Security Vision Security Governance, Risk Management and Compliance
(Security Vision SGRC и auto-SGRC)

Security Vision SGRC - программный продукт для автоматизации построения комплексной системы управления информационной безопасностью (СУИБ) в организации с оцифрованными данными, позволяющими принимать управленческие решения оперативно, основываясь на объективных данных, консолидированных из множества систем. Комплектация включает продукт Cyber Risk System, программный продукт для автоматизации процессов управления рисками кибербезопасности. Программный продукт автоматизирует такие процессы как управление рисками, управление аудитами, управление соответствием (СТО БР ИББС, PCI-DSS, ISO 27ххх, ФЗ-152 и др.), управление документами и стандартами ИБ и управление уязвимостями.

Security Vision a-SGRC (auto-SGRC) - технология роботизации систем класса SGRC. Security Vision a-SGRC позволяет автоматизировать/роботизировать функции систем SGRC, ранее выполнявшиеся преимущественно в ручном режиме.

Результаты использования (по утверждению разработчика)

• на 100% - актуальная картина состояния соответствия системы требованиям обеспечения кибербезопасности.
• до 70% - повышение осведомленности при принятии решений по вопросам кибербезопасности в стратегических инициативах компании
• до 60% - сокращение времени проведения оценки рисков кибербезопасности
• до 70% - автоматизация оценки соответствия требованиям в вопросах кибербезопасности
• до 80% - повышение эффекта коллаборации и уменьшения дублируемых требований за счет обмена информацией и обогащения смежных систем кибербезопасности
• до 90% - обработка риска кибербезопасности в автоматическом режиме (при использовании совместно с Security Vision IRP)

2025

Rомплексный Governance для стратегической безопасности организаций

Компания Security Vision 23 декабря 2025 года сообщила о значительном обновлении раздела «Управление информационной безопасностью» (Governance) в своем продукте Security Vision NG SGRC.

Security Vision NG SGRC – это решение для автоматизации и управления процессами информационной безопасности, обеспечения комплаенса и соответствия нормативно-методическим документам, управления рисками, моделирования угроз, управления непрерывностью бизнеса и другими стратегическими аспектами безопасности. Все решения в составе Security Vision SGRC основаны на единой платформе автоматизации с использованием No code конструкторов.

Обновленный раздел Security Vision Governance позволяет комплексно и последовательно выстраивать процессы информационной безопасности в организации, начиная с самых основ.

Основой для построения зрелых процессов информационной безопасности служит определение миссии и видения ИБ, а также четкое формирование организационной структуры с распределением ключевых ролей и назначением ответственных.

В продукте заложен фреймворк по принципу ролевой матрицы RASCI, с возможностью корректировать его с учетом особенностей конкретной организации и явным обозначением ролей, которые не были назначены.

Таким образом, с помощью Security Vision NG SGRC формируется организационный контекст организации, состоящий в определении области действия информационной безопасности, а также заинтересованных сторон, которые бывают двух типов:

• Внутренние (различные подразделения, лица принимающие решения);
• Внешние (регуляторы в области информационной безопасности, партнеры, акционеры).

Требования каждой из заинтересованных сторон, а также их приоритет, впоследствии учитываются для оценки рисков информационной безопасности.

Стратегия кибербезопасности является основным документом, определяющим направление развития информационной безопасности в организации. На этом уровне выбирается фреймворк, которого организация планирует придерживаться. В продукте Security Vision NG SGRC представлены на выбор два основных фреймворка - NIST CSF 2.0 и ISO 27001. При этом есть возможность создать собственный фреймворк либо комбинировать его с уже имеющимися.

Также определяются основные элементы управления рисками, которые в дальнейшем будут использованы при оценке и обработке рисков информационной безопасности:

• Бизнес-риски
• Процесс управления рисками
• Методика управления рисками
• Риск-аппетит и толерантность к риску

На базе выбранного фреймворка проводится анализ текущего и целевого состояния информационной безопасности в организации, на основе которого формируется стратегический план дальнейших мероприятий. Стратегический план может быть гибко разбит на этапы в зависимости от временных рамок, и на каждом этапе создаются задачи на конкретного исполнителя. Прогресс выполнения задач и проектов удобно отслеживать на сводном дашборде.

