САПУИБ — это система класса Security GRC (Governance, Risk, Compliance), которая позволяет автоматизировать деятельность подразделения ИБ, эффективно внедрить и поддерживать процессный подход к управлению информационной безопасностью компании.
Governance — осознание главенствующей роли руководства организации в постановке целей, контроля их достижения. Это важнейший элемент, отражающий зрелость организации и способность воплотить концепцию GRC.
Risk management — риск-ориентированный подход – достижение поставленных целей, через определение значимых рисков, препятствующих этому.
Compliance — определение совокупности внешних (от регуляторов области или рекомендаций производителей ПО/оборудования) и внутренних требований (например, политика ИБ), невыполнение которых, в том числе, влияет на увеличение рисков.
САПУИБ решает задачи:
Формализации деятельности подразделений ИБ компании и ее филиалов при реализации процессов управления ИБ.
Обеспечения информационного взаимодействия подразделения ИБ со смежными организационными единицами.
Агрегации данных с учетом их взаимосвязей и мониторинга по различным направлениям ИБ.
Обеспечения объективности и оперативности оценки текущего уровня ИБ структурных подразделений и компании в целом.
Основными заказчиками системы автоматизации процессов управления ИБ (САПУИБ) являются крупные компании и холдинги, которые при создании системы менеджмента информационной безопасности (СМИБ) придерживаются принципов, отраженных в серии стандартов ISO 27000, ГОСТ Р ИСО МЭК 27000. Их деятельность обычно обеспечивается сложной ИТ-инфраструктурой и комплексной системой защиты информации.
Организации, которые внедрили процессы СМИБ или находятся в стадии их внедрения, скорее всего уже столкнулись со следующими проблемами:
- отсутствие единой точки агрегации данных (как технических, так и организационных) по различным взаимозависимым аспектам информационной безопасности компании;
- ограниченный штат сотрудников ИБ или нехватка квалифицированных специалистов по управлению ИБ;
- сложность своевременной актуализации значительного объема внутренних документов, касающихся вопросов ИБ;
- обширный перечень критичных ресурсов ИТ-инфраструктуры, подлежащих учету и защите;
- большое количество прикладных систем, где обрабатывается информация ограниченного доступа, требующих учета и анализа их защищенности;
- наличие значительных потоков данных, в том числе событий и уязвимостей безопасности, от технических средств системы защиты информации и невозможность трансформировать их содержимое в оценку влияния на автоматизируемую бизнес деятельность;
- сложность организации процессов обработки обнаруженных инцидентов ИБ, реагирования и проведения расследований;
- низкая оперативность актуализации рисков ИБ на операционном и стратегическом уровне, учета их взаимосвязи с общекорпоративными рисками;
- сложность учета и соблюдения множества требований ИБ из различных источников (например, государственные регуляторы, стандарты организации) как по организационным, так и по техническим мероприятиям;
- сложность оперативного контроля состояния ИБ в компании и ее филиалах.
Решить эти проблемы позволит автоматизация процессов менеджмента ИБ за счет внедрения САПУИБ.
Выгоды от внедрения
Повышение зрелости организации с точки зрения понимания влияния состояния информационной безопасности на функционирование бизнес-процессов компании.
Интеграция рисков ИБ в существующую систему управления рисками.
Переход от качественных оценок влияния ИБ на бизнес к количественным оценкам, опирающимся на конкретные данные в системе.
Получение актуальных свидетельств функционирования системы менеджмента ИБ.
Полученные выгоды от внедрения, в том числе, значительно облегчают прохождение сертификации компанией системы менеджмента ИБ (ISO 27001, ГОСТ Р ИСО МЭК 27001).
Таким образом, САПУИБ – это своего рода «ERP-система безопасника», основной инструмент руководителя, менеджеров и специалистов ИБ. Именно внедрение подобного инструмента позволит кардинально привнести новую парадигму в работу специалистов ИБ, трансформировать и «оцифровать» деятельность в области управления ИБ в компании.
Преимущества компании
- обладаем компетенциями в области формализации и автоматизации процессов управления ИБ;
- наличие собственных уникальных разработок;
- успешный опыт внедрения и сопровождения САПУИБ в крупных компаниях;
- опыт интеграции с продуктами: SIEM, IdM, DLP, Vulnerability/Compliance management , ITSM и пр.
