Security Vision Управление соответствием (Compliance Management)

Продукт
Название базовой системы (платформы): Security Vision Специализированная платформа для автоматизации процессов информационной безопасности
Разработчики: Интеллектуальная безопасность ГК (бренд Security Vision)
Дата премьеры системы: 2024/03/05
Дата последнего релиза: 2024/05/20
Технологии: BI,  SaaS - Программное обеспечение как услуга

Содержание

Основная статья: Определение Business Intelligence

2024

Выпуск сервиса «Комплаенс»

20 мая 2024 года компания Security Vision сообщила о выпуске сервиса «Комплаенс» на платформе Security Vision 5, предоставляемого по подписке из облака.

Выпуск сервиса «Комплаенс»

По информации компании, сервис предоставляет возможность автоматизации процессов оценки на соответствие требованиям либо проведения самооценки по любым направлениям деятельности компании без установки решения в инфраструктуру. Он подходит для проведения проверок в рамках проектов, требующих оптимизации скорости реализации и с меньшими инфраструктурными и трудозатратами за счет отсутствия необходимости развертывания и настройки платформы.

В сервисе реализованы инструменты проверки на соответствие требованиям стандартов как организации в целом, так и отдельных ее элементов, таких как информационная система, бизнес-процесс, помещение и другие бизнес-активы предприятия. Система предоставляет гибкие возможности в выборе методики оценки на основе либо стандарта из пакета экспертиз, либо собственной методики оценки.

Пакет экспертиз обновляется методологами компании Security Vision на регулярной основе, снимая с Заказчика обременение по контролю изменений и в стандартах и руководящих документах. Ниже приведены наиболее значимые возможности.


Ведение реестра стандартов требований

В продукте заложены наиболее используемые стандарты, фреймворки и различные практики, такие как Приказы ФСТЭК № 17, 21, 31, ГОСТ 57580, ISO 27001, NIST и другие. В дополнение к этому пользователь может сформировать собственные стандарты, скомпоновав их из существующих требований (других стандартов) или создав собственные. Можно формировать стандарты из интерфейса системы или импортировать их из файла. Для каждого требования можно указать собственную шкалу оценки и любое количество вариантов ответов.

Активы и меры защиты

Система позволяет загрузить ресурсно-сервисную модель предприятия, включая продукты, бизнес-процессы, информационные системы и т.д., детализируя до технических элементов, таких как сервера, помещения и оборудование. Загружаемые активы можно связать с мерами защиты, что позволит автоматически получить верхнеуровневую оценку соответствия по всей компании.

Оценка соответствия

Процесс оценки можно проводить как в ручном режиме (заполнение опросных листов), так и в автоматизированном формате: учитываются меры защиты конкретных информационных систем, а также результаты предыдущих оценок.

Процесс оценки можно проводить как по предприятию в целом, так и по конкретным системам в частности, с визуальным отображением прогресса работ.

Гибкая модель опросных листов

Один из основных механизмов уточнения и сбора информации в процессе оценки – автоматизированная генерация опросных листов. Опросные листы могут быть делегированы на разные подразделения и разных исполнителей (в зависимости от объекта оценки), контролируется их статус и прогресс заполнения. При этом аудитор будет видеть степень соответствия объекта оценки требованиям стандарта в режиме реального времени.

В результате сервис сам сведет все полученные данные в единой карточке процесса оценки и подготовит шаблон плана мероприятий по приведению объекта оценки в соответствие требованиям стандарта.

Планы мероприятий по достижению целевого уровня

Процесс оценки позволяет определить невыполненные требования (которые применимы к анализируемой информационной системе), выделить их в отдельный документ и сформировать план мероприятий по их реализации. Система позволяет автоматически сформировать задачи на реализацию соответствия нужным требованиям и мониторить их исполнение во внешних системах.

Аналитический движок визуализации степени соответствия

Одной из важных частей продукта является модуль визуализации, позволяющий «на лету» проанализировать все составляющие процесса оценки на разных этапах и в нескольких представлениях. Таким образом, контроль за проведением аудита становится прозрачным и удобным.

Весь функционал поддерживает разграничение прав доступа как по ролевой модели, так и по организационной схеме дочерних и родительских филиалов Заказчика. Облачный сервис позволяет распределить нагрузку (в том числе на эксплуатацию продукта), позволяя с меньшими затратами и большей скоростью запустить процедуры оценки соответствия.

