02 Февраля 2026 14:58 02 Фев 2026 14:58 | фото: ru.freepik.com |

Поделиться

Что умеет первая в России SGRC-платформа нового поколения с ИИ

Правовая основа GRC

GRC направление при развитии продуктов опирается на современные требования отечественных и международных стандартов в области обеспечения информационной безопасности, например:

• ISO 27005:2022 Information security, cybersecurity and privacy protection — Guidance on managing information security risks.
• NIST Cybersecurity Framework (CSF) 2.0 — Cybersecurity concept for managing and mitigating cybersecurity risks.
• ISO 22301, ГОСТ Р ИСО 22301 — Системы менеджмента непрерывности бизнеса. Общие требования.
• ГОСТ Р ИСО/МЭК 27005 Информационная безопасность, кибербезопасность и защита частной жизни. Руководство по управлению рисками информационной безопасности. Требования и руководства.

NG SGRC предлагает аналитику универсальную платформу для проведения оценок и позволяет анализировать информацию как самостоятельно, так и с привлечением экспертов с помощью персонализированных опросов. Например, можно собрать данные о потенциальном ущербе от бизнес-подразделений и о вероятности угроз от технических специалистов. Оценка может выполняться как вручную (через заполнение форм), так и автоматически, с учетом существующих мер защиты и данных прошлых оценок.

Управление информационной безопасностью (Governance)

Security Vision Governance позволяет комплексно подходить к управлению информационной безопасностью и последовательно выстроить процессы информационной безопасности в организации.

Приступая к развитию информационной безопасности в организации, необходимо сформировать миссию и видение ИБ, создать список ключевых ролей и назначить на них сотрудников. В продукте заложен фреймворк по принципу ролевой матрицы RASCI, с возможностью корректировать его с учетом особенностей конкретной организации и явным обозначением ролей, которые не были назначены.

Таким образом с помощью Security Vision NG SGRC формируется организационный контекст организации, состоящий в определении области действия информационной безопасности, а также заинтересованных сторон, которые бывают двух типов:

• внутренние (различные подразделения, лица принимающие решения);
• внешние (регуляторы в области информационной безопасности, партнеры, акционеры).

Требования каждой из заинтересованных сторон, а также их приоритет, впоследствии учитываются для оценки рисков информационной безопасности.

Стратегия кибербезопасности является основным документом, определяющим направление развития информационной безопасности в организации. На этом уровне выбирается фреймворк, которого организация планирует придерживаться. В продукте представлены для выбора два основных фреймворка — NIST CSF 2.0 и ISO 27001. При этом есть возможность создать собственный фреймворк либо комбинировать его с уже имеющимися.

Также определяются основные элементы управления рисками, которые в дальнейшем будут использованы при оценке и обработке рисков информационной безопасности:

• бизнес-риски;
• процесс управления рисками;
• методика управления рисками;
• риск-аппетит и толерантность к риску.

На базе выбранного фреймворка проводится анализ текущего и целевого состояния информационной безопасности в организации, на основе которого формируется стратегический план дальнейших мероприятий. Стратегический план может быть гибко разбит на этапы в зависимости от временных рамок, и на каждом этапе создаются задачи на конкретного исполнителя. Прогресс выполнения задач и проектов удобно отслеживать на сводном дашборде.

Перечень процессов информационной безопасности автоматически формируется после выбора фреймворка. В Security Vision SGRC представлены типовые процессы описанием их этапов или необходимых действий. Также к большинству процессов привязаны частные политики информационной безопасности, которые регламентируют данные процессы, а также определяют процедуры выполнения необходимых действий в рамках конкретных процессов.

Для большинства политик, включая основную политику информационной безопасности, в продукте предоставлены шаблоны, которые помогут быстро сформировать итоговые документы.

Для поддержания актуального состояния ИБ выработан гибкий подход, в котором можно настроить интервалы уведомлений о необходимости пересмотра, обновления или улучшения основных сущностей, на каждой из которых настроены роли причастных сотрудников.

