R-Vision Security GRC Platform

Платформа для централизованного управления информационной безопасностью, моделирования рисков и автоматизации аудита ИБ

R-Vision Security GRC Platform (SGRC) – это программная платформа для автоматизации процесса управления рисками и проведения внутреннего аудита. Система позволяет рассчитывать прямые и производные риски активов, отслеживать изменение их уровня с течением времени, формировать план обработки с возможностью контроля статуса мероприятий и создавать модель угроз в соответствии с требованиями ФСТЭК.

Для проведения аудита в системе доступен широкий набор основных стандартов и лучших практик в области ИБ. R-Vision Security GRC позволяет учитывать требования к оценке соответствия таких стандартов как СТО БР ИББС, положение №382-П, ГОСТ Р ИСО/МЭК 27001 и др. и автоматически формировать необходимый пакет документов. Благодаря гибкой системе настроек организации могут загружать в систему собственные стандарты, алгоритмы оценки рисков и базы угроз.

Управление информационной безопасностью

Платформа R-Vision SGRC аккумулирует сведения о процессах информационной безопасности и обеспечивает их визуализацию, облегчая принятие управленческих решений, расстановку приоритетов по необходимым мероприятиям и согласование бюджета.

Встроенный набор метрик позволяет отслеживать результаты работы ИБ-подразделения и контролировать уровень информационной безопасности в компании в целом, эффективность реализованных мер защиты и степень соответствия требованиям регуляторов и отраслевых стандартов.

Оценка рисков информационной безопасности

Оценка рисков является одним из ключевых процессов в рамках обеспечения информационной безопасности организации. R-Vision SGRC позволяет оценивать как прямые, так и производные риски активов, основываясь на взаимосвязи их атрибутов безопасности. При оценке уровня риска учитывается ценность актива, применяемые в организации средства контроля, а также результаты предыдущих оценок.

Для оценки рисков могут доступен широкий набор предустановленных методологий, включая ISO 27005, NIST, OCTAVE, РC БР ИББС-2.2, FAIR, ФСТЭК РОССИИ, простые 3-х уровневые схемы и собственную методологию, разработанную командой R-Vision. В зависимости от выбранного режима параметры рисков рассчитываются автоматически или оцениваются вручную экспертами.

Формирование карты рисков и плана обработки

R-Vision SGRC позволяет не только рассчитывать уровни рисков, но также отслеживать их изменение с течением времени. Результаты всех завершенных оценок сохраняются в карте рисков, содержащей информацию об источниках и предпосылках отдельных рисков, о защитных мерах, оказывающих влияние на их уровень, связанных инцидентах и мероприятиях по обработке, а также значения параметров рисков за различные промежутки времени. Данные из карты рисков учитываются при проведении последующих оценок рисков информационной безопасности – система автоматически отмечает соответствующие риски как актуальные и заполняет необходимые параметры.

В отношении идентифицированных рисков участниками оценки формируется план мероприятий по обработке, в рамках которого оценивается стоимость и эффективность выбранной стратегии обработки рисков.  Система позволяет отслеживать статусы реализации запланированных мероприятий и учитывает их при проведении новых оценок.

Моделирование угроз по требованиям ФСТЭК

R-Vision SGRC позволяет автоматизировать процесс создания Модели угроз безопасности информации по требованиям ФСТЭК. Простой и интуитивно понятный интерфейс обеспечивает быстрый ввод всех необходимых параметров оцениваемых информационных систем. Актуальность угроз определяется автоматически в соответствии с документом ФСТЭК «Методика определения угроз безопасности информации в информационных системах» (2015 г.).

Перечень возможных угроз формируется на основании встроенного Банка данных угроз безопасности информации ФСТЭК. По результатам проведённых оценок формируется Модель угроз безопасности информации, структура и содержание которой полностью соответствуют требованиям, предъявляемым Федеральной службой по техническому и экспортному контролю.

Оценка соответствия по требованиям основных стандартов в области информационной безопасности

Аудит информационной безопасности является одним из ключевых инструментов контроля обеспечения ИБ в организации. Программная платформа R-Vision SGRC поддерживает проведение оценки соответствия по требованиям основных стандартов и лучших практик в области информационной безопасности:

  • ISO 27001,
  • PCI DSS v.3.2,
  • SWIFT,
  • ФЗ № 152 «О персональных данных»,
  • Приказы ФСТЭК № 17, № 21, № 31,
  • Письмо ЦБ РФ N 49-Т,
  • Положение Банка России № 382-П,
  • Положение ЦБ РФ от 24.08.2016 N 552-П,
  • Стандарт банка России СТО БР ИББС-1.0-2014,
  • ГОСТ Р ИСО/МЭК 27001 и др.

