R-Vision Security GRC Platform (SGRC) представляет собой платформу для централизованного управления информационной безопасностью.

Продукт позволяет автоматизировать такие процессы как:

  • Контроль и управление информационными активами;
  • Оценка соответствия требованиям информационной безопасности (комплаенс-контроль);
  • Управление ИБ-рисками;
  • Моделирование угроз;
  • Ведение внутренней и внешней нормативной документации по ИБ;
  • Мониторинг состояния информационной безопасности;
  • Планирование и контроль задач специалистов по информационной безопасности, управление рабочими процессами.

Преимущества от использования

  • Обеспечение соответствия системы ИБ требованиям регуляторов и оперативное устранение замечаний.
  • Минимизация затрат на управление рисками, проведение аудитов информационной безопасности и подготовку отчетности за счет автоматизированных алгоритмов и процедур.
  • Снижение рисков информационной безопасности, благодаря своевременной идентификации и быстрой оценке уровня рисков, формирования плана обработки и контроля его выполнения.
  • Контроль изменений ИТ-инфраструктуры, выявление оборудования и сбор данных о его характеристиках.
  • Повышение эффективности ИБ-подразделения за счет централизованного управления, планирования задач, контроля деятельности филиалов и удаленных подразделений.
  • Контроль ключевых показателей эффективности системы информационной безопасности в компании, наглядная оперативная информация о текущем состоянии и отражение происходящих процессов в динамике.
  • Рациональное использование средств, четкое планирование необходимых мероприятий, исходя из их эффективности и доступного бюджета.
  • Снижение ИБ-рисков, благодаря повышению осведомленности пользователей по вопросам кибербезопасности.

Ключевые возможности

Управление информационной безопасностью

R-Vision SGRC помогает директору по информационной безопасности эффективно управлять системой ИБ путём своевременного выявления рисков, формирования системы внутренней нормативной документации и контроля за соблюдением внешних требований.

Продукт служит единой платформой, где аккумулируются сведения об активах и процессах информационной безопасности, и является основным инструментом для совместной работы специалистов по информационной безопасности, планирования и контроля задач, управления рабочими процессами.

R-Vision SGRC в автоматическом режиме рассчитывает показатели и метрики, позволяя четко контролировать эффективность различных процессов системы информационной безопасности в организации, определять расстановку приоритетов по необходимым мероприятиям и принимать обоснованные решения по ее развитию.

Оценка соответствия по требованиям основных стандартов в области информационной безопасности

Аудит информационной безопасности является одним из ключевых инструментов контроля обеспечения информационной безопасности в организации. R-Vision SGRC обеспечивает полный цикл проведения проверки на соответствие требованиям и содержит широкий набор предустановленных стандартов:

  • Приказ ФСТЭК № 17;
  • Приказ ФСТЭК № 21;
  • Приказ ФСТЭК № 31;
  • Приказ ФСТЭК № 239;
  • PCI DSS (3.1 и v.3.2);
  • SWIFT’s Customer Security Programme;
  • ISO 27001;
  • ГОСТ Р ИСО/МЭК 27001-2006;
  • Положение Банка России № 382-П;
  • Стандарт банка России СТО БР ИББС-1.0-2014;
  • ФЗ № 152 «О персональных данных» и другие.

Конструктор аудитов позволяет использовать любые пользовательские методики, реализовывать сложные расчеты с использованием формул, списков и таблиц. Дополнительно можно настроить справочники шкал оценки, этапов для контроля хода проведения проверок, а также политики автоматических уведомлений.

По результатам оценки автоматически рассчитывается индекс соответствия, изменение уровня которого отслеживается с течением времени, а также формируется необходимый пакет документов.

Система контрольных проверок помогает контролировать пересекающиеся требования разных нормативных документов и облегчает процесс оценки. Это позволяет оценить конкретный пункт требования один раз и далее автоматически учитывать результаты данной оценки при проверке соблюдения сходных требований других нормативных документов.