Управление соответствием НМД

Security Vision Compliance Management предлагает инструменты для проверки соответствия стандартам и лучшим практикам, охватывающие как организацию в целом, так и отдельные бизнес-активы, подразделения, бизнес-процессы или другие элементы инфраструктуры. Система обеспечивает гибкость в выборе методики оценки, предоставляя возможность использовать стандарты из пакета экспертиз или применять собственные методики.

Благодаря платформе процесс оценки становится автоматизированным, что значительно сокращает количество рутинных операций и позволяет более эффективно собирать и обрабатывать информацию, объединяя все необходимые данные в одном окне для удобного доступа и анализа.

Оценка соответствия может включать проведение аудитов информационной безопасности, тестирование на проникновение, анализ политик безопасности и процедур управления доступом и предлагает пользователю наиболее используемые стандарты, фреймворки и лучшие практики, например:

• приказы ФСТЭК 17, 21, 31, 239;
• ГОСТ 57580;
• положение Банка России № 716-П;
• Федеральный закон №187;
• Федеральный закон №152;
• Федеральный закон № 63-ФЗ;
• PCI DSS 4.0;
• NIST Cybersecurity Framework 2.0;
• CIS (Critical Security Controls).

Пользователям предоставляется возможность создавать собственные стандарты или проводить процедуру самооценки, комбинируя требования из существующих или разрабатывая собственные, что обеспечивает гибкость и адаптацию к специфическим потребностям организации.

Процесс оценки соответствия информационных систем и организаций включает анализ текущего состояния и проверку на соответствие установленным стандартам безопасности данных с полным циклом управления задачами.

Ключевым элементом процесса оценки является автоматическая генерация опросных листов, которые распределяются между различными подразделениями для заполнения. Статус отслеживается автоматически в режиме реального времени, а система собирает и анализирует полученные данные, формируя единую картину состояния объекта оценки и автоматически генерируя план мероприятий по устранению выявленных несоответствий.

Система отправляет уведомления по всем переходам по статусам жизненного цикла как процессов оценки, так и опросных листов на привычные для организации каналы коммуникации: почту, Telegram и др.

По результатам опросов формируется план мероприятий, по которому система автоматически выявляет несоответствия требованиям и генерирует задачи на их устранение. Вкладка «План мероприятий» позволяет отслеживать прогресс выполнения задач и моделировать влияние внедренных мер на общий уровень безопасности.

После создания процедуры оценки формируются опросы и назначаются ответственные лица. Для удобства управления на карточке процесса отображается список отправленных опросов. Каждый заполненный опрос проходит проверку и согласование, а при необходимости опрос возвращается на доработку.

Этот интегрированный подход не только повышает уровень защиты информационных систем, но и улучшает управляемость процесса их приведения в соответствие лучшим практикам и требованиям регуляторов, что при отсутствии систем класса SGRC довольно трудозатратно и сложно управляемо.

Управление рисками кибербезопасности

Security Vision Risk Management охватывает весь жизненный цикл процесса управления рисками, начиная с этапа определения среды и описания бизнес и ИТ-компонентов инфраструктуры.

Последующие этапы анализа и оценки рисков поддерживают качественный и количественный методы оценки. Сервис позволяет аналитику провести оценку полностью самостоятельно либо собрать данные от экспертов с помощью опросных листов, используя подход модуля управления соответствием. На этапе обработки рисков пользователи могут моделировать различные конфигурации внедрения мер защиты с целью выбора оптимального набора по соотношению затрат и эффективности, оценка угроз безопасности информации основана на:

• методике ФСТЭК от 5 февраля 2021 года;
• качественной оценке рисков кибербезопасности;
• количественной оценке по методике FAIR (Factor Analysis of Information Risk);
• моделировании рисков методом Монте-Карло.

Функционал моделирования рисков методом Монте-Карло позволяет пользователям проводить множество итераций сценариев, используя случайные величины для учета возможных изменений и вариаций в данных. В результате пользователь сможет оценить потенциальную величину потерь и подверженность риску, а с помощью параметров распределения частоты и ущерба отследить минимум/среднее/максимум значений для дальнейшего.

