Что такое Security GRC (SGRC)

Решения класса Security GRC, как и весь пул GRC-решений, ориентированы на процессы менеджмента организации. Приставка Security определяет область применения. В первую очередь, SGRC решения ориентированы на менеджмент таких процессов информационной безопасности, как:

  • управление активами на различных уровнях (от компьютера до комплексного описания сервиса; этот процесс дает ответ на простой вопрос — «что защищаем?»);
  • управление аудитами и контроль соответствия определенным требованиям (в том числе возможность автоматизировать сompliance-процедуры по внутренним документам организации, или, например, по корпоративному стандарту холдинга);
  • управление рисками информационной безопасности;
  • стратегическое планирование информационной безопасности с учетом ежедневных результатов, отображаемых в системе.

Сложно представить себе продукт, который относится к классу SGRC и не имеет «на борту», как минимум, функциональности по управлению рисками (буква R) и контролю соответствия требованиям (буква C). Все же первое, на что надо делать упор при выборе SGRC-решения — это тот объем аналитики, который заложен в продукт, всевозможные справочники, базы угроз, базы требований — все то, что прорабатывалось вендором и может быть мгновенно использовано в продукте.

Естественно, что Security GRC система должна обладать стандартными функциями больших комплексных GRC систем. В первую очередь, это удобство организации коллективной работы, «легкая» интеграцию с различными системами-поставщиками информации и аналитики. И, конечно же, продукт должен предоставлять наглядную отчетность с дашбордами, графиками, схемами по результатам работы в нем.

Пользователи

Основной пользователь Security GRC системы – это, прежде всего, руководитель ИБ-подразделения, CISO, а второй уровень — это заместители CISO. Основной драйвер покупки — осознание того, что без средств автоматизации становится трудно управлять вышеописанными процессами обеспечения информационной безопасности. CISO компании понимает, что использовать только электронные таблицы совместно с функционалом разных IT-систем в условиях роста компании и сопутствующей инфраструктуры становится неэффективно.

Для подразделений ИТ существует огромное количество систем, которые призваны помогать специалистам в выполнении их повседневных задач. Что же касается средств автоматизации, разработанных специально для нужд ИБ, то здесь рынок заметно скуднее, и SGRC-решения направлены как раз на то, чтобы такие потребности закрыть.

Преимущества и выгоды

Среди основных драйверов нехватка ресурсов на сегодняшний день является, и, на ближайшее время, останется ключевым фактором в пользу покупки SGRC систем. Хотя естественно, что остальные условия также сказываются на решении CISO и его руководства. До сих пор существует часть специалистов, которые приятно удивляются, узнавая, что для них уже появились специально разработанные продукты, а впоследствии вспоминают в страшных снах разбросанные по сетевым дискам электронные таблицы, которые приходилось судорожно искать и пролистывать при решении срочных задач.

SGRC-система обеспечивает достоверность данных, возможность сравнения их внутри базы данных и помогает навести порядок в общем объеме документов и информации. Последние исследования Гавайского Университета об использовании электронных таблиц показали, что подавляющее большинство (94% электронных таблиц) содержат ошибки – это, в среднем, по одной ошибке в каждой двадцатой ячейке. Часто, из-за отсутствия механизмов контроля в таблицах, специалисты меняют какое-либо значение ячейки или формулу (даже по случайности) и забывают применить изменения в остальных важных Excel-документах.

Автоматизация отчетности регуляторов является, скорее, приятным дополнением к вышеописанному.

Если говорить о бизнес-выгодах, которые предоставляют продукты класса Security GRC, то это, прежде всего, экономия затрат на расширение штата специалистов подразделения ИБ. Как правило, до 62% времени CISO-менеджеры тратят только на оперативные действия или, проще говоря, разного рода «текучку». Как специалисты могут заниматься стратегическим планированием, если они больше половины своего времени пытаются выяснить, какими рисками должны управлять?

Единый центр консолидации, который может быть реализован на SGRC-решении, позволяет не только оперативно подготовить информацию для руководства или проверяющих органов, но и эффективнее принимать решения, планировать и стратегически выстраивать комплексную систему информационной безопасности, основываясь на информации по разным процессам менеджмента ИБ.

Некоторые разработчики SGRC-решений прилагают к своему инструменту еще и «обвес» в виде экспертного консалтинга по выстраиванию процессов вокруг инструмента, тем самым предлагая законченное решение. Здесь бизнес-выгоды очевидны, т.к. компания получает рабочий инструмент, а руководитель ИБ получает несколько «красных кнопок», обучение и помощь вендора. Стоимость подобных услуг в большинстве случаев ниже, чем в ситуации, когда приобретается отдельно инструмент и консалтинг.

