Выпущено обновление Security Vision NG SGRC

Security Vision NG SGRC предназначен для автоматизации и управления процессами информационной безопасности, обеспечения комплаенса и соответствия нормативно-методическим документам, управления рисками, моделирования угроз, управления непрерывностью бизнеса и других стратегических аспектов безопасности. Все компоненты NG SGRC построены на единой платформе автоматизации с применением no-code конструкторов.

Обновленный раздел Governance позволяет последовательно выстраивать процессы информационной безопасности в организации — начиная с базовых принципов.

Определение миссии и видения ИБ

Основой для построения зрелых процессов информационной безопасности служит определение миссии и видения ИБ, а также четкое формирование организационной структуры с распределением ключевых ролей и назначением ответственных.

В решении реализован фреймворк на основе ролевой матрицы RACI с возможностью адаптации под особенности конкретной организации и явным отображением неназначенных ролей.

Так формируется организационный контекст — включая определение области действия информационной безопасности и заинтересованных сторон:

• Внутренние (подразделения, лица, принимающие решения);  
• Внешние (регуляторы, партнеры, акционеры).

Требования и приоритеты каждой из сторон в дальнейшем учитываются при оценке рисков информационной безопасности.

Стратегия кибербезопасности

Стратегия кибербезопасности — ключевой документ, определяющий направление развития информационной безопасности в организации. На этом этапе выбирается фреймворк, которому организация планирует следовать. В NG SGRC доступны два основных фреймворка — NIST CSF 2.0 и ISO/IEC 27001. Также можно создать собственный фреймворк или комбинировать его с существующими.

Определяются ключевые элементы управления рисками, которые используются при последующей оценке и обработке рисков:

• Бизнес-риски  
• Процесс управления рисками  
• Методика управления рисками  
• Риск-аппетит и толерантность к риску

Планирование и контроль

На основе выбранного фреймворка проводится анализ текущего и целевого состояния ИБ, на основании которого формируется стратегический план мероприятий. План можно гибко разбивать на этапы по временным рамкам, с назначением задач ответственным сотрудникам. Прогресс выполнения отслеживается на сводном дашборде.

Автоматизация процессов и политик ИБ

Перечень процессов информационной безопасности формируется автоматически после выбора фреймворка. В NG SGRC представлены типовые процессы с описанием этапов и необходимых действий.

Большинству процессов сопоставлены политики информационной безопасности, регламентирующие их выполнение и определяющие процедуры действий.

Для большинства политик, включая основную, доступны шаблоны, упрощающие подготовку итоговых документов.

Поддержание актуальности ИБ

Для поддержания актуального состояния ИБ предусмотрен гибкий механизм: можно настраивать интервалы уведомлений о необходимости пересмотра, обновления или улучшения ключевых сущностей. На каждой сущности задаются роли ответственных сотрудников.