Обзор R-Vision SGRC 4.1

1. Введение
2. Функциональные возможности
3. Новые возможности R-Vision SGRC 4.1
4. Работа с R-Vision SGRC 4.1
1. 4.1. Ведение реестра материальных и нематериальных активов организации
2. 4.2. Категорирование объектов КИИ
3. 4.3. Проведение оценки соответствия активов нормативным и законодательным требованиям
4. 4.4. Проведение оценки рисков информационной безопасности
5. 4.5. Отчетность и визуализация
5. Архитектура и технические особенности
6. Лицензирование
7. Соответствие требованиям регуляторов
8. Выводы

Введение

Решения класса Security GRC предназначены для автоматизации процесса управления информационной безопасностью (Governance). Они помогают оценить систему безопасности организации с точки зрения риск-менеджмента (Risk), соответствия отраслевым или законодательным стандартам и требованиям регуляторов (Compliance).

Предлагаемый SGRC-системами подход к управлению безопасностью позволяет контролировать достижение целей высшего руководства путем своевременного выявления рисков, формирования системы внутренней нормативной документации и контроля за соблюдением внешних требований. А рассчитываемые автоматически показатели и метрики позволяют менеджменту принимать обоснованные решения по развитию системы ИБ или отдельных ее процессов.

На рынке наблюдается растущий спрос на решения данного класса, который поддерживается не только регуляторными требованиями, но и осознанием топ-менеджмента в первую очередь крупных компаний важности кибербезопасности и включением стратегии управления кибербезопасностью в общую стратегию управления и развития бизнеса.

Ранее мы публиковали обзор российского рынка SGRC, а также сравнение российских SGRC-решений. В этом сравнении участвовала платформа R-Vision SGRC версии 3.0. С момента выхода обзора прошло 1,5 года. За это время разработчик внес множество существенных изменений. В частности, добавил функции по категорированию объектов КИИ и проведению аудита по Приказу ФСТЭК России №239, реализовал конструктор графиков, функциональность по управлению аудитами была фактически полностью переработана и вышла на качественно новый уровень. В архитектурном плане можно отметить поддержку инсталляций в режиме multitenancy под нужды MSSP-провайдеров и крупных заказчиков со множеством дочерних обществ.

Функциональные возможности

R-Vision SGRC обеспечивает решение следующих задач:

• Ведение реестра материальных и нематериальных активов организации:
  • инвентаризация ИТ-инфраструктуры,
  • учет связей между активами,
  • формирование перечня критических активов,
  • проведение оценки их ценности,
  • автоматическое определение применимых к активам нормативных и законодательных требований.
• Проведение категоризации объектов КИИ:
  • ведение перечней объектов КИИ и связанных критических процессов,
  • автоматический расчет категории значимости на основе опроса экспертов,
  • формирование пакета документов по результатам категорирования.
• Проведение оценки соответствия активов нормативным и законодательным требованиям:
  • формирование годовых планов проверок, контроль сроков и статусов проводимых аудитов,
  • выполнение проверок соответствия с помощью настраиваемых опросных листов,
  • автоматический расчет показателей соответствия (на основе типовых и пользовательских методик),
  • учет и контроль устранения выявленных нарушений,
  • формирование планов по устранению замечаний.
• Проведение оценки рисков информационной безопасности:
  • организация совместной работы различных групп экспертов,
  • оценка степени вероятности реализации угроз ИБ и тяжести последствий с прогнозированием возможного ущерба,
  • составление плана мероприятий по обработке рисков, исходя из имеющегося бюджета на информационную безопасность,
  • автоматическое формирование модели угроз и модели нарушителя ИБ,
  • моделирование угроз по требованиям ФСТЭК России.
• Управление операционными задачами персонала с возможностью автоматического создания и оперативного уведомления.
• Ведение базы внутренней документации по информационной безопасности с возможностью создания списков доступа пользователей к документам.
• Автоматизация функций по формированию отчетности:
  • создание реестров рисков, планов мероприятий по их обработке,
  • формирование пакетов документов по результатам проведения аудитов.

