Платформа для управления, моделирования рисков и аудита информационной безопасности (SGRC)

R-Vision Security GRC Platform (SGRC)

Представляет собой платформу для централизованного управления информационной безопасностью. Продукт позволяет автоматизировать такие процессы как:

Управление рисками
Моделирование угроз
Оценка соответствия требованиям информационной безопасности
Контроль и управление информационными активами
Ведение внутренней и внешней нормативной документации
Мониторинг состояния информационной безопасности
Планирование и контроль задач специалистов по информационной безопасности, управление рабочими процессами

Преимущества от использования

Объективное представление о состоянии информационной безопасности в компании для расстановки приоритетов по необходимым мероприятиям, согласования бюджета и принятия управленческих решений.
Минимизация затрат на управление рисками, проведение аудитов информационной безопасности и подготовку отчетности за счет автоматизированных алгоритмов и процедур.
Снижение рисков информационной безопасности, благодаря своевременной идентификации и быстрой оценке уровня рисков, формирования плана обработки и контроля его выполнения.
Повышение эффективности ИБ-подразделения за счет централизованного управления, планирования задач, контроля деятельности филиалов и удаленных подразделений.
Обеспечение соответствия системы информационной безопасности требованиям регуляторов и оперативное устранение замечаний.

Контроль ключевых показателей эффективности системы информационной безопасности в компании, наглядная оперативная информация о текущем состоянии и отражение происходящих процессов в динамике.

Рациональное использование средств, четкое планирование необходимых мероприятий, исходя из их эффективности и доступного бюджета.

Снижение ИБ-рисков, благодаря повышению осведомленности пользователей по вопросам кибербезопасности.

Учет рисков информационной безопасности в рамках операционных рисков компании.

Контроль изменений ИТ-инфраструктуры, выявление оборудования и сбор данных о его характеристиках.

Ключевые возможности

Управление информационной безопасностью

Платформа R-Vision SGRC служит единой платформой для централизованного управления системой информационной безопасности. Продукт аккумулирует сведения о процессах информационной безопасности и обеспечивает их визуализацию, облегчая принятие управленческих решений, расстановку приоритетов по необходимым мероприятиям и согласование бюджетов.

Встроенный набор метрик позволяет отслеживать результаты работы ИБ-подразделения и контролировать уровень информационной безопасности в компании в целом, эффективность реализованных мер защиты и степень соответствия требованиям регуляторов и отраслевых стандартов.

Оценка рисков информационной безопасности

R-Vision SGRC позволяет оценить прямые и производные риски активов, отслеживать изменение их уровня с течением времени, формировать план мероприятий по обработке рисков с возможностью контроля статуса мероприятий.

Для оценки рисков доступен широкий набор предустановленных методологий, включая:

собственную методологию, разработанную аналитиками R-Vision,
ISO 27005,
NIST,
OCTAVE,
РC БР ИББС-2.2,
FAIR,
ФСТЭК РОССИИ,
простые 3-х уровневые схемы.

Система также допускает возможность добавления и настройки пользователем собственных методик расчета рисков. В зависимости от выбранного режима параметры рисков рассчитываются автоматически или оцениваются вручную экспертами.

Формирование карты рисков и плана обработки

R-Vision SGRC позволяет не только рассчитывать уровни рисков, но также отслеживать их изменение с течением времени. Результаты всех завершенных оценок сохраняются в карте рисков, содержащей информацию об источниках и предпосылках отдельных рисков, о защитных мерах, оказывающих влияние на их уровень, связанных инцидентах и мероприятиях по обработке, а также значения параметров рисков за различные промежутки времени. Данные из карты рисков учитываются при проведении последующих оценок рисков информационной безопасности – система автоматически отмечает соответствующие риски как актуальные и заполняет необходимые параметры.

В отношении идентифицированных рисков участниками оценки формируется план мероприятий по обработке, в рамках которого оценивается стоимость и эффективность выбранной стратегии обработки рисков. Система позволяет отслеживать статусы реализации запланированных мероприятий и учитывает их при проведении новых оценок.

Моделирование угроз по требованиям ФСТЭК

R-Vision SGRC позволяет автоматизировать процесс создания Модели угроз безопасности информации по требованиям ФСТЭК. Для этого предусмотрены следующие возможности:

Быстрый ввод необходимых параметров для оценки через простой интуитивно понятный интерфейс
Автоматическое выявление актуальных угроз в соответствии с «Методикой определения угроз безопасности информации в информационных системах»
Формирование перечня возможных угроз на основании встроенного Банка данных угроз безопасности информации ФСТЭК
Генерация Модели угроз безопасности информации в автоматическом режиме в соответствии с требованиями ФСТЭК

Оценка соответствия по требованиям основных стандартов в области информационной безопасности

Аудит информационной безопасности является одним из ключевых инструментов контроля обеспечения информационной безопасности в организации. R-Vision SGRC обеспечивает полный цикл проведения проверки на соответствие требованиям и содержит широкий набор как предустановленных стандартов:

СТБ 34.101.41-2013
Приказ ФСТЭК № 17
Приказ ФСТЭК № 31
Приказ ФСТЭК № 239
PCI DSS (3.1 и v.3.2)
SWIFT’s Customer Security Programme
ISO 27001
ГОСТ Р ИСО/МЭК 27001-2006
Положение Банка России № 382-П
Стандарт банка России СТО БР ИББС-1.0-2014
ФЗ № 152 «О персональных данных»

так и может дополняться другими стандартами и регламентами.

