Экспертная система Protectiva Risk & Compliance Manager
Продукты класса Security GRC (SGRC) (от английского Governance, Risk, Compliance) предназначены для автоматизации процессов менеджмента информационной безопасности организации в таких областях как менеджмент рисков, комплайенс (соответствие требованиям), аудита, непрерывности бизнеса, инцидентов, уязвимостей, активов, документации и т.п.
Экспертная система Менеджер Риска и Соответствия «Протектива» (Protectiva Risk & Compliance Manager) предоставляет руководителю службы информационной безопасности все необходимые средства для контроля соответствия требованиям законодательства, нормативной базы, стандартов и внутренних политик, формирования модели угроз и реестра рисков ИБ организации. Система реализована в виде онлайн-сервиса с возможностью самообучения.
Функциональные возможности
Реализация полного цикла управления соответствием
- Определение требований, применимых к организации
- Оценка соответствия применимым требованиям
- Автоматическое формированием отчета о соответствии
- Автоматическое формирование плана мероприятий по обеспечению соответствия
- Контроль выполнения плана обеспечения соответствия
Реализация процесса оценки риска
- Формирование модели угроз безопасности информации
- Оценка рисков ИБ
- Формирование реестра рисков и плана обработки рисков
Подготовка отчетных документов для контроля соответствия
- Для руководства организаций
- Для контролирующих органов
- Для аудиторов
- Для органов по аттестации
- Для органов по сертификации
Анализ положения дел в области соответствия
- Идентификация проблемных областей и причин несоответствия
- Анализ изменения уровня соответствия
- Сравнение с другими организациями (по отрасли, по региону, по размеру и т.п.)
- Использование опыта других организаций
- Поддержка экспертного сообщества
Поддерживаемые стандарты
Десятки готовых к использованию стандартов и нормативных документов, устанавливающих требования по обеспечению информационной безопасности для:
- Cистемы менеджмента информационной безопасности, рисков, непрерывности бизнеса, ИТ
- ГИС, АС и АСУТП, ИСПДн, АБС, промышленные системы, КСИИ, платежные системы и системы денежных переводов
- Cистемы защиты коммерческой тайны, служебной тайны, банковской тайны и персональных данных
Поддерживаемые нормативные документы и стандарты включают в себя, в том числе:
- Федеральные законы РФ: 161-ФЗ, 152-ФЗ, 98-ФЗ
- Постановления Правительства РФ: ПП-1119, ПП-584, ПП-687, ПП-512, ПП-1233
- Международные стандарты: ISO 27001, 27032, 27034, 27035, 20000, 22301
- Национальные стандарты РФ: ГОСТ Р 51583-2014, ГОСТ Р 53113.1-2008, ГОСТ Р 53113.2-2009, ГОСТ Р 53131-2008, ГОСТ Р ИСО/МЭК 27033-1-2011, ГОСТ Р ИСО/МЭК 27005-2010, ГОСТ Р 56939-2016
- Документы Банка России: СТО БР ИББС, 382-П, 2831-У, 397-П, РС БР ИББС-2.6-2014, 49-Т, 154-Т, 36-Т, 146-Т
- Приказы ФСТЭК России № 17, 21, 31, СТР-К
- Приказы ФСБ России № 149/54-144, 149/6/6-622, 378
- а также отраслевые стандарты, нормативные документы Роскомнадзора, Минсвязи, Правительства Москвы,
- внутренние политики ИБ ГлобалТраст
В систему могут быть добавлены любые документы, необходимые пользователям для контроля соответствия. Перечень стандартов постоянно пополняется и актуализируется.
Простота, гибкость, минимизация затрат
- От пользователя не требуется быть экспертом в предметной области, знать нормативную базу и стандарты или уметь проводить аудит
- Универсальная авторская методика оценки соответствия с детально проработанными опросниками. От пользователя требуется только выбор из двух вариантов ответа на каждый вопрос «Да/Нет»
- Оценка соответствия любому стандарту занимает не более одного часа (при условии наличия у пользователя достоверных данных об организации)
- Сервисная модель функционирования (SaaS) позволяет избежать затрат на внедрение и эксплуатацию системы
- Гибкая модель доступа на основе подписок, позволят использовать только необходимые пользователю стандарты и не переплачивать за остальные
Конфиденциальность
- Обеспечивается анонимность, т.е. система не знает о том, к какой организации принадлежит пользователь и вводимая им информация. По базе данных системы нельзя идентифицировать пользователя и организацию
Контакты
- Сайт продукта: protectiva.ru