«
Кибербезопасность — обязательный фактор работы компании любого масштаба. Продукт на платформе Security Vision, закрывающий потребности направления SGRC/GRC из облака, теперь доступен всем и по доступным ценам. Считаю это действительно важным, поскольку сегмент SMB испытывает одновременно потребность в обеспечении безопасности и финансовые ограничения.

прокомментировал Руслан Рахметов, генеральный директор Security Vision
»

Анонс Security Vision Compliance Management

5 марта 2024 года компания Security Vision сообщила о выпуске продукта «Управление соответствием (Compliance Management)» на платформе Security Vision 5.

Security Vision Compliance Management

По информации компании, продукт «Управление соответствием (Compliance Management)» — это профессиональное решение для проведения процессов оценки. В возможности продукта входят не только проверка на соответствие требованиям регуляторов, но и оперативное проведение оценок по группе сотрудников по любому направлению интереса компании (например, в контексте выполнения задач по повышению осведомленности).

В Security Vision Compliance Management реализованы инструменты проверки на соответствие требованиям стандартов как организации в целом, так и отдельных ее элементов, таких как информационные системы, бизнес-процессы, помещения и другие активы предприятия. Система предоставляет гибкие возможности в выборе методики оценки на основе либо стандартов из пакета экспертизы, либо собственной методики оценки. Используя возможности платформы, процесс оценки можно автоматизировать. Это снижает количество рутинных операций, позволяя более эффективно собирать и обрабатывать информацию в одном окне.

Ключевые возможности продукта

Ведение реестра стандартов требований

В продукте заложены наиболее часто используемые на март 2024 года стандарты, фреймворки, такие как Приказы ФСТЭК № 17, 21, 31, ГОСТ 57580, iso 27001, NIST и другие. В дополнение к этому пользователь может сформировать корпоративные стандарты, добавляя собственные требования или переиспользуя требования из существующих стандартов. Внедрена группировка требований по доменам для облегчения анализа, при этом есть возможность кастомизировать общий вид документа как визуально, так и функционально. Стандарт может быть загружен в систему из файла, а также экспортирован в файл при необходимости для удобства работы с требованиями.

Пользователь не ограничен по лимиту и функционалу в части заведения в систему стандартов и опросов любой конфигурации, при этом база знаний коробочных стандартов постоянно поддерживается и дополняется в рамках регулярного обновления.

Стандарт обладает статусной моделью, обеспечивающей процедуру актуализации и перевода в архив устаревших документов.

Требованиям преднастроена шкала оценки и установлены варианты ответа, при этом есть возможность гибко добавлять ответы и их веса для каждого конкретного вопроса или требования, что позволяет применять индивидуальную методологию расчета результата для любого количества вариантов ответов.

Активы и меры защиты

Система позволяет загрузить ресурсно-сервисную модель предприятия, включая продукты, бизнес-процессы и информационные системы, детализируя их до технических элементов, таких как серверы, помещения и оборудование. Загружаемые активы можно связать с мерами защиты, что позволит автоматически получить оценку соответствия по всей компании.

В продукте поставляется база знаний мер защиты (БДУ ФСТЭК), а также возможность создавать пользовательские меры. Меры обладают статусной моделью, которая позволяет наглядно оценить текущее и плановое соответствие требованиям конкретных активов. Реализован функционал заявок на внедрение пользовательских мер с отслеживанием хода их выполнения.

Оценка соответствия

Процесс оценки можно проводить как в ручном режиме (заполнение опросных листов), так и в автоматизированном формате: учитываются меры защиты конкретных активов, а также результаты предыдущих оценок.

Процесс оценки можно проводить как по предприятию в целом, так и по конкретным системам, в частности, с визуальным отображением прогресса работ.

Проведение оценки может проходить как полностью в онлайн формате, так и частично выноситься в офлайн (составление опросных листов, методик оценки, формирование стандартов, этап сбора информации), что полезно для работы с удаленными локациями.

