Поделиться
Возможности первой в России SGRC-платформы нового поколения с искусственным интеллектом
Рассмотрим, как платформа Security Vision NG SGRC объединяет ресурсно-сервисный подход и множество методик для моделирования угроз, анализа рисков, обеспечения непрерывности бизнеса, аудита и соответствия требованиям, обеспечивая прозрачность и контролируемость процессов безопасности. Все решения, представленные в данном обзоре, реализованы на базе единой платформы с использованием No-code конструкторов, что позволяет продемонстрировать не только продукты Security Vision, но и разработки технологических партнёров, такие как модули для управления операционными рисками или автоматизированной проверки контрагентов.
Нормативная база GRC
Развитие продуктов в области GRC основывается на актуальных требованиях российских и международных стандартов по информационной безопасности, среди которых:
- ISO 27005:2022 Информационная безопасность, кибербезопасность и защита приватности — Руководство по управлению рисками в сфере ИБ.
- NIST Cybersecurity Framework (CSF) 2.0 — Концепция кибербезопасности для контроля и снижения соответствующих рисков.
- ISO 22301, ГОСТ Р ИСО 22301 — Системы менеджмента обеспечения непрерывности бизнеса. Базовые требования.
- ГОСТ Р ИСО/МЭК 27005 Информационная безопасность, кибербезопасность и охрана частной жизни. Методические указания по управлению рисками информационной безопасности. Требования и рекомендации.
Платформа NG SGRC предоставляет аналитикам универсальный инструмент для выполнения оценок и даёт возможность анализировать данные как самостоятельно, так и с участием специалистов через индивидуально настроенные опросы. К примеру, можно получить сведения о возможных финансовых потерях от бизнес-единиц и оценить вероятность угроз со стороны технических экспертов. Оценка может проводиться вручную (посредством заполнения форм) или автоматически, с учётом действующих защитных мер и результатов предыдущих анализов.
Управление в сфере информационной безопасности (Governance)
Решение Security Vision Governance позволяет применять комплексный подход к управлению ИБ и поэтапно выстраивать соответствующие процессы внутри компании.
Начиная развитие направления информационной безопасности в организации, важно определить миссию и стратегию ИБ, составить перечень основных ролей и закрепить их за сотрудниками. В продукте реализована структура по модели ролевой матрицы RASCI, которую можно адаптировать под специфику компании, с чётким указанием ролей, оставшихся незаполненными.
Таким образом, с использованием Security Vision NG SGRC формируется организационный контекст, который включает определение зоны ответственности информационной безопасности, а также заинтересованных сторон, разделяемых на две категории:
- внутренние (различные отделы, лица, ответственные за решения);
- внешние (регулирующие органы в области ИБ, партнёры, акционеры).
Требования всех заинтересованных сторон, а также их степень важности, в дальнейшем принимаются во внимание при анализе рисков информационной безопасности.
Политика кибербезопасности служит ключевым документом, задающим вектор совершенствования системы защиты информации в компании. На данном этапе выбирается структура (фреймворк), которой организация намерена следовать. В решении доступны для выбора две основные структуры — NIST CSF 2.0 и ISO 27001. Кроме того, существует возможность разработать собственную модель или интегрировать её с уже существующими.
Также устанавливаются базовые элементы системы риск-менеджмента, которые впоследствии будут задействованы при анализе и контроле угроз информационной безопасности:
- риски для бизнеса;
- процедура управления рисками;
- подход к управлению рисками;
- склонность к риску и допустимый уровень рисков.
На основе выбранной структуры выполняется оценка текущего и желаемого уровня защищённости информации в организации, что служит основой для разработки стратегического плана последующих действий. Этот план можно гибко разделить на фазы в соответствии с установленными сроками, а для каждой фазы назначаются конкретные задачи ответственным лицам. Ход выполнения задач и проектов удобно контролировать на обобщающей панели мониторинга.
Список процессов информационной безопасности генерируется автоматически после выбора фреймворка. В Security Vision SGRC представлены стандартные процессы с описанием их стадий или требуемых действий. К большинству процессов также прикреплены внутренние политики информационной безопасности, которые регулируют эти процессы и определяют порядок выполнения необходимых действий в рамках каждого из них.