𝓲

Фото: Security Vision

Перечень процессов информационной безопасности автоматически формируется после выбора фреймворка. В Security Vision NG SGRC представлены типовые процессы c описанием их этапов или необходимых действий.

Также к большинству процессов привязаны частные политики информационной безопасности, которые регламентируют данные процессы, а также определяют процедуры выполнения необходимых действий в рамках конкретных процессов.

Для большинства политик, включая основную политику информационной безопасности, в Security Vision NG SGRC предоставлены шаблоны, которые помогут быстро сформировать итоговые документы.

Для поддержания актуального состояния ИБ выработан гибкий подход, в котором можно настроить интервалы уведомлений о необходимости пересмотра, обновления или улучшения основных сущностей, на каждой из которых настроены роли причастных сотрудников.

Представление Security Vision SGRC Basic

Компания Security Vision продолжает расширять линейку продуктов для среднего и малого бизнеса (СМБ) и представляет решение Security Vision SGRC Basic, предназначенное для управления информационной безопасностью, рисками и соблюдением нормативных требований. Об этом компания сообщила 23 сентября 2025 года. Продукт обеспечивает управление ключевыми процессами информационной безопасности на базе риск-ориентированного подхода и позволяет максимально быстро привести процессы обеспечение информационной безопасности на более высокий уровень. SGRC Basic также доступен в виде облачного сервиса (SaaS).

Security Vision SGRC для СМБ базируется на платформе Security Vision и включает в себя экспертные функциональные модули:

• Управление активами (Asset Management, AM)
• Управление соответствием нормативно-методическим документам (Compliance Management, CM)
• Управление рисками кибербезопасности (Risk Management, RM)
• Управление непрерывностью бизнеса (Business Continuity Management, BCM).

Ключевые особенности Security Vision SGRC для СМБ:

• Быстрое начало работы и исключение затрат ресурсов на внедрение и эксплуатацию:

Security Vision SGRC Basic - все компоненты устанавливаются в рамках одного виртуального или физического сервера (на одну операционную систему), ускоряя процессы внедрения и поддержки, что важно для компаний малого и среднего размеров.

Security Vision SGRC Saas - все компоненты уже развернуты и готовы к использованию, что позволяет бизнесу сосредоточиться на профильных задачах, а не на поддержке оборудования и обновлениях. Это позволяет компаниям, особенно СМБ, избежать капитальных затрат и трансформировать их в операционные расходы, которые легче прогнозировать и контролировать.

• Регулярная поставка обновлений контента от центра экспертизы Security Vision

• Бюджетная стоимость подписки.

Решение сертифицировано ФСТЭК России и Минобороны России, входит в реестр отечественного ПО.

2024: Security Vision SGRC 2.0

1 ноября 2024 года компания Security Vision сообщила о выпуске следующей версии продукта для автоматизации процессов и обеспечения комплаенса – SGRC 2.0 Конструкторы, low code/no code, автоматизация любых процессов и построение ресурсно-сервисной модели с количественной моделью оценки рисков и комплаенса – теперь это и многое другое достижимо с продуктом Security Vision SGRC 2.0.

𝓲

Фото: Security Vision

По информации компании, основные возможности Security Vision SGRC 2.0 включают:

Управление активами и инвентаризацией

Ядром Security Vision SGRC 2.0 служит ресурсно-сервисная модель, которая позволяет детально воссоздать информационную структуру предприятия и охватывает все уровни организации, от фундаментальных бизнес-процессов до технических активов, обеспечивая целостное представление о деятельности компании. Анализ может проводиться как для всей организации, так и для отдельных информационных систем как на высоком уровне для совокупностей объектов, так и детально для конкретного рабочего места, принтера или телефона.

Ресурсно-сервисная модель позволяет описать все необходимые объекты, начиная с фундаментальных сущностей, которыми оперирует бизнес, и заканчивая техническими активами, которые являются необходимыми ресурсами для реализации бизнес-активов.

