Security Governance, Risk, Compliance (SGRC) – управление информационной безопасностью (ИБ) с точки зрения трех аспектов: вопросы информационной безопасности рассматриваются на высшем уровне руководства организации (Governance), на основе управления рисками (Risk), а также в соответствии с требованиями различных нормативных документов (Compliance).

Решение R-Vision Security Governance Risk Compliance (SGRC) представляет собой платформу для централизованного управления информационной безопасностью и позволяет автоматизировать такие критичные процессы ИБ, как:

  • Контроль и управление информационными активами;
  • Аудит, оценка соответствия требованиям информационной безопасности;
  • Моделирование угроз;
  • Управление рисками;
  • Мониторинг состояния информационной безопасности;
  • Ведение внутренней и внешней нормативной документации;
  • Планирование и контроль задач специалистов по информационной безопасности, управление рабочими процессами.

Основные преимущества

  • Контроль изменений ИТ-инфраструктуры, выявление оборудования и сбор данных о его характеристиках, управление активами;
  • Повышение эффективности ИБ-подразделения за счет централизованного управления, планирования задач, контроля деятельности филиалов и удаленных подразделений;
  • Обеспечение соответствия требованиям регуляторов системы информационной безопасности и оперативное устранение замечаний. Поддержка законодательства Республики Беларусь в области защиты информации в базовой поставке;
  • Контроль ключевых показателей эффективности системы информационной безопасности в компании, наглядная оперативная информация о текущем состоянии и отражение происходящих процессов в динамике;
  • Минимизация затрат на управление рисками, проведение аудитов информационной безопасности и подготовку отчетности за счет автоматизированных алгоритмов и процедур;
  • Снижение рисков информационной безопасности, благодаря своевременной идентификации и быстрой оценке уровня рисков, формирования плана обработки и контроля его выполнения;
  • Рациональное использование средств, четкое планирование необходимых мероприятий, исходя из их эффективности и доступного бюджета;
  • Снижение ИБ-рисков, благодаря повышению осведомленности пользователей по вопросам кибербезопасности;
  • Учет рисков информационной безопасности в рамках операционных рисков компании.

Ключевые возможности

Управление информационной безопасностью

R-Vision SGRC служит единой платформой для централизованного управления системой информационной безопасности. Продукт аккумулирует сведения о процессах информационной безопасности и обеспечивает их визуализацию, облегчая принятие управленческих решений, расстановку приоритетов по необходимым мероприятиям и согласование бюджетов.

Встроенный набор метрик позволяет отслеживать результаты работы ИБ-подразделения и контролировать уровень информационной безопасности в компании в целом, эффективность реализованных мер защиты и степень соответствия требованиям регуляторов и отраслевых стандартов.

Управление активами

Составной частью системы R-Vision SGRC является система R-Vision ACP, которая позволяет провести инвентаризацию и выделить наиболее критичные активы, определить специалистов, ответственных за обеспечение безопасности активов.

Оценка соответствия по требованиям основных стандартов в области информационной безопасности

Аудит информационной безопасности является одним из ключевых инструментов контроля обеспечения информационной безопасности в организации. R-Vision SGRC обеспечивает полный цикл проведения проверки на соответствие требованиям и содержит широкий набор как предустановленных стандартов:

  • ПРИКАЗ ОПЕРАТИВНО-АНАЛИТИЧЕСКОГО ЦЕНТРА ПРИ ПРЕЗИДЕНТЕ РЕСПУБЛИКИ БЕЛАРУСЬ № 66 (в т.ч. в редакции приказа № 195);
  • ЗАКОН РЕСПУБЛИКИ БЕЛАРУСЬ от 7 мая 2021 г. № 99-3 “О защите персональных данных”;
  • СТБ ISO/IEC 27001-2016 “Информационные технологии. Методы обеспечения безопасности. СИСТЕМЫ МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ”;
  • PCI DSS (3.1 и v.3.2);
  • SWIFT’s Customer Security Programme;
  • ISO 27001 и другие стандарты.

так и может дополняться другими стандартами и регламентами.

