Антон Ленский, РАССЭ (ГК «АйТеко») и Владислав Вайц, МГТУ им. Н.Э. Баумана подготовили обзор и сравнение SGRC-решений, представленных на российском рынке информационной безопасности. В данном направлении работает не так много вендоров, поэтому в обзоре будут участвовать 5 игроков, из которых трое - отечественные.

Напомним, что термин SGRC означает Security Governance, Risk Management and Compliance, т.е. буквально «Управление безопасностью, рисками и соответствием законодательству». Платформы SGRC, исходя из их названия, решают следующие задачи:

• Governance - менеджмент информационной безопасности с процессами автоматизации управления активами, уязвимостями, документами, задачами, стандартами, а также с возможностью визуализации состояния ИБ и создания отчетности.
• Risk Management - управление киберрисками с автоматизацией риск-ориентированного подхода к обеспечению информационной безопасности, нацеленное на экономически обоснованный выбор оптимальных мер защиты, минимизирующих выявленные и рассчитанные риски.
• Compliance - обеспечение соответствия законодательству, отраслевым и внутренним стандартам и требованиям (комплаенс), с возможностью проведения аудитов и предоставления отчетности и результатов.

Дополнительно системы SGRC могут выполнять следующие функции:

• управление внутренними документами, базой знаний и решений, выполнение функции «внутренней Wiki» для департаментов ИБ;
• управление разнообразными бизнес-процессами, связанными с защитой информации;
• управление процессами взаимодействия с контрагентами по вопросам защиты информации;
• построение отчетов и визуализация состояния ИБ в виде интерактивных графиков и диаграмм;
• обеспечение интеграции с ОС, ПО, СЗИ для получения информации о состоянии компонент инфраструктуры;
• поддержка обработки инцидентов ИБ;
• поддержка управления процессами обеспечения непрерывности бизнеса и восстановления работоспособности;
• обеспечение поддержки принятия управленческих решений для руководства (ситуационная осведомленность).

Классические бизнес-ориентированные GRC-системы сфокусированы на более широких категориях управленческих процессов и рисков, чем специализированные SGRC-решения. Однако, специализация SGRC-продуктов на кибербезопасности привносит в решения дополнительный функционал, такой как автоматизация реагирования на инциденты ИБ, взаимодействие со средствами защиты, формирование специализированной отчетности.

В обзоре представлены основные игроки на рынке SGRC-систем:

• ePlat4m (Россия)
• Microsoft 365 Compliance Center (США)
• RSA Archer (США)
• R-Vision (Россия)
• Security Vision (Россия)

Сравнивать и анализировать данные решения мы будем по их общим, техническим и функциональным характеристикам и возможностям, делая после каждого раздела выводы.

Выводы по разделу №1

Решения ePlat4m и RSA демонстрируют достаточно типовой для бизнес-продуктов уровень сложности настройки, обслуживания и поддержки, если не брать в расчет разницу в стране-производителе и потенциальной стоимости решения.

Продукт ePlat4m пока не получил широкого распространения. Однако отметим наличие у него сертификата соответствия ФСТЭК России, что является бесспорным конкурентным преимуществом, а также свидетельствует о реализованных в продукте необходимых функциях безопасности. Поэтому вполне правомерно, на наш взгляд, говорить о наличии позитивных перспектив реализации данного продукта на российском рынке, особенно среди государственных структур.

Решение RSA также продается в России не особенно активно. Кроме того, оно «заточено» под интеграцию в экосистеме продуктов от RSA и имеет единичные внедрения в России.

Аналогичным образом, решение от Microsoft сфокусировано на работе в стеке MS Azure и является, как и прочие Azure-решения, облачным, что накладывает ограничения на список потенциальных покупателей, учитывая строгие законодательные требования.

