ГК «АйТеко», один из крупнейших российских системных интеграторов, опубликовала обзор и сравнение ИТ-решений SGRC, представленных на российском рынке. Системы класса SGRC (Security Governance, Risk Management and Compliance) используются преимущественно крупными структурами для управления процессами информационной безопасности, обеспечения соответствия законодательству, отраслевым и внутренним стандартам и требованиям и решения других задач.
Авторы: Антон Ленский, заместитель директора департамента технического сервиса ООО «РАССЭ» (ГК «Ай-Теко»),
Владислав Вайц, старший преподаватель МГТУ им. Н.Э. Баумана.
Мы подготовили обзор и сравнение SGRC-решений, представленных на российском рынке информационной безопасности. В данном направлении работает не так много вендоров, поэтому в обзоре будут участвовать 5 игроков, из которых трое – отечественные.
Напомним, что термин SGRC означает Security Governance, Risk Management and Compliance, т.е. буквально «Управление безопасностью, рисками и соответствием законодательству». Платформы SGRC, исходя из их названия, решают следующие задачи:
- Governance – менеджмент информационной безопасности с процессами автоматизации управления активами, уязвимостями, документами, задачами, стандартами, а также с возможностью визуализации состояния ИБ и создания отчетности.
- Risk Management – управление киберрисками с автоматизацией риск-ориентированного подхода к обеспечению информационной безопасности, нацеленное на экономически обоснованный выбор оптимальных мер защиты, минимизирующих выявленные и рассчитанные риски.
- Compliance – обеспечение соответствия законодательству, отраслевым и внутренним стандартам и требованиям (комплаенс), с возможностью проведения аудитов и предоставления отчетности и результатов.
Дополнительно системы SGRC могут выполнять следующие функции:
- управление внутренними документами, базой знаний и решений, выполнение функции «внутренней Wiki» для департаментов ИБ;
- управление разнообразными бизнес-процессами, связанными с защитой информации;
- управление процессами взаимодействия с контрагентами по вопросам защиты информации;
- построение отчетов и визуализация состояния ИБ в виде интерактивных графиков и диаграмм;
- обеспечение интеграции с ОС, ПО, СЗИ для получения информации о состоянии компонент инфраструктуры;
- поддержка обработки инцидентов ИБ;
- поддержка управления процессами обеспечения непрерывности бизнеса и восстановления работоспособности;
- обеспечение поддержки принятия управленческих решений для руководства (ситуационная осведомленность).
Классические бизнес-ориентированные GRC-системы сфокусированы на более широких категориях управленческих процессов и рисков, чем специализированные SGRC-решения. Однако, специализация SGRC-продуктов на кибербезопасности привносит в решения дополнительный функционал, такой как автоматизация реагирования на инциденты ИБ, взаимодействие со средствами защиты, формирование специализированной отчетности.
В обзоре представлены основные игроки на рынке SGRC-систем:
- ePlat4m (Россия)
- Microsoft 365 Compliance Center (США)
- RSA Archer (США)
- R-Vision (Россия)
- Security Vision (Россия)
Сравнивать и анализировать данные решения мы будем по их общим, техническим и функциональным характеристикам и возможностям, делая после каждого раздела выводы.