Компания Security Vision выпустила продукт «Управление соответствием (Compliance Management)» на платформе Security Vision 5. Это профессиональное решение для проведения процессов оценки, выходящее за рамки общепринятой функциональности комплаенса.
В возможности продукта входят не только проверка на соответствие требованиям регуляторов, но и оперативное проведение оценок по группе сотрудников по любому направлению интереса компании (например, в контексте выполнения задач по повышению осведомленности).
Заказчик получает продукт, который позволяет ему создавать полностью свои методики оценки, системы вопросов и ответов, иметь возможность их консолидации и управления процессом как с точки зрения методологии, так и с точки зрения участников оценки.
В Security Vision Compliance Management реализованы инструменты проверки на соответствие требованиям стандартов как организации в целом, так и отдельных ее элементов, таких как информационные системы, бизнес-процессы, помещения и другие активы предприятия. Система предоставляет гибкие возможности в выборе методики оценки на основе либо стандартов из пакета экспертизы, либо собственной методики оценки. Используя возможности платформы, процесс оценки можно автоматизировать. Это снижает количество рутинных операций, позволяя более эффективно собирать и обрабатывать информацию в одном окне.
Ведение реестра стандартов требований
В продукте заложены наиболее часто используемые стандарты, фреймворки и лучшие практики, такие как Приказы ФСТЭК № 17, 21, 31, ГОСТ 57580, iso 27001, NIST и другие. В дополнение к этому пользователь может сформировать корпоративные стандарты, добавляя собственные требования или переиспользуя требования из существующих стандартов. Внедрена группировка требований по доменам для облегчения анализа, при этом есть возможность кастомизировать общий вид документа как визуально, так и функционально. Стандарт может быть загружен в систему из файла, а также экспортирован в файл при необходимости для удобства работы с требованиями.
Пользователь не ограничен по лимиту и функционалу в части заведения в систему новых стандартов и опросов любой конфигурации, при этом база знаний коробочных стандартов постоянно поддерживается и дополняется в рамках регулярного обновления.
Стандарт обладает статусной моделью, обеспечивающей процедуру актуализации и перевода в архив устаревших документов.
Требованиям преднастроена шкала оценки и установлены варианты ответа, при этом есть возможность гибко добавлять ответы и их веса для каждого конкретного вопроса или требования, что позволяет применять индивидуальную методологию расчета результата для любого количества вариантов ответов.
Активы и меры защиты
Система позволяет загрузить ресурсно-сервисную модель предприятия, включая продукты, бизнес-процессы и информационные системы, детализируя их до технических элементов, таких как серверы, помещения и оборудование. Загружаемые активы можно связать с мерами защиты, что позволит автоматически получить оценку соответствия по всей компании.
В продукте поставляется база знаний мер защиты (БДУ ФСТЭК), а также возможность создавать пользовательские меры. Меры обладают статусной моделью, которая позволяет наглядно оценить текущее и плановое соответствие требованиям конкретных активов. Реализован функционал заявок на внедрение пользовательских мер с отслеживанием хода их выполнения.
Оценка соответствия
Процесс оценки можно проводить как в ручном режиме (заполнение опросных листов), так и в автоматизированном формате: учитываются меры защиты конкретных активов, а также результаты предыдущих оценок.
Процесс оценки можно проводить как по предприятию в целом, так и по конкретным системам, в частности, с визуальным отображением прогресса работ.
Проведение оценки может проходить как полностью в онлайн формате, так и частично выноситься в офлайн (составление опросных листов, методик оценки, формирование стандартов, этап сбора информации), что полезно для работы с удаленными локациями.
Гибкая модель опросных листов
Один из основных механизмов уточнения и сбора информации в процессе оценки – автоматизированная генерация опросных листов. Опросные листы могут быть делегированы на разные подразделения и разных исполнителей (можно отправить опросный лист по одному объекту разным сотрудникам для получения более полной картины), контролируется их статус и прогресс заполнения. При этом аудитор будет видеть степень соответствия объекта оценки ожидаемому уровню в режиме реального времени. Опросный лист обладает жизненным циклом, предусматривающим проверку его заполнения аудитором и отправкой на доработку при необходимости. Предусмотрен автоматический механизм валидации и консолидации данных в единую интегральную оценку соответствия объекта требованиям.
Процесс заполнения опросного листа может кастомизироваться под персональную методологию оценки (добавление этапов согласования, сбор и получение данных и т. д.).
В продукте реализованы нотификации для уведомления пользователей при всех значимых изменениях в системе (получение нового опросного листа на заполнение, новой задачи на исполнение). Возможна настройка уведомлений по расписанию. Уведомления приходят как внутренние, так и внешние (электронная почта, Телеграмм). Есть возможность создавать пользовательские нотификации с http-сервисами, почтовыми сервисами, файлами, базами данных.
В результате работы модуля система сама сведет все полученные данные в единой карточке процесса оценки и подготовит шаблон плана мероприятий по приведению объекта оценки в соответствие ожидаемому результату или требованиям стандарта.
Планы мероприятий по достижению целевого уровня
Процесс оценки позволяет автоматически определить невыполненные требования (которые применимы к анализируемому объекту), выделить их в отдельный документ и сформировать план мероприятий по их реализации. Система позволяет сформировать задачи на внедрение исправлений и мер защиты, осуществлять мониторинг их исполнения во внешних системах.
Механизм задач на внедрение мер защиты предоставляет возможность отслеживать выполнения сроков взятия в работу и исполнения, переназначать ответственных, принимать/отправлять задачи на доработку. Жизненный цикл задач можно кастомизировать.
По выполнению задач на внедрение исправлений и мер защиты все изменения автоматически отражаются на активах ресурсно-сервисной модели и в последующем учитываются при проведении регулярной оценки.
Реализована двусторонняя интеграция с системами SD (JIRA, NAUMEN, OTRS), которая позволяет синхронизировать задачи в модули и во внешней системе. Есть возможность создания интеграции с любой необходимой внешней системой.
Аналитический движок визуализации степени соответствия
Одной из важных частей Security Vision Compliance Management является модуль визуализации, позволяющий консолидировать полученную информацию и выполнить анализ всех составляющих процесса оценки. В продукте предоставлены несколько преднастроенных дашбордов, включая интерактивную карту, которая показывает интегральную оценку соответствия для каждой из распределенных организаций. Функционал BI-аналитики в дашбордах позволяют реализовать любой вариант визуализации в необходимых разрезах (по организациям, объектам оценки, стандартам). Дашборды и виджеты поддерживают функционал drill down для детального анализа отображаемых данных.
Таким образом, контроль за проведением оценки становится прозрачным и удобным.
Библиотека отчетов
Доступны экспресс-отчеты с объектов ресурсно-сервисной модели, стандартов, процессов оценки и опросных листов, а также преднастроенные общие отчеты по разнообразным срезам данных. Продукт предоставляет широкие возможности по кастомизации отчетов: встроенные механизмы платформы позволяют создавать пользовательские отчеты в режиме no-code и настроить автоматическую генерацию отчетов по расписанию.
Доступна отправка отчетов по разным каналам, включая электронную почту, файловые шары, Telegram и другие.