Телефон: 8-800-350-22-65
WhatsApp: 8-800-350-22-65
Telegram: sibac
Прием заявок круглосуточно
График работы офиса: с 9.00 до 18.00 Нск (5.00 - 14.00 Мск)

Статья опубликована в рамках: XXXI Международной научно-практической конференции «Научное сообщество студентов XXI столетия. ТЕХНИЧЕСКИЕ НАУКИ» (Россия, г. Новосибирск, 28 апреля 2015 г.)

Наука: Информационные технологии

Скачать книгу(-и): Сборник статей конференции

Библиографическое описание:
Борисенко П.С., Ильин И.В., Канев А.Н. [и др.] АНАЛИЗ СОВРЕМЕННОГО РЫНКА ПРОДУКТОВ GRC // Научное сообщество студентов XXI столетия. ТЕХНИЧЕСКИЕ НАУКИ: сб. ст. по мат. XXXI междунар. студ. науч.-практ. конф. № 4(30). URL: http://sibac.info/archive/technic/4(30).pdf (дата обращения: 29.03.2024)
Проголосовать за статью
Конференция завершена
Эта статья набрала 0 голосов
Дипломы участников
У данной статьи нет
дипломов

 

АНАЛИЗ  СОВРЕМЕННОГО  РЫНКА  ПРОДУКТОВ  GRC

Борисенко  Павел  Сергеевич

Е-mail:  borisenkopp@yandex.ru

Ильин  Иван  Валерьевич

Е-mail:  vanillin.va@gmail.ru

Канев  Антон  Николаевич

Е-mail:  ta1ler93@mail.ru

Никифорова  Ксения  Александровна

студенты  4  курса,  кафедра  безопасных  информационных  технологий  НИУ  ИТМО,  РФ,  г.  Санкт-Петербург

Е-mailnikiforova.k.a@yandex.ru

Нурдинов  Руслан  Артурович

научный  руководитель,  аспирант  НИУ  ИТМО,  РФ,  г.  Санкт-Петербург

 

Под  термином  «Governance,  Risk  and  Compliance»  (GRC)  понимается  обобщенная  концепция,  а  именно  взгляд  на  управление  организацией  с  нескольких  точек  зрения:  руководства  (Governance),  управления  рисками  (Risk  management)  и  соответствия  требованиям  (Compliance).  Рассмотрим  каждый  элемент  концепции  GRC  в  отдельности.

Governance  относится  к  управлению  деятельностью  компании  по  направлениям  ИТ,  кадровому,  финансовому,  операционному,  юридическому  и  другим.  На  уровне  системы  реализуется  как  управление  политиками.

Risk  —  рассмотрение  любой  деятельности  по  защите  информационных  активов  с  точки  зрения  управления  рисками  организации.

Compliance  —  управление  соответствием  требованиям  стандартов,  регуляторов  и  лучших  практик.

Помимо  инструментов,  относящихся  к  описанным  направлениям,  GRC-системы  могут  обладать  следующей  функциональностью:

·     управление  внутренним  аудитом;

·     управление  непрерывностью  бизнеса;

·     управление  инцидентами;

·     управление  конфигурациями.

Основная  идея  GRC  заключается  в  том,  чтобы  компания  могла  реализовать  все  вышеперечисленные  процессы  в  совокупности  с  учетом  всех  взаимосвязей  между  ними,  то  есть  максимально  эффективно.

Так  же  стоит  отметить,  что  GRC  система  —  это  не  цельное  решение,  а  набор  модулей,  то  есть  своего  рода  конструктор,  который  может  быть  дополнен  сторонними  механизмами,  в  том  числе  программным  обеспечением  других  поставщиков.  Это  обусловлено  тем,  что  заказчику  не  всегда  требуется  полная  функциональность  GRC‑системы,  и  каждое  конкретное  внедрение,  в  каком-то  смысле,  уникально.

GRC  системы  разделяют  на  IT  GRC  (Information  Technology  GRC)  и  eGRC  (Enterprise  GRC).  IT  GRC  системы  ориентированы  в  большей  степени  на  IT  процессы,  следовательно,  с  IT  GRC  в  основном  работают  сотрудники  отделов  информационных  технологий  (ИТ)  и  информационной  безопасности  (ИБ).  С  eGRC  системами  могут  работать  и  другие  сотрудники  организации,  например,  сотрудники  отдела  управления  персоналом.

В  данной  работе  рассмотрены  и  проанализированы  следующие  eGRC  системы:

·     SecurityVision  от  компании  Айти;

·     MetricStream  GRC  Platform;

·     RSA  Archer  GRC;

·     IBM  OpenPages  GRC  Platform.

