Security Governance, Risk, Compliance (SGRC) – управление информационной безопасностью (ИБ) с точки зрения трех аспектов: вопросы информационной безопасности рассматриваются на высшем уровне руководства организации (Governance), на основе управления рисками (Risk), а также в соответствии с требованиями различных нормативных документов (Compliance).
Решение R-Vision Security Governance Risk Compliance (SGRC) представляет собой платформу для централизованного управления информационной безопасностью и позволяет автоматизировать такие критичные процессы ИБ, как:
Ведение внутренней и внешней нормативной документации;
Планирование и контроль задач специалистов по информационной безопасности, управление рабочими процессами.
Основные преимущества
Контроль изменений ИТ-инфраструктуры, выявление оборудования и сбор данных о его характеристиках, управление активами;
Повышение эффективности ИБ-подразделения за счет централизованного управления, планирования задач, контроля деятельности филиалов и удаленных подразделений;
Обеспечение соответствия требованиям регуляторов системы информационной безопасности и оперативное устранение замечаний. Поддержка законодательства Республики Беларусь в области защиты информации в базовой поставке;
Контроль ключевых показателей эффективности системы информационной безопасности в компании, наглядная оперативная информация о текущем состоянии и отражение происходящих процессов в динамике;
Минимизация затрат на управление рисками, проведение аудитов информационной безопасности и подготовку отчетности за счет автоматизированных алгоритмов и процедур;
Снижение рисков информационной безопасности, благодаря своевременной идентификации и быстрой оценке уровня рисков, формирования плана обработки и контроля его выполнения;
Рациональное использование средств, четкое планирование необходимых мероприятий, исходя из их эффективности и доступного бюджета;
Снижение ИБ-рисков, благодаря повышению осведомленности пользователей по вопросам кибербезопасности;
Учет рисков информационной безопасности в рамках операционных рисков компании.
Ключевые возможности
Управление информационной безопасностью
R-Vision SGRC служит единой платформой для централизованного управления системой информационной безопасности. Продукт аккумулирует сведения о процессах информационной безопасности и обеспечивает их визуализацию, облегчая принятие управленческих решений, расстановку приоритетов по необходимым мероприятиям и согласование бюджетов.
Встроенный набор метрик позволяет отслеживать результаты работы ИБ-подразделения и контролировать уровень информационной безопасности в компании в целом, эффективность реализованных мер защиты и степень соответствия требованиям регуляторов и отраслевых стандартов.
Управление активами
Составной частью системы R-Vision SGRC является система R-Vision ACP, которая позволяет провести инвентаризацию и выделить наиболее критичные активы, определить специалистов, ответственных за обеспечение безопасности активов.
Оценка соответствия по требованиям основных стандартов в области информационной безопасности
Аудит информационной безопасности является одним из ключевых инструментов контроля обеспечения информационной безопасности в организации. R-Vision SGRC обеспечивает полный цикл проведения проверки на соответствие требованиям и содержит широкий набор как предустановленных стандартов:
ПРИКАЗ ОПЕРАТИВНО-АНАЛИТИЧЕСКОГО ЦЕНТРА ПРИ ПРЕЗИДЕНТЕ РЕСПУБЛИКИ БЕЛАРУСЬ № 66 (в т.ч. в редакции приказа № 195);
ЗАКОН РЕСПУБЛИКИ БЕЛАРУСЬ от 7 мая 2021 г. № 99-3 “О защите персональных данных”;
СТБ ISO/IEC 27001-2016 “Информационные технологии. Методы обеспечения безопасности. СИСТЕМЫ МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ”;
PCI DSS (3.1 и v.3.2);
SWIFT’s Customer Security Programme;
ISO 27001 и другие стандарты.
так и может дополняться другими стандартами и регламентами.
Конструктор аудитов позволяет использовать любые пользовательские методики, реализовывать сложные расчеты с использованием формул, списков и таблиц. Дополнительно можно настроить справочники шкал оценки, этапов для контроля хода проведения проверок, а также политики автоматических уведомлений.
По результатам оценки автоматически рассчитывается индекс соответствия, изменение уровня которого отслеживается с течением времени, а также формируется необходимый пакет документов.
Система контрольных проверок
Необходимость соответствия большому числу пересекающихся требований отнимает много времени и сил. В R-Vision SGRC предусмотрена система контрольных проверок, которая облегчает этот процесс.
Контрольные проверки позволяют оценить конкретный пункт требования один раз и далее автоматически учитывать результаты данной оценки при проверке соблюдения требований других нормативных документов, которые содержат этот пункт.
Унификация контроля соблюдения пересекающихся требований.