Решение R-Vision распространяется на рынке достаточно активно. Оно базируется на ОС Linux, что, как следствие, приводит к необходимости наличия в штате заказчика специалистов с необходимыми *NIX-компетенциями (работа в командной строке, настройка системных утилит Linux). Одновременно, однажды будучи настроенным, такое решение, скорее всего, покажет продолжительный Uptime.

Продукт Security Vision пользуется спросом на российском рынке. Из рассматриваемых нами систем только он и ePlat4m сертифицированы ФСТЭК России. Security Vision может функционировать в привычной среднему пользователю Windows-среде, что упрощает процесс настройки (например, его легко интегрировать в текущую среду Microsoft Active Directory), а также несколько снижает требования к компетенциям администрирующего эту систему сотрудника. Security Vision поддерживает Open Source инсталляции на базе ОС Linux и СУБД PostgreSQL, что снижает требования к финансовым затратам на ИТ-инфраструктуру заказчика.

В плане удобства эксплуатации и администрирования наиболее привлекательными представляются Microsoft Compliance Center, R-Vision и Security Vision. Документация решения R-Vision выглядит основательной, также удобной показалась контекстная справка с поиском. У Microsoft Compliance Center и Security Vision имеется документация не только на русском, но и на английском языке, а также оказывается мультиязычная техническая поддержка.

Security Vision предлагает наибольшее разнообразие типов оповещений: отправку email, СМС, Telegram-уведомлений, звуковые оповещения и всплывающие уведомления в веб-интерфейсе. У ePlat4m, RSA Archer и R-Vision заявлена только поддержка уведомлений по email, у Microsoft Compliance Center - поддержка уведомлений по email и всплывающие уведомления в веб-интерфейсе.

В плане сертификации вполне закономерно лидируют отечественные продукты. Все три рассматриваемых нами российских системы - ePlat4m, R-Vision и Security Vision - включены в Единый реестр российских программ для ЭВМ и баз данных. ePlat4m и Security Vision обладают сертификатами соответствия ФСТЭК России: ePlat4m – по СВТ(5), Security Vision - по НДВ(4) и ТУ.

Выводы по разделу №2

В плане управления информационной безопасностью, как и в предыдущем разделе, наиболее привлекательно выглядят американская Microsoft Compliance Center и отечественные R-Vision и Security Vision. Они лидируют по объемам собираемой и инвентаризируемой информации об оборудовании, возможностям интеграции со сторонними решениями, управлению уязвимостями (отметим, что по типам обрабатываемых уязвимостей лидируют Microsoft Compliance Center и Security Vision – они обрабатывают как уязвимости ПО, так и уязвимости конфигураций, в то время как ePlat4m, RSA и R-Vision обрабатывают только уязвимости ПО). В части управления задачами, документами, требованиями наряду с Microsoft Compliance Center, R-Vision и Security Vision некоторые неплохие возможности демонстрирует и ePlat4m. В плане мониторинга состояния информационной безопасности также наиболее привлекательны Microsoft Compliance Center, R-Vision и Security Vision. При этом Security Vision предоставляет наиболее широкие возможности визуализации информации и создания отчетности.

В управлении киберрисками и соответствием законодательным требованиям ePlat4m и RSA демонстрируют довольно скромные функциональные возможности. Система RSA к тому же достаточно закрыта и ориентирована больше на западного потребителя, либо на российскую «дочку» такой компании.

Функциональность решения от Microsoft в этом плане гораздо более развита. Особенно обращает на себя внимание автоматизация с использованием MS Flow / Power Automate, которая позволяет гибко управлять ИТ и ИБ процессами, а также решать большое количество бизнес-задач.