Конструктор аудитов

Конструктор аудитов позволяет использовать любые пользовательские методики, реализовывать сложные расчеты с использованием формул, списков и таблиц. Дополнительно можно настроить справочники шкал оценки, этапов для контроля хода проведения проверок, а также политики автоматических уведомлений.

По результатам оценки автоматически рассчитывается индекс соответствия, изменение уровня которого отслеживается с течением времени, а также формируется необходимый пакет документов.

Система контрольных проверок

Необходимость соответствия большому числу пересекающихся требований отнимает много времени и сил. В R-Vision SGRC предусмотрена система контрольных проверок, которая облегчает этот процесс.

Контрольные проверки позволяют оценить конкретный пункт требования один раз и далее автоматически учитывать результаты данной оценки при проверке соблюдения требований других нормативных документов, которые содержат этот пункт.

Унификация контроля соблюдения пересекающихся требований.

Контроль устранения замечаний по аудиту

В ходе проведения оценки соответствия организациям необходимо фиксировать возникающие замечания и недочеты. Система R-Vision SGRC обеспечивает формирование единого перечня замечаний по аудиту с возможностью указания ответственного, сроков устранения, уровня критичности, а также связанных активов. При создании замечания в соответствующем разделе автоматически формируется задача по устранению, статус и исполнитель которой синхронизируется с замечанием, что позволяет осуществлять контроль за его устранением.

Оценка рисков информационной безопасности

R-Vision SGRC позволяет оценить прямые и производные риски активов, отслеживать изменение их уровня с течением времени, формировать план мероприятий по обработке рисков с возможностью контроля статуса мероприятий.

Для оценки рисков доступен широкий набор предустановленных методологий, включая:

  • СТБ 34.101.70-2016 “Информационные технологии и безопасность. Обеспечение информационной безопасности банков Республики Беларусь. Методика оценки рисков нарушения информационной безопасности”;
  • СТБ 34.101.61-2013 “Информационные технологии. Методы и средства безопасности. Методика оценки рисков информационной безопасности в информационных системах”;
  • методологию, разработанную аналитиками R-Vision;
  • ISO 27005;
  • NIST;
  • OCTAVE;
  • FAIR;
  • простые 3-х уровневые схемы и многие другие.

Система также допускает возможность добавления и настройки пользователем собственных методик расчета рисков. В зависимости от выбранного режима параметры рисков рассчитываются автоматически или оцениваются вручную экспертами.

Формирование карты рисков

Формирование карты рисков и плана обработки

R-Vision SGRC позволяет не только рассчитывать уровни рисков, но также отслеживать их изменение с течением времени. Результаты всех завершенных оценок сохраняются в карте рисков, содержащей информацию об источниках и предпосылках отдельных рисков, о защитных мерах, оказывающих влияние на их уровень, связанных инцидентах и мероприятиях по обработке, а также значения параметров рисков за различные промежутки времени. Данные из карты рисков учитываются при проведении последующих оценок рисков информационной безопасности – система автоматически отмечает соответствующие риски как актуальные и заполняет необходимые параметры.

В отношении идентифицированных рисков участниками оценки формируется план мероприятий по обработке, в рамках которого оценивается стоимость и эффективность выбранной стратегии обработки рисков. Система позволяет отслеживать статусы реализации запланированных мероприятий и учитывает их при проведении новых оценок.

Учет и контроль элементов системы защиты организации

R-Vision SGRC позволяет вести учет всех документов по информационной безопасности в организации. По загруженным в систему документам могут быть определены различные атрибуты, назначены ответственные за пересмотр и актуализацию, сроки действия, указаны пользователи, имеющие доступ к документам. Загруженные документы могут быть связаны с различными элементами системы – активами, задачами, замечаниями, аудитами ИБ и др.

Также в рамках R-Vision SGRC может быть обеспечен учет и контроль состояния всех организационных и технических мер защиты, реализованных для соответствующих активов организации. По всем защитным мерам могут быть заданы ответственные лица, нормативные документы, стоимостные и другие характеристики. Состав и статус внедрения защитных мер автоматически учитывается при проведении оценок рисков и корректируется при реализации соответствующих мероприятий по обработке рисков.