Новые возможности R-Vision SGRC 4.1

По сравнению с версией R-Vision SGRC 3.0, которая участвовала в сравнении российских SGRC-решений, можно выделить следующие новые возможности платформы R-Vision SGRC 4.1:

• Категорирование объектов КИИ с автоматическим расчетом категории значимости и формирования необходимых документов.
• Полностью переработанная функциональность по проведению оценки соответствия требованиям (аудита):
  • реализация полного цикла проведения проверки: планирование, оценка, фиксация замечаний, формирование плана по их устранению;
  • новые возможности по работе с замечаниями;
  • шаблоны для быстрого создания замечаний и мероприятий по их устранению;
  • возможность регулировать доступ пользователя к определенным группам требований и отдельным этапам проведения проверки;
  • возможность включать повышенный контроль за действиями аудитора;
  • автоматическая синхронизация задач, замечаний и мероприятий по их устранению: по статусам, ответственным и срокам исполнения;
  • работа со сводными аудитами, объединяющими разные проверки по одному или нескольким активам в одну комплексную;
  • фильтрация аудитов, замечаний и мероприятий с возможностью сохранения результата во вкладках быстрого доступа.
• Обновленные справочники нормативных документов, включающие в себя Приказы ФСТЭК России, банковские стандарты, лучшие практики и др.
• Реализован конструктор графиков для представления данных в нужном разрезе.
• Гибкая настройка полей описания всех ключевых элементов системы: карточек активов, проведения оценки, замечаний и мероприятий по их устранению.
• Поддержка инсталляций в режиме multitenancy.

Работа с R-Vision SGRC 4.1

Ведение реестра материальных и нематериальных активов организации

Управление активами является базовым функциональным блоком R-Vision SGRC, поскольку проведение оценок рисков и аудитов осуществляется на основе реестра активов.

Функциональность по управлению активами позволяет решать такие задачи как:

• учет материальных и нематериальных активов и их взаимосвязей (процессы, информация, информационные системы, сети, оборудование, пользователи, группы ИТ-активов);
• подготовка активов к проведению оценок рисков, аудита, категорирования (для объектов КИИ);
• инвентаризация ИТ-инфраструктуры: сбор, регистрация, обогащение и агрегация информации по активам с различных источников в единой системе, а также сканирование сетей без применения агентов.

В результате регулярной работы с этим разделом формируется единая база активов, которая служит центральной точкой контроля за состоянием ИТ-инфраструктуры и безопасностью активов.

Основные функции блока «Управление активами»

Прежде всего, стоит отметить, что состав полей в карточках активов может настраиваться при необходимости. Помимо полей, присутствующих в свойствах по умолчанию, пользователи могут добавить собственные пункты описания.

В системе также реализованы функции автоматического управления свойствами оборудования и информационных систем:

• политики сканирования — критерии запуска автоматического поиска оборудования в сети;
• политики запуска скриптов — критерии автоматического выполнения скриптов на обнаруженных в сети узлах;
• политики обнаружения программного обеспечения — критерии поиска определенного программного обеспечения на сканируемом оборудовании;
• политики назначения атрибутов — критерии автоматического заполнения полей оборудования и групп ИТ-активов.

Рисунок 1. Правило автоматического включения оборудования в группу ИТ-активов в R-Vision SGRC

Создаваемые в системе активы делятся на типы. Тип актива определяет доступные в отношении него функции, возможность связей с другими активами и состав полей, отображаемый в его карточке. Базовыми типами активов являются: Подразделения, Бизнес-процессы, Группы ИТ-активов, Информация, Оборудование, Помещения. Дополнительные сведения об ИТ-инфраструктуре содержатся на вкладках: Сети, ПО, Домены, Персонал.

Рисунок 2. Работа с активами типа Информация в R-Vision SGRC

Важной функциональной особенностью блока «Активы» является возможность проставления связей между объектами ИТ-инфраструктуры и нематериальными активами. Корректно настроенные связи позволяют:

• отслеживать состав систем, а также поддерживаемые ими процессы и обрабатываемую информацию;
• проводить автоматический поиск активов для включения в область оценки рисков;
• автоматически генерировать производные риски для связанных активов;
• автоматически заполнять ряд свойств активов (ответственные лица, локация и др.);
• генерировать отчеты и строить графики в различных разрезах.

Для типов активов, поддерживающих оценку рисков, в разделе «Атрибуты безопасности» можно указать зависимость безопасности выделенного актива от безопасности активов, связанных с ним.

