Автоматизация процессов управления информационной безопасностью

Основными заказчиками системы автоматизации процессов управления ИБ САПУИБ) являются крупные компании и холдинги, которые при создании системы менеджмента информационной безопасности придерживаются принципов, отраженных в серии стандартов ГОСТ/ISO 27001. Их деятельность обычно обеспечивается сложной ИТ-инфраструктурой и комплексной системой информационной безопасности.

Таким образом, стабильность функционирования данных компаний в большой степени зависит от изменяющейся ИТ-инфраструктуры. В условиях высокой «подвижности» ИТ-инфраструктуры и прикладного программного обеспечения очень сложно соблюдать корпоративные требования и законодательство РФ по различным аспектам обеспечения ИБ.

На определённом уровне «зрелости» компании руководство приходит к пониманию необходимости унификации и формализации процессов в интересах системы менеджмента ИБ, с целью совершенствования оценки достижения необходимого уровня соответствия внешним и внутренним требованиям.

Сложность ИТ-инфраструктуры – это только одна из проблем, которые затрудняют создание системы менеджмента ИБ в компании. Существует ряд характерных проблем, которые возможно решить за счет автоматизации процессов управления ИБ путем внедрения САПУИБ.

Характерные типовые проблемы, с которыми сталкиваются компании при создании системы менеджмента ИБ:

voskl znak pdn2 color Отсутствие единой точки агрегации данных (как технических, так и организационных) по различным взаимозависимым аспектам информационной безопасности компании.

voskl znak pdn2 color Ограниченный штат сотрудников ИБ или нехватка квалифицированных специалистов по управлению ИБ.

voskl znak pdn2 color Сложность своевременной актуализации значительного объема внутренних документов, касающихся вопросов ИБ.

voskl znak pdn2 color Обширный перечень критичных ресурсов ИТ-инфраструткуры, подлежащих учету и защите.

voskl znak pdn2 color Большое количество прикладных систем, где обрабатывается информация ограниченного доступа, требующих учета и анализа их защищенности.

voskl znak pdn2 color Наличие значительных потоков данных, в том числе, событий и уязвимостей безопасности, от технических средств системы защиты информации и невозможность трансформировать их содержимое в оценку влияния на автоматизируемую бизнес-деятельность.

voskl znak pdn2 color Низкая оперативность актуализации рисков ИБ на операционном и стратегическом уровне, учета их взаимосвязи с общекорпоративными рисками.

voskl znak pdn2 color Сложность учета и соблюдения множества требований ИБ из различных источников (например, государственные регуляторы, стандарты организации) как по организационным, так и по техническим мероприятиям.

voskl znak pdn2 color Сложность оперативного контроля состояния ИБ в компании и ее филиалах.

О решении

Система автоматизации процессов управления информационной безопасностью относится к формирующемуся на российском рынке классу продуктов Security GRC:

  • Governance – осознание главенствующей роли руководства организации в постановке целей, контроля их достижения. Это важнейший элемент, отражающий зрелость организации и способность воплотить концепцию GRC.
  • Risk management – риск-ориентированный подход – достижение поставленных целей, через определение значимых рисков, препятствующих этому.
  • Compliance – определение совокупности внешних (от регуляторов области или рекомендаций производителей ПО\оборудования) и внутренних требований (например, политика ИБ), невыполнение которых, в том числе, влияет на увеличение рисков.

САПУИБ решает задачи:

check sapuib Формализация деятельности подразделений ИБ компании и ее филиалов в части процессов управления ИБ (активы, персонал, риски, инциденты, соответствие и пр.)

check sapuib Обеспечение информационного взаимодействия подразделения ИБ с другими подразделениями компании

check sapuib Агрегация данных с учетом их взаимосвязей и мониторинга по различным направлениям ИБ

check sapuib Обеспечение объективности и оперативности оценки текущего уровня ИБ структурных подразделений и компании в целом


Архитектура

Архитектура САПУИБ представляет собой интеграционную платформу и функциональные модули. Платформа обеспечивает:

  • управление визуальным интерфейсом
  • управление доступом
  • управление процессами обработки данных и их представления
  • управление данными и поиском
  • интеграция с внешними системами и источниками данных
  • формирование выгрузок и отчетов (doc, pdf, и т.д.)
  • отправка уведомлений пользователям

САПУИБ может быть построена на одной из трех интеграционных платформ: RSA Archer eGRC (производства США), ePlat4m (Россия) или R-Vision (Россия). Платформы состоят из клиент-серверного веб-приложения, использующего Microsoft IIS в качестве сервера приложений и Microsoft SQL Server в качестве СУБД. Взаимодействие пользователей с САПУИБ осуществляется через веб-интерфейс.

Sapuib sheme r vision

Основой бизнес-логики САПУИБ являются функциональные модули, разворачиваемые на интеграционной платформе (выбор состава модулей зависит от предпочтений\ограничений заказчика), по следующим направлениям ИБ:

  • учет и классификация объектов защиты
  • управление инцидентами
  • работа с персоналом и третьими сторонами по вопросам ИБ
  • управление рисками
  • управление уязвимостями
  • управление соответствием требованиям
  • документационное обеспечение

Эффективность внедрения и эксплуатации системы зависит от наличия у заказчика информационных систем и систем защиты информации, которые являются источниками информации для САПУИБ. Информационные потоки из различных систем импортируются в САПУИБ, агрегируются и участвуют в межмодульном взаимодействии. Способ импорта зависит от возможностей смежной системы. Основные типы смежных систем и возможные информационные потоки представлены на схеме.

sapuib new letter big


Внедрение системы позволит:

gruppa zdanii sapuib color
Повысить зрелость организации с точки зрения понимания влияния состояния информационной безопасности на функционирование бизнес-процессов компании.
integrirovanie sapuib colour
Интегрировать риски ИБ в существующую систему управления рисками.
binar fail sapuib colour
Перейти от качественных оценок влияния ИБ на бизнес к количественным оценкам, опирающимся на конкретные данные в системе.
sert sapuib znak colour
Получить документированные в системе свидетельства функционирования системы менеджмента ИБ.

Полученные выгоды от внедрения значительно облегчает прохождения сертификации компанией на ГОСТ/ISO 2700.

Успешная реализация во многом определяется мотивацией заказчика, его пониманием результатов от внедрения решения класса Security GRC. Важна текущая оснащенность общекорпоративными информационными системами и средствами защиты информации, которые являются потенциальными источниками информации для САПУИБ. Синергетический эффект проявляется в сквозных информационных взаимосвязях между функциональными модулями и в интеграции типовых информационных сущностей из разнородных смежных систем, что позволяет по-новому «увидеть» информацию и принимать управленческие решения.

Таким образом, САПУИБ – это своего рода «ERP-система безопасника», основной инструмент руководителя, менеджеров и специалистов ИБ. Именно внедрение данного инструмента позволяет реализовать новую парадигму в работе специалистов ИБ, трансформировать и «оцифровать» деятельность в области управления ИБ в компании.


Преимущества:

 

check sapuib Архитектура – основу архитектуры составляет платформа, включающая инструменты разработки и формирования аналитики

check sapuib Адаптация – изменение функциональности системы под конкретного заказчика при внедрении

check sapuib Масштабируемость – возможность внедрения помодульно в зависимости от текущих потребностей заказчика

check sapuib Модернизация – возможность наращивания функциональности системы в процессе промышленной эксплуатации

check sapuib Удаленная работа – полная функциональность посредством web-интерфейса

check sapuib Лучшие практики – соответствие лучшим практикам в области управления ИБ

check sapuib Эффективность капиталовложений – возможность быстрой гибкой адаптации к изменяющимся условиям функционирования компании позволяет быстро перестраивать работу системы без больших капитальных вложений

У Вас появились вопросы или Вас интересуют решения по автоматизации процессов управления информационной безопасностью?
Обратитесь к нам за помощью прямо сейчас.