- высокий профессиональный уровень с опорой на лучшие мировые практики;
- статус авторизованного партнера компаний RSA Security (подразделение Dell Technologies) и ООО «Компания информационных технологий»;
- федеральная сеть представительств по всей России.
Есть вопросы? Обратитесь к нашим специалистам
В настоящий момент разработки ООО «Газинформсервис» позволяют автоматизировать девять процессов управления ИБ, встроив их в существующую систему обеспечения ИБ предприятия (интеграция с существующими средствами защиты информации).
Каждый из девяти автоматизируемых процессов реализуется отдельным функциональным модулем системы.
На базе платформы и перечисленных выше функциональных модулей также реализованы процессы, позволяющие автоматизировать деятельность по учету и категорированию объектов критической информационной инфраструктуры, а также по управлению и контролю за мероприятиями по обеспечению безопасности таких объектов, требования к которой определены Федеральным законом от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», Приказами ФСТЭК №235 от 21 декабря 2017 г., №239 от 25 декабря 2017 г.
В качестве внешних источников данных для функциональных модулей, реализующих автоматизацию процессов управления ИБ, используются смежные системы, а именно: существующие на предприятии информационные системы и системы защиты информации. Способ импорта зависит от возможностей каждой из них. Специалистами компании «Газинформсервис» накоплен широкий практический опыт работы с различными продуктами.
Архитектурно САПУИБ представляет собой интеграционную платформу с реализованными на ней функциональными модулями и коннекторами к смежным системам.
- Возможна реализация на одной из двух интеграционных платформ: RSA Archer eGRC (США) или ePlat4m (Россия). Взаимодействие пользователей с САПУИБ осуществляется через веб-интерфейс.
- Обе платформы состоят из клиент-серверного веб-приложения, использующего Microsoft IIS в качестве сервера приложений и Microsoft SQL Server в качестве СУБД. В настоящий момент ведется разработка реализации платформы ePlat4m на базе ПО, отвечающего требованиям по импортозамещению (ОС Linux, СУБД Jatoba).
- Основой бизнес-логики являются функциональные модули. Система может внедряться помодульно, выбор состава модулей зависит от текущих потребностей заказчика. Функциональность модулей может адаптироваться.
- Данные из различных систем (СЗИ или корпоративные ИС) посредством коннекторов импортируются в САПУИБ, агрегируются и участвуют в межмодульном взаимодействии.
Презентационные материалы
Листовка САПУИБ
Публикации
Управление процессами ИБ в интересах бизнеса
Введение в САПУИБ (Система Автоматизации Процессов Управления Информационной Безопасностью), разработанной компанией ООО «Газинформсервис» на платформе ЕМС RSA Archer eGRC и позволяющей жестко увязывать управление процессами информационной безопасности (ИБ) с бизнес-процессами компании, а также с требованиями региональных и отраслевых регуляторов.
Будь готов к чрезвычайным ситуациям
В журнале BIS Journal опубликована статья, в которой рассматривается решение задачи обеспечения непрерывности и восстановления деятельности (ОНиВД) для кредитно-финансовых учреждений (КФУ).
Информационная безопасность объектов ТЭК
Статья, приуроченная к конференции по теме информационной безопасности объектов ТЭК, прошедшей в 2014 году. В статье упоминаются этапы развития решения САПУИБ.
SOC и ISMS: тактика и стратегия информационной безопасности
В настоящей статье рассматриваются две системы централизованного управления ИБ – Security Operation Center (SOC) и Information Security Management System (ISMS), раскрываются преимущества их интеграции и основные возможности в рамках автоматизируемых функций.
Управление процессами ИБ. Автоматизация учета и классификации активов компании
О важности и необходимости внедрения в организациях системы управления информационной безопасностью(СУИБ) на основе процессного подхода уже говорилось и писалось неоднократно, в Интернете можно найти многочисленные материалы, посвященные этой теме. В данной статье речь пойдет об одном из процессов менеджмента информационной безопасности – идентификация и классификация активов компании – и практических аспектах автоматизации этого процесса.
Ток-шоу BIS TV Погружение в ИБ #1: Автоматизация процессов ИБ
Выпуск BIS TV о технологиях и практическом опыте обеспечения информационной безопасности в российских компаниях: Погружение в информационную безопасность. Обсуждение с экспертами темы по автоматизации деятельности подразделений ИБ: для чего она нужна, где её внедрять и как не допустить распространённых ошибок.