Проведение оценки может как полностью проходить в онлайн формате, так и быть частично вынесено в офлайн за счет функционала импорта и экспорта данных в файл (составление опросных листов, методик оценки, формирование стандартов, этап сбора информации), что полезно для работы с удаленными локациями. Все качественные оценки переводятся в балльную систему, в рамках которой результаты оценки могут быть рассчитаны с учетом принятых в конкретной организации практик (среднее, медиана, максимум и др.). За счет этого качественная и количественная оценка рассчитываются по единым формулам.

После того как все данные собраны и показатели риска рассчитаны, в системе применяется функционал обработки рисков, в рамках которого пользователь может смоделировать эффект от внедрения тех или иных мер защиты и сопоставить их стоимость со степенью снижения риска при их внедрении. Таким образом, в интерфейсе системы можно подобрать наиболее адекватный набор мер по соотношению «Цена и эффективность».

Из этого же окна пользователю доступно создание задач на обработку риска. Механизм задач на внедрение мер защиты предоставляет возможность отслеживать выполнения сроков взятия в работу и исполнения, переназначать ответственных, принимать/отправлять задачи на доработку. Жизненный цикл задач можно кастомизировать.

Благодаря функционалу определения ключевых индикаторов риска (КИР) сервис обеспечивает проактивное управление рисками: система непрерывно мониторит состояние безопасности, автоматически выявляя потенциальные угрозы и оповещая ответственных лиц о необходимости принятия мер. Пользователь может точно настраивать, для каких именно рисков актуален конкретный индикатор, а также задавать фильтры для автоматической выборки рисков. Такой подход обеспечивает более оперативное и точное реагирование на потенциальные угрозы, улучшая общие показатели кибербезопасности.

Сервис включает в себя справочники из Банка данных угроз безопасности информации ФСТЭК и позволяет реализовывать моделирование угроз и сценарии реализации рисков на основе уже готового и взаимосвязанного набора данных. Эти справочники состоят из следующих элементов:

• негативные последствия;
• типы нарушителей;
• угрозы;
• компоненты воздействия;
• способы реализации угроз;
• меры защиты.

Управление непрерывностью бизнеса

Security Vision Business Continuity Management – это решение для автоматизации процесса обеспечения непрерывности и восстановление деятельности (ОНиВД) после наступления чрезвычайных ситуаций. Продукт находится на стыке технологий: затрагивает как процессы ИБ, оперируя последствиями реализации угроз, связанных с отказом работоспособности информационных систем, оборудования, утраты ключевых поставщиков, персонала или помещений, так и процессы ИТ, анализируя информационную модель предприятия, обслуживающие ресурсы, метрики работоспособности активов и процедуры восстановления.

Решение обеспечивает реализацию процесса на всех стадиях его жизненного цикла:

На этапе «Анализ воздействия на бизнес и оценка риска» посредством опроса владельцев ресурсов собирается информация о бизнес-процессах и их зависимости от различных ресурсов компании. Целью этого процесса является определение операционных, юридических и финансовых последствий сбоев и выявление ключевых метрик.

На этапе «План обеспечения непрерывности бизнеса» продукт позволяет систематизировать планы обеспечения непрерывности конкретных бизнес-процессов по конкретным типам чрезвычайных ситуаций.

На этапе «Определение и внедрение процедур непрерывности бизнеса» используется встроенная система заявок, в которой можно поставить и проконтролировать выполнение задач на приведение инфраструктуры в соответствии утвержденным планам обеспечения непрерывности.

Также реализована возможность проводить регулярные тестирования планов непрерывности с оценкой достижения ключевых показателей эффективности.

Анализ воздействия на бизнес и оценка риска (BIA, Business Impact Analysis) дает возможность сформировать область оценки процесса. При этом на графе связей отразятся объекты, по которым будут созданы опросные листы. Граф связей, в свою очередь, является интерактивным и позволяет раскрывать связи объектов для отображения их зависимостей, а также добавлять объекты к области оценки.

