Что означает SGRC?

SGRC — Security Governance, Risk and Compliance. Это класс информационных систем для управления процессами информационной безопасности: учёт активов и средств защиты, управление рисками, контроль соответствия требованиям регуляторов. В отличие от общего GRC, SGRC фокусируется именно на информационной безопасности.

Чем SGRC отличается от SIEM?

SGRC и SIEM решают разные задачи. SIEM (Security Information and Event Management) — мониторинг событий безопасности в реальном времени: сбор логов, корреляция событий, обнаружение инцидентов. SGRC — управление процессами ИБ: учёт активов, управление рисками, compliance, документооборот. SGRC и SIEM дополняют друг друга: SIEM обнаруживает угрозы, SGRC управляет процессами реагирования.

Нужна ли SGRC-система малому бизнесу?

Зависит от требований. Если организация обрабатывает персональные данные (152-ФЗ), является субъектом КИИ (187-ФЗ) или проходит сертификацию по ISO 27001 — SGRC нужен независимо от размера. Для малого бизнеса подойдут модульные решения: начать с одного модуля (например, учёт СКЗИ) и расширять по мере необходимости.

Можно ли заменить Excel на SGRC?

Да, замена Excel-журналов и реестров — одна из основных задач SGRC. Excel не обеспечивает: многопользовательский доступ с разграничением прав, аудит-лог изменений, автоматические уведомления о сроках, привязку данных между модулями (уязвимость → актив → мера защиты). SGRC-система решает все эти задачи.

Сколько стоит SGRC-система?

Зависит от набора модулей и числа пользователей. Стоимость складывается из лицензии, внедрения и поддержки. КиберОснова использует модульное ценообразование — можно начать с одного модуля. Подробнее — на странице /ceny/.

Как внедрить SGRC-систему?

Типовое внедрение SGRC проходит в несколько этапов: 1) анализ текущих процессов ИБ и требований организации; 2) установка и базовая настройка системы; 3) загрузка справочников — активы, регуляторные требования, пользователи; 4) настройка рабочих процессов (workflow) под специфику компании; 5) обучение сотрудников. Базовый запуск занимает 1–2 недели, полноценное внедрение — 1–2 месяца. Ключевой фактор успеха — наличие ответственного со стороны заказчика, который знает процессы ИБ. КиберОснова предоставляет демо-доступ для оценки платформы до подписания договора.

Какие SGRC-системы есть на российском рынке?

На российском рынке представлено несколько SGRC-систем: КиберОснова (модульная, реестр Минцифры), Securitm, R-Vision SGRC, ePlat4m Security GRC. Системы различаются по набору модулей и глубине поддержки российских регуляторных требований. При выборе обратите внимание на поддержку актуальных требований ФСТЭК и наличие готовых шаблонов документов ИБ.

Связан ли SGRC с ГосСОПКА?

SGRC и ГосСОПКА — взаимодополняющие системы. ГосСОПКА (государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак) — государственная инфраструктура для обмена данными об инцидентах. SGRC-система помогает выполнить обязательства субъекта КИИ перед ГосСОПКА: вести реестр объектов КИИ, фиксировать инциденты, формировать отчётность для НКЦКИ. Интеграция SGRC с ГосСОПКА автоматизирует процесс передачи данных об инцидентах.

Глоссарий ИБ

Что такое SGRC: Security Governance, Risk, Compliance

SGRC — класс систем для автоматизации ИБ: учёт активов, управление рисками, compliance по ФСТЭК. Узнайте, чем SGRC отличается от GRC, из каких модулей состоит и как выбрать платформу для российской организации.

Попробовать SGRC Сравнить с аналогами

SGRC — расшифровка и определение

SGRC (Security Governance, Risk and Compliance) — класс информационных систем для автоматизации процессов управления информационной безопасностью.

Security

Управление процессами ИБ: учёт средств защиты, контроль уязвимостей, инвентаризация ИБ-активов

Governance

Стратегическое управление ИБ: политики, регламенты, задачи, контроль исполнения

Risk

Идентификация, оценка и обработка рисков информационной безопасности

Compliance

Контроль выполнения требований регуляторов: ФСТЭК, ФСБ, Банк России, ISO 27001

Чем SGRC отличается от GRC

Если ваша задача — управление ИБ-процессами (учёт СКЗИ, риски, соответствие требованиям ФСТЭК/ФСБ) — вам нужен SGRC, а не общий GRC.

