Автоматизация и гибкость: как BI.ZONE GRC помогает справиться с современными вызовами
Цифровая трансформация бизнеса затронула практически все процессы, включая обеспечение кибербезопасности. Компании сталкиваются с новыми вызовами и вынуждены пересматривать подходы к защите. Специалисты по кибербезопасности не только противостоят кибератакам, но и решают множество других задач: обеспечивают соответствие требованиям регуляторов, готовят и обновляют документы, управляют активами, анализируют риски и т. д. В условиях дефицита квалифицированных кадров времени на выполнение рутинных задач не хватает. Поэтому автоматизация становится ключевым инструментом, который позволяет повысить эффективность работы и сократить затраты. В этой статье расскажем о том, как BI.ZONE Compliance Platform превратилась в BI.ZONE GRC — универсальное решение, которое позволяет решать весь спектр задач, связанных с комплаенсом, управлением активами и уязвимостями, а также проведением аудитов.
Многие компании сегодня сталкиваются с глобальными сложностями в обеспечении кибербезопасности. В частности, в организациях преобладает реактивный подход к киберзащите. Это значит, что компания начинает уделять повышенное внимание кибербезопасности только после того, как произойдет инцидент.
Также сложности могут быть вызваны отсутствием гибкого подхода к изменениям. Например, необходимость перехода на другое ПО может вызвать большие проблемы, вплоть до остановки бизнес‑процессов. Еще один важный момент — это финансирование кибербезопасности по остаточному принципу. Пересмотр заложенного на нее бюджета часто происходит только после возникновения проблем, связанных с инцидентами.
Кроме того, компании сталкиваются с нехваткой квалифицированных кадров. Дефицит специалистов по кибербезопасности наблюдается как в России, так и во всем мире. И еще одним из источников сложностей выступает ужесточение требований регуляторов. Причем эти требования все чаще связаны с практическими аспектами построения системы защиты, а не только разработкой различных регламентов.
С учетом этих глобальных вызовов и на основе нашего опыта работы с компаниями из различных отраслей мы выделили пять основных проблем, с которыми к нам обращаются заказчики в контексте интереса к платформе BI.ZONE GRC:
- Необходимость регулярно обновлять множество процессов и документов из‑за большого объема требований законодательства, которое часто меняется.
- Высокая нагрузка на штатных специалистов, проблемы взаимодействия между службами IT и кибербезопасности.
- Чрезмерный объем неструктурированных источников данных и сведений для анализа.
- Сложности с объективной оценкой и приоритизацией рисков безопасности.
- Противоречащие друг другу задачи.
Все эти проблемы мы учитывали при развитии функциональности нашей платформы.
BI.ZONE Compliance Platform была разработана более трех лет назад, чтобы помочь российским организациям выполнять требования законодательства и автоматизировать процессы кибербезопасности. Продукт стартовал с минимальной функциональности. Первым был модуль для автоматизации процессов в области защиты персональных данных (ПДн). Затем добавилась функциональность по выполнению требований к защите государственных информационных систем (ГИС). В прошлом году появился модуль для работы с критической информационной инфраструктурой (КИИ), который позволяет автоматизировать выполнение требований 187‑ФЗ и подзаконных актов.
Однако потребности рынка росли, задачи в сфере управления безопасностью усложнялись. Благодаря активному спросу и новым вызовам BI.ZONE Compliance Platform продолжала развиваться, обрастая новыми модулями и возможностями. Так, на платформе появилась функциональность, связанная с управлением активами и уязвимостями, автоматизацией моделирования угроз, управлением аудитами кибербезопасности. Следующим этапом развития продукта станет проактивный анализ рисков кибербезопасности и негативных последствий.
Прежнее название уже не в полной мере отражало возможности платформы. С учетом всех перечисленных функций наш продукт стал комплексным инструментом для повышения устойчивости и гибкости бизнеса. Сегодня подобные решения относят к классу GRC (governance, risk management, compliance). Поэтому платформа получила новое название — BI.ZONE GRC. Она объединяет управление корпоративными рисками, комплаенсом и ключевыми процессами в области кибербезопасности. BI.ZONE GRC поддерживает проактивный подход, что особенно важно в условиях постоянного роста числа угроз и требований регуляторов.
BI.ZONE GRC предполагает работу с двумя направлениями:
- Управление комплаенсом. Платформа позволяет автоматизировать выполнение требований законодательства по защите ПДн, КИИ и ГИС.
- Автоматизация процессов безопасности. Решение помогает упростить управление активами и уязвимостями в IT‑инфраструктуре компании, а также проводить аудиты, формировать на их основе отчеты, разрабатывать план развития и отслеживать его выполнение. Переход в класс GRC означает, что платформа стала более эффективно решать задачи кибербезопасности и управления рисками в привязке к потребностям бизнеса.
Эффективное обеспечение кибербезопасности во многом связано с тем, что регуляторика и практические аспекты киберзащиты должны усиливать друг друга. Например, модель угроз — требование регуляторов. Но если обогатить ее дополнительной информацией, например о произошедших инцидентах, уязвимостях, сценариях злоумышленников, то получится документ, который существует не для галочки. Он будет реально использоваться и поможет построить эффективную систему защиты. Именно такой подход к обеспечению кибербезопасности реализован в BI.ZONE GRC.
Платформа включает несколько взаимосвязанных модулей, которые комплексно покрывают процессы комплаенса и управления безопасностью. Рассмотрим основные.
Модуль автоматизации соответствия требованиям ПДн
Собирает и обрабатывает информацию, связанную с ПДн, которые хранятся в организации. Он позволяет автоматизировать все обязательные процедуры по 152‑ФЗ и подзаконным актам: от инвентаризации процессов обработки ПДн до подготовки индивидуального комплекта документов. В функциональность модуля входят создание и актуализация всей необходимой документации, управление задачами и запросами, проведение внутренних опросов, повышение осведомленности сотрудников, моделирование угроз безопасности и проектирование системы защиты.