Рисунок 3. Взаимосвязь атрибутов безопасности активов в R-Vision SGRC

Инвентаризация ИТ-инфраструктуры

Автоматический сбор информации о составе ИТ-инфраструктуры реализован в системе R-Vision SGRC при помощи коннекторов к базам данных, CMDB-решениям, сканерам защищенности, антивирусным средствам защиты и другим решения. Для каждой интеграции существует возможность настройки объема импортируемой информации.

R-Vision SGRC также обладает встроенным механизмом инвентаризации, который позволяет проводить сканирование подсетей и собирать детальную информацию об ИТ-инфраструктуре без использования агентов. Сканирование рабочих станций и серверов под управлением Windows производится с помощью инструментария WMI и Remote RPC. Под управлением Linux/Unix-систем, а также сетевого оборудования — по протоколу SSH.

Узлы, найденные в ходе инвентаризации, могут быть автоматически занесены в соответствующие Группы ИТ-активов с помощью Политик назначения атрибутов.

Рисунок 4. Просмотр результатов сканирования на вкладке Оборудование в R-Vision SGRC

В R-Vision SGRC также присутствует возможность автоматической маркировки и удаления из системы устаревшего оборудования.

Категорирование объектов КИИ

R-Vision SGRC 4.1 может быть дополнен функциональностью по проведению категорирования объектов КИИ в соответствии с порядком, утвержденным Постановлением Правительства № 127 от 08.02.2018.

Разработчик предусмотрел в продукте встроенный калькулятор, который позволяет рассчитать категорию значимости объекта КИИ. Для этого пользователю необходимо оценить критерии значимости объекта, выбрав нужное значение из списка, и указать обоснование выставленной оценки. На основе введенных параметров система автоматически укажет соответствующую категорию.

Рисунок 5. Проведение оценки категории значимости объекта КИИ в R-Vision SGRC

По результатам категорирования можно автоматически сформировать необходимый пакет документов:

• акт категорирования;
• сведения о присвоении категории значимости объекта КИИ.

Для формирования Акта проверки необходимо предварительно провести в отношении объекта КИИ аудит по Приказу ФСТЭК России № 239. При создании отчета система автоматически выгрузит из оценки заведенные замечания, а также рекомендации аудитора.

Подробнее ознакомиться с функциональностью категорирования объектов КИИ можно в статье на сайте разработчика.

Проведение оценки соответствия активов нормативным и законодательным требованиям

Функциональный блок «Аудит и контроль» R-Vision SGRC в версии 4.1 получил мощное развитие. Разработчик разбил процесс проведения аудита на отдельные этапы, которые позволяют реализовать полный цикл проведения проверок:

1. Планирование
2. Проведение проверок
3. Анализ замечаний
4. Формирование и контроль реализации планов по устранению замечаний

Каждый из этапов детально проработан и предусматривает собственные настройки. Это позволяет подключать разных экспертов к различным этапам оценки, регулировать доступность тех или иных полей, контролировать каждый из этапов по отдельности и добиться большей прозрачности всего процесса в целом. Сам процесс осуществления проверки теперь происходит быстрее и удобнее.

Поскольку эта функциональность подверглась наибольшим изменениям, остановимся на ней подробнее.

Автоматизация расчетов

В основе автоматизации оценки соответствия с помощью R-Vision SGRC лежит настройка алгоритма расчета итоговых показателей. По умолчанию разработчик предлагает использовать собственную методику, разработанную аналитиками R-Vision. Методика основывается на «индексах соответствия» — поиске средней оценки аудитора с учетом весовых коэффициентов требований. Плюсом предлагаемой методики является простота интерпретации итогового результата, а также возможность ее сочетания с различными шкалами оценки.

При необходимости пользователи могут применять пользовательские методики, для чего в R-Vision SGRC 4.1 предусмотрен конструктор типов аудита, позволяющий реализовывать сложные расчеты с использованием формул, списков и таблиц.

Рисунок 6. Настройка типа аудита в R-Vision SGRC

Дополнительно пользователи могут настроить справочники шкал оценки, этапов для контроля хода проведения проверок, а также политики автоматических уведомлений.

