• CIS Magazine

Система ePlat4m Security GRC

Программный комплекс, обеспечивающий автоматизацию процессов ИБ и их интеграцию в систему управления организацией.



Автоматизация СУИБ

Любая современная система управления информационной безопасностью (СУИБ) помимо средств защиты информации включает в себя поддерживающие их процессы информационной безопасности (ИБ), объединяемые на основе выбираемой модели управления ИБ. В связи со сложностью используемой ИТ-инфраструктуры, наличием актуальных многовекторных угроз ИБ и ограниченными ресурсами, направляемыми предприятием на защиту своих корпоративных активов, говорить о возможности построения эффективной СУИБ без автоматизации процессов обеспечения и управления ИБ не приходится.


Security GRC

Решение ePlat4m Security GRC относится к классу специальных информационно-аналитических систем, автоматизирующих процессы обеспечения и управления ИБ корпоративной СУИБ. В западной терминологии этот класс решений принято называть GRC (Governance – стратегическое управление, Risk – риски, Compliance – соответствие требованиям). В России решения класса GRC применительно к тематике ИБ принято также именовать решениями Security GRC класса. Security GRC – это концепция управления организацией (Governance) в сфере информационной безопасности (ИБ) на основе оценки рисков (Risk) и в соответствии с нормативными правовыми и корпоративными требованиями по защите информации (Compliance), а также технология по реализации данной концепции. Все три вида деятельности связаны между собой, оказывают влияние друг на друга и позволяют в совокупности принимать руководству эффективные управленческие решения в области ИБ во взаимосвязи с другими корпоративными системами управления.


Опыт внедрения

Исходя из практического опыта внедрения системы ePlat4m Security GRC в России, можно выделить следующие выгоды от внедрения системы на предприятии:

  • снижение рисков, связанных с регулирующими органами в области ИБ: ФСТЭК России, ФСБ России, Банка России – за счёт полного и эффективного учёта и контроля соблюдения различных нормативных требований по ИБ;

  • повышение уровня защищённости ИТ-активов за счёт повышения зрелости процессов управления и обеспечения ИБ;

  • упрощение проведения аудита предприятия на соответствие требованиям по ИБ, за счёт централизованного хранения и повторного использования его результатов;

  • предоставление сводных аналитических данных по ИБ в понятном и наглядном виде для поддержки принятия управленческих решений;

  • построение корпоративной СУИБ на основе риск-ориентированного подхода.


Создание системы

  • При создании системы ePlat4m Security GRC был учтён опыт ведущих мировых производителей решений класса GRC, поэтому система ePlat4m Security GRC включает в себя:

  • реляционную базу данных, которая хранит и осуществляет контекстное преобразование данных по управленческой деятельности в рамках организации;

  • механизм потока работ (workflow), который позволяет выстраивать GRC-процессы;

  • механизм управления контентом, который поддерживает единый жизненный цикл неструктурированной информации (контента) GRC различных типов и форматов;

  • механизм формирования отчётности, который позволяет представить информацию GRC в удобном для восприятия и анализа виде для лиц, принимающих решения;

  • механизм управления доступом;

  • механизм генерации и отправки уведомлений о событиях системы пользователям;

  • механизмы анкетирования и тестирования персонала, позволяющие создавать и управлять опросными листами и тестами;

  • механизм создания пакетов для переноса изменений между средами разработки, тестирования и производства, установления обновлений и передачи в службу поддержки;

  • инструменты разработки собственных приложений и их объединения в отдельные модули;

  • инструменты по интеграции со смежными системами.


Подведём итоги

В случае принятия положительного решения о внедрении на предприятии системы класса Security GRC следует обратить внимание на следующие ключевые факторы успеха проекта внедрения:

  • поддержка проекта внедрения системы Security GRC со стороны руководства предприятия и подразделения ИБ;

  • наличие у организации эффективной организационной структуры, обеспечивающей управление ИБ на предприятии в рамках корпоративной СУИБ;

  • прохождение необходимого обучения эксплуатации системы Security GRC в авторизованном учебном центре;

  • соответствие системы Security GRC требованиям регуляторов – наличие системы в государственном реестре российского программного обеспечения, а также наличие сертификатов соответствия ФСТЭК России или ФСБ России;

  • вовлечение в автоматизируемые с помощью системы Security GRC процессы управления ИБ всего необходимого персонала: руководства организации, ИТ-подразделения, подразделений внутреннего аудита и риск-менеджмента и др.;

  • наличие у системы Security GRC гибкости и возможности настройки прикладных модулей с использованием инструментов платформы без необходимости привлечения программистов;

  • выделение необходимого финансирования на внедрение, развитие и сопровождение системы Security GRC.


______________________________


«Компания Информационных Технологий»

www.eplat4m.ru

Просмотров: 244

© 2020, СIS (Современные Информационные Системы).     info@sovinfosystems.ru     Журнал предназначен для лиц старше 16 лет.