Критерий	GRC	SGRC
Фокус	Финансовые, операционные, юридические риски	Информационная безопасность
Модули	ERM, SOX compliance, internal audit	Учёт СКЗИ, БДУ ФСТЭК, VM, модель угроз, документы ИБ
Регуляторы	Банк России (ОУД), SEC, SOX, Basel III	ФСТЭК, ФСБ, Банк России (ГОСТ Р 57580), 152-ФЗ, 187-ФЗ
Пользователи	Risk-менеджеры, финаудиторы	CISO, ИБ-специалисты, комплаенс ИБ
Данные	Финансовые показатели, бизнес-процессы	Уязвимости (CVE, БДУ), активы, средства защиты

Какие задачи решает SGRC-система

Основные процессы ИБ, которые автоматизирует SGRC. Для каждой задачи указано, что реализовано в КиберОснова.

Инвентаризация ИТ- и ИБ-активов→

Реестр оборудования, ПО, средств защиты информации с привязкой к ответственным, локациям и бизнес-процессам. Единая база активов питает модули управления рисками и compliance — без ручного дублирования данных. В КиберОснова: реестры оборудования, ПО, СЗИ с поиском и фильтрацией

Учёт СКЗИ→

Поэкземплярный учёт криптосредств, ведение журналов по форме ФАПСИ №152, акты установки и уничтожения, контроль сроков действия сертификатов. Требование ФСБ России для всех организаций, использующих СКЗИ. В КиберОснова: поэкземплярный учёт, журналы форм ФАПСИ, уведомления о сроках

Мониторинг угроз БДУ ФСТЭК→

Автоматический импорт угроз (УБИ) и уязвимостей из БДУ ФСТЭК, привязка к активам организации, оповещения об обновлениях базы. Используется при построении модели угроз по методике ФСТЭК 2021. В КиберОснова: автоимпорт из БДУ ФСТЭК, сверка с реестром ПО, оповещения

Управление рисками ИБ→

Идентификация, качественная и количественная оценка, обработка и мониторинг рисков информационной безопасности. Реестр рисков, карта рисков, стратегии обработки: принятие, снижение, передача, избегание. В КиберОснова: реестр рисков, матрица вероятность × ущерб, планы обработки

Документы ИБ→

Создание, версионирование, ознакомление сотрудников и хранение документов ИБ: политик, инструкций, регламентов, приказов. Генерация документов из шаблонов под требования ФСТЭК, 152-ФЗ, ISO 27001. В КиберОснова: генерация из шаблонов, версионирование, журнал ознакомления

Аудит ИБ и самооценка→

Структурированные чек-листы аудита по ISO 27001, приказам ФСТЭК. Автоматическое превращение несоответствий в задачи с ответственными и сроками исполнения. В КиберОснова: чек-листы ISO 27001 и ФСТЭК, задачи ИБ с SLA и контролем

Модель угроз→

Построение модели угроз по методике ФСТЭК 2021: определение угроз из БДУ, оценка актуальности, описание нарушителей, формирование итогового документа. Обязательна для ГИС, ИСПДн и объектов КИИ. В КиберОснова: шаблоны по методике ФСТЭК 2021, БДУ как источник угроз

Управление инцидентами

Регистрация, категоризация, расследование и реагирование на инциденты ИБ. Ведение журнала инцидентов, эскалация по ответственным, отчётность для НКЦКИ при работе с ГосСОПКА. В КиберОснова: через задачи ИБ с типом «инцидент» (выделенного модуля нет)

Кто использует SGRC-системы: целевая аудитория

SGRC-системы внедряют CISO, руководители служб ИБ и ИТ-директора в организациях, на которые распространяются требования российских регуляторов. Прежде всего это:

Субъекты КИИ (187-ФЗ) — организации из 13 стратегических отраслей: энергетика, транспорт, здравоохранение, связь, банки и другие
Операторы персональных данных — компании, обрабатывающие ПДн граждан и обязанные соответствовать 152-ФЗ и приказу ФСТЭК №21
Государственные информационные системы (ГИС) — госорганы и учреждения, обязанные выполнять приказ ФСТЭК №117 (с 01.03.2026)
Финансовые организации — банки и страховщики, работающие по ГОСТ Р 57580 и требованиям Банка России
Организации, проходящие сертификацию ISO 27001 или аттестацию ИС

Помимо регуляторных требований, SGRC подходит любой организации, где работает выделенная служба ИБ или CISO: заменяет Excel-таблицы единой платформой, сокращает трудозатраты на рутинные процессы и повышает прозрачность состояния защищённости для руководства. Посмотрите, как это работает в КиберОснова →

Из каких модулей состоит SGRC-система

Зрелая SGRC-платформа закрывает все ключевые процессы ИБ единой системой — без переключения между таблицами Excel и разрозненными инструментами.