В ходе оценки аналитик обладает широкими возможностями для управления опросами: корректировать сроки заполнения, назначать новых ответственных, отзывать устаревшие опросные листы и создавать новые. Это особенно полезно при обнаружении новых объектов оценки, не учтенных на начальном этапе. В системе справочников можно создать любое количество дополнительных вопросов с любым количеством ответов, а предустановленные вопросы настроены в зависимости от релевантных для конкретной организации значений параметров, например:

• периоды прерывания деятельности;
• типы последствий;
• категории последствий;
• стратегии действий в случае недоступности ресурса.

Промежуточные итоги заполнения опросных листов всегда доступны аналитику BCM на краткой и полной карточке процесса оценки в удобном для анализа виде. Информация о выявленных расхождениях ключевых метрик или внесении изменений в свойства объекта отображается в форме всплывающих подсказок на соответствующих опросных листах.

Результатом данного этапа становится и автоматизированный расчет значений ключевых параметров, таких как:

• максимально допустимый период прерывания деятельности (MTPD);
• целевая продолжительность восстановления (RTO);
• целевая точка восстановления (RPO).

План обеспечения непрерывности бизнеса (BCP, Business Continuity Plan) представляет собой сущность, которая аккумулирует в себе актуальную информацию по бизнес-процессам данного подразделения в разрезе критичности и ключевых метрик и включает в себя:

• конкретные шаги по устранению сбоев;
• условия активации и деактивации плана;
• роли и обязанности, ключевые контакты;
• описание методов и средств коммуникации.

План восстановления (DRP, Disaster Recovery Plan) содержит в себе набор сценариев чрезвычайных ситуаций и перечень действий для каждого из них. Действия разбиваются на три этапа, которые могут быть как последовательными, так и параллельными:

• немедленные меры в случае ЧС (эвакуация персонала, вызов пожарной бригады);
• меры по поддержанию функционирования подразделения (перевод на удаленную работу, переезд на альтернативную площадку);
• меры по восстановлению нормального функционирования подразделения (восстановление ИТ-инфраструктуры).

Для каждого действия указываются ответственный за него и максимально допустимый срок исполнения. Также указываются заранее выработанные критерии возврата к нормальному функционированию бизнеса. Таким образом, при активации плана непрерывности будет реализован тот план действий, который отвечает за произошедшую нештатную ситуацию.

Эффективное взаимодействие участников процесса обеспечивается встроенной матрицей коммуникации, в которую входят контакты и роли ответственных за исполнение плана, а также внешние и внутренние экстренные контакты организации, а за поддержание актуальности плана непрерывности отвечает отдельный объект «План тестирования». По результатам проведенного тестирования составляется и прикладывается отчет о его успешности, а в случае выявления не прошедших тестирование этапов – создается задача на внесение корректировок в соответствующий план непрерывности.

Тестирование проводится на регулярной основе, и система автоматически рассылает ответственным лицам уведомления о необходимости провести то или иное тестирование в зависимости от заданного расписания и графика.

Управление активами и инвентаризацией

Ядром NG SGRC служит ресурсно-сервисная модель, которая позволяет детально воссоздать информационную структуру предприятия и охватывает все уровни организации, от фундаментальных бизнес-процессов до технических активов, обеспечивая целостное представление о деятельности компании. Анализ может проводиться как для всей организации, так и для отдельных информационных систем как на высоком уровне для совокупностей объектов, так и детально для конкретного рабочего места, принтера или телефона.

Данная модель данных позволяет описать все необходимые объекты, начиная с фундаментальных сущностей, которыми оперирует бизнес, и заканчивая техническими активами, которые являются необходимыми ресурсами для реализации бизнес-активов. Ключевыми бизнес-объектами в ресурсно-сервисной модели являются:

• бизнес-процесс;
• продукт;
• поставщик;
• помещение;
• технологическое оборудование.

Для каждого объекта есть свой набор атрибутов с возможностью редактирования и настройкой взаимосвязей с другими объектами в организации. В целом, объекты связаны между собой иерархичным образом в соответствии с разработанной моделью данных. Таким образом, учитывается принцип зависимости одной сущности от другой (например, бизнес-процесс может полностью зависеть от функционирования определенной информационной системы). Благодаря наличию визуального представления в виде графа можно отследить взаимосвязи между объектами до уровня необходимой детализации.