Функционал управления киберрисками R-Vision выделяется тем, что, по нашему мнению, продукт изначально был «заточен» под банки; есть и широкий набор предустановленных банковских отчетов. Данное решение с большой долей вероятности хорошо подойдет для финансовых организаций, в которых осуществляются стандартные банковские бизнес-процессы и которым будет достаточно предустановленных схем работы с рисками, комплаенсом и отчетностью. Из минусов решения R-Vision можно выделить слабые возможности настройки под нужды конкретных организаций. Многие функциональные возможности и даже некритичные параметры «зашиты» в системе и не поддаются настройке и изменению силами конечного потребителя: например, процессы управления активами и уязвимостями достаточно прямолинейны, без поддержки ветвистых процессов, а процессы управления рисками и соответствием законодательству не подойдут крупным компаниям с разветвленной структурой и сложными процессами.

Security Vision отличается гибкостью настройки, что позволяет конечному пользователю системы не только менять параметры имеющихся процессов управления ИБ, но и создавать свои процессы, которые будут максимально соответствовать принятым в организации. Однако, следует учесть, что для качественной настройки этого решения потребуется выделить существенные временные ресурсы, а также желательно иметь в штате специалиста, поддерживающего эту систему (благо, вендор проводит обучение для своих заказчиков и партнеров). Из существенно выделяющихся новаций Security Vision: 1. Модуль анализа инцидентов, содержащий модель машинного обучения и выполненный с возможностью автоматического определения команд реагирования на инцидент и передачи команд реагирования на инцидент на подключенные внешние системы и устройства является воплощением практического использования искусственного интеллекта при решении прикладных задач ИБ. 2. Функционал auto-SGRC (авторская технология), позволяющий в режиме реального времени обеспечивать соответствие требованиям регуляторов и собственных стандартов, автоматически корректировать настройки ОС, ПО и СЗИ, не имеет аналогов на отечественном рынке.

Общие выводы

В обзоре участвовали SGRC-продукты, достаточно разные как по идеологии и архитектуре, так и по функциональным возможностям.

ePlat4m фактически представляет собой «коробочное» решение без возможности гибкой и точной настройки, однако, по ряду параметров представляется перспективным и обладающим актуальными базовыми параметрами.

Решение от Microsoft заслуживает высокой оценки. В плане функционала особо хотелось бы отметить автоматизацию с использованием MS Flow / Power Automate, что позволяет гибко управлять ИТ и ИБ процессами, а также решать большое количество бизнес-задач. Минусом данного решения для отечественных заказчиков может стать тот факт, что Microsoft Compliance Center функционирует в облачной инфраструктуре Azure и оптимизирован под эту экосистему, поэтому отдельно использовать его не получится. Решение RSA Archer, хоть и не является облачным, также сфокусировано на применении в стеке продуктов компании RSA. Главным минусом решений от Microsoft и RSA является потенциальная сложность их закупки и применения во многих отечественных компаниях, связанных строгими законодательными нормами.

Решение R-Vision обладает развитым функционалом и, на наш взгляд, ориентировано на банки, причем с довольно типовыми бизнес-процессами: глубокая кастомизация и настройка разнообразных нюансов работы решения силами пользователя не предусмотрены. Однако, данный продукт создает впечатление крепкого монолита, который, будучи однажды настроенным, сможет удовлетворить требования ряда финансовых организаций.

Решение Security Vision выглядит наиболее гибким из всех рассмотренных продуктов и, по нашему мнению, способно воспроизвести достаточно сложные бизнес-процессы и адаптироваться под потребности заказчика из любой отрасли. Security Vision предлагает наибольшее разнообразие типов и возможностей коннекторов подключения. Однако, безусловно, это предполагает длительную настройку и оптимизацию продукта под индивидуальные особенности каждой конкретной организации. Существенным плюсом выглядит и функционал auto-SGRC, используемый Security Vision для автоматизации соответствия нормативным требованиям, с изменением настроек контролируемой инфраструктуры.

Заметным отличием российских систем - ePlat4m, R-Vision и Security Vision – является их включенность в Единый реестр российских программ для ЭВМ и баз данных. Кроме того, ePlat4m и Security Vision обладают сертификатами соответствия ФСТЭК России: ePlat4m – по СВТ(5), Security Vision - по НДВ(4) и ТУ.