Конструктор аудитов позволяет использовать любые пользовательские методики, реализовывать сложные расчеты с использованием формул, списков и таблиц. Дополнительно можно настроить справочники шкал оценки, этапов для контроля хода проведения проверок, а также политики автоматических уведомлений.

По результатам оценки автоматически рассчитывается индекс соответствия, изменение уровня которого отслеживается с течением времени, а также формируется необходимый пакет документов.

Система контрольных проверок

Необходимость соответствия большому числу пересекающихся требований отнимает много времени и сил. В R-Vision SGRC предусмотрена система контрольных проверок, котороая облегчает этот процесс.

Контрольные проверки позволяют оценить конкретный пункт требования один раз и далее автоматически учитывать результаты данной оценки при проверке соблюдения требований других нормативных документов, которые содержат этот пункт.

Унификация контроля соблюдения пересекающихся требований.

Контроль устранения замечаний по аудиту

В ходе проведения оценки соответствия организациям необходимо фиксировать возникающие замечания и недочеты. Система R-Vision SGRC обеспечивает формирование единого перечня замечаний по аудиту с возможностью указания ответственного, сроков устранения, уровня критичности, а также связанных активов. При создании замечания в соответствующем разделе автоматически формируется задача по устранению, статус и исполнитель которой синхронизируется с замечанием, что позволяет осуществлять контроль за его устранением.

Контроль ИТ-активов

Программный комплекс позволяет провести инвентаризацию инфраструктуры, выделить наиболее критичные активы, определить специалистов, ответственных за обеспечение безопасности активов.

За счет интеграции с имеющимися решениями по безопасности (антивирусы, сканеры защищенности и др.), а также использования собственных механизмов контроля, обеспечиваются:

Консолидация и представление в единой консоли различных сведений о состоянии безопасности инфраструктуры
Контроль установленного ПО
Обнаружение несанкционированного оборудования
Выявление и контроль устранения уязвимостей
Контроль привилегий пользователей

Учет и контроль элементов системы защиты организации

R-Vision SGRC позволяет вести учет всех документов по информационной безопасности в организации. По загруженным в систему документам могут быть определены различные атрибуты, назначены ответственные за пересмотр и актуализацию, сроки действия, указаны пользователи, имеющие доступ к документам. Загруженные документы могут быть связаны с различными элементами системы – активами, задачами, замечаниями, аудитами ИБ и др.

Также в рамках R-Vision SGRC может быть обеспечен учет и контроль состояния всех организационных и технических мер защиты, реализованных для соответствующих активов организации. По всем защитным мерам могут быть заданы ответственные лица, нормативные документы, стоимостные и другие характеристики. Состав и статус внедрения защитных мер автоматически учитывается при проведении оценок рисков и корректируется при реализации соответствующих мероприятий по обработке рисков.

Адаптируемая логика

Отличительной чертой R-Vision SGRC является широкий спектр возможностей по адаптации логики работы системы под специфику и особенности каждой отдельной организации.

Система поддерживает создание собственных каталогов угроз, уровней оценки ценности и атрибутов безопасности активов, качественных и количественных схем оценки, позволяющих проводить оценку рисков по собственным методикам организаций.

Возможна загрузка пользовательских комплексов требований, шкал оценки, уровней критичности замечаний, а также формирование собственных перечней контрольных проверок. Пользователи также могут загружать собственные каталоги защитных мер, создавать новые типы документов и их атрибуты.

Повышение осведомленности пользователей по вопросам кибербезопасности

Повышение осведомленности пользователей – одна из наиболее эффективных мер по снижению риска информационной безопасности. Платформа R-Vision SGRC позволяет проводить обучение и тестирование персонала по вопросам кибербезопасности, благодаря интеграции с сервисом «Антифишинг».

Данный функционал позволяет выстроить в организации систему по контролю подверженности пользователей фишинговым атакам, назначать и отслеживать прохождение тренингов и специальных тестов, использовать готовые учебные материалы, а также проводить учебные кибератаки.

Повышение осведомленности пользователей с помощью R-Vision SGRC позволяет:

Вовлечь в процесс обучения всех пользователей
Выявить сотрудников, входящих в повышенную группу риска
Мотивировать персонал на изучение материалов по кибератакам
Выработать навыки безопасного поведения пользователей при работе с электронной почтой и веб-ресурсами, а также в случае инцидентов ИБ

Визуализация и отчетность

Средства аналитики и визуализации R-Vision SGRС дают наглядную информацию о текущем состоянии информационной безопасности в компании и динамике изменений. Доступные в системе дашборды, графики, диаграммы, интерактивные схемы позволяют контролировать ключевые показатели и метрики, оценивать эффективность проводимых мероприятий и принимать обоснованные решения. Вся визуальная информация в R-Vision SGRC интерактивна, что позволяет перейти от визуальной формы к исходным данным.

Конструктор графиков R-Vision SGRС позволяет визуализировать информацию в виде различных типов диаграмм в необходимых разрезах. Для наиболее часто используемых режимов отображения информации предусмотрены шаблоны графиков.

В R-Vision SGRC предустановлен широкий набор готовых отчетов, что позволяет быстро формировать необходимый пакет документов по результатам проведения аудита и оценки рисков. Для выгрузки данных по собственному шаблону в системе предусмотрен конструктор отчетов.

R-Vision SGRC может формировать отчеты в автоматическом режиме по расписанию и рассылать их заданным пользователям по электронной почте.

Для получения более подробной информации отправьте, пожалуйста, письмо с запросом или свяжитесь с нами по телефону +375 17 28 28 959

ЗАПРОС