Управление рисками и угрозами

Базовый модуль: реестр рисков, оценка по методике ФСТЭК 2021 (модель угроз → актуальные угрозы → риски). Ранжирование по вероятности и ущербу, автоматическое обновление при появлении новых угроз в БДУ. Карта рисков отображает состояние защищённости — на текущий момент, без ручного сбора данных.

Подробнее →

Управление уязвимостями

Импорт результатов сканеров (ScanOVAL, RedCheck, MaxPatrol VM), обогащение из БДУ ФСТЭК (85 000+ записей), расчёт CVSS/EPSS/KEV. SLA по приказам №239/117/21, автоматическое формирование 4 документов: план устранения, акт, реестр уязвимостей, служебная записка.

Подробнее →

Аудит и комплаенс

Проверка соответствия требованиям ФСТЭК №21, №239, №17, №117, ISO 27001. Чек-листы с автоматическим расчётом процента выполнения. Отчёты для регулятора формируются в один клик без ручного заполнения форм.

Подробнее →

Инвентаризация и учёт активов

Единый реестр ИТ- и ИБ-активов (CMDB для ИБ): серверы, рабочие станции, СЗИ, СКЗИ, сетевое оборудование. Поэкземплярные журналы СКЗИ по форме ФАПСИ №152. Классификация по критичности, привязка уязвимостей к конкретным системам.

Подробнее →

Документооборот ИБ

Создание, согласование и хранение политик, приказов, инструкций и регламентов ИБ. Контроль ознакомления сотрудников с электронной подписью. Версионирование документов и готовые шаблоны под требования ФСТЭК, 152-ФЗ, ISO 27001.

Подробнее →

Управление инцидентами

Регистрация, классификация и расследование инцидентов ИБ через задачи ИБ с типом «инцидент». Настраиваемые сроки реагирования по классу системы, интеграция с реестром уязвимостей и рисков, отчётность для НКЦКИ/ГосСОПКА.

На что смотреть при выборе SGRC для российской организации

7 критериев, которые отличают зрелую SGRC-платформу от набора разрозненных инструментов.

Покрытие нормативной базы — поддержка актуальных приказов ФСТЭК (№239, №117, №21), наличие шаблонов документов под российское законодательство. Без этого придётся дорабатывать вручную.

Интеграция с БДУ ФСТЭК — автоматическая синхронизация угроз и уязвимостей без ручного обновления. Критично для субъектов КИИ и операторов ГИС.

Масштаб организации — от 50 до 10 000+ активов: проверьте производительность на пилоте и стоимость лицензии при росте. Модульное ценообразование даёт старт с одного модуля без переплаты.

Наличие российского сертификата — для субъектов КИИ и ГИС важно наличие сертификата ФСТЭК и записи в реестре Минцифры. Реестровый номер подтверждает российское происхождение продукта.

Импорт из существующих сканеров — поддержка ScanOVAL, RedCheck, MaxPatrol VM без переобучения команды. Уточните формат импорта и автоматизацию обогащения данными из БДУ.

Генерация документов — автоматическое формирование актов, планов, служебных записок сокращает время подготовки с часов до минут. Запросите демо с реальными шаблонами ФСТЭК.

Сроки внедрения — для КИИ 1–2 категории учитывайте требования к размещению данных в контуре заказчика. Пилотный проект — от 2 недель, полноценное внедрение — 1–3 месяца.

SGRC-платформы в России: сравнительный обзор

Российский рынок SGRC-систем активно развивается: несколько отечественных вендоров предлагают решения с разным набором модулей и глубиной поддержки требований ФСТЭК и ФСБ. Ниже — сравнение ключевых платформ по публично доступным характеристикам.

Сравнение по публично доступным характеристикам (данные с официальных сайтов, 2025)

Платформа	Реестр Минцифры (отечественное ПО)	Учёт СКЗИ (ФАПСИ №152)	КИИ (ФСТЭК №239)	Управление уязвимостями (БДУ)	Документооборот ИБ
КиберОснова SGRCнаш продукт	✅ Да	✅ Да	✅ Да	✅ Да	✅ Да
Securitm	✅ Да	Частично	✅ Да	✅ Да	✅ Да
R-Vision SGRC	✅ Да	Нет данных	✅ Да	✅ Да	✅ Да
ePlat4m Security GRC	✅ Да	Нет данных	✅ Да	Нет данных	✅ Да