Гибкая модель опросных листов

Один из основных механизмов уточнения и сбора информации в процессе оценки – автоматизированная генерация опросных листов. Опросные листы могут быть делегированы на разные подразделения и разных исполнителей (можно отправить опросный лист по одному объекту разным сотрудникам для получения более полной картины), контролируется их статус и прогресс заполнения. При этом аудитор будет видеть степень соответствия объекта оценки ожидаемому уровню в режиме реального времени. Опросный лист обладает жизненным циклом, предусматривающим проверку его заполнения аудитором и отправкой на доработку при необходимости. Предусмотрен автоматический механизм валидации и консолидации данных в единую интегральную оценку соответствия объекта требованиям.

Процесс заполнения опросного листа может кастомизироваться под персональную методологию оценки (добавление этапов согласования, сбор и получение данных и т. д.).

В продукте реализованы нотификации для уведомления пользователей при всех значимых изменениях в системе (получение опросного листа на заполнение, задачи на исполнение). Возможна настройка уведомлений по расписанию. Уведомления приходят как внутренние, так и внешние (электронная почта, Телеграмм). Есть возможность создавать пользовательские нотификации с http-сервисами, почтовыми сервисами, файлами, базами данных.

В результате работы модуля система сама сведет все полученные данные в единой карточке процесса оценки и подготовит шаблон плана мероприятий по приведению объекта оценки в соответствие ожидаемому результату или требованиям стандарта.

Планы мероприятий по достижению целевого уровня

Процесс оценки позволяет автоматически определить невыполненные требования (которые применимы к анализируемому объекту), выделить их в отдельный документ и сформировать план мероприятий по их реализации. Система позволяет сформировать задачи на внедрение исправлений и мер защиты, осуществлять мониторинг их исполнения во внешних системах.

Механизм задач на внедрение мер защиты предоставляет возможность отслеживать выполнения сроков взятия в работу и исполнения, переназначать ответственных, принимать/отправлять задачи на доработку. Жизненный цикл задач можно кастомизировать.

По выполнению задач на внедрение исправлений и мер защиты все изменения автоматически отражаются на активах ресурсно-сервисной модели и в последующем учитываются при проведении регулярной оценки.

Реализована двусторонняя интеграция с системами SD (JIRA, NAUMEN, OTRS), которая позволяет синхронизировать задачи в модули и во внешней системе. Есть возможность создания интеграции с любой необходимой внешней системой.

Аналитический движок визуализации степени соответствия

Одной из важных частей Security Vision Compliance Management является модуль визуализации, позволяющий консолидировать полученную информацию и выполнить анализ всех составляющих процесса оценки. В продукте предоставлены несколько преднастроенных дашбордов, включая интерактивную карту, которая показывает интегральную оценку соответствия для каждой из распределенных организаций. Функционал BI-аналитики в дашбордах позволяют реализовать различные варианты визуализации в необходимых разрезах (по организациям, объектам оценки, стандартам). Дашборды и виджеты поддерживают функционал drill down для детального анализа отображаемых данных.

Библиотека отчетов

Доступны экспресс-отчеты с объектов ресурсно-сервисной модели, стандартов, процессов оценки и опросных листов, а также преднастроенные общие отчеты по разнообразным срезам данных. Продукт предоставляет возможности по кастомизации отчетов: встроенные механизмы платформы позволяют создавать пользовательские отчеты в режиме no-code и настроить автоматическую генерацию отчетов по расписанию. Доступна отправка отчетов по разным каналам, включая электронную почту, файловые шары, Телеграм и другие.



Подрядчики-лидеры по количеству проектов

За всю историю
2021 год
2022 год
2023 год
Текущий год

  ВидеоМост (VideoMost) (1767)
  Elma (Элма, Интеллект Лаб, Практика БПМ) (1643)
  TrueConf (Труконф) (1594)
  Террасофт (Terrasoft, ТС-Консалтинг) (1147)
  Directum (Директум) (733)
  Другие (8651)

  Elma (Элма, Интеллект Лаб, Практика БПМ) (244)
  Террасофт (Terrasoft, ТС-Консалтинг) (186)
  ВидеоМост (VideoMost) (181)
  Directum (Директум) (110)
  QuickBPM (83)
  Другие (759)

  Elma (Элма, Интеллект Лаб, Практика БПМ) (230)
  ВидеоМост (VideoMost) (101)
  Directum (Директум) (80)
  1С-Рарус (30)
  Projecto (Проджекто) (26)
  Другие (562)