R-Vision SGRC 4.1 поставляется с широким набором предустановленных стандартов:

• Приказ ФСТЭК № 17;
• Приказ ФСТЭК № 31;
• Приказ ФСТЭК № 239;
• PCI DSS (v.3.1 и v.3.2);
• SWIFT’s Customer Security Programme;
• ГОСТ Р ИСО/МЭК 27001-2006;
• Положение Банка России № 382-П;
• Стандарт банка России СТО БР ИББС-1.0-2014;
• и другие.

Планирование

В основе проведения аудитов с помощью R-Vision SGRC лежит реестр активов, в котором хранится ключевая информация по проверяемым объектам — их описание, взаимосвязи, расположение в организационной структуре и другие данные.

Несмотря на то, что основная работа с проверками осуществляется на вкладке «Аудит и контроль», весь этап «Планирование» может быть проведен напрямую из реестра активов. Для удобства пользователя в реестре доступна вся необходимая информация для поиска нужных активов: дата начала ближайшего запланированного аудита, дата окончания последнего завершенного, перечень проводившихся аудитов, текущие работы по устранению замечаний и т. д.

Рисунок 7. Планирование проверок из раздела Активы в R-Vision SGRC

В R-Vision SGRC выделяется два типа аудитов:

• Простой аудит — представляет собой опросный лист, заполняемый аудитором в отношении одного актива.
• Сводный аудит — представляет собой объединение нескольких опросных листов в единую проверку. Сводные аудиты могут включать разные опросные листы для разных активов и упрощают дальнейший процесс обработки заводимых замечаний. Сводные аудиты удобно использовать в случае, когда информационная система проверяется на соответствие сразу нескольким стандартам или когда в рамках оценки одной системы проверяется целый ряд входящего в нее оборудования.

Результаты планирования будут доступны на вкладке Аудиты в разделе «Аудит и контроль», где для удобства отслеживания определенных групп проверок можно создать вкладки по фильтрам.

Рисунок 8. Просмотр результатов планирования на вкладке Аудиты в R-Vision SGRC

Проведение оценки

В системе R-Vision SGRC 4.1 предусмотрено автоматическое уведомление менеджеров аудита о приближении запланированной даты проведения оценки.

При заполнении опросного листа аудитор выставляет оценку (например: «Выполняется полностью») и указывает обоснование/рекомендации и др. в отношении каждого пункта проверки. Все необходимые показатели система рассчитает автоматически и отобразит на вкладке «Результаты» внизу экрана.

Рисунок 9. Проведение аудита в R-Vision SGRC

Для быстрой навигации в верхней части экрана присутствуют стрелки, переносящие аудитора к ближайшему неоцененному или последнему просмотренному пункту.

Рисунок 10. Выставление оценки аудитором в R-Vision SGRC

Внутри аудита пользователям доступны дополнительные функции:

• прикрепление свидетельств;
• рабочий чат;
• раздел связанных замечаний;
• просмотр журнала изменений;
• просмотр значений показателей соответствия;
• генерация отчетности.

Чтобы снизить человеческий фактор и усилить контроль за действиями аудитора, в настройках R-Vision SGRC 4.1 можно включить дополнительные опции:

• запрет на завершение аудита при наличии неоцененных пунктов опросного листа;
• запрет на выставление оценки, свидетельствующей о наличии нарушения, без заведения замечания в системе;
• отдельный учет обоснований неприменимости пунктов оценки.

В R-Vision SGRC 4.1 также предусмотрена система контрольных проверок для контроля пересекающихся требований различных нормативных документов. Контрольные проверки позволяют оценить конкретный пункт требования один раз и далее автоматически учитывать результаты данной оценки при проверке соблюдения требований других нормативных документов, которые содержат этот пункт.

Внесение и обработка замечаний аудита

При выявлении нарушения в ходе проведения проверки аудитор должен внести в свойства оцениваемого пункта замечание. В R-Vision SGRC доступно два режима создания замечаний:

• По шаблону (рекомендуется разработчиком) — пользователь выбирает подходящую формулировку из предлагаемого списка. Выбираемый шаблон заранее заполнен нужной информацией. Использование типовых замечаний существенно сокращает время на фиксацию нарушений и их дальнейший анализ, снижает вероятность ошибки со стороны человека, а также позволяет строить статистику по результатам аудита.

Рисунок 11. Создание замечания по шаблону в R-Vision SGRC

• Вручную — пользователь выбирает карточку (тип замечания) с нужным составом полей и самостоятельно заполняет необходимую информацию.

