R-Vision Security GRC Platform (SGRC) представляет собой платформу для централизованного управления информационной безопасностью.
Продукт позволяет автоматизировать такие процессы как:
R-Vision SGRC помогает директору по информационной безопасности эффективно управлять системой ИБ путём своевременного выявления рисков, формирования системы внутренней нормативной документации и контроля за соблюдением внешних требований.
Продукт служит единой платформой, где аккумулируются сведения об активах и процессах информационной безопасности, и является основным инструментом для совместной работы специалистов по информационной безопасности, планирования и контроля задач, управления рабочими процессами.
R-Vision SGRC в автоматическом режиме рассчитывает показатели и метрики, позволяя четко контролировать эффективность различных процессов системы информационной безопасности в организации, определять расстановку приоритетов по необходимым мероприятиям и принимать обоснованные решения по ее развитию.
Аудит информационной безопасности является одним из ключевых инструментов контроля обеспечения информационной безопасности в организации. R-Vision SGRC обеспечивает полный цикл проведения проверки на соответствие требованиям и содержит широкий набор предустановленных стандартов:
Конструктор аудитов позволяет использовать любые пользовательские методики, реализовывать сложные расчеты с использованием формул, списков и таблиц. Дополнительно можно настроить справочники шкал оценки, этапов для контроля хода проведения проверок, а также политики автоматических уведомлений.
По результатам оценки автоматически рассчитывается индекс соответствия, изменение уровня которого отслеживается с течением времени, а также формируется необходимый пакет документов.
Система контрольных проверок помогает контролировать пересекающиеся требования разных нормативных документов и облегчает процесс оценки. Это позволяет оценить конкретный пункт требования один раз и далее автоматически учитывать результаты данной оценки при проверке соблюдения сходных требований других нормативных документов.
В ходе проведения оценки в R-Vision SGRC фиксируются все замечания и нарушения, из которых формируется единый перечень, после чего разрабатывается план мероприятий по их устранению с указанием сроков и ответственных. Продукт автоматически генерирует задачи, связанные с мероприятиями, которые синхронизируются по статусу, ответственному и срокам исполнения, что позволяет легко контролировать процесс устранения замечаний.
R-Vision SGRC позволяет оценить прямые и производные риски активов, отслеживать изменение их уровня с течением времени, формировать план мероприятий по обработке рисков с возможностью контроля статуса мероприятий.
Для оценки рисков доступен широкий набор предустановленных методологий, включая:
Система допускает возможность добавления и настройки пользователем собственных методик расчета рисков. В зависимости от выбранного режима параметры рисков рассчитываются автоматически или оцениваются вручную экспертами.
R-Vision SGRC позволяет автоматизировать процесс создания Модели угроз безопасности информации по требованиям ФСТЭК. Для этого предусмотрены следующие возможности:
R-Vision SGRC обладает дополнительным функционалом, позволяющим автоматизировать учет объектов КИИ, процедуру категорирования и подготовку необходимой документации в соответствии с порядком, утвержденным Постановлением Правительства от 08.02.2018 № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений».
Автоматизация категорирования объектов КИИ с помощью R-Vision SGRC существенно упрощает и в разы ускоряет процесс категорирования, что особенно значимо, когда в ведении субъекта КИИ сотни и тысячи объектов критической инфраструктуры.
Программный комплекс позволяет провести инвентаризацию инфраструктуры, выделить наиболее критичные активы, определить специалистов, ответственных за обеспечение безопасности активов.
За счет интеграции с имеющимися решениями по безопасности (антивирусы, сканеры защищенности и др.), а также использования собственных механизмов контроля, обеспечиваются:
Учет всех документов по информационной безопасности в организации в единой базе. По загруженным в систему документам могут быть определены различные атрибуты, назначены ответственные за пересмотр и актуализацию, сроки действия, указаны пользователи, имеющие доступ к документам. Загруженные документы могут быть связаны с различными элементами системы – активами, задачами, замечаниями, аудитами ИБ и др.
Учет и контроль состояния всех организационных и технических мер защиты, реализованных для соответствующих активов организации. По всем защитным мерам могут быть заданы ответственные лица, нормативные документы, стоимостные и другие характеристики. Состав и статус внедрения защитных мер автоматически учитывается при проведении оценок рисков и корректируется при реализации соответствующих мероприятий по обработке рисков.
Отличительной чертой R-Vision SGRC является широкий спектр возможностей по адаптации логики работы системы под специфику и особенности каждой отдельной организации.
Система поддерживает создание собственных каталогов угроз, уровней оценки ценности и атрибутов безопасности активов, качественных и количественных схем оценки, позволяющих проводить оценку рисков по собственным методикам организаций.
Возможна загрузка пользовательских комплексов требований, шкал оценки, уровней критичности замечаний, а также формирование собственных перечней контрольных проверок. Пользователи также могут загружать собственные каталоги защитных мер, создавать новые типы документов и их атрибуты.
Повышение осведомленности пользователей – одна из наиболее эффективных мер по снижению риска информационной безопасности. Платформа R-Vision SGRC позволяет проводить обучение и тестирование персонала по вопросам кибербезопасности, благодаря интеграции с сервисом «Антифишинг».
Данный функционал позволяет выстроить в организации систему по контролю подверженности пользователей фишинговым атакам, назначать и отслеживать прохождение тренингов и специальных тестов, использовать готовые учебные материалы, а также проводить учебные кибератаки.
Повышение осведомленности пользователей с помощью R-Vision SGRC позволяет:
Средства аналитики и визуализации R-Vision SGRС дают наглядную информацию о текущем состоянии информационной безопасности в компании и динамике изменений.
Доступные в системе дашборды, графики, диаграммы, интерактивные схемы позволяют контролировать ключевые показатели и метрики, оценивать эффективность проводимых мероприятий и принимать обоснованные решения. Вся визуальная информация в R-Vision SGRC интерактивна, что позволяет перейти от визуальной формы к исходным данным.
Конструктор графиков R-Vision SGRС позволяет визуализировать информацию в виде различных типов диаграмм в необходимых разрезах. Для наиболее часто используемых режимов отображения информации предусмотрены шаблоны графиков.
В R-Vision SGRC предустановлен широкий набор готовых отчетов, что позволяет быстро формировать необходимый пакет документов по результатам проведения аудита и оценки рисков. Для выгрузки данных по собственному шаблону в системе предусмотрен конструктор отчетов.
R-Vision SGRC может формировать отчеты в автоматическом режиме по расписанию и рассылать их заданным пользователям по электронной почте.