Для многих политик, включая главную политику информационной безопасности, в системе доступны готовые шаблоны, позволяющие оперативно подготовить итоговые документы.
Для поддержания актуального состояния системы ИБ реализован адаптивный подход, позволяющий настраивать периодичность оповещений о необходимости пересмотра, актуализации или улучшения ключевых элементов, для каждого из которых назначены роли вовлечённых сотрудников.
Контроль соответствия нормативным документам
Модуль Security Vision Compliance Management предоставляет инструменты для проверки соответствия стандартам и лучшим отраслевым практикам, охватывающие как организацию в целом, так и отдельные бизнес-активы, подразделения, процессы или другие компоненты инфраструктуры. Система обеспечивает гибкость в выборе метода оценки, позволяя использовать стандарты из пакета экспертных решений или применять собственные методики.
Платформа автоматизирует оценочные процедуры, минимизируя ручной труд и оптимизируя сбор и обработку сведений. Все нужные данные консолидируются в едином интерфейсе для простого доступа и детального изучения.
Проверка на соответствие может охватывать аудит ИБ, пентесты, анализ политик безопасности и процедур управления доступом. Платформа предоставляет доступ к широко применяемым стандартам, методологиям и проверенным подходам, таким как:
- приказы ФСТЭК 17, 21, 31, 239;
- ГОСТ 57580;
- положение Банка России № 716-П;
- Федеральный закон №187;
- Федеральный закон №152;
- Федеральный закон № 63-ФЗ;
- PCI DSS 4.0;
- NIST Cybersecurity Framework 2.0;
- CIS (Critical Security Controls).
Пользователи могут разрабатывать собственные стандарты или проводить самооценку, комбинируя положения существующих нормативов или создавая уникальные. Это гарантирует гибкость и настройку под индивидуальные запросы компании.
Процедура оценки соответствия информационных систем и организаций подразумевает анализ актуального положения дел и верификацию по заданным стандартам защиты данных, сопровождаясь полным циклом управления задачами.
Важной составляющей процесса является автоматическое формирование опросных листов, которые распределяются между отделами для заполнения. Статус выполнения контролируется системой в реальном времени, которая также агрегирует и анализирует ответы, создавая целостную картину состояния оцениваемого объекта. На основе этого автоматически разрабатывается план работ по исправлению найденных отклонений.
Система рассылает оповещения при всех изменениях статусов в жизненном цикле как оценочных процессов, так и опросных форм, используя привычные для компании каналы связи: электронную почту, Telegram и другие.
По итогам опроса формируется план мероприятий. Система самостоятельно выявляет отклонения от требований и создает задачи для их устранения. Через вкладку «План мероприятий» можно наблюдать за прогрессом выполнения работ и оценивать влияние реализованных мер на общий уровень защищенности.
После разработки оценочной процедуры подготавливаются анкеты и определяются ответственные сотрудники. Для упрощения контроля в карточке процесса представлен перечень разосланных опросников. Каждый завершённый опрос проходит этап проверки и утверждения, а в случае необходимости может быть отправлен на корректировку.
Такой комплексный подход не только усиливает защищённость информационных систем, но и делает более эффективным управление процессом их адаптации к передовым стандартам и регуляторным нормам. Без применения специализированных систем класса SGRC эти задачи требуют значительных трудозатрат и сложнее поддаются контролю.
Контроль рисков в сфере кибербезопасности
Решение Security Vision Risk Management охватывает полный цикл управления рисками, начиная с этапа описания окружения и бизнес- и ИТ-компонентов инфраструктуры.
Последующие стадии анализа и оценки рисков поддерживают как качественные, так и количественные методы. Сервис даёт возможность аналитику выполнить оценку самостоятельно или собрать информацию от экспертов через опросные формы, применяя подход модуля управления соответствием. На этапе обработки рисков пользователи могут проигрывать различные варианты внедрения защитных мер, чтобы подобрать оптимальный набор с точки зрения баланса затрат и результативности. Оценка угроз информационной безопасности базируется на:
- методике ФСТЭК от 5 февраля 2021 года;
- качественной оценке рисков кибербезопасности;
- количественной оценке по методике FAIR (Factor Analysis of Information Risk);
- моделировании рисков методом Монте-Карло.