Security  Vision

Система  управления  информационной  безопасностью  (СУИБ)  Security  Vision  предназначена  для  автоматизации  процессов  управления  информационной  безопасностью  по  стандарту  ISO/IEC  27001  в  рамках  организации  любого  масштаба.

Система  имеет  модульную  структуру  и  позволяет  формировать  актуальные  сводки  и  рекомендации  по  состоянию  информационной  безопасности  предприятия  в  целом  и  по  отдельным  системам  безопасности  [1].

Security  Vision  поддерживает  централизованное  обновление  документальной  базы,  что  позволяет  получать  более  70  актуальных  шаблонов  документов  по  ИБ.

В  Security  Vision  автоматизированы  следующие  процессы  управления  ИБ:

·       управление  рисками;

·       управление  документами;

·       управление  соответствием  требованиям;

·       управление  инцидентами;

·       управление  аудитом.

Преимущества:  отечественный  производитель,  русскоязычный  интерфейс  и  формирование  отчетов  на  русском  языке,  интеграция  с  широким  спектром  внешних  систем.

Недостатки:  отсутствие  средств  разработки,  не  котируется  за  рубежом,  базовые  функции  по  контролю  доступа  пользователей.

Стоимость  системы  составляет  около  100  000  $  без  учета  технической  поддержки  (10000  $  в  год).

MetricStream  GRC  Platform

MetricStream  GRC  Platform  -  интегрированная  система  для  отслеживания  вопросов  качества,  соответствия  и  рисков  в  организации  от  компании  MetricStream,  которая  позволяет  последовательно  развертывать  процессы  GRC  и  процессы  управления  качеством  в  масштабах  всей  организации  и  получить  возможность  наглядно  отслеживать  эти  процессы.

Поддерживает  большое  количество  наборов  требований  для  оценки  Framework  (UCF),  соответствия  различным  стандартам  и  нормативным  актам.  Данные  об  уязвимостях  могут  быть  импортированы  из  популярных  сетевых  сканеров:  Nessus,  CIS  и  MBSA.  Использование  UCF  позволяет  значительно  оптимизировать  процесс  управления  соответствием.  Продукт  интегрируется  со  средствами  мониторинга  и  управления  проблемами  BigFix  и  eEye.  Имеются  также  мощные  средства  для  управления  инцидентами.

MetricStream  позволяет  автоматизировать  такие  процессы  как:

·       управление  соответствием  требованиям  регуляторов;

·       управления  рисками;

·       управления  документами;

·       управление  аудитом;

·       обучение  персонала;

·       управление  изменениями;

·       управлением  инцидентами.

Преимущества:  адаптивность  решения  с  учетом  целей  организации,  широкие  возможности  для  интеграции  с  внешними  системами,  многоуровневая  ролевая  модель  управления  доступом,  организация  рабочего  процесса.

Недостатки:  отсутствие  локализации  на  русский  язык.

Стоимость  системы  составляет  50  000—500  000  $  в  зависимости  от  количества  пользователей  в  сети.

RSA  Archer  GRC

Решение  RSA  Archer  позволяет  создавать  эффективные  комплексные  программы  для  стратегического  управления,  управления  рисками  и  соответствием  требованиям  регуляторов,  которые  поддерживает  совместную  работу  ИТ-отделов,  финансовых,  операционных  и  юридических  подразделений  [5].

Решение  RSA  Archer  включает  в  себя  набор  готовых  модулей,  предназначенных  для  автоматизации  таких  процессов,  как:

·       управление  политиками;

·       управление  рисками;

·       управление  соответствием  требованиям;

·       управление  предприятием;

·       управление  инцидентами;

·       управление  взаимодействием  с  поставщиками;

·       управление  угрозами;

·       управление  непрерывностью  бизнеса;

·       управление  аудитом.

Преимущества:  адаптивность  решения  с  учетом  целей  организации,  широкие  возможности  для  интеграции  с  внешними  системами,  организация  рабочего  процесса,  поддержка  русского  языка,  многоуровневая  ролевая  модель  управления  доступом.

Стоимость  стандартного  издания  составляет  55  000  $.

IBM  OpenPages  GRC  Platform

Платформа  IBM  OpenPages  GRC  —  это  разработанная  IBM  интегрированная  платформа  управления  предприятием,  рисками  и  соблюдением  нормативных  требований,  которая  позволяет  организациям  управлять  рисками  и  решать  вопросы,  связанные  с  официальными  положениями,  на  уровне  всего  предприятия. 

В  решении  предусмотрен  ряд  базовых  служб  и  функциональных  компонентов,  охватывающих  область  рисков  и  соблюдения  официальных  требований:  область  производственных  рисков,  стратегий,  управления  средствами  финансового  контроля,  управления  ИТ  и  внутреннего  аудита.

