X5 Group внедрила инструменты SGRC и SOAR для управления рисками и инцидентами кибербезопасности
По данным годового отчета X5 Group за 2024 год, компания автоматизирует процессы управления рисками и контроля ИБ, развивает центр кибербезопасности и систему SGRC. Редакция SecPost.ru представляет обзор основных положений отчета в части обеспечения информационной безопасности.
В отчете X5 Group за 2024 год представлена информация о функционировании корпоративной системы информационной безопасности. Как отмечается в документе, процессы цифровизации интегрированы с работой служб ИБ и направлены на обеспечение непрерывности бизнес-процессов и защиту данных клиентов и партнеров.
По данным годового отчета, существенных инцидентов информационной безопасности и утечек персональных данных за отчетный период не зафиксировано (под существенными компания подразумевает инциденты, повлекшие значительный общественный резонанс, и штрафы, способные повлиять на финансовый результат или привести к приостановке деятельности в одном или нескольких регионах присутствия). Все информационные системы проходят регулярные внутренние и внешние аудиты, включая сканирование на наличие уязвимостей.
Контроль за исполнением политики безопасности осуществляется на уровне Совета директоров и управляющего комитета по ИБ, который регулярно формирует отчеты о состоянии защищенности.
Для автоматизации процессов управления рисками и повышения эффективности защиты в 2024 году была внедрена информационная система класса SGRC (Security Governance, Risk, Compliance). По данным отчета, она обеспечивает консолидацию данных о рисках, контроль выполнения требований и автоматизацию отчетности.
Координацию реагирования на угрозы выполняет центр кибербезопасности, работающий с использованием инструментов SOAR (Security Orchestration, Automation and Response). Он обеспечивает автоматическую обработку событий безопасности и сокращает время устранения инцидентов.
Сотрудники торговых сетей X5 проходят регулярное обучение, включая курсы по защите коммерческой тайны, обращению с персональными данными и распознаванию фишинговых атак. Проводятся учебные рассылки и симуляции для проверки готовности персонала.
В документе также указано, что в 2024 году X5 Group реализовала ряд мероприятий по импортозамещению средств защиты информации и продолжила развитие практик безопасной разработки.
Кроме того, в компании развиваются сервисы электронной подписи и доверенного взаимодействия. Центр сертификации «Перекресток» подтвердил государственную аккредитацию, что позволяет ему выдавать квалифицированные сертификаты электронной подписи.
X5 Group отмечает, что информационная безопасность остается приоритетным направлением, включая дальнейшее развитие программ защиты данных и повышение уровня киберустойчивости бизнес-процессов.
Годовой отчет X5 доступен по ссылке.
