В рамках развития sGRC в Росбанке также реализованы несколько интеграций с системами сканирования на уязвимости инфраструктуры, кода и библиотек, даже контейнеров.
Внедрение sGRC-платформы класса GRC (Governance, Risk and Compliance) было предусмотрено стратегией развития информационной безопасности Росбанка, в рамках которой была создана новая процессная модель, а в качестве инструмента для выстраивания, автоматизации и измерения эффективности было выбрано решение sGRC на базе RSA Archer.
Амбициозные цели стратегии информационной безопасности в Росбанке могут быть реализованы благодаря интеграции систем и реинжинирингу процессов с помощью sGRC. Такая многомодульная платформа позволит консолидировать сведения из различных процессов ИБ в едином интерфейсе, тем самым обеспечив их визуализацию и прозрачность для оперативного получения информации о текущем состоянии информационной безопасности. На сегодняшний день благодаря sGRC сформирован реестр рисков ИБ, который служит основой для риск-ориентированного подхода к управлению информационной безопасностью в банке. Кроме того, уже выстроены взаимосвязи между процессами и автоматическое формирование отчетности по различным направлениям ИБ, например, управление уязвимостями и инцидентами ИБ.
Михаил Иванов,
директор департамента информационной безопасности Росбанка
Развитие sGRC реализуется agile-командой с одноимённым названием Archer. Команда была расширена дополнительными аналитиками и разработчиками из «Инфосистемы Джет».
Был выбран формат Agile Kanban не по веянию моды, было необходимо менять хрупкие процессы итеративно, сначала привнося немного изменений и потом дотачивая каждый процесс, каждый новый функционал в системе. Как и везде, на старте не было детальной картины целевого процесса, и мы не могли себе позволить долго ждать waterfall проект, сохраняя на это время существенные риски ИБ для банка. Со временем мы стали действительно быстрыми, ориентированными на результат и гибкими – развиваясь и расширяясь. На этапе «марш броска» было необходимо быстро привлечь дополнительных профильных экспертов, в чем нам помогли партнеры.
Александр Кондратенко,
Product Owner, начальник управления рисками и развития процессов информационной безопасности Росбанка.
Работая по спринтам, разные члены команды одновременно:
- анализировали текущие процессы, описывая их – бизнес-анализ;
- анализировали то, как их можно реализовать в системе – системный анализ;
- создавали минимально рабочие функциональные блоки в системе – разработка;
- тестировали в отдельной среде в банке, давали обратную связь по улучшению и доработке;
- переносили на продуктивную среду sGRC с описанием нового функционала и Demo для пользователей.
Для реализации задуманных изменений и ввиду формата работы нам была необходима гибкая система, некий конструктор, позволяющий оперативно вносить изменения. Система sGRC Archer наилучшим образом подошла для наших задач. Она позволяет работать в формате Agile и самостоятельно вносить изменения, автоматизировать всё новые и новые процессы банка, интегрировать по API новые источники данных, строить дашборды, отслеживать KPI и KRI, выстроить работу в системе, выполнить отказ от работы по электронной почте, экономя самое важное, что есть у каждого человека, – это время. На текущий момент были успешно реализованы следующие процессы: управление исключениями, управление активами, управление рисками ИБ и управление инцидентами.
Александр Кондратенко,
Product Owner, начальник управления рисками и развития процессов информационной безопасности Росбанка.
С помощью решения нам также удалось сократить количество рутинных операций первой линии SOC Росбанка. Ранее при получении сообщений об инцидентах ИБ специалистам банка приходилось вручную заполнять карточки инцидентов в используемой системе обработки заявок. Теперь эта деятельность автоматизирована, а высвободившееся время специалисты могут направить на более приоритетные задачи.
Анна Богданова,
руководитель направлений SOC и sGRC Центра информационной безопасности компании «Инфосистемы Джет».
Сегодня платформа RSA Archer используется в Росбанке как единый инструмент для взаимодействия по большинству вопросов ИБ. Ежедневно с ее помощью принимают различные решения около 50 пользователей со стороны информационной безопасности, а всего в автоматизированные процессы ИБ вовлечено порядка 700 сотрудников банка. В дальнейших планах кредитной организации — увеличить количество охваченных платформой ИБ-процессов и масштабировать ее на смежные ИТ- и бизнес-процессы.