В ходе проведения оценки в R-Vision SGRC фиксируются все замечания и нарушения, из которых формируется единый перечень, после чего разрабатывается план мероприятий по их устранению с указанием сроков и ответственных. Продукт автоматически генерирует задачи, связанные с мероприятиями, которые синхронизируются по статусу, ответственному и срокам исполнения, что позволяет легко контролировать процесс устранения замечаний.

Оценка рисков информационной безопасности

R-Vision SGRC позволяет оценить прямые и производные риски активов, отслеживать изменение их уровня с течением времени, формировать план мероприятий по обработке рисков с возможностью контроля статуса мероприятий.

Для оценки рисков доступен широкий набор предустановленных методологий, включая:

  • собственную методологию, разработанную аналитиками R-Vision,
  • ISO 27005,
  • NIST,
  • OCTAVE,
  • РC БР ИББС-2.2,
  • FAIR,
  • ФСТЭК РОССИИ,
  • простые 3-х уровневые схемы.

Система допускает возможность добавления и настройки пользователем собственных методик расчета рисков. В зависимости от выбранного режима параметры рисков рассчитываются автоматически или оцениваются вручную экспертами.

Формирование карты рисков и плана обработки

  • Автоматический расчёт уровней выявленных рисков, уведомление о наличии производных рисков;
  • Сохранение результатов оценок на карте рисков с указанием информации об источниках и предпосылках, защитных мерах, оказывающих влияние на их уровень, связанных инцидентах и мероприятиях по обработке;
  • Автоматический учёт актуальных рисков при проведении последующих оценок;
  • Отслеживание изменения уровня рисков с течением времени;
  • Формирование плана мероприятий по обработке рисков с подсчетом необходимого бюджета и оценкой их эффективности;
  • Контроль статуса запланированных мероприятий и их учет при проведении новых оценок.

Моделирование угроз по требованиям ФСТЭК

R-Vision SGRC позволяет автоматизировать процесс создания Модели угроз безопасности информации по требованиям ФСТЭК. Для этого предусмотрены следующие возможности:

  • Быстрый ввод необходимых параметров для оценки через простой интуитивно понятный интерфейс;
  • Автоматическое выявление актуальных угроз в соответствии с «Методикой определения угроз безопасности информации в информационных системах»;
  • Формирование перечня возможных угроз на основании встроенного Банка данных угроз безопасности информации ФСТЭК;
  • Генерация Модели угроз безопасности информации в автоматическом режиме в соответствии с требованиями ФСТЭК.

Категорирование объектов КИИ

R-Vision SGRC обладает дополнительным функционалом, позволяющим автоматизировать учет объектов КИИ, процедуру категорирования и подготовку необходимой документации в соответствии с порядком, утвержденным Постановлением Правительства от 08.02.2018 № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений».

  • Учет субъектов КИИ, критических процессов и объектов КИИ, автоматический сбор данных о составе компонентов объекта КИИ, инвентаризация оборудования и ПО;
  • Моделирование угроз для объектов КИИ по требованиям ФСТЭК России, учет применяемых организационных и технических мер защиты на основе требований Приказа ФСТЭК №239;
  • Обеспечение работы комиссии по категорированию, автоматический расчет категории значимости;
  • Формирование полного пакета документов: Акт категорирования, Сведения о присвоении объекту КИИ одной из категорий значимости, Акт проверки объекта КИИ, Перечень объектов КИИ, Перечень критических процессов.

Автоматизация категорирования объектов КИИ с помощью R-Vision SGRC существенно упрощает и в разы ускоряет процесс категорирования, что особенно значимо, когда в ведении субъекта КИИ сотни и тысячи объектов критической инфраструктуры.

Контроль ИТ-активов

Программный комплекс позволяет провести инвентаризацию инфраструктуры, выделить наиболее критичные активы, определить специалистов, ответственных за обеспечение безопасности активов.