Контроль устранения замечаний по аудиту
В ходе проведения оценки соответствия организациям необходимо фиксировать возникающие замечания и недочеты. Система R-Vision SGRC обеспечивает формирование единого перечня замечаний по аудиту с возможностью указания ответственного, сроков устранения, уровня критичности, а также связанных активов. При создании замечания в соответствующем разделе автоматически формируется задача по устранению, статус и исполнитель которой синхронизируется с замечанием, что позволяет осуществлять контроль за его устранением.
Оценка рисков информационной безопасности
R-Vision SGRC позволяет оценить прямые и производные риски активов, отслеживать изменение их уровня с течением времени, формировать план мероприятий по обработке рисков с возможностью контроля статуса мероприятий.
Для оценки рисков доступен широкий набор предустановленных методологий, включая:
СТБ 34.101.70-2016 “Информационные технологии и безопасность. Обеспечение информационной безопасности банков Республики Беларусь. Методика оценки рисков нарушения информационной безопасности”;
СТБ 34.101.61-2013 “Информационные технологии. Методы и средства безопасности. Методика оценки рисков информационной безопасности в информационных системах”;
методологию, разработанную аналитиками R-Vision;
ISO 27005;
NIST;
OCTAVE;
FAIR;
простые 3-х уровневые схемы и многие другие.
Система также допускает возможность добавления и настройки пользователем собственных методик расчета рисков. В зависимости от выбранного режима параметры рисков рассчитываются автоматически или оцениваются вручную экспертами.
Формирование карты рисков и плана обработки
R-Vision SGRC позволяет не только рассчитывать уровни рисков, но также отслеживать их изменение с течением времени. Результаты всех завершенных оценок сохраняются в карте рисков, содержащей информацию об источниках и предпосылках отдельных рисков, о защитных мерах, оказывающих влияние на их уровень, связанных инцидентах и мероприятиях по обработке, а также значения параметров рисков за различные промежутки времени. Данные из карты рисков учитываются при проведении последующих оценок рисков информационной безопасности – система автоматически отмечает соответствующие риски как актуальные и заполняет необходимые параметры.
В отношении идентифицированных рисков участниками оценки формируется план мероприятий по обработке, в рамках которого оценивается стоимость и эффективность выбранной стратегии обработки рисков. Система позволяет отслеживать статусы реализации запланированных мероприятий и учитывает их при проведении новых оценок.
Учет и контроль элементов системы защиты организации
R-Vision SGRC позволяет вести учет всех документов по информационной безопасности в организации. По загруженным в систему документам могут быть определены различные атрибуты, назначены ответственные за пересмотр и актуализацию, сроки действия, указаны пользователи, имеющие доступ к документам. Загруженные документы могут быть связаны с различными элементами системы – активами, задачами, замечаниями, аудитами ИБ и др.
Также в рамках R-Vision SGRC может быть обеспечен учет и контроль состояния всех организационных и технических мер защиты, реализованных для соответствующих активов организации. По всем защитным мерам могут быть заданы ответственные лица, нормативные документы, стоимостные и другие характеристики. Состав и статус внедрения защитных мер автоматически учитывается при проведении оценок рисков и корректируется при реализации соответствующих мероприятий по обработке рисков.
Адаптируемая логика
Отличительной чертой R-Vision SGRC является широкий спектр возможностей по адаптации логики работы системы под специфику и особенности каждой отдельной организации.
Система поддерживает создание собственных каталогов угроз, уровней оценки ценности и атрибутов безопасности активов, качественных и количественных схем оценки, позволяющих проводить оценку рисков по собственным методикам организаций.
Возможна загрузка пользовательских комплексов требований, шкал оценки, уровней критичности замечаний, а также формирование собственных перечней контрольных проверок. Пользователи также могут загружать собственные каталоги защитных мер, создавать новые типы документов и их атрибуты.
Повышение осведомленности пользователей по вопросам кибербезопасности
Повышение осведомленности пользователей – одна из наиболее эффективных мер по снижению риска информационной безопасности. Платформа R-Vision SGRC позволяет проводить обучение и тестирование персонала по вопросам кибербезопасности, благодаря интеграции с сервисом «Антифишинг».
Данный функционал позволяет выстроить в организации систему по контролю подверженности пользователей фишинговым атакам, назначать и отслеживать прохождение тренингов и специальных тестов, использовать готовые учебные материалы, а также проводить учебные кибератаки.
