Сервис управления информационной безопасностью на базе риск-ориентированного подхода.

Сервис решает следующие задачи:
  • Построение системы управления рисками безопасности
  • Контроль соответствия требованиям регуляторов и стандартов
  • Учет активов и построение информационной модели компании
  • Автоматизация и контроль работы службы информационной безопасности на стратегическом, тактическом и операционном уровнях
  • Обоснование внедрения защитных мер и распределения ресурсов.
Автоматизация работы службы информационной безопасности с помощью сервиса позволяет избежать ряда проблем, с которыми сталкивается службы когда решают свои задачи в ручном режиме:
  • Ежедневная работа часто не связана с действительно актуальными рисками безопасности, сотрудники тратят свое время на второстепенные задачи не уделяя должного внимания актуальным вопросам ИБ.
  • Затраты на покупку средств защиты сложно обосновать, работу службы безопасности сложно объяснить руководству.
  • Требований регуляторов много, они не связанны между собой, не связаны с актуальными рисками безопасности.
  • Большое количество времени уходит на «бумажную» работу по поддержанию процессов управления информационной безопасностью.
  • Инструменты злоумышленников и доступные средства защиты изменяются очень быстро, а времени на актуализацию собственных компетенций не хватает.
Сервис помогает решить проблемы управления информационной безопасностью в рамках единой системы, благодаря следующим возможностям:
  • Выстраивание процессов по идентификации, анализу, управлению рисками безопасности.
  • Использование готовой и постоянно актуализируемой базы рисков и защитных мер, учитывающей БДУ ФСТЭК, MITRE ATT&CK и другие лучшие практики.
  • Расчет эффективности затрат на информационную безопасность на основе рисков и сценарного планирования.
  • Учет проводимых работ во взаимосвязи с целями и рисками безопасности.
  • Распределение ответственности между владельцами рисков и активов.
  • Автоматизация контроля соответствия требованиям регуляторов.
  • Генератор отчетности и показателей эффективности.

Схема

Для понимания основ работы сервиса лучше всего познакомиться с ключевыми модулями и их связями: 

Для кого это приложение

В минимальном варианте использования пользователями Сервиса являются работники подразделения по информационной безопасности. В зависимости от масштабов организации, ее внутренних процессов и сложившейся практики взаимодействия между подразделениями к работе в Сервисе могут быть подключены: 
  • Подразделение по информационным технологиям;
  • Подразделение по экономической и кадровой безопасности;
  • Подразделения по обеспечению качества, охраны труда, промышленной, экологической безопасности.
Универсальные механизмы Сервиса позволяют реализовать единые для компании систему управления рисками, управления активами, учета контрагентов, потребностей сторон, планирования работ, базу знаний (CMDB) и т. д.

Начало работы

Начать знакомство с сервисом лучше всего с прохождения мастера, который поможет создать все виды объектов в первый раз и настроить взаимодействие между ними.

Перейти к мастеру Начало работы

Сообщество

Обеспечение информационной безопасности на должном уровне в одиночку - сложная и порой непосильная задача. 
Миссией Сервиса является объединение специалистов по информационной безопасности, служб безопасности и компаний в рамках совместной деятельности по управлению рисками безопасности, формированию вариантов защитных мер. Для этого в сервисе реализованы механизмы информационного обмена между сообществом и командами.
Сервис разделяет информацию на публичные объекты Сообщества (#Community) и приватные объекты команд (#Team). 
Публичные объекты доступны всем пользователям сервиса, а доступ к приватным объектам ограничен командой - владельцем объекта.
Вы можете обогащать приватную базу команды создавая свои объекты или добавлять объекты из публичной базы Сообщества. Добавленные объекты обозначаются тегом #Linked, они являются приватными и доступны только в рамках команды, но при этом у них сохраняется связь с их публичными копиями.
Приватные объекты команд можно публиковать для Сообщества (создавать их публичные копии). Все публичные объекты можно обсуждать и дополнять совместно с другими пользователями сервиса.

Команды

Команда это ваша рабочая область, в рамках которой создаются объекты (активы, риски, меры и т.д.), строятся планы работ, ведется операционная деятельность по внедрению защитных мер и управлению задачами.
При регистрации в сервисе для каждого пользователя создается Персональная команда, доступ к которой есть только у этого пользователя. Персональную команду удобно использовать для тестов и хранения личной информации.
В Персональную команду нельзя добавлять других участников. Для совместной работы с другими пользователями создаются отдельные команды. Можно создавать неограниченное количество команд. 
Чтобы создать команду нужно:
  1. Перейти в верхнее меню, нажав на имя пользователя (вверху справа)
  2. Выбрать пункт меню Сменить команду
  3. Выбрать в появившемся подменю пункт Создать команду
  4. На странице создания команды ввести название новой команды
    Примеры названий: ООО "Ромашка", Филиал Московский, ИСПДн Бухгалтерия
  5. После создания команды вы можете переключиться на нее через верхнее меню.
При необходимости можно вести работу в нескольких командах, переключаясь межу ними с помощью соответствующего пункта верхнего меню.
Обмен объектами между командами возможен только через публикацию объектов для Сообщества.

Приглашение участников в команду
Приглашать новых участников в команду может только администратор команды. Для приглашения участника в вашу команду нужно:
  1. Перейти в Профиль команды через верхнее контекстное меню
  2. В разделе Добавление участников в команду указать email адрес нового участника команды и его роль в команде
  3. Нажать на кнопку Добавить
Новому участнику команды придет пригласительное письмо и в его списке команд появится ваша команда.
Если новый участник команды не был ранее зарегистрирован в сервисе то он будет автоматически зарегистрирован по указанному имени email и ему придет письмо с запросом на активацию учетной записи.

Управление участниками команды
Владельцы и Администраторы команды могут управлять составом команды и изменять роли участников в рамках команды. Для того чтобы изменить состав или роли участников команды нужно:
  1. Перейти в Профиль команды через верхнее контекстное меню
  2. В разделе Участники команды
    1. Удалить участника команды нажав на кнопку Удалить или
    2. Изменить роль участника в команде нажав на кнопку с текущей ролью участника
Владельца команды нельзя удалить из команды.

Роли

В рамках каждой команды пользователю назначается определенная роль:
  • Владелец: Роль назначается автоматически при создании команды на создавшего ее пользователя. Владелец обладает полными правами в команде и может удалить команду. Владельца нельзя удалить из команды.
  • Администратор: Администратор может осуществлять любые действия с объектами а так же приглашать и исключать пользователей из команды.
  • Редактор: Редактор может осуществлять любые действия с объектами.
  • Аудитор: Аудитор может просматривать любые объекты, но не может их изменять или создавать новые.
Для части объектов применяется усложненная ролевая модель доступа, в частности:
  1. Задачи может изменять/удалять их создатель или администратор команды, но не исполнитель, на которого назначена задача.