За счет интеграции с имеющимися решениями по безопасности (антивирусы, сканеры защищенности и др.), а также использования собственных механизмов контроля, обеспечиваются:

  • консолидация и представление в единой консоли различных сведений о состоянии безопасности инфраструктуры,
  • контроль установленного ПО,
  • обнаружение несанкционированного оборудования и внешних подключений,
  • выявление и контроль устранения уязвимостей,
  • контроль привилегий пользователей.

Учет и контроль элементов системы защиты организации

Учет всех документов по информационной безопасности в организации в единой базе. По загруженным в систему документам могут быть определены различные атрибуты, назначены ответственные за пересмотр и актуализацию, сроки действия, указаны пользователи, имеющие доступ к документам. Загруженные документы могут быть связаны с различными элементами системы – активами, задачами, замечаниями, аудитами ИБ и др.

Учет и контроль состояния всех организационных и технических мер защиты, реализованных для соответствующих активов организации. По всем защитным мерам могут быть заданы ответственные лица, нормативные документы, стоимостные и другие характеристики. Состав и статус внедрения защитных мер автоматически учитывается при проведении оценок рисков и корректируется при реализации соответствующих мероприятий по обработке рисков.

Адаптируемая логика

Отличительной чертой R-Vision SGRC является широкий спектр возможностей по адаптации логики работы системы под специфику и особенности каждой отдельной организации.

Система поддерживает создание собственных каталогов угроз, уровней оценки ценности и атрибутов безопасности активов, качественных и количественных схем оценки, позволяющих проводить оценку рисков по собственным методикам организаций.

Возможна загрузка пользовательских комплексов требований, шкал оценки, уровней критичности замечаний, а также формирование собственных перечней контрольных проверок. Пользователи также могут загружать собственные каталоги защитных мер, создавать новые типы документов и их атрибуты.

Повышение осведомленности пользователей

Повышение осведомленности пользователей – одна из наиболее эффективных мер по снижению риска информационной безопасности. Платформа R-Vision SGRC позволяет проводить обучение и тестирование персонала по вопросам кибербезопасности, благодаря интеграции с сервисом «Антифишинг».

Данный функционал позволяет выстроить в организации систему по контролю подверженности пользователей фишинговым атакам, назначать и отслеживать прохождение тренингов и специальных тестов, использовать готовые учебные материалы, а также проводить учебные кибератаки.

Повышение осведомленности пользователей с помощью R-Vision SGRC позволяет:

  • вовлечь в процесс обучения всех пользователей,
  • выявить сотрудников, входящих в повышенную группу риска,
  • мотивировать персонал на изучение материалов по кибератакам,
  • выработать навыки безопасного поведения пользователей при работе с электронной почтой и веб-ресурсами, а также в случае инцидентов ИБ.

Визуализация и отчетность

Средства аналитики и визуализации R-Vision SGRС дают наглядную информацию о текущем состоянии информационной безопасности в компании и динамике изменений.

Доступные в системе дашборды, графики, диаграммы, интерактивные схемы позволяют контролировать ключевые показатели и метрики, оценивать эффективность проводимых мероприятий и принимать обоснованные решения. Вся визуальная информация в R-Vision SGRC интерактивна, что позволяет перейти от визуальной формы к исходным данным.

Конструктор графиков R-Vision SGRС позволяет визуализировать информацию в виде различных типов диаграмм в необходимых разрезах. Для наиболее часто используемых режимов отображения информации предусмотрены шаблоны графиков.

В R-Vision SGRC предустановлен широкий набор готовых отчетов, что позволяет быстро формировать необходимый пакет документов по результатам проведения аудита и оценки рисков. Для выгрузки данных по собственному шаблону в системе предусмотрен конструктор отчетов.

R-Vision SGRC может формировать отчеты в автоматическом режиме по расписанию и рассылать их заданным пользователям по электронной почте.

Связаться с нами

Отправить