Напишите
+7 495 142 04 22
welcome@gals.software
© 2021 Gals Software

Как привести систему управления операционным риском (СУОР) в соответствие с требованиями Положения Банка России № 716-П?

Положение Банка России от 08.04.2020 № 716-П вступило в силу с 1 октября 2020 года. Система управления операционным риском (СУОР) подлежит приведению в соответствие с требованиями Положения № 716-П в срок до 1 января 2022 года.

R-Vision Security GRC Platform

Платформа для централизованного управления информационной безопасностью, моделирования рисков и автоматизации аудита ИБ.
Compliance
Управление аудитами и контроль соответствия требованиям
Risk management
Анализ и управление рисками информационной безопасности
Governance
Управление информационной безопасностью
Asset management
Управление активами и контроль ИТ-инфраструктуры

Центр управления ИБ

Инфраструктура
  • R-Vision SGRC
  • Информация, бизнес-процесс
  • Информационные системы
  • Физические активы (пользователи, ПО, оборудование, орг.структура)
Asset Management
СЗИ
  • R-Vision SGRC
  • Агрегированный список уязвимостей
  • Анализ, приоритизация
  • Контроль статуса устранения
Vulnerability Management
Сканеры уязвимостей
  • R-Vision SGRC
  • Схемы оценки рисков (ISO, NIST, OCTAVE, пользовательская)
  • Анализ рисков, прогнозирование, план обработки
  • Оценка бюджета и эффективности
Risk Management
Пользователи
  • R-Vision SGRC
  • ISO 27001, NIST, PCI DSS и другие проверки
  • Заполнение форм аудита
  • Список замечаний по аудиту
Compliance Control
Регуляторы
  • R-Vision SGRC
  • Чек-листы, планы, база документации
  • Управление задачами, контроль исполнения, совместная работа
  • Визуализация данных, отчетность
Security Management
Стратегическое управление ИБ
Определение стратегии ИБ, соответствующей бизнес-целям Компании
Единая база политик, процедур, регламентов и инструкций по ИБ
Риск-ориентированный подход
к управлению безопасностью
Стратегическое планирование, контроль за задачами и дедлайнами
Визуализация проблем безопасности и эффективности проводимых мероприятий
Контроль ИТ-активов
Мастер-ресурс по всем активам
с агрегированными данными из множества источников и взаимосвязями
Визуализация информации по активам: геокарта, L2-схема сети, планы помещений, взаимосвязи, «индикация проблем», ресурсно-сервисная модель
3-х уровневая схема активов: информация и бизнес-процессы, информационные системы, инфраструктура
Выявление критичных
активов и процессов
Управление жизненным циклом
актива
Управление уязвимостями
Единая база уязвимостей, агрегированных из разных источников
Учет устранения, контроль SLA
Приоретизация, отсев нерелевантных уязвимостей
Оперативное обновление статусов уязвимостей
Централизованная постановка задач ИТ-персоналу
Полная отчетность для служб ИТ и ИБ
Управление рисками
Автоматизированная оценка риска
Настраиваемая схема оценки рисков, готовые методологии (ISO, OCTAVE, NIST, R-Vision, etc.)
Анализ рисков
Оценка вероятности реализации угроз, косвенные риски, прогноз возможного ущерба
Обработка рисков
Формирование плана мероприятий по обработке рисков, сопоставление с бюджетом на ИБ, контроль реализации
Оценка
эффективности
Оценка бюджета, приоритизация мер в зависимости от их стоимости и эффективности
Контроль уровня
риска
Постоянный мониторинг изменений во времени
Визуализация и отчетность
Настраиваемые дашборды и аналитика для принятия решений, формирование отчетов
Моделирование угроз по ФСТЭК
Встроенный Банк данных угроз безопасности
информации ФСТЭК
Автоматическое выявление актуальных угроз
в соответствии с «Методикой определения угроз безопасности информации в информационных системах»
Формирование перечня возможных угроз
на основании БДУ ФСТЭК
Генерация документа «Модель угроз безопасности информации» в автоматическом режиме
Аудиты и контроль соответствия
Проверки соответствия

• ISO 27001
• PCI DSS
• SWIFT CSP
• Собственные корпоративные стандарты
Автоматизация жизненного цикла аудита
• Планирование
• Автоматическое назначение ответственных, контроль сроков
• Дашборды и аналитика в режиме реального времени
Контрольные проверки
• Учет пересекающихся требований различных ИБ-стандартов
• Контроль реализации защитных мер
Конструктор аудитов
• Использование пользовательских методик с гибкими настройками
• Простые и сводные аудиты
Выявление замечаний по аудиту

• Автоматическое формирование списка замечаний
• Формирование плана мероприятий по устранению замечаний
Централизованная система контроля
• Прозрачный процесс оценки соответствия требованиям внутри всей организации
• Единая база нормативной документации
Интеграции
Сканеры защищенности
  • MaxPatrol
  • RedCheck
  • Tenable Nessus/SC
  • Rapid7 Nexpose
  • Qualys
  • OpenVAS
AV & DLP - системы
  • Kaspersky Security Center
  • Infowatch TrafficMonitor / DeviceMonitor
  • Triton AP-DATA
  • Symantec Endpoint Protection
  • McAfee ePolicy Orchestrator
  • ESET
CMDB / ITSM системы
  • Micro Focus UCMDB
  • Micro Focus SM
  • MS SCCM
  • Naumen CMDB
  • OmniTracker CMDB/SM
  • iTOP
  • JIRA
Другие системы
  • MS Active Directory
  • MS Exchange / Lotus Domino / Communigate
  • VMWare vCenter
  • Прямые коннекторы к БД MS SQL, Postgre SQL, Oracle
  • Skybox
  • Собственные документированные REST API методы
  • Zabbix
Основные функции
Автоматизация управления ИБ
Стратегическое планирование, единая база документации, учет и контроль мер защиты
Автоматизация аудитов и оценки соответствия требованиям ИБ
Контроль соответствия законодательным требованиям и стандартам
Автоматизация управления рисками ИБ
Оценка и обработка рисков ИБ, моделирование угроз
Управление уязвимостями
Агрегация информации по уязвимостям, автоматизация задач по их устранению
Контроль ИТ-активов
Контроль ИТ-инфраструктуры, управление информационными и физическими активами
Кейсы использования R-Vision SGRC
Централизованное управление ИБ,
автоматизация контроля соответствия и формирования отчетов по требованиям ЦБ РФ для ряда крупнейших банков из Топ-20
Автоматизация аудитов
с помощью мобильного АРМ для одной из крупнейших промышленных компаний с территориально распределенной инфраструктурой на 100 тыс. хостов
Автоматизация управления активами
для государственной организации, инфраструктура которой насчитывает 400 тыс. хостов и более 100 систем
Сертификация по ISO/IEC 27001
и контроль соответствия для крупной телекоммуникационной компании
Результат
Своевременное выявление
угроз,
потенциальных нарушителей, оценка ИБ-рисков, прогнозирование
Подбор оптимальных мер защиты,
исходя из оценки ИБ-рисков, текущего состояния системы защиты и доступного бюджета
Обеспечение соответствия требованиям
регуляторов с минимальными издержками
Контроль состояния и эффективности
системы ИБ, защищенности инфраструктуры, отчетность для принятия решений
Готовы начать?
Вы можете написать о вашей задаче здесь и приложить ТЗ, ФТ или другой документ, чтобы мы смогли быстрее в ней разобраться.
Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь c политикой конфиденциальности.