Статья опубликована в рамках: XXXI Международной научно-практической конференции «Научное сообщество студентов XXI столетия. ТЕХНИЧЕСКИЕ НАУКИ» (Россия, г. Новосибирск, 28 апреля 2015 г.)
Наука: Информационные технологии
Скачать книгу(-и): Сборник статей конференции
- Условия публикаций
- Все статьи конференции
дипломов
АНАЛИЗ СОВРЕМЕННОГО РЫНКА ПРОДУКТОВ GRC
Борисенко Павел Сергеевич
Е-mail: borisenkopp@yandex.ru
Ильин Иван Валерьевич
Е-mail: vanillin.va@gmail.ru
Канев Антон Николаевич
Е-mail: ta1ler93@mail.ru
Никифорова Ксения Александровна
студенты 4 курса, кафедра безопасных информационных технологий НИУ ИТМО, РФ, г. Санкт-Петербург
Е-mail: nikiforova.k.a@yandex.ru
Нурдинов Руслан Артурович
научный руководитель, аспирант НИУ ИТМО, РФ, г. Санкт-Петербург
Под термином «Governance, Risk and Compliance» (GRC) понимается обобщенная концепция, а именно взгляд на управление организацией с нескольких точек зрения: руководства (Governance), управления рисками (Risk management) и соответствия требованиям (Compliance). Рассмотрим каждый элемент концепции GRC в отдельности.
Governance относится к управлению деятельностью компании по направлениям ИТ, кадровому, финансовому, операционному, юридическому и другим. На уровне системы реализуется как управление политиками.
Risk — рассмотрение любой деятельности по защите информационных активов с точки зрения управления рисками организации.
Compliance — управление соответствием требованиям стандартов, регуляторов и лучших практик.
Помимо инструментов, относящихся к описанным направлениям, GRC-системы могут обладать следующей функциональностью:
· управление внутренним аудитом;
· управление непрерывностью бизнеса;
· управление инцидентами;
· управление конфигурациями.
Основная идея GRC заключается в том, чтобы компания могла реализовать все вышеперечисленные процессы в совокупности с учетом всех взаимосвязей между ними, то есть максимально эффективно.
Так же стоит отметить, что GRC система — это не цельное решение, а набор модулей, то есть своего рода конструктор, который может быть дополнен сторонними механизмами, в том числе программным обеспечением других поставщиков. Это обусловлено тем, что заказчику не всегда требуется полная функциональность GRC‑системы, и каждое конкретное внедрение, в каком-то смысле, уникально.
GRC системы разделяют на IT GRC (Information Technology GRC) и eGRC (Enterprise GRC). IT GRC системы ориентированы в большей степени на IT процессы, следовательно, с IT GRC в основном работают сотрудники отделов информационных технологий (ИТ) и информационной безопасности (ИБ). С eGRC системами могут работать и другие сотрудники организации, например, сотрудники отдела управления персоналом.
В данной работе рассмотрены и проанализированы следующие eGRC системы:
· SecurityVision от компании Айти;
· MetricStream GRC Platform;
· RSA Archer GRC;
· IBM OpenPages GRC Platform.
Security Vision
Система управления информационной безопасностью (СУИБ) Security Vision предназначена для автоматизации процессов управления информационной безопасностью по стандарту ISO/IEC 27001 в рамках организации любого масштаба.
Система имеет модульную структуру и позволяет формировать актуальные сводки и рекомендации по состоянию информационной безопасности предприятия в целом и по отдельным системам безопасности [1].
Security Vision поддерживает централизованное обновление документальной базы, что позволяет получать более 70 актуальных шаблонов документов по ИБ.
В Security Vision автоматизированы следующие процессы управления ИБ:
· управление рисками;
· управление документами;
· управление соответствием требованиям;
· управление инцидентами;
· управление аудитом.
Преимущества: отечественный производитель, русскоязычный интерфейс и формирование отчетов на русском языке, интеграция с широким спектром внешних систем.
Недостатки: отсутствие средств разработки, не котируется за рубежом, базовые функции по контролю доступа пользователей.
Стоимость системы составляет около 100 000 $ без учета технической поддержки (10000 $ в год).
MetricStream GRC Platform
MetricStream GRC Platform - интегрированная система для отслеживания вопросов качества, соответствия и рисков в организации от компании MetricStream, которая позволяет последовательно развертывать процессы GRC и процессы управления качеством в масштабах всей организации и получить возможность наглядно отслеживать эти процессы.
Поддерживает большое количество наборов требований для оценки Framework (UCF), соответствия различным стандартам и нормативным актам. Данные об уязвимостях могут быть импортированы из популярных сетевых сканеров: Nessus, CIS и MBSA. Использование UCF позволяет значительно оптимизировать процесс управления соответствием. Продукт интегрируется со средствами мониторинга и управления проблемами BigFix и eEye. Имеются также мощные средства для управления инцидентами.
MetricStream позволяет автоматизировать такие процессы как:
· управление соответствием требованиям регуляторов;
· управления рисками;
· управления документами;
· управление аудитом;
· обучение персонала;
· управление изменениями;
· управлением инцидентами.
Преимущества: адаптивность решения с учетом целей организации, широкие возможности для интеграции с внешними системами, многоуровневая ролевая модель управления доступом, организация рабочего процесса.