Управление рисками кибербезопасности

Модуль Risk Management в составе Security Vision SGRC 2.0 охватывает весь жизненный цикл процесса управления рисками, начиная с этапа определения среды и описания бизнес и ИТ-компонентов инфраструктуры. Последующие этапы анализа и оценки рисков поддерживают качественный и количественный методы оценки. Сервис позволяет аналитику провести оценку полностью самостоятельно либо собрать данные от экспертов с помощью опросных листов, используя подход модуля управления соответствием. Модуль Risk Management включает в себя справочники из Банка данных угроз безопасности информации ФСТЭК и позволяет реализовывать моделирование угроз и сценарии реализации рисков на основе уже готового и взаимосвязанного набора данных.

Управление соответствием НМД

Модуль Compliance Management в составе Security Vision SGRC 2.0 предлагает инструменты для проверки соответствия стандартам и практикам, охватывающие как организацию в целом, так и отдельные бизнес-активы, подразделения, бизнес-процессы или другие элементы инфраструктуры. Система обеспечивает гибкость в выборе методики оценки, предоставляя возможность использовать стандарты из пакета экспертиз или применять собственные методики.

Благодаря платформе процесс оценки становится автоматизированным, что оптимизирует количество рутинных операций и позволяет более эффективно собирать и обрабатывать информацию, объединяя все необходимые данные в одном окне для удобного доступа и анализа. Аудит может включать проведение аудитов информационной безопасности, тестирование на проникновение, анализ политик безопасности и процедур управления доступом и предлагает пользователю наиболее используемые стандарты, фреймворки и практики.

Управление соответствием ФЗ-187 «О безопасности критической информационной инфраструктуры РФ»

Модуль КИИ в составе Security Vision SGRC 2.0 – решение, предназначенное для исполнения требований ФЗ-187 «О безопасности критической информационной инфраструктуры РФ» и других связанных с ним нормативных документов. Процесс управления исполнения требованием с помощью модуля КИИ состоит из следующих этапов:

• В модуль включаются дополнительные активы, такие как информационные системы и критические бизнес-процессы, для последующей классификации как объектов критической информационной инфраструктуры (ОКИИ) и оценки рисков.
• Далее проводится процедура классификации информационных систем как объектов критической информационной инфраструктуры. Для этого создаются специальные формы и задания, направленные на устранение несоответствий и уточнение данных.
• Для информационных систем, классифицированных как ОКИИ, проводится моделирование потенциальных угроз с целью оценки их уязвимости и разработки мер защиты.
• В финале создаётся визуальное представление потенциальных угроз, позволяющее оценить степень риска и разработать эффективные меры защиты. Этот отчёт может быть сохранен для последующего использования.

Управление непрерывностью бизнеса

Security Vision Business Continuity Management, входящее в Security Vision SGRC 2.0 – это решение автоматизации процесса обеспечения непрерывности и восстановление деятельности (ОНиВД) после наступления чрезвычайных ситуаций. Продукт находится на стыке технологий: затрагивает как процессы ИБ, оперируя последствиями реализации угроз, связанных с отказом работоспособности информационных систем, оборудования, утраты ключевых поставщиков, персонала или помещений, так и процессы ИТ, анализируя информационную модель предприятия, обслуживающие ресурсы, метрики работоспособности активов и процедуры восстановления.

Решение обеспечивает реализацию процесса на всех стадиях его жизненного цикла:

• На этапе «Анализ воздействия на бизнес и оценка риска» посредством опроса владельцев ресурсов собирается информация о бизнес-процессах и их зависимости от различных ресурсов компании. Целью этого процесса было определение операционных, юридических и финансовых последствий сбоев и выявление ключевых метрик.
• На этапе «План обеспечения непрерывности бизнеса» продукт позволяет систематизировать планы обеспечения непрерывности конкретных бизнес-процессов по конкретным типам чрезвычайных ситуаций.
• На этапе «Определение и внедрение процедур непрерывности бизнеса» используется встроенная система заявок, в которой можно поставить и проконтролировать выполнение задач на приведение инфраструктуры в соответствии утверждённым планам обеспечения непрерывности.
• Также реализована возможность проводить регулярные тестирования планов непрерывности с оценкой достижения ключевых показателей эффективности.

