Компания Security Vision, создающая продукты для защиты информации, сообщила о масштабном обновлении модуля «Управление информационной безопасностью» (Governance) в своей ведущей платформе Security Vision NG SGRC.
Security Vision NG SGRC – это система для автоматизации и контроля процессов ИБ, обеспечения соответствия требованиям, управления рисками, моделирования угроз, поддержания непрерывности бизнеса и другими стратегическими направлениями безопасности. Все компоненты Security Vision SGRC построены на единой платформе автоматизации с применением No-code-конструкторов.
Модернизированный модуль Security Vision Governance даёт возможность целостно и поэтапно выстраивать систему информационной безопасности в компании, начиная с фундаментальных принципов.
Фундаментом для создания зрелых процессов ИБ является формулировка миссии и видения в области безопасности, а также чёткое построение организационной структуры с распределением ключевых функций и закреплением ответственности.
В системе реализована ролевая матрица по методологии RASCI, которую можно адаптировать под специфику организации, с явным выделением ролей, оставшихся незанятыми.
Таким образом, с помощью Security Vision NG SGRC формируется организационный контекст, который включает определение области применения информационной безопасности, а также заинтересованных сторон. Они делятся на два типа: внутренние (различные отделы, руководство) и внешние (регулирующие органы в сфере ИБ, партнёры, акционеры).
Требования каждой из сторон, а также их приоритетность, в дальнейшем учитываются при анализе рисков информационной безопасности.
Стратегия кибербезопасности выступает ключевым документом, задающим вектор развития ИБ в организации. На этом этапе выбирается фреймворк, которого компания намерена придерживаться. В продукте Security Vision NG SGRC доступны для выбора две основные модели — NIST CSF 2.0 и ISO 27001. При этом существует возможность разработать собственную модель или скомбинировать её с существующими.
Также определяются базовые элементы управления рисками, которые впоследствии будут задействованы при оценке и обработке рисков ИБ: бизнес-риски, процесс управления рисками, методика оценки, аппетит к риску и допустимый уровень риска.
На основе выбранного фреймворка проводится анализ текущего и целевого состояния ИБ в компании, что служит основой для формирования стратегического плана дальнейших действий. Этот план может быть гибко разделён на этапы в соответствии со сроками, и для каждого этапа создаются задачи с назначением ответственных. Ход выполнения задач и проектов можно контролировать на сводной панели мониторинга.
Список процессов в области защиты информации генерируется автоматически после выбора используемого фреймворка. В системе Security Vision NG SGRC доступны стандартные процессы, содержащие описание их стадий или требуемых мероприятий.
Кроме того, с большинством процессов связаны отдельные политики информационной безопасности. Эти политики регулируют соответствующие процессы, а также устанавливают порядок выполнения необходимых действий в рамках каждого из них.
Для большей части политик, в том числе для основной политики ИБ, в Security Vision NG SGRC имеются готовые шаблоны. Они позволяют оперативно подготовить итоговые версии документов.
Для обеспечения постоянной актуальности системы безопасности реализован адаптивный механизм. Он позволяет задавать периодичность оповещений о необходимости пересмотра, актуализации или совершенствования ключевых элементов, для каждого из которых назначены ответственные роли сотрудников.
