Компания Security Vision представила обновлённую версию своего решения Security Vision SGRC, в котором появился новый раздел — «Управление информационной безопасностью» (Governance). Он дополнил уже существующие направления платформы: управление рисками, соответствием требованиям и непрерывностью бизнеса.
В совокупности эти блоки позволяют выстроить целостную систему управления ИБ в организации.
Новый раздел включает инструменты для формирования перечня ключевых ролей, определения организационного контекста, разработки стратегии кибербезопасности и политики ИБ, а также для контроля выполнения задач и оценки текущего уровня защищённости.
На первом этапе пользователи определяют миссию и видение в области информационной безопасности, а также назначают ответственных сотрудников на ключевые роли. Продукт предлагает готовые шаблоны, которые можно адаптировать под специфику конкретной компании.
Далее формируется организационный контекст — то есть определяется область действия системы ИБ и круг заинтересованных сторон. Учитываются как внутренние участники (подразделения, руководители), так и внешние — регуляторы, партнёры, акционеры. Их требования и приоритеты используются при дальнейшей оценке рисков.
Стратегия кибербезопасности
На этом уровне выбирается фреймворк, в рамках которого компания будет строить систему ИБ. В SGRC доступны два стандарта — NIST CSF 2.0 и ISO 27001, но можно также создать собственный или комбинированный подход.
На основе выбранного фреймворка проводится анализ текущего и целевого состояния кибербезопасности, после чего формируется стратегический план. Он может быть разбит на этапы с конкретными задачами и назначением исполнителей, а прогресс отображается на сводном дашборде.
Политики и процессы
После выбора фреймворка продукт автоматически формирует перечень процессов информационной безопасности с их описанием и связанными политиками. Для большинства документов, включая основную политику ИБ, предусмотрены готовые шаблоны, которые можно быстро адаптировать под организацию.
Поддержание актуальности
Система предусматривает механизм регулярного пересмотра и обновления элементов ИБ — от процессов до политик. Можно настраивать интервалы напоминаний и ответственных по принципу RASCI-матрицы, что помогает поддерживать управление ИБ в актуальном состоянии.
Отчётность и визуализация
Для анализа предусмотрены дашборды и отчёты по ключевым направлениям. Пользователь может применять собственные шаблоны отчётности, если в компании уже существуют утверждённые формы.
Таким образом, новый раздел SGRC объединяет стратегическое и операционное управление ИБ в единой системе, что позволяет организациям структурно подходить к развитию кибербезопасности.