Недостатки: отсутствие локализации на русский язык.
Стоимость системы составляет 50 000—500 000 $ в зависимости от количества пользователей в сети.
RSA Archer GRC
Решение RSA Archer позволяет создавать эффективные комплексные программы для стратегического управления, управления рисками и соответствием требованиям регуляторов, которые поддерживает совместную работу ИТ-отделов, финансовых, операционных и юридических подразделений [5].
Решение RSA Archer включает в себя набор готовых модулей, предназначенных для автоматизации таких процессов, как:
· управление политиками;
· управление рисками;
· управление соответствием требованиям;
· управление предприятием;
· управление инцидентами;
· управление взаимодействием с поставщиками;
· управление угрозами;
· управление непрерывностью бизнеса;
· управление аудитом.
Преимущества: адаптивность решения с учетом целей организации, широкие возможности для интеграции с внешними системами, организация рабочего процесса, поддержка русского языка, многоуровневая ролевая модель управления доступом.
Стоимость стандартного издания составляет 55 000 $.
IBM OpenPages GRC Platform
Платформа IBM OpenPages GRC — это разработанная IBM интегрированная платформа управления предприятием, рисками и соблюдением нормативных требований, которая позволяет организациям управлять рисками и решать вопросы, связанные с официальными положениями, на уровне всего предприятия.
В решении предусмотрен ряд базовых служб и функциональных компонентов, охватывающих область рисков и соблюдения официальных требований: область производственных рисков, стратегий, управления средствами финансового контроля, управления ИТ и внутреннего аудита.
Решение IBM OpenPages включает в себя набор готовых модулей, предназначенных для автоматизации таких процессов, как:
· управление рисками;
· управление соответствием требованиям;
· управление аудитом;
· управление документами;
· управление непрерывность бизнеса;
· управление взаимодействием с поставщиками.
Преимущества: интегрированный API, многоуровневая ролевая модель управления доступом, организация рабочего процесса, локализация на русский язык
Стоимость стандартного издания составляет 68 000 $.
Сравнительная оценка
На основе предоставленного выше описания GRC-систем и отчетов “Magic Quadrant for Enterprise Governance, Risk and Compliance Platforms” [4] от компании Gartner и “The Forrester Wave™: Governance, Risk, And Compliance Platforms, Q1 2014” [2] [3] от компании Forrester был проведен сравнительный анализ систем. Системы оценивались по одиннадцати критериям, для которых были определены весовые коэффициенты в зависимости от их важности. По каждому из критериев система оценивалась по шкале от 0 до 5 (чем больше оценка, тем лучше). Итоговая оценка была рассчитана как средневзвешенное арифметическое из оценок по всем критериям. Полученные результаты представлены в таблице 1.
Таблица 1.
Сравнительный анализ GRC-систем
Вес |
Продукт |
RSA Archer GRC |
IBM Open Pages GRC Platform |
Metric Stream GRC Platform |
Security Vision |
0.1 |
Управление контентом |
4 |
3.5 |
4.5 |
4 |
0.1 |
Управление риском и контролем |
5 |
5 |
5 |
5 |
0.1 |
Управление и аналитика GRC |
4.75 |
4.25 |
4.75 |
4 |
0.1 |
Управление аудитом |
3.5 |
4.5 |
4.5 |
4 |
0.1 |
Широта и глубина GRC |
5 |
4 |
5 |
4 |
0.05 |
Предметно- ориентированная поддержка |
4.5 |
5 |
4 |
4.5 |
0.15 |
Техническая функциональность |
4.5 |
3 |
4 |
4 |
0.1 |
Ценовая политика |
5 |
4 |
4 |
4 |
0.05 |
Простота использования |
3 |
3 |
3 |
3 |
0.1 |
Поддержка |
4 |
3 |
3 |
4 |
0.05 |
Локализация |
4 |
4 |
0 |
5 |
1 |
Итоговая оценка |
4.215 |
3.875 |
4.025 |
4.125 |
Проведенный анализ программно-технических решений показал, что на рынке лидерами в классе GRC являются решения от западных компаний EMC. Российские же разработки только частично реализуют необходимый набор процессов управления, но являясь отечественным производителем, имеют преимущество на российском рынке.
Список литературы:
- Security Vision — система управления и мониторинга информационной безопасности [Электронный ресурс]. — Режим доступа. — URL: http://www.bytemag.ru/articles/detail.php?ID=17363 (дата обращения: 26.04.2015).
- Christopher McClean, Nick Hayes, and Renee Murphy “The Forrester WaveTM: Governance, Risk, And Compliance Platforms, Q1 2014”.
- Forrester Research : Playbook : The Governance, Risk, And Compliance Playbook For 2015 [Электронный ресурс]. — Режим доступа. — URL: https://www.forrester.com/The+Governance+Risk+And+Compliance+Playbook+For+2015/-/E-PLA410 (дата обращения: 26.04.2015).
- French Caldwell, John A. Wheeler “Gartner Magic Quadrant for Enterprise Governance, Risk and Compliance Platforms”.
- RSA Archer GRC Platform 5.3 product review | SC Magazine UK [Электронный ресурс]. — Режим доступа. — URL: http://www.scmagazineuk.com/rsa-archer-grc-platform-53/review/3951/ (дата обращения: 26.04.2015).
дипломов
Оставить комментарий