Всё-таки стоит посвятить данной GRC системе несколько записей, поскольку с ней сам сталкивался и работал. Возможно, данная информация будет полезна.
Система Archer разработана подразделением RSA компании EMC, занимающимся, как известно, решениями в области ИБ. Относится к классу GRC-систем (т.е. governance, risk and compliance), позволяющих автоматизировать процессы управления, в том числе менеджмента рисков, контроля соответствия и т.п.
Сейчас тема GRC видимо немного "перезрела", в то время как совсем недавно ей пестрили многие обзоры, статьи. На западе она уже набила оскомину в том числе и потому, что достаточно большой класс систем может быть охвачен аббревиатурой GRC, куда можно подогнать практически всё, что угодно. Так, Gartner недавно решила уйти от рассмотрения GRC-платформ в сторону решений, предлагающих конкретный функционал (http://blogs.gartner.com/french_caldwell/2014/02/04/a-revolution-in-grc-affairs-at-gartner/).
Собственно о системе: состоит из модулей, каждый из которых берет на себя автоматизацию определенного процесса. RSA Archer предоставляет достаточно большой их набор:
В рамках модулей также могут быть выделены отдельные решения (solutions), нацеленные на выполнение конкретной задачи. Так, например, в модуле Compliance Management присутствует решение для контроля соответствия требованиям PCI DSS. Также выделено решение Issue Mgmt, присутствующее сразу в нескольких модулях, позволяющее управлять проблемами и несоответствиями и планировать действия по их устранению.
Модули тесно интегрированы между собой. Основным модулем является Enterprise Mgmt, он содержит информацию об активах компании, которые задействованы в автоматизируемых процессах управления. Все остальные модули используют эту информацию для привязки тех или иных данных о процессах к активам/подразделениям компании.
Подробнее о функционале чуть позже.
О применении RSA Archer:
необходимость внедрения такой системы и дальнейшая эффективность ее использования определяется наличием в компании уже выстроенных процессов обеспечения ИБ в достаточной зрелости (3-4 уровень CobiT), чтобы было что автоматизировать. В ином случае не получится задействовать весь функционал системы и в итоге пользы от нее будет минимум.
Система Archer разработана подразделением RSA компании EMC, занимающимся, как известно, решениями в области ИБ. Относится к классу GRC-систем (т.е. governance, risk and compliance), позволяющих автоматизировать процессы управления, в том числе менеджмента рисков, контроля соответствия и т.п.
Сейчас тема GRC видимо немного "перезрела", в то время как совсем недавно ей пестрили многие обзоры, статьи. На западе она уже набила оскомину в том числе и потому, что достаточно большой класс систем может быть охвачен аббревиатурой GRC, куда можно подогнать практически всё, что угодно. Так, Gartner недавно решила уйти от рассмотрения GRC-платформ в сторону решений, предлагающих конкретный функционал (http://blogs.gartner.com/french_caldwell/2014/02/04/a-revolution-in-grc-affairs-at-gartner/).
Собственно о системе: состоит из модулей, каждый из которых берет на себя автоматизацию определенного процесса. RSA Archer предоставляет достаточно большой их набор:
- Policy Management (далее для простоты - Mgmt) - управление корпоративными политиками, целями и источниками требований
- Compliance Mgmt - управление соответствием, контролями и проведение оценки соответствия
- Risk Mgmt - управление рисками (операционными)
- Enterprise Mgmt - управление активами
- Incident Mgmt
- Vendor Mgmt - управление поставщиками
- Threat Mgmt - угрозы и уязвимости
- Audit Mgmt - автоматизация проведения аудита
- Business Continuity Mgmt
- Vulnerability Scan Mgmt - управления уязвимостями и процессом сканирования
- и некоторые другие
В рамках модулей также могут быть выделены отдельные решения (solutions), нацеленные на выполнение конкретной задачи. Так, например, в модуле Compliance Management присутствует решение для контроля соответствия требованиям PCI DSS. Также выделено решение Issue Mgmt, присутствующее сразу в нескольких модулях, позволяющее управлять проблемами и несоответствиями и планировать действия по их устранению.
Модули тесно интегрированы между собой. Основным модулем является Enterprise Mgmt, он содержит информацию об активах компании, которые задействованы в автоматизируемых процессах управления. Все остальные модули используют эту информацию для привязки тех или иных данных о процессах к активам/подразделениям компании.
Подробнее о функционале чуть позже.
О применении RSA Archer:
необходимость внедрения такой системы и дальнейшая эффективность ее использования определяется наличием в компании уже выстроенных процессов обеспечения ИБ в достаточной зрелости (3-4 уровень CobiT), чтобы было что автоматизировать. В ином случае не получится задействовать весь функционал системы и в итоге пользы от нее будет минимум.
Комментариев нет:
Отправить комментарий