  Elma (Элма, Интеллект Лаб, Практика БПМ) (179)
  Directum (Директум) (84)
  Первый Бит (23)
  Naumen (Наумен консалтинг) (22)
  Адванта Консалтинг (Advanta) (20)
  Другие (400)

  Directum (Директум) (230)
  Первый Бит (18)
  B2B-Center (Центр развития экономики) (12)
  Naumen (Наумен консалтинг) (12)
  БизнесАвтоматика НПЦ (12)
  Другие (212)

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

  1С Акционерное общество (35, 2831)
  ВидеоМост (VideoMost) (3, 1818)
  Elma (Элма, Интеллект Лаб, Практика БПМ) (4, 1768)
  TrueConf (Труконф) (3, 1610)
  Creatio (12, 1238)
  Другие (1939, 7476)

  Elma (Элма, Интеллект Лаб, Практика БПМ) (2, 327)
  Directum (Директум) (2, 233)
  Creatio (1, 200)
  ВидеоМост (VideoMost) (2, 183)
  1С Акционерное общество (13, 146)
  Другие (153, 489)

  Directum (Директум) (2, 236)
  Elma (Элма, Интеллект Лаб, Практика БПМ) (2, 233)
  ВидеоМост (VideoMost) (1, 102)
  1С Акционерное общество (9, 99)
  Projecto (Проджекто) (1, 26)
  Другие (94, 330)

  Elma (Элма, Интеллект Лаб, Практика БПМ) (2, 180)
  Directum (Директум) (1, 146)
  1С Акционерное общество (12, 89)
  Naumen (Наумен консалтинг) (5, 22)
  1С-Битрикс (1, 21)
  Другие (81, 265)

  Directum (Директум) (1, 237)
  1С Акционерное общество (8, 60)
  1С-Битрикс (1, 18)
  Naumen (Наумен консалтинг) (3, 16)
  БизнесАвтоматика НПЦ (5, 12)
  Другие (66, 166)

Распределение базовых систем по количеству проектов, включая партнерские решения (проекты, партнерские проекты)

За всю историю
2021 год
2022 год
2023 год
Текущий год

  ВидеоМост (VideoMost) ВКС - 1818 (1817, 1)
  ELMA BPM Suite - 1772 (1431, 341)
  1С:Предприятие 8.3 - 1676 (205, 1471)
  TrueConf Server - 1610 (1594, 16)
  Creatio (ранее bpm’online) - 1238 (944, 294)
  Другие 4646

  ELMA BPM Suite - 327 (241, 86)
  Directum RX - 233 (233, 0)
  Creatio (ранее bpm’online) - 200 (200, 0)
  ВидеоМост (VideoMost) ВКС - 183 (182, 1)
  1С:Предприятие 8.3 - 138 (4, 134)
  Другие 220

  Directum RX - 236 (236, 0)
  ELMA BPM Suite - 234 (151, 83)
  ВидеоМост (VideoMost) ВКС - 102 (102, 0)
  1С:Предприятие 8.3 - 94 (4, 90)
  Projecto - 26 (26, 0)
  Другие 120

  ELMA BPM Suite - 183 (22, 161)
  Directum RX - 146 (146, 0)
  1С:Предприятие 8.3 - 79 (3, 76)
  1С-Битрикс24 - 21 (21, 0)
  Advanta (Адванта) - система управления проектами - 20 (20, 0)
  Другие -10

  Directum RX - 237 (237, 0)
  1С:Предприятие 8.3 - 54 (3, 51)
  1С-Битрикс24 - 18 (18, 0)
  HRlink Система электронного кадрового документооборота - 12 (12, 0)
  B2B-Center: Мои поставщики - 12 (12, 0)
  Другие 91

Подрядчики-лидеры по количеству проектов

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Прогноз (250)
  Loginom Company (ранее BaseGroup Labs Аналитические технологии) (125)
  RBC Group Украина (124)
  БизнесАвтоматика НПЦ (119)
  Консультационная группа АТК (100)
  Другие (2538)

  Сапиенс солюшнс (Sapiens solutions) (9)
  Форсайт (8)
  Navicon (Навикон) (7)
  Корус Консалтинг (6)
  Доверенная среда (5)
  Другие (101)