Вторая часть бизнес-выгод просматривается в случае грамотно выстроенного, согласованного внутри организации и, главное, работающего процесса риск-менеджмента.  Процесс управления рисками ИБ, который выстраивается вокруг SGRC-решения, позволяет сделать приоритетными мероприятия по совершенствованию ИБ в организации путем оценки рисков ИБ. При этом можно ориентироваться на минимизацию именно недопустимых рисков. Таким образом, сам руководитель ИБ наблюдает приоритезацию необходимых мероприятий и может как сэкономить ИБ-бюджет, не тратя его впустую на защиту непрофильных направлений/систем, бизнес-процессов, так и обосновать дополнительный ИБ-бюджет на защиту новых сфер деятельности компании.

SGRC-система должна оперативно создавать все необходимые отчеты, опираясь на наиболее свежие данные. Возможности отчетности внутри ПО прежде всего снижают вероятность ошибок в важных отчетах из-за ошибок внутри таблиц. Кроме того, использование SGRC-решения устраняет сложность и путаницу в процессах отчетности. Наиболее продвинутые решения предлагают передовые механизмы анализа данных, которые помогают конструировать собственные отчеты и сохранять их на интерактивных дашбордах, которые могут быть продемонстрированы руководству.

Тонкости внедрения

Стоит, однако, упомянуть, что внедрение комплексного процесса управления с применением SGRC-решений все же рекомендуется начинать компаниям с достаточно зрелым уровнем ИБ, в которых хотя бы частично реализованы процессы управления рисками ИБ, уязвимостями и инцидентами ИБ, информационными активами; налажены процессы периодических внутренних аудитов информационной безопасности предприятия; руководство осознает важность процессов управления ИБ и влияние уровня ИБ на бизнес.

Ввиду большой разнородности ИТ-систем и средств защиты в компаниях, важными аспектами выбора SGRC-решений на рынке являются количество коннекторов к внутренним системам в организации и возможности интеграции (т.е. работоспособный API) с средствами и системами защиты информации. Эти интеграции нужны, как правило, для сбора и консолидации аналитики, статистики и другой информации, необходимой для процессов менеджмента ИБ.

Как и в любых других проектах по внедрению продуктов, стыкующих разные уровни управления, основным фактором успешности проектов по внедрению SGRC-решений является заинтересованность максимального количества специалистов в компании.

Вторым фактором успешности является соответствие функционала продукта всем пожеланиям пользователей (от архитектуры до отчетного документа и или визуального представления). Важно, чтобы все пользователи четко понимали возможности продукта и то, как его проблемы могут быть решены в SGRC системе.

И третьим фактором успешности следует назвать пилотирование продукта до его приобретения. Пилоты SGRC систем обычно длятся от месяца до полугода. Уже на данном этапе можно тщательнее прорабатывать реализацию тех или иных процессов и требований в продукте.

Важным фактором минимизации возможных расходов на приобретение и внедрение SGRC-решения является минимизация за счет вовлечения в работу продукта все большего количества сотрудников организации из разных подразделений. Тем самым бюджеты других подразделений будут задействованы в бюджете на SGRC.

Сразу встает вопрос — «кому еще может быть интересно SGRC»? В своей практике мы сталкиваемся с тем, что вовлекаем подразделения рисковиков, внутренний контроль, физическую безопасность и ИТ-подразделения в работу с продуктом SGRC. Показывая им целесообразность и необходимость использования продукта в их деятельности, мы снижаем стоимость владения продуктом для ИБ-подразделения.

Модуль: Аудит и Контроль

Модуль предназначен для контроля, аудита и оценки соответствия организации различным нормативным и законодательным требованиям в области информационной безопасности.

Модуль: Инциденты

Модуль предназначен для организации процесса управления инцидентами информационной безопасности и анализа информации, относящейся к инциденту.

С помощью модуля можно вести учет и регистрацию событий и инцидентов, хранить всю информацию по инцидентам и результатам их расследования в единой базе данных, а также подготавливать необходимую отчетность.

Модуль: Риски

Модуль предназначен для оценки и управления рисками информационной безопасности в соответствии с требованиями и рекомендациями российских и международных стандартов (ISO, OCTAVE, NIST, СТО БР, PCI DSS).

С помощью модуля можно составить модель угроз, провести оценку и анализ рисков, сформировать план обработки рисков, оценить экономический эффект и обосновать бюджет на информационную безопасность.

Модуль: Активы

Модуль предназначен для организации управления ИТ-активами, сбора и визуализации детальной информации об ИТ-инфраструктуре и связях между элементами этой инфраструктуры, осуществления контроля за состоянием инфраструктуры.


+
Форма запроса демо-доступа

Укажите Ваше имя *

Укажите ваш рабочий E-mail *

Какую организацию вы представляете?*

(* - обязательные поля)

+

Дайджест ИБ от R-Vision

Подпишитесь на дайджесты информационной безопасности от R-Vision чтобы всегда быть в курсе последних новостей отрасли.

Каждые 2 недели вы будете получать подборку самых важных и интересных новостей, постов в блогосфере, аналитических исследований, громких инцидентов и предстоящих событий.

Укажите свои контактные данные и подписывайтесь.