Системы управления процессами информационной безопасности (SGRC)

Средства управления информационной безопасности на предприятии (Security Governance Risks Compliance)

Вопрос
Задать вопрос

Описание и назначение

Security Governance, Risk, Compliance (SGRC) – это концепция управления информационной безопасностью (ИБ) с точки зрения трех понятий: вопросы информационной безопасности рассматриваются на высшем уровне руководства компании (Governance), на основе управления рисками (Risk), а также в соответствии с требованиями различных стандартов (Compliance).

Понятия Governance, Risk и Compliance были объединены в одну концепцию после принятия в 2002 году в США Закона Сарбейнза-Оксли. Он предполагает новый режим регулирования и контроля финансовой деятельности, а также повлек за собой изменения в процессе управления информационными активами и в требованиях к раскрытию информации. Слово Security проектирует данную концепцию на управление информационной безопасностью.

Governance — процесс управления ИБ на основе подхода «сверху-вниз», когда поддержка, инициатива и определение направлений деятельности исходит от высшего руководства и спускается через руководителей среднего звена к сотрудникам.

Risk — процесс управления ИБ с точки зрения управления рисками. Исследование рисков необходимо для выявления информационных активов, определения угроз, вызывающих риски для них, оценить возможные потери и потенциальные убытки компании в случае возникновения угроз. В результате руководство способно адекватно оценивать бюджет, учитывающий все требующиеся расходы для защиты информационных активов от обнаруженных угроз.

Compliance— процесс управления ИБ в соответствии с требованиями стандартов: процедур, базисов, политик, международных и государственных стандартов, а также руководящих и нормативных документов. Данный подход относится к административным мерам управления и направлен на снижение риска невыполнения компанией каких-либо внешних требований.

Таким образом, вышеуказанные направления деятельности тесно связаны между собой, воздействуют друг на друга и позволяют руководству принимать целостные управленческие решения в области ИБ во взаимосвязи с другими корпоративными системами управления.

SGRC-система, как правило, предназначена для управления следующими направлениями ИБ:

  • политиками ИБ,
  • рисками ИБ,
  • соответствием требованиям ИБ (нормативным, правовым, корпоративным, отраслевым, локальным),
  • внутренними аудитами,
  • непрерывностью деятельности компании в сфере ИБ,
  • инцидентами ИБ,
  • активами на различных уровнях.

Большинство SGRC-решений представляют собой систему сбора и анализа информации о ходе выполнения деятельности во всех подразделениях компании. Информация о возможных рисках и исполнении требований стандартов представляется руководству в виде отчетов, демонстрирующих проблемные места, а руководителям среднего звена эти системы предоставляют информацию, необходимую для идентификации и обработки рисков и несоответствий требованиям.

В данное время SGRC-решения развиваются в двух направлениях – IRP (Incident Response Platform), Risk Management и платформы-конструкторы. Наибольшую популярность в последнее время получают IRP-системы в связи с повсеместным внедрением в компаниях SOC (Security Operations Center) и построением процессов управления инцидентами в целом.

Список средств защиты

Security Vision
0
0 отзывов
Security Vision SGRC - программный продукт для автоматизации процесса управления информационной безопасностью в организации
R-Vision
0
0 отзывов
R-Vision Security GRC Platform (SGRC) – это программная платформа для автоматизации процесса управления рисками и проведения внутреннего аудита
RSA
0
0 отзывов
RSA Archer GRC помогает управлять жизненным циклом корпоративных политик, оценивать риски и принимать соответствующие меры, создавать отчеты по соответствию внутренним стандартам управления и законодательным нормативам, действующим на предприятии.
Check Point
0
0 отзывов
Checkpoint GRC интегрированная платформа призванная помочь организациям справиться с увеличивающимся потоком нормативных требований. Что позволит сооветствовать многочисленным и пересекающимся требованиям регуляторов.
IBM
0
0 отзывов
IBM GRC Platform включает все необходимые компоненты для развертывания масштабируемых решений для управления рисками и соблюдением требований в масштабе предприятия.
Rsam
0
0 отзывов
Платформа Rsam призвана облегчить рабочие задачи, имеет интуитивно понятный интерфейс и легко может быть освоена пользователями любого уровня подготовки.
Микротрейд
0
0 отзывов
DocShell «Информационная безопасность» — это автоматизация организационных мероприятий по защите информации. Поможет выполнить и подготовить документацию в соответствии с требованиями законодательства РФ в сфере защиты информации. 
Кейсистемс-Безопасность
0
0 отзывов
Онлайн-сервис «АльфаДок» помогает выполнить требования законодательства РФ по защите персональных данных, государственных информационных систем и быть постоянно готовыми к проверкам регуляторов.
Atlassian
0
0 отзывов
Security Vision
0
0 отзывов