R-Vision Security GRC Platform

Платформа для централизованного управления информационной безопасностью, моделирования рисков и автоматизации аудита ИБ

R-Vision Security GRC Platform (SGRC) – это программная платформа для автоматизации процесса управления рисками и проведения внутреннего аудита. Система позволяет рассчитывать прямые и производные риски активов, отслеживать изменение их уровня с течением времени, формировать план обработки с возможностью контроля статуса мероприятий и создавать модель угроз в соответствии с требованиями ФСТЭК.

Для проведения аудита в системе доступен широкий набор основных стандартов и лучших практик в области ИБ. R-Vision Security GRC позволяет учитывать требования к оценке соответствия таких стандартов как СТО БР ИББС, положение №382-П, ГОСТ Р ИСО/МЭК 27001 и др. и автоматически формировать необходимый пакет документов. Благодаря гибкой системе настроек организации могут загружать в систему собственные стандарты, алгоритмы оценки рисков и базы угроз.

Оценка рисков информационной безопасности

Оценка рисков является одним из ключевых процессов в рамках обеспечения информационной безопасности организации. R-Vision SGRC позволяет оценивать как прямые, так и производные риски активов, основываясь на взаимосвязи их атрибутов безопасности. При оценке уровня риска учитывается ценность актива, применяемые в организации средства контроля, а также результаты предыдущих оценок. Организации могут использовать качественные или количественных схемы оценки, выбрав одну из предустановленных методик (простые 3-х уровневые схемы, FAIR, оценка по требованиям РС БР ИББС-2.2-2009, ALE, схема, разработанная специалистами R-Vision) или создав свою собственную.  В зависимости от выбранного режима параметры рисков рассчитываются автоматически или оцениваются вручную экспертами.

Формирование карты рисков и плана обработки

R-Vision SGRC позволяет не только рассчитывать уровни рисков, но также отслеживать их изменение с течением времени. Результаты всех завершенных оценок сохраняются в карте рисков, содержащей информацию об источниках и предпосылках отдельных рисков, о защитных мерах, оказывающих влияние на их уровень, связанных инцидентах и мероприятиях по обработке, а также значения параметров рисков за различные промежутки времени. Данные из карты рисков учитываются при проведении последующих оценок рисков информационной безопасности – система автоматически отмечает соответствующие риски как актуальные и заполняет необходимые параметры.

В отношении идентифицированных рисков участниками оценки формируется план мероприятий по обработке, в рамках которого оценивается стоимость и эффективность выбранной стратегии обработки рисков.  Система позволяет отслеживать статусы реализации запланированных мероприятий и учитывает их при проведении новых оценок.

Моделирование угроз по требованиям ФСТЭК

R-Vision SGRC позволяет автоматизировать процесс создания Модели угроз безопасности информации по требованиям ФСТЭК. Простой и интуитивно понятный интерфейс обеспечивает быстрый ввод всех необходимых параметров оцениваемых информационных систем. Актуальность угроз определяется автоматически в соответствии с документом ФСТЭК «Методика определения угроз безопасности информации в информационных системах» (2015 г.). Перечень возможных угроз формируется на основании Банка данных угроз безопасности информации ФСТЭК. По результатам проведённых оценок формируется Модель угроз безопасности информации, структура и содержание которой полностью соответствуют требованиям, предъявляемым Федеральной службой по техническому и экспортному контролю.

Оценка соответствия по требованиям основных стандартов в области информационной безопасности

Аудит информационной безопасности является одним из ключевых инструментов контроля обеспечения ИБ в организации. Программная платформа R-Vision SGRC поддерживает проведение оценки соответствия по требованиям основных стандартов и лучших практик в области информационной безопасности: ГОСТ Р ИСО/МЭК 27001-2006, СТО БР ИББС-1.0-2014, PCI DSS, SWIFT CSP и др. Организации также могут загружать в систему собственные стандарты для проведения аудита. По результатам оценки системой автоматически рассчитывается индекс соответствия, изменение уровня которого отслеживается с течением времени, а также формируется необходимый пакет документов.

Унификация контроля соблюдения пересекающихся требований

Необходимость соответствия большому числу пересекающихся требований отнимает много времени и сил у специалистов по обеспечению информационной безопасности организации. В качестве решения данной проблемы R-Vision SGRC предлагает функционал контрольных проверок. Контрольные проверки позволяют связывать требования различных стандартов, касающиеся смежных аспектов информационной безопасности, а также отслеживать внедрение связанных мер контроля. Последующая оценка контрольных проверок позволяет в автоматическом режиме заполнять формы проведения аудита по соответствующим требованиям.

Контроль устранения замечаний по аудиту

В ходе проведения оценки соответствия организациям необходимо фиксировать возникающие замечания и недочеты. Система R-Vision SGRC обеспечивает формирование единого перечня замечаний по аудиту с возможностью указания ответственного, сроков устранения, уровня критичности, а также связанных активов. При создании замечания в соответствующем разделе автоматически формируется задача по устранению, статус и исполнитель которой синхронизируется с замечанием, что позволяет осуществлять контроль за его устранением.

Учет и контроль элементов системы защиты организации

R-Vision SGRC позволяет вести учет всех документов по информационной безопасности в организации. По загруженным в систему документам могут быть определены различные атрибуты, назначены ответственные за пересмотр и актуализацию, сроки действия, указаны пользователи, имеющие доступ к документу. Загруженные документы могут быть связаны с различными элементами системы – активами, задачами, замечаниями, аудитами ИБ и др.

Также в рамках R-Vision SGRC может быть обеспечен учет и контроль состояния всех организационных и технических мер защиты, реализованных для соответствующих активов организации. По всем защитным мерам могут быть заданы ответственные лица, нормативные документы, стоимостные и другие характеристики. Состав и статус внедрения защитных мер автоматически учитывается при проведении оценок рисков и корректируется при реализации соответствующих мероприятий по обработке рисков.

Адаптируемая логика

Отличительной чертой R-Vision SGRC является широкий спектр возможностей по адаптации логики работы системы под специфику и особенности каждой отдельной организации.

Система поддерживает создание собственных каталогов угроз, уровней оценки ценности и атрибутов безопасности активов, качественных и количественных схем оценки, позволяющих проводить оценку рисков по собственным методикам организаций.

Возможна загрузка пользовательских комплексов требований, шкал оценки, уровней критичности замечаний, а также формирование собственных перечней контрольных проверок. Пользователи также могут загружать собственные каталоги защитных мер, создавать новые типы документов и их атрибуты.

Визуализация и отчетность

R-Vision SGRC предлагает широкий набор средств визуализации информации. Кастомизируемые дашборды обеспечивают представление информации в виде графиков и диаграмм, содержащих функции перехода от графиков к соответствующей им информации (drill-down).

Посредством графиков организации могут отслеживать историю изменений уровня рисков по активу, статус мероприятий по обработке рисков и оценивать общую эффективность выбранной схемы по снижению уровня риска.

Графики в области аудита позволяют контролировать уровень соответствия активов нормативным требованиям, изменение индекса соответствия с течением времени, а также статус открытых замечаний аудита.

Также R-Vision SGRC содержит широкий список готовых отчетов, позволяет автоматически формировать пакеты документов по результатам проведения аудита, генерировать Модель угроз безопасности информации по требованиям ФСТЭК. Правила создания и рассылки отчетов позволяют настроить расписание автоматической генерации документов и их отправки соответствующим адресатам.

Scroll Up