Что такое SGRC: Security Governance, Risk, Compliance
SGRC — расшифровка и определение
SGRC (Security Governance, Risk and Compliance) — класс информационных систем для автоматизации процессов управления информационной безопасностью.
Управление процессами ИБ: учёт средств защиты, контроль уязвимостей, инвентаризация ИБ-активов
Стратегическое управление ИБ: политики, регламенты, задачи, контроль исполнения
Идентификация, оценка и обработка рисков информационной безопасности
Контроль выполнения требований регуляторов: ФСТЭК, ФСБ, Банк России, ISO 27001
Чем SGRC отличается от GRC
Если ваша задача — управление ИБ-процессами (учёт СКЗИ, уязвимости, соответствие требованиям ФСТЭК/ФСБ) — вам нужен SGRC, а не общий GRC.
| Критерий | GRC | SGRC |
|---|---|---|
| Фокус | Финансовые, операционные, юридические риски | Информационная безопасность |
| Модули | ERM, SOX compliance, internal audit | Учёт СКЗИ, БДУ ФСТЭК, VM, модель угроз, документы ИБ |
| Регуляторы | ЦБ (общий), SEC, SOX, Basel III | ФСТЭК, ФСБ, ISO 27001, 152-ФЗ, 187-ФЗ |
| Пользователи | Risk-менеджеры, финаудиторы | CISO, ИБ-специалисты, комплаенс ИБ |
| Данные | Финансовые показатели, бизнес-процессы | Уязвимости (CVE, БДУ), активы, средства защиты |
Какие задачи решает SGRC-система
Основные процессы ИБ, которые автоматизирует SGRC. Для каждой задачи указано, что реализовано в КиберОснова.
Инвентаризация ИТ- и ИБ-активов
Реестр оборудования, ПО, средств защиты информации с привязкой к ответственным. Реализовано: реестры оборудования, ПО, СЗИ
Учёт СКЗИ
Поэкземплярный учёт, журналы по форме ФАПСИ, акты установки и уничтожения. Killer feature — модуля нет у конкурентов
Управление уязвимостями
Выявление, приоритизация и контроль устранения уязвимостей в ПО и оборудовании. Автоимпорт из БДУ ФСТЭК, привязка к активам
Управление рисками ИБ
Оценка, обработка и мониторинг рисков: реестр рисков, карта рисков, стратегии. Помогает на этапах процесса (без выделенного модуля)
Документы ИБ
Создание, версионирование, согласование, хранение документов ИБ. Генерация из шаблонов, версионирование, ознакомление
Аудит и самооценка
Чеклисты аудита, план мероприятий, контроль исполнения. Чеклисты с этапами, задачи ИБ с SLA
Модель угроз
Построение модели угроз по методике ФСТЭК 2021. Генерация через шаблоны, БДУ как источник угроз
Управление инцидентами
Регистрация, расследование, реагирование на инциденты ИБ. Через задачи ИБ (выделенного модуля нет)
Обзор SGRC-систем на российском рынке
Четыре ключевых решения класса SGRC, доступных в России.
КиберОснова SGRC
Единая SGRC-платформа, SaaS + on-premise
Учёт СКЗИ (unique), БДУ ФСТЭК, VM, документы ИБ, инвентаризация, чеклисты
ПодробнееSecurity Vision SGRC
Enterprise-платформа, широкая линейка продуктов
SGRC SaaS, Basic, CM, RM, BCM, ORM, KII, SA
ПодробнееR-Vision SGRC
Централизованное управление ИБ
ISO 27005, FAIR, ГОСТ 57580.1 — сильная методическая база
ПодробнееКак выбрать SGRC-систему
7 критериев, на которые стоит обратить внимание.
Покрытие ваших процессов ИБ — какие модули нужны?
Поддержка российских стандартов — ГОСТ 57580, ФСТЭК, 152-ФЗ, 187-ФЗ
Вариант развёртывания — SaaS или on-premise
Стоимость — лицензия + внедрение + поддержка
Время внедрения — дни vs месяцы
Интеграции — AD, SIEM, сканеры уязвимостей
Наличие в реестре российского ПО
Часто задаваемые вопросы об SGRC
Попробуйте SGRC КиберОснова
Оставьте заявку на демо-доступ — мы настроим платформу под ваши задачи