Повышение осведомленности пользователей с помощью R-Vision SGRC позволяет:
Вовлечь в процесс обучения всех пользователей
Выявить сотрудников, входящих в повышенную группу риска
Мотивировать персонал на изучение материалов по кибератакам
Выработать навыки безопасного поведения пользователей при работе с электронной почтой и веб-ресурсами, а также в случае инцидентов ИБ
Визуализация и отчетность
Средства аналитики и визуализации R-Vision SGRС дают наглядную информацию о текущем состоянии информационной безопасности в компании и динамике изменений. Доступные в системе дашборды, графики, диаграммы, интерактивные схемы позволяют контролировать ключевые показатели и метрики, оценивать эффективность проводимых мероприятий и принимать обоснованные решения. Вся визуальная информация в R-Vision SGRC интерактивна, что позволяет перейти от визуальной формы к исходным данным.
Конструктор графиков R-Vision SGRС позволяет визуализировать информацию в виде различных типов диаграмм в необходимых разрезах. Для наиболее часто используемых режимов отображения информации предусмотрены шаблоны графиков.
В R-Vision SGRC предустановлен широкий набор готовых отчетов, что позволяет быстро формировать необходимый пакет документов по результатам проведения аудита и оценки рисков. Для выгрузки данных по собственному шаблону в системе предусмотрен конструктор отчетов.
R-Vision SGRC может формировать отчеты в автоматическом режиме по расписанию и рассылать их заданным пользователям по электронной почте.
Результаты внедрения
Своевременная оценка ИБ-рисков, выявление потенциальных нарушителей, оценка вероятности реализации угроз ИБ и возможного ущерба.
Подбор оптимальных мер защиты, исходя из оценки ИБ-рисков, текущего состояния системы защиты и доступного бюджета.
Визуализация и прозрачность информации о текущем состоянии ИБ, эффективности реализованных мер защиты для расстановки приоритетов, согласования бюджета и принятия управленческих решений.
Автоматическое формирование отчетности для внутренних нужд и предоставления регуляторам.
Обеспечение соответствия требованиям регуляторов с минимальными трудозатратами.
Масштабирование и развитие
R-Vision SGRC является одним из ключевых элементов при создании центра управления информационной безопасности (ЦУИБ).
Интеграция R-Vision SGRC с системой мониторинга, корреляции и анализа событий информационной безопасности (SIEM), с подключением решения по автоматизации управления инцидентами ИБ (R-Vision IRP) и дополнения системой автоматизация процессов анализа информации об угрозах (R-Vision TIP) позволят создать полнофункциональный центр управления информационной безопасностью (ЦУИБ) корпоративного, отраслевого или крупного территориального (областного) уровня.
Компания МультиТек Инжиниринг поставляет, внедряет и сопровождает как отдельные решения, так и комплексные системы обеспечения и управления информационной безопасностью.
Мы предлагаем демонстрацию возможностей и пилотирование решений заинтересованным организациям.
Для получения более подробной информации отправьте, пожалуйста, письмо с запросом или свяжитесь с нами по телефону +375 17 28 28 959
На нашем сайте, в целях обеспечения функционирования сайта, проведения статистических исследований и обзоров, осуществляется автоматический сбор информации о файлах cookie и IP-адресах. Нажимая кнопку «Согласен» или продолжая использовать сайт, Вы даете согласие на использование данных технологий для нашего сайта.
Мы можем запросить сохранение файлов cookies на вашем устройстве. Мы используем их, чтобы знать, когда вы посещаете наш сайт, как вы с ним взаимодействуете, чтобы улучшить и индивидуализировать ваш опыт использования сайта.
Чтобы узнать больше, нажмите на ссылку категории. Вы также можете изменить свои предпочтения. Обратите внимание, что запрет некоторых видов cookies может сказаться на вашем опыте испольхования сайта и услугах, которые мы можем предложить.
Необходимые Cookies сайта
These cookies are strictly necessary to provide you with services available through our website and to use some of its features.
Because these cookies are strictly necessary to deliver the website, refuseing them will have impact how our site functions. You always can block or delete cookies by changing your browser settings and force blocking all cookies on this website. But this will always prompt you to accept/refuse cookies when revisiting our site.
We fully respect if you want to refuse cookies but to avoid asking you again and again kindly allow us to store a cookie for that. You are free to opt out any time or opt in for other cookies to get a better experience. If you refuse cookies we will remove all set cookies in our domain.
We provide you with a list of stored cookies on your computer in our domain so you can check what we stored. Due to security reasons we are not able to show or modify cookies from other domains. You can check these in your browser security settings.
Другие сторонние сервисы
We also use different external services like Google Webfonts, Google Maps, and external Video providers. Since these providers may collect personal data like your IP address we allow you to block them here. Please be aware that this might heavily reduce the functionality and appearance of our site. Changes will take effect once you reload the page.
Google Webfont Settings:
Google Map Settings:
Google reCaptcha Settings:
Vimeo and Youtube video embeds:
Политика конфиденциальности
Подробнее о нашей политике конфиденциальности и файлах cookies вы можете прочесть на странице Политики конфиденциальности.