Рисунок 12. Создание замечания по шаблону в R-Vision SGRC

В разделе «Замечания» пользователю доступен список всех открытых замечаний, выявленных для выделенного пункта проверки, а также история замечаний за прошлые периоды.

Рисунок 13. Список замечаний в R-Vision SGRC

Формирование плана мероприятий по устранению замечаний

После окончания работ со списком замечаний пользователь может приступить к формированию плана мероприятий по их устранению.

Рисунок 14. Просмотр мероприятий по устранению, связанных с замечанием в R-Vision SGRC

Как и в случае с замечаниями, в R-Vision SGRC доступно два режима создания мероприятий:

• По шаблону (рекомендуется)
• Вручную.

В случае использования шаблонов система осуществит автоматический поиск похожих замечаний и предложит включить их в область мероприятия по устранению. Это поможет избежать заведения дубликатов и сократит время на формирование плана.

Рисунок 15. Список мероприятий в R-Vision SGRC

В момент заведения мероприятия в системе автоматически генерируется связанная с ним задача, синхронизирующаяся с мероприятием по статусу, ответственному и срокам исполнения. Замечание, обработка которого была включена в план, будет закрыто автоматически после завершения всех связанных с ним мероприятий.

При необходимости пользователи могут декомпозировать мероприятия на подзадачи для более детальной настройки сроков и исполнителей.

Проведение оценки рисков информационной безопасности

Функциональный блок «Риски» позволяет проводить регулярную оценку рисков информационной безопасности с учетом исторических данных, проводить моделирование по требованиям ФСТЭК, а также формировать план по обработке рисков, оптимизируя его под имеющийся бюджет.

Проведение типовой оценки рисков с помощью R-Vision SGRC включает в себя следующие этапы:

• Подготовка к проведению
• Идентификация рисков
• Оценка рисков
• Формирование плана обработки
• Утверждение результатов оценки рисков

Автоматизация расчетов

Система R-Vision SGRC обладает функциональностью автоматического расчета текущих и целевых уровней риска на основе различных алгоритмов. Широкий набор предустановленных методик — одна из ключевых особенностей решения:

• Типовая схема оценки рисков (R-Vision) — методика, разработанная аналитиками R-Vision. Поддерживает проведение качественной и количественной оценки рисков на основе ценности актива, потенциала источника угроз и эффективности внедренных защитных мер. Итоговые уровни рисков рассчитываются исходя из полученных значений вероятности и ущерба от реализации угрозы. Значения всех параметров заполняются автоматически, требуя минимального участия пользователя.
• Базовая количественная оценка — упрощенная версия Типовой схемы, позволяющая проводить только количественную оценку рисков.
• Базовая трехуровневая схема — качественный уровень риска определяется по таблице на основе значений вероятности и ущерба, оцениваемых экспертами.
• Базовая числовая трехуровневая схема — количественный эквивалент Базовой трехуровневой схемы.
• ALE (Annual Loss Expectance) — среднегодовой ущерб в результате инцидентов безопасности (количественная оценка).
• FAIR (Factor Analysis of Information Risk Methodology) — Факторный анализ информационных рисков.
• РС БР ИББС-2.2-2009 — методика оценки рисков нарушения информационной безопасности Банка России.
• Схема оценки угроз ФСТЭК России — на основе «Методики определения угроз безопасности информации в информационных системах».

При необходимости пользователи также могут вносить в систему собственные методики с помощью конструктора.

Другой ключевой особенностью системы является автоматический поиск актуальных рисков на основе введенных параметров. В основе поиска лежит использование каталогов угроз, содержащих данные о связях между источниками, предпосылками и потенциальными рисками. По умолчанию в R-Vision SGRC загружена полностью настроенная «Типовая база угроз ИБ», разработанная аналитиками R-Vision. При необходимости пользователи могут сформировать собственные каталоги. В систему также перенесен Банк данных угроз безопасности информации ФСТЭК России.

Помимо каталогов угроз в R-Vision SGRC предусмотрено ведение каталогов защитных мер, позволяющих систематизировать информацию о внедренных в организации средствах и мерах защиты. По умолчанию пользователям предлагаются:

• Типовой каталог защитных мер (R-Vision);
• Critical Security Controls v.6.0;
• Critical Security Controls v.7.0.