Организации также могут загружать в систему собственные стандарты для проведения аудита. По результатам оценки системой автоматически рассчитывается индекс соответствия, изменение уровня которого отслеживается с течением времени, а также формируется необходимый пакет документов.

Унификация контроля соблюдения пересекающихся требований

Необходимость соответствия большому числу пересекающихся требований отнимает много времени и сил у специалистов по обеспечению информационной безопасности организации. В качестве решения данной проблемы R-Vision SGRC предлагает функционал контрольных проверок.

Контрольные проверки позволяют связывать требования различных стандартов, касающиеся смежных аспектов информационной безопасности, а также отслеживать внедрение связанных мер контроля. Последующая оценка контрольных проверок позволяет в автоматическом режиме заполнять формы проведения аудита по соответствующим требованиям.

Контроль устранения замечаний по аудиту

В ходе проведения оценки соответствия организациям необходимо фиксировать возникающие замечания и недочеты. Система R-Vision SGRC обеспечивает формирование единого перечня замечаний по аудиту с возможностью указания ответственного, сроков устранения, уровня критичности, а также связанных активов. При создании замечания в соответствующем разделе автоматически формируется задача по устранению, статус и исполнитель которой синхронизируется с замечанием, что позволяет осуществлять контроль за его устранением.

Контроль ИТ-инфраструктуры

Программный комплекс позволяет провести инвентаризацию инфраструктуры, выделить наиболее критичные активы, определить специалистов, ответственных за обеспечение безопасности активов.

За счет интеграции с имеющимися решениями по безопасности (антивирусы, сканеры защищенности и др.), а также использования собственных механизмов контроля, обеспечиваются:

  • консолидация и представление в единой консоли различных сведений о состоянии безопасности инфраструктуры,
  • контроль установленного ПО,
  • обнаружение несанкционированного оборудования и внешних подключений,
  • выявление и контроль устранения уязвимостей,
  • контроль привилегий пользователей.

Учет и контроль элементов системы защиты организации

R-Vision SGRC позволяет вести учет всех документов по информационной безопасности в организации. По загруженным в систему документам могут быть определены различные атрибуты, назначены ответственные за пересмотр и актуализацию, сроки действия, указаны пользователи, имеющие доступ к документу. Загруженные документы могут быть связаны с различными элементами системы – активами, задачами, замечаниями, аудитами ИБ и др.

Также в рамках R-Vision SGRC может быть обеспечен учет и контроль состояния всех организационных и технических мер защиты, реализованных для соответствующих активов организации. По всем защитным мерам могут быть заданы ответственные лица, нормативные документы, стоимостные и другие характеристики. Состав и статус внедрения защитных мер автоматически учитывается при проведении оценок рисков и корректируется при реализации соответствующих мероприятий по обработке рисков.

Адаптируемая логика

Отличительной чертой R-Vision SGRC является широкий спектр возможностей по адаптации логики работы системы под специфику и особенности каждой отдельной организации.

Система поддерживает создание собственных каталогов угроз, уровней оценки ценности и атрибутов безопасности активов, качественных и количественных схем оценки, позволяющих проводить оценку рисков по собственным методикам организаций.

Возможна загрузка пользовательских комплексов требований, шкал оценки, уровней критичности замечаний, а также формирование собственных перечней контрольных проверок. Пользователи также могут загружать собственные каталоги защитных мер, создавать новые типы документов и их атрибуты.

Визуализация и отчетность

R-Vision SGRC предлагает широкий набор средств визуализации информации. Кастомизируемые дашборды обеспечивают представление информации в виде графиков и диаграмм, содержащих функции перехода от графиков к соответствующей им информации (drill-down).

Посредством графиков организации могут отслеживать историю изменений уровня рисков по активу, статус мероприятий по обработке рисков и оценивать общую эффективность выбранной схемы по снижению уровня риска.

Графики в области аудита позволяют контролировать уровень соответствия активов нормативным требованиям, изменение индекса соответствия с течением времени, а также статус открытых замечаний аудита.

Также R-Vision SGRC содержит широкий список готовых отчетов, позволяет автоматически формировать пакеты документов по результатам проведения аудита, генерировать Модель угроз безопасности информации по требованиям ФСТЭК. Правила создания и рассылки отчетов позволяют настроить расписание автоматической генерации документов и их отправки соответствующим адресатам.

Повышение осведомленности пользователей

С помощью платформы R-Vision SGRC можно проводить обучение и тестирование персонала по вопросам кибербезопасности, что в свою очередь позволит снизить риски ИБ за счет повышения осведомленности пользователей.

Интеграция с сервисом «Антифишинг» позволяет выстроить на базе платформы R-Vision систему по контролю подверженности пользователей фишинговым атакам, назначать и отслеживать прохождение тренингов и специальных тестов, использовать готовые учебные материалы, а также проводить учебные кибератаки.