Ролевая модель

SGRC 2.0 включает в себя возможность гибкого управления доступом, позволяющую адаптировать процесс оценки под любую организацию: система поддерживает создание ролей с индивидуальными настройками прав доступа к данным, отчётам и функционалу. Пользователь может совмещать несколько ролей, расширяя свои полномочия. Конструктор ролей позволяет настраивать систему под конкретные требования бизнеса.

2023

Возможность моделирования угроз с применением всех элементов из Банка данных угроз

Security Vision 5 сентября 2024 года сообщил о выпуске обновленного продукта Security Vision Risk Management (RM).

Security Vision RM – это комплексная система управления рисками информационной безопасности предприятия предоставляющая возможности для организаций любых размеров и отраслей. Продукт разработан с учетом требований отечественных и международных стандартов в области обеспечения управления рисками информационной безопасности, таких как ISO 27005:2022, ГОСТ Р ИСО/МЭК 27005, методология ФСТЭК, а также методология FAIR.

Security Vision RM охватывает весь жизненный цикл процесса управления рисками, начиная с этапа определения среды. Используя ресурсно-сервисную модель, система позволяет детально описать бизнес и ИТ-компоненты инфраструктуры.

На стадии идентификации рисков продукт интегрирует методологию ФСТЭК, предоставляя возможность моделирования угроз с применением всех элементов из Банка данных угроз.

Последующие этапы анализа и оценки рисков поддерживают качественный и количественный методы оценки. Продукт дает аналитику возможность провести оценку полностью самостоятельно либо собрать данные от экспертов с помощью опросных листов. При этом, для разных экспертов можно создавать разные опросные листы в зависимости от их компетенций и зон ответственности. Так, от бизнес-подразделений можно собрать данные о потенциальном ущербе от реализации тех или иных угроз, а от технических экспертов - получить данные о вероятности реализации того или иного сценария в определённой инфраструктуре.

На этапе обработки рисков пользователи могут моделировать различные конфигурации внедрения мер защиты с целью выбора оптимального набора по соотношению затрат и эффективности, а также создавать и управлять задачами, направленными на минимизацию рисков.

В рамках мониторинга и пересмотра рисков в продукт заложен механизм Ключевых индикаторов риска и функционал переоценки рисков. Система автоматизированно собирает и агрегирует данные из различных внешних источников, таких как системы SOAR, управления уязвимостями и управления активами. В итоге пользователь своевременно получает уведомление о превышении заданных порогов для всех связанных с индикатором рисков.

Обновление модулей направления SGRC

Security Vision сообщила 13 апреля 2023 года об обновлении модулей направления Security Governance, Risk Management and Compliance (SGRC): модуля управления рисками информационной безопасности, модуля управления аудитами и модуля соответствия стандартам и нормативным актам.

Данные продукты позволяют организовать процессы оценки рисков на основе моделирования угроз, проведения аудитов и проверки на соответствие различным стандартам, список которых основан на внутренних и общепринятых (ГОСТ, ISO/МЭК) методиках. В процессе настройки системы отдельные действия можно автоматизировать, для этого внешние источники данных и системы обработки заявок подключаются к платформе при помощи коннекторов, которые без ограничений можно создавать непосредственно в рамках графического интерфейса, без использования языков программирования и привлечения представителей разработчика.

Значительно улучшены движки всех модулей:

• Увеличены количество и глубина интеграций с другими системами. Встроенный конструктор коннекторов позволяет обеспечить интеграцию с любой (даже самописной) системой при помощи универсальных инструментов: API (HTTP-запросы); БД (SQL взаимодействие с базами Postgres, Oracle, MS SQL и др.); скрипты (PowerShell, SSH); файлов в режиме чтение/запись (машиночитаемых файлов, в т.ч. XML/JSON любых объёмов за счёт параллельной обработки фрагментов); syslog;
• И проприетарных протоколов, включая: MS AD; MS Exchange; Kafka.
• Улучшены средства представления больших и сложных данных: расширены возможности визуализации (виджет на временной шкале), добавлены интерактивные инструменты наблюдения, обновлен встроенный BI-движок для создания виджетов любого количества для анализа и расследования.
• Укреплена целостность системы и всех данных вне зависимости от содержания: единые инсталлятор и платформа обеспечивают любые взаимосвязи объектов (контролей, активов, рисков и мер защиты), позволяют проводить сквозную аналитику и обеспечивать связь с технологическими модулями Security Vision (управление активами, уязвимостями, инцидентами, анализ угроз и киберразведка) и данными в них.
• Кастомизация, включая формирование дашбордов и шаблонов выгружаемых отчётов, проводится в уже установленной системе и не требует выпуска отдельных версий продукта, что обеспечивает скорость внедрения, когда заказчику необходимо изменить логику работы под собственные требования и методики.