Функционал моделирования рисков методом Монте-Карло позволяет пользователям выполнять множество итераций сценариев, используя случайные величины для учёта потенциальных изменений и вариаций в данных. В итоге пользователь получает возможность оценить вероятный размер потерь и степень подверженности риску, а с помощью параметров распределения частоты и ущерба — определить минимальные, средние и максимальные значения для последующего анализа.
Процесс оценки может быть организован полностью в цифровом пространстве или частично перенесен в офлайн-режим благодаря возможности загрузки и выгрузки данных в файлы (это касается подготовки анкет, оценочных методик, разработки стандартов и сбора сведений), что особенно удобно при взаимодействии с географически распределенными объектами. Все описательные оценки конвертируются в баллы, что позволяет вычислять итоговые результаты в соответствии с принятыми в компании подходами (например, с использованием среднего значения, медианы, максимума и т.д.). Благодаря этому и качественные, и количественные оценки обрабатываются по общим алгоритмам.
Когда вся информация собрана и уровни рисков определены, в платформе активируется модуль обработки рисков. В нем пользователь может спрогнозировать результат от применения различных защитных мер и сравнить затраты на их внедрение со степенью снижения угроз. Это позволяет непосредственно в интерфейсе системы выбрать оптимальный комплекс мер, исходя из баланса «Стоимость и результат».
Из этого же раздела доступно формирование заданий по работе с рисками. Инструмент постановки задач на внедрение защитных мер дает возможность контролировать сроки начала и завершения работ, перераспределять ответственность между сотрудниками, отправлять задания на корректировку или принимать их. Этапы жизненного цикла задач можно адаптировать под конкретные нужды.
За счет функции определения ключевых индикаторов риска (КИР) сервис обеспечивает упреждающий контроль угроз: платформа постоянно анализирует уровень защищенности, автоматически обнаруживая возможные опасности и уведомляя ответственных сотрудников о необходимости действий. Пользователь может детально настроить, для каких рисков применяется тот или иной индикатор, а также установить фильтры для автоматического отбора угроз. Такой метод способствует более быстрому и точному реагированию на потенциальные инциденты, повышая общую эффективность киберзащиты.
Платформа содержит справочные материалы из Банка данных угроз информационной безопасности ФСТЭК и позволяет проводить моделирование угроз и сценариев реализации рисков на основе готового и логически связанного набора данных. Эти справочники включают следующие компоненты:
- негативные последствия;
- типы нарушителей;
- угрозы;
- объекты воздействия;
- способы осуществления угроз;
- защитные меры.
Обеспечение непрерывности бизнес-процессов
Security Vision Business Continuity Management – это программный продукт для автоматизации управления непрерывностью бизнеса и восстановлением операционной деятельности (УНБ/ВД) в случае возникновения инцидентов. Решение объединяет несколько технологических направлений: оно затрагивает как сферу информационной безопасности, работая с последствиями угроз, связанных с выходом из строя ИТ-систем, оборудования, потерей ключевых поставщиков, персонала или площадок, так и ИТ-процессы, анализируя информационную модель организации, обслуживающие ресурсы, показатели доступности активов и восстановительные процедуры.
Продукт поддерживает реализацию процесса на всех этапах его жизненного цикла:
На стадии «Анализ влияния на бизнес и оценка рисков» с помощью опроса ответственных лиц собираются данные о бизнес-процессах и их зависимости от различных ресурсов компании. Цель этого этапа – определить операционные, правовые и финансовые последствия сбоев, а также выявить ключевые метрики.
На этапе «Планирование обеспечения непрерывности бизнеса» решение помогает систематизировать планы поддержания непрерывности для конкретных бизнес-процессов в разрезе различных типов инцидентов.
На стадии «Определение и внедрение процедур непрерывности» используется встроенная система задач, которая позволяет назначать и контролировать выполнение работ по приведению инфраструктуры в соответствие с утверждёнными планами непрерывности.
Также предусмотрена возможность регулярного тестирования планов непрерывности с оценкой достижения ключевых показателей эффективности (KPI).