Аналогичную ресурсно-сервисную модель получают пользователи последних версий on-premise продуктов Security Vision, направленных на автоматизацию управления инцидентами и уязвимостями, управление непрерывностью бизнеса и, конечно же, управление активами и инвентаризацией.

Сформировать модель активов можно двумя методами:

1. автоматическая загрузка посредством API из модуля управления активами и инвентаризацией, расположенного в инфраструктуре заказчика;
2. автоматизированно, путем передачи файлов с последующим парсингом.

Ролевая модель

NG SGRC включает в себя возможность гибкого управления доступом, позволяющую адаптировать процесс оценки под любую организацию: система поддерживает создание ролей с индивидуальными настройками прав доступа к данным, отчетам и функционалу. Пользователь может совмещать несколько ролей, расширяя свои полномочия. Конструктор ролей позволяет легко настраивать систему под конкретные требования бизнеса.

Аналитика

Финальную в текущем обзоре немаловажную часть сервиса обеспечивает аналитический движок — визуальный конструктор виджетов и дашбордов, отчетов и объектов. Сервис предлагает «из коробки» набор различных дашбордов для интерактивной аналитики по различным срезам данных.

Аналитический дашборд для глубокого анализа исторических данных:

• выбор произвольного периода для анализа;
• сравнение показателей за разные периоды;
• трендовые графики для выявления динамики изменений;
• свертка данных по различным срезам (например, по типам процессов, отделам, регионам);
• количество проведенных оценок;
• динамика изменения показателей соответствия.

Стратегический дашборд для оценки общего состояния системы менеджмента и выявление областей для улучшения:

• установка пользовательских пороговых значений.
• визуализация достижений стратегических целей.
• сравнение показателей с плановыми значениями.
• идентификация «узких мест», рисков и особо важных активов;
• общий процент соответствия требованиям;
• эффективность корректирующих действий.

Операционный дашборд для мониторинга текущего состояния процессов оценки:

• отслеживание статуса каждой оценки в реальном времени;
• идентификация задержек и проблемных процессов;
• определение приоритетов для действий;
• процент завершенных оценок.

Для географически распределенных организаций полезной будет аналитика на карте:

• отображение географического расположения подразделений;
• цветная кодировка для индикации уровня соответствия;
• возможность фильтрации по различным параметрам (например, типу оценки, региону);
• средний показатель соответствия и количество отклонений по регионам.

Security Vision SGRC для СМБ

Недавно компания вывела на рынок решение Security Vision SGRC Basic, предназначенное для среднего и малого бизнеса (СМБ). Продукт обеспечивает управление ключевыми процессами информационной безопасности на базе риск-ориентированного подхода и позволяет максимально быстро привести процессы обеспечения информационной безопасности на более высокий уровень. SGRC Basic также доступен в виде облачного сервиса (SaaS).

Ключевые особенности Security Vision SGRC для СМБ:

• Быстрое начало работы и исключение затрат ресурсов на внедрение и эксплуатацию.

Security Vision SGRC Basic — все компоненты устанавливаются в рамках одного виртуального или физического сервера (на одну операционную систему), ускоряя процессы внедрения и поддержки, что важно для компаний малого и среднего размеров.

Security Vision SGRC SaaS — все компоненты уже развернуты и готовы к использованию, что позволяет бизнесу сосредоточиться на профильных задачах, а не на поддержке оборудования и обновлениях. Это позволяет компаниям, особенно СМБ, избежать капитальных затрат и трансформировать их в операционные расходы, которые легче прогнозировать и контролировать.

• Регулярная поставка обновлений контента от центра экспертизы Security Vision.
• Бюджетная стоимость подписки.

Более подробная информация о Security Vision SGRC Basic и Security Vision SGRC SaaS доступна в разделах https://www.securityvision.ru/products/sgrc-basic/ и https://www.securityvision.ru/products/sgrc-saas/, а также у официального дистрибьютора Security Vision по линейке Basic — OCS Distribution.

Поделиться

Подписаться на новости Короткая ссылка