Я підтримую думку, що в GRC-процеси потрібно додавати більше інжинірингу і поступово відходити від кілометрів екселю та мільйонів кубокілометрів документів для кожного аудиту. Тому коли в компанії постало питання вибору інструменту для управління ризиками, активами та аудитами, я витратив трохи часу на пошук саме такого рішення - і зупинився на CISO Assistant 🐙 (порівняння з іншими інструментами, які я розглядав, зроблю окремою статтею).

Що це за інструмент

CISO Assistant - це open-source GRC-платформа від французької команди intuitem. Community-версія поширюється під AGPLv3, а компанія додатково пропонує платні Pro/Enterprise редакції (SaaS або onprem) з розширеними можливостями.

Зараз ми тестуємо саме community-версію, і поки що вона повністю покриває наші вимоги.

Декаплінг як інженерний підхід до аудитів

Найцінніша річ в CISO Assistant з точки зору проведення аудитів - це розчеплення (декаплінг) доказів аудиту від самих аудитів. Доказ у системі - це окрема сутність, яка підв’язується до різних аудитів, а не живе всередині одного конкретного аудиту як мертвий вантаж.

Якщо ваша компанія одночасно проходить аудити по PCI DSS, SOC 2, ISO 27001 - ви знаєте цей біль: купа екселів, купа скріншотів, окремі архіви доказів під кожен фреймворк, і половина цих доказів насправді дублюється між аудитами. CISO Assistant за рахунок декаплінгу дозволяє:

  • один раз зібрати доказ і перевикористати його в кількох аудитах/фреймворках одночасно,
  • оцінювати один і той самий scope одразу проти кількох стандартів,
  • відокремити впровадження контролю від відстеження відповідності (compliance tracking).

Це саме той інженерний підхід до GRC, про який я говорив на початку - замість ручного копіювання одних і тих самих доказів по папках під кожен аудит, система сама тримає зв’язки між сутностями.

Що є з коробки навіть у безкоштовній версії

  • SSO, 2FA та повноцінний onprem-деплой - речі, які багато вендорів ховають за платними тарифами, тут доступні одразу в community-версії.
  • Близько 180 вбудованих бібліотек - фреймворки, набори контролів, бібліотеки ризиків та загроз. Свої бібліотеки теж можна докинути через простий Excel-формат.
  • Дашборди, імпорт/експорт даних у різних каналах.
  • API-first підхід - є повноцінне API та Swagger-документація, тож інструмент можна інтегрувати в свою автоматизацію, а не лише клікати в UI.

Український переклад

У вільний час я доклався до українського перекладу інтерфейсу - він ще далекий від ідеалу, і оскільки CISO Assistant активно розвивається, переклад постійно наздоганяє нові рядки в новіших релізах. Плани на майбутнє - поступово розширювати переклад і додавати профілі під українське законодавство (НБУ, ДССЗЗІ, ЗУ про захист персональних даних); про прогрес розповідатиму окремими постами.

Відеоогляд

Також записав кілька відеооглядів інструменту:

Підсумок

Якщо шукаєте GRC-інструмент, який не змушує жити в екселі і при цьому не ховає базові корпоративні фічі (SSO, 2FA, onprem) за платним тарифом - раджу придивитись до CISO Assistant. Особливо якщо у вас кілька паралельних аудитів і хочеться нарешті перестати копіювати одні й ті самі докази по різних теках.