Работа с информационной безопасностью в больших компаниях всегда была задачей непростой. Особенно когда речь идёт о головной организации с десятками дочерних структур, тысячами сотрудников и множеством серверов и сервисов. В таких условиях собрать все данные, понять, что где и как работает, и при этом держать процессы под контролем — задача, которую сложно решить без автоматизации.

Я хочу поделиться нашим опытом, как мы подошли к этой проблеме в SECURITM, и показать, как система помогает руководителям ИБ-служб выстраивать сквозной контроль над подрядчиками и процессами во всей структуре компании.

Проблема: все всё делают, но никто ничего не видит

Когда мы начинали работать с крупными холдингами, ситуация почти везде была одинаковая: у каждой ДЗО свой Excel, свои анкеты, своя версия методики категорирования, своя форма отчётности. В головной компании собирались сотни файлов, которые невозможно было сверить или агрегировать.

При этом именно в дочерних структурах часто происходят ключевые инциденты — от нарушений требований до утечек данных. Контроль подрядчиков и филиалов превращался в ручной и бесконечно долгий процесс, и мы понимали: без автоматизации и централизованной модели управления здесь не обойтись.

С чего начинается порядок: модуль опросов

Первое, что мы внедрили, — модуль опросов. Изначально он задумывался как инструмент для стандартизации взаимодействия между головной компанией и дочерними организациями.

Раньше процесс категорирования или аудита выглядел так: отправили форму — получили файл — проверили вручную — рассчитали категорию. Теперь всё по-другому. Мы реализовали гибкий конструктор форм, в котором можно создавать собственные шаблоны под конкретные задачи. ДЗО заполняет анкету прямо в системе, а SECURITM автоматически проводит расчёт по заданным формулам и показывает итоговую категорию.

Если что-то не совпадает — система сама подсказывает, какие поля требуют уточнения. Мы добавили возможность привязывать результаты опросов к активам, рискам и контрольным мероприятиям. Таким образом, данные из опросов становятся частью общей картины безопасности.

В одном из кейсов с банком этот подход позволил сократить процесс категорирования дочерних компаний с нескольких недель до одного дня. Именно дня, потому что всё считается автоматически.

Понимание, что у тебя под контролем: модуль активов

Когда появляется много данных, возникает другой вопрос: как понять, что именно контролируется. В крупных организациях активы часто разрознены — одни ведут инфраструктуру в CMDB, другие — в Excel, а кто-то вообще не обновляет реестры годами.

Мы создали модуль активов (AM), который собирает всё в единую цифровую модель компании: IT-инфраструктуру, приложения, процессы, данные, людей и подрядчиков. Важно, что активы становятся “живыми” элементами — у каждого есть владелец, связь с процессами, рисками, инцидентами и задачами.

Так, если появляется уязвимость в конкретном сервисе, SECURITM покажет, к какому активу она относится, кто за него отвечает и какие риски связаны с его работой. В случае работы с подрядчиками это особенно полезно: система помогает мгновенно понять, кто предоставил доступ, куда, и что нужно сделать для его отзыва или мониторинга.

Централизация без потери гибкости: модуль областей

Очень часто в крупных организациях, централизованное управление безопасностью часто воспринимается как попытка “навязать сверху что-то непонятное, проблемное”. Поэтому мы сделали модуль областей, который объединяет управление, но оставляет автономию дочерним структурам.

Каждая область (например, дочерняя организация) может настраивать свои процессы, но при этом работает в общей логике — с едиными шаблонами политик, рисков и мер. Головная компания видит картину целиком: какие процессы в каком статусе, какие меры внедрены, где есть отклонения.

Фактически, это позволяет реализовать модель “сквозной безопасности”, когда стандарты, процессы и метрики унифицированы, но при этом каждая структура сохраняет возможность учитывать свои особенности.

Прозрачность и зрелость: модули рисков и комплаенса

Любая зрелая система безопасности строится не на инцидентах, а на управлении рисками. Из-за этого в SECURITM модули Risk Management и Compliance связаны между собой и с другими частями системы.

Risk Management помогает приоритизировать угрозы, связывая их с активами и защитными мерами. Руководитель ИБ видит, какие риски реально влияют на бизнес, какие меры уже внедрены, а где остаются пробелы.

Compliance автоматизирует соответствие нормативным требованиям: система сама объединяет пересекающиеся пункты разных стандартов, актуализирует нормативную базу (в том числе ГОСТ 57580, 72 форму, МР 3/8/12 и другие) и позволяет проводить как ручные, так и автоматические проверки.

Это особенно важно в банках и госструктурах, где объём требований постоянно растёт. У нас был случай, когда благодаря SECURITM компания впервые смогла пройти внутренний аудит без десятков ручных сверок и правок — просто потому, что система уже держала нормативную базу в актуальном виде и показывала, какие документы и меры закрывают конкретные пункты регулятора.

Почему модульность работает

Каждый модуль SECURITM решает конкретную задачу, но все они работают по единой логике. Можно начать с опросов, чтобы навести порядок в коммуникациях с ДЗО. Потом добавить активы — чтобы понять, что вы контролируете. Далее подключить риски, комплаенс и области — чтобы получить системность и прозрачность на уровне всей структуры.

Благодаря таким “методам приручения хаоса”, перед вами будет осмысленная экосистема, где безопасность управляется с помощью современных инструментов, а большинство важных процессов автоматизированно.

Для крупных компаний с дочерними организациями ключевой фактор эффективности ИБ — прозрачность, контроль и автоматизация. SECURITM помогает выстроить единую систему, где активы, риски, комплаенс и подрядчики контролируются сквозным образом. Это позволяет сократить ручной труд, ускорить процессы, снизить риски, влияние человеческого фактора и повысить управляемость ИБ.

Для меня как генерального директора миссия SECURITM проста: дать специалистам инструмент, который помогает выстраивать систему безопасности красиво, правильно и эффективно. В больших компаниях это уж точно необходимость.