Проведение оценки рисков

Процесс оценки рисков начинается с подготовки активов к проведению оценки. Пользователям потребуется указать используемую методику оценки, допустимые уровни риска, а также провести оценку ценности актива, заполнив простой опросник.

Оценки рисков создаются в разделе Риски/Оценки. При наполнении таблицы «Область оценки» система произведет автоматический поиск активов, для которых могут быть выявлены дополнительные риски (если предварительно между ними была настроена связь).

Рисунок 16. Оценки рисков в R-Vision SGRC

После создания оценки рисков и настройки прав доступа наступает этап идентификации рисков. Он требует минимальных усилий со стороны пользователей — в отношении каждого актива из области оценки участникам нужно последовательно отметить:

• актуальные на их взгляд источники рисков;
• имеющиеся предпосылки (уязвимости, которые могут быть использованы источниками для реализации угроз);
• внедренные защитные меры (раздел заполняется автоматически, если для актива ведется учет защитных мер в разделе Система защиты/Защитные меры).

Дальнейший поиск рисков осуществляется системой автоматически на основании связей в каталогах рисков.

Рисунок 17. Список актуальных рисков, полученный на этапе идентификации рисков в R-Vision SGRC

Результаты поиска будут представлены на вкладке «Оценки», система рассчитает уровни выявленных рисков автоматически.

Если в область оценки входит несколько активов и между ними была настроена взаимосвязь, система сообщит о наличии производных рисков — последствий нарушения атрибутов безопасности систем и процессов.

Полная информация по риску отображается в его карточке справа: категория, тип (прямой/производный), нарушаемый атрибут безопасности, значения параметров оценки, связанные источники и предпосылки.

Рисунок 18. Параметры рисков в R-Vision SGRC

Результаты автоматической оценки могут быть скорректированы пользователями. При необходимости менеджер оценки рисков может сформировать экспертную группу, участники которой будут оценивать параметры рисков самостоятельно.

Рисунок 19. Интерфейс оценки риска экспертом в R-Vision SGRC

После завершения оценки параметров риска пользователи могут приступить к формированию плана по их обработке.

Рисунок 20. Добавление мероприятий по обработке рисков в R-Vision SGRC

В R-Vision SGRC доступны различные типы мероприятий по обработке — внедрение или совершенствование защитной меры, разовое мероприятие, уход от риска, передача риска. В отношении каждого мероприятия назначается ответственный и сроки реализации. Дополнительно система может рассчитать амортизированную годовую стоимость мероприятия (средства защиты).

R-Vision SGRC также автоматически рассчитывает общий бюджет плана по обработке и влияние сформированных мероприятий на уровни рисков (отображается в колонке «Целевой уровень риска»). Это позволяет сделать экспресс-оценку эффективности и стоимости отдельных мероприятий и скорректировать план.

Рисунок 21. План обработки рисков в R-Vision SGRC

После того как для рисков были посчитаны уровни и сформированы мероприятия по их обработке, менеджер оценки принимает решение о ее фиксации (завершении).

Фиксация рисков — необратимое действие, блокирующее дальнейшие изменения в оценке. После фиксации результаты оценки переносятся в разделы, в которых хранятся исторические данные по активам. При создании новой оценки для этого же актива ранее выявленные риски и незавершенные мероприятия автоматически отобразятся в ней, что позволяет учитывать результаты работы экспертной группы за прошедшие периоды.

Рисунок 22. Фиксация оценки в R-Vision SGRC

Моделирование угроз по требованиям ФСТЭК

R-Vision SGRC 4.1 позволяет проводить моделирование угроз по требованиям ФСТЭК России на основе проекта «Методики определения угроз безопасности информации в информационных системах».

Порядок действий аналогичен типовой оценке рисков. Дополнительно пользователю потребуется заполнить ряд описательных полей в свойствах актива, указать входящие в систему компоненты, а также указать цели нарушителей на этапе идентификации рисков.

Рисунок 23. Проведение оценки актуальности угроз в R-Vision SGRC

По результатам оценки система сгенерирует документ «Модель угроз», соответствующей требованиям ФСТЭК России.

