Управление безопасностью, рисками и соответствием законодательству [ Security governance, risk management and compliance (SGRC) ] —
1. Система для автоматизации построения системы управления безопасностью информационной (СУИБ) комплексной. Системы SGRC включают в себя три основных подхода к построению СУИБ:
- Governance, т.е. управление безопасностью информационной на уровне руководства компании, которое с помощью систем класса SGRC получает возможность принимать решения информированные и экономически обоснованные на основе данных о состоянии системы управления безопасностью информационной;
- Risk Management, т.е. подход риск-ориентированный к обеспечению безопасности информационной, при котором принимаемые меры защиты обоснованы и рассчитаны для наиболее эффективной минимизации рисков безопасности информационной;
- Compliance, т.е. обеспечение соответствия законодательству, обязательным стандартам и политикам государственным и корпоративным, несоответствие которым может привести к штрафам, ущербу репутации, непредвиденным затратам.
2. Системы автоматизации построения СУИБ, сфокусированные в первую очередь на процессах безопасности информационной и частично ИТ-процессах. Функционал SGRC-систем включает в себя:
- управление ИТ-активами;
- управление рисками безопасности информационной;
- обработку документальную инцидентов безопасности информационной (поддержку расследования инцидентов безопасности информационной, протоколирование, накопление базы знаний);
- соответствие нормативным требованиям безопасности информационной: законодательным, отраслевым, корпоративным;
- поддержку проведения аудитов безопасности информационной внутренних и самооценок;
- управление процессами обеспечения непрерывности бизнеса и восстановления работоспособности;
- построение отчетности и дашбордов с функционалом drill-down (возможность «проваливаться» вглубь предоставляемой информации для получения детальных сведений по элементам отчета) [ SecurityVision].