Анализ влияния на бизнес и оценка рисков (BIA, Business Impact Analysis) позволяет определить границы оценки процесса. При этом на графе взаимосвязей отобразятся объекты, для которых будут сформированы опросные формы. Сам граф является интерактивным: он позволяет раскрывать связи объектов для визуализации зависимостей, а также добавлять новые объекты в область оценки.
В процессе работы аналитик получает обширный инструментарий для администрирования опросов: он может менять сроки выполнения, добавлять новых исполнителей, изымать устаревшие анкеты и формировать свежие. Эта функциональность становится особенно ценной, если в ходе оценки выявляются новые объекты, не зафиксированные изначально. Через системные справочники допускается формирование неограниченного числа дополнительных вопросов с произвольным количеством вариантов ответов, а стандартные вопросы уже настроены в соответствии со значимыми для компании параметрами, такими как:
- допустимые сроки приостановки работы;
- разновидности возможного ущерба;
- классификация последствий;
- подходы к реагированию при недоступности необходимого ресурса.
Текущие результаты заполнения анкет всегда отображаются для специалиста по BCM в краткой и развернутой карточке оценки, представленные в удобном для изучения формате. Данные о найденных отклонениях в ключевых показателях или корректировках свойств объекта показываются в виде всплывающих заметок непосредственно на соответствующих опросных формах.
Итогом этого этапа также является автоматическое вычисление значений основных параметров, включая:
- максимально допустимый период простоя (MTPD);
- целевое время восстановления (RTO);
- целевая точка восстановления данных (RPO).
План обеспечения непрерывности бизнеса (BCP, Business Continuity Plan) — это объект, который собирает актуальные сведения о бизнес-процессах подразделения с учетом их важности и ключевых индикаторов, а также охватывает:
- конкретные меры по ликвидации нарушений;
- условия запуска и завершения плана;
- распределение ролей, обязанностей и основных контактов;
- описание способов и каналов связи.
План восстановления после сбоев (DRP, Disaster Recovery Plan) включает набор сценариев на случай нештатных ситуаций и перечень мероприятий для каждого из них. Все действия разделены на три фазы, которые могут выполняться как последовательно, так и одновременно:
- первоочередные действия при возникновении чрезвычайной ситуации (организация эвакуации сотрудников, оповещение аварийных служб);
- шаги по обеспечению работоспособности отдела (перевод на дистанционный режим, перемещение на резервную площадку);
- мероприятия по возобновлению штатной деятельности подразделения (восстановление IT-систем и инфраструктуры).
Для каждого шага определяется ответственное лицо и предельный срок выполнения. Кроме того, заранее устанавливаются чёткие критерии возврата к обычному режиму работы компании. Благодаря этому при запуске плана обеспечения непрерывности будет задействован именно тот сценарий, который соответствует возникшему инциденту.
Слаженное взаимодействие участников процесса достигается за счёт встроенной матрицы коммуникаций, содержащей контакты и роли ответственных за выполнение плана, а также перечень внешних и внутренних экстренных контактов организации. Актуальность плана непрерывности поддерживается отдельным элементом «План тестирования». На основе результатов проведённых испытаний формируется и прилагается отчёт об их успешности, а в случае обнаружения неудачных этапов — создаётся задача на внесение изменений в соответствующий план непрерывности.
Тестирование выполняется регулярно, при этом система автоматически отправляет ответственным сотрудникам напоминания о необходимости проведения определённых проверок в соответствии с установленным расписанием и графиком.
Контроль активов и ведение инвентаризации
Основой NG SGRC выступает ресурсно-сервисная модель, которая позволяет детально смоделировать информационную архитектуру предприятия, охватывая все уровни организации — от ключевых бизнес-процессов до технических активов, и формируя целостную картину деятельности компании. Анализ может выполняться как для всей организации, так и для отдельных информационных систем, как на общем уровне для групп объектов, так и детально — для конкретного рабочего места, принтера или телефона.
Эта модель данных даёт возможность описать все необходимые объекты, начиная с базовых сущностей, используемых в бизнесе, и заканчивая техническими ресурсами, которые требуются для реализации бизнес-активов. Ключевыми бизнес-объектами в ресурсно-сервисной модели являются:
- организационная процедура;
- изделие или услуга;
- контрагент;
- объект недвижимости;