Отчетность и визуализация

R-Vision SGRC содержит большой набор отчетов, позволяющих:

• генерировать необходимый пакет документов для сдачи отчетности по результатам аудита по ГОСТ Р ИСО/МЭК 27001-2006, СТО БР ИББС-1.0-2014, 382-П, PCI DSS;
• формировать планы-графики проведения аудитов;
• сравнивать результаты нескольких аудитов, проведенных по активу;
• формировать сводки по статусам и срокам выполнения задач;
• генерировать необходимый пакет документов для сдачи отчетности по результатам категорирования объектов КИИ;
• строить реестры рисков в различных разрезах и различной степенью детализации;
• формировать итоговое представление планов по обработке рисков с указанием бюджета, требуемого для их реализации;
• формировать сводную информацию по активам в различных разрезах с учетом заданных в системе взаимосвязей.

Отчеты могут формироваться как вручную, так и в автоматическом режиме согласно заданному расписанию. Во втором случае сгенерированный файл будет отправлен на почту указанным в политике пользователям. Существует возможность формирования собственных шаблонов отчетов с выгрузкой в них определенных блоков данных.

Построение графиков доступно в двух режимах: с использованием конструктора (в отношении данных из раздела Активы/Оборудование) и по шаблону.

Конструктор графиков позволяет строить диаграммы типа круговая, столбчатая и линейная для любых полей оборудования с указанием группировки данных, периода отображения.

Шаблоны графиков доступны для всех функциональных блоков и представляют собой наиболее часто используемые режимы вывода информации. В отношении шаблонов можно дополнительно применять пользовательские фильтры для более детальной настройки выводимой информации.

Рисунок 24. График, построенный с использованием шаблона в R-Vision SGRC

Архитектура и технические особенности

R-Vision SGRC поставляется в виде образа со всем необходимым предустановленным и настроенным программным обеспечением, который можно развернуть как в виртуальной инфраструктуре, так и на обычном сервере.

Архитектура решения R-Vision SGRC состоит из следующих основных компонентов:

• центральный сервер;
• центральный коллектор;
• коллектор инвентаризации.

Центральный сервер обеспечивает реализацию основных функций системы, управление остальными компонентами и централизованное обновление, взаимодействие с администраторами и пользователями системы. Кроме основного центрального сервера может быть развернут дополнительный HA-сервер.

Центральный коллектор обеспечивает агрегацию/обработку данных и обеспечивает интеграцию системы R-Vision со смежными системами и средствами защиты, всегда размещается на сервере системы.

Коллектор инвентаризации обеспечивает проведение инвентаризации в отдельных сегментах сети и передачу данных на центральный сервер. Физически данный компонент размещается отдельно от центрального сервера.

В минимальной комплектации для объектов с небольшой ИТ-инфраструктурой все компоненты R-Vision SGRC могут размещаться на одном сервере (т. н. All-in-One-устройство). При территориально-распределенной ИТ-инфраструктуре компании или в случае, когда число контролируемых объектов защиты значительное, решение масштабируется за счет размещения дополнительных коллекторов.

В R-Vision SGRC 4.1 реализован режим multitenancy, что позволяет использовать одну инсталляцию системы для одновременной и независимой работы с несколькими организациями, например, MSSP-провайдерами. В продукте предусмотрена возможность учета оборудования с пересекающейся адресацией, разграничения систем и доступов, настраивается ролевая модель, взаимодействие нескольких инстансов.

Управление R-Vision SGRC осуществляется через веб-интерфейс с помощью веб-браузера по протоколу HTTPS. Обмен информацией между центральным сервером и коллектором осуществляется по протоколам SSL/TLS.

R-Vision SGRC функционирует под управлением одной из следующих операционных систем: CentOS 7, Red Hat Enterprise Linux 7, Astra Linux CE 2.12, AltLinux Альт 8 СП. В качестве СУБД применяется PostgreSQL v.10 или выше. В большинстве случаев БД размещается на той же виртуальной машине, на которой функционирует центральный сервер R-Vision SGRC.

Выбор архитектуры решения R-Vision SGRC зависит от характеристик ИТ-инфраструктуры, числа конечных устройств (ИТ-активов), организационной структуры компании, пропускной способности каналов передачи данных, принятой в компании модели управления и требований к отказоустойчивости.

Для инсталляции системы требуется виртуальная машина с характеристиками, удовлетворяющими требованиям документации решения. С целью тестирования и подготовки обзора продукт был развернут на машине с минимальными характеристиками: 4 vCPU, 16 ГБ RAM, 100 ГБ свободного места на диске, сетевой адаптер GE.

