Компания Security Vision представила обновленный продукт Security Vision SGRC

Компания Security Vision вывела на рынок обновленный продукт Security Vision SGRC, в который был добавлен раздел Управление информационной безопасностью (Governance). В совокупности с уже давно зарекомендовавшими себя разделами SGRC Управлением рисками (RiskManagement), Управлением соответствием требованиям (Compliance Management) и Управлением непрерывностью бизнеса (Business Continuity Management) раздел Управление информационной безопасностью позволяет комплексно подходить к управлению информационной безопасности, обеспечивая следующие процессы:

• Формирование перечня ключевых ролей
• Определение организационного контекста
• Формирование стратегии кибербезопасности
• Определение процессов управления информационной безопасностью
• Формирование политик и процедур информационной безопасности
• Контроль выполнения задач и мероприятий по информационной безопасности
• Улучшение процессов и процедур управления информационной безопасностью
• Оценка текущего и целевого состояние информационной безопасности

Вступительный этап

Приступая к развитию информационной безопасности в организации, необходимо сформировать миссию и видение информационной безопасности, сформировать список ключевых ролей и назначить на них сотрудников. В продукте заложены необходимые шаблоны для этого, с возможностью корректировать с учетом особенностей конкретной организации. Также будут подсвечиваться роли, если сотрудник на них не был назначен.

Организационный контекст

Организационный контекст организации состоит в определении области действия информационной безопасности, а также заинтересованных сторон, которые бывают двух типов:

• Внутренние (различные подразделения, лица принимающие решения)
• Внешние (регуляторы в области информационной безопасности, партнеры, акционеры)

Требования каждой из заинтересованных сторон, а также их приоритет, впоследствии учитываются для оценки рисков информационной безопасности.

Стратегия кибербезопасности

Стратегия кибербезопасности является основным документом, определяющий направление развития информационной безопасности в организации. На этом уровне выбирается фреймворк, которого организация планирует придерживаться. В продукте представлены для выбора два основных фреймворка NIST CSF 2.0 и ISO27001. При этом есть возможность создать собственный фреймворк либо комбинировать их с уже имеющимися.

Также определяются основные элементы управления рисками, которые в дальнейшем будут использованы при оценке и обработке рисков информационной безопасности:

• Бизнес-риски
• Процесс управления рисками
• Методика управления рисками 
• Риск-аппетит и толерантность к риску

 На базе выбранного фреймворка проводится анализ текущего и целевого состояния информационной безопасности в организации, на основе которого формируется стратегический план дальнейших мероприятий. Стратегический план может быть гибко разбит на этапы в зависимости от временных рамок, и на каждом этапе создаются задачи на конкретного исполнителя. Прогресс выполнения задач и проектов удобно отслеживать на сводном дашборде.

Процессы и политики информационной безопасности

Перечень процессов информационной безопасности автоматически формируется после выбора фреймворка. В продукте представлены типовые процессы описанием их этапов или необходимых действий. Также к большинству процессов привязаны частные политики информационной безопасности, которые регламентируют данные процессы, а также определяют процедуры выполнения необходимых действий в рамках конкретных процессов.

Для большинства политики, включая основную политику информационной безопасности, в продукте предоставлены шаблоны, которые помогут быстро сформировать итоговые документы.

Непрерывный процесс улучшения и пересмотра

Для поддержания актуального состояния информационной безопасности выработан гибкий подход, в котором можно настроить интервалы уведомлений о необходимости пересмотра, обновления или улучшения основных сущностей, на каждой из которых настроены роли причастных сотрудников по принципу матрицы RASCI. 

Отчеты и дашборды

Помимо сводного дашборда, на котором удобно отслеживать текущее состояние информационной безопасности,  в продукте проработаны отчеты по основным составляющим с возможностью применять пользовательские шаблоны, что особенно удобно, если в организации существуют принятые формы отчетности.

Справка о платформе Security Vision

Платформа автоматизации и роботизации процессов обеспечения информационной безопасности Security Vision – первая в ИБ ИТ-платформа Low code / No code, позволяющая роботизировать до 95% программно-технических ИТ / ИБ функций в круглосуточном режиме, тем самым обеспечивая непрерывное реагирование на угрозы, киберинциденты, поиск ИТ-активов и управление конфигурациями, поиск и управление уязвимостями, анализ данных и управление процессами. Является 100% российской разработкой, включена в Реестр российского ПО (№364 от 08.04.2016).

Выполнена на уровне мировых аналогов, получила широкое признание экспертного сообщества. Среди заказчиков - Сбербанк, Альфа-Банк, Евраз, Черкизово, ФСО России, Т-Банк, Газпромбанк, Северсталь, МКБ, Норникель, Совет Федерации, Гознак, Почта России, Магнит и многие другие государственные органы и коммерческие структуры.

Включена в перечень особо значимых проектов Минцифры России (ключевых проектов по разработке и внедрению российских решений в сфере ИТ, направленных на замещение зарубежных аналогов российскими решениями и обеспечение ускоренного развития ИТ‑отрасли в стране).

Обладатель 26-ти профессиональных наград, в том числе «За укрепление безопасности России», «Импортозамещение», Национальная премия «Приоритет», TAdviser IT Prize в номинации «ИБ-решение года в России», Премия Рунета в номинации «Информационная безопасность».  

Продукты на платформе Security Vision первыми в своих классах признаны системами с искусственным интеллектом и имеют соответствующие отметки в Реестре российского ПО.