Модуль автоматизации соответствия требованиям ГИС
Автоматизирует технические процедуры по подготовке систем к аттестации, включая разработку проектной документации, формирование программы и методик испытаний, проведение полного цикла оценки соответствия требованиям регуляторов. Также этот модуль помогает подготовить пакет документов в соответствии с различными приказами и стандартами, автоматизировать повторные процессы. Это существенно экономит время специалистов. Кроме того, решение позволяет проводить моделирование угроз безопасности. Благодаря этому компании могут оценить свои риски и затем с помощью платформы спроектировать систему защиты и подготовить ГИС к аттестации.
Модуль автоматизации соответствия требованиям КИИ
Он появился в прошлом году и предназначен для организаций, которые являются субъектами КИИ. Модуль собирает данные об организации, автоматизирует учет процессов, позволяет оценить их критичность. С помощью него можно провести категорирование объектов КИИ, разработать модель угроз и всю необходимую документацию, а также спроектировать систему защиты. Кроме того, он упрощает взаимодействие с регулирующими органами.
Модуль аудитов и планов развития
Предоставляет гибкий инструмент для проведения аудитов по любой методологии. Можно провести внешний, внутренний аудит и самооценку. Модуль поможет оценить зрелость компании с учетом требований законодательства, различных стандартов и лучших практик кибербезопасности. Гибкие настройки позволят проводить аудиты по принятой в компании методологии. Модуль автоматически формирует отчеты по результатам аудитов. Он также помогает разработать дорожную карту развития кибербезопасности в организации, а потом отслеживать выполнение получившегося плана.
Модуль управления активами
Модуль предназначен для создания рабочей области, в которой агрегируются все данные об активах компании. Информация о них может поступать как из различных систем учета с помощью интеграции платформы с ними, так и через загрузку данных вручную. Система собирает данные из автоматизированных источников и различных бизнес‑подразделений, дочерних организаций и филиалов. Данные об активах можно автоматически классифицировать и обрабатывать. Функция полезна компаниям, которым нужна актуальная информация об активах и их роли в бизнесе. Модуль позволяет упорядочивать данные, управлять жизненным циклом активов, оценивать их критичность, формировать отчетность и создавать необходимые регламенты.
Модуль управления уязвимостями
Управляет всей цепочкой обработки уязвимостей. Инструмент собирает данные из различных источников, включая сканеры уязвимостей, SAST и DAST, обогащает полученные сведения информацией из БДУ ФСТЭК, NIST CVE и других источников. Это позволяет оперативно реагировать на возникающие риски, определять трендовые уязвимости, классифицировать и приоритизировать их устранение в зависимости от критичности. Платформа создает SLA, позволяет отслеживать прогресс по каждой уязвимости и формировать отчеты.
BI.ZONE GRC может поставляться заказчику как в облачной, так и в коробочной версии.
В первом случае можно мгновенно подключить решение и начать работать. Кроме того, не нужно тратиться на оборудование, а поддержкой системы занимаются наши специалисты.
В случае с использованием коробочной версии развернуть решение возможно в течение одного дня. Все данные хранятся в контуре организации, а платформа может работать без подключения к интернету. Такой вариант подойдет для организаций с повышенными требованиями к безопасности. При этом наши эксперты всегда готовы проконсультировать заказчика по всем вопросам, связанным с использованием платформы.
Платформа подходит любым организациям, в том числе группам компаний, которым нужно выстроить или усовершенствовать существующие процессы управления кибербезопасностью. BI.ZONE GRC будет полезна промышленным и энергетическим предприятиям, государственным организациям, федеральным органам исполнительной власти и другим субъектам КИИ, а также компаниям с господдержкой. Кроме того, платформа востребована у организаций, которые нуждаются в аттестации информационных систем (ГИС, ИСПДн, ОКИИ).
Процесс внедрения BI.ZONE GRC включает пять последовательных шагов:
- Определение потребности и демонстрация продукта. На этом этапе будущий заказчик знакомится с функциональностью платформы.
- Пилотный период. Клиенту предоставляется 14‑дневный тестовый доступ, чтобы оценить платформу в реальных условиях. В случае выбора коробочной версии заказчик готовит инфраструктуру для установки.
- Установка и настройка. Инсталляция коробочной версии занимает всего один день при готовности инфраструктуры. Облачную версию, как было сказано выше, можно подключить мгновенно. После этого платформа настраивается в соответствии с потребностями компании.
- Вводное обучение. Чтобы эффективно использовать платформу, сотрудники заказчика должны разбираться в ее возможностях и научиться действиям, которые нужны для решения задач.
- Методологическая поддержка платформы. Наши эксперты могут проконсультировать по конкретным вопросам, например проверить разработанные с помощью BI.ZONE GRC документы.
Мы отслеживаем все изменения в сфере кибербезопасности, в том числе в отраслевом законодательстве, и регулярно актуализируем функциональность платформы.
BI.ZONE GRC помогает автоматизировать ключевые процессы безопасности, отвечая на те вызовы, которые стоят сегодня перед российскими компаниями. Решение позволяет агрегировать информацию более чем об 1 миллионе IT‑активов в едином пространстве. А скорость разработки документов с помощью нашей платформы увеличивается в 10 раз по сравнению с ситуацией, когда средство автоматизации не используется.
Архитектура BI.ZONE GRC позволяет настроить решение под процессы и инфраструктуру конкретного заказчика. Платформа включена в реестр отечественного ПО, поэтому может использоваться как в коммерческих, так и в государственных организациях.