  БизнесАвтоматика НПЦ (12)
  Форсайт (8)
  ФТО (5)
  Manzana Group (М Софт) (4)
  Optimacros (Оптимакрос) (3)
  Другие (74)

  Manzana Group (М Софт) (5)
  БизнесАвтоматика НПЦ (5)
  Simetra (ранее А+С Транспроект) (4)
  OptiTeam Consulting, Оптитим Консалтинг (ранее MCB Consulting, ЭмСиБи Консалтинг) (4)
  Форсайт (4)
  Другие (67)

  Simetra (ранее А+С Транспроект) (12)
  Форсайт (9)
  БизнесАвтоматика НПЦ (7)
  GlowByte, ГлоуБайт (ранее Glowbyte Consulting, ГлоуБайт Консалтинг) (5)
  Инфомаксимум (Infomaximum) (5)
  Другие (56)

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Qlik (QlikTech) (59, 464)
  Форсайт (19, 340)
  SAP SE (70, 303)
  Oracle (65, 267)
  Loginom Company (ранее BaseGroup Labs Аналитические технологии) (4, 236)
  Другие (1116, 1648)

  SAP SE (6, 13)
  Qlik (QlikTech) (2, 8)
  Форсайт (2, 8)
  Microsoft (2, 6)
  Триафлай (1, 5)
  Другие (50, 78)

  БизнесАвтоматика НПЦ (1, 12)
  Форсайт (3, 8)
  Optimacros (Оптимакрос) (1, 6)
  Microsoft (1, 5)
  Manzana Group (М Софт) (3, 4)
  Другие (40, 50)

  Optimacros (Оптимакрос) (1, 10)
  Форсайт (2, 8)
  Manzana Group (М Софт) (2, 5)
  Analytic Workspace (ОСТ) (2, 5)
  PIX Robotics (Пикс Роботикс) (1, 5)
  Другие (38, 59)

  Simetra (ранее А+С Транспроект) (1, 12)
  Форсайт (2, 9)
  VMware (2, 7)
  БизнесАвтоматика НПЦ (1, 7)
  Инфомаксимум (Infomaximum) (1, 7)
  Другие (38, 61)

Распределение базовых систем по количеству проектов, включая партнерские решения (проекты, партнерские проекты)

За всю историю
2021 год
2022 год
2023 год
Текущий год

  QlikView - 411 (370, 41)
  Форсайт. Аналитическая платформа (ранее Prognoz Platform) - 341 (321, 20)
  Deductor - 226 (226, 0)
  IBM Cognos - 162 (58, 104)
  Visary BI Платформа бизнес-аналитики - 119 (119, 0)
  Другие 1283

  SAP NetWeaver Business Warehouse (SAP BW/4HANA) - 8 (8, 0)
  Форсайт. Аналитическая платформа (ранее Prognoz Platform) - 8 (7, 1)
  QlikView.Next - 6 (0, 6)
  Триафлай BI-платформа - 5 (5, 0)
  Microsoft Power BI - 5 (5, 0)
  Другие 64

  Visary BI Платформа бизнес-аналитики - 12 (12, 0)
  Форсайт. Аналитическая платформа (ранее Prognoz Platform) - 8 (5, 3)
  Optimacros Платформа для оптимизационного и консолидационного планирования - 6 (6, 0)
  Microsoft Power BI - 5 (5, 0)
  QlikView.Next - 4 (0, 4)
  Другие 35

  Optimacros Платформа для оптимизационного и консолидационного планирования - 10 (10, 0)
  Форсайт. Аналитическая платформа (ранее Prognoz Platform) - 8 (7, 1)
  Manzana Customer Data Platform (CDP) - 5 (5, 0)
  Visary BI Платформа бизнес-аналитики - 5 (5, 0)
  Analytic Workspace BI-платформа - 5 (3, 2)
  Другие 38

  TransInfo - 12 (0, 12)
  Форсайт. Аналитическая платформа (ранее Prognoz Platform) - 9 (4, 5)
  Visary BI Платформа бизнес-аналитики - 7 (7, 0)
  VMware Tanzu Greenplum - 7 (1, 6)
  Инфомаксимум: Proceset (Система класса Process mining) - 7 (7, 0)
  Другие 17