Логика работы модуля управления рисками кибербезопасности включает:

• Ведение различных справочников и баз объектов. Разрабатываются и наполняются содержимым ИТ-активы, их объединения в информационные системы и объекты воздействия, списки угроз, способов их реализации и применяемых мер защиты, а также потенциал нарушителей.
• Актуализацию модели угроз, например, результатов моделирования угроз согласно методике ФСТЭК и официального сайта БДУ. Моделирование угроз можно провести по любой методике, специфичной для отрасли или конкретного заказчика, для этого при помощи встроенных конструкторов через UI создаются шаблоны или модифицируются текущие.
• Инициирование процесса оценки риска. Риск-менеджер, запуская данный процесс, определяет рабочую группу, включает в неё экспертов, инженеров для обработки задач, пользователей для согласования и утверждения. Каждый пользователь получает права согласно ролевой модели.
• Заполнение опросных листов. Для упрощения применяются справочники, сформированные на первом этапе, используются коннекторы к внешним системам, файлам и базам данных, где содержатся полезные сведения.
• Математические преобразования. Методика качественной оценки рисков «из коробки» может быть адаптирована уже в процессе внедрения и эксплуатации. Применение математических формул и построение процессов в виде блок-схем позволяют реализовать процессы любой сложности, они могут быть циклическими и «ветвистыми» (иметь разные варианты и алгоритмы в зависимости от условий).
• Обработку рисков, включающая ведение отдельных задач и их приоритизацию для исполнителей. В зависимости от критичности активов, обнаруженных уязвимостей и других параметров можно определить логику назначения SLA для всех задач.

Цикличность процесса и переопределение контролей по заданному расписанию позволяет поддерживать в актуальном состоянии все метрики и задачи, связанные с оценкой рисков кибербезопасности.

Модули проведения аудитов и соответствия стандартам в зависимости от конкретных методик, требований ГОСТ, ISO/МЭК содержат отдельные преднастроенные справочники, но в общем случае включают в себя:

• Запуск рабочих процессов для отдельных процедур аудита;
• Заполнение опросных листов с вовлечением в процесс необходимых участников;
• Оценка реализации мер;
• Создание задач на устранение замечаний;
• Запуск процессов устранения и формирование отчётности с закрытием аудита.

Описания объектов (аудитов, процедур, характеристик ИС) включают десятки параметров с возможностью без ограничений по количеству создания параметров, полей ввода, прикрепления внешних файлов и свидетельств.

Аудит информационной безопасности объектов критической информационной инфраструктуры (КИИ) основывается на Постановлении Правительства РФ № 127 и Приказах ФСТЭК России № 235, 236 и 239 и включает:

• Инициализация процедуры категорирования для различных ИС, определение параметров значимости объектов КИИ (ОКИИ);
• Определение категории и мер защиты с различными параметрами (описание, технологии, реализации);
• Запуск процесса оценки соответствия согласно требованиям регулятора, указанным выше;
• Выявление несоответствий и формирование плана контрольных мероприятий с указанием сроков, приоритета.

Выполнение мероприятий и переход на повторную оценку позволяют организовать циклический процесс и поддержку данных в актуальном состоянии. Также предусмотрена возможность ведения запросов регулятора и связанных с ними задач.

2020: «Интеллектуальная безопасность» создала технологию роботизации систем класса SGRC

ГК «Интеллектуальная безопасность» создала технологию роботизации систем класса SGRC - Security Vision a-SGRC (auto-SGRC). Security Vision a-SGRC позволяет автоматизировать / роботизировать функции систем SGRC, ранее выполнявшиеся преимущественно в ручном режиме, включая контроль выполнения внутренних и государственных нормативных требований по защите информации.