Решение  IBM  OpenPages  включает  в  себя  набор  готовых  модулей,  предназначенных  для  автоматизации  таких  процессов,  как:

·       управление  рисками;

·       управление  соответствием  требованиям;

·       управление  аудитом;

·       управление  документами;

·       управление  непрерывность  бизнеса;

·       управление  взаимодействием  с  поставщиками.

Преимущества:  интегрированный  API,  многоуровневая  ролевая  модель  управления  доступом,  организация  рабочего  процесса,  локализация  на  русский  язык

Стоимость  стандартного  издания  составляет  68  000  $.

Сравнительная  оценка

На  основе  предоставленного  выше  описания  GRC-систем  и  отчетов  “Magic  Quadrant  for  Enterprise  Governance,  Risk  and  Compliance  Platforms”  [4]  от  компании  Gartner  и  “The  Forrester  Wave™:  Governance,  Risk,  And  Compliance  Platforms,  Q1  2014”  [2]  [3]  от  компании  Forrester  был  проведен  сравнительный  анализ  систем.  Системы  оценивались  по  одиннадцати  критериям,  для  которых  были  определены  весовые  коэффициенты  в  зависимости  от  их  важности.  По  каждому  из  критериев  система  оценивалась  по  шкале  от  0  до  5  (чем  больше  оценка,  тем  лучше).  Итоговая  оценка  была  рассчитана  как  средневзвешенное  арифметическое  из  оценок  по  всем  критериям.  Полученные  результаты  представлены  в  таблице  1.

Таблица  1.

Сравнительный  анализ  GRC-систем

Вес

Продукт

RSA  Archer  GRC

IBM  Open

Pages  GRC

Platform

Metric

Stream  GRC

Platform

Security  Vision

0.1

Управление  контентом

4

3.5

4.5

4

0.1

Управление  риском  и  контролем

5

5

5

5

0.1

Управление  и  аналитика  GRC

4.75

4.25

4.75

4

0.1

Управление  аудитом

3.5

4.5

4.5

4

0.1

Широта  и  глубина  GRC

5

4

5

4

0.05

Предметно-  ориентированная  поддержка

4.5

5

4

4.5

0.15

Техническая  функциональность

4.5

3

4

4

0.1

Ценовая  политика

5

4

4

4

0.05

Простота  использования

3

3

3

3

0.1

Поддержка

4

3

3

4

0.05

Локализация

4

4

0

5

1

Итоговая  оценка

4.215

3.875

4.025

4.125

 

Проведенный  анализ  программно-технических  решений  показал,  что  на  рынке  лидерами  в  классе  GRC  являются  решения  от  западных  компаний  EMC.  Российские  же  разработки  только  частично  реализуют  необходимый  набор  процессов  управления,  но  являясь  отечественным  производителем,  имеют  преимущество  на  российском  рынке.

 

Список  литературы:

  1. Security  Vision  —  система  управления  и  мониторинга  информационной  безопасности  [Электронный  ресурс].  —  Режим  доступа.  —  URL:  http://www.bytemag.ru/articles/detail.php?ID=17363  (дата  обращения:  26.04.2015).
  2. Christopher  McClean,  Nick  Hayes,  and  Renee  Murphy  “The  Forrester  WaveTM:  Governance,  Risk,  And  Compliance  Platforms,  Q1  2014”.
  3. Forrester  Research  :  Playbook  :  The  Governance,  Risk,  And  Compliance  Playbook  For  2015  [Электронный  ресурс].  —  Режим  доступа.  —  URL:  https://www.forrester.com/The+Governance+Risk+And+Compliance+Playbook+For+2015/-/E-PLA410  (дата  обращения:  26.04.2015).
  4. French  Caldwell,  John  A.  Wheeler  “Gartner  Magic  Quadrant  for  Enterprise  Governance,  Risk  and  Compliance  Platforms”.
  5. RSA  Archer  GRC  Platform  5.3  product  review  |  SC  Magazine  UK  [Электронный  ресурс].  —  Режим  доступа.  —  URL:  http://www.scmagazineuk.com/rsa-archer-grc-platform-53/review/3951/  (дата  обращения:  26.04.2015).

 

Проголосовать за статью
Конференция завершена
Эта статья набрала 0 голосов
Дипломы участников
У данной статьи нет
дипломов

Оставить комментарий

Форма обратной связи о взаимодействии с сайтом
CAPTCHA
Этот вопрос задается для того, чтобы выяснить, являетесь ли Вы человеком или представляете из себя автоматическую спам-рассылку.