Я підтримую думку, що в GRC-процеси потрібно додавати більше інжинірингу і поступово відходити від кілометрів екселю та мільйонів кубокілометрів документів для кожного аудиту. Тому коли в компанії постало питання вибору інструменту для управління ризиками, активами та аудитами, я витратив трохи часу на пошук саме такого рішення - і зупинився на CISO Assistant 🐙 (порівняння з іншими інструментами, які я розглядав, зроблю окремою статтею).
Що це за інструмент
CISO Assistant - це open-source GRC-платформа від французької команди intuitem. Community-версія поширюється під AGPLv3, а компанія додатково пропонує платні Pro/Enterprise редакції (SaaS або onprem) з розширеними можливостями.
Зараз ми тестуємо саме community-версію, і поки що вона повністю покриває наші вимоги.
Декаплінг як інженерний підхід до аудитів
Найцінніша річ в CISO Assistant з точки зору проведення аудитів - це розчеплення (декаплінг) доказів аудиту від самих аудитів. Доказ у системі - це окрема сутність, яка підв’язується до різних аудитів, а не живе всередині одного конкретного аудиту як мертвий вантаж.
Якщо ваша компанія одночасно проходить аудити по PCI DSS, SOC 2, ISO 27001 - ви знаєте цей біль: купа екселів, купа скріншотів, окремі архіви доказів під кожен фреймворк, і половина цих доказів насправді дублюється між аудитами. CISO Assistant за рахунок декаплінгу дозволяє:
- один раз зібрати доказ і перевикористати його в кількох аудитах/фреймворках одночасно,
- оцінювати один і той самий scope одразу проти кількох стандартів,
- відокремити впровадження контролю від відстеження відповідності (compliance tracking).
Це саме той інженерний підхід до GRC, про який я говорив на початку - замість ручного копіювання одних і тих самих доказів по папках під кожен аудит, система сама тримає зв’язки між сутностями.
Що є з коробки навіть у безкоштовній версії
- SSO, 2FA та повноцінний onprem-деплой - речі, які багато вендорів ховають за платними тарифами, тут доступні одразу в community-версії.
- Близько 180 вбудованих бібліотек - фреймворки, набори контролів, бібліотеки ризиків та загроз. Свої бібліотеки теж можна докинути через простий Excel-формат.
- Дашборди, імпорт/експорт даних у різних каналах.
- API-first підхід - є повноцінне API та Swagger-документація, тож інструмент можна інтегрувати в свою автоматизацію, а не лише клікати в UI.
Український переклад
У вільний час я доклався до українського перекладу інтерфейсу - він ще далекий від ідеалу, і оскільки CISO Assistant активно розвивається, переклад постійно наздоганяє нові рядки в новіших релізах. Плани на майбутнє - поступово розширювати переклад і додавати профілі під українське законодавство (НБУ, ДССЗЗІ, ЗУ про захист персональних даних); про прогрес розповідатиму окремими постами.
Відеоогляд
Також записав кілька відеооглядів інструменту:
Підсумок
Якщо шукаєте GRC-інструмент, який не змушує жити в екселі і при цьому не ховає базові корпоративні фічі (SSO, 2FA, onprem) за платним тарифом - раджу придивитись до CISO Assistant. Особливо якщо у вас кілька паралельних аудитів і хочеться нарешті перестати копіювати одні й ті самі докази по різних теках.