Системы класса SGRC (Security Governance, Risk Management and Compliance) предназначены для автоматизации построения комплексной системы управления информационной безопасностью (СУИБ). Тремя основными задачами, которые они решают, являются управление ИБ, обеспечение риск-ориентированного подхода к ИБ и соответствие нормам законодательства.

Зачастую SGRC-системы предполагают проведение значительного объёма ручной работы: заполнение опросников, сбор и ввод данных, перевод информации из одного формата в другой (например, при импорте в SGRC-систему сведений из внутренних ИТ-платформ), заполнение чек-листов по соответствию требованиям стандартов.

Технология Security Vision a-SGRC представляет собой фактически новую веху в автоматизации / роботизации процессов информационной безопасности, особенно в части расчёта рисков и соответствия законодательным нормам и внутренним стандартам. Технология позволяет максимально автоматизировать / роботизировать процессы управления информационной безопасностью, а также добавить столь необходимую обратную связь, при помощи которой происходит автоматическая корректировка настройки ИТ-активов и СЗИ.

Решение a-SGRC помогает реализовать контроль соблюдения нормативных требований в режиме реального времени, обеспечивая максимальную степень автоматизации действий департаментов ИБ, при этом давая возможность поддерживать уровень не только «бумажной», но и фактической безопасности путём интеграции с различными ИТ-системами и средствами защиты для их оперативного переконфигурирования и контроля. Функциональность аналитики и визуализации поможет руководителям видеть актуальное состояние выполнения требований законодательных норм, а аудиторский интерфейс будет полезен во время проведения как внутренних, так и внешних проверок.

2019

Совместимость с СУБД ЛИНТЕР

8 июля 2019 года компания «Интеллектуальная безопасность» сообщила, что совместно с ГК РЕЛЭКС успешно завершили работы по тестированию совместимости собственных программных продуктов:

• Security Vision Cyber Risk System и СУБД ЛИНТЕР БАСТИОН и СУБД ЛИНТЕР СТАНДАРТ;
• Security Vision Incident Response Platform СУБД ЛИНТЕР БАСТИОН и СУБД ЛИНТЕР СТАНДАРТ;
• Security Vision Security Governance, Risk Management and Compliance и СУБД ЛИНТЕР БАСТИОН и СУБД ЛИНТЕР СТАНДАРТ;
• Security Vision Security Operation Center и СУБД ЛИНТЕР БАСТИОН и СУБД ЛИНТЕР СТАНДАРТ;
• Security Vision КИИ и СУБД ЛИНТЕР БАСТИОН и СУБД ЛИНТЕР СТАНДАРТ.

Компании подтвердили совместимость программных продуктов выпуском соответствующих сертификатов. ГК «Интеллектуальная безопасность» и ГК РЕЛЭКС планируют и дальше развивать технологическое партнёрство и обеспечивать совместимость своих программных продуктов в интересах заказчиков.

Программные продукты обоих производителей ПО входят в реестр российского ПО Минсвязи.

Совместимость с СУБД Postgres Pro Standard 11/ Enterprise 11

28 июня 2019 года Security Vision сообщила о том, что совместно с Postgres Professional подтвердили факт совместимости ряда своих программных продуктов. Они стали технологическими партнерами и выпустили соответствующие сертификаты о совместимости.

Компании провели работы по тестированию совместимости следующего программного обеспечения:

• Security Vision Cyber Risk System и СУБД Postgres Pro Standard 11/ Enterprise 11;
• Security Vision Incident Response Platform и СУБД Postgres Pro Standard 11/ Enterprise 11;
• Security Vision Security Governance, Risk Management and Compliance и СУБД Postgres Pro Standard 11/ Enterprise 11;
• Security Vision Security Operation Center и СУБД Postgres Pro Standard 11/ Enterprise 11.

Компании и дальше планируют обеспечивать совместимость своих программных продуктов в интересах Заказчиков обеих компаний, а также развития отечественного программного обеспечения.