ и получаемыми результатами.

И, наконец, Compliance, т.е. управление соответствием требованиям регуляторов, внутренних и внешних стандартов, лучших практик в области информационной безопасности (Compliance).

Все основные компоненты функционала SGRC-решений тесно взаимосвязаны и обогащают друг друга, обеспечивая синергетический эффект. Чем больше доля автоматизированных операций в системах, тем эффект сильнее.

Читать далее...



Новый этап развития SGRC-систем: технология a-SGRC (auto-SGRC)


ГК «Интеллектуальная безопасность» создала технологию роботизации систем класса SGRC - Security Vision a-SGRC (auto-SGRC). Security Vision a-SGRC позволяет автоматизировать/роботизировать функции систем SGRC, ранее выполнявшиеся преимущественно в ручном режиме.

Системы класса SGRC (Security Governance, Risk Management and Compliance) предназначены для автоматизации построения комплексной системы управления информационной безопасностью (СУИБ). Тремя основными задачами, которые они решают, являются управление ИБ, обеспечение риск-ориентированного подхода к ИБ и соответствие нормам законодательства.

Зачастую SGRC-системы предполагают проведение значительного объема ручной работы: заполнение опросников, сбор и ввод данных, перевод информации из одного формата в другой (например, при импорте в SGRC-систему сведений из внутренних ИТ-платформ), чек-листы по соответствию требованиям стандартов. Однако, даже тщательно собранная и структурированная информация имеет тенденцию устаревать, причем в области ИТ-систем это может произойти сразу же после сбора данных: сервер может быть автоматически переконфигурирован, IP-адрес может поменяться, ПО - обновиться. Поддержка актуальности собранной в SGRC-системе информации - нетривиальное, а главное, трудоемкое мероприятие. Кроме того, при проведении внутреннего (корпоративного) или внешнего аудита (например, государственными органами, уполномоченными в области защиты информации) все запрашиваемые данные нужно будет актуализировать в кратчайшие сроки и представить по форме аудиторов. Добавим к этому еще и необходимость кропотливо настраивать SGRC-платформу для соответствия реалиям компании-заказчика: перевод всех процессов обеспечения ИБ в формат SGRC-системы может быть продолжительным и потребовать привлечения дополнительных ресурсов. Эти траты должны быть обоснованными, а SGRC-система - продуктивной и ежедневно доказывать свою эффективность.

Но что, если мы попробуем автоматизировать/роботизировать перечисленные выше процессы и задачи?

Читать далее...

Отзывы

Функциональные модули комплектации

Коробочное решение: 11 модулей

Проектное решение: опциональное количество модулей

Продукт из коробки в разы увеличивает скорость и простоту внедрения в систему информационной безопасности Заказчика. Предустановленные шаблоны позволяют быстро развернуть решение и адаптировать его под Заказчика без привлечения разработчика. При этом сохраняется гибкость за счет платформы-конструктора, которая позволяет подстроиться под индивидуальные особенности конкретного внедрения.
Программный продукт на платформе Security Vision,который мы адаптируем по индивидуальным требованиям Заказчика. Проектные внедрения могут быть дополнены опционными или индивидуальными модулями, такими как:

Функциональные модули комплектации

Коробочное решение: 11 модулей

Продукт из коробки в разы увеличивает скорость и простоту внедрения в систему информационной безопасности Заказчика. Предустановленные шаблоны позволяют быстро развернуть решение и адаптировать его под Заказчика без привлечения разработчика. При этом сохраняется гибкость за счет платформы-конструктора, которая позволяет подстроиться под индивидуальные особенности конкретного внедрения.

Проектное решение: опциональное количество модулей

Программный продукт на платформе Security Vision,который мы адаптируем по индивидуальным требованиям Заказчика. Проектные внедрения могут быть дополнены опционными или индивидуальными модулями, такими как:

Схема применения продукта

Особенности применения

Универсальные коннекторы

Универсальные коннекторы имеют самый широкий спектр механизмов взаимодействия с источниками данных, апробированы на более чем 2000 источников.

Механизм коннекторов обеспечивает возможность создания соединения с удаленными системами с помощью следующих протоколов и механизмов: DNS, HTTP, HTTPS, PowerShell, RPC, SNMP, SSH, SSL, ... Читать далее

Единая платформа

Продукты Security Vision дополняют друг друга, обеспечивая комплексную безопасность и финансовые преимущества использования систем класса SOC, IRP, SGRC, CRS на одной платформе.

Платформа-конструктор

Позволяет Заказчику формировать структуру, логику и наполнение решения под собственные бизнес-задачи без привлечения разработчика.

Графический конструктор рабочих процессов и конструктор заявок/инцидентов

Позволяет в режиме реального времени управлять командами SOC и строить разветвленные процессы. Лучшая на российском рынке организация процесса (Workflow), проверенная на масштабных внедрениях компаний, входящих в Fortune-500.

Применяется в направлениях

Применяется в таких направлениях, как:

Автоматизация рисков кибербезопасности в финансовой отрасли, в том числе в соответствии с Проектом Положения Банка России «О требованиях к системе управления операционным риском в кредитной организации и банковской группе» в части управления киберрисками;

Построение ситуационных ... Читать далее

Документация по продукту

Это поле обязательно для заполнения
Это поле обязательно для заполнения

Согласен с Политикой конфиденциальности и с обработкой персональных данных в соответствии с Политикой обработки персональных данных

Это поле обязательно для заполнения
Необходимо ваше согласие на обработку персональных данных