Адаптируемая логика

Отличительной чертой R-Vision SGRC является широкий спектр возможностей по адаптации логики работы системы под специфику и особенности каждой отдельной организации.

Система поддерживает создание собственных каталогов угроз, уровней оценки ценности и атрибутов безопасности активов, качественных и количественных схем оценки, позволяющих проводить оценку рисков по собственным методикам организаций.

Возможна загрузка пользовательских комплексов требований, шкал оценки, уровней критичности замечаний, а также формирование собственных перечней контрольных проверок. Пользователи также могут загружать собственные каталоги защитных мер, создавать новые типы документов и их атрибуты.

Повышение осведомленности пользователей по вопросам кибербезопасности

Повышение осведомленности пользователей – одна из наиболее эффективных мер по снижению риска информационной безопасности. Платформа R-Vision SGRC позволяет проводить обучение и тестирование персонала по вопросам кибербезопасности, благодаря интеграции с сервисом «Антифишинг».

Данный функционал позволяет выстроить в организации систему по контролю подверженности пользователей фишинговым атакам, назначать и отслеживать прохождение тренингов и специальных тестов, использовать готовые учебные материалы, а также проводить учебные кибератаки.

Повышение осведомленности пользователей с помощью R-Vision SGRC позволяет:

  • Вовлечь в процесс обучения всех пользователей
  • Выявить сотрудников, входящих в повышенную группу риска
  • Мотивировать персонал на изучение материалов по кибератакам
  • Выработать навыки безопасного поведения пользователей при работе с электронной почтой и веб-ресурсами, а также в случае инцидентов ИБ

Визуализация и отчетность

Средства аналитики и визуализации R-Vision SGRС дают наглядную информацию о текущем состоянии информационной безопасности в компании и динамике изменений.   Доступные в системе дашборды, графики, диаграммы, интерактивные схемы позволяют контролировать ключевые показатели и метрики, оценивать эффективность проводимых мероприятий и принимать обоснованные решения. Вся визуальная информация в R-Vision SGRC интерактивна, что позволяет перейти от визуальной формы к исходным данным.

Конструктор графиков R-Vision SGRС позволяет визуализировать информацию в виде различных типов диаграмм в необходимых разрезах. Для наиболее часто используемых режимов отображения информации предусмотрены шаблоны графиков.

В R-Vision SGRC предустановлен широкий набор готовых отчетов, что позволяет быстро формировать необходимый пакет документов по результатам проведения аудита и оценки рисков. Для выгрузки данных по собственному шаблону в системе предусмотрен конструктор отчетов.

R-Vision SGRC может формировать отчеты в автоматическом режиме по расписанию и рассылать их заданным пользователям по электронной почте.

Результаты внедрения

  • Своевременная оценка ИБ-рисков, выявление потенциальных нарушителей, оценка вероятности реализации угроз ИБ и возможного ущерба.
  • Подбор оптимальных мер защиты, исходя из оценки ИБ-рисков, текущего состояния системы защиты и доступного бюджета.
  • Визуализация и прозрачность информации о текущем состоянии ИБ, эффективности реализованных мер защиты для расстановки приоритетов, согласования бюджета и принятия управленческих решений.
  • Автоматическое формирование отчетности для внутренних нужд и предоставления регуляторам.
  • Обеспечение соответствия требованиям регуляторов с минимальными трудозатратами.

Масштабирование и развитие

R-Vision SGRC является одним из ключевых элементов при создании центра управления информационной безопасности (ЦУИБ).

Интеграция R-Vision SGRC с системой мониторинга, корреляции и анализа событий информационной безопасности (SIEM), с подключением решения по автоматизации управления инцидентами ИБ (R-Vision IRP) и дополнения системой автоматизация процессов анализа информации об угрозах (R-Vision TIP) позволят создать полнофункциональный центр управления информационной безопасностью (ЦУИБ) корпоративного, отраслевого или крупного территориального (областного) уровня.

Компания МультиТек Инжиниринг поставляет, внедряет и сопровождает как отдельные решения, так и комплексные системы обеспечения и управления информационной безопасностью.

Мы предлагаем демонстрацию возможностей и пилотирование решений заинтересованным организациям.