Для доступа к серверу R-Vision SGRC не требуется установка клиента на АРМ, достаточно ввести IP-адрес сервера в браузере.

В R-Vision SGRC реализована ролевая модель доступа. Предусмотрены глобальные роли на уровне системы и роли на уровне входящих в состав решения функциональных блоков.

Лицензирование

R-Vision SGRC обладает гибкой схемой лицензирования, что позволяет заказчику выбрать необходимую функциональность с возможностью последующего расширения.

Формирование стоимости R-Vision SGRC зависит от следующих факторов:

• функциональность;
• объем контролируемой ИТ-инфраструктуры (совокупное число серверов, АРМ, включая виртуальные, число активного сетевого оборудования);
• коннекторы к смежным системам;
• кастомизация;
• срок технической поддержки.

Соответствие требованиям регуляторов

Платформа R-Vision SGRC 4.1 позволяет компаниям выполнить часть требований по соответствию отраслевым стандартам и законодательству в области обеспечения ИБ:

• 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
• 152-ФЗ «О персональных данных»;
• 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»;
• Требования по защите данных в Национальной платежной системе (161-ФЗ, ПП-584, 382-П и другие);
• Приказы ФСТЭК России №17 (ГИС), №21 (ИСПДн), № 31 (АСУ ТП), №239 (КИИ);
• Требования к безопасности данных индустрии платежных карт — PCI DSS;
• ГОСТ Р ИСО/МЭК 27002-2012, ГОСТ Р ИСО/МЭК ТО 18044-2007, ГОСТ Р ИСО/МЭК 27037-2014;
• ISO/IEC 27035:2011, ISO/IEC 27037:2012, ISO/IEC 27043:2015, ISO 22320:2011, ISO/IEC 27031:2011;
• Стандарт Банка России СТО БР ИББС-1.0-2014.

R-Vision SGRC (Центр контроля информационной безопасности «Р-Вижн») включен в реестр отечественного программного обеспечения.

Выводы

Решения класса SGRC достигли определенной зрелости и прочно заняли свою нишу в области автоматизации управления процессами ИБ, в основе которых лежат качественные и количественные оценки с точки зрения актуальных рисков, угроз, внешних требований и бизнес-целей организации.

Решение R-Vision SGRC 4.1 можно с уверенностью назвать зрелым продуктом в своем классе. Благодаря множеству выполненных проектов разработчику удалось накопить обширную экспертизу. Компания R-Vision продолжает оттачивать возможности ключевых функциональных блоков, улучшает продукт с точки зрения пользовательского опыта и своевременно реагирует на изменения в нормативной базе.

Преимущества

• Широкая база стандартов, справочников и контролей ИБ для различных отраслей – одна из самых масштабных в индустрии ИБ.
• Собственная аналитическая экспертиза.
• Интеграция со сторонними решениями. Это одно из приоритетных направлений для R-Vision, которое воплотилось в создании готовых коннекторов к самым разным средствам защиты информации.
• Специализация на направлении SGRC.
• Коробочное решение. По информации от разработчика, на настройку системы, изучение и переход к полноценной эксплуатации требуется всего несколько дней.
• Кастомизируемость. Наряду с готовыми методиками, шаблонами и справочниками, разработчики предусмотрели возможности по гибкой настройке продукта под специфические нужды заказчиков и использование собственных методик.
• Масштабируемость. Гибкая архитектура решения позволяет реализовывать вертикальное и горизонтальное масштабирование. Поддержка режима multitenancy позволяет использовать платформу R-Vision SGRC MSSP-провайдерами и реализовывать различные вариации корпоративных инсталляций.
• Встроенный Банк данных угроз ФСТЭК России.
• Автоматизированный расчет категории значимости объекта КИИ и формирование необходимого пакета документов.

Недостатки

• Нет возможности создавать оценки рисков и аудитов в отношении пользовательских типов активов.
• Отсутствие подсказок по сценариям работы с системой в интерфейсе.
• Отсутствие быстрого поиска в каталогах угроз, что было бы полезно, учитывая большой объем текстовой информации.

Разработчик продолжает расширять возможности решения R-Vision SGRC и его совершенствовать. Можно предположить, что выявленные недостатки станут направлениями для дальнейшего развития продукта.